WO2024047802A1

WO2024047802A1 - 画像処理装置および通信システム

Info

Publication number: WO2024047802A1
Application number: PCT/JP2022/032790
Authority: WO
Inventors: 浩史岡; 博文鈴木; 茂樹高谷; 雅俊郷; 伸悟伊東
Original assignee: 京セラ株式会社
Priority date: 2022-08-31
Filing date: 2022-08-31
Publication date: 2024-03-07

Abstract

画像処理装置は、画像処理部と、制御部と、撮像部と、を備えている。画像処理部は、プリンタおよびスキャナの少なくとも一方を含む。制御部は、ユーザの認証の成功に応じて解除された画像処理部の機能制限を認証状態の解除に伴って復活させる。撮像部は、画像処理装置の周囲の少なくとも一部の範囲を撮像する。画像処理装置は、認証状態のときに撮像部が撮像する画像に基づいて特定される、認証状態とされたユーザが不在であること、および他のユーザが存在することの少なくとも一方を含む解除条件が満たされたときに、認証状態を解除する。

Description

画像処理装置および通信システム

　本開示は、プリンタおよびスキャナの少なくとも一方を有する画像処理装置、ならびに該画像処理装置を含む通信システムに関する。

　顔認証によってユーザの認証を行い、認証状態（認証が成功した状態）となったときに所定の機能の利用をユーザに許容する画像処理装置が知られている（例えば下記特許文献１～４）。特許文献３では、顔認証を行うためのカメラに向かってユーザが手を挙げると画像処理装置がスタンバイ状態になるという事項が開示されている。特許文献４では、ログアウトの操作が行われたとき、ユーザが操作を中断してしばらく経過したとき、あるいはユーザが画像処理装置の前を離れたことが検知されたときに、スリープタイマを起動するステップに戻るという事項が開示されている。

特開２０１９－１２８７３２号公報特開２００７－２７９６０３号公報特開２００６－８１１４７号公報特開２０１６－１４８８９５号公報

　本開示の一態様に係る画像処理装置は、画像処理部と、制御部と、撮像部と、を備えている。前記画像処理部は、プリンタおよびスキャナの少なくとも一方を含む。前記制御部は、ユーザの認証の成功に応じて解除された前記画像処理部の機能制限を認証状態の解除に伴って復活させる。前記撮像部は、前記画像処理装置の周囲の少なくとも一部の範囲を撮像する。前記画像処理装置は、認証状態のときに前記撮像部が撮像する画像に基づいて特定される、認証状態とされたユーザが不在であること、および他のユーザが存在することの少なくとも一方を含む解除条件が満たされたときに、認証状態を解除する。

　本開示の一態様に係る画像処理装置は、画像処理部と、撮像部と、制御部と、を備えている。前記画像処理部は、プリンタおよびスキャナの少なくとも一方を含む。前記撮像部は、前記画像処理装置の周囲の少なくとも一部の範囲を撮像する。前記制御部は、前記撮像部を利用しない認証の成功に応じて解除された前記画像処理部の機能制限を認証状態の解除に伴って復活させる。前記画像処理装置は、認証状態のときに前記撮像部が撮像する画像に基づいて特定される、人物の状況に応じて、認証状態の解除を制御する。

　本開示の一態様に係る通信システムは、上記画像処理装置と、前記画像処理装置と通信を行う通信機器と、を有している。

実施形態に係る通信システムの一例を示す模式図。図１の通信システムが含む画像処理装置の信号処理系に係るハードウェア構成を示す模式図。図２の画像処理装置の構成を示す機能ブロック図。認証に係る処理の手順の一例を示すフローチャート。図５Ａおよび図５Ｂはユーザの監視に利用される撮像画像の例を示す模式図。図６Ａ、図６Ｂおよび図６Ｃはユーザの監視に利用される撮像画像の他の例を示す模式図。認証状態の制御に係る処理の手順の一例を示すフローチャート。認証状態の制御に係る処理の手順の他の例を示すフローチャート。図８の続きを示すフローチャート。認証状態の制御に係る処理の手順の更に他の例を示すフローチャート。認証結果に基づく制限解除の具体例を説明するためのブロック図。認証結果に基づく制限解除の手順の一例を示すフローチャート。制限解除に伴うメニュー画面の変更を説明するためのブロック図。ＶＰＮ接続に係る制限解除を説明するためのフローチャート。

　以下、図面を参照して本実施形態に係る画像処理装置について説明する。なお、以下のとおり、いくつかの用語は一般的に多義的である。本実施形態の説明においても、文脈等に照らして適宜に用語の意味を解釈されたい。

　「生体情報」の語は、例えば、現に人に表れている特徴の情報自体（別の観点では検出方法に依存しない情報）を指す場合と、上記特徴を検出した生の情報を指す場合と、生の情報から抽出した特徴量の情報を指す場合と、生の情報もしくは特徴量の情報を利用目的に応じて加工した情報を指す場合とがある。加工した情報としては、例えば、特徴量を暗号化した情報を挙げることができる。

　「認証」の語は、対象の正当性を確認する行為を指す場合と、そのような行為によって、正当性が確認できたこと、もしくは確認ができていることを指す場合とがある。これに関連して、正当性が確認できたことは、認証に成功すると表現されることがあり、また、正当性が確認できないことを認証に失敗したと表現されることがある。実施形態の説明において、「認証状態」は、正当性が確認できている状態、またはそのように見做されている状態を指す。

　「ネットワーク」の語は、通信網を指す場合と、通信網および通信網に接続された機器の組み合わせを指す場合とがある。ネットワークの下位概念の語についても同様である。ネットワークの下位概念の語は、例えば、インターネット、パブリックネットワーク、プライベートネットワーク、ＬＡＮ（Local Area Network）およびＶＰＮ（Virtual Private Network）である。

　「ＶＰＮ」の語は、プライベートネットワークをパブリックネットワークに仮想的に拡張する技術を指す場合と、当該技術によるネットワークを指す場合とがある。なお、ＶＰＮに係る技術的事項に適宜にＶＰＮの語を付すことがある。例えば、ＶＰＮを利用した通信を行うように確立される接続をＶＰＮ接続ということがあり、また、そのような接続を行うことをＶＰＮ接続するということがある。

　「接続」の語は、認証（例えばスリーウェイハンドシェイク）を経て確立される接続（狭義の接続）を指す場合と、単に通信可能であることを意味する接続（広義の接続）を指す場合とがある。前者とは異なり、かつ後者に含まれる接続としては、例えば、以下のものを挙げることができる。接続を確立する前の通信（例えばブロードキャストおよびこれに対する返信）は可能であるが、接続の確立は禁止されている接続。互いにケーブルによって電気的（別の観点では物理的）に接続されているが、ソフトウェア的（別の観点では論理的）には通信が一切禁止されているもの。

（画像処理装置の概要）
　図１は、実施形態に係る通信システム１の構成を示す模式図である。

　通信システム１は、ネットワークを介して互いに通信可能に接続されている複数の通信機器を含んでいる。複数の通信機器は、１以上の画像処理装置を含んでいる。図示の例では、３つの画像処理装置３Ａ、３Ｂおよび３Ｃが例示されている。以下では、画像処理装置３Ａ～３Ｃを区別せずに画像処理装置３（符号は図２等）と称することがある。画像処理装置３は、プリンタおよびスキャナの少なくとも一方を含む。なお、画像処理装置３は、通信システム１に含まれずに、単独で利用されても構わない。

　画像処理装置３は、例えば、ユーザが当該画像処理装置３（または画像処理装置３の所定の機能）を使用しようとしたときにユーザの認証を行う。認証が成功すると、例えば、画像処理装置３は、ユーザに所定の機能（例えば印刷）の利用を許可する（機能の制限を解除する。）。逆に言えば、認証が失敗した場合は、画像処理装置３は、ユーザに所定の機能の利用を許可しない（機能を制限する。）。画像処理装置３は、ユーザの認証が成功して認証状態が維持されている間は制限を解除した状態を維持する。逆に言えば、認証状態が解除されたときは機能の制限を再開する。なお、機能を制限すること、および機能の制限を解除することの双方を含む概念として、「機能の制限解除の制御」のような表現を用いることがある。認証状態についても同様である。

　画像処理装置３は、当該画像処理装置３の周囲を撮像する撮像部２８を有している。撮像部２８によって撮像された画像は、例えば、画像処理装置３の周囲の人物の状況の把握に利用される。画像から特定された人物の状況は、認証状態の制御に使用される。例えば、画像処理装置３は、認証状態のときに撮像部２８が撮像した画像に基づいて、認証状態とされたユーザが画像処理装置３から離れたことを検出したとき、認証状態を解除する。および／または画像処理装置３は、認証状態とされたユーザとは別のユーザが画像処理装置３の周囲に存在することを検出したとき、認証状態を解除する。このような認証状態の制御によって、例えば、認証されていないユーザが不正に画像処理装置３（または所定の機能）を使用する蓋然性が低減され、セキュリティが向上する。

　以上が実施形態の概要である。以下では、概略、下記の順に説明を行う。
　１．通信システム１全般（図１）
　　１．１．通信システム１が利用する情報
　　　１．１．１．生体情報
　　　１．１．２．アカウント情報
　　　１．１．３．顔特徴データ
　　１．２．通信システム１の全体の構成
　　１．３．各通信機器の概要
　　１．４．通信機器の接続態様
　２．画像処理装置３の構成（図２）
　　２．１．画像処理装置３の全体の構成
　　２．２．プリンタ
　　２．３．スキャナ
　　２．４．ＵＩ（User Interface）部
　　　２．４．１．操作部
　　　２．４．２．表示部
　　２．５．生体情報を検出する検出部
　　　２．５．１．検出部の構成
　　　２．５．２．検出部の位置および向き等
　　２．６．通信部
　　２．７．撮像部
　　２．８．処理部
　　２．９．コネクタ
　　２．１０．その他
　３．画像処理装置３の処理系の構成（図３）
　４．認証に係る動作
　　４．１．認証に係る動作の概要（図４）
　　４．２．認証方法
　　４．３．認証状態の維持および解除に係る動作の具体例
　　　４．３．１．人物の具体的な状況の評価方法（図５Ａ～図６Ｃ）
　　　４．３．２．具体的な状況に応じた認証状態の制御の手順（図７）
　　４．４．認証状態の維持および解除に係る動作の他の具体例（図８および図９）
　　４．５．認証状態の維持および解除に係る動作のさらに他の具体例（図１０）
　５．機能制限の解除に係る動作
　　５．１．機能制限の解除に係る動作全般
　　　５．１．１．制限の解除が制御される機能
　　　５．１．２．機能の制限の態様
　　５．２．機能の制限解除に関する具体例（図１１および図１２）
　　５．３．機能制限に係るメニュー画面の例（図１３）
　　５．４．ＶＰＮに関する制限解除（図１４）
　６．実施形態のまとめ

（１．通信システム全般）
（１．１．通信システムが利用する情報）
（１．１．１．生体情報）
　画像処理装置３は、生体情報を用いた認証を行ってもよいし、行わなくてもよい。生体情報は、種々のものとされてよく、例えば、公知の生体認証に利用されている情報とされてよい。例えば、生体情報は、ユーザの身体的特徴の情報であってもよいし、ユーザの行動的特徴の情報であってもよい。身体的特徴の具体例としては、指紋、掌形、網膜（その血管のパターン等）、虹彩（その濃淡値の分布等）、顔、血管（指等の特定の部位のパターン）、耳形、音声（声紋等）および体臭を挙げることができる。行動的特徴としては、例えば、筆跡を挙げることができる。

　なお、生体情報（後述の顔特徴データを含む。）同士が一致するというときの「一致」は、技術常識から明らかなように、生体認証において実用的に問題のない精度（別の観点では画像処理装置３および／または通信システム１に要求される精度）での一致であって、完全な一致を指すものではない。

（１．１．２．アカウント情報）
　画像処理装置３は、アカウント情報を用いた認証を行ってもよいし、行わなくてもよい。アカウント情報は、例えば、ユーザを識別するための情報（以下、「ＩＤ」と略して呼称することがある。）を含む。また、アカウント情報は、パスワードを含んでもよい。実施形態の説明では、特に断り無く、アカウント情報がＩＤおよびパスワードを含む態様を例に取ることがある。ただし、矛盾等が生じない限り、アカウント情報の語は、ＩＤの語（パスワードを付帯しない）に置換されてもよいし、ＩＤおよびパスワードの語に置換されてもよい。

（１．１．３．顔特徴データ）
　後述するように、画像処理装置３は、ユーザの顔特徴データを利用することによって、認証状態の維持および解除を制御してよい。顔特徴データは、例えば、種々のものとされてよく、例えば、顔認証に利用されている公知のデータと同様とされてよい。同様に、顔特徴データの照合方法も顔認証における公知の照合方法が利用されてよい。顔特徴データは、例えば、目、鼻および口などに係る特徴点の相対位置等の情報を含んでいる。顔特徴データは、顔全体を対象としたものであってもよいし、顔の一部（例えば口および鼻を覆うマスクに隠れない部分）を対象としたものであってもよい。顔特徴データは、認証状態の維持および解除の制御だけでなく、認証行為自体に生体情報として利用されてよい。生体情報についての用語の説明は、顔特徴データに援用されてよい。

（１．２．通信システムの全体の構成）
　通信システム１は、既述のとおり、種々の通信機器を有しており、種々の通信機器は、画像処理装置３を含んでいる。通信システム１は、適宜に他の通信機器を有してよい。図１では、サーバ５および７、ならびに端末９Ａ、９Ｂおよび９Ｃが例示されている。以下では、端末９Ａ～９Ｃを区別せずに端末９（代表して端末９Ａに符号を付す。）と称することがある。

　複数の通信機器を接続するネットワークは適宜なものとされてよい。図１では、パブリックネットワーク１１と、プライベートネットワーク１３Ａおよび１３Ｂとが例示されている。

　なお、通信システム１は、少なくとも１つの画像処理装置３と、当該画像処理装置３と通信を行う少なくとも１つの通信機器のみによって定義されてよい。また、通信システム１は、通信機器に加えて、プライベートネットワーク（１３Ａおよび１３Ｂ）を含んで定義されてよい。ただし、いずれにせよ、通信システム１は、パブリックネットワーク１１を除いて定義されてよい。

（１．３．各通信機器の概要）
　画像処理装置３は、既述のように、プリンタおよびスキャナの少なくとも一方を含む。以下の説明では、主として、画像処理装置３がプリンタおよびスキャナの双方を含む態様を例に取る。画像処理装置３は、複合機（ＭＦＰ：multi-function product/printer/peripheral）であってもよいし、複合機でなくてもよい。画像処理装置３は、例えば、印刷、スキャン、コピー、ＦＡＸ送信およびＦＡＸ受信の１つ以上（ただし、これらは必ずしも分離できる概念ではない。）を実行可能であってよい。

　画像処理装置３の運用方法（別の観点では社会的位置付け）は任意である。例えば、画像処理装置３Ａは、コンビニエンスストア等の店舗に設置されて不特定多数のユーザに利用されてよい。画像処理装置３Ｂは、個人宅に設置されて特定かつ少数（例えば１人）のユーザに利用されてよい。画像処理装置３Ｃは、会社に設置されて特定かつ複数のユーザに利用されてよい。

　実施形態で述べる画像処理装置３の構成および動作は、通信システム１が含む１以上の画像処理装置３のいずれに適用されてもよい。便宜上、実施形態の説明では、画像処理装置３Ａ～３Ｃのいずれかを例に取って説明することがある。ただし、画像処理装置３Ａ～３Ｃのいずかについてなされた説明は、矛盾等が生じない限り、他の画像処理装置に適用されて構わない。

　サーバ５は、例えば、プライベートネットワーク１３Ａに含まれ、ＥＣＭ（Enterprise Content Management）を行ったり、ＶＰＮサーバとして機能したりしてよい。および／または、サーバ５は、画像処理装置３を利用するユーザの認証、および他の通信機器（例えば端末９）を利用するユーザの認証を行ってよい。もっとも、画像処理装置３（他の通信機器）は、自己のみによって自己を利用するユーザを認証してもよい。

　サーバ７は、種々のサービスを行うものであってよい。例えば、サーバ７は、ファイルサーバ、メールサーバおよび／またはウェブサーバであってよい。画像処理装置３に係る動作に着目した場合、ファイルサーバは、例えば、画像処理装置３によって印刷される画像のデータ、または画像処理装置３によってスキャンされたデータを記憶してよい。メールサーバは、画像処理装置３によって印刷されるメール、または画像処理装置３によってスキャンされた画像を含むメールを配送してよい。ウェブサーバは、画像処理装置３との通信を通じて行われるウェブサービスを実行してよい。

　図１では、サーバ５および７それぞれは、１台のコンピュータによって表現されている。ただし、１つのサーバは、分散されて配置された複数のコンピュータによって実現されて構わない。１つのサーバを構成する複数のコンピュータは、直接に接続されたり、１つのＬＡＮに含まれたり、互いに異なるＬＡＮに含まれたりしてよい。なお、サーバ５および７は、１台のコンピュータによって構成されてよい。また、サーバ５および７は、１台のコンピュータによって構成されているか否かに関わらず、１つのサーバとして捉えられてもよい。

　端末９は、適宜な種類のものとされてよい。図１では、端末９Ａおよび９Ｂは、ラップトップ型のＰＣ（パーソナルコンピュータ）として描かれている。端末９Ｃは、スマートフォンとして描かれている。この他、端末９は、例えば、デスクトップ型ＰＣまたはタブレット型ＰＣであってよい。端末９の運用方法は任意である。例えば、端末９は、会社所有の端末または個人所有の端末のように、特定かつ１人以上のユーザに利用されるものであってもよいし、インターネットカフェの端末のように、不特定かつ多数のユーザに利用されるものであってもよい。

（１．４．通信機器の接続態様）
　パブリックネットワーク１１は、外部（例えば不特定多数の通信機器）へ公開されているネットワークである。その具体的な態様は、適宜なものとされてよい。例えば、パブリックネットワーク１１は、インターネット、通信業者等が提供する閉域ネットワーク、および／または公衆電話網を含んでよい。

　プライベートネットワーク１３Ａおよび１３Ｂは、外部へ非公開のネットワークである。プライベートネットワーク１３Ａおよび／または１３Ｂは、例えば、ＬＡＮであってよい。ＬＡＮは、例えば、同一建築物内におけるネットワークであってよい。ＬＡＮとしては、例えば、イーサネット（登録商標）およびＷｉ－Ｆｉ（登録商標）を利用したものを挙げることができる。また、プライベートネットワーク１３Ａおよび／または１３Ｂは、イントラネットであってよい。

　通信機器（例えば画像処理装置３）による信号の送信および／または受信は、有線を介したものであってもよいし、無線で行われるものであってもよい。また、通信機器（例えば画像処理装置３）は、プライベートネットワークに含まれずに、パブリックネットワーク１１と通信を行ってもよいし、プライベートネットワークに含まれてもよい。プライベートネットワークに含まれる通信機器（例えば画像処理装置３）は、プライベートネットワーク内の通信のみを行ってもよいし、プライベートネットワークを介してパブリックネットワーク１１と通信を行ってもよい。

