WO2004090771A1 - 電子商取引方法，電子商取引システムおよび認証端末並びに代理人による本人認証方法 - Google Patents

Abstract

電子商取引を行なう際にネットワーク上でやり取りされるパスワードやバイオメトリクス情報などの認証情報が悪用されるのを確実に防止すべく、商品の発注時に、発注者は認証情報を認証端末(1)に入力し、この認証端末(1)は、認証情報を暗号化して受注者へ送付するとともに認証情報と復号鍵とを保持し、商品の納品時に、納品担当は、商品の発注時に認証端末(1)から受け取った暗号化済み認証情報を認証端末(1)に入力するとともに、発注者は、認証端末(1)の正規の所有者であることを示す端末認証のデータを認証端末(1)に入力し、認証端末(1)は、そのデータによって発注者が認証端末(1)の正規の所有者であることを認証したら、納品担当により入力された暗号化済み認証情報を認証端末(1)内の復号鍵で復号し、復号認証情報と認証端末(1)内の認証情報とを照合し、これらの認証情報が一致した場合に納品担当は商品の発注者への受渡しを実行する。

Description

明 細 書 電子商取引方法， 電子商取引システムおよび認証端末

並びに代理人による本人認証方法 技術分野

本発明は、 パスワードなどの本人認証情報または本人の身体的特徴をあらわす デジタルデータ （バイオメトリクス情報） を用いて本人認証を行なう電子商取引 に用いられる技術に関する。 背景技術

電子商取引において、 本人を認証する方法としては P K I (Public Key Infr astructure) が'ある。 この P K Iでは、 ¾ί、証局 (Certificate Authority：以下、 C Aと記す） が登録ユーザに対して秘密鍵と公開鍵を発行する。 ユーザは、 業者 に対して商品等を発注する際、 ユーザの電子署名を秘密鍵で暗号化し、 公開鍵と ともに業者に送る。 業者は、 送信された電子署名を公開鍵で復号できることを確 認し、 その公開鍵をもとに C Aにユーザの照合を行なうことで、 発信者がユーザ 本人であることを認証する。 P K Iでは、 ネットワーク上で送信したユーザの情 報が改ざんされていないこと、 第三者がユーザになりすましていないことが保証 される。

P K Iでは、 公開鍵暗号化方式を用いることにより、 ネットワークの経路上で のセキュリティを確保している。 しかし、 ユーザの秘密鍵を第三者が盗み出して 使用した場合、 P K Iは正規のユーザか第三者による不正使用かを判断すること はできない。 そのため、 P K Iとは別に、 確実に本人が秘密鍵を使用しているこ とを証明できる本人認証が必要となる。 パスワードのような "言葉" では、 知つ ているか知らないかを確認できるだけであって、 本人か他人かを判定することは できない。

そこで、 パスワードに代わる認証方式として、 バイオメトリクス情報による照 合が提案されている。 バイオメトリクス情報は、 ュ一ザの身体的特徴をデータ化 したものであり、 代表的なバイオメトリクス情報としては、 指紋， 掌紋， 網膜， 虹彩， サイン， 音声などがある。 予め登録されているバイオメトリクス情報と、 ユーザが入力したバイオメトリクス情報とを照合することにより、 いまバイオメ トリクス情報を入力した人がユーザ本人であることを確認することができる。 バイオメトリクスデ一夕を用いた本人認証手段としては、 例えば特開 2 0 0 1 一 2 9 7 2 6 9号公報 （特許文献 1 ) に開示された手法が知られている。 この手 法では、 商品の発注時に、 発注者 （ユーザ） は、 自身のバイオメトリクス情報を 発注端末から業者 （受注者） 側の電子商取引サーバへ送る。 そして、 電子商取引 サーバは、 発注者が受取先として指定した店舗に配置されている本人確認端末 (照合端末） に発注者のバイオメトリクス情報を送る。 この後、 受取人によって 商品の引渡しが要求された場合、 店舗の店員は、 本人確認端末を使用して受取人 のバイオメトリクス情報を採取して電子商取引サーバから送られてきている発注 者のバイオメトリクス情報と照合し、 これらのバイオメトリクス情報が一致した 場合に商品を引き渡す。

しかしながら、 このような電子商取引では、 バイオメトリクス情報を業者に受 け渡さなければならないため、 そのバイオメトリクス情報が誤って流出してしま うおそれがあり、 万一、 バイオメトリクス情報が流出すると第三者によって悪用 され、 なりすましによる商品の不正発注 ·不正取引が行なわれる可能性がある。 また、 上述した電子商取引では、 バイオメトリクス情報を用いて認証を行なう ため、 商品は発注者本人しか受け取ることができず、 万一、 発注者が受け取れな いような場合に代理人が商品の受取を行なおうとしても、 その商品を受け取る手 段が無かった。

本発明は、 このような課題に鑑み創案されたもので、 電子商取引を行なう際に ネッ卜ワーク上でやり取りされるパスヮ一ドゃバイオメトリクス情報などの認証 情報が悪用されるのを確実に防止することを第 1の目的とするとともに、 商品等 の受取に際して発注者本人だけでなく発注者本人が指定した代理人による受取を 可能にすることを第 2の目的とする。

特許文献 1

特開 2 0 0 1— 2 9 7 2 6 9号公報 発明の開示

上記目的を達成するために、 本発明の電子商取引方法 〔1〕 は、 発注者がネッ トワークを介して受注者に商品を発注し該商品を受け取る方法であって、 （1-1) 該商品の発注時に、 該発注者は該発注者本人を特定するための認証情報を認証端 末に入力し、 （1-2)該認証端末は、 所定の暗号鍵で該認証情報を暗号化し、 暗号 化済み認証情報を該商品の発注伝票とともに該ネットワークを介して該受注者へ 送付するとともに、 該認証情報と該暗号化済み認証情報を復号するための復号鍵 とを保持し、 （1-3)該商品の納品時に、 該受注者側の納品担当は、 該商品の発注 時に該認証端末から受け取つた該暗号化済み認証情報を該認証端末に入力すると ともに、 該発注者は、 該認証端末の正規の所有者であることを示す端末認証のデ 一夕を該認証端末に入力し、 （1-4)該認証端末は、 該デ一夕によって該発注者が 該認証端末の正規の所有者であることを認証したら、 該納品担当によつて入力さ れた該暗号化済み認証情報を、 該認証端末内に保持された該復号鍵で復号し、 復 号認証情報と該認証端末内に保持された該認証情報とを照合し、 これらの認証情 報が一致した場合にその旨を該発注者， 該納品担当および該受注者に通知し、 (1-5)該認証端末からの照合一致通知を受けて、 該納品担当は該商品の該発注者 への受渡しを実行することを特徵としている。

本発明の電子商取引方法 〔2〕 は、 発注者がネットワークを介して受注者に商 品を発注し該商品を受け取る方法であって、 (2-1)該商品の発注時に、 該発注者 は該発注者本人を特定するための第 1発注者バイオメトリクス情報を認証端末に 入力し、 （2-2)該認証端末は、 所定の暗号鍵で該第 1発注者バイオメトリクス情 報を暗号化し、 暗号化済み第 1発注者バイオメ卜リクス情報を該商品の発注伝票 とともに該ネットワークを介して該受注者へ送付するとともに、 該暗号化済み第 1発注者バイオメトリクス情報を復号するための復号鍵を保持し、 （2-3)該商品 の納品時に、 該受注者側の納品担当は、 該商品の発注時に該認証端末から受け取 つた該暗号化済み第 1発注者バイオメトリクス情報を該認証端末に入力するとと もに、 該発注者は、 該発注者本人を特定するための第 2発注者バイオメトリクス 情報を該認証端末に入力し、 （2-4)該認証端末は、 該納品担当によって入力され PC漏 003趣 271 た該暗号化済み第 1発注者バイオメトリクス情報を、 該認証端末内に保持された 該復号鍵で復号し、 復号第 1発注者バイオメトリクス情報と該第 2発注者バイオ メトリクス情報とを照合し、 これらの発注者バイオメトリクス情報が一致した場 合にその旨を該発注者， 該納品担当および該受注者に通知し、 （2-5)該認証端末 からの照合一致通知を受けて、 該納品担当は該商品の該発注者への受渡しを実行 することを特徴としている。

本発明の電子商取引方法 〔3〕 は、 発注者がネットワークを介して受注者に商 品を発注し、 該発注者が委任した代理人が該商品を受け取る方法であって、 （3- 1)該商品の発注時に、 該発注者は該発注者本人を特定するための第 1発注者バイ オメトリクス情報を認証端末に入力し、 （3-2)該認証端末は、 該第 1発注者バイ オメ卜リクス情報を該商品の発注伝票とともに該ネットワークを介して該受注者 へ送付し、 （3-3)該発注者が該商品の受取を代理人に委任する際、 該発注者は、 該発注者本人を特定するための第 2発注者バイオメトリクス情報を該認証端末に 入力するとともに、 該代理人は、 該代理人本人を特定するための第 1代理人バイ オメトリクス情報を該認証端末に入力し、 (3-4)該認証端末は、 該第 2発注者バ ィオメ卜リクス情報と該第 1代理人バイオメトリクス情報とを対応付けて保持し、 (3-5)該商品の納品時に、 該受注者側の納品担当は、 該商品の発注時に該認証端 末から受け取った該第 1発注者バイオメ卜リクス情報を該認証端末に入力すると ともに、 該代理人は、 該代理人本人を特定するための第 2代理人バイオメ卜リク ス情報を該認証端末に入力し、 (3-6)該認証端末は、 該第 2代理人バイオメトリ クス情報と該認証端末内に保持された該第 1代理人バイオメトリクスとを照合し、 これらの代理人バイオメトリクス情報が一致した場合に該納品担当によって入力 された該第 1発注者バイオメトリクス情報と該認証端末内に保持された該第 2発 注者バイオメトリクス情報とを照合し、 これらの発注者バイオメトリクス情報が 一致した場合にその旨を該代理人， 該納品担当おょぴ該受注者に通知し、 （3-7) 該認証端末からの照合一致通知を受けて、 該納品担当は該商品の該代理人への受 渡しを実行することを特徴としている。

本発明の電子商取引方法 〔4〕 は、 発注者たる借受人と受注者たる金融機関と の間でネットワークを介して商品としての金銭の貸借を行なう方法であって、 (4-1)該発注者と該受注者との金銭消費貸借契約時に、 該発注者は該発注者本人 を特定するための認証情報を認証端末に入力し、 （4-2)該認証端末は、 所定の暗 号鍵で該認証情報を暗号化し、 暗号化済み認証情報を該ネットワークを介して該 受注者へ送付するとともに、 該認証情報と該暗号化済み認証情報を復号するため の復号鍵とを保持し、 （4-3)該発注者が該受注者に該金銭の返金を行なう際に、 該受注者は、 該金銭消費貸借契約時に該認証端末から受け取つた該暗号化済み認 証情報を該認証端末に入力するとともに、 該発注者は、 該暗号化済み認証情報を 復号するために必要なデータを該認証端末に入力し、 （4-4)該認証端末は、 該デ —夕に応じて、 該受注者によって入力された該暗号化済み認証情報を、 該認証端 末内に保持された該復号鍵で復号し、 復号認証情報と該認証端末内に保持された 該認証情報とを照合し、 その照合結果を該認証端末内に格納することを特徴とし ている。

本発明の電子商取引方法 〔5〕 は、 発注者たる借受人と受注者たる金融機関と の間でネットワークを介して商品としての金銭の贷借を行なう方法であって、 (5-1)該発注者と該受注者との金銭消費貸借契約時に、 該発注者は該発注者本人 を特定するための第 1発注者バイオメトリクス情報を認証端末に入力し、 (5-2) 該認証端末は、 所定の暗号鍵で該第 1発注者バイオメトリクス情報を暗号化し、 暗号化済み第 1発注者バイオメトリクス情報を該ネットワークを介して該受注者 へ送付するとともに、 該暗号化済み第 1発注者バイオメトリクス情報を復号する ための復号鍵を保持し、 (5-3)該発注者が該受注者に該金銭の返金を行なう際に、 該受注者は、 該金銭消費貸借契約時に該認証端末から受け取つた該暗号化済み第 1発注者バイオメトリクス情報を該認証端末に入力するとともに、 該発注者は、 該発注者本人を特定するための第 2発注者バイオメトリクス情報を該認証端末に 入力し、 （5-4)該認証端末は、 該受注者によって入力された該暗号化済み第 1発 注者バイオメ卜リクス情報を、 該認証端末内に保持された該復号鍵で復号し、 復 号第 1発注者バイオメ卜リクス情報と該第 2発注者バイオメ卜リクス情報とを照 合し、 その照合結果を該認証端末内に格納することを特徴としている。

本発明の電子商取引方法 〔6〕 は、 送金者が、 該送金者の端末によりネットヮ ークを介して金融機関に、 該送金者の口座から受取人への送金を依頼する方法で あって、 （6-1)該受取人は該受取人本人を特定するための認証情報を、 該受取人 の認証端末に入力し、 （6-2)該認証端末は、 所定の暗号鍵で該認証情報を暗号化 し、 暗号化済み認証情報を該ネットワークを介して該送金者の端末へ送付すると ともに、 該認証情報と該暗号化済み認証情報を復号するための復号鍵とを保持し、 (6-3)該送金者の端末は、 該認証端末からの該暗号化済み認証情報を、 送金依頼 とともに、 該ネットワークを介して該金融機関に送付し、 （6-4)該受取人が該送 金者からの金銭を受け取る際に、 該金融機関の送金担当は、 該送金者の端末から 受け取つた該暗号化済み認証情報を該認証端末に入力するとともに、 該受取人は、 該暗号化済み認証情報を復号するために必要なデータを該認証端末に入力し、 (6-5)該認証端末は、 該デ一夕に応じて、 該送金担当によって入力された該暗号 化済み認証情報を、 該認証端末内に保持された該復号鍵で復号し、 復号認証情報 と該認証端末内に保持された該認証情報とを照合し、 これらの認証情報が一致し た場合にその旨を該受取人および該送金担当に通知し、 (6-6)該認証端末からの 照合一致通知を受けて、 該送金担当は該送金者からの金銭を該受取人に受け渡す ことを特徴としている。

本発明の電子商取引方法 〔7〕 は、 送金者が、 該送金者の端末によりネットヮ —クを介して金融機関に、 該送金者の口座から受取人への送金を依頼する方法で あって、 (7-1)該受取人は該受取人本人を特定するための第 1受取人バイオメト リクス情報を、 該受取人の認証端末に入力し、 (7-2)該認証端末は、 所定の暗号 鍵で該第 1受取人バイオメトリクス情報を暗号化し、 暗号化済み第 1受取人バイ オメトリクス情報を該ネットワークを介して該送金者の端末へ送付するとともに、 該暗号化済み第 1受取人バイオメトリクス情報を復号するための復号鍵を保持し、 (7-3)該送金者の端末は、 該認証端末からの該暗号化済み第 1受取人バイォメト リクス情報を、 送金依頼とともに、 該ネットワークを介して該金融機関に送付し、 (7-4)該受取人が該送金者からの金銭を受け取る際に、 該金融機関の送金担当は、 該送金者の端末から受け取つた該暗号化済み第 1受取人バイオメトリクス情報を 該認証端末に入力するとともに、 該受取人は、 該受取人本人を特定するための第 2受取人バイオメトリクス情報を該認証端末に入力し、 （7-5)該認証端末は、 該 送金担当によって入力された該暗号化済み第 1受取人バイオメ卜リクス情報を、 該認証端末内に保持された該復号鍵で復号し、 復号第 1受取人バイオメトリクス 情報と該第 2受取人バイオメトリクス情報とを照合し、 これらのバイオメトリク ス情報が一致した場合にその旨を該受取人および該送金担当に通知し、 （7-6)該 認証端末からの照合一致通知を受けて、 該送金担当は該送金者からの金銭を該受 取人に受け渡すことを特徴としている。

本発明の電子商取引方法 〔8〕 は、 送金者が、 受取人の認証端末によりネット ワークを介して金融機関に、 該送金者の口座から該受取人への送金を依頼する方 法であって、 （8-1)該受取人は該受取人本人を特定するための認証情報を、 該受 取人の認証端末に入力し、 （8-2)該認証端末は、 所定の暗号鍵で該認証情報を暗 号化し、 暗号化済み認証情報と送金依頼とを該ネットワークを介して該金融機関 へ送付するとともに、 該認証情報と該暗号化済み認証情報を復号するための復号 鍵とを保持し、 （8-3)該受取人が該送金者からの金銭を受け取る際に、 該金融機 関の送金担当は、 該認証端末から受け取つた該暗号化済み認証情報を該認証端末 に入力するとともに、 該受取人は、 該暗号化済み認証情報を復号するために必要 なデータを該認証端末に入力し、 (8-4)該認証端末は、 該データに応じて、 該送 金担当によつて入力された該暗号化済み認証情報を、 該認証端末内に保持された 該復号鍵で復号し、 復号認証情報と該認証端末内に保持された該認証情報とを照 合し、 これらの認証情報が一致した場合にその旨を該受取人および該送金担当に 通知し、 (8-5)該認証端末からの照合一致通知を受けて、 該送金担当は該送金者 からの金銭を該受取人に受け渡すことを特徴としている。

本発明の電子商取引方法 〔9〕 は、 送金者が、 受取人の認証端末によりネッ卜 ワークを介して金融機関に、 該送金者の口座から該受取人への送金を依頼する方 法であって、 (9-1)該受取人は該受取人本人を特定するための第 1受取人バイオ メトリクス情報を、 該受取人の認証端末に入力し、 （9-2)該認証端末は、 所定の 暗号鍵で該第 1受取人バイオメ卜リクス情報を暗号化し、 暗号化済み第 1受取人 バイオメトリクス情報と送金依頼とを該ネットワークを介して該金融機関へ送付 するとともに、 該暗号化済み第 1受取人バイオメトリクス情報を復号するための 復号鍵を保持し、 （9-3)該受取人が該送金者からの金銭を受け取る際に、 該金融 機関の送金担当は、 該認証端末から受け取った該暗号化済み第 1受取人バイオメ トリクス情報を該認証端末に入力するとともに、 該受取人は、 該受取人本人を特 定するための第 2受取人バイオメトリクス情報を該認証端末に入力し、 （9-4)該 認証端末は、 該送金担当によって入力された該暗号化済み第 1受取人バイオメト リクス情報を、 該認証端末内に保持された該復号鍵で復号し、 復号第 1受取人バ ィオメトリクス情報と該第 2受取人パイオメトリクス情報とを照合し、 これらの バイオメトリクス情報が一致した場合にその旨を該受取人および該送金担当に通 知し、 （9-5)該認証端末からの照合一致通知を受けて、 該送金担当は該送金者か らの金銭を該受取人に受け渡すことを特徴としている。

