以下、本発明を実施するための最良の形態について、図面を用いて説明する。なお、この実施の形態は、複数名の使用者が共同で使用する複数台の情報処理装置の使用を制限する場合である。
[第1の実施の形態]
本実施の形態のシステム全体図を図1に示す。LAN(Local Area Network)等の通信回線1を介して、複数台の情報処理装置2(図では情報処理装置2A,情報処理装置2Bの2台のみを示す)と、スケジュール管理サーバ3とが接続されている。各情報処理装置2には、それぞれ無線IDモジュール4と無線通信を行う無線通信手段として、無線式のリーダ・ライタ5が付設されている。
スケジュール管理サーバ3は、使用者データベース6とスケジュールデータベース7とを管理する。使用者データベース6には、図2に示すように、使用者ID、氏名及び権限レベルからなる使用者データが登録されている。各使用者には、それぞれ固有の使用者IDが設定される。また、身分、職歴、経験年数などに基づいて権限レベルが付与される。情報処理装置2では、複数種類の業務に関わる情報処理が可能であり、その業務毎にランクが設定されている。使用者は、自己の権限レベル以下のランクが設定された業務に関する情報処理のみ実行することができる。
スケジュールデータベース7には、図3に示すように、開始時刻、終了時刻、使用者ID、装置ID及び権限レベルからなるスケジュールデータが登録されている。各情報処理装置2には、それぞれ固有の装置IDが設定されている。この装置IDで識別される情報処理装置2を使用することが許容された使用者に対し、この使用者のID及び権限レベルと、使用が許容された装置のIDと、使用時間帯の開始時刻及び終了時刻とから、スケジュールデータが構成される。
なお、本実施の形態では、スケジュールデータベース7に当日分のスケジュールデータのみ保存される。複数日分のスケジュールデータを保存する場合は、図3のスケジュールデータに日付情報を付加すればよい。
使用者データベース6に対する使用者データの追加、変更及び削除と、スケジュールデータベース7に対するスケジュールデータの追加、変更及び削除は、メンテナンス用パソコン8を通じて適宜行われる。
無線IDモジュール4は、使用者が例えば名札として常に携帯できる形状をなしている。その一例を図4の外観図及び図5のブロック図で示す。この例の場合、無線IDモジュール4は、使用者の氏名が記録されたカード状の本体40の表面に、メッセージ表示器41とLED表示器42とを設けている。また、アンテナ43とICチップ44とが、本体40に搭載されている。ICチップ44には、CPU441、不揮発性のメモリ442及び無線回路443が実装されている。メモリ442には、その使用者固有のIDが記憶される使用者IDエリアと、暗号鍵及び復号鍵が記憶される鍵管理エリアとが形成されている。
無線回路443は、電源生成部,復調部及び変調部を有する。電源生成部は、アンテナ43で受信した電波の整流と安定化を行なうことによりICチップ44の各部に電源を供給する。復調部は、アンテナ43で受信した電波を復調してCPU441へ送出する。変調部は、CPU441から送出されたデータを電波に変調し、アンテナ43から放射させる。
CPU441は、無線回路443の復調部で復調されたデータをメモリ442へ書き込む。また、メモリ442からデータを読み出して無線回路443の変調部へ送出する。さらに、メッセージ表示器41及びLED表示器42の表示を制御する。
各情報処理装置2(2A,2B,…)は、基本的な構成が共通しており、その主要部の構成を図6のブロック図で示す。図示するように、各情報処理装置2は、主制御部21、記憶部22、時計部23、通信部24、使用者認識処理部25及びデバイスインターフェイス26を備えている。デバイスインターフェイス26には、HDD(Hard Disk Drive)27、キーボード28、ディスプレイ29などの各種の周辺機器が接続されている。使用者認識処理部25には、前記リーダ・ライタ5が接続されている。通信部24には、前記LAN1が接続されており、このLAN1を介して接続されたスケジュール管理サーバ3とデータ通信を行う。時計部23は、現在の日付及び時刻を計時する(計時手段)。記憶部22は、ROM(Read Only Memory)及びRAM(Random Access Memory)で構成され、プログラムや各種データの記憶領域として機能する。主制御部21は、CPUを主体に構成され、予め設定されたプログラムに基づいて各部を制御する。
本実施の形態では、主制御部21は、図7,図8の流れ図に示す手順で各部を制御する。また、これに関連して、使用者認識処理部25は、図9の流れ図に示す手順の処理を実行する。以下、これらの流れ図を用いて、情報処理装置2が有する使用者制限機能について説明する。
情報処理装置2が起動すると、主制御部21は、図7の流れ図に示す手順の処理を開始する。先ず、ST(ステップ)1としてLAN1を介して接続されたスケジュール管理サーバ3に、自機に対するスケジュールデータを要求するコマンドを、通信部24を介して送信する(スケジュール要求手段)。
上記コマンドには、自機に対して予め設定された装置IDが含まれる。スケジュール管理サーバ3は、受信したコマンド中の装置IDでスケジュールデータベース7を検索し、当該装置IDが含まれるスケジュールデータをすべて抽出する。そして、抽出したスケジュールデータを、LAN1を介して要求元の情報処理装置2に配信する(スケジュール配信手段)。
上記コマンドを送信した情報処理装置2の主制御部21は、ST2としてスケジュール管理サーバ3からスケジュールデータが配信されるのを待機している。通信部24を介してスケジュールデータを取り込んだならば(ST2のYES)、主制御部21は、ST3としてそのスケジュールデータを例えば開始時刻の早い順に保存したスケジュールデータファイルを作成し、記憶部22で記憶する(スケジュール記憶手段)。