　上記のように、複数の通信機器は、種々の態様で互いに接続されてよい。図１の例では、以下のとおりである。

　画像処理装置３Ａは、プライベートネットワークを構築していない。画像処理装置３Ａは、不図示のルータ等を含むことによって、またはルータ等と接続されることによって、プライベートネットワークを介さずにパブリックネットワーク１１と通信可能となっている。画像処理装置３Ａは、当該画像処理装置３Ａに直接的に有線で接続された端末９（図１では不図示）と通信可能であってよい。また、画像処理装置３Ａは、当該画像処理装置３Ａの近傍に配置された端末９（図１では不図示）と近距離無線通信が可能であってよい。

　画像処理装置３Ｂおよび端末９Ｂは、プライベートネットワーク１３Ｂによって互いに接続されている。より詳細には、両者は、ルータ１５（そのハブ）を介して接続されている。画像処理装置３Ｂおよび端末９Ｂは、ルータ１５等を介してパブリックネットワーク１１と通信可能である。

　画像処理装置３Ｃ、サーバ５、サーバ７および端末９Ａは、プライベートネットワーク１３Ａによって互いに接続されている。画像処理装置３Ｃ、サーバ７および端末９Ａは、例えば、サーバ５を介してパブリックネットワーク１１と通信可能である。サーバ５は、ルータ等を含んでいてもよいし、サーバ５とパブリックネットワーク１１との間に不図示のルータ等が設けられていてもよい。

　端末９Ｃは、例えば、無線による公衆電話網との通信を行う。ひいては、端末９Ｃは、公衆電話網を含むパブリックネットワーク１１と通信を行う。

　既述のように、サーバ５は、画像処理装置３のユーザの認証に利用されてよい。この場合の認証は、サーバ５とパブリックネットワーク１１を介して接続されている画像処理装置（図１では３Ａおよび３Ｂ）、およびサーバ５を含むプライベートネットワーク１３Ａに含まれる画像処理装置（図１では３Ｃ）のいずれに対して行われてもよい。

　通信機器の接続態様と、通信機器の運用方法（別の観点では社会的な位置付け）との関係は任意である。例えば、プライベートネットワークに含まれていない画像処理装置３Ａは、既述の説明のように店舗に設置されて不特定多数のユーザに利用されてもよいし、既述の説明とは異なり、会社に設置されて特定のユーザに利用されてもよい。また、例えば、プライベートネットワーク１３Ｂに含まれている画像処理装置３Ｂは、既述の説明のように個人宅に設置されて特定かつ少数のユーザに利用されてもよいし、既述の説明とは異なり、インターネットカフェに設置されて不特定多数のユーザに利用されてもよい。

（２．画像処理装置の構成）
（２．１．画像処理装置の全体の構成）
　図２は、画像処理装置３の信号処理系に係るハードウェア構成を示す模式図である。

　図１および図２に示すように、画像処理装置３は、例えば、以下の構成要素を有している。画像処理装置３の外形を構成している筐体１７（図１）。印刷を行うプリンタ１９。スキャンを行うスキャナ２１（イメージスキャナ）。ユーザの操作の受け付ける、および／またはユーザへの情報の提示を行うＵＩ部２３。ユーザの生体情報を検出する検出部２５。通信を行う通信部２７（図２）。画像処理装置３の周囲（その少なくとも一部の範囲）を撮像する撮像部２８。各部（１９、２１、２３、２５、２７および２８）の制御を行う処理部２９（図２）。画像処理装置３に適宜なデバイスを接続するためのコネクタ３７（図２）。

　なお、以下では、プリンタ１９および／またはスキャナ２１を画像処理部３１（符号は図２）ということがある。検出部２５は、例えば、ユーザの認証のために、撮像部２８から得られる生体情報とは別の生体情報を検出する。もっとも、検出部２５は、図２において点線で示されているように、設けられなくても構わない。

　上記の構成要素は、図示の例のように、一部または全部が互いに共有されていてもよい（または、そのように捉えられてよい。）。例えば、筐体１７は、プリンタ１９またはスキャナ２１の一部として捉えられて構わない。本実施形態の説明において、処理部２９は、画像処理装置３の全ての動作（例えば印刷およびスキャンを含む）の制御を行う概念的に１つの処理部である（ハードウェア的には複数に分散されていてよい。）。この場合において、処理部２９によって制御される対象（１９、２１、２３、２５、２７および２８）は、処理部を含まない機構的な部分のみによって概念されてもよいし、処理部（処理部２９の一部）を含んで概念されてもよい。

　筐体１７以外の構成要素（１９、２１、２３、２５、２７、２８および２９。以下、本２．１節において、構成要素の語は、このような筐体１７以外の構成要素を指す。）は、筐体１７に設けられている。別の表現または別の観点では、筐体１７は、複数の構成要素を保持している、もしくは支持している、または、複数の構成要素に機械的に接続されている、もしくは結合されている、ということができる。また、複数の構成要素は、筐体１７に設けられていることによって、互いに一体的に設けられているということができる。なお、既述の説明から理解されるように、構成要素が筐体１７に設けられている等というとき、筐体１７は、構成要素の一部として捉えられる態様であってもよい。

　画像処理装置３が構成要素を有しているというとき、例えば、典型的には、構成要素および筐体１７は、互いに固定されている（もちろん可動部分は除く。）。ひいては、構成要素同士も互いに固定されている。また、例えば、ねじを外すことなどによって画像処理装置３を分解しない限りは、構成要素および筐体１７は互いに分離して異なる場所に配置することはできない。ひいては、構成要素同士も互いに分離して異なる場所に配置することはできない。ただし、上記の例とは異なり、画像処理装置３が構成要素を有しているというとき、構成要素は、筐体１７に対して着脱可能であってもよい。図２では、筐体１７に固定的な撮像部２８が示されている一方で、当該撮像部２８とは別の例に係る撮像部２８Ａとして、コネクタ３７に着脱されるものが点線で示されている。

　構成要素が筐体１７に設けられているというときの具体的な位置関係は任意である。例えば、構成要素は、筐体１７内に収容されていてもよいし、筐体１７の壁面に一体的に設けられていてもよいし、筐体１７の壁面から突出していてもよいし、筐体１７に対する向きおよび／または位置が可変となっていてもよい。図示の例では、プリンタ１９、スキャナ２１、通信部２７および処理部２９は、筐体１７に収容されていると捉えられてよい。また、ＵＩ部２３および検出部２５は、筐体１７の壁面に一体的に設けられていると捉えられてよい。撮像部２８は、筐体１７の壁面から突出している（筐体１７の壁面に固定されている）と捉えられてよい。

　画像処理装置３（別の観点では筐体１７）の大きさおよび形状は任意である。例えば、画像処理装置３は、家庭用の複合機またはプリンタのように１人の人間が運搬可能な大きさ（質量）を有していてもよいし（画像処理装置３Ｂのイラスト参照）、業務用の複合機またはプリンタのように１人の人間が運搬不可能な大きさ（質量）を有していてもよい（画像処理装置３Ａおよび３Ｃのイラスト参照）。

　図示の例とは異なり、画像処理装置３は、会社（オフィス）または個人宅に配置される一般的な複合機またはプリンタとは概念が大きく異なるものであってもよい。例えば、プリンタ１９は、ロール紙に印刷を行うものであってもよい。画像処理装置３は、ロボットを含んで構成され、インクジェットヘッドによって車体等に塗装を行うものであってもよい。画像処理装置３は、片手で持つことができる大きさとされ、画像処理装置３自体が媒体に対して走査されて印刷および／またはスキャンを行うものであってもよい。

（２．２．プリンタ）
　プリンタ１９は、例えば、筐体１７内または筐体１７から外部へ突出するトレイに配置された枚葉紙に印刷を行い、印刷後の枚葉紙を排出するように構成されている。プリンタ１９の具体的な構成は、種々の構成とされてよく、例えば、公知の構成と同様とされても構わない。

　例えば、プリンタ１９は、インクを吐出して印刷を行うインクジェットプリンタであってもよいし、感熱紙またはインクリボンを加熱して印刷を行うサーマルプリンタであってもよいし、光が照射された感光体に付着したトナーを転写する電子写真式プリンタ（例えばレーザープリンタ）であってもよい。インクジェットプリンタは、圧電体によってインクに圧力を付与するピエゾ式であってもよいし、熱が付与されたインクに生じる気泡によってインクに圧力を付与するサーマル式であってもよい。

　また、例えば、プリンタ１９は、ヘッドが枚葉紙の幅（枚葉紙の搬送方向に交差する方向）に亘る長さを有するラインプリンタであってもよいし、ヘッドが枚葉紙の幅方向に移動するシリアルプリンタであってもよい。プリンタ１９は、カラープリンタであってもよいし、モノクロプリンタであってもよい。プリンタ１９は、任意の画像を形成できるものであってもよいし、文字のみを印刷できるものであってもよい。

（２．３．スキャナ）
　スキャナ２１は、例えば、筐体１７の上面から露出する原稿ガラス（図１では蓋に隠れている）下にて原稿ガラスに沿って移動する複数の撮像素子（不図示）によって原稿ガラス上に配置された原稿を撮像してスキャンを行う。スキャナ２１の構成も種々の構成とされてよく、例えば、公知の構成と同様とされても構わない。

（２．４．ＵＩ部）
　ＵＩ部２３の構成は任意である。例えば、ＵＩ部２３は、ユーザの操作を受け付ける操作部３３（符号は図２）と、ユーザに視覚的に情報を提示する表示部３５（符号は図２）とを有している。なお、ＵＩ部２３は設けられなくてもよいし、操作部３３および表示部３５のうち一方のみを有していてもよい。また、ＵＩ部２３は、音響によってユーザに情報を提示する音響部を有していてもよい。ＵＩ部２３は、実施形態の説明とは異なり、コネクタ３７を含んで定義されてもよい。コネクタ３７にデバイスを接続することが画像処理装置３への指示の入力の一種となることがあるからである。

（２．４．１．操作部）
　操作部３３の構成は任意である。操作部３３は、例えば、ユーザの接触による操作を受け付ける。このような操作部３３としては、例えば、タッチパネルおよび／または１以上のボタンを含むものを挙げることができる。図１では、画像処理装置３Ａおよび３Ｃの操作部３３の少なくとも一部としてタッチパネル（符号省略）を例示している。また、画像処理装置３Ｂの操作部３３の少なくとも一部としてボタン３３ａを例示している。ボタン３３ａは、押しボタンであってもよいし、タッチボタンであってもよいし、その他のボタンであってもよい。タッチボタンは、静電容量式のタッチボタンであってもよいし、その他のタッチボタンであってもよい。もちろん、画像処理装置３Ａおよび３Ｃがボタンを有していてもよいし、画像処理装置３Ｂがタッチパネルを有していてもよい。なお、操作部３３は、音声操作などの他の方式の操作を受け付けるものであってもよい。

　操作部３３は、種々の目的で利用されてよい。典型的には、操作部３３は、画像処理部３１に係る処理の実行を画像処理装置３に指示するために利用される。例えば、操作部３３に対する操作によって、印刷、スキャンおよびコピーが行われたり、これらの動作に係る設定（例えば用紙選択、倍率、濃度および／または色などの設定）が行われたりする。この他、例えば、操作部３３に対する操作によって、データへのアクセスおよび送受信、ならびに認証用情報（例えばアカウント情報）の入力がなされてよい。

（２．４．２．表示部）
　表示部３５の構成は任意である。例えば、表示部３５は、任意の画像を表示可能なディスプレイ、任意の文字のみを表示可能なディスプレイ、特定の文字および／または特定の図形のみを表示可能なディスプレイ、ならびに表示灯の少なくともいずれか１つを含んでよい。ここでの画像は、文字を含む概念である。任意の画像または任意の文字を表示するディスプレイとしては、例えば、規則的に配列された比較的多数の画素を有する液晶ディスプレイまたは有機ＥＬ（Electro Luminescence）ディスプレイを挙げることができる。また、特定の文字および／または特定の図形を表示するディスプレイとしては、画素の数および／または形状が限定的な液晶ディスプレイ、または７セグメントディスプレイのようなセグメントディスプレイを挙げることができる。セグメントディスプレイは、液晶ディスプレイを含む種々の態様とされてよい。表示灯としては、例えば、ＬＥＤ（Light Emitting Diode）を含むものを挙げることができる。表示灯は、適宜な数で設けられてよい。なお、以下の説明では、便宜上、表示部３５が任意の画像を表示可能であることを前提とした表現をすることがある。

（２．５．生体情報を検出する検出部）
（２．５．１．検出部の構成）
　上述したように、認証に利用される生体情報は、種々のものとされてよい。従って、検出部２５の構成も種々のものとされてよい。また、同一種類の生体情報に関しても、種々の検出部２５が利用されてよい。検出部２５の基本的構成は、公知のものと同様とされて構わない。

　例えば、検出部２５は、生体情報に係る画像を取得するものであってよい。画像の取得により得られる生体情報としては、例えば、指紋、掌形、網膜、虹彩、顔、血管および耳形が挙げられる。画像を取得する検出部２５の典型例として、光学式のものを挙げることができる。光学式の検出部２５は、光を検出する撮像素子を含む。撮像素子が検出対象とする光（換言すれば波長域）は、可視光または可視光以外（例えば赤外光）であってよい。検出部２５は、撮像素子によって検出される波長域の光を生体に照射する照明部を有していてもよいし、有していなくてもよい。画像は、２値画像、グレースケール画像またはカラー画像であってよい。

　また、画像を取得する検出部２５は、超音波式のものであってもよい。超音波式の検出部２５は、超音波の送信および受信を行う超音波素子を含む。医療用の超音波診断装置から理解されるように、超音波素子を含む検出部２５によって、生体の表面および／または内部の形状に係る画像を取得することができる。より詳細には、検出部２５は、超音波を生体に向けて送信し、その反射波を受信する。送信から受信までの時間に基づいて超音波素子からの距離（すなわち生体の形状）を反映した画像が取得される。

　また、画像を取得する検出部２５は、静電容量式のものであってもよい。静電容量式の検出部２５は、生体が接触するパネルと、パネルの背後にパネルに沿って配置された複数の電極とを有する。生体の一部（例えば指）がパネル上に配置されたとき、接触している位置（体表の凸部の位置）の電極において生じる電荷と、生体が接触していない位置（体表の凹部の位置）における電極において生じる電荷とは相違する。この相違に基づいて、体表の凹凸（例えば指紋）の画像が取得される。

　画像を取得する検出部２５は、ライン状の画像の取得を該ライン状の画像の短手方向に順次行う（すなわち走査を行う）ことによって２次元画像を取得するものであってもよいし、そのような走査を行わずに、実質的に１回で２次元画像を取得するものであってもよい。走査は、検出部２５の動作によって実現されてもよいし、生体が検出部２５に対して移動されることによって実現されてもよい。前者としては、例えば、撮像素子または超音波素子を含むキャリッジが移動する態様を挙げることができる。また、複数の超音波素子は、機械的に移動しない電子式の走査を行うこともできる。

　画像を取得する構成以外の検出部２５としては、例えば、音声を取得するマイクロフォンを含むものを挙げることができる。これにより、生体情報としての音声（例えば声紋）の情報が取得される。また、例えば、他の検出部２５としては、タッチペンによる筆記を受け付けるタッチパネルを挙げることができる。これにより、生体情報としての筆跡の情報が取得される。

　検出部２５は、生体情報の取得以外の用途に利用されて構わない。別の観点では、検出部２５は、画像処理装置３において生体情報の取得以外の目的で設けられた構成要素によって実現されても構わない。あるいは、検出部２５は、他の構成要素と構造的に一体不可分に組み合わされていてもよい。

　例えば、画像を取得する検出部２５は、図示の例とは異なり、スキャナ２１（または撮像部２８）によって実現されても構わない。すなわち、画像処理装置がスキャナ（または撮像部２８）および検出部を有するというとき、両者は同一の構成要素であっても構わない。検出部２５（画像を取得するものに限定されない。）と共用される構成要素が他のものである場合も同様である。

　また、例えば、検出部２５は、操作部３３に含まれるボタンに指を置くと指紋が検出されるようにボタンと共用されていてもよい。このようなボタンおよび検出部２５としては、例えば、上述した静電容量式の検出部２５を挙げることができる。ボタンの操作は、上述した複数の電極を含むセンサによって検出される。また、例えば、筆記の受け付けは、操作部３３が含むタッチパネルによって実現されても構わない。

（２．５．２．検出部の位置および向き等）
　検出部２５の位置および向き等は任意である。例えば、既述の２．１節の説明から理解されるように、検出部２５は、筐体１７に対して固定的であってもよいし、位置および／または向きを変更可能に連結されていてもよいし、筐体１７に対して着脱可能であってもよい。

　また、例えば、検出部２５（より厳密には、生体情報の読み取りに直接に関わる部分。例えば、指紋を検出するときに指が置かれる検出面。本段落において、以下、同様。）は、ＵＩ部２３に隣接して配置されてよい。例えば、図１の例のように、ＵＩ部２３および検出部２５は、スキャナ２１の原稿を読み取る面（ガラス板の上面）および当該面を覆う蓋に対して手前側（別の観点では同一側またはユーザ側）、かつ筐体１７の上部側に共に位置してよい。この場合、ＵＩ部２３および検出部２５は、同一のパネルに位置していてもよいし（図示の例）、位置していなくてもよい。パネルは、筐体１７（その本体部分）に対して固定的であってもよいし、移動可能であってもよい。別の観点では、ＵＩ部２３および検出部２５の位置関係は、ユーザが、ＵＩ部２３を操作するときと、検出部２５に生体情報を読み取らせるときとで、立ち位置および／または顔の位置を概ね同じとすることができるものであってよい。

　検出部２５が指紋を読み取るものである場合において、指が置かれる検出面は、抗ウィルス処理が施されていてもよい。例えば、検出面は、板状の部材によって構成されており、この板状の部材の材料は、抗ウィルスの作用を生じる成分を含んでよい。また、例えば、上記の板状の部材等を覆う膜によって検出面が構成され、当該膜は、抗ウィルスの作用を生じる成分を含んでよい。抗ウィルスの作用を生じる成分としては、例えば、一価銅化合物および銀が挙げられる。対象となるウィルスの種類は任意である。検出面の抗ウィルス性は、例えば、ＩＳＯ（International Organization for Standardization）２１７０２に従う試験において、抗ウィルス活性値が２．０以上となるものであってよい。検出面は、抗ウィルス作用に加えて、または代えて、抗菌作用を生じてもよい。

（２．６．通信部）
　通信部２７は、例えば、画像処理装置３が外部（例えばパブリックネットワーク１１）と通信を行うためのインターフェースのうち、処理部２９に含まれない部分である。通信部２７は、ハードウェア的な構成要素のみを含んでいてもよいし、ハードウェア的な構成要素に加えて、ソフトウェアによって実現される部分を含んでいてもよい。後者の場合、通信部２７は、処理部２９と明瞭に区別できなくてもよい。

　具体的には、例えば、画像処理装置３が有線で外部と接続される場合においては、通信部２７は、ケーブルが接続されるコネクタまたはポートを有してよい。ここでのポートは、コネクタに加えてソフトウェア的な要素を含む概念である。また、例えば、画像処理装置３が無線（例えば電波）で外部と接続される場合においては、通信部２７は、ベースバンドの信号を高周波信号に変換するＲＦ（Radio Frequency）回路と、高周波信号を無線信号に変換するアンテナとを有してよい。また、有線および無線のいずれにおいても、通信部２７は、例えば、増幅器および／またはフィルタを含んでよい。