本発明の電子商取引システム 〔1 0〕 は、 受注者に対する商品の発注を行なう とともに該商品の受取時に発注者本人の認証を行なう、 発注者側の認証端末と、 該認証端末と該受注者との間で情報のやり取りを行なうネットワークと、 該認証 端末から該ネットワークを介して送られてきた受注情報を保持する、 該受注者側 の受注情報保持部とをそなえ、 該認証端末が、 該商品の発注時に、 該発注者本人 を特定するための認証情報を入力する認証情報入力部と、 該認証情報入力部から 入力された該認証情報を所定の暗号鍵で暗号化する暗号化部と、 該暗号化部によ つて暗号化された暗号化済み認証情報を発注伝票とともに、 該受注情報として、 該ネットワークを介して該受注者へ送付する出力インタフェース部と、 該認証情 報入力部から入力された該認証情報を保持する認証情報保持部と、 該暗号化部に よって暗号化された暗号化済み認証情報を復号するための復号鍵を保持する復号 鍵保持部と、 該暗号化済み認証情報を復号するために必要な該認証端末の正規の 所有者であることを認証するデータを予め保持するデ一夕保持部と、 該商品の納 品時に、 該発注者により前記デ一夕を入力するデータ入力部と、 該商品の納品時 に、 該受注情報保持部に保持されている該暗号化済み認証情報を入力する入カイ ン夕フェース部と、 該デー夕保持部に保持されたデ一夕と該デ一夕入力部から入 力されたデ一夕とを照合し、 これらのデータが一致した場合に、 該復号鍵保持部 に保持された該復号鍵の使用を許可する発注者認証部と、 該発注者認証部による 照合結果を受けて、 該復号鍵を用いて、 該入力イン夕フェース部から入力された 該暗号化済み認証情報を復号する復号部と、 該復号部によって復号された認証情 報と該認証情報保持部に保持された認証情報とを照合し、 その照合結果を該発注 者， 該商品の納品担当および該受注者に通知する照合部とをそなえて構成されて いることを特徴としている。

本発明の電子商取引システム 〔1 1〕 は、 受注者に対する商品の発注を行なう とともに該商品の受取時に発注者本人の認証を行なう、 発注者側の認証端末と、 該認証端末と該受注者との間で情報のやり取りを行なうネットワークと、 該認証 端末から該ネットワークを介して送られてきた受注情報を保持する、 該受注者側 の受注情報保持部とをそなえ、 該認証端末が、 該発注者のバイオメ卜リクス情報 を採取して入力するバイオメトリクス情報入力部と、 該商品の発注時に、 該発注 者によって該バイオメトリクス情報入力部から入力された第 1発注者バイオメト リクス情報を所定の暗号鍵で暗号化する暗号化部と、 該暗号化部によって暗号化 された暗号化済み第 1発注者バイオメトリクス情報を発注伝票とともに、 該受注 情報として、 該ネットワークを介して該受注者へ送付する出力インタフェース部 と、 該暗号化部によって暗号化された暗号化済み第 1バイオメトリクス情報を復 号するための復号鍵を保持する復号鍵保持部と、 該商品の納品時に、 該受注情報 保持部に保持されている該暗号化済み第 1バイオメトリクス情報を入力する入力 インタフェース部と、 該復号鍵保持部に保持された該復号鍵を用いて、 該入カイ ン夕フエース部から入力された該暗号化済み第 1発注者バイオメトリクス情報を 復号する復号部と、 該復号部によって復号された第 1発注者バイオメ卜リクス情 報と該商品の納品時に該発注者によって該バイオメトリクス情報入力部から入力 された第 2発注者バイオメ卜リクス情報とを照合し、 その照合結果を該発注者, 該商品の納品担当および該受注者に通知する照合部とをそなえて構成されている ことを特徴としている。

本発明の電子商取引システム 〔1 2〕 は、 受注者に対する商品の発注を行なう とともに、 発注者が委任した代理人による該商品の受取時に認証を行なう、 発注 者側の認証端末と、 該認証端末と該受注者との間で情報のやり取りを行なうネッ トワークと、 該認証端末から該ネットワークを介して送られてきた受注情報を保 持する、 該受注者側の受注情報保持部とをそなえ、 該認証端末が、 バイオメトリ クス情報を採取して入力するバイオメトリクス情報入力部と、 該商品の発注時に、 該発注者によって該バイオメトリクス情報入力部から入力された第 1発注者バイ オメトリクス情報を所定の暗号鍵で暗号化する暗号化部と、 該暗号化部によって 暗号化された暗号化済み第 1発注者バイオメ卜リクス情報を発注伝票とともに、 該受注情報として、 該ネットワークを介して該受注者へ送付する出力インタフエ —ス部と、 該暗号化部によって暗号化された暗号化済み第 1バイオメトリクス情 報を復号するための復号鍵を保持する復号鍵保持部と、 該発注者が該商品の受取 を該代理人に委任する際に該発注者によって該バイオメトリクス情報入力部から 入力された第 2発注者バイオメトリクス情報を保持する発注者バイオメトリクス 情報保持部と、 該発注者が該商品の受取を該代理人に委任する際に該代理人によ つて該パイオメトリクス情報入力部から入力された第 1代理人バイオメトリクス 情報を保持する代理人バイオメトリクス情報保持部と、 該商品の納品時に、 該受 注情報保持部に保持されている該暗号化済み第 1発注者バイオメトリクス情報を 入力する入力インタフェース部と、 該代理人バイオメトリクス情報保持部に保持 された該第 1代理人バイオメトリクス情報と該商品の納品時に該代理人によって 該バイオメトリクス情報入力部から入力された第 2代理人バイオメトリクス情報 とを照合し、 これらの代理人バイオメトリクス情報が一致した場合に、 該復号鍵 保持部に保持された該復号鍵の使用を許可する代理人認証部と、 該代理人認証部 による照合結果を受けて、 該復号鍵を用いて、 該入力インタフェース部から入力 された該暗号化済み第 1発注者バイオメトリクス情報を復号する復号部と、 該復 号部によって復号された第 1発注者バイオメ卜リクス情報と該発注者バイオメ卜 リクス情報保持部に保持された第 2発注者バイオメトリクス情報とを照合し、 そ の照合結果を該発注者， 該商品の納品担当および該受注者に通知する発注者認証 部とをそなえて構成されていることを特徴としている。

本発明の認証端末 〔1 3〕 は、 発注者がネットワークを介して受注者に商品の 発注を行なうとともに、 該商品の受取時に発注者本人の認証を行なうものであつ て、 上述した電子商取引システム 〔1 0〕 における認証端末に対応するものであ る。

本発明の認証端末 〔1 4〕 は、 発注者がネットワークを介して受注者に商品の 発注を行なうとともに、 該商品の受取時に発注者本人の認証を行なうものであつ て、 上述した電子商取引システム 〔1 1〕 における認証端末に対応するものであ る。

本発明の認証端末 〔1 5〕 は、 発注者がネットワークを介して受注者に商品の 発注を行なうとともに、 該発注者が委任した代理人による該商品の受取時に認証 を行なうものであって、 上述した商取引システム 〔1 2〕 における認証端末に対 応するものである。

本発明の代理人による本人認証方法 〔1 6〕 は、 認証者が委任した代理人によ つて該認証者の本人認証を行なう方法であつて、 （16-1)該認証者は該認証者本人 を特定するための第 1認証者バイオメトリクス情報を認証端末に入力し、 （16-2) 該認証端末は、 該第 1認証者バイオメトリクス情報を、 ネットワークを介して、 該認証者の本人認証結果を必要とする業者へ送付し、 （16-3)該認証者が該代理人 に委任する際、 該認証者は、 該認証者本人を特定するための第 2認証者バイオメ トリクス情報を該認証端末に入力するとともに、 該代理人は、 該代理人本人を特 定するための第 1代理人バイオメトリクス情報を該認証端末に入力し、 （16-4)該 認証端末は、 該第 2認証者バイオメトリクス情報と該第 1代理人バイオメ卜リク ス情報とを対応付けて保持し、 (16-5)該認証者の本人認証時に、 該業者に送付さ れた該第 1認証者バイオメトリクス情報が該認証端末に入力されるとともに、 該 代理人は、 該代理人本人を特定するための第 2代理人バイオメトリクス情報を該 認証端末に入力し、 （16-6)該認証端末は、 該第 2代理人バイオメトリクス情報と 該認証端末内に保持された該第 1代理人バイオメトリクスとを照合し、 これらの 代理人バイオメトリクス情報が一致した場合に、 入力された該第 1認証者バイォ メトリクス情報と該認証端末内に保持された該第 2認証者バイオメ卜リクス情報 とを照合し、 該認証者の本人認証を行なうことを特徴としている。

上述した本発明によれば、 商品の発注時等に発注者/受取人の認証情報やバイ オメ卜リクス情報が暗号化されて受注者 Z金融機関へ渡され、 その暗号化情報は、 発注者/受取人の認証端末においてのみ復号される。 発注者/受取人が商品や金 銭の受け取る際には、 納品担当ノ送金担当や発注者 Z受取人が上記暗号化情報を 含む所定の情報を認証端末に入力することにより、 この認証端末において、 上記 暗号化情報が復号され、 発注者 Z受取人の本人認証が行なわれる。 従って、 電子 商取引を行なう際にネットワーク上でやり取りされるパスワードやバイオメトリ クス情報などの認証情報が悪用されるのを確実に防止することができる。

また、 本発明によれば、 認証端末に代理人のバイオメ卜リクス情報と発注者の バイオメトリクス情報とを予め保持させておき、 商品の納品時 （認証者である発 注者の本人認証時） に、 納品担当 （業者） が認証端末から送付された発注者のバ ィオメトリクス情報を認証端末に入力するとともに、 代理人が自身のパイオメト リクス情報を認証端末に入力し、 この認証端末において、 まず代理人の本人認証 を行なつて代理人が本人であることが認証されると、 納品担当によつて入力され た発注者のバイオメトリクス情報と認証端末に予め保持されている発注者のバイ オメトリクス情報とによって、 発注者 （認証者） の本人認証が行なわれる。 従つ て、 商品等の受取に際して発注者本人だけでなく発注者本人が指定した代理人に よる受取が、 セキュリティを確保しながら可能になり、 利便性が大幅に向上する。 このように本発明によれば、 発注者 Z受取人 （ユーザ）， 受注者/金融機関 (業者) および決済機関のそれぞれについて、 以下の作用効果が得られる。

発注者/受取人 （ユーザ） については、 P K I利用 （鍵の管理， 暗号化実行） を簡略化できるほか、 バイオメトリクス情報の流用や不正発注によるなりすまし 行為が確実に防止され、 インターネット等を用いた電子商取引を安心して行なう ことができる。 また、 代理人による発注者の本人認証が可能になり、 利便性が大 幅に向上する。

受注者/金融機関 (業者) については、 不正発注を検出しその不正発注が行な われるのを確実に防止でき、 不正取引による商品の不正詐取を確実に防止するこ とができる。

決済機関については、 不正決済を検出でき、 発注者 (ユーザ) ュ一ザの意図し ない決済が行なわれるのを確実に防止することができる。 図面の簡単な説明

図 1 Aはおよび図 1 Bは本発明の電子商取引方法の第 1例を説明するための図 である。

図 2は本発明の電子商取引方法の第 1例の手順を説明するためのフローチヤ一 トである。 図 3は本発明の電子商取引方法の第 2例を説明するための図である。

図 4 Aおよび図 4 Bは本発明の電子商取引方法の第 3例を説明するための図で ある。

図 5は本発明の電子商取引方法の第 3例の手順を説明するためのフローチヤ一 卜である。

図 6 Aおよび図 6 Bは本発明の電子商取引方法の第 4例を説明するための図で ある。

図 7は本発明の電子商取引方法の第 4例の手順を説明するためのフローチヤ一 卜である。

図 8は本発明の電子商取引方法の第 5例を説明するための図である。

図 9は本発明の電子商取引方法の第 6例を説明するための図である。

図 1 0は本発明の電子商取引方法の第 7例を説明するための図である。

図 1 1 A， 図 1 1 Bおよび図 1 1 Cは本発明の電子商取引方法 （代理人による 本人認証方法) の第 8例を説明するための図である。

図 1 2 A, 図 1 2 Bおよび図 1 2 Cは本発明の電子商取引方法 （代理人による 本人認証方法) の第 9例を説明するための図である。

図 1 3は本発明の電子商取引システムおよび認証端末の第 1構成例を示すプロ ック図である。

図 1 4は本発明の電子商取引システムおよび認証端末の第 2構成例を示すプロ ック図である。

図 1 5は本発明の電子商取引システムおよび認証端末の第 3構成例を示すプロ ック図である。

図 1 6は本発明の電子商取引システムおよび認証端末の第 4構成例を示すプロ ック図である。 発明を実施するための最良の形態

以下、 図面を参照して本発明の実施の形態を説明する。

〔1〕 本発明の電子商取引方法 （代理人による本人認証方法）

本発明の電子商取引方法の基本的手順や、 本発明の代理人による本人認証方法 を含む電子商取引方法の基本的手順について、 以下に説明する。

〔1一 1〕 本発明の電子商取引方法の第 1例

図 1 Aはおよび図 1 Bは本発明の電子商取引方法の第 1例を説明するための図、 図 2は本発明の電子商取引方法の第 1例の手順を説明するためのフローチャート (ステップ S 1 1〜S 2 0， S 1 6 a , S 1 9 a ) である。 この電子商取引方法 の第 1例は、 発注者がネットワークを介して受注者に商品を発注し、 その商品を 発注者自身が受け取る方法である。

商品の発注時、 図 1 Aに示すように、 発注者は、 発注者の所有する認証端末 1 に、 発注者本人を特定するための認証情報を入力する （矢印 A 1 1およびステツ プ S 1 1参照）。 認証端末 1において、 入力された認証情報は、 この認証端末 1 内に保持されている所定の暗号化キー （暗号鍵） によって暗号化され （ブロック

B 1 1およびステップ S 1 2参照）、 その暗号済み認証情報は、 商品の発注伝票 (受注データ) とともにネットワークを介して受注者へ送付される (矢印 A 1 2 およびステツプ S 1 3参照）。 このとさ、 ステップ S 1 1で入力された認証情報 と、 ステップ S 1 2で暗号化された暗号化済み認証情報を復号するための復号キ 一 （復号鍵） とが認証端末 1内に保持される。 なお、 認証端末 1内には、 商品の 納品時に後述するごとくユーザ認証を行なうための本人認証鍵 （例えばパスヮ一 ド） も予め保持されている。

次に、 受注者が商品を納品する際、 図 1 Bに示すように、 受注者側の納品担当 は、 商品の発注時に認証端末 1から受け取った暗号化済み認証情報を、 発注者の 所有する認証端末 1に送付 ·入力する (矢印 A 1 3およびステップ S 1 4参照）。 認証端末 1は、 例えばコンパクトフラッシュ (登録商標) カード等の媒体用スロ ット (例えば図 1 3の入力インタフェース部 2 0 ) を装備しており、 納品担当は、 コンパクトフラッシュ等の媒体内に暗号化済み認証情報を格納して持ってきて、 その媒体をスロットに挿入して暗号化済み認証情報を認証端末 1に入力する。 暗 号化済み認証情報を認証端末 1へ搬送するための媒体は、 コンパクトフラッシュ に限定されるものではなく、 P Cカード， I Cカード， スマートメディア （登録 商標)， メモリスティック （登録商標） などの各種媒体であってもよい。

また、 発注者は、 暗号化済み認証情報を復号するために必要なデータ （ここで はユーザ認証を行なうための本人認証データ） を認証端末 1に入力する （矢印 A 1 4 )。 そして、 認証端末 1において、 矢印 A 1 4で示すごとく入力された本人 認証データが、 認証端末 1内に予め保持されている本人認証鍵と一致するか否か を検証し、 商品を受け取ろうとしている発注者が、 認証端末 1の正規ユーザであ ることを認証する （ブロック B 1 2およびステップ S 1 5参照）。

本人認証データと本人認証鍵とが不一致で発注者が認証端末 1の正規ユーザで はないと認定された場合 （ステップ S 1 6の N Oルート）、 認証端末 1は、 その 旨を納品担当， 発注者や受注者に通知し、 納品担当は、 納品を行なうことなく手 続を終了する （ステップ S 1 6 a参照）。 一方、 本人認証データと本人認証鍵と がー致し発注者が認証端末 1の正規ユーザであると認証された場合 （ステツプ S 1 6の Y E Sルート）、 認証端末 1では、 ステップ S 1 4で納品担当によって入 力された暗号化済み認証情報が、 認証端末 1内に保持された復号キーで復号され (ブロック B 1 3およびステップ S 1 7参照）、 さらに、 復号された認証情報と 発注時に認証端末 1内に保持された認証情報とが照合される （ブロック B 1 4お よびステップ S 1 8参照）。

これらの認証情報が不一致であつた場合 (ステップ S 1 9の N Oルート）、 認 証端末 1は、 今回の発注が認証端末 1の現在のユーザによるものではないものと 認識し、 その照合結果を納品担当， 発注者や受注者に通知するとともに、 納品担 当は、 納品を行なうことなく手続を終了する (矢印 A 1 5およびステップ S 1 9 a参照)。 一方、 これらの認証情報が一致した場合 (ステップ S 1 9の Y E Sル 一ト）、 認証端末 1は、 その照合結果を納品担当， 発注者や受注者に通知し （矢 印 A 1 5参照）、 納品担当は商品を発注者に受け渡すとともに受注者は今回の取 引の決済を実行する （ステップ S 2 0参照）。

なお、 ステップ S 1 6 , S 1 9での認証 ·照合結果の納品担当や発注者への通 知は、 例えば、 認証端末 1の L E D (Light Emitting Diode) を点灯させるこ とによって行なわれる。