次に、主制御部21は、ST4として操作禁止フラグをセットする。操作禁止フラグは、例えば記憶部22で記憶している。主制御部21は、操作禁止フラグがセットされると、デバイスインターフェイス26に接続された周辺機器のうち、キーボード28、ポインティングデバイス、スキャナ、タッチパネル等の入力部からの入力を禁止する(入力禁止手段)。
一方、使用者認識処理部25は、情報処理装置2の起動により、図9の流れ図に示す手順の処理を開始する。先ず、ST31としてリーダ・ライタ5で検出されている無線IDモジュール4のIDの中から新規のIDを認識したか否かを判断する。
リーダ・ライタ5は、そのアンテナ51から電波を周期的に放射している。この電波の到達領域内に無線IDモジュール4が存在すると、電波を受信した無線IDモジュール4は、応答波をリーダ・ライタ5に返す。この応答波には、当該無線IDモジュール4のメモリ442に記憶されている使用者IDが含まれる。リーダ・ライタ5は、そのアンテナ51で受信した応答波から無線IDモジュール4の使用者IDを検出して、使用者認識処理部25に出力する。
使用者認識処理部25は、リーダ・ライタ5で検出された無線IDモジュール4のIDの中から新規の使用者IDを認識すると(ST31のYES)、ST32としてこの新規の使用者IDを主制御部21に通知する。
ST4にて操作禁止フラグをセットし、入力部からの入力を禁止した状態で、主制御部21は、ST5として使用者認識処理部25から新規の使用者IDが通知されるのを待機する。新規の使用者IDが通知されたならば(ST5のYES)、主制御部21は、ST6として時計部23で計時されている現時刻で前記スケジュールデータファイルを検索し、現時刻を使用時間帯とするスケジュールデータから使用者IDを取得する。この場合、現時刻を使用時間帯とするスケジュールデータが複数存在していた場合には、それぞれのスケジュールデータから使用者IDを取得する(使用者ID取得手段)。
主制御部21は、ST7として現時刻を使用時間帯とする使用者IDを取得できたか否かを判断する。取得できなかった場合には(ST7のNO)、主制御部21は、ST9に進み、使用者認識処理部25にエラー応答を通知する。その後、ST5に戻り、新たな使用者IDが通知されるのを待機する。この事象は、現時刻を当該情報処理装置の使用時間帯とするスケジュールデータが1つもスケジュールデータベース7に登録されていない場合に発生する。
現時刻を使用時間帯とする使用者IDを1つでも取得できた場合には(ST7のYES)、主制御部21は、ST8として取得した使用者IDと、使用者認識処理部25から通知された使用者IDとを照合する(ID照合手段)。その結果、使用者認識処理部25から通知された使用者IDと一致するものが前記スケジュールデータファイルから取得されなかった場合には(ST8のNO)、主制御部21は、ST9に進み、使用者認識処理部25にエラーを通知する。その後、ST5に戻り、新たな使用者IDが通知されるのを待機する。この事象は、現時刻を当該情報処理装置の使用時間帯とするスケジュールデータに該当する人物以外のものが当該情報処理装置に近付いた場合に発生する。
使用者認識処理部25から通知された使用者IDと一致するIDを前記スケジュールデータファイルから取得した場合には(ST8のYES)、主制御部21は、ST10として当該スケジュールデータの使用者ID、権限レベル及び終了時刻を記憶部22で記憶する。また、ST11として使用者認識処理部25に許可応答を通知する。
しかる後、主制御部21は、ST12として使用者認識処理部25から認識成功コマンドを待機する。予め設定された時間内に認識成功コマンドを受取れなかった場合には(ST12のYES)、主制御部21は、ST13として記憶部22で記憶した使用者ID、権限レベル及び終了時刻をクリアする。その後、ST5に戻り、新たな使用者IDが通知されるのを待機する。
使用者認識処理部25から認識成功コマンドを受けた場合には(ST12のYES)、主制御部21は、ST14として操作禁止フラグをリセットする。これにより、キーボード28、ポインティングデバイス、スキャナ、タッチパネル等の入力部からの入力禁止状態が解除される(使用許可手段)。
使用者認識処理部25は、ST32にて新規の使用者IDを主制御部21に通知した後、ST33,ST34として主制御部21からの応答を待機する。ここで、主制御部21からエラー応答の通知を受けた場合には(ST34のYES)、使用者認識処理部25は、ST31に戻り、新規のIDを認識するのを待機する。
これに対し、主制御部21から許可応答の通知を受けた場合には(ST33のYES)、使用者認識処理部25は、ST35として新規の使用者IDとして認識したIDの応答コマンドを無線送信させる。上記ID応答コマンドは、リーダ・ライタ5から電波として放射される。このとき、電波到達領域内に当該IDを使用者IDとして設定している無線IDモジュール4が存在していると、上記ID応答コマンドは、当該無線IDモジュール4で受信される。上記ID応答コマンドを受信した無線IDモジュール4は、認証要求コマンドを無線送信する。
使用者認識処理部25は、ST36としてID応答コマンド送信先の無線IDモジュール4から認証要求コマンドを受信したか否かを判断する。リーダ・ライタ5を介して上記認証要求コマンドを受信したならば(ST36のYES)、使用者認識処理部25は、ST37として上記認証要求コマンド送信元の無線IDモジュール4に対して、認証応答コマンドを無線送信させる。また、ST38として主制御部21に認証成功コマンドを通知する。
上記認証応答コマンドは、リーダ・ライタ5から電波として放射される。このとき、電波到達領域内に認証要求コマンド送信元の無線IDモジュール4が存在していると、上記認証応答コマンドは、当該無線IDモジュール4で受信される。上記認証応答コマンドを受信した無線IDモジュール4は、再び認証要求コマンドを無線送信する。