（２．７．撮像部）
　撮像部２８は、既述のとおり、画像処理装置３の周囲の人物の状況の特定に利用される。撮像部２８は、その具体的な利用態様に応じて、画像処理装置３に対して適宜な位置（空間）を撮像範囲としてよい。例えば、撮像範囲の例としては、例えば、以下のものが挙げられる。ＵＩ部２３の周辺エリア。当該周辺エリアを含む範囲（上記周辺エリアと同じ範囲、または上記周辺エリアよりも広い範囲。）。ＵＩ部２３を操作するユーザの顔が映る範囲（そのように予想される範囲）。ＵＩ部２３を操作するユーザが立つ（または座る）位置（立つまたは座る蓋然性が高い位置）の上下に比較的広い範囲。なお、顔が映る範囲に関して、顔が映る範囲にユーザの体格が影響する画像処理装置３においては、成人または小学生以上等の適宜なユーザが想定されてよい。

　なお、撮像範囲がＵＩ部２３の周辺エリアを含むというとき、ＵＩ部２３（その少なくとも一部）自体が撮像範囲に含まれていてもよいし、含まれていなくてもよい。周辺エリアの広さ等は、画像処理装置３を利用する人物（例えばＵＩ部２３を操作する人物）の状況の把握という目的に照らして適宜に設定されてよい。例えば、周辺エリアは、ＵＩ部２３（その中心）を中心として半径５０ｃｍ以内もしくは半径１ｍ以内の範囲、または当該範囲の一部である。撮像範囲（例えばＵＩ部２３の周辺エリア）の説明において、「ＵＩ部２３」の語は、「検出部２５」または「ＵＩ部２３および検出部２５」の語に置換されてもよい。

　撮像部２８の撮像範囲は、例えば、画像処理装置３との位置関係において不変であってよい。より詳細には、例えば、撮像部２８は、画像処理装置３の筐体１７に対して固定的に設けられてよく、その位置および向きを変えることができないようにされてよい。また、例えば、撮像部２８は、ズームレンズ等によって撮像範囲を代えることができない構成とされてよい（もしくは、撮像範囲を代えるような制御がなされないように処理部２９が構成されてよい。）。このようにすることによって、例えば、認証状態とされたユーザおよび／または他のユーザの状況を一定の精度で把握することができ、セキュリティが向上する。

　ただし、撮像範囲は、可変であっても構わない。この場合、例えば、撮像された画像に基づく認証状態の制御として、撮像範囲が適切に設定されていないときに、利便性が低下するだけで、セキュリティが低下しないものを採用する。例えば、認証状態とされたユーザの顔が検出されないときは認証状態を解除する。このような認証状態の制御が行われる態様では、ユーザは、自分の顔が撮像されるように撮像範囲を適宜に設定する。また、他のユーザが不正の目的で撮像範囲を変更することは難しい。

　撮像範囲を可変とする構成も任意である。例えば、撮像部２８は、位置および／または向きを変化させることが可能に筐体１７に対して連結されていてよい。この場合の位置および／または向きの変化は、手動でなされるものであってもよいし、モータなどによってなされるものであってもよい。または、撮像部２８は、コードで処理部２９と接続されつつ、筐体１７から分離可能とされていてもよい。そして、撮像部２８は、筐体１７またはその周囲への置き方によって位置および／または向きを変更可能であってもよい。

　撮像部２８は、例えば、所定の条件が満たされている期間（例えば認証状態が維持されている期間）に亘って、繰り返し（換言すれば継続的に）画像を撮像してよい。このときの撮像の間隔（周期）は、撮像部２８の具体的な利用態様に応じて適宜に設定されてよい。例えば、撮像の間隔は、１秒未満とされてもよいし、１秒以上とされてもよい。別の観点では、撮像部２８による撮像は、動画を取得していると捉えることができるようなものであってもよいし、静止画を繰り返し取得していると捉えることができるようなものであってもよいし、そのような区別ができなくてもよい。撮像の間隔は、変更可能であっても構わない。また、撮像部２８は、周期的に撮像を行わず、所定のトリガ（例えば制限が解除された機能の実行が指示されたこと）に応じて撮像を行ってもよい。

　撮像部２８は、撮像素子を含んで構成されており、２次元画像の信号（別の観点ではデータ）を生成し、処理部２９へ出力する。より具体的な構成は、種々の構成とされてよい。例えば、撮像部２８は、パンフォーカスまたはオートフォーカスを利用してよい。撮像部２８は、メカニカルシャッターを有していてもよいし、有していなくてもよい。撮像素子は、ＣＣＤ（Charge-Coupled Device）イメージセンサまたはＣＭＯＳ（Complementary Metal-Oxide-Semiconductor）イメージセンサであってよい。撮像素子が検出対象とする光（換言すれば波長域）は、可視光または可視光以外（例えば赤外光）であってよい。画像は、２値画像、グレースケール画像またはカラー画像であってよい。

（２．８．処理部）
　処理部２９は、例えば、コンピュータと同様の構成を有している。具体的には、例えば、処理部２９は、ＣＰＵ（Central Processing Unit）３９、ＲＯＭ（Read Only Memory）４１、ＲＡＭ（Random Access Memory）４３および補助記憶装置４５を有している。ＣＰＵ３９がＲＯＭ４１および／または補助記憶装置４５に記憶されているプログラムを実行することによって処理部２９が構築される。なお、処理部２９は、上記のように構築される部分の他、一定の動作のみを行うように構成された論理回路を含んでいてもよい。

（２．９．コネクタ）
　コネクタ３７は、例えば、画像処理装置３に周辺機器を接続するためのものである。コネクタ３７の規格は種々のものとされてよいが、例えば、ＵＳＢ（Universal Serial Bus）を挙げることができる。図２では、コネクタ３７に接続される周辺機器として、既述のように、別の例に係る撮像部２８Ａが例示されている。この他、コネクタ３７に接続される周辺機器としては、ＵＳＢメモリ、カードリーダおよび検出部２５（図２の例とは異なる態様のもの）を挙げることができる。

（２．１０．その他）
　上述した種々の構成要素（１９、２１、２５、２７、２８、３３、３５、３７、３９、４１、４３および４５）は、例えば、バス４７（図２）によって接続されている。図２では、模式的に１本のバス４７に全ての構成要素が接続されている。実際の製品においては、複数のバスが適宜な形式で接続されていてよい。例えば、アドレスバス、データバスおよびコントロールバスが設けられてよい。また、クロスバースイッチおよび／またはリンクバスが適用されてもよい。

　図２は、あくまで模式図である。従って、例えば、実際には、各種のデバイス（例えばＣＰＵ）は、分散して複数設けられていてよい。図示のＣＰＵ３９は、プリンタ１９またはスキャナ２１に含まれるＣＰＵを含む概念であってよい。バス４７と各種のデバイス（例えばプリンタ１９またはスキャナ２１）との間には不図示のインターフェースが介在してよい。

　図２のブロック図は、画像処理装置３の構成を示すものとして説明された。ただし、図２は、適宜に、サーバ５および７、ならびに端末９の構成を示すブロック図として援用可能である。また、図２に示した構成要素の説明も、矛盾等が生じない限り、サーバ５および７、ならびに端末９の構成要素に援用されてよい。例えば、サーバ５および７、ならびに端末９の構成を示すブロック図は、図２からプリンタ１９およびスキャナ２１を省略したものとされてよい。また、サーバ５および７の構成を示すブロック図は、図２からさらに検出部２５、撮像部２８、操作部３３および／または表示部３５を省略したものとされてもよい。

（３．画像処理装置の処理系の構成）
　既述のとおり、画像処理装置３においては、例えば、ＣＰＵ３９がプログラムを実行することによって処理部２９が構築される。サーバ５および７ならびに端末９においても同様である。以下では、処理部２９の具体例について説明する。

　図３は、画像処理装置３の処理部２９に係る構成を示すブロック図である。処理部２９においては、認証部２９ａ、監視部２９ｂおよび制御部２９ｃが構築される。

　認証部２９ａは、例えば、ユーザの認証を行う。図３では、認証が画像処理装置３のみによって行われる（サーバ５および端末９が認証の一部または全部を行わない）態様を例に取っている。また、図３では、アカウント情報Ｄ１と、生体情報（より詳細には顔特徴データＤ４）とを用いて認証を行う態様を例に取っている。

　具体的には、例えば、画像処理装置３の補助記憶装置４５は、認証に利用する認証用テーブルＤＴ１を記憶している。認証用テーブルＤＴ１は、ユーザ毎にアカウント情報Ｄ１と顔特徴データＤ４とを対応付けて保持している。認証部２９ａは、操作部３３から入力されたアカウント情報Ｄ１、および撮像部２８が撮像した画像から取得される顔特徴データＤ４の組み合わせが、ユーザ毎の情報として認証用テーブルＤＴ１に登録されているか否か判定する。登録されていれば認証成功であり、登録されていなければ認証失敗である。

　監視部２９ｂは、例えば、撮像部２８が撮像する画像等に基づいて画像処理装置３の周囲の人物の状況を監視する。例えば、監視部２９ｂは、認証状態のときに撮像部２８が繰り返し撮像する画像に基づいて、認証状態とされたユーザが、画像処理装置３（別の観点では撮像部２８）を基準とする所定の範囲に存在するか否かを判断する。

　制御部２９ｃは、例えば、認証部２９ａの認証結果および監視部２９ｂの監視結果に基づいて、認証状態を制御する。例えば、認証結果が肯定的なもの（認証が成功したことを示すもの）であれば、画像処理に係る所定の機能（例えば印刷）の制限を解除する（別の観点では画像処理装置３を認証状態とする。）。また、例えば、監視部２９ｂが、認証状態とされたユーザが不在となったと判断したときは、認証状態を解除する（別の観点では所定の機能を制限する。）。

　認証用テーブルＤＴ１は、既述のとおり、ユーザ毎にアカウント情報Ｄ１と顔特徴データＤ４（生体情報）とを対応付けて保持している。なお、画像処理装置３（例えば家庭用のもの）は、１人のユーザのみを認証可能であってよい。このような態様であっても、便宜上、「ユーザ毎」にアカウント情報Ｄ１と顔特徴データＤ４とが対応付けられていると表現することがある。

　認証用テーブルＤＴ１は、１つのアカウント情報に対して、２以上の生体情報を対応付けて記憶可能であってよい。ただし、実施形態の説明では、便宜上、特に断り無く、１つのアカウント情報に対して１つの生体情報が対応付けられる態様を例に取ることがある。

　２以上の生体情報は、例えば、１人のユーザの互いに異なる生体情報であってよい。そのような生体情報としては、例えば、互いに異なる指の指紋、または同一の指の互いに異なる時期に取得された指紋が挙げられる。前者の場合においては、例えば、怪我または加齢等に起因して１つの指での認証が失敗したときに他の指で認証を行うことができる。後者の場合においては加齢等に起因して生体情報が変化したときに認証が失敗する蓋然性が低減される。

　また、２以上の生体情報は、２種以上の生体情報であってよい。そのような生体情報としては、例えば、指紋および顔（顔特徴データ）が挙げられる。その他、種々の生体情報（１．１．１節を参照）のうちの２以上のものが適宜に選択されてよい。２種以上の生体情報が登録可能である場合、例えば、上記と同様に、不正行為以外の何らかの事情で１種類の生体情報で認証に失敗したときに、他の生体情報によって認証を行うことができ、ユーザの利便性が向上する。

　なお、互いに異なる指の指紋も互いに種類が異なる生体情報と捉えることが可能である。ただし、互いに異なる指の指紋に関しては、検出部２５の構成および検出した生の情報の処理方法が互いに同じである。従って、実施形態の説明では、互いに異なる指の指紋は、同一の種類の生体情報として捉える。換言すれば、互いに種類が異なる生体情報は、例えば、検出のための構成および検出した情報の処理方法の少なくとも一方が異なるものである。

　２種以上の生体情報は、上記のとおり、例えば、選択的に利用されてよい。この態様では、２種以上の生体情報の全ての生体情報が登録されている必要はない。ただし、２種以上の生体情報は、全ておよび／または少なくとも２種が登録されることが要求されてもよい。さらには、２種以上の生体情報は、認証のときに、その全ておよび／または少なくとも２種が入力されることが要求されてもよい。この場合には、セキュリティが向上する。

　２種以上（または２以上）の生体情報の登録が任意であるか、必須であるか、および／または認証のときに２種以上（または２以上）の生体情報が選択的に利用されるか、必須とされるかは、全てのユーザに共通であってもよいし、ユーザによって、および／または権限（制限が解除される機能）によって異なっていてもよい。例えば、一般のユーザに対しては選択的に利用され、管理者に対しては２種（または２以上）以上の生体情報が要求されてよい。

　また、１つのアカウント情報に対応付けられる２以上の生体情報は、互いに異なる人物のものであってもよい。すなわち、「ユーザ」は、「人物」に限定されず、「アカウント」（別の観点ではユーザグループ）を含む概念であってよい。ただし、実施形態の説明では、便宜上、特に断り無く、１つのアカウント情報Ｄ１に対して１つの生体情報（顔特徴データＤ４）が対応付けられる態様を例に取ることがある。

　監視部２９ｂは、例えば、認証状態のときに撮像部２８が撮像した画像から検出される顔特徴データＤ４を用いて監視を行ってよい。このとき、検出された顔特徴データＤ４は、認証用テーブルＤＴ１に記憶されている顔特徴データＤ４と比較されてもよいし、比較されなくてもよい。後者の態様としては、例えば、認証用テーブルＤＴ１の顔特徴データＤ４に代えて、所定の時期（後述）に撮像した画像の顔特徴データＤ４が用いられる態様が挙げられる。所定の時期の顔特徴データＤ４が記憶されるメモリは、例えば、揮発性メモリ（例えばＲＡＭ４３）とされてよい。ただし、上記メモリは、不揮発性メモリ（例えば補助記憶装置４５）とされても構わない。

（４．認証に係る動作）
（４．１．認証に係る動作の概要）
　図４は、画像処理装置３（別の観点では処理部２９）における認証に係る動作の概要を示すフローチャートである。なお、図４を含め、種々のフローチャートは、理解が容易になるように動作の手順を概念的に示すものであって、必ずしも実際の手順とは一致していないし、また、正確性を欠いていることもある。

　図４の処理は、例えば、画像処理装置３に電源が投入されたり、スリープモードから起動モードへの移行がなされたりしたときに開始されてよい。あるいは、図４の処理は、利用が制限されている所定の機能（例えば印刷）をユーザが実行しようとしたときに開始されてよい。なお、実施形態の説明では、特に断り無く、前者を例に取ることがある。

　ステップＳＴ１では、画像処理装置３は、アカウント認証が成功したか否か判定する。そして、画像処理装置３は、肯定判定のときはステップＳＴ２に進み、否定判定のときは、ステップＳＴ１を繰り返す（待機する。）。具体的には、例えば、画像処理装置３は、アカウント情報Ｄ１の入力を促す画像を表示部３５に表示する。そして、操作部３３を介して入力されたアカウント情報Ｄ１が認証用テーブルＤＴ１に登録されているときは、肯定判定を行う。アカウント情報Ｄ１が入力されない場合、または入力されたアカウント情報Ｄ１が認証用テーブルＤＴ１に登録されていない場合は、否定判定を行う。

　ステップＳＴ２では、画像処理装置３は、撮像部２８によって撮像を行う。ステップＳＴ３では、画像処理装置３は、撮像した画像から顔特徴データＤ４を検出する。ステップＳＴ４では、画像処理装置３は、検出した顔特徴データＤ４と、認証用テーブルＤＴ１においてステップＳＴ１のアカウント情報Ｄ１に対応付けられている顔特徴データＤ４とが一致するか否か判定する。そして、画像処理装置３は、肯定判定のときはステップＳＴ５に進み、否定判定のときは、ステップＳＴ９に進む。なお、ここでの否定判定は、顔特徴データＤ４同士が一致しない場合だけでなく、ステップＳＴ２で撮像した画像から顔特徴データＤ４を検出できない場合（換言すれば顔特徴データＤ４の生成が可能な顔の画像が得られていない場合）を含む。

　ステップＳＴ５では、画像処理装置３は、認証が完了（成功）したとき（認証状態のとき）の処理を行う。すなわち、画像処理装置３は、所定の機能（例えば印刷）の制限を解除する。認証状態が維持されている間は、所定の機能の制限は解除された状態が維持される。一方、ステップＳＴ９では、画像処理装置３は、認証が失敗したときの処理を行う。すなわち、画像処理装置３は、所定の機能の制限を維持する。

　ステップＳＴ６では、画像処理装置３は、撮像部２８によって撮像を行う。ステップＳＴ７では、画像処理装置３は、撮像された画像に基づいて、認証状態とされたユーザとは別の人物が存在するか否か判定する。そして、画像処理装置３は、肯定判定のときはステップＳＴ８に進み、否定判定のときは、ステップＳＴ６およびＳＴ７を繰り返す。ステップＳＴ６およびＳＴ７が繰り返されている間は認証状態が維持される。このときの繰り返しの周期は任意である。例えば、当該周期は、１秒未満であってもよいし、１秒以上であってもよい。一方、ステップＳＴ８では、認証状態が解除される。

　以上のとおり、図４の例では、ステップＳＴ７において、撮像範囲に認証状態のユーザとは別の人物が存在すると判定されると、認証状態が解除される。上位概念化していえば、認証状態のときに撮像部２８が撮像した画像に基づいて特定される、人物の状況が、所定の解除条件を満たすときに認証状態が解除される。

　認証状態の解除は、例えば、認証がなされていない状態に戻ることと言い換えることができる。認証状態の解除は、機能の制限の復活を伴うから、認証状態の解除は、機能の制限の復活によって把握されてよい。別の観点では、認証状態の解除と、機能の制限の復活とは、同じ動作によって把握されてよく、また、両者は明瞭に区別できなくてもよい。また、認証状態の解除は、認証を前提とした機能（例えば後述するＶＰＮ接続）の終了および／または認証を前提として取得した情報（例えば後述する権限情報）の無効化（例えばメモリからの消去）を伴ってよい。従って、認証状態の解除は、これらの動作の終了および／または情報の無効化によって把握されてよい。また、例えば、認証が成功したときにその旨を示すフラグが立てられる態様において、当該フラグを倒す動作によって把握されてもよい。この場合、認証を前提とした動作の終了および／または認証を前提として取得した情報の無効化は必ずしも伴わなくてもよい。

　認証状態の解除は、撮像部２８の監視に基づくもの以外の種々の事象をトリガとして行われてよい。そのような事象としては、例えば、以下のものを挙げることができる。ユーザが操作部３３に対して所定の操作を行ったこと。認証を必要とする機能（例えば所定の画像データをダウンロードして印刷する機能）をユーザが利用しようとしたときに画像処理装置３がユーザに認証を要求した場合において、上記機能に係る処理（「タスク」ということがある。）が終了したこと。所定時点（例えば操作部３３に対する最後の操作が行われた時点）から所定の時間が経過したこと。

