WO2019160085A1 - 情報処理制御装置、情報通信装置、情報通信システム、端末、方法、プログラム、記録媒体 - Google Patents

Abstract

本発明は、端末からの入力情報を改ざんするサイバー攻撃等に対してセキュアなＩＣＴシステム（又はＩＣＴ利用）を実現可能とする。情報通信装置は、予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第１端末と第２端末がそれぞれ送信する第１情報と第２情報のうち、前記第１情報は、第１通信路を介して前記第１情報と前記第２情報に基づき前記項目に関する照合を行う情報処理制御装置に送信され、前記第２情報を第２通信路を介して受け取り、前記第２情報を一方向性の通信路を介して前記情報処理制御装置に送信する。

Description

情報処理制御装置、情報通信装置、情報通信システム、端末、方法、プログラム、記録媒体

（関連出願についての記載）
　本発明は、日本国特許出願：特願２０１８－０２５７１４号（２０１８年２月１６日出願）の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
　本発明は、情報処理制御装置、情報通信装置、情報通信システム、端末、方法、プログラム、記録媒体に関する。

　近時、インターネットバンキング等、各種取引等のＩＣＴ（Ｉｎｆｏｒｍａｔｉｏｎ　ａｎｄ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｔｅｃｈｎｏｌｏｇｙ）利用が進む中、サイバー攻撃者によるＭａｎ－ｉｎ－ｔｈｅ－Ｂｒｏｗｓｅｒ（ＭＩＴＢ）と呼ばれる攻撃が新たな脅威となっている。

　よく知られているように、ＭＩＴＢ攻撃は、端末の中でマルウェアがブラウザ内でサーバ（例えばＷｅｂサーバ）との間での送受信データを改ざんする。例えば、マルウェアが利用者によるインターネットバンキング（オンラインバンキング）等へのログインを検知し振込先口座番号を差し替えることで、不正の送金先へ振込送金するなどの攻撃が行われる。この場合、利用者の端末には、利用者が入力した振込先口座番号が表示されるため、利用者には騙されていることを見抜く方法が存在しない。また、銀行等のサーバ等からは正規の端末から正しく認証手続きを踏んでいるように見えるため、ワンタイムパスワードや電子証明書による認証でもなりすましを見破ることができない。そして、中間者攻撃（Ｍａｎ－ｉｎ－ｔｈｅ－Ｍｉｄｄｌｅ　Ａｔｔａｃｋ）に有効なマルチパス・ルーティングでも、ＭＩＴＢ攻撃を防止することはできないことが知られている。

　暗号化された振込指示等のメッセージが解読・改ざんされるリスクを十分小さくした場合であっても、例えば、以下の脅威が存在する。このため、スマートフォン等による多要素認証（二要素認証）では、被害の防止は保障されない。
手口１：暗号化の前に振込先等が改ざんされ、攻撃者の口座に送金が行われる。
手口２：認証暗号の鍵が攻撃者によって書き換えられ、攻撃者が振込先等を改ざんした振込指示を送信し、攻撃者の口座に送金が行われる。

　金融機関や法人の送金システム、税務会計等でも、上記と同様の脅威が存在する。さらに、電気、ガス等の基幹インフラや、プラント、交通情報システム、ＩｏＴ（Ｉｎｔｅｒｎｅｔ　ｏｆ　Ｔｈｉｎｇｓ）機器等の制御等でも、同様な脅威が存在する。

　ＭＩＴＢ攻撃を防ぐ方法として、取引内容（トランザクション）の改ざんを、パソコン等の端末とは別の端末を用いて確認する「トランザクション認証」の仕組みが知られている。

　トランザクション認証では、例えば、インターネットバンキングの取引実行時に、送金先の口座番号や送金の金額情報などをスマートフォン上のソフトウェアトークン又は二次元コード読み取り機能付きハードウェアトークンに表示し、利用者が目視で送金情報を確認したうえ、取引続行の可否を選択できる。このようにすることで、マルウェアの送金情報改ざんによる不正送金を未然に防止することが可能である。しかしながら、利用者の目視確認では、名義が似ている振込先に改ざんされて表示された場合など、利用者の確認ミスが発生するリスクがある。また利用者が目視確認を怠るというリスクもあり得る。

　例えば、テンキー付のトークンを使い、利用者がテンキーに振込先口座番号を入力することで時刻情報に加え、口座番号とも紐付いたワンタイムパスワード（トランザクション認証対応ワンタイムパスワード）を生成する手法等も知られている。

　しかし、この手法では、マルウェアが画面を差し替えて犯罪者の口座番号の入力を指示し、利用者が指示されるままに該口座番号を入力すれば、犯罪者の口座への送金を阻止することはできない。また、トークンに口座番号を入力し、確認コードを端末に入力する手間がかかる。さらに、利用者への仕組みの説明が容易でなく、金融機関が導入を躊躇する。