本発明の電子商取引方法の第 1例では、 ユーザ （発注者） の所有する認証端末 1内で情報の入力や暗号化を完了している。 暗号化データ （暗号化済み認証情 報） を復号するための復号キ一を認証端末 1の外部に出力することは無く、 発注 者本人も復号キーが何であるかを知っておく必要がないため、 暗号化済み認証情 報が第三者によって復号される危険を低減させることができる。

このように、 本発明の電子商取引方法の第 1例によれば、 認証情報 （例えばパ スヮ一ド， バイオメトリクス情報） を用いることで、 商品の受取人が発注者本人 であることの認証を実現するとともに、 発注者が所持する認証端末 1内で全ての 処理を行なうことで、 情報の流出を防ぐことが可能になる。

なお、 認証端末を受注者側に用意し、 必要な情報 （認証情報， 復号キー， 本人 認証鍵） を発注者の所持する媒体 （例えば I Cカード） に保存しておく手法も考 えられるが、 このような手法では、 受注者側の所持する認証端末に情報を受け渡 す必要がある。 受注者側が悪意ある業者であった場合、 これらの情報を悪用され るおそれがある。 従って、 本発明のように、 これら情報は発注者本人の所持する 認証端末 1内で保持し、 外部には一切出力しないことが望ましい。

また、 商品の発注時には、 上記第 1例では、 発注者によって入力された認証情 報を無条件で暗号化したが、 商品の納品時の処理と同様、 本人認証鍵を用いてュ —ザ認証を行ない、 発注者が認証端末 1の正規ュ一ザであることを認証した場合 に暗号化を実行するようにしてもよい。 このようにすれば、 認証端末 1を所有者 以外の第三者が取得した場合、 認証情報の暗号化を実行できず、 この第三者は認 証端末 1を使用することができない。

〔1 — 2〕 本発明の電子商取引方法の第 2例

図 3は本発明の電子商取引方法の第 2例を説明するための図である。

本発明の電子商取引方法の第 2例では、 認証端末 1には、 上記第 1例の本人認 証鍵に代えて発注者自身のバイオメトリクス情報が予め保持されている。

この第 2例でも、 発注時の手順は、 上記第 1例の手順 （図 1 Aや図 2のステツ プ3 1 1〜3 1 4参照） とほぼ同様であるが、 商品の納品時には、 図 3に示すよ うに、 発注者により、 第 1例の認証データの代わりに、 自身のバイオメトリクス 情報が入力される （矢印 A 1 4 a参照）。 そして、 認証端末 1において、 上述の ごとく入力されたバイオメ卜リクス情報が、 認証端末 1内に予め保持されている バイオメトリクス情報と一致するか否かを検証し、 商品を受け取ろうとしている 発注者が、 認証端末 1の正規ユーザであることを認証する （ブロック B 1 2 a参 照)。

これ以降の手順は、 上記第 1例と同様であり、 2つのバイオメ卜リクス情報が 一致し発注者が認証端末 1の正規ユーザであると認証されると、 認証端末 1では、 納品担当によって入力された暗号化済み認証情報 （矢印 A 1 3参照） が、 認証端 末 1内に保持された復号キーで復号され （ブロック B 1 3参照）、 さらに、 復号 された認証情報と発注時に認証端末 1内に保持された認証情報とが照合される (ブロック B 1 4参照）。 そして、 これらの認証情報が一致した場合に、 認証端 末 1は、 その照合結果を納品担当， 発注者や受注者に通知し （矢印 A 1 5参照）、 納品担当は商品を発注者に受け渡すとともに受注者は今回の取引の決済を実行す る。

このように、 本発明の電子商取引方法の第 2例でも、 上記第 1例と同様の作用 効果が得られる。 しかし、 上記第 1例では、 納品時に本人認証鍵によるユーザ認 証を行なっているが、 この本人認証鍵がパスワードである場合、 万一、 そのパス ワードを第三者に知られると、 その第三者によつて認証端末 1を使用されてしま う。 これに対し、 上記第 2例では、 認証端末 1でのユーザ認証を、 パスワードで はなくバイオメトリクス情報 （例えば指紋データ） によって行なうことにより、 認証端末 1の所有者本人しかこの認証端末 1を使用できないようにすることがで き より高いセキュリティ性能を確保した電子商取引を実現することができる。

[ 1 - 3 ] 本発明の電子商取引方法の第 3例

図 4 Aおよび図 4 Bは本発明の電子商取引方法の第 3例を説明するための図、 図 5は本発明の電子商取引方法の第 3例の手順を説明するためのフローチャート (ステップ S 2 1〜S 2 9， S 2 8 a ) である。 この電子商取引方法の第 3例も、 発注者がネットワークを介して受注者に商品を発注し、 その商品を発注者自身が 受け取る方法である。

商品の発注時、 図 4 Aに示すように、 発注者は、 発注者の所有する認証端末 4 に、 発注者本人を特定するための第 1発注者バイオメトリクス情報を入力する (矢印 A 2 1およびステップ S 2 1参照）。 認証端末 4において、 入力された第 1発注者バイオメトリクス情報は、 この認証端末 4内に保持されている所定の喑 号化キー （暗号鍵） によって暗号化され （ブロック B 2 1およびステップ S 2 2 参照）、 その暗号済み第 1発注者バイオメトリクス情報は、 商品の発注伝票 （受 注データ） とともにネットワークを介して受注者へ送付される （矢印 A 2 2およ びステップ S 2 3参照）。 このとき、 ステップ S 2 2で喑号化された暗号化済み 第 1発注者バイオメトリクス情報を復号するための復号キー （復号鍵） が認証端 末 4内に保持される。

次に、 受注者が商品を納品する際、 図 4 Bに示すように、 受注者側の納品担当 は、 商品の発注時に認証端末 4から受け取った暗号化済み第 1発注者バイオメト リクス情報を、 発注者の所有する認証端末 4に送付 ·入力する （矢印 A 2 3およ びステツプ S 2 4参照）。 認証端末 4は、 上記第 1例と同様、 例えばコンパクト フラッシュ （登録商標） カード等の媒体用スロット （例えば図 1 5の入力インタ フェース部 4 6 ) を装備しており、 納品担当は、 コンパクトフラッシュ等の媒体 内に暗号ィヒ済み第 1発注者バイオメトリクス情報を格納して持ってきて、 その媒 体をスロットに挿入して暗号化済み第 1発注者バイオメトリクス情報を認証端末 4に入力する。 そして、 認証端末 4に入力された暗号化済み第 1発注者バイオメ トリクス情報は、 認証端末 4内に保持された復号キーで復号される （ブロック B 2 2およびステップ S 2 5参照）。

また、 発注者は、 納品時に再度、 発注者本人を特定するための第 2発注者バイ オメトリクス情報を認証端末 4に入力する （矢印 A 2 4およびステップ S 2 6参 照）。 なお、 ステップ S 2 5での復号タイミングとステップ S 2 6での入力タイ ミングは逆であっても構わない。

この後、 認証端末 4では、 ステップ S 2 5で復号された第 1発注者バイオメト リクス情報とステップ S 2 6で納品時に認証端末 4に入力された第 2発注者バイ オメトリクス情報とが照合される (ブロック B 2 3およびステップ S 2 7参照）。 これらの発注者バイオメトリクス情報が不一致であった場合 （ステップ S 2 8 の N Oルート）、 認証端末 4は、 今回の発注が認証端末 4の現在のユーザによる ものではないものと認識し、 その照合結果を納品担当， 発注者や受注者に通知し、 納品担当は、 納品を行なうことなく手続を終了する （矢印 A 2 5およびステップ S 2 8 a参照）。 一方、 これらの発注者バイオメトリクス情報が一致した場合 (ステップ S 2 8の Y E Sルート）、 認証端末 4は、 その照合結果を納品担当， 発注者や受注者に通知し （矢印 A 2 5参照）、 納品担当は商品を発注者に受け渡 すとともに受注者は今回の取引の決済を実行する （ステップ S 2 9参照）。

なお、 ステップ S 2 8での認証 ·照合結果の納品担当や発注者への通知は、 上 記第 1例と同様、 例えば、 認証端末 4の L E D (Light Emitting Diode) を点 灯させることによって行なわれる。

このように、 本発明の電子商取引方法の第 3例によれば、 発注者照合がバイオ メトリクス情報を用いて行なわれるので、 上記第 1例と同様の作用効果が得られ るだけでなく、 パスヮード等の認証情報により発注者照合を行なう場合よりも高 いセキュリティ性能を確保することができる。

〔1一 4〕 本発明の電子商取引方法の第 4例

図 6 Aおよび図 6 Bは本発明の電子商取引方法の第 4例を説明するための図、 図 7は本発明の電子商取引方法の第 4例の手順を説明するためのフローチャート (ステップ S 3 1〜S 4 2 , S 4 0 a ) である。 この電子商取引方法の第 4例も、 発注者がネットワークを介して受注者に商品を発注し、 その商品を発注者自身が 受け取る方法であるが、 この第 4例は、 図 4 Aおよび図 4 Bに示す電子商取引方 法において、 後述するタイミングで暗号化キ一の自動生成および復号キーの消去 を行なうようにしたものである。

商品の発注時、 図 6 Aに示すように 発注者は、 発注者の所有する認証端末 4 に、 発注者本人を特定するための第 1発注者バイオメ卜リクス情報を入力する (矢印 A 2 1およびステップ S 3 1参照）。 認証端末 4においては、 第 1発注者 バイオメトリクス情報が入力されると、 その都度、 所定の暗号化キー （暗号鍵） と、 この暗号化キーによって暗号化された暗号化情報を復号するための復号キー (復号鍵） とが自動生成される （ブロック B 2 0およびステップ S 3 2参照）。 そして、 ステップ S 3 1で入力された第 1発注者バイオメトリクス情報は、 ス テツプ S 3 2で生成された暗号化キーによって暗号化され （ブロック B 2 1およ びステップ S 3 3参照）、 暗号化を完了すると暗号化キーは削除される （プロッ ク B 2 0およびステップ S 3 4参照）。 また、 暗号済み第 1発注者バイオメトリ クス情報は、 商品の発注伝票 （受注デ一夕） とともにネットワークを介して受注 者へ送付される （矢印 A 2 2およびステップ S 3 5参照）。 なお、 ステップ S 3 2で生成された復号キ一は認証端末 4内に保持される。

次に、 受注者が商品を納品する際、 図 6 Bに示すように、 上記第 3例と同様、 受注者側の納品担当は、 商品の発注時に認証端末 4から受け取つた暗号化済み第 1発注者バイオメトリクス情報を、 発注者の所有する認証端末 4に送付 ·入力す る （矢印 A 2 3およびステップ S 3 6参照）。 また、 納品担当は、 例えばコンパ クトフラッシュ等の媒体内に暗号化済み第 1発注者バイオメトリクス情報を格納 して持ってきて、 その媒体から暗号化済み第 1発注者バイオメ卜リクス情報を認 証端末 4に入力する。 そして、 認証端末 4に入力された暗号化済み第 1発注者バ ィオメトリクス情報は、 認証端末 4内に保持された復号キーで復号される （プロ ック B 2 2およびステップ S 3 7参照）。

また、 発注者は、 納品時に再度、 発注者本人を特定するための第 2発注者バイ オメトリクス情報を認証端末 4に入力する (矢印 A 2 4およびステップ S 3 8参 照）。 なお、 上記第 3例と同様、 ステップ S 3 7での復号タイミングとステップ S 3 8での入力タイミングは逆であっても構わない。

この後、 認証端末 4では、 ステップ S 3 7で復号された第 1発注者バイオメト リクス情報とステップ S 3 8で納品時に認証端末 4に入力された第 2発注者バイ オメ卜リクス情報とが照合される (ブロック B 2 3およびステップ S 3 9参照）。 これらの発注者バイオメトリクス情報が不一致であった場合 （ステップ S 4 0 の N Oルート）、 認証端末 4は、 今回の発注が認証端末 4の現在のユーザによる ものではないものと認識し、 その照合結果を納品担当， 発注者や受注者に通知し、 納品担当は、 納品を行なうことなく手続を終了する (矢印 A 2 5およびステップ S 4 0 a参照）。 一方、 これらの発注者バイオメトリクス情報が一致した場合 (ステップ S 4 0の Y E Sルート）、 認証端末 4は、 復号キ一を消去してから (ブロック B 2 4および図 7のステップ S 4 1参照）、 その照合結果を納品担当, 発注者や受注者に通知し （矢印 A 2 5参照）、 納品担当は商品を発注者に受け渡 すとともに受注者は今回の取引の決済を実行する （ステップ S 4 2参照）。

なお、 ステップ S 4 0での認証 ·照合結果の納品担当や発注者への通知は、 上 記第 3例と同様、 例えば、 認証端末 4の L E D (Light Emitting Diode) を点 灯させることによって行なわれる。 上述のごとく、 本発明の電子商取引方法の第 4例では、 商品の発注時に第 1発 注者バイオメトリクス情報を暗号化して受注者に送信しているが、 その際に必要 となる暗号化キーゃ復号キーを、 商品の発注毎に認証端末 4内で自動生成し、 喑 号化完了時で暗号化キーを消去するとともに、 納品時に発注者照合を完了した時 点で復号キーを消去している。 これにより、 暗号化済み第 1発注者バイオメトリ クス情報は、 1回の発注についてのみ有効であり、 所定の電子商取引を完了した 暗号化済み第 1発注者バイオメトリクス情報は、 それを生成した認証端末 4であ つても復号することができなくなる。

従って、 万一、 暗号化済み第 1発注者バイオメトリクス情報が第三者に流出し たとしても、 取引が終了していれば発注者本人であっても復号することができず、 それを第三者に悪用されるおそれがない。 また、 ユーザ （発注者） の意図してい ない納品が行なわれたとき、 受注者 （納品担当） が持ってきた暗号化済み第 1発 注者バイオメトリクス情報を認証端末 4で復号できないことによって、 発注者は、 それが正規の発注でないことを立証することができる。

このように、 本発明の電子商取引方法の第 4例によれば、 上記第 3例と同様の 作用効果が得られるだけでなく、 より高いセキュリティ性能を確保することがで さる。

なお、 第 4例では、 上述のごとく暗号化キ一および復号キーを自動生成すると ともに所定タイミングでこれらのキ一を消去する手法を、 図 4 Aおよび図 4 Bに 示す電子商取引方法に適用した場合について説明したが、 本発明は、 これに限定 されるものではなく、 上記手法は、 図 1 Aおよび図 1 Bに示す電子商取引方法や 図 3に示す電子商取引方法にも、 上記第 4例と同様に適用され、 上記第 4例と同 様の作用効果を得ることができる。

〔1一 5〕 本発明の電子商取引方法の第 5例

図 8は本発明の電子商取引方法の第 5例を説明するための図である。 この電子 商取引方法の第 5例も、 発注者がネットワークを介して受注者に商品を発注し、 その商品を発注者自身が受け取る方法であるが、 この第 5例は、 図 4 Aおよび図 4 Bに示す電子商取引方法において、 発注時に、 後述するごとく P K Iを組み込 んだものである。 図 8に示すように、 商品の発注に先立ち、 発注者は、 認証局 （C A) から発注 者の秘密鍵 Aと公開鍵 Aの発行を受け （矢印 A 3 1参照）、 認証端末 4内に保持 させる。 同様に、 受注者も認証局から受注者の秘密鍵 Bと公開鍵 Bの発行を受け る （矢印 A 3 2参照）。

商品の発注時、 発注者は、 受注者から受注者の公開鍵 Bを受信し、 発注者の所 有する認証端末 4内に保持させるとともに （矢印 A 3 3参照）、 認証端末 4に、 発注者本人を特定するための第 1発注者バイオメトリクス情報を入力する （矢印 A 3 4参照）。 認証端末 4では、 第 1発注者バイオメトリクス情報 （図 1 Aに示 す方法の場合は認証情報） を暗号化キーにて暗号化するとともに （ブロック B 3 1参照）、 発注者の電子署名を発注者の秘密鍵 Aで暗号化する （ブロック B 3 2 参照）。 そして、 暗号化済み第 1発注者バイオメトリクス情報， 暗号化済み電子 署名および発注者の公開鍵 Aを、 受注者の公開鍵 Bを用いてさらに暗号化し （ブ ロック B 3 3参照）、 受注者に送信する (矢印 A 3 5参照）。 受注者は、 発注者 (認証端末 4 ) から受信した情報を受注者の秘密鍵 Bで復号し、 ネットワーク上 でデータの改ざんやなりすましが行なわれていないことを確認する。

その後の、 受注者が商品を納品する際の手順は、 図 4 Aを参照しながら説明し た通りである。

このように、 本発明の電子商取引方法の第 5例によれば、 上記第 3例と同様の 作用効果が得られるだけでなく、 商品の発注時に P K Iを組み込むことにより、 ネットワーク上での情報の改ざんやなりすましを防ぐことができ、 より高いセキ ユリティ性能を確保することができる。

なお、 第 5例では、 図 4 Aおよび図 4 Bに示す電子商取引方法において、 商品 発注時に P K Iを組み込んだ場合について説明したが、 本発明は、 これに限定さ れるものではなく、 図 8に示す手法は、 図 1 Aおよび図 1 Bに示す電子商取引方 法や、 図 3に示す電子商取引方法や、 図 6 Aおよび図 6 Bに示す電子商取引方法 にも、 上記第 5例と同様に適用され、 上記第 5例と同様の作用効果を得ることが できる。

〔1一 6〕 本発明の電子商取引方法の第 6例

図 9は本発明の電子商取引方法の第 6例を説明するための図である。 この電子 商取引方法の第 6例も、 発注者がネットワークを介して受注者に商品を発注し、 その商品を発注者自身が受け取る方法であるが、 この第 6例では、 図 4 Aおよび 図 4 Bに示す電子商取弓 I方法における納品後の決済手順をより詳細に説明する。 商品の発注を図 4 Aに示す手順で行なった後、 受注者が商品を納品する際、 図 9に示すように、 受注者側の納品担当は、 商品の発注時に認証端末 4から受け取 つた暗号化済み第 1発注者バイオメトリクス情報を、 発注者の所有する認証端末 4に送付 ·入力する （矢印 A 4 1参照)。 そして、 認証端末 4に入力された暗号 化済み第 1発注者バイオメトリクス情報は、 認証端末 4内に保持された復号キー で復号される （ブロック B 4 1参照）。 また、 発注者は、 納品時に再度、 発注者 本人を特定するための第 2発注者パイオメトリクス情報を認証端末 4に入力する (矢印 A 4 2参照）。