　画像処理装置３において、認証が必要な機能は、１種のみであってもよいし、２種以上であってもよい。また、１回の認証によって、１種の機能を繰り返し実行したり、２種以上の機能を実行したりすることが可能であってよい。ただし、１回の機能の実行ごとに認証が要求されたり、１種の機能ごとに認証が要求されたり、セキュリティレベルが高い機能を実行するときに再度認証が要求されたりしてもよい。

　使用に際して（別の観点では、認証に際して、および／または認証状態の制御に際して）取得された生体情報（例えばステップＳＴ３で取得される顔特徴データＤ４）は、登録されている生体情報との比較（例えばステップＳＴ４）が行われた直後に画像処理装置３から消去されてよい。ただし、使用に際して取得された生体情報は、その後の適宜な時期（例えば認証状態が解除される時期）まで画像処理装置３に記憶されて適宜に利用されても構わない。また、使用に際して取得された生体情報は、登録されている生体情報の更新に利用されてもよい。

（４．２．認証方法）
　これまでにも触れているように、認証方法は種々のものとされてよく、公知のものであってもよいし、新規なものであってもよい。例えば、既に触れたように、認証（特に認証のための比較動作）の主体は任意である。

　例えば、認証のための比較動作の主体は、画像処理装置３のみであってよい。具体的には、例えば、図３を参照して説明したように、画像処理装置３は、自己に入力された認証用情報（図３の例ではアカウント情報Ｄ１および顔特徴データＤ４）が、自己のデータベース（図３の例では認証用テーブルＤＴ１）に予め登録されているか否か判定する。

　また、例えば、認証のための比較動作の主体は、他の通信機器（例えばサーバ５、端末９または他の画像処理装置３）であってもよい。具体的には、例えば、画像処理装置３に入力された認証用情報が他の通信機器に送信される。他の通信機器は、受信した認証用情報が当該他の通信機器において予め登録されているか否か判定する。他の通信機器は、肯定判定のときは、認証成功を示す認証結果を送信元の画像処理装置３へ送信し、否定判定のときは、認証失敗を示す認証結果を送信元の画像処理装置３へ送信する。

　また、例えば、認証のための比較動作の主体は、画像処理装置３と、他の通信機器（例えばサーバ５、端末９または他の画像処理装置３）との双方であってよい。具体的には、例えば、画像処理装置３は、自己に入力された第１の認証用情報（例えば生体情報）が、予め登録されているか否か判定する。そして、画像処理装置３は、肯定判定のときは第１の認証用情報に予め対応付けられている第２の認証用情報（例えばアカウント情報）を他の通信機器に送信し、否定判定のときは、そのような送信を行わない。他の通信機器は、受信した第２の認証用情報が当該他の通信機器において予め登録されているか否か判定する。他の通信機器は、肯定判定のときは、認証成功を示す認証結果を送信元の画像処理装置３へ送信し、否定判定のときは、認証失敗を示す認証結果を送信元の画像処理装置３へ送信する。

　また、例えば、認証のための比較動作の主体と、比較に利用されるデータベース（例えば認証用テーブルＤＴ１）を基本的に保有している主体とは別個であってもよい。例えば、画像処理装置３は、必要に応じて、他の通信機器（例えばサーバ５、端末９または他の画像処理装置３）からデータベースの一部の情報を取得して、比較を行ってよい。

　上記の認証用情報（換言すればユーザの正当性を示すために利用される情報）の内容も任意である。これまでに、認証用情報の例として、アカウント情報Ｄ１および生体情報（例えば顔特徴データＤ４）を挙げた。他の例としては、静的鍵、共通鍵、秘密鍵（もしくは公開鍵）、電子証明書、およびセキュリティートークンから得られる情報が挙げられる。

　上記の例示から理解されるように、認証用情報は、他の通信機器（例えばサーバ５）へ送信される情報自体であってもよいし、他の通信機器へ送信される情報を生成するときに利用されるものであってもよい。前者としては、アカウント情報、静的鍵、電子証明書、セキュリティートークンから得られる情報および生体情報を挙げることができる。後者としては、共通鍵、ならびに秘密鍵（もしくは公開鍵）を挙げることができる。

　これまでの説明から理解されるように、また、画像処理装置３が記憶している認証用情報と、サーバ５が記憶している認証用情報とは、同じ情報であってもよいし、同じ情報でなくてもよい。画像処理装置３が記憶している認証用情報は、適宜に加工されてサーバ５へ送信されてもよい。そのような態様の一種として、チャレンジレスポンス認証が行われてもよい。

　また、認証用情報の上述した例示から理解されるように、認証用情報の画像処理装置３に対する入力態様も種々のものとされてよい。例えば、認証用情報は、操作部３３に対する操作によって入力されてもよいし、検出部２５（または撮像部２８もしくはスキャナ２１）に検出されてもよいし、コネクタ３７にデバイスを接続することによって入力されてもよいし、画像処理装置３との通信を介して入力されてもよいし、画像処理装置３が有しているカードリーダ（不図示）によって検出されてもよい。

　操作部３３に入力される認証用情報としては、例えば、アカウント情報およびセキュリティートークンから得られる情報を挙げられる。コネクタ３７に接続されたデバイス（例えばＵＳＢメモリ）またはカードリーダから入力される認証用情報としては、例えば、静的鍵、共通鍵、秘密鍵（もしくは公開鍵）、ならびに電子証明書が挙げられる。検出部２５（または撮像部２８もしくはスキャナ２１）に検出される認証用情報としては、例えば、生体情報が挙げられる。画像処理装置３との通信による入力では、例えば、画像処理装置３の近くに位置する端末９からの近距離無線通信によって、上記の種々の認証用情報を入力できる。

　２以上の認証用情報および／または２以上の認証方法が用いられてよい。このときの利用態様は、ＡＮＤ条件もしくはＯＲ条件または両者の組み合わせであってよい。ＡＮＤ条件での利用態様では、例えば、２以上の認証用情報の全てに関して認証が成功したり（図３および図４の例）、および／または２以上の認証方法の全てに関して認証が成功したりしたときに、認証が成功したとされる。ＯＲ条件での利用態様では、例えば、２以上の認証用情報からユーザが選択した少なくとも１つの認証用情報に関して認証が成功したり、および／または２以上の認証方法からユーザが選択した少なくとも１つの認証方法に関して認証が成功したりしたときに、認証が成功したとされる。ＯＲ条件での利用態様においては、認証用情報および／または認証方法の種類によって、制限が解除される機能が異なっていてもよい。

（４．３．認証状態の維持および解除に係る動作の具体例）
（４．３．１．人物の具体的な状況の評価方法）
　図４のステップＳＴ７に関して、単純に他の人物が撮像範囲に存在する場合、認証状態を解除する解除条件が満たされるものとして説明した。このような態様では、例えば、認証状態のユーザが存在しても、他の人物が存在すれば、認証状態が解除される。ただし、他の人物が存在する状況であっても、より具体的な状況に応じて認証状態が維持されてもよい。例えば、以下のとおりである。

　図５Ａ～図６Ｃは、撮像部２８によって撮像される画像の例を示している。各図は、画像内の人物の状況が互いに異なっている。図示の例では、撮像部２８は、ＵＩ部２３の周辺エリアを撮像しており、ＵＩ部２３（別の観点では画像処理装置３の一部）も撮像されている。

　図５Ａの例では、認証状態のユーザＵ１のみが撮像されている。この場合は、認証状態が維持されてよい。図５Ｂの例では、認証状態のユーザＵ１とは異なるユーザＵ２のみが撮像されている。この場合は、例えば、認証状態が解除されてよい。なお、実施形態の説明では、特に断りがない限り、ユーザＵ１は認証状態のユーザを指し、ユーザＵ２は、他のユーザを指す。

　図６Ａ～図６Ｃの例では、ユーザＵ１およびＵ２の双方が撮像されている。ただし、図６Ａの例では、ユーザＵ１は、ユーザＵ２よりもＵＩ部２３に近い。この場合は、例えば、認証状態が維持されてよい。図６Ｂの例では、ユーザＵ１およびＵ２のＵＩ部２３に対する近さは同等である。この場合は、例えば、認証状態が解除されてよい。図６Ｃの例では、ユーザＵ１は、ユーザＵ２よりもＵＩ部２３から遠い。この場合は、例えば、認証状態が解除されてよい。

　図示の例では、ユーザＵ１以外の人物として、ユーザＵ２のみを例示した。ただし、ユーザＵ１以外の人物が複数である場合も、同様に、ユーザＵ１がＵＩ部２３に最も近い場合は認証状態が維持され、それ以外の場合は、認証状態が解除されてよい。

　ＵＩ部２３に最も近い人物は、ＵＩ部２３の操作者と見做すことができる。従って、上記のユーザＵ１が最も近いか否かの判定は、操作者がユーザＵ１か否かの判定として捉えられてよい。また、ＵＩ部２３に最も近い人物の交代は操作者の交代と捉えられてよい。ここでいう交代は、２人が同時に撮像されて交代が行われる態様だけでなく、１人１人が別々の時期に撮像されて交代が行われる態様が含まれてよい。

　上記の説明では、ユーザＵ１とＵＩ部２３との距離と、ユーザＵ１とＵＩ部２３との距離とを比較した。すなわち、人物とＵＩ部２３との距離を複数の人物間で相対的に評価した。ただし、人物とＵＩ部２３との距離は絶対的に評価されてもよい。例えば、ユーザＵ１しか存在しなくても、ユーザＵ１とＵＩ部２３との距離が所定の距離以上である場合は、認証状態が解除されても構わない。逆に、ユーザＵ２しか存在しなくても、ＵＩ部２３との距離が所定の距離以上である場合は、認証状態が維持されても構わない。なお、人物とＵＩ部２３との距離が所定の距離以上の場合は、上記の捉え方とは異なり、その人物が不在と捉えられてもよい。また、画像に人物が写り込んでいても、その人物が画像内で極めて小さく写っている場合など、画像処理装置３から十分に離れていることが明らかな場合も、その人物は不在と捉えられてよい。

　人物とＵＩ部２３との距離は、適宜な方法によって特定されてよい。例えば、画像の奥行き方向の距離については、人物の輪郭の大きさによって距離が評価されてよい。例えば、図６Ａの例では、ユーザＵ１の輪郭は、ユーザＵ２の輪郭よりも画像内で大きいことから、相対的に撮像部２８の近くに位置していると判断できる。そして、図示の例では、撮像部２８は、ＵＩ部２３の付近から画像処理装置３の外側（画像処理装置３から離れる方向）を撮像しているから、撮像部２８に相対的に近い人物は、ＵＩ部２３に相対的に近いと評価することができる。相対的な距離の評価を例に取ったが、絶対的な距離の評価も人物の輪郭の大きさから評価可能である。なお、対象物との距離を測定する他のセンサ（例えば超音波センサ）が併用されて奥行き方向の距離が特定されてもよい。

　また、例えば、画像の左右方向の距離については、画像上のＵＩ部２３と人物との位置関係から相対的または絶対的に両者の距離を評価できることは明らかである。なお、人物の輪郭のうちＵＩ部２３に最も近い位置とＵＩ部２３との距離（最短距離）が特定されてもよいし、人物の輪郭の重心とＵＩ部２３との距離等が特定されてもよい。ＵＩ部２３についても同様に、ＵＩ部２３のうち人物に最も近い位置と人物との距離が特定されてもよいし、ＵＩ部２３のうち予め定められた位置と人物との位置が特定されてもよい。

　画像の奥行き方向の距離の評価と、画像の左右方向の距離の評価とは、一方のみが行われてもよいし、双方が行われてもよい。後者の場合においては、例えば、適宜に奥行き方向の距離と左右方向との距離に重み付けがなされて総合評価がなされてもよいし、奥行き方向および左右方向のそれぞれの絶対的な距離を特定して、三平方の定理等の利用によって２次元平面における距離が評価されてもよい。

　図示の例では、画像の奥行き方向は、ＵＩ部２３に操作する人物がＵＩ部２３に対して向く方向と概ね逆方向（以下、正面方向）となっている。ただし、撮像部２８の撮像方向は、正面方向に限られず、平面視において正面方向に対して傾斜していてもよいし、正面方向に対して直交していてもよい。また、図示の例では、撮像部２８の撮像方向は、概ね水平方向となっている。ただし、撮像方向は、水平方向に対して傾斜していてもよいし、概ね上方であってもよい。いずれにせよ、上述したような距離の評価が可能である。

　図示の例では、ＵＩ部２３（別の観点では画像処理装置３の一部）も撮像されている。ただし、既述のとおり、ＵＩ部２３は、必ずしも撮像されなくてもよい。ＵＩ部２３が撮像されなくても、撮像部２８が撮像した撮像範囲とＵＩ部２３との位置関係が予め画像処理装置３に入力されていれば、画像処理装置３は、１以上の人物とＵＩ部２３との距離（別の観点では１以上の人物とＵＩ部２３との位置関係）を特定可能である。また、ＵＩ部２３が撮像されている場合、画像処理装置３は、画像上のＵＩ部２３と人物との位置関係を用いて両者の実際の位置関係を特定してもよいし、ＵＩ部２３が撮像されていない場合と同様に、予め記憶している撮像範囲とＵＩ部２３との位置関係と、撮像範囲内の人物の位置とに基づいて、ＵＩ部２３と人物との実際の位置関係を特定してもよい。

　人物とＵＩ部２３との距離は、人物の全身を基準として評価されてもよいし、人物の特定の部位を基準として評価されてもよい。例えば、後者の場合、顔がＵＩ部２３に近い人物に応じて認証状態が制御されてよい。特定の部位としては、顔の他、例えば、腕または手が挙げられる。人物の全身を基準とする場合、必ずしも人物の全身が撮像されている必要はない。例えば、人物の上半身のみが撮像されている場合、上半身の位置から全身の位置が推定されてもよいし、上半身の位置がそのまま全身の水平方向の位置と見做されてもよい。

　なお、人物の状況（別の観点では位置および／または距離）に関する説明において、「ユーザ」および「人物」の語は、矛盾等が生じない限り、「ユーザの顔」および「人物の顔」等の特定の部位を指す用語に置換されてよい。さらに、「ユーザ」および「人物」の語は、矛盾等が生じない限り、「顔特徴データ」の語に置換されてよい。例えば、人物が存在しないというような文章は、「顔特徴データ」が存在しない（検出されない）というような文章に読み替えられてよい。

　上記の説明では、人物のＵＩ部２３に対する距離を評価した。ただし、ＵＩ部２３ではなく、画像処理装置３全体または画像処理装置３のＵＩ部２３以外の部位に対する距離が評価されてもよい。ＵＩ部２３以外の部位としては、例えば、撮像部２８または検出部２５が挙げられる。人物の状況（別の観点では位置および／または距離）に関する説明において、「ＵＩ部２３」の語は、矛盾等が生じない限り、適宜に「画像処理装置３」等に置換されてよい。

　また、画像処理装置３の全体または一部（例えばＵＩ部２３）を基準として、人物の位置を評価するのではなく、ＵＩ部２３を操作する操作者が立つ位置を基準として、人物の位置を評価してよい。この場合、例えば、人物の顔の位置に基づいて認証状態を制御する態様において、顔の上下方向の位置は無視されてよい。操作者が立つ位置は、例えば、ＵＩ部２３の中心に対して正面方向の位置であってよい。この位置は、画像処理装置３の製造者または管理者等によって予め規定されていてよい。操作者が立つ位置は、より上位概念で言えば、所定の立ち位置である。人物の状況（別の観点では位置および／または距離）に関する説明において、「ＵＩ部２３」の語は、矛盾等が生じない限り、適宜に「操作者が立つ位置」等に置換されてよい。

　画像内の人物がユーザＵ１であるか否かは適宜に判断されてよい。例えば、画像処理装置３は、ＵＩ部２３に対する画像内の１以上の人物との位置関係を特定する度に、顔特徴データを抽出して、画像内の１以上の人物がユーザＵ１であるか否か特定してよい。このとき画像内の人物の顔特徴データと比較される認証状態のユーザＵ１の顔特徴データは、画像処理装置３が認証前から予め記憶しているもの（例えば認証用テーブルＤＴ１のもの）であってもよいし、認証が成功した時期と概ね同時期に撮像部２８が撮像した画像から検出されたもの（２以上の顔特徴データが検出された場合には最もＵＩ部２３（既述のとおり他の用語に置換されてよい）に近いもの）であってもよい。

　また、例えば、画像処理装置３は、認証が成功した時期と概ね同時期に撮像された人物（２以上の顔特徴データが検出された場合には最もＵＩ部２３（既述のとおり他の用語に置換されてよい）に近い人物）を認証状態のユーザＵ１と見做して、その人物（および他の人物）の輪郭を追跡することによって、人物がユーザＵ１か否かを把握してもよい。この場合、画像処理装置３は、ユーザＵ１の輪郭が撮像範囲外に消えたときは、その後のユーザＵ１の追跡を諦めて認証状態を解除してもよいし、新たに撮像範囲内の入った人物の特徴（例えば顔特徴データ）がユーザＵ１のものであるか否かを判定して、追跡を再開してもよい（認証状態を維持可能としてもよい。）。また、例えば、基本的には輪郭を追跡して人物とＵＩ部２３との位置関係を特定しつつ、適宜な時期に顔特徴データによる照合を行ってもよい。

（４．３．２．具体的な状況に応じた認証状態の制御の手順）
　図７は、上記のような人物の具体的な状況に応じて認証状態を制御するために画像処理装置３（処理部２９）が実行する手順の一例を示すフローチャートである。図７の処理は、最上部に示されているステップＳＴ６が、図４のステップＳＴ６と共通していることから理解されるように、例えば、認証が成功したときに開始される。

　この処理では、図４と同様に、処理がステップＳＴ６に戻る場合においては、認証状態が維持される。一方、処理がステップＳＴ６に戻らずに、最下部のステップＳＴ８（図４のステップＳＴ８と同じ）に到達すると、認証状態が解除される。具体的には、以下のとおりである。

　ステップＳＴ４１では、画像処理装置３は、ステップＳＴ６で撮像された画像に基づいて、認証状態のユーザＵ１が不在か否か判定する。そして、画像処理装置３は、否定判定（図５Ａ、図６Ａ～図６Ｃ参照）のときはステップＳＴ４２に進み、肯定判定（図５Ｂ参照）のときは、ステップＳＴ４５に進む。なお、ここでの肯定判定は、図５Ｂとは異なり、誰も検出されない場合も含む。

　ステップＳＴ４２では、画像処理装置３は、ステップＳＴ６で撮像された画像に基づいて、ユーザＵ１とは他の人物が存在するか否か判定する。そして、画像処理装置３は、肯定判定（図６Ａ～図６Ｃを参照）のときはステップＳＴ４３に進み、否定判定（図５Ａを参照）のときは、ステップＳＴ４８に進む。

　ステップＳＴ４３では、ＵＩ部２３に対する操作者が交代したか判定する。交代したか否かの判定は、既述のように、別の観点では、ＵＩ部２３（既述のように他の用語に置換されてよい。）に近いか否かの判定である。そして、画像処理装置３は、肯定判定（図６Ｂおよび図６Ｃを参照）のときはステップＳＴ４７に進み、否定判定（図６Ａを参照）のときは、ステップＳＴ４８に進む。

　ステップＳＴ４７では、画像処理装置３は、認証状態を解除するための解除フラグを立てる。この解除フラグが後のステップで参照されることによって、認証状態が解除される。なお、図示の例とは異なり、ステップＳＴ４７で認証状態が解除されても構わない。