　なお、特許文献１には、情報通信におけるセキュリティを確保する情報通信装置として、第１の通信網を介してデータ通信する第１の通信部と、前記第１の通信網とは異なった第２の通信網を介してデータ通信する第２の通信部と、前記第１及び第２の通信部がそれぞれ受信したデータをマッチングし、同じ情報源からの第１及び第２情報を組み合わせて１つの受信情報を生成するデータマッチング部とを備えた情報通信装置が開示されている。また、特許文献１には、情報端末装置として、ユーザの操作に応答して入力データを生成する入力部と、前記第１の通信網を介して前記情報通信装置とデータ通信する第３の通信部と、前記第２の通信網を介して前記情報通信装置とデータ通信する第４の通信部と、前記入力データを分割して前記第１及び第２情報を生成し、当該第１情報を前記第３の通信部から前記情報通信装置へ送信し、当該第２情報を前記第４の通信部から前記情報通信装置へ送信する入力データ分割部とを備えた構成が開示されている。

特開２００５－０３９６７７号公報

　上記したＭＩＴＢ攻撃等のサイバー攻撃は、金融取引等以外に、例えば情報配信、ＩｏＴ制御、プラント制御、防災等、各種ＩＣＴシステム（ＩＣＴを利用したシステム）においてもその対策が必要とされる。さらに、海外から、あるいは海外を経由したサイバー攻撃も多発している。

　したがって、本発明の目的は、例えば端末からの入力情報を改ざんするサイバー攻撃等に対してセキュアなＩＣＴシステム（又はＩＣＴ利用）を実現可能とする装置、システム、方法、プログラム、記録媒体を提供することにある。

　本発明の一つの形態によれば、予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第１端末と第２端末がそれぞれ送信する第１情報と第２情報のうち、
　前記第１情報は、第１通信路を介して、前記第１情報と前記第２情報に基づき前記項目に関する照合を行う情報処理制御装置に送信され、
　前記第２情報を、第２通信路を介して、受け取る通信装置と、
　受け取った前記第２情報を、前記第２通信路を構成する少なくとも１つの一方向性の通信路を介して、前記情報処理制御装置に送信する一方向通信装置と、を備えた情報通信装置が提供される。

　本発明の一つの形態によれば、予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第１端末と第２端末の一方から第１情報、前記第１端末と前記第２端末の他方から第２情報を、それぞれ第１通信路と第２通信路を介して、受け取る受付部を備え、前記第１通信路と前記第２通信路の少なくとも一方は、少なくとも１つの一方向性の通信路を含み、前記第１通信路と前記第２通信路を介して受け取った前記第１情報と前記第２情報に基づき前記項目に関して照合を行い、照合結果に基づき、前記第１情報と前記第２情報の少なくとも一方に対応した処理の実行を制御する照合部を備えた、ことを特徴とする情報処理制御装置が提供される。

　本発明の一つの形態によれば、情報通信装置と、情報処理制御装置と、を備え、予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第１端末と第２端末がそれぞれ送信する第１情報と第２情報のうち、前記第１情報は、第１通信路を介して、前記情報処理制御装置に送信され、前記情報通信装置は、前記第２端末から前記第２情報を、第２通信路を介して受け取り、受け取った前記第２情報を、前記第２通信路を構成する少なくとも１つの一方向性の通信路を介して、前記情報処理制御装置に送信し、前記情報処理制御装置では、前記第１情報と前記第２情報に基づき前記項目に関し照合を行い、照合結果に基づき、前記第１情報と前記第２情報の少なくとも一方に対応した処理の実行を制御する情報通信システムが提供される。

　本発明の一つの形態によれば、予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ複数の端末に入力され、それぞれに入力された情報を、情報処理制御装置に向けて送信する端末であって、前記入力された情報を一方向性の通信路を含む通信路を介して前記情報処理制御装置に送信する端末が提供される。

　本発明の一つの形態によれば、予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第１端末と第２端末がそれぞれ送信する第１情報と第２情報のうち、
　前記第１情報は、第１通信路を介して、前記第１情報と前記第２情報に基づき前記項目に関する照合を行う情報処理制御装置に送信され、
　前記第２情報を、第２通信路を介して、受け取り、
　受け取った前記第２情報を、前記第２通信路を構成する少なくとも１つの一方向性の通信路を介して、前記情報処理制御装置に送信する情報通信方法が提供される。

　本発明の一つの形態によれば、予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第１端末と第２端末の一方から第１情報、前記第１端末と前記第２端末の他方から第２情報を、それぞれ第１通信路と第２通信路を介して、受け取り、
　前記第１及び第２通信路の少なくとも一方は、少なくとも１つの一方向性の通信路を含み、
　前記第１通信路と前記第２通信路を介して受け取った前記第１情報と前記第２情報に基づき前記項目に関して照合を行い、照合結果に基づき、前記第１情報と前記第２情報の少なくとも一方に対応した処理の実行を制御する情報処理制御方法が提供される。

　本発明の一つの形態によれば、予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第１端末と第２端末の一方から第１情報、前記第１端末と前記第２端末の他方から第２情報を、それぞれ第１通信路と第２通信路を介して、受け取り、
　前記第１及び第２通信路の少なくとも一方は、少なくとも１つの一方向性の通信路を含み、
　前記第１通信路と前記第２通信路を介して受け取った前記第１情報と前記第２情報に基づき前記項目に関して照合を行い、照合結果に基づき、前記第１情報と前記第２情報の少なくとも一方に対応した処理の実行を制御する処理をコンピュータに実行させるプログラムが提供される。