この後、 認証端末 4では、 復号された第 1発注者バイオメトリクス情報と納品 時に認証端末 4に入力された第 2発注者バイオメトリクス情報とが照合される (ブロック B 4 2参照）。 これらの発注者バイオメトリクス情報が一致した場合、 認証端末 4は、 その照合結果を納品担当， 発注者や受注者に通知し （矢印 A 4 3 参照）、 納品担当は商品を発注者に受け渡すとともに受注者は今回の取引の決済 を実行する。

その際、 認証端末 4による照合結果が決済の依頼とともに受注者から決済機関 へ送付され （矢印 A 4 4参照）、 決済機関は、 その照合結果を受けて商品の決済 を実行し、 決済結果を発注者に通知する (矢印 A 4 5参照)。

このように、 本発明の電子商取引方法の第 6例によれば、 上記第 3例と同様の 作用効果が得られるだけでなく、 決済を実行する際に、 決済機関が認証端末 4の 照合結果を受信して決済を行なうことにより、 商品の受け渡し前に決済が実行さ れることを防ぎ、 さらに不正な発注による決済の実行を未然に防ぐことができ、 より高いセキュリティ性能を確保することができる。

なお、 第 6例では、 図 4 Aに示す手順で商品発注を行なった後の納品 ·決済手 順について説明したが、 本発明は、 これに限定されるものではなく、 図 9に示す 納品 ·決済手法は、 図 1 Aおよび図 1 Bに示す電子商取引方法や、 図 3に示す電 子商取引方法や、 図 6 Aおよび図 6 Bに示す電子商取引方法や、 図 8に示す電子 商取引方法にも、 上記第 6例と同様に適用され、 上記第 6例と同様の作用効果を 得ることができる。

〔1— 7〕 本発明の電子商取引方法の第 7例

図 1 0は本発明の電子商取引方法の第 7例を説明するための図である。 この電 子商取引方法の第 7例も、 発注者がネットワークを介して受注者に商品を発注し、 その商品を発注者自身が受け取る方法であるが、 この第 7例では、 図 8に示す電 子商取引方法において、 P K Iの仕組みを発注者や受注者だけでなく決裁機関に まで適用したものである。

図 1 0に示すように、 発注者所有の認証端末 4には、 上記第 5例と同様、 認証 局 （C A) から発行された発注者の秘密鍵 Aと公開鍵 Aが保持されるとともに、 認証局から決済機関に対して発行された、 この決済機関の公開鍵じが、 決済機関 から発注者の認証端末 4に送付されて保持されている （矢印 A 5 1参照)。

そして、 商品の発注を図 8に示す手順で行なった後、 受注者が商品を納品する 際、 図 1 0に示すように、 受注者側の納品担当は、 商品の発注時に認証端末 4か ら受け取った暗号化済み第 1発注者バイオメトリクス情報を、 発注者の所有する 認証端末 4に送付 ·入力する (矢印 A 5 2参照）。 そして、 認証端末 4に入力さ れた暗号化済み第 1発注者バイオメトリクス情報は、 認証端末 4内に保持された 復号キーで復号される （ブロック B 5 1参照）。 また、 発注者は、 納品時に再度、 発注者本人を特定するための第 2発注者バイオメ卜リクス情報を認証端末 4に入 力する (矢印 A 5 3参照）。

この後、 認証端末 4では、 復号された第 1発注者バイオメトリクス情報と納品 時に認証端末 4に入力された第 2発注者バイオメトリクス情報とが照合される (プロック B 5 1参照）。 これらの発注者バイオメトリクス情報が一致した場合、 認証端末 4は、 その照合結果を納品担当， 発注者および受注者に通知し （矢印 A 5 4参照)、 納品担当は商品を発注者に受け渡す。

また、 認証端末 4は、 上記照合結果を受注者や決済機関に通知する際に、 発注 者の電子署名を発注者の秘密鍵 Aで暗号化するとともに （ブロック B 5 2参照）、 上記照合結果， 暗号化済み電子署名および発注者の公開鍵 Aを、 決済機関の公開 鍵 Cを用いてさらに暗号化し （ブロック B 5 3参照）、 受注者経由で決済機関に 送信する （矢印 A 5 5参照）。

そして、 決済機関は、 認証端末 4からの暗号化済み照合結果を決済機関の秘密 鍵 C (予め認証局によって発行された、 公開鍵 Cと対になっているもの） で復号 して復号照合結果を取得し、 その復号照合結果に応じて商品の決済を実行する。 このように、 本発明の電子商取引方法の第 7例によれば、 上記第 5例と同様の 作用効果が得られるだけでなく、 P K Iの仕組みを発注者や受注者だけでなく決 裁機関にまで適用し、 決済機関において復号照合結果を用いて決済を実行するこ とにより、 ネットワーク上での改ざんやなりすましを除去し、 より確実な本人認 証が可能な電子商取引を実現することができる。

なお、 第 7例では、 図 8に示す手順で商品発注を行なった後の納品 ·決済手順 について説明したが、 本発明は、 これに限定されるものではなく、 図 1 0に示す 納品 ·決済手法は、 図 1 Aおよび図 1 Bに示す電子商取引方法や、 図 3に示す電 子商取引方法や、 図 6 Aおよび図 6 Bに示す電子商取引方法にも、 上記第 7例と 同様に適用され、 上記第 7例と同様の作用効果を得ることができる。

上述した本発明の電子商取引方法の第 1例〜第 7例では、 商品の納品時に、 発 注者所有の認証端末 1 , 4内で暗号化済み認証情報または暗号化済み第 1発注者 バイオメトリクス情報を復号し、 復号された情報を、 発注者が納品時に入力した 認証情報または第 2発注者バイオメトリクス情報と照合する。 これにより、 発注 者は、 商品発注時に認証端末 1 , 4に認証情報またはバイオメトリクス情報を入 力するだけで自分自身の認証が可能な発注を行なうことができる。 その際、 認証 情報やバイオメトリクス情報は暗号化されて受注者に送付されるため、 その暗号 化済み情報が万一流出したとしても、 悪意ある第三者に悪用されることを防ぐこ とができる。 また、 P K Iを利用する場合、 秘密鍵や公開鍵を認証端末 1， 4内 に保持し、 認証情報またはバイオメトリクス情報により管理することで、 高度な セキュリティ性能の鍵管理を簡単に行なうことができる。 一方、 受注者は、 商品 の納品時や決済時に発注者の本人認証を確実に行なうことができるため、 悪意あ る人物による不正取引を排除することが可能となり、 ビジネスリスクを低減でき る。

〔1一 8〕 本発明の電子商取引方法の第 8例 ところで、 上述した電子商取引方法では、 必ず発注者本人が納品を受けなけれ ばならず、 代理人による商品の受取はできない。 一般に商品の発注者と受取人と は異なることが多く、 発注者が委任した正規の代理人であれば発注者が発注した 商品を受け取れるようにすべきである。

図 1 1 A， 図 1 1 Bおよび図 1 1 Cは本発明の電子商取引方法 （代理人による 本人認証方法） の第 8例を説明するための図で、 この電子商取引方法の第 8例は、 発注者がネットワークを介して受注者に商品を発注し、 発注者が委任した代理人 が商品を受け取る方法である。

商品の発注時、 図 1 1 Aに示すように、 発注者 （認証者） は、 発注者所有の認 証端末 7 Aに、 発注者本人 （認証者本人） を特定するための第 1発注者バイオメ トリクス情報 (第 1認証者バイオメトリクス情報) Aを入力する (矢印 A 6 1参 照)。 認証端末 7 Aにおいて、 入力された第 1発注者バイオメトリクス情報 Aは、 商品の発注伝票 (受注データ） とともにネットワークを介して受注者 (認証者の 本人認証結果を必要とする業者) へ送付される (矢印 A 6 2およびブロック B 6 1参照）。

その後、 商品の受取時に発注者が本人認証を行なえない場合、 発注者が商品の 受取を代理人に委任することになる。 その際 （代理人登録時）、 図 1 1 Bに示す ように、 前もって、 認証端末 7 Aに、 発注者が、 発注者本人を特定するための第 2発注者バイオメトリクス情報 （第 2認証者バイオメトリクス情報) Bを改めて 入力するとともに (矢印 A 6 3参照）、 発注者が委任した代理人が、 代理人本人 を特定するための第 1代理人バイオメトリクス情報 Cを入力し (矢印 A 6 4参 照）、 認証端末 7 Aは、 第 2発注者バイオメトリクス情報 Bと第 1代理人バイォ メトリクス情報 Cとを対応付けて格納 ·保持する （プロック B 6 2参照)。

次に、 受注者が商品を納品する際 （認証者の本人認証時)、 図 1 1 Cに示すよ うに、 受注者側の納品担当は、 商品の発注時に認証端末 7 Aから受け取った第 1 発注者バイオメトリクス情報 Aを、 発注者 （認証者） に代わって代理人が所持し ている認証端末 7 Aに送付 ·入力する （矢印 A 6 5参照）。 このとき、 認証端末 7 Aは、 上記第 1例と同様、 例えばコンパクトフラッシュ （登録商標） カード等 の媒体用スロットを装備しており、 納品担当は、 コンパクトフラッシュ等の媒体 内に第 1発注者バイオメトリクス情報 Aを格納して持ってきて、 その媒体をスロ ッ卜に挿入して第 1発注者バイオメトリクス情報 Aを認証端末 7 Aに入力する。 また、 代理人は、 納品時 （認証時） に再度、 代理人本人を特定するための第 2 代理人バイオメトリクス情報 Dを認証端末 7 Aに入力する （矢印 A 6 6参照)。 そして、 認証端末 7 Aは、 この認証端末 7 Aに保持された第 1代理人バイオメ トリクス情報 Cと、 納品時に代理人によつて改めて入力された第 2代理人バイォ メトリクス情報 Dとを照合し、 商品を受け取ろうとしている代理人が、 発注者に よって委任された正規代理人であることを認証する （ブロック B 6 3参照）。 これらの代理人バイオメトリクス情報 C， Dが不一致で受取入が正規代理人で はないと認定された場合、 認証端末 7 Aは、 その旨を納品担当， 受取人 （代理 人） や受注者に通知し、 納品担当は、 納品を行なうことなく手続を終了する。 一 方、 これらの代理人バイオメトリクス情報 C， Dがー致し受取人が正規代理人で あると認証された場合、 認証端末 7 Aでは、 納品担当によつて入力された第 1発 注者バイオメトリクス情報 Aと認証端末 7 A内に保持された第 2発注者バイオメ トリクス情報とが照合され、 発注者 (認証者) の本人認証が行なわれる (プロッ ク B 6 4参照）。

これらの発注者バイオメトリクス情報 A, Bが不一致であった場合、 認証端末 7 Aは 今回の発注が認証端末 7 Aの現在のユーザによるものではないものと認 識し、 その照合結果 （認証結果） を納品担当， 代理人や受注者に通知し （矢印 A 6 7参照）、 納品担当は、 納品を行なうことなく手続を終了する。 一方、 これら の発注者バイオメ卜リクス情報 A, Bがー致した場合、 認証端末 7 Aは、 その照 合結果 （認証結果） を納品担当， 代理人や受注者に通知し （矢印 A 6 7参照）、 納品担当は商品を代理人に受け渡すとともに受注者は今回の取引の決済を実行す る。

このように、 本発明の電子商取引方法の第 8例によれば、 認証端末 7 Aに代理 人のバイオメトリクス情報 Cと発注者のバイオメトリクス情報 Bとを予め保持さ せておき、 商品の納品時 （認証者である発注者の本人認証時） に、 納品担当 （業 者） が認証端末 7 Aから送付された発注者のバイオメトリクス情報 Aを認証端末 7 Aに入力するとともに、 代理人が自身のバイオメトリクス情報 Dを認証端末に 入力し、 この認証端末 7 Aにおいて、 まず代理人の本人認証を行なって代理人が 本人 （正規代理人） であることが認証されると、 納品担当によって入力された発 注者のバイオメトリクス情報 Aと認証端末 7 Aに予め保持されている発注者のバ ィオメトリクス情報 Bとによって、 発注者 （認証者） の本人認証が行なわれる。 従って、 商品等の受取に際して発注者本人だけでなく発注者本人が指定した代理 人による受取が、 セキュリティを確保しながら可能になり、 利便性が大幅に向上 する。

なお、 図 1 1 A〜図 1 1 Cでは図示されていないが、 ブロック B 6 4での発注 者の認証完了後、 認証端末 7 A内のバイオメトリクス情報 Bおよび Cは削除する ことが望ましい。 これにより、 代理人による本人認証は一度しか行なうことがで きず、 代理人による濫用を制御することができる。

また、 この第 8例において、 発注者は、 商品発注時と代理人登録時とのそれぞ れにおいて、 パイオメトリクス情報 A, Bを入力している。 1 回目 （商品発注 時） の入力情報 Aを認証端末 7 Aに保持し、 代理人登録時に、 その保持されたバ ィオメトリクス情報 Aをバイオメトリクス情報 Bとして用いてもよいが、 この場 合、 不正な代理人が認証端末 7 Aを発注者の認証を得ぬままに代理人登録を行な うなどの不正行為が起こりえる。 そこで、 上述したように、 代理人登録時に改め て発注者のバイオメトリクス情報 Bを入力 '格納することが望ましい。

〔1一 9〕 本発明の電子商取引方法の第 9例

図 1 2 A, 図 1 2 Bおよび図 1 2 Cは本発明の電子商取引方法 (代理人による 本人認証方法) の第 9例を説明するための図である。 この第 9例も、 発注者がネ ットヮ一クを介して受注者に商品を発注し、 発注者が委任した代理人が商品を受 け取る方法であるが、 この第 9例では、 上記第 8例において発注者側から受注者 側へそのまま送付されていた第 1発注者バイオメトリクス情報 Aを暗号ィヒするよ うになつている。 つまり、 第 9例では、 上記第 1例〜第 7例の手法 （特に第 1例 もしくは第 3例の手法） と上記第 8例の手法とを組み合わせたものである。 商品の発注時、 図 1 2 Aに示すように、 発注者 （認証者） は、 発注者所有の認 証端末 7に、 発注者本人 （認証者本人） を特定するための第 1発注者バイオメ卜 リクス情報 （第 1認証者バイオメトリクス情報） Aを入力する （矢印 A 7 1参 照）。 認証端末 7において、 入力された第 1発注者バイオメトリクス情報 Aは、 この認証端末 7内に保持されている所定の暗号化キー （暗号鍵） によって暗号化 され （ブロック B 7 1参照）、 その暗号済み第 1発注者バイオメトリクス情報 A は、 商品の発注伝票 （受注デ一夕） とともにネットワークを介して受注者 （認証 者の本人認証結果を必要とする業者） へ送付される （矢印 A 7 2およびブロック B 7 1参照）。 このとき、 ブロック B 7 1で暗号化された暗号化済み第 1発注者 バイオメ卜リクス情報 Aを復号するための復号キー （復号鍵） が認証端末 7内に 保持される。

その後、 商品の受取時に発注者が本人認証を行なえない場合、 発注者が商品の 受取を代理人に委任することになる。 その際 （代理人登録時）、 図 1 2 Bに示す ように、 前もって、 認証端末 7に、 発注者が、 発注者本人を特定するための第 2 発注者パイオメ卜リクス情報 （第 2認証者バイオメトリクス情報） Bを改めて入 力するとともに (矢印 A 7 3参照）、 発注者が委任した代理人が、 代理人本人を 特定するための第 1代理人バイオメ卜リクス情報 Cを入力し (矢印 A 7 4参照）、 認証端末 7は、 上記復号キーと第 2発注者バイオメトリクス情報 Bと第 1代理人 バイオメトリクス情報 Cとを対応付けて格納 ·保持する (ブロック B 7 2参照）。 次に、 受注者が商品を納品する際 （認証者の本人認証時)、 図 1 2 Cに示すよ うに、 受注者側の納品担当は、 商品の発注時に認証端末 7から受け取った暗号化 済み第 1発注者バイオメトリクス情報 Aを、 発注者 (認証者) に代わって代理人 が所持している認証端末 7に送付 ·入力する (矢印 A 7 5参照）。 このとさ、 認 証端末 7は、 上記第 1例と同様、 例えばコンパクトフラッシュ (登録商標) カー ド等の媒体用スロットを装備しており、 納品担当は、 コンパクトフラッシュ等の 媒体内に暗号化済み第 1発注者バイオメトリクス情報 Aを格納して持ってきて、 その媒体をスロットに揷入して暗号化済み第 1発注者バイオメトリクス情報 Aを 認証端末 7に入力する。

また、 代理人は、 納品時 （認証時） に再度、 代理人本人を特定するための第 2 代理人パイオメトリクス情報 Dを認証端末 7に入力する （矢印 A 7 6参照)。

そして、 認証端末 7は、 この認証端末 7に保持された第 1代理人バイオメトリ クス情報 Cと、 納品時に代理人によって改めて入力された第 2代理人バイオメト リクス情報 Dとを照合し、 商品を受け取ろうとしている代理人が、 発注者によつ て委任された正規代理人であることを認証する （ブロック B 7 3参照）。