使用者認識処理部25は、ST39として認証応答コマンド送信先の無線IDモジュール4から認証要求コマンドを受信したか否かを判断する。リーダ・ライタ5を介して上記認証要求コマンドを受信したならば(ST39のYES)、使用者認識処理部25は、ST40として上記認証要求コマンド送信元の無線IDモジュール4に対して、認証応答コマンドを無線送信させる。また、ST41として主制御部21に認証継続コマンドを通知する。
上記認証応答コマンドは、リーダ・ライタ5から電波として放射される。このとき、電波到達領域内に認証要求コマンド送信元の無線IDモジュール4が存在していると、上記認証応答コマンドは、当該無線IDモジュール4で受信される。上記認証応答コマンドを受信した無線IDモジュール4は、再び認証要求コマンドを無線送信する。
以後、使用者認識処理部25は、認証要求コマンドを受信する毎に(ST39のYES)、認証要求コマンド送信元の無線IDモジュール4に対して、認証応答コマンドを無線送信させる処理と、主制御部21に認証継続コマンドを通知する処理とを繰り返す。
ID応答コマンドに対する認証要求コマンドを受信できなかった場合(ST36のNO)、または認証応答コマンドに対する認証要求コマンドを受信できなかった場合(ST39のNO)には、使用者認識処理部25は、ST31に戻る。そして、新規のIDを認識するのを待機する。
ST14にて操作禁止フラグをリセットした主制御部21は、ST15としてレベル別業務処理を実行する。このレベル別業務処理の手順は、図8で具体的に示される。すなわち主制御部21は、ST21として記憶部22に記憶した権限レベル以下のランクが設定されている業務を選択する。そして、ST22としてこの選択された業務のメニュー画面を作成し、ディスプレイ29に表示させる。
この状態で、主制御部21は、ST23としていずれかの業務メニューが選択されるのを待機する。また、この待機中に、主制御部21は、ST24として現時刻が記憶部22で記憶した終了時刻を経過したか否かを判断する(終了時刻判定手段)。
終了時刻が経過する前に、いずれかの業務メニューが選択された場合には(ST23のYES)、主制御部21は、ST25としてその業務に関わる情報処理を実行する。
主制御部21は、ST26として選択された1業務が終了するのを待機する。また、この待機中に、主制御部21は、ST27として使用者認識処理部25から認証継続コマンドを周期的に受付けているか否かを判断する。認証継続コマンドを受付けている間は(ST27のYES)、選択された1業務を実行する。認証継続コマンドが途絶えた場合には(ST27のNO)、主制御部21は、ST28として実行中の業務を強制的に終了させる。そして、このレベル別業務処理を終了する。レベル別業務処理が終了すると、主制御部21は、ST4に戻る。すなわち、操作禁止フラグをセットして、入力部からの入力を禁止する(使用制限手段)。
選択された1業務に関わる情報処理が終了した場合には(ST26のYES)、主制御部21は、ST22に戻り、業務メニューを再度表示する。その後、いずれかの業務メニューが選択された場合には、主制御部21は、その業務に関わる情報処理を実行する。また、終了時刻が経過した場合には、主制御部21は、このレベル別業務処理を終了する。レベル別業務処理が終了すると、主制御部21は、ST4に戻る。すなわち、操作禁止フラグをセットして、入力部からの入力を禁止する(使用制限手段)。
このように、各情報処理装置2には、それぞれ自機を使用することが許容された使用者の使用者ID、使用時間帯(開示時刻〜終了時刻)及び権限レベルからなるスケジュールデータが記憶される。操作禁止フラグがセットされた状態、つまり入力部からの入力が禁止された状態で、無線IDモジュール4を携帯した者が情報処理装置2に近付き、上記無線IDモジュール4に記憶されている使用者IDがリーダ・ライタ5によって非接触で読み取られると、その時点を使用時間帯とするスケジュールデータの使用者IDとリーダ・ライタ5で無線IDモジュール4から読み取られた使用者IDとが照合される。そして、両使用者IDが一致した場合には、操作禁止フラグがリセットされる。すなわち、入力禁止状態が解除される。これにより、情報処理装置2に近付いた者は、当該装置2を使用して、自己の権限レベル以下のランクが設定された業務に関わる情報処理を実行することができる。
両使用者IDが一致しない場合には、操作禁止フラグはリセットされない。したがって、現時点を使用時間帯とするスケジュールデータの使用者ID以外の使用者IDが設定された者は、当該情報処理装置2を使用することはできない。
入力禁止状態が解除された後は、当該使用者IDを記憶した無線IDモジュール4をリーダ・ライタ5で認識しているか継続的にチェックされる。また、1つの業務に関わる情報処理が終了する毎に、当該使用者IDに対するスケジュールデータの使用時間帯が経過したか否かが判断される。当該使用者IDを記憶した無線IDモジュール4をリーダ・ライタ5で認識できなくなった場合、あるいは使用時間帯が経過した場合には、操作禁止フラグがセットされる。すなわち、入力部からの入力が禁止される。したがって、使用者が当該情報処理装置2から離れたり、使用時間帯を経過した後は、当該装置2は使用できなくなる。
次に、本実施の形態における使用制限システムの適用例として、スーパーマーケット等で構築されるPOS(Point Of Sales)システムに適用した場合について説明する。POSシステムは、一般に、複数台のPOS端末とストアコントローラとから構成される。各POS端末は、客が買上げる商品の販売データを登録処理する登録業務、登録された商品販売データを集計して売上を精算する精算業務、登録,精算等の業務を実行する上で必要なデータを設定する設定業務等の種々の業務に関する情報処理機能を有した情報処理装置である。各POS端末は、キャッシャ等と称される店員によって操作される。予め、店員毎に詳細な勤務スケジュールが決められており、各店員は、その勤務スケジュールにしたがって店のチェックアウトカウンタに入り、そのカウンタのPOS端末を操作して買物客を捌く。