　本発明によれば、上記プログラムを記憶したコンピュータ読み出し可能な記録媒体（例えばＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）、又は、ＥＥＰＲＯＭ（Electrically Erasable and Programmable ROM）等の半導体ストレージや、ＨＤＤ（Hard Disk Drive）、ＣＤ（Compact Disc）、ＤＶＤ（Digital Versatile Disc）等の非一時的なコンピュータ読み出し可能な記録媒体（non-transitory computer readable recording medium））が提供される。

　本発明によれば、端末からの入力情報を改ざんするサイバー攻撃等に対してセキュアなＩＣＴシステム（又はＩＣＴ利用）を実現可能としている。

本発明の一実施形態を説明する図である。 本発明の一実施形態を説明する図である。 本発明の一実施形態を説明する図である。 本発明の一実施形態を説明する図である。 本発明の一実施形態を説明する図である。 本発明の実施形態１を説明する図である。 本発明の実施形態２を説明する図である。 本発明の実施形態３を説明する図である。 本発明の実施形態１を説明する図である。 本発明の実施形態１を説明する図である。 本発明の実施形態１の別の例を説明する図である。 本発明の実施形態１の別の例を説明する図である。 本発明の実施形態１の別の例を説明する図である。 本発明の実施形態の勘定系システムを説明する図である。 本発明の実施形態の処理手順を説明する図である。 本発明の実施形態の処理手順を説明する図である。 本発明の実施形態２を説明する図である。 本発明の実施形態２を説明する図である。 本発明の実施形態２の別の例を説明する図である。 本発明の実施形態２の別の例を説明する図である。 比較例を説明する図である。 本発明の実施形態を説明する図である。 比較例を説明する図である。 本発明の実施形態を説明する図である。 本発明の別の実施形態を説明する図である。 本発明の実施形態２を説明する図である。 本発明の実施形態２における暗号化処理の一例を説明する図である。 本発明の実施形態２における暗号化処理の別の例を説明する図である。 本発明の別の実施形態を説明する図である。 応用例を説明する図である。 別の応用例を説明する図である。 さらに別の応用例を説明する図である。 本発明の別の実施形態を説明する図である。 図２２の実施形態の処理手順を説明する図である。 本発明の別の実施形態を説明する図である。 本発明のさらに別の実施形態を説明する図である。

　本発明の実施形態について説明する。本発明の一形態によれば、図１Ａを参照すると、第１端末１０Ａ、第２端末１０Ｂは、同一の入力情報を入力するか、又は、前記入力情報を分割した一部とその残りをそれぞれ入力し、入力した情報をそれぞれ第１通信路４１、第２通信路４２から情報処理制御装置３１に送信する。

　情報処理制御装置３１は、第１端末１０Ａから、前記入力情報又は前記入力情報の一部を含む第１情報と、第２端末１０Ｂから前記入力情報又は前記入力情報の残りの一部を含む第２情報とを、それぞれ、第１、第２通信路４１、４２を介して受け取る第１、第２通信部３２、３３を備えている。図１Ａの形態では、第２通信路４２は、第２端末１０Ｂから情報処理制御装置３１までの経路内に、少なくとも一方向通信路４３を含む。

　情報処理制御装置３１は、第１、第２通信路４１、４２経由で受け取った第１情報と第２情報を照合する照合部３４と、照合部３４での照合結果に基づき、前記入力情報に対応した処理の実行を制御する処理実行制御部３６を備える。

　情報処理制御装置３１において、前記第１情報と第２情報がともに前記入力情報を含む場合、照合部３４は、前記第１情報に含まれる前記入力情報と前記第２情報に含まれる前記入力情報が一致するか否か確認し、不一致の場合、前記入力情報は処理実行制御部３６に供給せず、一致の場合、前記入力情報を処理実行制御部３６に供給するようにしてもよい。照合部３４は、前記第１情報と前記第２情報の前記入力情報が一致の場合、さらに登録情報を参照して、前記入力情報を処理実行制御部３６に供給するようにしてもよい。

　前記第１情報が前記入力情報の一部を含み、第２情報が前記入力情報の残りを含む場合、照合部３４は、前記第１情報の前記入力情報と前記第２情報の前記入力情報の残りを合成（結合）して、前記入力情報を復元し、復元した入力情報が、記憶部３５に予め登録情報として登録されているか否か確認する。照合部３４は、復元した前記入力情報が登録情報と一致する場合、復元した前記入力情報を処理実行制御部３６に供給し、不一致の場合、前記入力情報は処理実行制御部３６に供給しないようにしてもよい。なお、処理実行制御部３６は、処理を実行する処理実行部（不図示）を備えた構成としてもよいし、あるいは、処理実行制御部３６と、処理実行部（不図示）とを通信接続する構成としてもよい。

　なお、図１Ａでは、情報処理制御装置３１は、第１通信部３２、第２通信部３３、照合部３４、処理実行制御部３６を１つのユニット内に備えた構成として例示されているが、これらは、各自が別々の単体装置として、例えばＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）等のネットワークを介して相互に接続する構成してもよいことは勿論である。