これらの代理人バイオメトリクス情報 C， Dが不一致で受取人が正規代理人で はないと認定された場合、 認証端末 7は、 その旨を納品担当， 受取人 （代理人） や受注者に通知し、 納品担当は、 納品を行なうことなく手続を終了する。 一方、 これらの代理人バイオメトリクス情報 C， Dがー致し受取人が正規代理人である と認証された場合、 認証端末 7では、 納品担当によって入力された暗号化済みバ ィオメトリクス情報 Aが、 認証端末 7内に保持された復号キーで復号され （プロ ック B 7 4参照）、 さらに、 ブロック B 7 4で復号された第 1発注者バイオメト リクス情報 Aと認証端末 Ί内に保持された第 2発注者バイオメトリクス情報 Bと が照合され、 発注者 （認証者） の本人認証が行なわれる （ブロック B 7 5参照）。 これらの発注者バイオメトリクス情報 A， Bが不一致であった場合、 認証端末 7 Aは、 今回の発注が認証端末 7の現在のユーザによるものではないものと認識 し、 その照合結果 （認証結果） を納品担当， 代理人や受注者に通知し （矢印 A 7 7参照）、 納品担当は、 納品を行なうことなく手続を終了する。 一方、 これらの 発注者バイオメ卜リクス情報 A， Bがー致した場合、 認証端末 7は、 その照合結 果 （認証結果） を納品担当， 代理人や受注者に通知し （矢印 A 7 7参照）、 納品 担当は商品を代理人に受け渡すとともに受注者は今回の取引の決済を実行する。 このように、 本発明の電子商取引方法の第 9例によれば、 上記第 8例と同様の 作用効果が得られるだけでなく、 上記第 1例や上記第 3例と同様の作用効果を得 ることができる。

なお、 この第 9例においても、 上記第 4例のごとく暗号化キーおよび復号キ一 を自動生成するとともに所定タイミングでこれらのキーを消去する手法を適用し てもよいし、 さらに、 上記第 5例〜第 7例で説明した手法を適用してもよい。

〔 1一 1 0〕 本発明の電子商取引方法の第 1 0例

本発明の電子商取引方法の第 1 0例 （図示省略） では、 上述した第 8例や第 9 例の発注者認証 （ブロック B 6 4 , B 7 5参照） を行なった際に第 1発注者バイ オメトリクス情報 Aと第 2発注者バイオメトリクス情報 Bとの照合結果が完全同 一であった場合、 認証端末 7 A， 7は、 照合不一致 （認証不可） と認定するよう になっている。

一般に、 バイオメトリクス情報は、 毎回異なる情報が採取されるのが普通であ る。 例えば、 バイオメトリクス情報が指紋データである場合、 指紋デ一夕採取時 における指の圧力， 湿り気， 気温， 湿度などによって、 採取される指紋データは 毎回異なってくる。 従って、 2つの指紋データが完全に一致する場合、 何らかの 手段 （例えば指紋を採取してデジタル化するなど） を用いて不正に取得した指紋 データを用いていることが予測される。

このような不正行為を除去するために、 第 1 0例では、 認証端末 7 A, 7での 発注者認証時のバイオメトリクス情報 A， Bが完全に一致するときは 「認証不 可」 としている。 これにより、 より高いセキュリティ性能を確保することができ る。 ·

〔 1一 1 1〕 本発明の電子商取引方法の第 1 1例

本発明の電子商取引方法の第 1 1例 （図示省略） では、 上述した電子商取引方 法のうち、 第 1発注者バイオメトリクス情報 (第 1認証者バイオメトリクス情 報） を暗号化して受注者 （業者） に送付するものにおいて、 発注者 （認証者） の 所有する認証端末は、 商品の発注時に第 1発注者バイオメトリクス情報を暗号化 する前に、 この第 1発注者バイオメトリクス情報に対して特定の可逆加工を施し、 商品の納品時 （認証時） に、 復号された第 1発注者バイオメトリクス情報に対し て、 商品の発注時に行なった可逆加工と逆の加工を施し、 第 1発注者バイオメト リクス情報を復元する。

これにより、 万一、 暗号化済み第 1発注者バイオメトリクス情報の暗号化が破 られたとしても、 そのバイオメトリクス情報の第三者による流用を防ぐことがで き、 より高いセキュリティ性能を確保することができる。

具体的には、 バイオメトリクス情報が指紋画像である場合、 指紋画像を特定の パターンで伸縮させる。 例えば、 画像の上側は縦に引き伸ばし、 画像の下側は横 に引き伸ばすなどの加工を施す。 このとき、 施した加工のパラメ一夕 （引き伸ば しの重み係数） は認証端末内に保持しておく。 この加工を加えることで、 指紋デ 一夕は元の指紋とは異なるものになっており、 オリジナルの指紋画像を第三者が 取得できなくなる。 さらに、 加工のパラメータを毎回変えることで、 毎回異なる 指紋画像となり、 オリジナルの指紋画像の類推を一層困難なものにすることがで さる。

〔 1一 1 2〕 本発明の電子商取引方法の第 1 2例

本発明の電子商取引方法の第 1 2例 （図示省略） では、 上述した電子商取引方 法の第 1例〜第 1 1例において、 受注者 （業者） が金融機関であり、 発注者が金 融機関から金銭を借り受ける借受人であり、 発注者と受注者との間で金銭を商品 として賃借する。 この場合、 商品の発注時が、 借受人と金融機関との金銭消費貸 借契約時が、 上述した商品の発注時に対応し、 借受人もしくは代理人が金融機関 から金銭を借り受ける時点が、 商品の納品時 （認証時） に対応することになる。 このように、 本発明の電子商取引方法の第 1例〜第 1 1例を用いて、 商品とし ての金銭をやり取りすることにより、 金銭贷借のビジネスを確立することができ る。

具体的に説明すると、 借受人 (発注者) は、 インタ一ネット等のネットワーク を介してローン会社 (受注者， 金融機関) にローンの申し込み （金銭消費貸借契 約） を行なう。 その際、 申し込みとともに借受人のバイオメトリクス情報 (第 1 発注者バイオメトリクス情報） をローン会社に送付する。 ローン会社は、 借受人 に金銭を渡す際、 申し込み時に借受人から受け取ったバイオメ卜リクス情報を借 受人の認証端末に入力し、 そのバイオメトリクス情報を用いて、 金銭の受取人が、 借受を申し込んだ本人であることの認証が実行される。

これまで、 金銭の貸借を行なう場合、 借受人 (発注者) は、 ローン会社の窓口 あるいは口一ン会社の A T M (Automated Teller Machine)端末に出向いて金銭 消費貸借契約を行なっていたが、 この第 1 2例で説明したように上記第 1例〜第 1 1例を適用することで、 インタ一ネット等により自宅で金銭消費貸借契約を行 ない、 借受人 （発注者） 本人が自宅で、 もしくは、 借受人 （発注者） の指定した 代理人が金銭を受け取ることができる。

また、 口一ン会社 （金融機関） では、 これまで無人店舗などを街中に配置する ことで顧客を獲得していた。 しかし、 無人店舗の A TM端末では夜間に強盗に遭 うなどの問題が発生しており、 このような問題がローン会社にとってビジネス上 のリスクとなっていた。 そこで、 上述した第 1 2例で説明した方法を用いること で、 借受人は認証端末さえ所持していればインターネットカフェなどのインター ネットに接続可能な場所でローンの申し込みを行ない、 ローン会社はもよりの有 人店舗 （支店） から店員を派遣して金銭の受け渡しを行なうことができるように なる。 従って、 ローン会社は無人店舗を展開する必要が無くなり、 強盗などのピ ジネスリスクを大幅に低減できる。

〔 1一 1 3〕 本発明の電子商取引方法の第 1 3例

本発明の電子商取引方法の第 1 3例 （図示省略） は、 発注者たる借受人と受注 者たる金融機関との間でネットワークを介して商品としての金銭の貸借を行なう 方法であって、 特に、 借受人が返金を行なった傺の履歴を残す方法に係るもので ある。 この第 1 3例では、 以下に第 1〜第 3実施態様として説明するように、 基 本的に上記第 1例〜第 3例とほぼ同様の手順で電子商取引が行なわれる。

第 1 3例の第 1実施態様は、 上記第 1例と同様の手順に従って実行されるもの で、 具体的には下記手順① -1〜① -4で実行される。

① -1 借受人と金融機関との金銭消費貸借契約時に、 借受人は借受人本人を 特定するための認証情報を、 借受人所有の認証端末 1 (図 1 A, 図 1 B参照) に 入力する。

① -2認証端末 1は、 所定の暗号化キーで認証情報を暗号化し、 暗号化済み 認証情報をネットワークを介して金融機関へ送付するとともに 認証情報と暗号 化済み認証情報を復号するための復号キーとを保持する。

① -3 借受人が金融機関に金銭の返金を行なう際に、 金融機関は、 金銭消費 貸借契約時に認証端末 1から受け取つた暗号化済み認証情報を認証端末 1に入力 するとともに、 借受人は、 暗号化済み認証情報を復号するために必要なデータ

(例えばパスヮード等の本人認証鍵) を認証端末 1に入力する。

① -4認証端末 1は、 上記手順① -3 で入力されたデータと認証端末 1に予め 保持されている本人認証鍵とを照合し、 これらが一致した場合、 金融機関によつ て入力された暗号化済み認証情報を、 認証端末 1内に保持された復号キーで復号 し、 復号された認証情報と認証端末 1内に保持された認証情報とを照合し、 その 照合結果を認証端末 1内に格納する。 これにより、 借受人本人が返金を行なって いることが認証され、 その返金履歴が認証端末 1内に残されることになる。 また、 第 1 3例の第 2実施態様は、 上述した第 1 3例の第 1実施態様に、 上記 第 2例と同様の手順を適用して実行されるものである。 つまり、 この第 2実施態 様では、 上記手順① -2 で、 認証端末 1 (図 3参照） は、 認証情報および復号キ —とともに借受人のバイオメトリクス情報を保持し、 上記手順① -3 で、 借受人 は、 暗号化済み認証情報を復号するために必要なデータとして自身のバイオメト リクス情報を認証端末 1に入力し、 上記手順① -4で、 認証端末 1は、 金銭返金 時に借受人によって入力されたバイオメトリクス情報と認証端末 1内に予め保持 されているバイオメトリクス情報とを照合し、 これらのバイオメトリクス情報が 一致した場合に、 暗号化済み認証情報を、 認証端末 1内に保持された復号キーで 復号する。

さらに、 第 1 3例の第 3実施態様は、 上記第 3例と同様の手順に従って実行さ れるもので、 具体的には下記手順② -1〜② -4で実行される。

② -1 借受人と金融機関との金銭消費貸借契約時に、 借受人 （発注者） は借 受人本人を特定するための第 1発注者パイオメトリクス情報を、 借受人所有の認 証端末 4 (図 4 A, 図 4 B参照) に入力する。

② -2認証端末 4は、 所定の暗号化キーで第 1発注者バイオメトリクス情報 を暗号化し、 暗号化済み第 1発注者バイオメ卜リクス情報をネットワークを介し て金融機関へ送付するとともに、 暗号化済み第 1発注者バイオメトリクス情報を 復号するための復号キーを保持する。

② -3借受人が金融機関に金銭の返金を行なう際に、 金融機関は、 金銭消費 貸借契約時に認証端末 4から受け取つた暗号化済み第 1発注者バイオメトリクス 情報を認証端末 4に入力するとともに、 借受人 (発注者) は、 借受人本人を特定 するための第 2発注者バイオメトリクス情報を認証端末 4に入力する。

② -4認証端末 4は、 金融機関によって入力された暗号化済み第 1発注者バ ィオメトリクス情報を、 認証端末 4内に保持された復号キーで復号し、 復号され た第 1発注者バイオメトリクス情報と上記手順② -3 で入力された第 2発注者バ ィオメトリクス情報とを照合し、 その照合結果を認証端末 4内に格納する。 これ により、 借受人本人が返金を行なっていることが認証され、 その返金履歴が認証 端末 4内に残されることになる。 この第 1 3例の方法を用いることにより、 上記第 1 2例の方法で金銭を借り受 けた借受人がローン会社 （金融機関） に返金する際、 上述のごとく、 バイオメト リクス情報を含む認証情報を用いて借受人本人が返金を行なっていることが認証 され、 その返金履歴を認証端末 1 , 4内に確実に残することができる。

なお、 この第 1 3例に上記第 8例〜第 1 0例で説明した方法をさらに適用する ことにより、 借受人に代わって、 この借受人指定の代理人が返金認証を行なえる とともにその返金履歴を認証端末に残すことができる。 また、 この第 1 3例に上 記第 4例〜第 7例で説明した方法をさらに適用してもよく、 この場合、 上記第 4 例〜第 7例のそれぞれと同様の作用効果を得ることができる。

〔1— 1 4〕 本発明の電子商取引方法の第 1 4例

本発明の電子商取引方法の第 1 4例 （図示省略） は、 送金者が、 この送金者の 端末によりネットワークを介して金融機関に、 送金者の口座から受取人への送金 を依頼する方法である。 具体的には、 送金者と受取人とが離れた場所に居る場合 であって-. 送金者所有の端末と受取人所有の認証端末がネッ卜ワークを介して相 互に通信可能に接続されており、 上記金融機関に口座を有していない受取人に送 金するための方法である。 この第 1 4例では、 以下に第 1〜第 3実施態様として 説明するように、 基本的に上記第 1例〜第 3例とほぼ同様の手順で電子商取引が 行なわれる。

第 1 4例の第 1実施態様は、 上記第 1例と同様の手順に従って実行されるもの で、 具体的には下記手順③ -1〜③ -6で実行される。

③ -1 受取人は受取人本人を特定するための認証情報を、 受取人所有の認証 端末 1 (図 1 A, 図 1 B参照) に入力する。

③ -2認証端末 1は、 所定の暗号化キ一で認証情報を暗号化し、 暗号化済み 認証情報をネッ卜ワークを介して送金者の端末へ送付するとともに、 認証情報と 暗号化済み認証情報を復号するための復号キーとを保持する。

③ -3 送金者の端末は、 認証端末 1からの暗号化済み認証情報を、 送金依頼 とともに、 ネットワークを介して金融機関に送付する。

③ -4受取人が送金者からの金銭を受け取る際に、 金融機関の送金担当は、 送金者の端末から受け取った暗号化済み認証情報を受取人所有の認証端末 1に入 力するとともに、 受取人は、 暗号化済み認証情報を復号するために必要なデータ

(例えばパスヮード等の本人認証鍵） を認証端末 1に入力する。

③ -5認証端末 1は、 上記手順③ -4で入力されたデータと認証端末 1に予め 保持されている本人認証鍵とを照合し、 これらが一致した場合、 送金担当によつ て入力された暗号化済み認証情報を、 認証端末 1内に保持された復号キーで復号 し、 復号された認証情報と認証端末 1内に保持された認証情報とを照合し、 これ らの認証情報が一致した場合にその旨を受取人および送金担当に通知する。

③ -6認証端末 1からの照合一致通知を受けて、 送金担当は送金者からの金 銭を受取人に受け渡す。

また、 第 1 4例の第 2実施態様は、 上述した第 1 4例の第 1実施態様に、 上記 第 2例と同様の手順を適用して実行されるものである。 つまり、 この第 2実施態 様では、 上記手順③ -2 で、 認証端末 1 (図 3参照） は、 認証情報および復号キ 一とともに発注者のバイオメトリクス情報を保持し、 上記手順③ -4で、 受取人 は、 暗号化済み認証情報を復号するために必要なデ一夕として自身のバイオメト リクス情報を認証端末 1に入力し、 上記手順③ -5 で、 認証端末 1は、 金銭受取 時に受取人によって入力されたバイオメトリクス情報と認証端末 1内に予め保持 されているバイオメトリクス情報とを照合し、 これらのバイオメトリクス情報が 一致した場合に、 暗号化済み認証情報を 認証端末 1内に保持された復号キーで 復号する。

さらに、 第 1 4例の第 3実施態様は、 上記第 3例と同様の手順に従つて実行さ れるもので、 具体的には下記手順④ -1〜④ -6で実行される。

④ -1 受取人は受取人本人を特定するための第 1受取人バイオメトリクス情 報を、 受取人の認証端末 4 (図 4 A， 図 4 B参照） に入力する。

④ -2 認証端末 4は、 所定の暗号化キーで第 1受取人バイオメトリクス情報 を暗号化し、 暗号化済み第 1受取人バイオメトリクス情報をネットワークを介し て送金者の端末へ送付するとともに、 暗号化済み第 1受取人バイオメトリクス情 報を復号するための復号鍵を保持する。 '

④ -3 送金者の端末は、 認証端末 4からの暗号化済み第 1受取人バイオメト リクス情報を、 送金依頼とともに、 ネットワークを介して金融機関に送付する。 ④ -4受取人が送金者からの金銭を受け取る際に、 金融機関の送金担当は、 送金者の端末から受け取つた暗号化済み第 1受取人バイオメトリクス情報を認証 端末 4に入力するとともに、 受取人は、 受取人本人を特定するための第 2受取人 バイオメトリクス情報を認証端末 4に入力する。

④ -5 認証端末 4は、 送金担当によって入力された暗号化済み第 1受取人バ ィオメトリクス情報を、 認証端末 4内に保持された復号キーで復号し、 復号され た第 1受取人バイオメトリクス情報と上記手順④ -4 で入力された第 2受取人バ ィオメトリクス情報とを照合し、 これらのパイオメトリクス情報が一致した場合 にその旨を受取人および送金担当に通知する。

④ -6 認証端末 4からの照合一致通知を受けて、 送金担当は送金者からの金 銭を受取人に受け渡す。

この第 1 4例のように、 本発明の電子商取引方法は、 第 1 2例や第 1 3例で説 明した金銭の賃借のほか、 送金者から受取人への送金にも利用される。 これまで、 送金者が受取人に現金を送金する場合、 送金者の口座から受取人の口座へ送金す る口座間送金か、 送金者が所持する現金を現金書留にて送金する手段が一般的で あつたが、 上記第 1 4例の方法を用いることにより、 送金者の口座から受取人へ 直接、 受取人の口座を経ることなく送金することができる。 これにより、 受取人 が口座間送金可能な口座を所持していない場合であっても送金が可能となる。 特に、 第 1 4例では、 上述した通り送金者と受取人とが離れた場所に居る場合 に適用される。 具体的には、 送金者が、 例えばイン夕一ネットショッピングを行 なったことに伴いショップ (受取人) に送金する場合や、 遠隔地の家族に仕送り を行なう場合に適用される。 この場合、 上述した通り、 受取人所有の端末が認証 端末 1， 4として用いられる。 また、 受取人が金融機関の窓口に認証端末 1， 4 を所持して出向き、 この窓口で上記手順③ -4〜③ -6 もしくは④ -4〜④ -6 を行な つて金銭を受け取ってもよいし、 金融機関の送金担当が受取人の自宅まで訪問し、 その自宅で上記手順③ -4〜③ -6 もしくは④ -4〜④ -6 を行なって金銭を受け渡し てもよい。