今、スケジュールデータベース7に、図3に示す内容のスケジュールデータD1〜D7が登録されているものとする。
スケジュールデータD1は、権限レベルがL1の使用者ID[100002]で特定されるキャッシャが、装置ID[2003]が設定されたPOS端末を、10時00分から12時00分まで使用することを示している。
スケジュールデータD2は、権限レベルがL2の使用者ID[100004]で特定されるキャッシャが、装置ID[2001]が設定されたPOS端末を、10時00分から11時30分まで使用することを示している。
スケジュールデータD3は、権限レベルがL1の使用者ID[100005]で特定されるキャッシャが、装置ID[2002]が設定されたPOS端末を、10時00分から12時00分まで使用することを示している。
スケジュールデータD4は、権限レベルがL3の使用者ID[100003]で特定されるキャッシャが、装置ID[2001]が設定されたPOS端末を、11時30分から13時30分まで使用することを示している。
スケジュールデータD5は、権限レベルがL2の使用者ID[100004]で特定されるキャッシャが、装置ID[2002]が設定されたPOS端末を、12時00分から13時30分まで使用することを示している。
スケジュールデータD6は、権限レベルがL1の使用者ID[100001]で特定されるキャッシャが、装置ID[2003]が設定されたPOS端末を、12時00分から14時00分まで使用することを示している。
スケジュールデータD7は、権限レベルがL1の使用者ID[100002]で特定されるキャッシャが、装置ID[2002]が設定されたPOS端末を、13時00分から14時30分まで使用することを示している。
このようなスケジュールデータD1〜D7の勤務スケジュールをPOS端末別にまとめると、図10のようになる。すなわち、装置ID[2001]が設定されたPOS端末は、10時00分から11時30分までは使用者ID[100004]で特定されるキャッシャの使用が許容され、11時30分から13時30分までは使用者ID[100003]で特定されるキャッシャの使用が許容される。装置ID[2002]が設定されたPOS端末は、10時00分から12時00分までは使用者ID[100005]で特定されるキャッシャの使用が許容され、12時30分から13時30分までは使用者ID[100004]で特定されるキャッシャの使用の使用が許容され、13時00分から14時30分までは使用者ID[100002]で特定されるキャッシャの使用が許容される。因みに、13時00分から13時30分までは使用者ID[100004]で特定されるキャッシャまたは使用者ID[100002]で特定されるキャッシャの2名の使用が許容される。装置ID[2003]が設定されたPOS端末は、10時00分から12時00分までは使用者ID[100002]で特定されるキャッシャの使用が許容され、12時00分から14時00分までは使用者ID[100001]で特定されるキャッシャの使用が許容される。
スケジュール管理サーバ3から装置ID[2001]が設定されたPOS端末に対しては、スケジュールデータD2とD4とが配信される。装置ID[2002]が設定されたPOS端末に対しては、スケジュールデータD3、D5及びD7が配信される。装置ID[2003]が設定されたPOS端末に対しては、スケジュールデータD1とD6とが配信される。
さて、このような勤務スケジュールに対し、使用者ID[100004]で特定されるキャッシャの行動が図10中矢印A〜Eであったとする。矢印Aは、当該キャッシャが、10時00分より後に装置ID[2001]が設定されたPOS端末に付設されているリーダ・ライタ5の無線通信領域内に入ったことを示している。この場合、当該POS端末では、当該キャッシャが携帯している無線IDモジュール4の使用者ID[100004]が認識される。また、当該POS端末では、10時00分から11時30分までの使用時間帯が設定されたスケジュールデータD2が有効である。そして、このスケジュールデータD2の使用者IDは[100004]であるので、両IDは一致する。したがって、当該POS端末では、使用禁止フラグがリセットされる。すなわち、入力部からの入力が可能となる。また、業務メニューが表示される。
今、登録業務のランクを“1”、精算業務のランクを“2”、設定業務のランクを“3”と仮定する。そうすると、当該キャッシャの権限レベルは“2”であるので、装置ID[2001]のPOS端末では、登録業務と精算業務の業務メニューが表示される。すなわち、当該キャッシャは、登録業務または精算業務のいずれかの業務メニューに関する情報処理を実行することができる。
矢印Bは、当該キャッシャが、11時30分より前に装置ID[2001]の当該POS端末に付設されているリーダ・ライタ5の無線通信領域から出たことを示している。この場合、当該POS端末では、使用者ID[100004]の認証継続コマンドが途絶えるので、使用禁止フラグがセットされる。すなわち、入力部からの入力が禁止される。
矢印Cでは、当該キャッシャが、11時30分より後に装置ID[2001]のPOS端末に付設されているリーダ・ライタ5の無線通信領域に再び入ったことを示している。この場合、当該POS端末では、当該キャッシャが携帯している無線IDモジュール4の使用者ID[100004]が認識される。また、当該POS端末では、11時30分から13時30分までの使用時間帯が設定されたスケジュールデータD4が有効である。そして、このスケジュールデータD4の使用者IDは[100003]であるので、両IDは一致しない。したがって、当該POS端末では、使用禁止フラグがリセットされたままとなる。すなわち、入力禁止状態が継続される。