　また、情報処理制御装置３１は、複数のサーバシステム等（例えばプレゼンテーション層、アプリケーション層、データ層の３階層構成、又はその一部）として構成してもよいことは勿論である。３階層構成のプレゼンテーション層は、端末上のＷｅｂブラウザからＨＴＴＰ（Ｈｙｐｅｒｔｅｘｔ　Ｔｒａｎｓｆｅｒ　Ｐｒｏｔｏｃｏｌ）リクエストを受信しその応答（ＨＴＴＰリプライ）を端末に返却するＷｅｂサーバを備える。該ＨＴＴＰリクエストがアプリケーションの実行を伴うような処理の場合には、Ｗｅｂサーバは、入力データを解析し、処理をアプリケーション層のアプリケーションサーバに要求し、その結果（処理結果）を、Ｗｅｂブラウザに返却する。アプリケーションサーバは、Ｗｅｂサーバからの処理要求に対して、例えば業務ロジックを実行し、必要であれば、データ層のデータベースサーバ等（バックエンドサーバ）に対して、データの参照や更新要求を行う。データベースサーバ等は、アプリケーションサーバからのデータの参照、更新処理を実行し、処理結果を返却する。この場合、図１Ａの第１、第２通信部３２、３３をＷｅｂサーバとして実装し、照合部３４をアプリケーションサーバとして実装し、処理実行制御部３６を、業務アプリケーションを行うアプリケーションサーバ又はデータベースサーバ等のバックエンドサーバとして構成してもよい。

　また、後述される実施形態において、情報処理制御装置３１を、ＰＬＣ（Ｐｒｏｇｒａｍｍａｂｌｅ　Ｌｏｇｉｃ　Ｃｏｎｔｒｏｌｌｅｒ）やＩｏＴ機器のコントローラとして実装するようにしてもよい。

　図１Ａにおいて、第１端末１０ＡのＷｅｂブラウザがマルウェアに乗っ取られ、第１情報が攻撃者により改ざんされた場合であっても、照合部３４では、該第１情報と、第２端末１０Ｂからの第２情報とを付き合わせ、その際、第１情報と第２情報が部分情報である場合、第１情報と第２情報を合成し、記憶部３５の登録情報との照合結果に基づき、入力情報に対応した処理の実行を制御する。処理実行制御部３６では、照合部３４での照合の結果、登録情報のうち合成した情報に一致するものが存在する場合、入力情報に対応した処理を実行する。一方、見つからない場合、処理実行制御部３６では入力情報の処理を実行しない。

　なお、第１端末１０Ａ、第２端末１０Ｂは、それぞれ、主端末、副端末と称してもよい（その逆に、第１端末１０Ａ、第２端末１０Ｂは、副端末、主端末として機能させてもよい）。

　次に、第１端末１０Ａ、第２端末１０Ｂにそれぞれ入力される情報（項目）についていくつかの例を説明する（ただし、以下に制限されない）。

＜例１＞
　端末に入力される情報の項目が、例えば、金融機関の口座振込（利用者の口座から相手（振込先）の口座への資金移動）における振込先口座番号である場合、図１Ａの記憶部３５に記憶される登録データは、勘定系システムのデータベースに保管される口座情報であってもよい。また、処理は、振込による送金処理であってもよい。あるいは、処理は、第１端末１０Ａでの操作に応じて、口座開設処理等であってもよい。

　この場合、第１端末１０Ａから送信される第１情報は、項目（振込先口座番号）の情報の全て又はその一部（部分データ）を含むものであってもよい。

　第２端末１０Ｂから送信される第２情報は、当該項目（振込先口座番号）の全て又はその一部（振込先口座番号から上記部分データを除いた残りの部分データ）を含むものであってもよい。

　照合部３４では、第１情報と第２情報が、上記項目（振込先口座番号）の情報の部分データである場合、第１情報と第２情報を合成して、上記項目（振込先口座番号）の情報である振込先口座番号を復元する。

　照合部３４では、例えば記憶部３５に登録されている口座情報と照合し、復元した振込先口座番号が登録されているか否かをチェックする。

　そして、復元した振込先口座番号が登録されている場合、照合部３４では、例えば、振込先口座番号に紐付けられた振込先名義人と、第１端末１０Ａから送信された振込先名が一致するかチェックする。そして、振込先口座番号に紐付けられた振込先名義人と、第１端末１０Ａから送信された振込先名が一致する場合、処理実行制御部３６に、利用者の口座から振込先へ、振込金額分の資金を移動させる。振込先口座番号に紐付けられた振込先名義人と、第１端末１０Ａから送信された振込先名が一致しない場合、処理実行制御部３６での振込処理は実行しない。

　第１端末１０Ａから送信される第１情報と第２端末１０Ｂから送信される第２情報が、上記項目（振込先口座番号）の情報の一部でなく、全体（振込先口座番号全体（例えば銀行の場合、4桁の銀行コード・3桁の店番号・7桁の口座番号）など）である場合、照合部３４では、第１情報（振込先口座番号全体）と第２情報（振込先口座番号全体）が一致するか比較し、不一致の場合、処理は実行しない。また、第１情報と第２情報が一致した場合、口座情報を参照して、登録されている振込先名義人と、第１端末１０Ａから送信された振込先名が一致するか否か照合するようにしてもよい。

　なお、第１、第２情報は、振込先口座番号又はその一部（部分データ）のほか、振込先名義（又はその一部）等であってもよい。

　特に制限されないが、処理実行制御部３６は、振込処理の実行とその制御を行う業務システム、及び、データ管理、勘定系システム等の基幹業務のバッチ系処理等を行うバックエンドサーバシステム等、複数のシステムからなる情報処理システムとして構成してもよい。