　ステップＳＴ４１でユーザＵ１が不在と判定され、処理がステップＳＴ４５に進むと、ステップＳＴ４７以降において認証状態が解除され得る。ただし、ここでは、ユーザＵ１が不在とされたときに即座に認証状態を解除するのではなく、所定時間に亘ってユーザＵ１が不在であるときに認証状態が解除される。これにより、例えば、ユーザＵ１が、何らかの都合によって短時間だけ画像処理装置３を離れたときにまで認証状態が解除されてしまう不都合が解消される。

　具体的には、ステップＳＴ４５では、画像処理装置３は、所定のタイマが計時している時間が所定時間に到達したか否かを判定する。このタイマは、ステップＳＴ５（図４）以前において初期状態とされているとともに、ステップＳＴ４１で否定判定がなされたときも初期状態にリセットされる。また、タイマは、初期状態のときにステップＳＴ４１で肯定判定がなされると計時が開始され、初期状態でないときにステップＳＴ４１で肯定判定がなされると計時を継続する。そして、画像処理装置３は、ステップＳＴ４５において否定判定のときはステップＳＴ６に戻り（ここではステップＳＴ４６は無視する。）、肯定判定のときはステップＳＴ４７に進む。所定時間は、例えば、画像処理装置３の製造者、画像処理装置３の管理者および個々のユーザのいずれによって設定されてもよい。

　ステップＳＴ４６は、画像処理装置３が上記のように所定時間の経過を待っているときに、他のユーザＵ２が検出されれば、画像処理装置３は、所定時間の経過を待たずに、認証状態の解除に進む（ステップＳＴ４７に進む）という動作のためのものである。具体的には、画像処理装置３は、ステップＳＴ４５で否定判定のとき（所定時間が経過していないとき）に、ステップＳＴ４６に進む。ステップＳＴ４６では、画像処理装置３は、ステップＳＴ６で撮像した画像に他のユーザＵ１が存在するか否か判定する。そして、画像処理装置３は、肯定判定のときは（図５Ｂを参照）、ステップＳＴ４７に進み、否定判定のときは、ステップＳＴ６に戻る。

　ステップＳＴ４８では、画像処理装置３は、印刷等のタスク（画像処理部３１等に係る機能を利用する処理）の実行が要求されたか判定する。そして、画像処理装置３は、肯定判定のときはステップＳＴ４９に進み、否定判定のときはステップＳＴ４９をスキップしてステップＳＴ５０に進む。ステップＳＴ４９では、画像処理装置３は、要求されたタスクを実行する。

　ステップＳＴ５０では、画像処理装置３は、解除フラグが立てられているか否か判定する。画像処理装置３は、否定判定のときはステップＳＴ６に戻り、肯定判定のときはステップＳＴ５１に進む。ステップＳＴ５１では、画像処理装置３は、タスクが実行中であるか否か判定する。画像処理装置３は、肯定判定のときは待機し（ステップＳＴ５１を繰り返し）、否定判定のときはステップＳＴ８に進む。

　上記から理解されるように、タスクの実行中は、解除フラグが立てられても、即座に認証状態を解除することは行われず、タスクの実行が継続される。そして、タスクが完了した後に、認証状態が解除される。これにより、タスクが中断される不都合が解消される。

　また、ステップＳＴ６等は繰り返される。このときの周期は任意である。例えば、当該周期は、１秒未満であってもよいし、１秒以上であってもよい。後述する図８の例におけるステップＳＴ８３等についても同様である。

　既述のとおり、人物が存在するか否かの判定は、顔特徴データを検出できたか否かの判定に置換されてよい。従って、例えば、ステップＳＴ４１の判定は、ユーザＵ１の顔特徴データを検出できたか否かの判定とされてよいし、ならびに／またはステップＳＴ４２および／もしくはＳＴ４６のユーザＵ１とは別の人物が存在するか否かの判定は、ユーザＵ１の顔特徴データとは異なる顔特徴データを検出したか否かの判定とされてよい。

　ステップＳＴ４１において、ユーザＵ１の有無の具体的な判定方法は任意である。例えば、上記のとおり、ユーザＵ１の顔特徴データが存在するか否かが判定されてよい。また、例えば、ユーザＵ１として追跡していた人物の輪郭が存在するか否かが判定されてよい。また、例えば、輪郭の追跡と顔特徴データの検出とを併用してもよい。具体的には、基本的には輪郭の追跡を行い、ユーザＵ１として追跡していた人物の輪郭が存在しなくなり、ステップＳＴ４６を経由したときは、ユーザＵ１の顔特徴データが存在するか否か判定し、再度、ユーザＵ１の顔特徴データが検出されたときは輪郭の追跡に戻してよい。

　ステップＳＴ４２において、ユーザＵ１とは別の人物の有無の具体的な判定方法は任意である。例えば、既述のとおり、ユーザＵ１の顔特徴データとは別の顔特徴データが存在するか否かが判定されてよい。また、例えば、ユーザＵ１の輪郭として追跡していた人物とは別の人物の輪郭が存在するか否かが判定されてよい。また、例えば、複数の人物（その輪郭および／または顔特徴データ）が検出されたか否かが判定されてよい。複数の人物が存在するということは、ユーザＵ１とは他の人物が存在するということだからである。ステップＳＴ４２を例に取ったが、上記の説明は、ステップＳＴ４６に援用されてよい。

　図７では、理解を容易にするために、ステップＳＴ４１、ＳＴ４２およびＳＴ４３を別個のステップとしているが、これらの２つ以上は、一体不可分の処理であってもよい。同様に、ステップＳＴ４１およびＳＴ４６は、一体不可分の処理であってもよい。ステップＳＴ４２およびＳＴ４６は、１つの処理であってもよい。

　図示の処理は、適宜に変更されてよい。例えば、ステップＳＴ４５およびＳＴ４６を無くし、ユーザＵ１が不在となったときに即座に解除フラグを立てても構わない。

（４．４．認証状態の維持および解除に係る動作の他の具体例）
　図５Ａ～図７を参照して説明した具体例では、操作者が認証状態のユーザＵ１とは別のユーザに代わったときに、認証状態を解除した。この認証状態の解除は、一時的なものとされてよい。そして、再度、操作者がユーザＵ１になったときに、認証状態が復活されてもよい。具体的には、以下のとおりである。

　図８および図９は、画像処理装置３（処理部２９）が実行する処理の手順の一例を示すフローチャートである。図８の処理は、ユーザの認証が完了したとき（図４のステップＳＴ５の後）に開始される。図９の処理は、図８および図９に共通の「Ｂ」が付されていることによって示されているように、図８のステップＳＴ８７で肯定判定がなされた場合に実行される。

　ステップＳＴ８１およびＳＴ８２は、顔認証を経ずに認証状態が開始される態様を想定したものである。従って、画像処理装置３は、図８の処理が開始される前において、ユーザＵ１の顔特徴データＤ４を有していない。ただし、ステップＳＴ８１およびＳＴ８２は、顔認証を経ずに認証状態が開始される態様にも適用可能である。

　ステップＳＴ８１では、画像処理装置３は、撮像部２８によって撮像範囲を撮像する。ステップＳＴ８１は、画像処理装置３に認証用情報を入力して認証が成功した直後（別の観点では認証状態が開始されたときと概ね同時期）に行われるので、基本的に、認証状態のユーザＵ１が撮像される。ステップＳＴ８２では、画像処理装置３は、ステップＳＴ８１で撮像した画像から顔特徴データＤ４を抽出し、メモリ（例えばＲＡＭ４３）に記憶する。

　ステップＳＴ８３では、画像処理装置３は、撮像部２８によって撮像範囲を撮像する。ステップＳＴ８４では、画像処理装置３は、ステップＳＴ８３で撮像した画像から得られる顔特徴データＤ４が、ステップＳＴ８２で保存したユーザＵ１の顔特徴データＤ４と一致するか否か判定する。そして、画像処理装置３は、否定判定（図５Ｂを参照）のときはステップＳＴ８５に進み、肯定判定（図５Ａ、図６Ａ～図６Ｃを参照）のときはステップＳＴ８７に進む。

　なお、図３に示した態様と同様に、画像処理装置３が予め（認証を行うよりも前に）顔特徴データＤ４を有している態様においては、ステップＳＴ８１およびＳＴ８２は省略されてよい。そして、ステップＳＴ８４では、ステップＳＴ８３で撮像された顔特徴データＤ４と、上記の予め記憶されている顔特徴データＤ４とが比較されてよい。後述するステップＳＴ９１およびＳＴ９２についても同様である。

　ステップＳＴ８５は、図７のステップＳＴ４５と同様の役割のステップである。すなわち、認証状態とされたユーザの顔特徴データＤ４が検出できなくなったときに即座に認証を解除するのではなく、所定時間に亘ってユーザの顔特徴データＤ４が検出されなかったときに、認証状態が解除される（ステップＳＴ８６）。

　ステップＳＴ８５については、ステップＳＴ４５の説明が援用されてよいが、念のために、説明する。ステップＳＴ８５では、画像処理装置３は、所定のタイマが計時している時間が所定時間に到達したか否かを判定する。このタイマは、ステップＳＴ８２以前において初期状態とされているとともに、ステップＳＴ８４で肯定判定がなされると初期状態にリセットされる。また、タイマは、初期状態のときにステップＳＴ８４で否定判定がなされると計時が開始され、初期状態でないときにステップＳＴ８４で否定判定がなされると計時を継続する。そして、画像処理装置３は、ステップＳＴ８５において否定判定のときはステップＳＴ８３に戻り、肯定判定のときはステップＳＴ８６に進む。所定時間は、例えば、画像処理装置３の製造者、画像処理装置３の管理者および個々のユーザのいずれによって設定されてもよい。

　ステップＳＴ８７では、画像処理装置３は、認証状態とされているユーザＵ１とは別のユーザによって、所定の処理（例えば画像処理部３１および通信部２７の少なくとも一方に係る処理）が指示されたか否か判定する。換言すれば、割り込み処理（割り込み操作）がなされたか否か判定する。ユーザＵ１による指示（操作）であるか否かは、図５Ａ～図７を参照して説明したように、人物の状況（位置関係）から特定されてよい。

　画像処理装置３は、ステップＳＴ８７の判定結果が否定判定のとき（割り込みがなされていないと判定されたとき）は、ステップＳＴ８３に戻る。これにより、認証状態が維持される。また、画像処理装置３は、肯定判定のときは、ステップＳＴ８８に進む。

　ステップＳＴ８８では、画像処理装置３は、認証状態を解除する。ただし、ここでの解除は、完全な解除ではなく、後に認証を経ずに認証状態に復帰できるような一時的なものである。例えば、認証状態を示すフラグとして、認証状態と、認証状態の解除と、認証状態の一時的な解除との３種を用意し、認証状態の一時的な解除に対応するフラグを立ててよい。そして、画像処理装置３は、認証状態の解除のフラグが立てられているときと同様に機能を制限してよい。ただし、認証状態の復帰に必要な情報は適宜に保存されていてよい。例えば、ステップＳＴ８２で取得された顔特徴データＤ４は、保存されたままとされてよい。また、後述するようにユーザ毎に制限される機能が異なる場合は、認証状態とされていたユーザを特定する情報（アカウント情報）および／または認証状態とされていたユーザに対して制限が解除されていた機能を特定する情報が保存されたままとされてよい。

　ステップＳＴ８９では、画像処理装置３は、ステップＳＴ８７における肯定判定の要因となった割り込み処理を実行する。ステップＳＴ９０では、画像処理装置３は、割り込み処理が終了したか否か判定する。そして、画像処理装置３は、否定判定のときは割り込み処理を継続し、肯定判定のときはステップＳＴ９１に進む。

　ステップＳＴ９１およびＳＴ９２では、ステップＳＴ８３およびＳＴ８４と同様の処理が行われる。そして、ステップＳＴ９２で肯定判定がなされたときは、画像処理装置３は、認証状態を復帰させる（ステップＳＴ９３）。例えば、画像処理装置３は、上述したフラグを認証状態とし、ステップＳＴ８８の前と同様に所定の機能の制限を解除してよい。特に図示しないが、その後、画像処理装置３は、再度、ステップＳＴ８３（またはＳＴ８７）に戻る。また、ステップＳＴ９２で否定判定がなされたときは、画像処理装置３は、認証状態を完全に解除する（ステップＳＴ９４）。なお、ステップＳＴ９４は、図８のステップＳＴ８６と同一の処理であってよい（ステップＳＴ９２の否定判定の後、ステップＳＴ８６に進むと解釈されてよい。）。特に図示しないが、その後、画像処理装置３は、認証前のステップ（図４のステップＳＴ１を参照）に戻る。

　ステップＳＴ９３を経てステップＳＴ８３に戻り、ステップＳＴ８４で肯定判定がなされたとき、他のユーザが既に操作者とは見做されない状態になっているのであれば、ステップＳＴ８７で否定判定がなされ、認証状態が維持される。また、他のユーザがまだ操作者と見做される状態であるとき（例えば他のユーザがさらに次の割り込み処理を行っているとき）は、再度、ステップＳＴ８７で肯定判定がなされて認証状態が解除される。

　上記の処理は適宜に変更されてよい。

　例えば、顔特徴データＤ４は、利用されなくてもよい。例えば、図７の説明で述べたように、人物の輪郭を追跡したり、顔特徴データおよび輪郭の追跡を併用したりして、ユーザＵ１の有無が判定されたり、他のユーザの有無が判定されたりしてよい。

　また、ステップＳＴ８１およびＳＴ８２では、撮像された人物（より詳細には図示の例では顔特徴データＤ４）が、無条件に、認証状態とされたユーザＵ１として見做された。ただし、画像処理装置３に対して所定の位置関係にある人物が特定され（操作者の特定に係る既述の説明が援用されてよい。）、この人物がユーザＵ１として特定されてよい。そして、ユーザＵ１の輪郭が追跡されたり、および／またはユーザＵ１の顔特徴データＤ４がステップＳＴ８２で保存されたりしてよい。

　図７でもステップＳＴ４５について述べたように、ステップＳＴ８５が省略されて、所定時間の経過を待たずに、認証が解除されても構わない。また、図７のステップＳＴ４６と同様のステップを挿入し、他の人物が検出されたときは、所定時間を待たずに認証状態を解除してもよい。

（４．５．認証状態の維持および解除に係る動作のさらに他の具体例）
　これまでの説明では、認証が行われると、一律に撮像部２８による監視に基づく認証状態の制御が行われた。ただし、当該制御は、認証が行われ、かつ特定の条件が満たされたときに行われてもよい。例えば、相対的に高いセキュリティレベルが要求されるときのみにおいて、撮像部２８による監視に基づく認証状態の制御が行われてもよい。これにより、画像処理装置３の負担を軽減しつつ、セキュリティレベルを効果的に高くすることができる。

　図１０は、上記のような態様を実現するために、画像処理装置３が実行する処理の手順の一例を示すフローチャートである。

　図１０の処理（ステップＳＴ６１）は、図４と共通のステップＳＴ５から理解されるように、例えば、認証が完了したときに開始される。ただし、認証の開始後かつ認証の完了前に開始されても構わない。

　ステップＳＴ６１では、画像処理装置３は、一定の条件が満たされるか否か判定する。図１０では、セキュリティレベルが高いか否か（所定のレベル以上か否か）が例示されている。そして、画像処理装置３は、肯定判定のときはステップＳＴ６２に進み、否定判定のときはステップＳＴ６３に進む。

　ステップＳＴ６２では、撮像部２８による監視が行われる。例えば、図４のステップＳＴ６～ＳＴ８が行われる。一方、ステップＳＴ６２では、撮像部２８による監視は行われない。この場合は、他の事象をトリガとして、認証状態が解除されてよい。他の事象の例については既に述べた。

　セキュリティレベルの高低は、例えば、以下のように説明することができる。セキュリティレベルが低いときは、第１の数の機能の制限が解除される。セキュリティレベルが高いときは、第１の数の機能を含み、かつ第１の数より多い第２の数の機能の制限が解除される。また、別の観点では、セキュリティレベルが低いときは、第１の機能および第２の機能のうち第２の機能のみの制限が解除され、セキュリティレベルが高いときは、第１の機能および第２の機能の双方の制限が解除される。第１の機能および第２の機能の具体例については、５．１節で述べる。

　また、撮像部２８による監視の有無は、認証情報の相違、認証方法の相違および／またはユーザの相違に応じて決定されてもよい。これらの相違は、セキュリティレベルと関連していてもよいし、関連していなくてもよい。例えば、上記事項の相違によって制限が解除される機能が異なっており、これにより、上記事項がセキュリティレベルに関連していてもよい。なお、このことから理解されるように、画像処理装置３は、セキュリティレベルの高低を適宜な情報に基づいて判断してよい。もちろん、制限が解除される機能自体の情報に基づいてセキュリティレベルが判断されてもよい。

（５．機能制限の解除に係る動作）
　認証結果に基づく機能の制限の解除は、種々の態様で行われてよい。以下に例を示す。

（５．１．機能制限の解除に係る動作全般）
（５．１．１．制限の解除が制御される機能の種類）
　認証結果に基づいて制限の解除が制御される機能は、例えば、画像処理部３１（プリンタ１９および／またはスキャナ２１）および通信部２７の少なくとも一方に関連する機能であってよい。制限対象とされる機能としては、例えば、以下のものを挙げることができる。以下に挙げる複数の機能の１以上が適宜に選択されて制限対象とされてよい。なお、以下に挙げる複数の機能は、互いに重複していたり、一体不可分であったりすることがある。

　まず、制限対象となる機能としては、プリンタ１９による印刷が挙げられる。印刷は、細分化して捉えられた機能毎に制限されてよい。例えば、印刷は、スキャナ２１によるスキャンに基づく印刷、通信部２７によって受信したデータに基づく印刷、画像処理装置３（補助記憶装置４５）またはコネクタ３７に接続されたデバイス（例えば不揮発性メモリ）に記憶されているデータに基づく印刷に細分化されてよい。

　通信部２７によって受信したデータに基づく印刷の制限は、送信元の通信機器（例えば他の画像処理装置３、サーバ５もしくは７または端末９）に応じてさらに細分化されてもよい。なお、通信先の制限によって、このような印刷の制限が実質的に実現されてもよい。また、通信部２７によって受信したデータに基づく印刷の制限は、通信の態様（通常のデータ通信、メール受信もしくはＦＡＸ受信）に応じてさらに細分化されてもよい。

　画像処理装置３に保存されているデータに基づく印刷の制限は、データが保存されているボックス（別の表現ではフォルダまたはディレクトリ）の種類に応じてさらに細分化されてよい。なお、機密性が高いファイル（文書ファイルおよび／または画像ファイル）が保存されることが想定されているボックスへのアクセスの制限によって、このような印刷の制限が実質的に実現されてもよい。

　コネクタ３７に接続されたメモリに記憶されているデータに基づく印刷の制限は、接続されるデバイスの種類または個体に応じてさらに細分化されてよい。なお、コネクタ３７に接続可能なデイバスの制限（いわゆるデバイスコントロール）によって、このような印刷の制限が実質的に実現されてもよい。