矢印Dでは、当該キャッシャが、12時00分に装置ID[2002]が設定されたPOS端末に付設されているリーダ・ライタ5の無線通信領域内に入ったことを示している。この場合、当該POS端末では、当該キャッシャが携帯している無線IDモジュール4の使用者ID[100004]が認識される。また、当該POS端末では、12時00分から13時30分までの使用時間帯が設定されたスケジュールデータD5が有効である。そして、このスケジュールデータD5の使用者IDは[100004]であるので、両IDは一致する。したがって、当該POS端末では、使用禁止フラグがリセットされる。すなわち、入力部からの入力が可能となる。また、業務メニューが表示される。この場合も、登録業務と精算業務の業務メニューが表示されるので、当該キャッシャは、いずれかの業務に関する情報処理を実行する。
矢印Eは、当該キャッシャが、13時30分より前に装置ID[2002]のPOS端末に付設されているリーダ・ライタ5の無線通信領域から出たことを示している。この場合、当該POS端末では、使用者ID[100004]の認証継続コマンドが途絶えるので、使用禁止フラグがセットされる。すなわち、入力部からの入力が禁止される。
また、上記勤務スケジュールに対し、使用者ID[100002]で特定されるキャッシャの行動が図10中矢印F〜Jであったとする。矢印Fは、当該キャッシャが、10時00分より後に装置ID[2003]が設定されたPOS端末に付設されているリーダ・ライタ5の無線通信領域内に入ったことを示している。この場合、当該POS端末では、当該キャッシャが携帯している無線IDモジュール4の使用者ID[100002]が認識される。また、当該POS端末では、10時00分から12時00分までの使用時間帯が設定されたスケジュールデータD1が有効である。そして、このスケジュールデータD1の使用者IDは[100002]であるので、両IDは一致する。したがって、当該POS端末では、使用禁止フラグがリセットされる。すなわち、入力部からの入力が可能となる。また、業務メニューが表示される。当該キャッシャの権限レベルは“1”であるので、登録業務の業務メニューが表示される。すなわち、当該キャッシャは、登録業務に関する情報処理を実行することができる。
矢印Gは、当該キャッシャが、12時00分より後に装置ID[2003]のPOS端末で実行していた業務を終了したことを示している。この場合、当該POS端末では、スケジュールデータD1の終了時刻が経過しているので、使用禁止フラグがセットされる。すなわち、入力部からの入力が禁止される。
矢印Hでは、当該キャッシャが、13時00分より前に装置ID[2002]が設定されたPOS端末に付設されているリーダ・ライタ5の無線通信領域に入ったことを示している。この場合、当該POS端末では、当該キャッシャが携帯している無線IDモジュール4の使用者ID[100002]が認識される。また、当該POS端末では、12時00分から13時30分までの使用時間帯が設定されたスケジュールデータD5が有効である。そして、このスケジュールデータD5の使用者IDは[100004]であるので、両IDは一致しない。したがって、当該POS端末では、使用禁止フラグがリセットされたままとなる。すなわち、入力禁止状態が継続される。
矢印Iでは、当該キャッシャが、13時00分より後に装置ID[2002]が設定されたPOS端末に付設されているリーダ・ライタ5の無線通信領域内に再び入ったことを示している。この場合、当該POS端末では、当該キャッシャが携帯している無線IDモジュール4の使用者ID[100002]が認識される。また、当該POS端末では、12時00分から13時30分までの使用時間帯が設定されたスケジュールデータD5と、13時00分から14時30分までの使用時間帯が設定されたスケジュールデータD7とが有効である。そして、スケジュールデータD7の使用者IDは[100002]であるので、両IDは一致する。したがって、当該POS端末では、使用禁止フラグがリセットされる。すなわち、入力部からの入力が可能となる。また、業務メニューが表示される。この場合も、登録業務の業務メニューが表示されるので、当該キャッシャは、登録業務に関する情報処理を実行する。
矢印Jは、当該キャッシャが、14時30分より前に装置ID[2002]のPOS端末に付設されているリーダ・ライタ5の無線通信領域から出たことを示している。この場合、当該POS端末では、使用者ID[100002]の認証継続コマンドが途絶えるので、使用禁止フラグがセットされる。すなわち、入力部からの入力が禁止される。
このように、本実施の形態によれば、使用者IDが設定された無線IDモジュール4を携帯する人物が情報処理装置2に付設されているリーダ・ライタ5の無線通信領域内に入っただけでは、当該情報処理装置2の入力禁止状態が解除されない。入力禁止状態が解除されるのは、当該情報処理装置2においてスケジュールデータとして記憶されている「現時刻を含む使用時間帯に有効な使用者ID」が設定された無線IDモジュール4を携帯する人物がリーダ・ライタ5の無線通信領域内に入った場合だけである。すなわち、予め登録されたスケジュールデータに該当する使用者だけが、情報処理装置2を使用することができる。したがって、例えば無線IDモジュール4を不正に入手した人物の使用を高い信頼性を持って排除できる。また、無線IDモジュールを正当に所有している者が不正に装置を使用する場合も、この不正使用を未然に防ぐことができる。
[第2の実施の形態]
この実施の形態は、本発明の他の観点に基づいた例である。
本実施の形態のシステム全体図を図11に示す。なお、第1の実施の形態と共通する部分には同一符号を付し、詳しい説明を省略する。通信回線1を介して、情報処理装置2Aと、スケジュール管理サーバ3と、入場管理システム9の入場管理装置90とが接続されている。情報処理装置2Bは、通信回線1に接続されていないスタンドアロン型である。