＜例２＞
　情報処理制御装置３１は、制御システム、電力、ガス等の基幹インフラ、産業機器、ＩＣＴ（Ｉｎｆｏｒｍａｔｉｏｎ　ａｎｄ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｔｅｃｈｎｏｌｏｇｙ）端末として機能する車（コネクテッドカー）、ＩｏＴ機器、Ｍ２Ｍ（Ｍａｃｈｉｎｅ　ｔｏ　Ｍａｃｈｉｎｅ）機器等であってもよい。第１端末１０Ａ又は第２端末１０Ｂは、制御対象を制御する管理センター側の端末であってもよい。

　端末に入力される情報の項目は、例えば、コマンド（コマンド名、パラメータ）等であってもよい。

　第１端末１０Ａから送信される第１情報は、制御システム、ＩｏＴ機器等で実行されるコマンドのコマンド名、第２端末１０Ｂから送信される第２情報は、該コマンドのコマンド番号であってもよい。

　照合部３４では、登録データから、第２情報として受信したコマンド番号を検索し、第１情報として受信したコマンド名と一致するものがあるか、照合する。

　処理実行制御部３６は、照合部３４での照合結果に基づき、コマンドの実行を制御するコントローラ、あるいはコントロールシステム等からなる。

＜例３＞
　端末に入力される情報の項目が、例えば、パスワードであり、処理は、パスワードの登録処理であってもよい。

　第１端末１０Ａから送信される第１情報は、パスワード（全て）、第２端末１０Ｂから送信される第２情報は、パスワード（全て）であってもよい。

　処理実行制御部３６は、パスワードの登録の実行を制御する情報処理システム、あるいは、ＩｏＴ機器のコントローラ等として構成してもよい。

＜例４＞
　図１Ａの情報処理制御装置３１は、配信先へデータ配信を行う装置であってもよい。

　第１端末１０Ａに入力される情報の項目は、データの配信先名（又は配信先番号）であってもよい。第２端末１０Ｂに入力される情報の項目は、第１端末１０Ａと同様、同一の配信先名（又は配信先番号）であってもよい。

　第１端末１０Ａに入力される情報は、上記項目（データの配信先名又は配信先番号）を分割した一部であってもよい。第２端末１０Ｂに入力される情報は、上記項目（データの配信先名又は配信先番号）を分割した残りであってもよい。照合部３４では、第１端末１０Ａ、第２端末１０Ｂからそれぞれ送信される第１、第２情報（配信先名又は配信先番号の部分情報）を受信すると、これらを合成し、配信先名又は配信先番号を復元するようにしてもよい。

　第１、第２端末１０Ａ、１０Ｂにそれぞれ入力する情報の一方が、配信先番号である場合、図１Ａの記憶部３５には、配信番号と、データの配信先名との対応を記憶してもよい。例えば第１端末１０Ａに入力される項目は、データの配信先名、第２端末１０Ｂに入力される項目は、配信先番号であってもよい。照合部３４では、第１、第２端末１０Ａ、１０Ｂから送信された第１、第２情報を、第１、第２通信部３２、３３からそれぞれ受け取り、記憶部３５に記憶されている登録データから第２情報（配信先番号）にて、配信先名を検索し、第１情報の配信先名と一致するものがあるか照合するようにしてもよい。

　処理実行制御部３６は、照合の結果、一致する場合、配信先への配信処理の実行を制御する。

＜例５＞
　第１情報が、第１端末１０Ａに入力した入力情報を含み、第２情報は、第２端末１０Ｂに重複して入力した入力情報から計算される認証コードを含むようにしてもよい。照合部３４は、第１情報の認証コードを計算し、第２情報として送信された認証コードと一致するか照合するようにしてもよい。認証コードは、ＭＡＣ（Ｍｅｓｓａｇｅ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ｃｏｄｅ）等であってもよい。 

＜例６＞
　情報処理制御装置３１は、顔認証等を行う生体認証装置であってもよい。この生体認証システムにおいて、第１端末１０Ａから送信される第１情報は、撮像された利用者の顔画像（指紋、掌紋）、又は該画像を分割した一部を含むようにしてもよい。第２端末１０Ｂから送信される第２情報は、該利用者の顔画像（指紋、掌紋）、又は画像を分割した残りであってもよい。第１端末１０Ａ又は第２端末１０Ｂの一方において、利用者を撮像した画像を分割し、分割した一方を、他の端末に送信する構成としてもよい。情報処理制御装置３１は、第１端末１０Ａから送信された第１情報の画像と、第２端末１０Ｂから送信された第２情報の部分情報を受信すると、これらを合成して認証を行う。あるいは、第１情報の画像と第２情報が一致するかチェックして認証を行う。なお、第１端末１０Ａ又は第２端末１０Ｂは、認証センター側の端末であってもよい。情報処理制御装置３１は、利用者側のスマートフォン等であってもよい。

　次に、通信路について説明する。

　第１通信路４１は、専用回線（専用線）であってもよい。あるいは、インターネット等の広域ネットワーク（Ｗｉｄｅ　Ａｒｅａ　Ｎｅｔｗｏｒｋ：ＷＡＮ）であってもよい。インターネット等の広域ネットワークの場合、第１端末１０Ａとの第１通信部３２はＶＰＮ（Ｖｉｒｔｕａｌ　Ｐｒｉｖａｔｅ　Ｎｅｔｗｏｒｋ）で接続してもよい。