　また、制限対象となる機能としては、スキャナ２１によるスキャンが挙げられる。印刷と同様に、スキャンは、細分化して捉えられた機能毎に制限されてよい。例えば、スキャンは、コピー（印刷）のためのものと、データ（例えば画像データ）の送信のためのものと、画像処理装置３（補助記憶装置４５）またはコネクタ３７に接続されたデバイスへのデータの保存のためのものとに細分化されてよい。

　データの送信のためのスキャンは、送信先の通信機器（例えば他の画像処理装置３、サーバ５もしくは７または端末９）に応じてさらに細分化されてもよい。なお、送信先の制限によって、このようなスキャンの制限が実質的に実現されてもよい。また、データの送信のためのスキャンは、通信の態様（通常のデータ通信、メール送信もしくはＦＡＸ送信）に応じてさらに細分化されてもよい。

　画像処理装置３への保存のためのスキャンは、保存先のボックスの種類に応じてさらに細分化されてよい。なお、機密性が高いファイルが保存されることが想定されているボックスへのアクセスの制限によって、このようなスキャンの制限が実質的に実現されてもよい。

　コネクタ３７に接続されたデバイスへの保存のためのスキャンは、接続されるデバイスの種類または個体に応じてさらに細分化されてよい。なお、コネクタ３７に接続可能なデイバスの制限によって、このようなスキャンの制限が実質的に実現されてもよい。

　また、制限対象となる機能は、印刷またはスキャンのような主要な機能でなくてもよい。例えば、制限対象となる機能は、印刷される用紙の余白の大きさを設定するような、主要な機能に関する設定を行う機能であってもよい。ただし、このような機能は、余白を任意に設定して印刷を行う機能として捉えられてよく、ひいては、主要な機能の一種として捉えられて構わない。

　また、制限対象となる機能は、画像処理装置３の管理者が利用する機能であってもよい。例えば、画像処理装置３は、一律に（ユーザの認証結果によらずに）、上述した主要な機能の一部を禁止したり、画像処理装置３に対する所定のデバイスの接続を禁止したりする設定を受け付け可能であってよい。そして、そのような設定の制限が、特定のユーザ（画像処理装置３の管理者）に対して解除されてよい。

（５．１．２．機能の制限の態様）
　上記のとおり、画像処理装置３は、種々の機能を有している。制限対象とされる機能は、認証のための機能を除く種々の機能のうち、全てであってもよいし、一部であってもよい。別の観点では、生体認証を経た認証に失敗したユーザは、実質的に画像処理装置３を利用できないようにされてもよいし、一部の機能を利用可能であってもよい。

　４．５節で述べたように、撮像部２８による監視は、セキュリティレベルが高いときにのみ行われてもよい。別の観点では、種々の機能のうち特定の機能の制限が解除されるときのみ、撮像部２８による監視が行われてもよい。このときの上記特定の機能の種類は任意である。

　例えば、撮像部２８による監視が行われる認証状態では制限が解除され、監視が行われない認証状態では制限が解除されない機能は、例えば、以下のいずれか１つ以上であってよい。画像処理装置３が有しているボックスのうち、機密性が高いファイルが保存されるものとして設定されているボックスへのアクセス。スキャナ２１によって読み取った画像のデータの外部（例えばサーバ７、端末９または他の画像処理装置３。以下、同様。）への送信。画像処理装置３のコネクタ３７に接続されたデバイス（例えば不揮発性メモリ）に保存されているデータの外部への送信。

　逆に、監視が行われない認証状態でも制限が解除されてよい機能は、例えば、以下の１つ以上であってよい。コピー（スキャナ２１で読み取った原稿の画像をプリンタ１９によって印刷する機能）。外部からのデータに基づくプリンタ１９による印刷。機密性が高いファイルが保存されるものとして設定されていないボックスへのアクセス。

　認証に成功した場合の機能の制限解除の態様は、全てのユーザに共通であってもよいし、ユーザ毎に個別に設定可能であってもよい。前者を別の観点でいうと、認証がなされずに機能の制限解除がなされないユーザと、認証がなされて機能の制限解除がなされるユーザとの２種のみが存在してよい。そして、機能の制限解除がなされるユーザ同士において、利用できる機能に差異がなくてよい。

　認証に成功した場合の機能の制限解除が、ユーザ毎に個別に設定可能である場合の例を挙げる。認証がなされないユーザが第１の機能および第２の機能の双方を利用できない場合を想定する。このとき、認証がなされたユーザとして、第１の機能のみを利用できるユーザ、第２の機能のみを利用できるユーザ、第１の機能および第２の機能の双方を利用できるユーザ、および認証がなされても、認証がなされないユーザと同様に機能の制限がなされるユーザのうちの２種以上が存在してよい。

　上述した制限解除の動作は、より具体的な種々の態様で実現されてよい。以下に例を示す。

（５．２．機能の制限解除に関する具体例）
　図１１は、上記の動作を実現する通信システム１の信号処理系の構成の例を示すブロック図である。

　図１１の例では、画像処理装置３が認証を行うのではなく、サーバ５が認証を行う態様が例示されている。ただし、以下の説明は、画像処理装置３が認証を行う態様等にも適用可能である。

　図１１の例では、画像処理装置３の認証要求部２９ｄは、認証用情報Ｄ２（例えばアカウント情報Ｄ１）をサーバ５へ送信する。一方、サーバ５は、認証用情報Ｄ２を記憶している認証用テーブルＤＴ２を有している。そして、サーバ５の認証部５ａは、受信した認証用情報Ｄ２が認証用テーブルＤＴ２に登録されているか否かを判定し、登録されているときは、認証成功を示す認証結果Ｄ３を送信元の画像処理装置３へ送信し、登録されていないときは、認証失敗を示す認証結果Ｄ３を送信元の画像処理装置３へ送信する。

　サーバ５は、例えば、認証用情報Ｄ２（アカウント情報Ｄ１）に含まれるＩＤを特定することができ、また、認証用テーブルＤＴ２において認証用情報Ｄ２（アカウント情報Ｄ１でないもの）と紐付けられているＩＤを特定できる。また、サーバ５は、ＩＤと権限情報Ｄ５とを紐付けている権限テーブルＤＴ３を有している。そして、サーバ５は、権限テーブルＤＴ３を参照して、特定したＩＤに紐付けられている権限情報Ｄ５を抽出する。そして、サーバ５は、抽出した権限情報Ｄ５を画像処理装置３へ送信する。画像処理装置３の処理部２９は、その受信した権限情報Ｄ５に基づいて、機能の制限の解除を行う。

　なお、権限情報Ｄ５の送信は、受信した認証用情報Ｄ２が認証用テーブルＤＴ２に登録されていること（認証が成功したこと）を前提とするから、権限情報Ｄ５の送信は、認証結果Ｄ３の送信として扱われたり、捉えられたりしてよい。権限情報Ｄ５は、例えば、上記の動作が実行される前（図４の処理の前）に、サーバ５の管理者によって、ＩＤと紐付けて権限テーブルＤＴ３に記憶されてよい。

　また、認証用情報および／または認証方法の種類によって権限情報Ｄ５の内容が異なっていてよい。これにより、既述のように、認証用情報および／または認証方法の相違によってセキュリティレベルが異なっていてもよい。また、画像処理装置３は、認証用情報および／または認証方法の種類を特定可能であるから、上記とは異なり、認証用情報および／または認証方法の種類によらずに、同じ権限情報Ｄ５が送信され、画像処理装置３において、その権限情報Ｄ５で制限が解除されている機能のうち、特定のものに対して、制限を解除しないようにしてもよい。

　上記の構成および動作は、一例に過ぎず、また、説明を容易にするための概念的なものである。権限の制限の解除を行うための構成および動作は、適宜に変更および／または具体化されてよい。

　例えば、認証用テーブルＤＴ２と権限テーブルＤＴ３とは統合されていてもよい。ＩＤと紐付けられる情報を有する他のテーブル（例えば後述するユーザ情報テーブルＤＴ５、および後に図１３を参照して説明するメニューテーブルＤＴ７）についても同様である。上記とは逆に、図示のテーブルは適宜に分割されてもよい。例えば、権限テーブルＤＴ３においては、ＩＤと機能毎の制限の情報とが直接的に紐付けられている。図示の例とは異なり、ＩＤと所定数の権限レベルのいずれかとを紐付けたテーブルと、所定数の権限レベルのそれぞれと、権限毎の制限の情報とが紐付けられたテーブルとがサーバ５に記憶されていてもよい。

　また、例えば、上記のサーバ５の動作の一部は、画像処理装置３（処理部２９）が実行してもよい。

　より詳細には、例えば、画像処理装置３が権限テーブルＤＴ３を有してよい。そして、処理部２９は、サーバ５から認証成功が通知されたとき、自己が有している権限テーブルＤＴ３を参照して、入力されたＩＤ（または入力された生体情報等の認証用情報と対応付けられて画像処理装置３に記憶されているＩＤ）に対して紐付けられている権限情報Ｄ５を抽出し、機能の制限の解除を行ってよい。

　また、例えば、権限テーブルＤＴ３が、ＩＤと権限レベルとを紐付けたテーブルと、権限レベルと機能毎の制限の情報とを紐付けたテーブルとに分割されている場合において、画像処理装置３は、分割された２つのテーブルの双方を有してよいし、あるいは、後者のテーブルのみを有してよい。画像処理装置３が権限レベルと機能毎の制限の情報とを紐付けたテーブルのみを有する場合は、サーバ５は、図示の例とは異なり、権限レベルの情報を権限情報Ｄ５として画像処理装置３へ送信する。そして、画像処理装置３は、自己が有しているテーブルを参照して、受信した権限レベルに紐付けられた機能毎の制限の有無の情報を抽出し、機能の制限の解除を行ってよい。

　権限情報を受信または抽出した画像処理装置３（処理部２９）は、表示部３５に権限の情報を示してもよい。図１１では、表示部３５の画面３５ａに権限情報が示されている。このとき、画像処理装置３は、権限情報とともにユーザ情報を画面３５ａに示してもよい。ユーザ情報は、例えば、ユーザ名を含む。また、ユーザ情報は、ユーザの所属など、他の情報を含んでもよい。

　具体的には、図示の例では、サーバ５は、ＩＤとユーザ名とを紐付けたユーザ情報テーブルＤＴ５を有している。ユーザ名は、例えば、図１１に示す動作が実行される前（図４の処理の前）に、ユーザにより、および／またはサーバ５の管理者によって、ＩＤと紐付けてユーザ情報テーブルＤＴ５に記憶（登録）されてよい。そして、サーバ５は、上述した権限テーブルＤＴ３からの権限情報の抽出および送信と同様に、認証部５ａによって特定されたＩＤに対応するユーザ名をユーザ情報テーブルＤＴ５から抽出し、画像処理装置３へ送信する。画像処理装置３は、受信したユーザ名を画面３５ａに表示する。

　なお、上記とは異なり、ユーザ情報テーブルＤＴ５は、画像処理装置３が保持していてもよい。そして、画像処理装置３は、サーバ５から認証成功が通知されたとき、自己が有しているユーザ情報テーブルＤＴ５を参照して、入力されたＩＤ（入力された生体情報等の認証用情報と対応付けられて画像処理装置３に記憶されているＩＤ）に対して紐付けられているユーザ情報を抽出し、表示部３５に表示してよい。また、既に触れたように、ユーザ情報テーブルＤＴ５は、認証用テーブルＤＴ２および／または権限テーブルＤＴ３と統合されていてもよい。図示の例では、ＩＤとは別個にユーザ名が定義されているが、ＩＤがユーザ名として利用されて、画面３５ａに表示されても構わない。

　図１２は、機能の制限およびその解除のために画像処理装置３（処理部２９）が実行する処理の手順の一例を示す図である。

　図１２の処理は、適宜に開始されてよい。ここでは、まず、画像処理装置３の電源スイッチが操作されることなどによって画像処理装置３が起動モードになったときに開始される態様を例に取って説明する。この場合、図４を参照して説明した認証は、図１２の処理が実行されている間の適宜な時期に、図１２の処理に並行して実行されてよい。

　ステップＳＴ２１では、画像処理装置３は、操作部３３への操作または通信部２７を介した通信等によって、印刷等のタスクの実行が要求されたか否か判定する。そして、画像処理装置３は、否定判定のときは待機する（別の観点では所定の周期でステップＳＴ２１を繰り返す。）。また、肯定判定のときは、画像処理装置３は、ステップＳＴ２２に進む。なお、ここでいうタスクは、説明の便宜上、実行の制限およびその解除がなされるものに限るものとする。

　ステップＳＴ２２では、画像処理装置３は、要求されたタスクについて、ユーザが実行する権限を有しているか否か判定する。そして、画像処理装置３は、肯定判定のときは、ステップＳＴ２３へ進み、否定判定のときは、ステップＳＴ２４へ進む。

　なお、ステップＳＴ２２の時点で、権限情報が特定されていない場合、および認証が解除されて権限情報が無効になっている場合においては、権限が無いものと判定されてよい。権限情報が特定されていない場合としては、認証の処理が行われていない場合、および認証に失敗した場合を挙げることができる。

　ステップＳＴ２３では、画像処理装置３は、要求されたタスク（例えば印刷）を実行するように、プリンタ１９および／またはスキャナ２１を制御する。なお、ステップＳＴ２１およびＳＴ２３は、図７のステップＳＴ４８およびＳＴ４９と同じものである。

　ステップＳＴ２４では、画像処理装置３は、要求されたタスクの実行（機能）が制限されていることをユーザに報知する。この報知は、例えば、視覚的になされてもよいし、音響的になされてもよい。視覚的な報知は、所定の画像および／または文字を表示するものであってもよいし、所定の表示灯を所定の状態（点灯状態、点滅状態または消灯状態）にするものであってもよいし、これらの組み合わせであってもよい。音響的な報知は、所定の音声および／または警告音（ブザー音もしくはメロディ）を出力するものであってよい。他のステップにおける報知も同様とされてよい。

　ステップＳＴ２５では、画像処理装置３は、所定の終了条件が満たされたか否か判定する。そして、画像処理装置３は、否定判定の場合は、ステップＳＴ２１に戻り、肯定判定の場合は、図１２に示す処理を終了する。終了条件は、例えば、画像処理装置３の起動終了の条件またはスタンバイモードへの移行の条件と同様とされてよい。

　上記の処理は適宜に変更されてよい。

　例えば、上記では、説明の便宜上、タスクは、実行の制限およびその解除がなされるものに限った。しかし、処理部２９は、ステップＳＴ２１とＳＴ２２との間で、要求されたタスクが、実行の制限およびその解除がなされるものであるか否かを判定し、肯定判定のときはステップＳＴ２２に進み、否定判定のときはステップＳＴ２３に進んでよい。

　また、例えば、画像処理装置３は、ステップＳＴ２１とステップＳＴ２２との間において、その時点で有効な（認証状態が解除されていない）権限情報が特定されているか否か判定し、肯定判定のときにステップＳＴ２２に進み、否定判定のときは報知を行ってよい。この報知において、画像処理装置３は、ユーザに認証を要求する表示を表示部３５に表示してもよい。その後、画像処理装置３は、ステップＳＴ２５へ進んでもよいし、認証用情報が入力されるまで待機してもよい。後者の場合、画像処理装置３は、認証用情報が入力されたときに、認証（図４の処理）および権限情報の特定を行い、ステップＳＴ２２へ進んでよい。ただし、所定時間を経過しても認証用情報が入力されないとき、または所定のキャンセル操作がなされたときは、画像処理装置３は、ステップＳＴ２５へ進んでよい。

　また、例えば、図１２の処理は、認証および権限情報の特定が行われたことを条件として開始されてもよい。この場合、ステップＳＴ２５の終了条件は、認証状態が解除されて権限情報が無効になったこととされてよい。また、この場合、例えば、認証がなされていない状態では、表示部３５にユーザに認証を要求する表示が示されていてよい。

　なお、図１１を参照して説明した、認証を行ったユーザの権限情報を特定する動作は、別の観点では、受信または抽出した権限情報をステップＳＴ２２で参照可能に記憶する動作である。この動作は、記憶した権限情報が、少なくとも１つの機能について、ユーザが権限を有することを示す情報を含む場合、機能の制限を解除する動作の一例であると捉えられてよい。また、ステップＳＴ２２における肯定判定およびステップＳＴ２３におけるタスクの指示も、機能の制限を解除するという動作の一例として捉えられてよい。

（５．３．機能制限に係るメニュー画面の例）
　認証結果に基づいて機能の制限解除を制御するとき、表示部３５に表示されるメニュー画面の設定が共に行われてもよい。この設定は、ユーザ毎に行われてもよい。具体的には、以下のとおりである。

　メニュー画面は、例えば、ＧＵＩ（Graphical User Interface）における１以上の選択肢を含む画面（画像）である。ポインティングデバイスによって選択肢が選択されると、その選択肢に対応する処理が実行される。例えば、操作部３３および表示部３５がタッチパネルによって構成されている態様においては、指またはタッチペンによって、表示部３５に表示された１以上の選択肢のいずれかが押されると、対応する処理が実行される。

　画像処理装置３のメニュー画面において示される選択肢に対応する処理は、種々の処理とされてよい。例えば、選択肢は、印刷、スキャン、コピー、ＦＡＸ送信およびＦＡＸ受信（ただし、これらは必ずしも分離できる概念ではない。）等の主要な機能に係る動作を実行させる処理であってよい。および／または、選択肢は、上記動作に係る設定を行う処理であってよい。そのような設定としては、例えば、紙の大きさの選択、印刷倍率の設定および印刷の濃さを挙げることができる。先の説明において、主要な機能は適宜に細分化されて権限が設定されてよいことを述べたが、この細分化の説明は、選択肢の細分化に適宜に援用されてよい。

　ユーザ毎のメニュー画面は、例えば、ユーザ毎の好みを反映したものであってもよいし、および／またはユーザ毎の権限を反映したものであってもよい。前者としては、例えば、特定の選択肢の画面３５ａ内における位置、大きさ、色および形状等をユーザの好みに合わせたものを挙げることができる。後者としては、例えば、ユーザが所定の機能について権限を有しているか否かによって、その機能に係る選択肢の表示態様を異ならせた画面を挙げることができる。より詳細には、例えば、権限の有無によって選択肢の色が異なっている画面、および権限が有る選択肢のみが表示される（権限が無い選択肢が表示されない）画面が挙げられる。

　なお、権限が有る選択肢のみが表示されるメニュー画面が表示される態様においては、ユーザは、権限が有る選択肢に対応する処理のみを指示できる。従って、この場合のメニュー画面の表示の制御は、機能の制限解除の制御の一例として捉えられてよい。

　認証結果に基づくユーザ毎のメニュー画面の設定は、例えば、認証に成功したユーザに対するメニュー画面と、それ以外のユーザに対するメニュー画面との２種のみの設定であってよい。また、例えば、認証に成功した互いに異なるユーザに互いに異なるメニュー画面を設定可能であってもよい。認証が成功しないユーザにはメニュー画面が表示されないようにしてもよい。

　画像処理装置３は、最初に表示されるメインメニュー画面と、メインメニューの画面の選択肢を選択することによって表示される１以上のサブメニュー画面とを表示可能であってよい。この場合において、ユーザ毎に設定されるメニュー画面は、メインメニュー画面であってもよいし、１以上のサブメニューの画面のうちの少なくとも１つであってもよいし、前記２種の双方であってもよい。また、ユーザ毎のメニュー画面の設定によって、サブメニュー画面の表示の可否が設定されてもよいし、複数のサブメニュー画面のうちの表示可能なサブメニュー画面の数が設定されてもよい。