なお、 この第 1 4例に上記第 8例〜第 1 0例で説明した方法をさらに適用する ことにより、 受取人に代わって、 この受取人指定の代理人が送金者からの金銭を 受け取ることが可能になる。 また、 この第 1 4例に上記第 4例〜第 7例で説明し た方法をさらに適用してもよく、 この場合、 上記第 4例〜第 7例のそれぞれと同 様の作用効果を得ることができる。

〔 1一 1 5〕 本発明の電子商取引方法の第 1 5例

本発明の電子商取引方法の第 1 5例 （図示省略） は、 送金者が、 上記第 1 4例 のごとく送金者の端末ではなく、 受取人の認証端末によりネットワークを介して 金融機関に、 送金者の口座から受取人への送金を依頼する方法である。 具体的に は、 送金者と受取人とが同じ場所に居る場合であって、 例えばショップ等の店頭 にある端末 （受取人所有の端末） が認証端末として用いられ、 上記金融機関に口 座を有していない受取人に送金するための方法である。 この第 1 5例では、 以下 に第 1〜第 3実施態様として説明するように、 基本的に上記第 1例〜第 3例とほ ぼ同様の手順で電子商取引が行なわれる。

第 1 5例の第 1実施態様は、 上記第 1例と同様の手順に従って実行されるもの で、 具体的には下記手順⑤ -1〜⑤ -5で実行される。

⑤ -1 受取人は受取人本人を特定するための認証情報を、 受取人所有の認証 端末 1 (図 1 A, 図 1 B参照) に入力する。

⑤ -2認証端末 1は、 所定の暗号化キーで認証情報を暗号化し、 暗号化済み 認証情報と送金依頼とをネットワークを介して金融機関へ送付するとともに、 認 証情報と暗号化済み認証情報を復号するための復号キーとを保持する。

(D-3 受取人が送金者からの金銭を受け取る際に、 金融機関の送金担当は、 認証端末 1から受け取つた暗号化済み認証情報を認証端末 1に入力するとともに、 受取人は、 暗号化済み認証情報を復号するために必要なデータ （例えばパスヮー ド等の本人認証鍵) を認証端末 1に入力する。

⑤ -4認証端末 1は、 上記手順⑤ -3 で入力されたデータと認証端末 1に予め 保持されている本人認証鍵とを照合し、 これらが一致した場合、 送金担当によつ て入力された暗号化済み認証情報を、 認証端末 1内に保持された復号キーで復号 し、 復号された認証情報と認証端末 1内に保持された認証情報とを照合し、 これ らの認証情報が一致した場合にその旨を受取人および送金担当に通知する。

⑤ -5認証端末 1からの照合一致通知を受けて、 送金担当は送金者からの金 銭を受取人に受け渡す。

また、 第 1 5例の第 2実施態様は、 上述した第 1 5例の第 1実施態様に、 上記 第 2例と同様の手順を適用して実行されるものである。 つまり、 この第 2実施態 様では、 上記手順⑤ -2 で、 認証端末 1 (図 3参照） は、 認証情報および復号キ 一とともに発注者のバイオメトリクス情報を保持し、 上記手順⑤ -3 で、 受取人 は、 暗号化済み認証情報を復号するために必要なデ一夕として自身のバイオメト リクス情報を認証端末 1に入力し、 上記手順⑤ -4で、 認証端末 1は、 金銭受取 時に受取人によって入力されたバイオメトリクス情報と認証端末 1内に予め保持 されているバイオメトリクス情報とを照合し、 これらのバイオメトリクス情報が 一致した場合に、 暗号化済み認証情報を、 認証端末 1内に保持された復号キーで 復号する。

さらに、 第 1 5例の第 3実施態様は、 上記第 3例と同様の手順に従って実行さ れるもので、 具体的には下記手順⑥ -1〜⑥ -5で実行される。

⑥ -1 受取人は受取人本人を特定するための第 1受取人バイオメトリクス情 報を、 受取人所有の認証端末 4 (図 4 A， 図 4 B参照) に入力する。

⑥ -2認証端末 4は、 所定の暗号化キーで第 1受取人バイオメトリクス情報 を暗号化し、 暗号化済み第 1受取人バイオメ卜リクス情報と送金依頼とをネット ワークを介して金融機関へ送付するとともに、 暗号化済み第 1受取人バイオメ卜 リクス情報を復号するための復号キ一を保持する。

⑥ -3 受取人が送金者からの金銭を受け取る際に、 金融機関の送金担当は、 認証端末 4から受け取つた暗号化済み第 1受取人バイオメトリクス情報を認証端 末 4に入力するとともに、 受取人は、 受取人本人を特定するための第 2受取人バ ィオメトリクス情報を認証端末 4に入力する。

⑥ -4認証端末 4は、 送金担当によって入力された暗号化済み第 1受取人バ ィオメトリクス情報を、 認証端末 4内に保持された復号キーで復号し、 復号され た第 1受取人バイオメトリクス情報と上記手順⑥ -3 で入力された第 2受取人バ ィオメトリクス情報とを照合し、 これらのバイオメトリクス情報が一致した場合 にその旨を受取人および送金担当に通知する。

⑥ -5 認証端末 4からの照合一致通知を受けて、 送金担当は送金者からの金 銭を受取人に受け渡す。

この第 1 5例の方法を用いることにより、 第 1 4例と同様、 送金者の口座から 受取人へ直接、 受取人の口座を経ることなく送金することができる。 これにより、 受取人が口座間送金可能な口座を所持していない場合であっても送金が可能とな る。

特に、 第 1 5例では、 上述した通り送金者と受取人とが同じ場所にいる場合に 適用される。 具体的には、 送金者がショップ等の店頭で商品を購入する場合など に適用される。 この場合、 ショップの経営者等が受取人になるほか、 店頭にそな えられたショップの端末が認証端末 1， 4として用いられる。 また、 第 1 5例に おいても、 第 1 4例と同様、 受取人が金融機関の窓口に認証端末 1 , 4を所持し て出向き、 この窓口で上記手順⑤ -3〜⑤ -5 もしくは⑥ -3〜⑥ -5 を行なって金銭 を受け取ってもよいし、 金融機関の送金担当が受取人の自宅まで訪問し、 その自 宅で上記手順上記手順⑤ -3〜⑤ -5 もしくは⑥ -3〜⑥ -5 を行なって金銭を受け渡 してもよい。

なお、 この第 1 5例に上記第 8例〜第 1 0例で説明した方法をさらに適用する ことにより、 受取人に代わって、 この受取人指定の代理人が送金者からの金銭を 受け取ることが可能になる。 また、 この第 1 5例に上記第 4例〜第 7例で説明し た方法をさらに適用してもよく この場合、 上記第 4例〜第 7例のそれぞれと同 様の作用効果を得ることができる。

〔2〕 本発明の電子商取引システムおよび認証端末

本発明の電子商取引システムおよび認証端末の構成例およびその動作について、 以下に説明する。

〔 2— 1〕 電子商取引システムおよび認証端末の第 1構成例

図 1 3は本発明の電子商取引システムおよび認証端末の第 1構成例を示すプロ ック図である。 この図 1 3に示す第 1構成例は、 上述した電子商取引方法の第 1 例および第 4例を実現するためのものである。

この第 1構成例の電子商取引システムは、 受注者に対する商品の発注を行なう とともに商品の受取時に発注者本人の認証を行なう、 発注者側の認証端末 1と、 この認証端末 1と受注者との間で情報のやり取りを行なうネットワーク 2と、 認 証端末 1からネットワーク 2を介して送られてきた受注情報を保持する、 受注者 側の受注情報保持部 3とをそなえて構成されている。

そして、 この第 1構成例における認証端末 1は、 データ入力部 14， 認証情報 保持部 10, 暗号化キー生成部 21， 暗号化部 1 1， 出力イン夕フェース部 1 9, 復号キ一保持部 12, パスワード保持部 13, 入力インタフェース部 20, ュ一 ザ認証部 15, 認証情報復号部 16, 認証情報照合部 17および復号キー消去部

22をそなえて構成されている。

データ入力部 14は、 商品の発注時に、 発注者本人を特定するための認証情報 (例えばパスワード） を入力する認証情報入力部としての機能と、 商品の納品時 に発注者によりパスワード （暗号化済み認証情報を復号するために必要なデー タ） を入力するデータ入力部としての機能を果たすものである。

認証情報保持部 10は、 データ入力部 14から入力された認証情報を保持する ものである。

暗号化キー生成部 （暗号鍵生成部） 21は、 商品の発注を行なう都度、 所定の 暗号化キー （暗号鍵） と、 この暗号化キーによって暗号化された情報を復号する ための復号キー （復号鍵） を生成するものである。

暗号化部 1 1は、 データ入力部 14から入力された認証情報を、 暗号化キー生 成部 21によって生成された暗号化キーで暗号化するものである。

出力インタフェース部 （出力 I/F) 19は、 暗号化部 1 1によって喑号化さ れた暗号化済み認証情報を発注伝票 （品名， 個数， 金額， 納入先などの情報） と ともに、 受注情報として、 ネットワーク 2を介して受注者 (受注情報保持部 3 ) へ送付するほか、 後述する認証情報照合部 17による照合結果を受注者 （受注情 報保持部 3) へ通知するためのものである。

復号キー保持部 （復号鍵保持部） 12は、 暗号化キ一生成部 21によって生成 された、 暗号化済み認証情報を復号するための復号キー （復号鍵） を保持するも のであり、 パスワード保持部 （データ保持部） 13は、 パスワード （暗号化済み 認証情報の復号を許可するために必要なデータ；認証端末 1の正規所有者である ことを認証するためのデータ；本人認証鍵） を予め保持するものである。

入力インタフェース部 （入力 IZF) 20は、 商品の納品時に、 受注情報保持 部 3に保持されている暗号化済み認証情報を入力するためのもので、 例えば前述 したコンパクトフラッシュ （登録商標） カード等の媒体用スロットである。

ユーザ認証部 （発注者認証部） 15は、 パスワード保持部 13に予め保持され たパスヮードと商品の納品時に発注者によりデータ入力部 14から入力されたパ スワードとを照合して認証端末 1のユーザの本人認証を行なうもので、 これらの パスワードが一致した場合に、 復号キー保持部 12に保持された復号キーの使用 を許可するものである。

認証情報復号部 （復号部） 16は、 発注者認証部 15による照合結果を受けて、 復号キー保持部 12に保持された復号キーを用いて、 入力イン夕フェース部 20 から入力された暗号化済み認証情報を復号するものである。

認証情報照合部 （照合部） 17は、 復号部 16によって復号された認証情報と 認証情報保持部 10に保持された認証情報とを照合し、 その照合結果を発注者， 商品の納品担当および受注者に通知するものである。

復号キー消去部 （復号鍵消去部） 22は、 商品の納品時における照合 （認証情 報照合部 17による照合） を完了した時点で復号キ一保持部 12に保持された復 号キ一を消去するものである。

ここで、 認証端末 1は例えばパーソナルコンピュータ等であり、 認証端末 1内 の C P U等が所定の電子商取引プログラムを実行することにより、 上述した喑号 化キー生成部 21， 暗号化部 11, ユーザ認証部 15, 認証情報復号部 16， 認 証情報照合部 17および復号キ一消去部 22としての機能が実現されるようにな つている。 上述した電子商取引プログラムは、 例えばフレキシブルディスク， C D— ROM, CD-R, CD-RW, D VD等のコンピュータ読取可能な記録媒 体に記録された形態で提供される。 この場合、 CPUはその記録媒体から電子商 取引プログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して 用いる。 また、 その電子商取引プログラムを、 例えば磁気ディスク， 光ディスク, 光磁気ディスク等の記憶装置 （記録媒体） に記録しておき、 その記憶装置から通 信回線を介して C P Uに提供するようにしてもよい。

さらに、 本実施形態における記録媒体としては、 上述したフレキシブルデイス ク， CD— ROM, CD-R, CD-RW, DVD, 磁気ディスク， 光ディスク, 光磁気ディスクのほか、 I Cカード， R OMカートリッジ， 磁気テープ， パンチ カード， コンピュータの内部記憶装置 （R AMや R OMなどのメモリ）， 外部記 憶装置等や、 バーコードなどの符号が印刷された印刷物等の、 コンピュータ読取 可能な種々の媒体を利用することができる。

なお、 デ一夕入力部 1 4は、 例えばパーソナルコンピュータ等におけるキーポ 一ドゃタツチパネルによって構成され、 認証情報保持部 1 0， 復号キー保持部 1 2およびパスワード保持部 1 3は、 例えばパーソナルコンピュータ等における R AMによって構成される。

上述のごとく構成された第 1構成例では、 認証端末 1 のパスワード保持部 1 3に、 予め認証端末 1の所有者 （ユーザ） の認証を行なうためのパスワードを入 力しておく。 発注者は、 発注時に認証情報をデータ入力部 1 4から認証端末 1 に入力する。 認証端末 1 内では、 認証情報保持部 1 0が入力された認証情報を 保持し、 暗号化部 1 1がその認証情報を暗号化して出カインタフエース部 1 9か ら出力し、 ネットワーク 2を経由して受注者の受注情報保持部 3に送信する。 こ のとき、 受注者には発注者の発注情報 (品名、 個数、 金額、 納入先などの情報) も併せて送信される。 暗号化済み認証情報を復号するための復号キーは、 認証端 末 1内の復号キー保持部 1 2に保持されている。 なお、 暗号化キ一は、 暗号化部 1 1による暗号化が完了すると削除される。

発注者の認証時 （商品の納品時） には、 受注者 （納品担当） は受注情報保持部 3に保持されている暗号化済み認証情報を発注者の認証端末 1 に送信し入カイ ンタフェース部 2 0から入力する。 このとさ、 暗号化済み認証情報は、 ネットヮ ーク 2を介して認証端末 1に送信 ·入力されてもよいし、 前述した通り、 例えば フラッシュコンパクト (登録商標) カードによって入力されてもよい。 そして、 認証端末 1 では、 発注者がデータ入力部 1 4からパスワードを入力し、 ユーザ 認証部 1 5にてパスヮード保持部 1 3内のパスヮードと入力されたパスヮードと がー致するか否かを判定する。

これらのパスワードが一致した場合、 ユーザ認証部 1 5は、 入力された暗号化 済み認証情報の復号を許可する復号許可信号を認証情報復号部 1 6に出力する。 認証情報復号部 1 6は、 復号許可信号を受け、 復号キー保持部 1 2内の復号キ一 を用いて暗号化済み認証情報を復号する。 そして、 認証情報照合部 1 7は、 認証 情報保持部 1 0内に保持されている認証情報と認証情報復号部 1 6によって復号 された認証情報とを照合し、 これらの認証情報が一致することを確認する。 認証 端末 1は、 この認証結果を L E Dや液晶パネルなどに表示するとともに、 デジ夕 ルデータとして、 出力インタフェース部 1 9およびネットワーク 2を通じて、 受 注者の受注情報保持部 3に送信する。

また、 第 1構成例では、 発注者が認証端末 1で発注を行なう都度、 暗号化キー 生成部 2 1が、 暗号化キーおよび復号キーを生成している。 そして、 認証情報照 合部 1 7による照合を完了した時点で、 復号キー消去部 2 2が、 復号キー保持部 1 2に保持されている復号キ一を消去している。

このようにして、 図 1 3に示す第 1構成例によれば、 図 1 A， 図 I Bおよび図 2を参照しながら説明した電子商取引方法の第 1例と、 図 6 A， 図 6 Bおよび図 7を参照しながら説明した電子商取引方法の第 4例とが実現され、 これら第 1例 および第 4例と同様の作用効果を得ることができる。

C 2 - 2 ] 電子商取引システムおよび認証端末の第 2構成例

図 1 4は本発明の電子商取引システムおよび認証端末の第 2構成例を示すプロ ック図である。 この図 1 4に示す第 2構成例は、 上述した電子商取引方法の第 2 例および第 4例を実現するためのものである。 この第 2構成例も、 図 1 3に示す 第 1構成例とほぼ同様に構成されているが、 この第 2構成例では、 パスワード保 持部 1 3に代えてバイオメトリクス情報保持部 1 3 aがそなえられるとともに、 バイオメトリクスセンサ 1 8が新たにそなえられている。 なお、 図 1 4中、 既述 の符号と同一の符号は同一もしくはほぼ同一の部分を示しているので、 その説明 は省略する。

第 2構成例におけるデータ入力部 1 4は、 商品の発注時に、 発注者本人を特定 するための認証情報 （例えばパスワード） を入力する認証情報入力部としての機 能のみを果たすものであり、 バイオメトリクスセンサ 1 8は、 商品の納品時に、 発注者のバイオメトリクス情報 （暗号化済み認証情報を復号するために必要なデ 一夕） を採取して入力するデータ入力部としての機能を果たすものである。 また、 バイオメトリクス情報保持部 （データ保持部） 1 3 aは、 発注者本人を 特定するバイオメ卜リクス情報 （暗号化済み認証情報を復号するために必要なデ

—タ；認証端末 1の正規の所有者であることを示す端末所有者としての認証用の データ） を予め保持するものである。

そして、 第 2構成例では、 ユーザ認証部 1 5が、 バイオメトリクス情報保持部 1 3 aに予め保持されているバイオメトリクス情報とバイオメトリクスセンサ 1 8から入力されたバイオメ卜リクス情報とを照合する。

第 1構成例のュ一ザ認証部 1 5では、 パスワードを用いて認証端末 1のユーザ の本人認証を行なっているが、 この第 2構成例のユーザ認証部 1 5では、 バイオ メトリクス情報を用いて認証端末 1のユーザの本人認証 （つまりバイオメトリク ス認証） を行なっている。 ここで、 バイオメトリクス情報とは、 人間の身体的特 徵 （例えば、 指紋， 掌紋， 網膜， 虹彩， 毛細血管パターン， 顔画像， 声紋など） や、 人間の特定の動作 （サイン， 身振りなど） をデータ化したもののことをいう。 また、 バイオメトリクス認証とは、 2つのバイオメトリクス情報 A, Bを用いて、 バイオメトリクス情報 Aの所有者とバイオメトリクス情報 Bの所有者が同一であ ることを認証する方式である。 なお、 本発明で述べているバイオメトリクス情報 とは、 上記に挙げた例だけでなく、 人間の身体的特徴および人間の特定の動作な ど、 人間の認証が可能な全てのデ一夕を含むものである。