スケジュール管理サーバ3は、使用者データベース6とスケジュールデータベース7とを管理する。スケジュールデータベース7は、第1の実施の形態と同様である。使用者データベース6には、図12に示すように、使用者ID、氏名、権限レベル及び生体情報からなる使用者データが登録されている。生体情報は、例えば指紋である。ここに、使用者データベース6は生体情報データベースとして機能する。なお、生体情報は指紋に限定されるものではなく、掌紋,手形,手の甲の静脈,虹彩,顔,音声等の身体的特徴や筆跡,打鍵等の身体的特性であってもよい。
入場管理システム9は、各情報処理装置2が置かれている施設への入場を管理するもので、入場管理装置90、生体情報読取装置91、無線式のリーダ・ライタ92、及びチケット発行装置93から構成されている。生体情報読取装置91、リーダ・ライタ92及びチケット発行装置93は、それぞれ入場管理装置90と接続されている。
生体情報読取装置91は、入場者の生体情報、例えば指紋を読み取る。リーダ・ライタ92は、無線IDモジュール4と無線通信を行う無線通信手段として機能する。リーダ・ライタ92は、施設の入場口に設けられている。チケット発行装置93については後述する。
本実施の形態においても、無線IDモジュール4は、使用者が例えば名札として常に携帯できる形状をなしており、外観は、図4で示した第1の実施の形態と同様である。また、そのハードウェア構成も、図13に示すように、本体40に、アンテナ43と、ICチップ44とを搭載し、ICチップ44には、CPU441、不揮発性のメモリ442及び無線回路443が実装されている。メモリ442には、その使用者固有のIDが記憶される使用者IDエリアと、暗号鍵及び復号鍵が記憶される鍵管理エリアとに加え、電子チケット情報の格納エリアが形成されている。
各情報処理装置2(2A,2B,…)は、基本的な構成が共通しており、その共通部分を図14のブロック図で示す。図6で示した第1の実施の形態と比較すれば明らかなように、第2の実施の形態の情報処理装置2は、使用者認識処理部25に代えて、チケット検査部250を備えている。
なお、図示しないが、一方の情報処理装置2Aは、通信部24にLAN1が接続されており、このLAN1を介して接続されたスケジュール管理サーバ3とデータ通信を行う。他方の情報処理装置2Bは、通信部24にLANが接続されていない。情報処理装置2Bは、通信部24を備えていなくてもよい。
入場管理装置90の主要な動作手順を、図15の流れ図で示す。図示するように、入場管理装置90は、ST51として無線IDモジュール4に記憶された使用者IDの受信を待機している。無線IDモジュール4を携帯した入場予定者が入場口に近付くと、その無線IDモジュール4のメモリ442に記憶された使用者IDが、リーダ・ライタ92によって非接触で読み取られる。リーダ・ライタ92で読み取られた使用者IDは、入場管理装置90に送られる。
入場管理装置90は、リーダ・ライタ92で読み取られた使用者IDを受信すると(ST51のYES)、ST52としてLAN1を介して接続されたスケジュール管理サーバ3に、当該使用者IDで特定される使用者の生体情報を要求する(生体情報取得手段)。この要求を受けたスケジュール管理サーバ3では、使用者データベース6が検索され、当該使用者IDに対応して記憶されている使用者データの氏名、権限レベル及び生体情報が読み出される。そして、この読み出された氏名、権限レベル及び生体情報が、LAN1を介して入場管理装置90に送信される。
生体情報を要求した入場管理装置は、ST53,ST54として生体情報の受信を待機する。一定時間を経過しても生体情報を受信できない場合には(ST54のYES)、入場管理装置90は、ST51に戻り、次の使用者IDの受信を待機する。
スケジュール管理サーバ3から氏名、権限レベル及び生体情報を受信すると(ST53のYES)、入場管理装置90は、ST55として生体認証処理を実行する。すなわち、生体情報読取装置91で読み取った生体情報と、スケジュール管理サーバ3から受信した生体情報との一致性を判断する(生体情報照合手段)。その結果、一致していないと判断した場合には(ST56のNO)、入場管理装置90は、ST51に戻り、次の使用者IDの受信を待機する。この事象は、無線IDモジュール4を本人以外が携帯していた場合に起こり得る。
無線IDモジュール4を本人が携帯していた場合には、生体情報が一致する。一致している場合には(ST56のYES)、入場管理装置90は、ST57としてスケジュール管理サーバ3に、当該使用者IDを含むスケジュールデータを要求する(スケジュール要求手段)。スケジュール管理サーバ3は、要求のあった使用者IDでスケジュールデータベース7を検索し、当該使用者IDが含まれるスケジュールデータをすべて抽出する。そして、抽出したスケジュールデータを、LAN1を介して入場管理装置90に配信する(スケジュール配信手段)。
スケジュールデータを要求した入場管理装置90は、ST58,ST59としてスケジュールデータが配信されるのを待機する。一定時間を経過してもスケジュールデータが配信されない場合には(ST59のYES)、入場管理装置90は、ST51に戻り、次の使用者IDの受信を待機する。例えば、入場予定者の使用者IDが含まれるスケジュールデータがスケジュールデータベース7に登録されていない場合に起こり得る。すなわち、スケジュールデータがスケジュールデータベース7に登録されていない入場予定者は、たとえ正規の無線IDモジュール4を携帯していたとしても、施設内に入場することはできない。
スケジュールデータが配信された場合には(ST58のYES)、入場管理装置90は、ST60としてそのスケジュールデータをチケット発行装置93に送信して、電子チケットの発行を指令する。