　上述したメニュー画面の設定は、より具体的な種々の態様で実現されてよい。以下に例を示す。

　図１３は、上記の設定を実現する通信システム１の信号処理系の構成を示すブロック図である。

　図１３の例では、図１１の例と同様に、サーバ５が認証を行う態様を例に取っている。従って、図１３では図示を省略しているが、サーバ５は、認証用テーブルＤＴ２および認証部５ａを有している。また、図１１の例と同様に、以下の説明は、画像処理装置３が認証を行う態様等に適用可能である。

　サーバ５は、例えば、メニューテーブルＤＴ７を有している。メニューテーブルＤＴ７は、ＩＤと、メニュー画面の態様（換言すればメニュー画面の設定）を特定するメニュー情報Ｄ７と、を紐付けて記憶している。サーバ５は、メニューテーブルＤＴ７を参照して、画像処理装置３から受信した認証用情報Ｄ２に含まれるＩＤ（またはサーバ５において認証用情報Ｄ２に対応付けられて記憶されているＩＤ）に紐付けられているメニュー情報Ｄ７を抽出する。そして、サーバ５は、抽出したメニュー情報Ｄ７を画像処理装置３へ送信する。画像処理装置３は、その受信したメニュー情報Ｄ７に基づくメニュー画面を表示部３５の画面３５ａに表示する。

　なお、メニュー情報Ｄ７の送信は、例えば、受信した認証用情報Ｄ２が認証用テーブルＤＴ２（図１１）に登録されていること（認証が成功したこと）を前提とする。従って、メニュー情報Ｄ７の送信は、認証結果Ｄ３の送信として扱われたり、捉えられたりしてよい。メニュー情報Ｄ７は、例えば、上記の動作が実行される前（図４の処理の前）に、ＩＤと紐付けてメニューテーブルＤＴ７に記憶されてよい。

　メニュー情報Ｄ７は、ユーザおよび／またはサーバ５の管理者によって設定されてよい。例えば、ユーザ毎のメニュー画面の設定の少なくとも一部にユーザの好みが反映される場合は、前記一部はユーザによって設定されてよい。また、ユーザ毎のメニュー画面の設定の少なくとも一部に権限の有無が反映される場合は、前記一部はサーバ５の管理者によって設定されてよい。なお、ユーザによる設定においては、第三者によって不正に設定がなされないようにユーザの認証が前提とされてよい。

　メニューテーブルＤＴ７では、認証用情報および／または認証方法の種類によってメニュー情報Ｄ７の内容が異なっていてよい。これにより、実質的に認証用情報および／または認証方法の種類に応じてセキュリティレベルが設定されてよい。あるいは、サーバ５のメニューテーブルＤＴ７では、認証方法の種類によってメニュー情報Ｄ７の内容が異なっておらず、メニュー情報Ｄ７を抽出した後に認証用情報および／または認証方法の種類に応じてサーバ５がメニュー情報Ｄ７の内容を必要に応じて改変し、改変後のメニュー情報Ｄ７が送信されてもよい。また、上記とは異なり、認証方法の種類によらずに、同じメニュー情報Ｄ７が送信され、画像処理装置３において、認証用情報および／または認証方法の種類に応じて、メニュー情報Ｄ７で制限が解除されている機能のうち、特定のものに対して、制限を解除しないようにしてもよい。

　例えば、権限テーブルＤＴ３の説明で触れたように、メニューテーブルＤＴ７は、他のテーブルの少なくとも１つと統合されてもよい。上記とは逆に、メニューテーブルＤＴ７は、適宜に分割されてもよい。例えば、図１３に示すメニューテーブルＤＴ７は、ＩＤと、メニュー画面に関する複数の設定事項それぞれに対して設定された情報とが直接的に紐付けられた態様が概念的に示されている。図示の例とは異なり、メニューテーブルＤＴ７を分割したテーブルが利用されてもよい。例えば、ＩＤと、所定数のメニュー画面の種類のいずれかとが紐付けられたテーブルと、所定数のメニュー画面の種類のそれぞれと、メニュー画面に関する複数の設定事項それぞれに対して設定された情報とが紐付けられたテーブルとがサーバ５に記憶されていてもよい。

　また、例えば、メニューテーブルＤＴ７は、画像処理装置３が保持していてもよい。そして、画像処理装置３は、サーバ５から認証成功が通知されたとき、自己が有しているメニューテーブルＤＴ７を参照して、ユーザによって入力されたＩＤまたはサーバ５から送信されたＩＤに対して紐付けられているメニュー情報Ｄ７を抽出し、抽出したメニュー情報Ｄ７を表示部３５に表示してよい。

　また、例えば、メニューテーブルＤＴ７が、ＩＤとメニュー画面の種類とを紐付けたテーブルと、メニュー画面の種類とメニュー画面に係る設定項目毎の情報とを紐付けたテーブルとに分割されている場合において、画像処理装置３は、分割された２つのテーブルの双方を有してよいし、あるいは、後者のテーブルのみを有してよい。画像処理装置３がメニュー画面の種類と設定項目毎の情報とを紐付けたテーブルのみを有する場合は、サーバ５は、図示の例とは異なり、メニュー画面の種類の情報をメニュー情報Ｄ７として画像処理装置３へ送信する。そして、画像処理装置３は、自己が有しているテーブルを参照して、受信したメニュー情報Ｄ７に紐付けられた設定項目毎の情報を抽出し、抽出した情報に基づいてメニュー画面を表示してよい。

　また、例えば、ユーザ毎のメニュー画面の設定が、ユーザの権限のみを反映した（ユーザの好みを反映していない）場合においては、サーバ５から画像処理装置３へメニュー情報Ｄ７が送信されずに、サーバ５から画像処理装置３へ送信された権限情報Ｄ５に基づいて、ユーザ毎のメニュー画面の設定がなされてよい。この場合、画像処理装置３は、例えば、権限情報Ｄ５とメニュー情報Ｄ７とを紐付けたテーブルを有し、当該テーブルを参照して、権限情報Ｄ５に応じたメニュー画面の設定を行ってよい。また、メニュー画面によってユーザに対して機能の利用を制限できるから、上記とは逆に、権限情報Ｄ５が送信されず、メニュー情報Ｄ７のみが送信されてもよい。この場合のメニュー情報Ｄ７は、権限情報の一種として捉えることができる。

（５．４．ＶＰＮに関する制限解除）
　認証結果に基づいて制限が解除される機能はＶＰＮ接続であってよい。具体的には、以下のとおりである。

　ＶＰＮは、例えば、プライベートネットワークをパブリックネットワーク１１に仮想的に拡張する。別の観点では、ＶＰＮは、パブリックネットワーク１１を含んで構成される物理的に１つのネットワークを論理的に分割する。これにより、例えば、パブリックネットワーク１１を介した通信がセキュアな環境下で行われる。

　このような仮想的な拡張または論理的な分割は、例えば、認証、トンネリングおよび暗号化によって実現される。ただし、ＶＰＮを利用した通信は、暗号化が行われずに、認証およびトンネリングが行われるものであってもよい。なお、トンネリングは、暗号化の一種と捉えることもできる。

　認証では、接続を確立する対象としての正当性の確認が行われる。認証の方法としては、例えば、アカウント情報（ＩＤおよびパスワード）を用いるもの、静的鍵を用いるもの、共通鍵（共有鍵）を用いるもの、秘密鍵および公開鍵の組み合わせを用いるもの、電子署名を用いるもの、電子証明書を用いるもの、セキュリティートークンを用いるもの、および上記の２以上を組み合わせたもの（例えば多要素認証）を挙げることができる。

　なお、画像処理装置３における機能制限の解除のための認証の少なくとも一部をサーバ５が担う場合においては、機能制限の解除のための認証と、ＶＰＮ接続のための認証とは少なくとも一部同士が共通化されていてもよい。

　トンネリングでは、ネットワークを介して物理的または論理的に離れた２点間が同一点であるかのように扱うための動作が行われる。トンネリングは、例えば、カプセル化によって実現される。カプセル化では、例えば、通信に際して、パケット全体が、別のプロトコルのペイロード、別のレイヤのペイロードまたは同一のレイヤのペイロードに埋め込まれる。トンネリングは、適宜なレイヤで行われてよく、例えば、レイヤ３（ネットワーク層）またはレイヤ２（データリンク層）において行われてよい。

　暗号化では、送受信される情報が第三者から解読不能な形式の情報に変換される。暗号化は、ペイロードのみに対して行われてもよいし、ヘッダおよびペイロードの双方に対して行われてもよい。別の観点では、暗号化は、適宜なレイヤで行われてよく、例えば、ネットワーク層、トランスポート層および／またはセッション層で行われてよい。暗号化の方式は適宜なものとされてよい。例えば、暗号化の方式としては、共通鍵を用いるもの、ならびに、秘密鍵および公開鍵の組み合わせを用いるものを挙げることができる。

　ＶＰＮの種類は、適宜なものとされてよい。例えば、通信システム１のＶＰＮには、リモートアクセス型ＶＰＮ、および／またはＬＡＮ型（サイト間）ＶＰＮが適用されてよい。リモートアクセス型ＶＰＮでは、例えば、画像処理装置３等の通信機器にＶＰＮのクライアントソフトがインストールされて、通信機器が直接的にＶＰＮサーバとしてのサーバ５に対してＶＰＮ接続を行う。ＬＡＮ型ＶＰＮでは、例えば、ＶＰＮゲートウェイがＬＡＮ（拠点）同士をＶＰＮ接続する。

　ただし、実施形態では、リモートアクセス型ＶＰＮのクライアントとして機能する画像処理装置３の動作を例に取る。

　既述のように、パブリックネットワーク１１は、種々の態様とされてよい。ＶＰＮの種類の観点からは、以下のとおりである。ＶＰＮは、パブリックネットワーク１１にインターネットを含むインターネットＶＰＮであってよい。また、ＶＰＮは、パブリックネットワーク１１に通信業者等が提供する閉域ネットワークを含む、ＩＰ（Internet Protocol）－ＶＰＮ、エントリーＶＰＮまたは広域イーサネットであってよい。

　ＶＰＮのためのプロトコルは、公知のものであってもよいし、新規なものであってもよく、サーバ５の管理者が独自に規定したものであってもよい。リモートアクセス型ＶＰＮの公知のプロトコルとしては、例えば、Ｌ２ＴＰ（Layer 2 Tunneling Protocol）およびＩＰｓｅｃ（Security Architecture for Internet Protocol）の組み合わせ、ならびにＰＰＴＰ（Point to Point Tunneling Protocol）を挙げることができる。

　図１４は、上記のような動作の具体例を説明するフローチャートである。

　図１４において、画像処理装置３は、既に触れたように、リモートアクセス型ＶＰＮのクライアントとして、ＶＰＮサーバとしてのサーバ５と通信を行うもの（例えば図１の画像処理装置３Ａまたは３Ｂ）である。データ処理装置４９は、画像処理装置３とＶＰＮ（別の観点ではＶＰＮサーバとしてのサーバ５）を介して通信を行う装置である。データ処理装置４９としては、例えば、他の画像処理装置３、サーバ７および端末９を挙げることができる。データ処理装置４９は、サーバ５であってもよいが、図１４では、両者が別個である態様を例にとっている。サーバ５ではないデータ処理装置４９は、サーバ５を含むプライベートネットワーク１３Ａに含まれるもの（３Ｃ、７または９Ａ）であってもよいし、含まれないもの（３Ａ、３Ｂまたは９Ｂ）であってもよい。図１４では、後者を例にとっている。

　図１４に示す処理は、例えば、画像処理装置３においてＶＰＮ接続の開始条件が満たされたときに開始される。開始条件は、例えば、ＶＰＮ接続を指示する所定の操作が操作部３３に対してなされたこととされてよい。また、開始条件は、ＶＰＮ接続を必要とするタスク（例えばデータ処理装置４９から画像データをダウンロードして印刷する動作）の実行が操作部３３に対してなされたこととされてもよい。このようなタスクが指示されたときに、ＶＰＮ接続を行うか否かをユーザに問い合わせ、その結果、ＶＰＮ接続を指示する所定の操作がなされたときに開始条件が満たされてもよい。また、開始条件は、外部の通信機器（例えば端末９）からの所定の信号が入力されたこととされてもよい。

　ＶＰＮ接続の開始条件が満たされると、図４の処理が実行される。その後、画像処理装置３は、サーバ５に対して認証を要求し、サーバ５は、認証結果を画像処理装置３へ通知する（ステップＳＴ３０）。認証が成功した場合は、図１４に示された以降の処理が実行可能となる。一方、認証が失敗した場合は、図１４に示された以降の処理は禁止される。既述のように、ＶＰＮ接続のための認証は、機能制限の解除のための認証と共通化されていてよい。例えば、ステップＳＴ３０の認証結果の通知は、図１１および図１３を参照して説明した認証結果Ｄ３の通知と同じものであってよい。

　ＶＰＮ接続は、図４の処理を経て認証状態となったときに制限が解除されることによって、画像処理装置３（例えば操作部３３）に対して開始を指示可能となるものであってよい。また、前段落の説明から理解されるように、ＶＰＮ接続の開始が画像処理装置３に対して指示されることによって、図４の処理が開始されてもよい。また、図４の認証が成功したときに、自動的にＶＰＮ接続が行われてもよい。換言すれば、認証が成功したことがＶＰＮ接続の開始条件とされてもよい。

　認証が成功し、ＶＰＮ接続が確立されると、画像処理装置３は、ＶＰＮを利用した通信を行う。図１４では、データ処理装置４９から画像データをダウンロードして印刷する動作が例示されている。具体的には、以下のとおりである。

　ステップＳＴ３１では、画像処理装置３は、ＶＰＮを介して画像データのダウンロードを要求する信号をサーバ５へ送信する。なお、ここでの画像データは、一般的な画像データの他、印刷ジョブとしての画像データであっても構わない。

　ステップＳＴ３２では、サーバ５は、受信した信号に含まれる情報によって特定される送信先（ここではデータ処理装置４９）へ、画像データを要求する信号を送信（転送）する。このとき、データ処理装置４９がサーバ５を含むプライベートネットワーク１３Ａの外部の通信装置である場合においては、当該送信はＶＰＮを介して行われてよい（図示の例）。データ処理装置４９がプライベートネットワーク１３Ａに含まれる通信装置である場合においては、通常のプライベートネットワーク１３Ａ内における通信が行われてよい。なお、前者の場合においては、ステップＳＴ３２の前に予めデータ処理装置４９がサーバ５へＶＰＮ接続されている。

　ステップＳＴ３３では、データ処理装置４９は、要求された画像データをサーバ５へ送信する。このとき、ステップＳＴ３２と同様に、データ処理装置４９がプライベートネットワーク１３Ａの外部に位置する場合はＶＰＮが利用されてよく（図示の例）、データ処理装置４９がプライベートネットワーク１３Ａの内部に位置する場合は通常のプライベートネットワーク１３Ａ内における通信が行われてよい。

　ステップＳＴ３４では、サーバ５は、受信した画像データを画像処理装置３へ送信（転送）する。このときの送信は、ＶＰＮを介してなされる。

　ステップＳＴ３５では、画像処理装置３は、受信した画像データに基づく印刷を実行する。

　画像処理装置３がＶＰＮ接続を行うＶＰＮサーバは、画像処理装置３を使用しているユーザが選択可能であってもよいし、選択不可能であってもよい。前者の場合、画像処理装置３は、１つのＶＰＮを構成する２以上のＶＰＮサーバからのみ接続先を選択可能であってもよいし、互いに異なる２以上のＶＰＮを構成する２以上のＶＰＮサーバから接続先を選択可能であってもよい。

　接続先のＶＰＮサーバを選択可能な場合、例えば、画像処理装置３（処理部２９）は、接続先となるサーバ５をユーザに問い合わせる表示（例えば画像）を表示部３５に示させてよい。この表示は、例えば、１以上の接続先の候補の情報を提示するものであってもよいし、接続先の情報の入力を促すものであってもよい。提示および／または入力される接続先の情報は、例えば、ホスト名またはＩＰアドレス（またはＶＰＮに付された名前）である。接続先の情報は、画像処理装置３の管理者が予めホスト名または固定ＩＰアドレスと対応付けて補助記憶装置４５に記憶させた任意の名称および／または図形であっても構わない。そして、画像処理装置３は、操作部３３に対する、複数の候補から接続先を選択する操作、接続先の情報をキー入力などによって入力する操作等を受け付けてよい。また、処理部２９は、ＶＰＮ接続を確立したときは、ＶＰＮ接続を確立した接続先を示す情報を表示部３５に表示させてよい。

　ＶＰＮ接続は、適宜な切断条件が満たされたときに切断されてよい。例えば、切断条件は、切断を指示する所定の操作が操作部３３に対してなされたとこととされてよい。ＶＰＮ接続が、ＶＰＮ接続を必要とするタスクの実行の指示に基づいてなされる態様においては、切断条件は、上記タスクが終了したこととされてよい。また、例えば、切断条件は、認証状態が解除されたこととされてよい。なお、認証状態が解除される条件の例について既に述べた。

　画像処理装置３（処理部２９）は、ＶＰＮの接続中においては、その旨を表示部３５に示してよい。例えば、ＶＰＮの接続中であることを示す画像が表示されたり、特定の表示灯が特定の状態（例えば点灯状態または点滅状態）とされたりしてよい。また、上記の説明では、ＶＰＮの接続先が表示されてよいことについて言及したが、当該接続先の表示は、ＶＰＮと接続中であることを示す表示の一例として捉えられてよい。

　上記の説明では、画像処理装置３がデータ処理装置４９から画像データを受信して印刷を行う動作を例に取った。ただし、ＶＰＮを利用する動作は、これ以外にも種々可能である。例えば、スキャナ２１によって取得した情報（例えば画像データ）がＶＰＮを介してデータ処理装置４９へ送信されてよい。

（６．実施形態のまとめ）
　以上のとおり、実施形態に係る画像処理装置３は、画像処理部３１と、制御部２９ｃと、撮像部２８と、を有している。画像処理部３１は、プリンタ１９およびスキャナ２１の少なくとも一方を含む。制御部２９ｃは、ユーザの認証の成功に応じて解除された画像処理部３１の機能制限を認証状態の解除に伴って復活させる。撮像部２８は、画像処理装置３の周囲の少なくとも一部の範囲を撮像する。画像処理装置３は、認証状態のときに撮像部２８が撮像する画像に基づいて特定される、認証状態とされたユーザが不在であること、および他のユーザが存在することの少なくとも一方を含む解除条件が満たされたときに、認証状態を解除する（例えば図４のステップＳＴ７およびＳＴ８を参照）。

　別の観点では、通信システム１は、上記の画像処理装置３と、画像処理装置３と通信を行う通信機器（例えばサーバ５および７、端末９ならびに他の画像処理装置３）と、を有していてよい。

　上記のような構成においては、実施形態の概要でも述べたように、例えば、認証されていないユーザＵ２が不正に画像処理装置３（または所定の機能）を使用する蓋然性が低減され、セキュリティが向上する。