また、 第 2構成例でも、 第 1構成例と同様、 発注者が認証端末 1で発注を行な う都度、 暗号化キー生成部 2 1が、 暗号化キーおよび復号キ一を生成している。 そして、 認証情報照合部 1 7による照合を完了した時点で、 復号キー消去部 2 2 が、 復号キ一保持部 1 2に保持されている復号キーを消去している。

このようにして、 図 1 4に示す第 2構成例によれば、 図 3を参照しながら説明 した電子商取引方法の第 2例と、 図 6 A, 図 6 Bおよび図 7を参照しながら説明 した電子商取引方法の第 4例とが実現され、 これら第 2例および第 4例と同様の 作用効果を得ることができる。

〔2— 3〕 電子商取引システムおよび認証端末の第 3構成例

図 1 5は本発明の電子商取引システムおよび認証端末の第 3構成例を示すプロ ック図である。 この図 1 5に示す第 3構成例は、 上述した電子商取引方法の第 3 例および第 4例を実現するためのものである。 この第 3構成例の電子商取引システムは、 受注者に対する商品の発注を行なう とともに商品の受取時に発注者本人の認証を行なう、 発注者側の認証端末 4と、 この認証端末 4と受注者との間で情報のやり取りを行なうネットワーク 5と、 認 証端末 4からネットワーク 5を介して送られてきた受注情報を保持する、 受注者 側の受注情報保持部 6とをそなえて構成されている。

そして、 この第 3構成例における認証端末 4は、 バイオメトリクスセンサ 4 0 , 暗号化キー生成部 4 7， 暗号化部 4 1 , 出力インタフェース部 4 5 , 復号キ一保 持部 4 2 , 入力インタフェース部 4 6， バイオメトリクス情報復号部 4 4， バイ オメトリクス認証部 4 3および復号キ一消去部 4 8をそなえて構成されている。 バイオメトリクスセンサ （バイオメトリクス情報入力部） 4 0は、 発注者のバ ィオメトリクス情報を採取して入力するものである。

暗号化キー生成部 （暗号鍵生成部） 4 7は、 商品の発注を行なう都度、 所定の 暗号化キー （暗号鍵） と、 この暗号化キーによって暗号化された情報を復号する ための復号キ一 (復号鍵) を生成するものである。

暗号化部 4 1は、 商品の発注時に発注者によってバイオメトリクスセンサ 4 0 から入力された第 1発注者バイオメトリクス情報を、 暗号化キー生成部 4 7によ つて生成された暗号化キーで暗号化するものである。

出力インタフェース部 （出力 I / F) 4 5は、 暗号化部 4 1によって暗号化さ れた暗号化済み第 1発注者バイオメトリクス情報を発注伝票 （品名， 個数， 金額, 納入先などの情報) とともに、 受注情報として、 ネットワーク 5を介して受注者 (受注情報保持部 6 ) へ送付するほか、 後述するバイオメ卜リクス認証部 4 3に よる認証結果を受注者 （受注情報保持部 6 ) へ通知するためのものである。

復号キー保持部 （復号鍵保持部） 4 2は、 暗号化キー生成部 4 7によって生成 された、 暗号化済み第 1発注者バイオメトリクス情報を復号するための復号キー (復号鍵） を保持するものである。

入力インタフェース部 （入力 I / F ) 4 6は、 商品の納品時に、 受注情報保持 部 6に保持されている暗号化済み第 1発注者バイオメ卜リクス情報を入力するた めのもので、 例えば前述したコンパクトフラッシュ （登録商標） カード等の媒体 用スロッ卜である。 バイオメトリクス情報復号部 （復号部） 4 4は、 復号キー保持部 4 2に保持さ れた復号キーを用いて、 入力インタフェース部 4 6から入力された暗号化済み第 1発注者パイオメトリクス情報を復号するものである。

バイオメトリクス認証部 （照合部） 4 3は、 バイオメトリクス情報復号部 4 4 によって復号された第 1発注者パイオメ卜リクス情報と商品の納品時に発注者に よってバイオメトリクスセンサ 4 0から入力された第 2発注者バイオメトリクス 情報とを照合し、 その照合結果を発注者， 商品の納品担当および受注者に通知す るものである。

復号キー消去部 （復号鍵消去部） 4 8は、 商品の納品時における照合 （バイオ メトリクス認証部 4 3による認証） を完了した時点で復号キ一保持部 4 2に保持 された復号キ一を消去するものである。

ここで、 第 1構成例と同様、 第 3構成例の認証端末 4も、 例えばパーソナルコ ンピュー夕等であり、 認証端末 4内の C P U等が所定の電子商取引プログラムを 実行することにより、 上述した暗号化キー生成部 4 7， 暗号化部 4 1 , バイオメ トリクス情報復号部 4 4 , バイオメトリクス認証部 4 3および復号キ一消去部 4 8としての機能が実現されるようになっている。 上述した電子商取引プログラム は、 例えばフレキシブルディスク , C D - R OM, C D - R, C D - RW, D V D等のコンピュータ読取可能な記録媒体に記録された形態で提供される。 なお、 復号キ一保持部 4 2は、 例えばパーソナルコンピュータ等における R AMによつ て構成される。

上述のごとく構成された第 3構成例の認証端末 4では、 バイオメトリクスセン サ 4 0により発注時に発注者の第 1発注者バイオメトリクス情報を取得し、 これ を暗号化部 4 1で暗号化して受注者の受注情報保持部 6に送信する。 なお、 暗号 化キ一は、 暗号化部 4 1による暗号化が完了すると削除される。

—方、 発注者の認証時 （商品の納品時） には、 受注者 （納品担当） は受注情報 保持部 6内の暗号化済み第 1発注者バイオメトリクス情報を認証端末 4に送信し 入力イン夕フェース部 4 6から入力する。 このとき、 暗号化済み第 1発注者バイ オメ卜リクス情報は、 ネットワーク 5を介して認証端末 4に送信 ·入力されても よいし、 前述した通り、 例えばフラッシュコンパクト （登録商標） カードによつ て入力されてもよい。 ' そして、 認証端末 4では、 暗号化済み第 1発注者バイオメトリクス情報をバイ オメトリクス情報復号部 4 4により復号し、 その復号結果をパイオメトリクス認 証部 4 3に送信する。 ここで、 認証端末 4は、 再度、 発注者のバイオメトリクス 情報 （第 2発注者バイオメトリクス情報） を採取する。 そして、 この第 2発注者 バイオメトリクス情報をバイオメトリクス認証部 4 3に入力し、 バイオメトリク ス認証部 4 3ではこれら 2つのバイオメトリクス情報を照合して発注者の本人認 証を行なう。 認証端末 4は、 この認証結果を L E Dや液晶パネルなどに表示する とともに、 デジタルデータとして、 出力インタフエ一ス部 4 5およびネットヮ一 ク 5を通じて、 受注者の受注情報保持部 6に送信する。

また、 第 3構成例でも、 発注者が認証端末 4で発注を行なう都度、 暗号化キー 生成部 4 7が、 暗号化キーおよび復号キーを生成している。 そして、 バイオメト リクス認証部 4 3による認証を完了した時点で、 復号キ一消去部 4 8が、 復号キ —保持部 4 2に保持されている復号キ一を消去している。

このようにして、 図 1 5に示す第 3構成例によれば、 図 4 A, 図 4 Bおよび図 5を参照しながら説明した電子商取引方法の第 3例と、 図 6 A, 図 6 Bおよび図 7を参照しながら説明した電子商取引方法の第 4例とが実現され、 これら第 3例 および第 4例と同様の作用効果を得ることができる。

〔 2— 4〕 電子商取引システムおよび認証端末の第 4構成例

図 1 6は本発明の電子商取引システムおよび認証端末の第 4構成例を示すプロ ック図である。 この図 1 6に示す第 4構成例は、 上述した電子商取引方法の第 9 例および第 4例を実現するためのものである。

この第 4構成例の電子商取引システムは、 受注者に対する商品の発注を行なう とともに発注者が委任した代理人による商品の受取時に認証を行なう、 発注者側 の認証端末 7と、 この認証端末 7と受注者との間で情報のやり取りを行なうネッ トワーク 8と、 認証端末 7からネットワーク 8を介して送られてきた受注情報を 保持する、 受注者側の受注情報保持部 9とをそなえて構成されている。

そして、 この第 4構成例における認証端末 7は、 バイオメトリクスセンサ 7 0， 暗号化キー生成部 7 9 , 暗号化部 7 1 , 出力インタフェース部 7 7 , 復号キー保 持部 7 2 , バイオメトリクス情報保持部 7 3 , 代理人バイオメトリクス情報保持 部 7 4 , 入力インタフェース部 7 8， バイオメトリクス情報復号部 7 6 , バイオ メトリクス認証部 7 5および復号キー消去部 8 0をそなえて構成されている。 バイオメトリクスセンサ （バイオメトリクス情報入力部） 7 0は、 バイオメト リクス情報を採取して入力するものである。

暗号化キー生成部 （暗号鍵生成部） 7 9は、 商品の発注を行なう都度、 所定の 暗号化キー （暗号鍵） と、 この暗号化キーによって暗号化された情報を復号する ための復号キー （復号鍵） を生成するものである。

暗号化部 7 1は、 商品の発注時に発注者によってバイオメトリクスセンサ 7 0 から入力された第 1発注者パイオメトリクス情報 Aを、 暗号化キー生成部 7 9に よつて生成された暗号化キーで暗号化するものである。

出力インタフェース部 （出力 I ZF) 7 7は、 暗号化部 7 1によって喑号化さ れた暗号化済み第 1発注者バイオメトリクス情報 Aを発注伝票 (品名, 個数， 金 額， 納入先などの情報) とともに、 受注情報として、 ネットワーク 8を介して受 注者 (受注情報保持部 9 ) へ送付するほか、 後述するバイオメトリクス認証部 7 5による認証結果を受注者 (受注情報保持部 9 ) へ通知するためのものである。 復号キー保持部 （復号鍵保持部） 7 2は、 暗号化キ一生成部 7 9によって生成 された、 暗号化済み第 1発注者バイオメトリクス情報 Aを復号するための復号キ 一 (復号鍵) を保持するものである。

バイオメトリクス情報保持部 7 3は、 発注者が商品の受取を代理人に委任する 際に、 発注者によってバイオメトリクスセンサ 7 0から入力された第 2発注者パ ィオメトリクス情報 Bを保持するものであり、 代理人バイオメ卜リクス情報保持 部 7 4は、 やはり発注者が商品の受取を代理人に委任する際に、 代理人によって バイオメトリクスセンサ 7 0から入力された第 1代理人バイオメトリクス情報 C を保持するものである。

入力イン夕フエ一ス部 （入力 I ZF) 7 8は、 商品の納品時に、 受注情報保持 部 9に保持されている暗号化済み第 1発注者バイオメトリクス情報 Aを入力する ためのもので、 例えば前述したコンパクトフラッシュ （登録商標） 力一ド等の媒 体用スロットである。 バイオメトリクス認証部 7 5は、 代理人認証部としての機能 （代理人認証機 能） と発注者認証部としての機能 （発注者認証機能） とを果たすものである。 バ ィオメトリクス認証部 Ί 5の代理人認証機能は、 代理人バイオメトリクス情報保 持部 7 4に保持された第 1代理人パイオメトリクス情報 Cと商品の納品時に代理 人によってバイオメトリクスセンサ 7 0から入力された第 2代理人バイオメトリ クス情報 Dとを照合し、 これらの代理人バイオメ卜リクス情報 A， Bがー致した 場合に、 復号キー保持部 7 2に保持された復号キーの使用を許可する機能である。 バイオメトリクス情報復号部 （復号部） 7 6は、 バイオメトリクス認証部 7 5 の代理人認証機能による照合結果を受けて、 復号キー保持部 7 2に保持された復 号キーを用いて、 入力インタフェース部 7 8から入力された暗号化済み第 1発注 者バイオメトリクス情報 Aを復号するものである。

また、 バイオメ卜リクス認証部 7 5の発注者認証機能は、 バイオメトリクス情 報復号部 7 6によって復号された第 1発注者バイオメトリクス情報 Aと発注者バ ィオメトリクス情報保持部 7 3に保持された第 2発注者バイオメトリクス情報 B とを照合し、 その照合結果を発注者， 商品の納品担当および受注者に通知する機 能である。

復号キー消去部 （復号鍵消去部） 8 0は、 商品の納品時における照合 （バイオ メトリクス認証部 7 5による発注者認証) を完了した時点で復号キー保持部 7 2 に保持された復号キ一を消去するものである。

ここで、 第 1構成例と同様、 第 4構成例の認証端末 7も、 例えばパーソナルコ ンピュ一夕等であり、 認証端末 7内の C P U等が所定の電子商取引プログラムを 実行することにより、 上述した暗号化キー生成部 7 9， 暗号化部 7 1， バイオメ トリクス情報復号部 7 6 , バイオメトリクス認証部 7 5および復号キー消去部 8 0としての機能が実現されるようになっている。 上述した電子商取引プログラム は、 例えばフレキシブルディスク， C D - R OM, C D - R , C D - RW, D V D等のコンピュータ読取可能な記録媒体に記録された形態で提供される。 なお、 復号キー保持部 7 2 , バイオメトリクス情報保持部 7 3および代理人バイオメ卜 リクス情報保持部 7 4は、 例えばパーソナルコンピュータ等における R AMによ つて構成される。 上述のごとく構成された第 4構成例では、 代理人による発注者の本人認証が実 現される。 認証端末 7は、 発注時にバイオメトリクスセンサ 7 0により発注者の バイオメトリクス情報 Aを取得し、 これを暗号化部 7 1で暗号化して受注者の受 注情報保持部 9に送信する。 なお、 暗号化キーは、 暗号化部 7 1による暗号化が 完了すると削除される。 次に、 発注者は発注者の本人認証を代行する代理人を認 証端末 7に登録する。 認証端末 7は、 発注者および代理人のバイオメトリクス情 報 B， Cを取得し、 これらをそれぞれ発注者パイオメ卜リクス情報保持部 7 3お よび代理人バイオメトリクス情報保持部 7 4に保持する。

一方、 発注者の認証時 （商品の納品時） には、 受注者 （納品担当） は受注情報 保持部 9の暗号化済みバイオメトリクス情報を認証端末 7に送信し入カインタフ エース部 7 8から入力する。 このとさ、 暗号化済み第 1発注者バイオメ卜リクス 情報 Aは、 ネットワーク 8を介して認証端末 7に送信 ·入力されてもよいし、 前 述した通り、 例えばフラッシュコンパクト (登録商標) カードによって入力され てもよい。

そして、 代理人は、 代理人のバイオメトリクス情報 Dを認証端末 7 に読み込 ませる。 例えば指紋を用いた照合であれば、 認証端末 7に付設されたバイオメ卜 リクスセンサ 7 0としての指紋センサに指を押し付けてこのセンサに指紋を読み 込ませ、 指紋画像 ひ ィオメ卜リクス情報） を取得する。 バイオメトリクス認証 部 7 5は、 認証時に入力されたバイオメトリクス情報 Dと代理人バイオメトリク ス情報保持部 7 4に保持されているバイオメトリクス情報 Cとを照合し、 代理人 の本人認証を実行する。 その認証結果はバイオメトリクス情報復号部 7 6に出力 される。 代理人認証結果が 「OK」 であれば、 バイオメトリクス情報復号部 7 6 は、 入力インタフェース 7 8から入力された暗号化済みバイオメトリクス情報 A を、 復号キー保持部 7 2に保持された復号キーで復号する。 この後、 バイオメト リクス認証部 7 5は、 復号されたパイオメトリクス情報 Aと発注者バイオメトリ クス情報保持部 7 3に保持されているバイオメトリクス情報 Bとを照合して、 発 注者の本人認証を実行する。 認証端末 7は、 この認証結果を L E Dや液晶パネル などに表示するとともに、 デジタルデータとして、 出力インタフェース部 7 7お よびネットワーク 8を通じて、 受注者の受注情報保持部 9に送信する。 また、 第 4構成例では、 発注者が認証端末 7で発注を行なう都度、 暗号化キー 生成部 7 9が、 暗号化キーおよび復号キーを生成している。 そして、 バイオメ卜 リクス認証部 7 5による認証を完了した時点で、 復号キー消去部 8 0が、 復号キ —保持部 7 2に保持されている復号キ一を消去している。

このようにして、 図 1 6に示す第 4構成例によれば、 図 1 2 A〜図 1 2 Cを参 照しながら説明した電子商取引方法の第 9例と、 図 6 A， 図 6 Bおよび図 7を参 照しながら説明した電子商取引方法の第 4例とが実現され、 これら第 9例および 第 4例と同様の作用効果を得ることができる。

〔3〕 本発明の効果

上述した本発明の実施形態によれば、 商品の発注時等に発注者/受取人の認証 情報やバイオメ卜リクス情報が暗号化されて受注者 Z金融機関へ渡され、 その暗 号化情報は、 発注者/受取人の認証端末 1 , 4， 7においてのみ復号される。 発 注者/受取人が商品や金銭の受け取る際には、 納品担当 Z送金担当や発注者/受 取人が上記暗号化情報を含む所定の情報を認証端末 1 , 4 , 7に入力することに より、 認証端末 1 , 4 , 7において、 上記暗号化情報が復号され、 発注者/受取 人の本人認証が行なわれる。 従って、 電子商取引を行なう際にネットワーク 2， 5， 8上でやり取りされるパスワードやバイオメトリクス情報などの認証情報が 悪用されるのを確実に防止することができる。

また、 本発明の実施形態によれば、 認証端末 7 , 7 Aに代理人のバイオメトリ クス情報 Cと発注者のバイオメトリクス情報 Bとを予め保持させておき、 商品の 納品時 (認証者である発注者の本人認証時) に、 納品担当 (業者) が認証端末 7， 7 Aから送付された発注者のバイオメ卜リクス情報 Aを認証端末 7， 7 Aに入力 するとともに、 代理人が自身のバイオメトリクス情報 Dを認証端末 7， 7 Aに入 力し、 この認証端末 7 , 7 Aにおいて、 まず代理人の本人認証を行なって代理人 が本人であることが認証されると、 納品担当によって入力された発注者のバイオ メトリクス情報 Aと認証端末 7 , 7 Aに予め保持されている発注者のバイオメ卜 リクス情報 Bとによって、 発注者 （認証者） の本人認証が行なわれる。 従って、 商品等の受取に際して発注者本人だけでなく発注者本人が指定した代理人による 受取が、 セキュリティを確保しながら可能になり、 利便性が大幅に向上する。 このように本発明の実施形態によれば、 発注者 Z受取人 （ユーザ） については、