この指令を受けたチケット発行装置93は、図16に示すように、チケット発行装置93から受信したスケジュールデータ毎に、その開始時刻、終了時刻、装置ID及び権限レベルを電子的に記述した電子チケット情報T1,T2,…を作成する。作成された電子チケット情報T1,T2,…は、入場管理装置90に送出される(チケット発行手段)。
入場管理装置90は、ST61としてリーダ・ライタ92を介して当該使用者IDが記録された無線IDモジュール4と無線通信を行い、そのメモリ442に、電子チケット情報T1,T2,…を非接触で書き込む(チケット情報書込み手段)。
電子チケット情報T1,T2,…がメモリ442に正当に書き込まれた無線IDモジュール4からは、受領応答信号が発信される。入場管理装置90は、上記受領応答信号を受信すると、入場管理処理を実行する。入場管理処理は、例えば入場口のロックを解除する。また、当該使用者IDで特定される使用者の氏名と入場時刻とを記録する。入場管理処理を終了すると、入場管理装置90は、ST51に戻り、次の使用者IDの受信を待機する。
したがって、自身のスケジュールデータがスケジュールデータベース7に登録されている入場予定者が、入場口にて生体認証を実行し、承認されると、この入場予定者が携帯している無線IDモジュール4に、自身のスケジュールデータに応じた電子チケット情報T1,T2,…が書き込まれる。そして、電子チケット情報T1,T2,…の書込みが終了すると、施設内への入場が可能となる。
施設内に入場した使用者は、自身が使用する予定の情報処理装置2Aまたは2Bに近付く。情報処理装置2Aまたは2Bには、リーダ・ライタ5が付設されており、その無線通信領域内に入ると、当該使用者が携帯している無線IDモジュール4から使用者IDを含む応答波が発信される。この応答波は、リーダ・ライタ5のアンテナ51で受信される。リーダ・ライタ5では、応答波から使用者IDを読出し、チケット検査部250に送信する。
チケット検査部250は、図17に示すように、ST71として使用者IDが受信されるのを待機している。リーダ・ライタ5を介して使用者IDを受信すると(ST71のYES)、チケット検査部250は、その使用者IDを含む電子チケット要求コマンドを送信する。このコマンドは、リーダ・ライタ5のアンテナ51から無線送信される。
上記電子チケット要求コマンドは、当該コマンドに含まれる使用者IDを記憶した無線IDモジュール4で受信される。当該コマンドを受信した無線IDモジュール4は、メモリ442に書き込まれている電子チケット情報T1,T2,…を含む応答波が発信される。この応答波は、リーダ・ライタ5のアンテナ51で受信される。リーダ・ライタ5では、応答波から電子チケット情報T1,T2,…を読出し、チケット検査部250に送信する。
チケット検査部250は、ST73,74として電子チケット情報T1,T2,…の受信を待機している(チケット取得手段)。所定時間内に電子チケット情報T1,T2,…を受信できなかった場合には(ST74のYES)、ST71に戻り、次の使用者IDを待機する。この事象は、例えば使用者が無線通信領域から離れた場合に起こり得る。
電子チケット情報T1,T2,…を受信した場合には(ST73のYES)、チケット検査部250は、その電子チケット情報T1,T2,…を解析する。そして、ST76として自己に対して設定されている装置IDが記録された電子チケット情報が存在するか否か、また、存在する場合には(ST76のYES)、ST77としてその電子チケット情報の開始時刻から終了時刻までの使用時間帯に現在の時刻が含まれるか否かを判断する。装置IDは、記憶部22に記憶されている。現在時刻は、時計部23で計時されている。チケット検査部250は、主制御部21を介して装置IDと現在時刻の情報を取得し、電子チケット情報T1,T2,…の解析に用いる。なお、記憶部22及び時計部23をチケット検査部250に直接接続して、主制御部21を介すことなく装置IDと現在時刻の情報を取得するように構成してもよい。
自己に対して設定されている装置IDを記録した電子チケット情報が存在しない場合(ST76のNO)、あるいは開始時刻から終了時刻までの使用時間帯に現在時刻が含まれない場合には(ST77のNO)、チケット検査部250は、ST71に戻り、次の使用者IDを待機する。この事象は、使用者が業務を予定した情報処理装置2以外の情報処理装置2に近付いたり、予定した使用時間帯以外の時刻に情報処理装置2に近付いたりした場合に起こり得る。
自己に対して設定されている装置IDが記録された電子チケット情報が存在し(ST76のYES)、かつ、開始時刻から終了時刻までの使用時間帯に現在時刻が含まれる場合には(ST77のYES)、チケット検査部250は、ST78として主制御部21に認証成功コマンドを通知する。認証成功コマンドには、該当する電子チケット情報の終了時刻と権限レベルとが含まれる。
一方、電子チケット情報T1,T2,…を発信した無線IDモジュール4は、認証要求コマンドを発信する。チケット検査部250は、ST79として無線IDモジュール4から認証要求コマンドを受信したか否かを判断する。リーダ・ライタ5を介して上記認証要求コマンドを受信したならば(ST79のYES)、チケット検査部250は、ST80として上記認証要求コマンド送信元の無線IDモジュール4に対して、認証応答コマンドを無線送信させる。また、ST81として主制御部21に認証継続コマンドを通知する。
上記認証応答コマンドは、リーダ・ライタ5から電波として放射される。このとき、電波到達領域内に認証要求コマンド送信元の無線IDモジュール4が存在していると、上記認証応答コマンドは、当該無線IDモジュール4で受信される。上記認証応答コマンドを受信した無線IDモジュール4は、再び認証要求コマンドを無線送信する。