　第２通信路４２は、無線通信網（無線アクセス網）、携帯通信網（コアネットワーク）等を含んでもよい。第２通信路４２は、専用線を含む構成としてもよい。

　第２通信路４２の経路（宛先までの経路）において、一方向通信路４３として、例えば放送局からの放送波を含んでもよい。この場合、第２通信部３３（図１Ａ参照）は、放送波を受信するためのチューナを含む。なお、放送波は、放送送信側で第２情報を暗号化して送信し、受信側では、暗号化された情報を復号することで、第２情報を取得する。

　あるいは、第２通信路４２の経路において、送信側が発光素子（Ｌｉｇｈｔ　Ｅｍｉｔｔｉｎｇ　Ｄｉｏｄｅ：ＬＥＤ）だけを備え、受信側が受光素子（フォトセル）だけを備え、その間を光ファイバで接続したデータダイオード（「一方向ゲートウェイ」ともいう）を含んでもよい。

　第２通信路４２も、専用回線を含み、さらに一方向通信路４３として、一方向ゲートウェイ及び放送波の双方を含むようにしてもよい。

　また、図１Ｂに示すように、第１通信路４１、第２通信路４２がそれぞれ一方向通信路４３Ａ、４３Ｂを含んでもよい。一方向通信路４３Ａ、４３Ｂは、データダイオードを含んでもよいし、放送波を含んでもよい。一方向通信路４３Ａ、４３Ｂが放送波を含む場合、周波数を異ならせるか、時間分割で送信することで、共通の放送送信所から放送するようにしてもよい。

　あるいは、図１Ｃに示すように、情報処理制御装置３１で制御される処理（業務処理）等によっては、第１通信路４１、第２通信路４２のいずれも一方向通信路を含まない構成としてもよい。

　図２Ａは、一方向通信路４３を含む第２通信路４２の構成を例示する図である。なお、図２Ａには、第１端末１０Ａからの第１情報を、第１通信路４１を介して情報処理制御装置３１に送信し、第２端末１０Ｂからの第２情報を、情報通信装置２０を介して、情報処理制御装置３１に送信する情報通信システムの一形態が例示されている。

　図２Ａを参照すると、第２端末１０Ｂからの情報は、第２通信路４２上での通信の中継を行う情報通信装置（仲介サービスを行う装置）２０を介して、一方向通信路４３経由で、情報処理制御装置３１に転送される。

　情報通信装置２０は、第２端末１０Ｂと通信（例えば双方向通信）を行う通信装置２１と、情報処理制御装置３１に対して、一方向通信路４３経由で、情報を送信する一方向通信装置２２を備えている。

　第２端末１０Ｂが、スマートフォン等のモバイル端末であり、モバイル通信網等を介して情報通信装置２０に接続する場合、通信装置２１はルータ、ゲートウェイ等の中継装置であってもよい。

　一方向通信装置２２は、通信装置２１と通信接続する放送送信所として構成してもよい。例えば、情報処理制御装置３１がＩｏＴ機器の場合、一方向通信装置２２は、複数のＩｏＴ機器に接続するＩｏＴゲートウェイにおいて、ＩｏＴ機器の設定を行う制御信号（ダウンリンク信号）の送信装置として機能させるようにしてもよい。

　一方向通信装置２２は、データダイオードを備えた構成としてもよい。

　図２Ｂは、第１通信路４１、第２通信路４２が、それぞれ、一方向通信路４３Ａ、４３Ｂを含む構成を例示する図である。

　一方向通信路４３Ａ、４３Ｂが放送波を含む場合、一方向通信装置２２Ａ、２２Ｂは同一の放送送信所であってよい。あるいは、一方向通信路４３Ａ、４３Ｂは同一のデータダイオードであってもよい。一方向通信路４３Ａ、４３Ｂを共通とする場合、第１情報、第２の情報の伝送において、周波数を異ならせるか（例えば周波数多重）、あるいは時間分割で送信するようにしてもよい。

　図３Ａは、上記した実施形態として、インターネットバンキングシステムへの適用例を説明する図である。第１端末１０Ａは、パソコン（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ：ＰＣ）、第２端末１０Ｂはスマートフォンである。第１通信路４１はインターネットである。第２の経路である第２通信路４２は、ＬＴＥ（Ｌｏｎｇ　Ｔｅｒｍ　Ｅｖｏｌｕｔｉｏｎ）等の無線アクセス網４２Ａ、携帯網（コアネットワーク）４２Ｂ、専用線４２Ｃ、通信装置２１（放送局）、一方向通信装置２２（放送送信所）、一方向通信路４３（放送波）を含む。勘定系システム３０は、図１Ａを参照して説明した情報処理制御装置３１を含む。なお、通信装置２１、一方向通信装置２２は、図２Ａを参照して説明した情報通信装置２０の通信装置２１、一方向通信装置２２に対応する。図３Ａの説明では、パソコン、スマートフォン、放送局、放送送信所は参照符号１０Ａ、１０Ｂ、２１、２２にて参照される。