P K I利用 （鍵の管理， 暗号化実行） を簡略化できるほか、 バイオメトリクス情 報の流用や不正発注によるなりすまし行為が確実に防止され、 インタ一ネット等 を用いた電子商取引を安心して行なうことができる。 また、 代理人による発注者 の本人認証が可能になり、 利便性が大幅に向上する。

また、 受注者 Z金融機関 （業者） については、 不正発注を検出しその不正発注 が行なわれるのを確実に防止でき、 不正取引による商品の不正詐取を確実に防止 することができる。

さらに、 決済機関については、 不正決済を検出でき、 発注者 （ユーザ） ユーザ の意図しない決済が行なわれるのを確実に防止することができる。

〔4〕 その他

なお、 本発明は上述した実施形態に限定されるものではなく、 本発明の趣旨を 逸脱しない範囲で種々変形して実施することができる。

例えば、 上述した実施形態では、 認証端末 1 , 4 , 7に格納される情報 （バイ オメトリクス情報， 復号キーなど） は一組のみとして説明しているが、 本発明は、 これに限定されるものではなく、 複数回の発注に用いた複数組の情報を各発注に 対応させて格納してもよい。 この場合、 例えば受注者に対して送信した情報の一 部分にインデックス情報を付加し、 このインデックス情報を受信して、 メモリ内 のどの情報を用いて認証を行なうか判断するように構成する。 産業上の利用可能性

以上のように、 本発明によれば、 商品の発注時等に発注者/受取人の認証情報 やバイオメトリクス情報が暗号化されて受注者 Z金融機関へ渡され、 発注者 Z受 取人が商品や金銭の受け取る際には、 納品担当 Z送金担当や発注者/受取人が上 記暗号化情報を含む所定の情報を認証端末に入力することにより、 この認証端末 において、 上記暗号化情報が復号され、 発注者 Z受取人の本人認証が行なわれる。 これにより、 電子商取引を行なう際にネットワーク上でやり取りされるパスヮー ドゃバイオメトリクス情報などが悪用されるのを確実に防止することができる。 従って、 本発明は、 インターネット等のネットワークを利用して行なわれる電 子商取引に用いて好適であり、 その有用性は極めて高いものと考えられる。

Claims

請 求 の 範 囲

1 . 発注者がネットワークを介して受注者に商品を発注し該商品を受け取る電子 商取引方法であって、

該商品の発注時に、 該発注者は該発注者本人を特定するための認証情報を認証 端末に入力し、

該認証端末は、 所定の暗号鍵で該認証情報を暗号化し、 暗号化済み認証情報を 該商品の発注伝票とともに該ネットワークを介して該受注者へ送付するとともに、 該認証情報と該暗号化済み認証情報を復号するための復号鍵とを保持し、

該商品の納品時に、 該受注者側の納品担当は、 該商品の発注時に該認証端末か ら受け取つた該暗号化済み認証情報を該認証端末に入力するとともに、 該発注者 は、 該認証端末の正規の所有者であることを示す端末認証のデータを該認証端末 に入力し、

該認証端末は、 該データによつて該発注者が該認証端末の正規の所有者である ことを認証したら、 該納品担当によつて入力された該暗号化済み認証情報を、 該 認証端末内に保持された該復号鍵で復号し、 復号認証情報と該認証端末内に保持 された該認証情報とを照合し、 これらの認証情報が一致した場合にその旨を該発 注者， 該納品担当および該受注者に通知し、

該認証端末からの照合一致通知を受けて、 該納品担当は該商品の該発注者への 受渡しを実行することを特徴とする、 電子商取引方法。

2 . 該認証端末は、 該認証情報および該復号鍵とともに該発注者のバイオメトリ クス情報を保持し、

該商品の納品時に、 該発注者は、 該認証端末の正規の所有者であることを示す 端末所有者としての認証用のデータとして自身のバイオメトリクス情報を該認証 端末に入力し、 該認証端末は、 該商品の納品時に入力されたバイオメトリクス情 報と該認証端末内に予め保持されているバイオメトリクス情報とを照合し、 これ らのバイオメ卜リクス情報が一致した場合に、 該暗号化済み認証情報を、 該認証 端末内に保持された該復号鍵で復号することを特徴とする、 請求の範囲第 1項に 記載の電子商取引方法。

3 . 発注者がネットワークを介して受注者に商品を発注し該商品を受け取る電子 商取引方法であって、

該商品の発注時に、 該発注者は該発注者本人を特定するための第 1発注者バイ オメトリクス情報を認証端末に入力し、

該認証端末は、 所定の暗号鍵で該第 1発注者バイオメ卜リクス情報を暗号化し、 暗号化済み第 1発注者バイオメトリクス情報を該商品の発注伝票とともに該ネッ トワークを介して該受注者へ送付するとともに、 該暗号化済み第 1発注者バイォ メトリクス情報を復号するための復号鍵を保持し、

該商品の納品時に、 該受注者側の納品担当は、 該商品の発注時に該認証端末か ら受け取った該暗号化済み第 1発注者バイオメトリクス情報を該認証端末に入力 するとともに、 該発注者は、 該発注者本人を特定するための第 2発注者バイオメ トリクス情報を該認証端末に入力し、

該認証端末は、 該納品担当によって入力された該暗号化済み第 1発注者バイォ メトリクス情報を、 該認証端末内に保持された該復号鍵で復号し、 復号第 1発注 者バイオメトリクス情報と該第 2発注者バイオメトリクス情報とを照合し、 これ らの発注者パイオメトリクス情報が一致した場合にその旨を該発注者， 該納品担 当およぴ該受注者に通知し、

該認証端末からの照合一致通知を受けて、 該納品担当は該商品の該発注者への 受渡しを実行することを特徴とする、 電子商取引方法。

4. 該認証端末は、 認証局が発行した該発注者の秘密鍵および公開鍵を保持する とともに、 該受注者から該発注者に送付された、 該認証局発行の受注者の公開鍵 を保持し、

該認証端末は、 該商品の発注時に、 該受注者の公開鍵でさらに暗号化された該 暗号化済み認証情報と、 該発注者の公開鍵と、 該発注者の秘密鍵で暗号化された、 該発注者本人を特定する電子署名とを該受注者へ送付し、

該受注者は、 該受注者の秘密鍵を用いて、 該所定の暗号鍵で暗号化された該喑 号化済み認証情報を得ることを特徴とする、 請求の範囲第 1項または第 2項に記 載の電子商取引方法。

5 . 該認証端末は、 認証局が発行した該発注者の秘密鍵および公開鍵を保持する とともに、 該受注者から該発注者に送付された、 該認証局発行の受注者の公開鍵 を保持し、

該認証端末は、 該商品の発注時に、 該受注者の公開鍵でさらに暗号化された該 暗号化済み第 1発注者パイオメ卜リクス情報と、 該発注者の公開鍵と、 該発注者 の秘密鍵で暗号化された、 該発注者本人を特定する電子署名とを該受注者へ送付 し、

該受注者は、 該受注者の秘密鍵を用いて、 該所定の暗号鍵で暗号化された該喑 号化済み第 1発注者バイオメトリクス情報を得ることを特徴とする、 請求の範囲 第 3項に記載の電子商取引方法。

6 . 該認証端末による照合結果が決済機関に送付され、 該決済機関は、 該照合結 果を受けて該商品の決済を実行することを特徴とする、 請求の範囲第 1項〜第 3 項のいずれか一項に記載の電子商取引方法。

7 . 発注者がネットワークを介して受注者に商品を発注し、 該発注者が委任した 代理人が該商品を受け取る電子商取引方法であって、

該商品の発注時に、 該発注者は該発注者本人を特定するための第 1発注者バイ オメトリクス情報を認証端末に入力し、

該認証端末は、 該第 1発注者パイオメ卜リクス情報を該商品の発注伝票ととも に該ネットワークを介して該受注者へ送付し、

該発注者が該商品の受取を代理人に委任する際、 該発注者は、 該発注者本人を 特定するための第 2発注者バイオメ卜リクス情報を該認証端末に入力するととも に、 該代理人は、 該代理人本人を特定するための第 1代理人バイオメトリクス情 報を該認証端末に入力し、

該認証端末は、 該第 2発注者バイオメトリクス情報と該第 1代理人バイオメ卜 リクス情報とを対応付けて保持し、

該商品の納品時に、 該受注者側の納品担当は、 該商品の発注時に該認証端末か ら受け取つた該第 1発注者バイオメトリクス情報を該認証端末に入力するととも に、 該代理人は、 該代理人本人を特定するための第 2代理人バイオメトリクス情 報を該認証端末に入力し、

該認証端末は、 該第 2代理人バイオメトリクス情報と該認証端末内に保持され た該第 1代理人バイオメトリクスとを照合し、 これらの代理人バイオメトリクス 情報が一致した場合に該納品担当によって入力された該第 1発注者バイオメトリ クス情報と該認証端末内に保持された該第 2発注者バイオメトリクス情報とを照 合し、 これらの発注者バイオメトリクス情報が一致した場合にその旨を該代理人， 該納品担当および該受注者に通知し、

該認証端末からの照合一致通知を受けて、 該納品担当は該商品の該代理人への 受渡しを実行することを特徴とする、 電子商取引方法。

8 . 該商品の発注時に、 該認証端末は、 所定の暗号鍵で該第 1発注者バイオメト リクス情報を暗号化し暗号化済み第 1発注者バイオメトリクス情報として該受注 者へ送付するとともに、 該暗号化済み第 1発注者バイオメ卜リクス情報を復号す るための復号鍵を該第 2発注者バイオメトリクス情報および該第 1代理人バイォ メトリクス情報に対応付けて保持し、

該商品の納品時に、 該納品担当は、 該第 1発注者バイオメトリクス情報として 該暗号化第 1発注者バイオメトリクス情報を該認証端末に入力し、 該認証端末は、 上記代理人バイオメトリクス情報が一致した場合に、 該納品担当によって入力さ れた該暗号化第 1発注者バイオメトリクス情報を、 該認証端末内に保持された該 復号鍵で復号し、 復号第 1発注者バイオメトリクス情報と該第 2発注者バイオメ トリクス情報との照合を行なうことを特徴とする、 請求の範囲第 7項に記載の電 子商取引方法。

9 . 該認証端末は、 該第 1発注者バイオメトリクス情報と該第 2発注者バイオメ トリクス情報とが完全に同一であった場合には、 照合不一致とすることを特徴と する、 請求の範囲第 7項または第 8項に記載の電子商取引方法。

1 0 . 該認証端末は、 該商品の発注時に該第 1発注者バイオメトリクス情報を暗 号化する前に、 該第 1発注者バイオメトリクス情報に対して可逆加工を施し、 該 商品の納品時に、 該復号第 1発注者バイオメトリクス情報に対して、 該商品の発 注時に行なった可逆加工と逆の加工を施し、 該第 1発注者バイオメトリクス情報 を復元することを特徴とする、 請求の範囲第 3項， 第 5項および第 8項のいずれ か一項に記載の電子商取引方法。

1 1 . 該受注者が金融機関であり、 該発注者が該金融機関から該商品としての金 銭を借り受ける借受人であり、 該商品の発注時が、 該借受人と該金融機関との金 銭消費貸借契約時であり、 該商品の納品時が、 該借受人が該金融機関から該商品 としての金銭を受け取る時点であることを特徴とする、 請求の範囲第 1項〜第 6 項のいずれか一項に記載の電子商取引方法。

1 2 . 該受注者が金融機関であり、 該発注者が該金融機関から該商品としての金 銭を借り受ける借受人であり、 該商品の発注時が、 該借受人と該金融機関との金 銭消費貸借契約時であり、 該商品の納品時が、 該代理人が該金融機関から該商品 としての金銭を受け取る時点であることを特徴とする、 請求の範囲第 7項〜第 9 項のいずれか一項に記載の電子商取引方法。

1 3 . 該認証端末は、 該商品の発注を行なう都度、 該所定の暗号鍵および該復号 鍵を自動生成し、 該商品の納品時における照合を完了した時点で該認証装置内の 該復号鍵を消去することを特徴とする、 請求の範囲第 1項〜第 1 2項のいずれか 一項に記載の電子商取引方法。

1 4. 受注者に対する商品の発注を行なうとともに該商品の受取時に発注者本人 の認証を行なう、 発注者側の認証端末 （1 ) と、

該認証端末 （1 ) と該受注者との間で情報のやり取りを行なうネットワーク (2) と、

該認証端末 （1) から該ネットワーク （2) を介して送られてきた受注情報を 保持する、 該受注者側の受注情報保持部 （3) とをそなえ、

該認証端末 （1) が、

該商品の発注時に、 該発注者本人を特定するための認証情報を入力する認証情 報入力部 （14) と、

該認証情報入力部 （14) から入力された該認証情報を所定の暗号鍵で暗号ィ匕 する暗号化部 （11) と、

該暗号化部 （11) によって暗号化された暗号化済み認証情報を発注伝票とと もに、 該受注情報として、 該ネットワーク (2) を介して該受注者へ送付する出 力インタフェース部 (19) と、

該認証情報入力部 （14) から入力された該認証情報を保持する認証情報保持 部 （10) と、

該暗号化部 （11) によって暗号化された暗号化済み認証情報を復号するため の復号鍵を保持する復号鍵保持部 （12) と、

該暗号化済み認証情報を復号するために必要な該認証端末の正規の所有者であ ることを認証するデータを予め保持するデータ保持部 (13) と、

該商品の納品時に、 該発注者により前記デ一夕を入力するデ一夕入力部 (14, 18) と、

該商品の納品時に、 該受注情報保持部 (3) に保持されている該暗号化済み認 証情報を入力する入力インタフェース部 (20) と、

該データ保持部 (13) に保持されたデータと該デ一夕入力部 (14, 18) から入力されたデータとを照合し、 これらのデータが一致した場合に、 該復号鍵 保持部 （12) に保持された該復号鍵の使用を許可する発注者認証部 （15) と、 該発注者認証部 （15) による照合結果を受けて、 該復号鍵を用いて、 該入力 インタフェース部 （20) から入力された該暗号化済み認証情報を復号する復号 部 （16) と、

該復号部 （16) によって復号された認証情報と該認証情報保持部 （10) に 保持された認証情報とを照合し、 その照合結果を該発注者， 該商品の納品担当お よび該受注者に通知する照合部 （17) とをそなえて構成されていることを特徴 とする、 電子商取引システム。

15. 発注者がネットワーク （2) を介して受注者に商品の発注を行なうととも に、 該商品の受取時に発注者本人の認証を行なう認証端末であって、

該商品の発注時に、 該発注者本人を特定するための認証情報を入力する認証情 報入力部 （14) と、

該認証情報入力部 （14) から入力された該認証情報を所定の暗号鍵で暗号化 する暗号化部 （11) と、

該暗号化部 （11) によって暗号化された暗号化済み認証情報を発注伝票とと もに、 該ネットワーク (2) を介して該受注者へ送付する出力インタフェース部 (19) と、

該認証情報入力部 (14) から入力された該認証情報を保持する認証情報保持 部 （10) と、

該暗号化部 （11) によって暗号化された暗号化済み認証情報を復号するため の復号鍵を保持する復号鍵保持部 （12) と、

該認証端末の正規所有者であることを認証するためのデータを予め保持するデ 一夕保持部 （13) と、

該商品の納品時に、 該発注者により前記デ一夕を入力するデータ入力部 (14, 18) と、

該商品の納品時に、 該商品の発注時に該受注者が受け取つた該暗号化済み認証 情報を入力する入カインタフェース部 (20) と、

該データ保持部 (13) に保持されたデータと該データ入力部 (14, 18) から入力されたデ一夕とを照合し、 これらのデータが一致した場合に、 該復号鍵 保持部 （12) に保持された該復号鍵の使用を許可する発注者認証部 （15) と、 該発注者認証部 （15) による照合結果を受けて、 該復号鍵を用いて、 該入力 インタフェース部 （20) から入力された該暗号化済み認証情報を復号する復号 部 （16) と、

該復号部 （16) によって復号された認証情報と該認証情報保持部 （10) に 保持された認証情報とを照合し、 その照合結果を該発注者， 該商品の納品担当お よび該受注者に通知する照合部 （1 7 ) とをそなえて構成されていることを特徴 とする、 認証端末。

1 6 . 認証者が委任した代理人によって該認証者の本人認証を行なう、 代理人に よる本人認証方法であって、

該認証者は該認証者本人を特定するための第 1認証者バイオメ卜リクス情報を 認証端末に入力し、

該認証端末は、 該第 1認証者バイオメトリクス情報を、 ネットワークを介して、 該認証者の本人認証結果を必要とする業者へ送付し、

該認証者が該代理人に委任する際、

該認証者は、 該認証者本人を特定するための第 2認証者バイオメトリクス情報 を該認証端末に入力するとともに、 該代理人は、 該代理人本人を特定するための 第 1代理人バイオメトリクス情報を該認証端末に入力し、

該認証端末は、 該第 2認証者バイオメトリクス情報と該第 1代理人バイオメ卜 リクス情報とを対応付けて保持し、

該認証者の本人認証時に、 該業者に送付された該第 1認証者バイオメトリクス 情報が該認証端末に入力されるとともに、 該代理人は、 該代理人本人を特定する ための第 2代理人バイオメトリクス情報を該認証端末に入力し、

該認証端末は、 該第 2代理人バイオメ卜リクス情報と該認証端末内に保持され た該第 1代理人バイオメトリクスとを照合し、 これらの代理人バイオメトリクス 情報が一致した場合に、 入力された該第 1認証者バイオメ卜リクス情報と該認証 端末内に保持された該第 2認証者バイオメトリクス情報とを照合し、 該認証者の 本人認証を行なうことを特徴とする、 代理人による本人認証方法。