以後、チケット検査部250は、認証要求コマンドを受信する毎に(ST79のYES)、認証要求コマンド送信元の無線IDモジュール4に対して、認証応答コマンドを無線送信させる処理と、主制御部21に認証継続コマンドを通知する処理とを繰り返す。
ところで、情報処理装置2が起動すると、主制御部21は、図18の流れ図に示す手順の処理を開始する。先ず、ST91として操作禁止フラグをセットする。本実施の形態においても、主制御部21は、操作禁止フラグがセットされると、デバイスインターフェイス26に接続された周辺機器のうち、キーボード28、ポインティングデバイス、スキャナ、タッチパネル等の入力部からの入力を禁止する(入力禁止手段)。
この状態で、主制御部21は、ST92としてチケット検査部250から認証成功コマンドが通知されるのを待機する。チケット検査部250から認証成功コマンドが通知されると、主制御部21は、ST93として操作禁止フラグをリセットする。これにより、キーボード28、ポインティングデバイス、スキャナ、タッチパネル等の入力部からの入力禁止状態が解除される(使用許可手段)。
操作禁止フラグをリセットした後、主制御部21は、ST94として認証成功コマンドに含まれる権限レベル以下のランクが設定されている業務を選択する。そして、ST95としてこの選択された業務のメニュー画面を作成し、ディスプレイ29に表示させる。
この状態で、主制御部21は、ST96としていずれかの業務メニューが選択されるのを待機する。また、この待機中に、主制御部21は、ST97として現時刻が認証成功コマンドに含まれる終了時刻を経過したか否かを判断する(終了時刻判定手段)。
終了時刻が経過する前に、いずれかの業務メニューが選択された場合には(ST96のYES)、主制御部21は、ST98としてその業務処理を実行する。すなわち、入力部を介して入力された情報を処理する。
主制御部21は、ST99として選択された1業務が終了するのを待機する。また、この待機中に、主制御部21は、ST100としてチケット検査部250から認証継続コマンドを周期的に受付けているか否かを判断する。認証継続コマンドを受付けている間は(ST100のYES)、選択された1業務を実行する。認証継続コマンドが途絶えた場合は(ST100のNO)、主制御部21は、ST101として実行中の業務を強制的に終了させる。そして、ST91に戻り、操作禁止フラグをセットして、入力部からの入力を禁止する(使用制限手段)。
選択された1業務が終了した場合には(ST99のYES)、主制御部21は、ST95に戻り、業務メニューを再度表示する。その後、いずれかの業務メニューが選択された場合には、主制御部21は、その業務処理を実行する。また、終了時刻が経過した場合には、主制御部21は、ST91に戻る。すなわち、操作禁止フラグをセットして、入力部からの入力を禁止する(使用制限手段)。
このように、第2の実施の形態においては、使用者IDが設定された無線IDモジュール4を携帯する人物であっても、情報処理装置2が設置されている施設内に必ず入場できるというわけではない。入場が許可されるのは、いずれかの情報処理装置2を使用する予定のスケジュールデータが登録された使用者だけである。
また、施設内に入場したからといって施設内の全ての情報処理装置を使用できるというわけではない。使用が許可されるのは、スケジュールデータに登録されている装置IDの装置のみである。また、使用できる時間帯も、そのスケジュールデータに登録されている使用時間帯内に限られる。したがって、第1の実施の形態と同様に、無線IDモジュール4を不正に入手した人物の使用を高い確率を持って排除できる。また、無線IDモジュールを正当に所有している者が不正に装置を使用する場合も、この不正使用を未然に防ぐことができる。
ところで、この第2の実施の形態においては、情報処理装置2は、無線IDモジュール4に記憶された電子チケット情報T1,T2,…を確認するだけでよい。したがって、第1の実施の形態と比較して認証処理に要する負荷を軽減させることができる。その結果、情報処理装置として処理能力の低い機器であってもよい。また、必ずしもサーバに接続されていなくてもよいので、スタンドアロン型のような単体の情報処理装置の使用も確実に制限することができる。
なお、この発明は前記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。
例えば、前記各実施の形態では、使用宣言手段として、使用許可手段により前記入力禁止状態が解除されている間、無線通信手段により前記無線IDモジュールから受信しているIDを認識し、使用者ID取得手段により取得したIDを認識できなくなると、入力禁止手段による入力禁止状態を有効とする手段と、終了時刻判定手段により使用時間帯が経過したと判定されると、入力禁止手段による入力禁止状態を有効とする手段を例示したが、使用宣言手段はこれらに限定されるものではない。また、いずれか一方の手段のみを備えた情報処理装置であってもよい。
また、前記第2の実施の形態では、無線IDモジュールを携帯している人物の本欄認証を生体情報を利用して行ったが、本人認証方法はこれに限定されるものではない。例えばパスワードを入力させて本人認証を行ってもよい。また、本人認証は必ずしも必要とするものではない。
この他、前記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を組合わせてもよい。
1…通信回線、2(2A,2B,…)…情報処理装置、3…スケジュール管理サーバ、4…無線IDモジュール、5…リーダ・ライタ、6…使用者データベース、7…スケジュールデータベース、8…メンテナンス用パソコン、21…主制御部、22…記憶部、23…時計部、24…通信部、25…使用者認識処理部、26…デバイスインターフェイス、9…入場管理システム、90…入場管理装置、91…生体情報読取装置、92…リーダ・ライタ、93…チケット発行装置、250…チケット検査部。