　利用者５０は、第１端末であるパソコン（ＰＣ）１０Ａのブラウザから、勘定系システム３０のインターネットバンキングにログインし、口座振込を選択し、振込先口座情報（例えば項目：振込先口座番号、振込先名義、振込金額等）を入力する。この場合、第１端末であるパソコン（ＰＣ）１０Ａから送信される情報である第１情報は、振込先口座番号の一部（例えば上位桁番号）、振込先名義、振込金額等を含む。第２端末であるスマートフォン１０Ｂから、例えば勘定系システム３０のインターネットバンキングにログインし、当該振込先口座番号の残り（例えば下位桁番号）の情報を入力する。スマートフォン１０Ｂから送信される第２情報は、例えば当該振込先口座番号（項目）の残りの情報（下位桁番号）を含む。第２情報は、スマートフォン１０Ｂから無線アクセス網４２Ａ、携帯網４２Ｂを介して、専用線４２Ｃにて放送局２１に転送され、放送送信所２２から放送される。

　勘定系システム３０において、情報処理制御装置３１の第２通信部３３として、放送を受信するアンテナ、チューナ等を有する。第１通信部３２（図１Ａ）で受信した第１通信路４１からの第１情報に含まれる項目（振込先口座番号）の情報の一部（例えば上位桁）と、第２通信部３３（図１Ａ参照）で受信した第２情報に含まれる項目（振込先口座番号）の情報の一部（残りの下位桁）をつき合わせ、該項目（振込先口座番号）の情報（振込先口座番号）を復元する。勘定系システム３０では、復元した振込先口座番号が登録された口座情報を検索し、振込先の名義が、例えば第１情報に含まれる振込先の名義と一致するか照合する。勘定系システム３０では、該照合の結果、一致した場合、振込先への振込処理を行い、不一致の場合、振込処理は行わない。

　なお、図３Ａにおいて、第１情報、第２情報に含まれる項目（振込先口座番号）の情報が該項目の一部でなく、振込先口座番号の全て（全桁）であってもよい。この場合、勘定系システム３０では、パソコン１０Ａからの第１情報に含まれる振込先口座番号と、スマートフォン１０Ｂからの第２情報に含まれる振込先口座番号が一致するかチェックし、一致しない場合、振込処理は行わない。なお、パソコン１０Ａ、スマートフォン１０Ｂからの取引は、口座振込以外に、口座開設や新たな振込先口座の登録等の処理であってもよい。

　図３Ｂは、上記した実施形態として、ＡＴＭ（Ａｕｔｏｍａｔｅｄ　［ａｕｔｏｍａｔｉｃ］　Ｔｅｌｌｅｒ　Ｍａｃｈｉｎｅ）での振り込みの例を説明する図である。第１端末１０Ａは、ＡＴＭ端末、第２端末１０Ｂはスマートフォンである。第１通信路は専用線４１Ａからなる。第２通信路は、ＬＴＥ等の無線アクセス網４２Ａ、携帯網４２Ｂ、専用線４２Ｃ、放送局２１、放送送信所２２、一方向通信路としての放送波４３を含む。図３Ｂでは、ＡＴＭ、スマートフォン、第１通信路である専用線は、放送局、放送送信所、放送波、勘定系システムはそれぞれ参照符号１０Ａ、１０Ｂ、４１Ａ、２１、２２、４３、３０とされている。利用者５０は、ＡＴＭ１０Ａにて、振込を選択し、振込先口座情報（例えば項目：預金種目、振込先口座番号（例えば４桁の銀行コード、３桁の店（支店）番号、７桁の口座番号）、振込先名義、振込金額等）を入力する。

　ＡＴＭ１０Ａから送信される情報である第１情報は、項目（振込先口座番号）の情報の一部（例えば上位桁（上半分））や他の項目（振込先名義、振込金額等）を含む。スマートフォン１０Ｂから送信される情報である第２情報は、項目（振込先口座番号）の情報の一部（例えば下位桁（下半分））の情報を含む。第１情報は、ＡＴＭ１０Ａから専用線４１Ａにて、勘定系システム３０に入力される。第２情報は、スマートフォン１０Ｂから無線アクセス網４２Ａ、携帯網４２Ｂを介して、専用線４２Ｃにて、放送局２１に転送され、放送送信所２２から放送される。勘定系システム３０は放送波４３を受信する。

　勘定系システム３０は、図１Ａの情報処理制御装置３１を備えている。勘定系システム３０では、情報処理制御装置３１の第１通信部３２で受信した第１通信路４１からの第１情報に含まれる振込先口座情報（の一部）と、第２通信部３３で受信した第２情報に含まれる振込先口座情報（の残り）をつき合わせ、振込先口座番号を復元する。勘定系システム３０では、復元した振込先口座番号に基づき予め登録されている口座情報を検索し、振込先口座番号に対応する振込先の名義を取得し、該振込先の名義が、第１情報に含まれる振込先の名義と一致するか照合する。一致した場合、振込先への振込処理を行い、不一致の場合、振込処理は行わない。第１情報、第２情報に含まれる振込先口座情報が一部でなく、振込先口座情報の全て（全桁）であってもよい。