　上記解除条件は、認証状態のときに撮像部２８が撮像する画像から検出される顔特徴データが所定の条件を満たすことを含んでよい。

　この場合、例えば、人物の輪郭のみを用いる態様（例えば人物の輪郭を追跡する態様）に比較して、認証状態のユーザＵ１と他のユーザＵ２とを誤認する蓋然性が低減される。また、例えば、人物の輪郭のみを用いる態様では、ユーザＵ１が一旦撮像範囲外へ消えた後に、撮像範囲内に戻っても、撮像された人物が、ユーザＵ１か否か判別することが難しく、ひいては、図８および図９を参照して説明した認証状態の復活の動作を行うことが難しい。しかし、顔特徴データを用いることによって、認証状態の復活の動作の実現性が向上する。

　画像処理装置３は、認証状態のときに撮像部２８が撮像する画像から検出される顔特徴データが、認証状態とされたユーザＵ１の以前に取得された顔特徴データと一致していることを含む維持条件が満たされているときは、認証状態を維持してよい（例えば図７においてステップＳＴ４１で否定判定がなされてステップＳＴ６に戻る手順を参照。）。

　この場合、例えば、ユーザＵ１の輪郭を追跡するだけの場合に比較して、ユーザＵ１の付近を往来した他の人物をユーザＵ１と誤認する蓋然性が低減される。その結果、セキュリティが向上する。

　認証状態を解除する上記解除条件は、認証状態のときに撮像部２８が撮像する画像から、認証状態とされたユーザＵ１の顔特徴データを有していない人物が検出されたことを含んでよい（例えば図４のステップＳＴ７の肯定判定を参照。）。なお、ユーザＵ１の顔特徴データを有していない人物は、ユーザＵ１の顔特徴データとは異なる顔特徴データを有する人物の他、顔特徴データが検出されない人物（例えば顔を隠している人物）を含む。

　この場合、例えば、ユーザＵ１以外の人物をユーザＵ１の顔特徴データを有しているか否かによって判定することから、ユーザＵ１以外の人物の検出精度が向上する。そして、ユーザＵ１以外の人物によって、認証状態の画像処理装置３が不正に利用される蓋然性が低減され、セキュリティが向上する。

　認証状態を解除する上記解除条件は、認証状態のときに撮像部２８が撮像する画像から特定される１以上（例えば複数）の人物のうち、画像処理装置３に最も近い人物が、認証状態とされたユーザＵ１と異なっていることを含んでよい（例えば図７のステップＳＴ４３の肯定判定およびステップＳＴ４６の肯定判定を参照。）。

　上記に類似して、例えば、認証状態を解除する上記解除条件は、認証状態のときに撮像部２８が撮像する画像から特定される１以上（例えば複数）の人物のうち、ＵＩ部２３に顔が最も近い人物が、認証状態とされたユーザＵ１と異なっていることを含んでよい（例えば図７のステップＳＴ４３の肯定判定およびステップＳＴ４６の肯定判定を参照。）。

　さらに上記に類似して、例えば、認証状態を解除する上記解除条件は、認証状態のときに撮像部２８が撮像する画像から特定される１以上（例えば複数）の人物のうち、所定の立ち位置に最も近い人物（上記所定の立ち位置に立っている人物を含む。）が、認証状態とされたユーザＵ１と異なっていることを含んでよい（例えば図７のステップＳＴ４３の肯定判定およびステップＳＴ４６の肯定判定を参照。）。

　さらに上記に類似して、例えば、認証状態を解除する上記解除条件は、画像処理装置３、ＵＩ部２３および／または所定の立ち位置に、全身および／または顔が最も近い人物から、ユーザＵ１の顔特徴データと一致する顔特徴データが検出されない（顔特徴データ同士が一致しない、または顔特徴データの検出自体ができない）ことを含んでよい。

　これらの場合、例えば、複数の人物が検出されたこと（別の観点ではユーザＵ１以外の人物が検出されたこと）をもって即座に認証が解除されるのではなく、画像処理装置３を操作している蓋然性が高い人物に応じて認証状態の解除が制御される。その結果、画像処理装置３から離れた位置のユーザＵ１以外の人物が写り込んだだけで認証状態が解除されてしまう不都合が解消される。

　認証を解除する解除条件が、画像処理装置３に最も近い人物がユーザＵ１以外の人物（ユーザＵ２であるものとする。以下、同様。）であることを含む態様においては、例えば、ＵＩ部２３に対して操作していないが、画像処理装置３の近くにいるユーザＵ２によって情報が盗み見られる蓋然性が低減される。解除条件が、ＵＩ部２３に顔が最も近い人物がユーザＵ２であることを含む態様においては、例えば、ＵＩ部２３の操作者の特定の精度が向上し、不要な認証状態の解除を避ける上述の効果が向上する。解除条件が、所定の立ち位置（例えばＵＩ部２３を操作する操作者が立つ位置）に最も近い人物がユーザＵ２であることを含む態様においては、例えば、人物同士の身長の相違の影響を低減しつつ、ＵＩ部２３の操作者の特定の精度を向上させることができる。

　認証を解除する上記解除条件は、認証状態のときに撮像部２８が撮像する画像から特定される画像処理装置３（既述のとおりＵＩ部２３等の他の用語に置換されてよい。）に最も近い人物（既述のとおり顔等の他の用語に置換されてよい。）が、認証状態とされたユーザから他のユーザに代わったことを含み（図７のステップＳＴ４３の肯定判定およびステップＳＴ４６の肯定判定を参照。）、認証状態とされたユーザから他のユーザに代わったときに進行中のジョブが存在する場合は、当該ジョブが完了したことをさらに含んでよい（ステップＳＴ５１を参照）。

　この場合、例えば、タスクの実行中は、画像処理装置３に最も近い人物が交代しても、タスクの実行が継続される。その結果、例えば、ユーザＵ１が大量の印刷を行っているときに、ユーザＵ２が画像処理装置３に近づいたことによって認証状態が解除され、ひいては、印刷が停止されてしまうというような不都合が避けられる。

　撮像部２８は、認証状態のときに（例えば所定の周期で）繰り返し撮像を行ってよい。認証状態を解除する解除条件は、認証状態のときに撮像部２８が撮像する画像から、認証状態とされたユーザＵ１の顔特徴データが検出されなくなってから所定時間が経過したこと（例えば図７のステップＳＴ４５の肯定判定および図８のステップＳＴ８５の肯定判定を参照。）を含んでよい。

　この場合、例えば、ユーザＵ１が何らかの都合で、短時間だけ顔を撮像部２８から背けた場合に、即座に認証状態が解除される蓋然性が低減される。その結果、利便性が向上する。

　上記に類似して、認証状態を解除する解除条件は、認証状態のときに撮像部２８が撮像する画像から、認証状態とされたユーザＵ１が検出されなくなってから所定時間が経過したこと（例えば図７のステップＳＴ４５の肯定判定および図８のステップＳＴ８５の肯定判定を参照。）を含んでよい。

　この場合、例えば、ユーザＵ１が何らかの都合で、短時間だけ画像処理装置３から離れた場合に、即座に認証状態が解除される蓋然性が低減される。その結果、利便性が向上する。

　画像処理装置３は、上記所定時間内に撮像部２８が撮像する画像から複数の人物が検出された場合は上記所定時間の経過を待たずに認証状態を解除してよい。および／または、画像処理装置３は、上記所定時間内に撮像部２８が撮像する画像から、認証状態とされたユーザＵ１とは異なる人物が検出された場合は上記所定時間の経過を待たずに認証状態を解除してよい（図７のステップＳＴ４６の肯定判定を参照。）。

　この場合、例えば、ユーザＵ１が不在の状態で、ユーザＵ１以外の人物が存在する蓋然性が低減される。その結果、認証状態の画像処理装置３が不正に利用される蓋然性が低減され、セキュリティが向上する。

　認証を解除する解除条件は、認証状態とされているときに撮像部２８が撮像する画像から特定されるＵＩ部２３に対する操作者が、認証状態のユーザＵ１から他のユーザＵ２に代わったことを含んでよい（図８のステップＳＴ８７の肯定判定を参照。）。画像処理装置３は、操作者が他のユーザＵ２に交代したことによって認証状態を解除した後、再度、操作者がユーザＵ１になったときに、認証を経ずに認証状態を復活させてよい（図９のステップＳＴ９３）。

　この場合、例えば、ユーザＵ１が、画像処理装置３を急ぎで利用したいユーザＵ２に画像処理装置３を一時的に利用させるときに、認証状態が自動的かつ一時的に解除される。これにより、ユーザの利便性が向上しつつ、かつセキュリティが維持される。

　認証状態は、撮像部２８（換言すれば人物の監視のためのデバイス）が撮像した画像に基づく照合（例えば図４のステップＳＴ４）を含む認証（例えば図４のステップＳＴ１およびＳＴ４の双方）の成功によって成立してよい。

　この場合、例えば、撮像部２８は、認証と、認証状態における人物の監視との双方に利用される。その結果、画像処理装置３の構成が簡素化される。

　画像処理装置３は、撮像部２８（換言すれば人物の監視のためのデバイス）を利用しない認証の成功によって成立してよい。例えば、図４において、ステップＳＴ４が省略されてよい。あるいは、ステップＳＴ４において、撮像部２８によって検出された生体情報に代えて、検出部２５によって検出された生体情報が用いられてよい。

　この場合、例えば、認証方法として、顔認証に限らず、任意のものを選択することができる。例えば、検出部２５として、生体認証の精度が相対的に高いものを選択したり、画像処理装置３の所有者（例えば会社）が他の機器にも利用している認証方法を利用したりできる。また、別の観点では、認証自体は顔認証以外の方法によって行われ、この時点で第三者によって不正に画像処理装置３が利用される蓋然性は低減されているから、撮像部２８による監視は、あくまで補助的なものであるといえる。従って、撮像部２８によって取得する顔特徴データＤ４は、認証の精度が低いものであってもよい。これにより、例えば、撮像部２８に関するコスト削減を図ることができる。

　画像処理装置３は、ユーザの操作を受け付けるＵＩ部２３をさらに有していてよい。認証状態は、ＵＩ部２３に入力されたアカウント情報Ｄ１の照合（例えば図４のステップＳＴ１を参照。）を含む認証の成功によって成立してよい。

　この場合、例えば、アカウント情報Ｄ１の入力には一定程度の時間を要するから、その間に、認証状態とされるユーザの撮像を行い、高い精度で認証または監視のための顔特徴データを取得することができる。

　認証状態は、撮像部２８とは異なる検出部２５が検出した生体情報の照合を含む認証の成功によって成立してよい。例えば、図４のステップＳＴ４において、撮像部２８によって検出された生体情報に代えて、または加えて、検出部２５によって検出された生体情報が用いられてよい。

　この場合、例えば、検出部２５によって検出される生体情報の利用によってセキュリティを向上させることができる。従って、撮像部２８による監視は、あくまで補助的なものであるといえる。その結果、撮像部２８によって取得する顔特徴データＤ４は、認証の精度が低いものであってもよい。これにより、例えば、撮像部２８に関するコスト削減を図ることができる。

　第１の数の機能の制限が解除される第１の認証状態と、前記第１の数の機能を含み、前記第１の数より多い第２の数の機能の制限が解除される第２の認証状態と、があってよい。画像処理装置３は、第１の認証状態と第２の認証状態のうち、第２の認証状態についてのみ、認証状態のときに撮像部２８が撮像する画像に基づく認証状態の解除の制御を行ってよい（図１０参照）。

　この場合、例えば、セキュリティレベルが高い状況において、撮像部２８による監視が行われるから、監視の負荷を軽減しつつ、効率的にセキュリティを向上させることができる。

　実施形態に係る画像処理装置３は、別の観点では、画像処理部３１と、撮像部２８と、制御部２９ｃと、を有している。画像処理部３１は、プリンタ１９およびスキャナ２１の少なくとも一方を含む。撮像部２８は、画像処理装置３の周囲の少なくとも一部の範囲を撮像する。制御部２９ｃは、撮像部２８を利用しない認証（既述）の成功に応じて解除された画像処理部３１の機能制限を認証状態の解除に伴って復活させる（例えば図４のステップＳＴ８を参照）。画像処理装置３は、認証状態のときに撮像部２８が撮像する画像に基づいて特定される、人物の状況に応じて、認証状態の解除を制御する（例えば図４のステップＳＴ７およびＳＴ８を参照）。なお、ここでいう「人物の状況」は、ユーザＵ１および／または他の人物の有無ならびに人物の位置等だけでなく、例えば、ユーザＵ１による動作（腕を振る動作等）を含む。

　この場合、例えば、認証方法として、顔認証に限らず、任意のものを選択することができる。例えば、検出部２５として、生体認証の精度が相対的に高いものを選択したり、画像処理装置３の所有者（例えば会社）が他の機器にも利用している認証方法を利用したりできる。また、撮像部２８によって人物の状況を監視して認証状態の制御を行うことから、セキュリティを向上させたり、ユーザの利便性を向上させたりできる。

　本開示に係る技術は、以上の実施形態に限定されず、種々の態様で実施されてよい。

　例えば、画像処理装置は、プリンタおよびスキャナを含む複合機ではなく、印刷機能のみを有するもの（すなわち狭義のプリンタ）、またはスキャナ機能のみを有するもの（すなわち狭義のスキャナ）であってもよい。なお、複合機は、（広義の）プリンタまたは（広義の）スキャナとして捉えられてよい。

　１…通信システム、３（３Ａ，３Ｂおよび３Ｂ）…画像処理装置、５…サーバ（通信機器）、７…サーバ（通信機器）、９（９Ａ，９Ｂおよび９Ｃ）…端末（通信機器）、１９…プリンタ、２１…スキャナ、３１…画像処理部、２８…撮像部、２９ｃ…制御部。

Claims

　プリンタおよびスキャナの少なくとも一方を含む画像処理部と、
　ユーザの認証の成功に応じて解除された前記画像処理部の機能制限を認証状態の解除に伴って復活させる制御部と、
　画像処理装置の周囲の少なくとも一部の範囲を撮像する撮像部と、
　を備えており、
　認証状態のときに前記撮像部が撮像する画像に基づいて特定される、認証状態とされたユーザが不在であること、および他のユーザが存在することの少なくとも一方を含む解除条件が満たされたときに、認証状態を解除する
　画像処理装置。
　前記解除条件は、認証状態のときに前記撮像部が撮像する画像から検出される顔特徴データが所定の条件を満たすことを含む
　請求項１に記載の画像処理装置。
　認証状態のときに前記撮像部が撮像する画像から検出される顔特徴データが、認証状態とされたユーザの以前に取得された顔特徴データと一致していることを含む維持条件が満たされているときは、認証状態を維持する
　請求項１または２に記載の画像処理装置。
　前記解除条件は、認証状態のときに前記撮像部が撮像する画像から、認証状態とされたユーザの顔特徴データを有していない人物が検出されたことを含む
　請求項１～３のいずれか１項に記載の画像処理装置。
　前記解除条件は、認証状態のときに前記撮像部が撮像する画像から特定される１以上の人物のうち、前記画像処理装置に最も近い人物が、認証状態とされたユーザと異なっていることを含む
　請求項１～４のいずれか１項に記載の画像処理装置。
　ユーザの操作を受け付けるＵＩ部をさらに有しており、
　前記解除条件は、認証状態のときに前記撮像部が撮像する画像から特定される１以上の人物のうち、前記ＵＩ部に顔が最も近い人物が、認証状態とされたユーザと異なっていることを含む
　請求項１～５のいずれか１項に記載の画像処理装置。
　前記解除条件は、認証状態のときに前記撮像部が撮像する画像から特定される１以上の人物のうち、所定の立ち位置に最も近い人物が、認証状態とされたユーザと異なっていることを含む
　請求項１～６のいずれか１項に記載の画像処理装置。
　前記解除条件は、認証状態のときに前記撮像部が撮像する画像から特定される前記画像処理装置に最も近い人物が、認証状態とされたユーザから他のユーザに代わったことを含み、認証状態とされたユーザから他のユーザに代わったときに進行中のジョブが存在する場合は、当該ジョブが完了したことをさらに含む
　請求項１～７のいずれか1項に記載の画像処理装置。
　前記撮像部は、認証状態のときに繰り返し撮像を行い、前記解除条件は、認証状態のときに前記撮像部が撮像する画像から、認証状態とされたユーザの顔特徴データが検出されなくなってから、所定時間が経過したことを含む
　請求項１～８のいずれか１項に記載の画像処理装置。
　前記撮像部は、認証状態のときに繰り返し撮像を行い、前記解除条件は、認証状態のときに前記撮像部が撮像する画像から、認証状態とされたユーザが検出されなくなってから、所定時間が経過したことを含む
　請求項１～９のいずれか１項に記載の画像処理装置。
　前記所定時間内に前記撮像部が撮像する画像から複数の人物が検出された場合は、前記所定時間の経過を待たずに認証状態を解除する
　請求項９または１０に記載の画像処理装置。
　前記所定時間内に前記撮像部が撮像する画像から、認証状態とされたユーザとは異なる人物が検出された場合は、前記所定時間の経過を待たずに認証状態を解除する
　請求項９～１１のいずれか１項に記載の画像処理装置。
　前記解除条件は、認証状態とされているときに前記撮像部が撮像する画像から特定される前記ＵＩ部に対する操作者が、認証状態のユーザから他のユーザに交代したことを含み、
　操作者が前記他のユーザに交代したことによって認証状態を解除した後、再度、前記操作者が前記ユーザになったときに、認証を経ずに認証状態を復活させる
　請求項１～１２のいずれか１項に記載の画像処理装置。
　認証状態が、前記撮像部が撮像した画像に基づく照合を含む認証の成功によって成立する
　請求項１～１３のいずれか１項に記載の画像処理装置。
　認証状態が、前記撮像部を利用しない認証の成功によって成立する
　請求項１～１３のいずれか１項に記載の画像処理装置。
　ユーザの操作を受け付けるＵＩ部をさらに有しており、
　認証状態が、前記ＵＩ部に入力されたアカウント情報の照合を含む認証の成功によって成立する
　請求項１～１５のいずれか１項に記載の画像処理装置。
　認証状態が、前記撮像部とは異なる検出部が検出した生体情報の照合を含む認証の成功によって成立する
　請求項１～１６のいずれか１項に記載の画像処理装置。
　第１の数の機能の制限が解除される第１の認証状態と、
　前記第１の数の機能を含み、前記第１の数より多い第２の数の機能の制限が解除される第２の認証状態と、があり、
　前記第１の認証状態と前記第２の認証状態のうち、前記第２の認証状態についてのみ、前記撮像部が撮像する画像に基づく認証状態の解除の制御を行う
　請求項１～１７のいずれか１項に記載の画像処理装置。
　プリンタおよびスキャナの少なくとも一方を含む画像処理部と、
　画像処理装置の周囲の少なくとも一部を撮像する撮像部と、
　前記撮像部を利用しない認証の成功に応じて解除された前記画像処理部の機能制限を認証状態の解除に伴って復活させる制御部と、
　を備えており、
　認証状態のときに前記撮像部が撮像する画像に基づいて特定される、人物の状況に応じて、認証状態の解除を制御する
　画像処理装置。
　請求項１～１９のいずれか１項に記載の画像処理装置と、
　前記画像処理装置と通信を行う通信機器と、
　を有している通信システム。