　図３Ｃは、上記した実施形態として、法人による送金（振込）の例を説明する図である。第１端末１０Ａは、法人における担当者５０Ａのパソコン（ＰＣ）、第２端末１０Ｂは責任者５０Ｂのパソコンである。第１通信路４１は、専用線／インターネット４１Ｂ、第２通信路４２は、専用線／インターネットを含む。通信装置２１は放送局であり、一方向通信装置２２は放送送信所であり、一方向通信路４３は放送波である。なお、「専用線／インターネット」は、専用線又はインターネットという意味である。

　勘定系システム３０は、図１Ａの情報処理制御装置３１を備えている。第１通信部３２で受信した第１通信路４１からの第１情報（担当者の入力情報）に含まれる振込先口座情報と、第２通信部３３で受信した第２情報（責任者の入力情報）に含まれる振込先口座情報が一致するか照合する。一致した場合、振込による送金処理を行い、不一致の場合、振込による送金処理は行わない。なお、担当者５０Ａ、責任者５０Ｂは同一人としてもよい（すなわち、同一人が第１端末１０Ａ、第２端末１０Ｂから第１、第２情報をそれぞれ入力してもよい）。

　図４Ａは、図３Ａを参照して説明したインターネットバンキングの正常時の手順を例示する図である。なお、図４Ａでは、単に、図面作成の都合で振込先口座番号を４桁としている。また、図４Ａでは、図３Ａの無線アクセス網４２Ａ、携帯網４２Ｂは省略されている。

＜ステップＳ１＞
　利用者５０は、第１端末１０ＡであるパソコンのＷｅｂブラウザから勘定系システム３０のＷｅｂサイトにアクセスし、インターネットバンキングにログインし、振込を選択して、振込先口座番号の一部（「１２」）と振込先名義、振込金額を入力する。利用者（振込依頼人名）、振込元口座番号（出金口座番号）等について、勘定系システム３０に予め登録されている情報を、第１端末１０Ａの画面に表示して利用者５０が確認するようにしてもよい。利用者５０は、第２端末１０Ｂであるスマートフォンから、振込先口座番号の一部の残り（「３４」）を入力する。あるいは、勘定系システム３０は、第１端末１０Ａであるパソコンから利用者がインターネットバンキングにログインし振込口座番号の一部、名義、金額の入力を受信した時点で第２端末１０Ｂであるスマートフォンに、振込先口座番号の一部の残りの入力の督促をプッシュ通知するようにしてもよい。その際に、勘定系システム３０は、一方向通信路４３を含む経路ではなく、インターネット等から携帯網を介して第２端末１０Ｂであるスマートフォンにプッシュ通知を送信するようにしてもよい。利用者５０は、第２端末１０Ｂであるスマートフォンから、振込先口座番号の一部の残り（３４）を入力する。

＜ステップＳ２＞
　第１端末１０Ａに入力された振込先口座番号の一部と振込先名義、振込金額等は第１情報として、第１通信路を介して勘定系システム３０に送信される。第２端末１０Ｂに入力された振込先口座番号の残りは、第２情報として、放送局２１、放送送信所２２を介して勘定系システム３０に送信される。

　＜ステップＳ３＞
　勘定系システム３０では、第１端末１０Ａであるパソコンからの振込先口座番号の一部：１２と、第２端末１０Ｂであるスマートフォンからの振込先口座番号の一部の残り：３４を合成して振込先口座番号：１２３４を再構成し、記憶部（データベース）３５の口座情報と照合し、振込先口座番号：１２３４に対して登録されている名義が、第１端末１０Ａに入力された振込先名義と一致するか否かを確認する。この場合、口座情報として登録されている振込先口座番号：１２３４の名義：半蔵門一郎は、第１端末１０Ａから送信された振込先名義と一致する。なお、ステップＳ３において、勘定系システム３０は、第１端末１０Ａであるパソコンからの振込先口座番号の一部：１２の入力時点と、第２端末１０Ｂであるスマートフォンからの振込先口座番号の一部の残り：３４の入力の時間差が、予め定められた所定時間以上である場合、振込トランザクションを無効化する構成としてもよい。

＜ステップＳ４＞
　勘定系システム３０は、振込先口座番号：１２３４、振込先名義：半蔵門一郎への振込を実行する。

　図４Ｂは、第２端末１０Ｂであるスマートフォンの入力画面の一例を示す図である。第２端末１０Ｂであるスマートフォンからインターネットバンキングにログインし、勘定系システム３０のサイトの入力画面から振込先口座番号の残りを入力するようにしてもよい。あるいは、第１端末１０Ａであるパソコンから送信された、振込先口座番号、振込先名義等を受信した勘定系システム３０から、該スマートフォンにプッシュ通知し、該スマートフォンの表示画面に、ポップアップ画面を表示するようにしてもよい。利用者５０は、パソコンに入力した振込先口座番号の一部と、スマートフォンに入力した振込先口座番号の残りに基づき、振込先口座番号が正しく入力されている場合、確認ボタンを押下（タップ）することで、振込先口座番号の残りが送信される。その際、勘定系システム３０は上記プッシュ通知で、ポップアップ画面に入力された振込先口座番号の残りの送信ルートは、放送局２１を経由することを通知するようにしてもよい。この通知に基づき、スマートフォンのアプリでは、入力された振込先口座番号の残りの情報を、一旦放送局２１を経由して勘定系システム３０に送信する。

　図５は、図４Ａを参照して説明したインターネットバンキングの時の異常時を例示する図である。

＜ステップＳ１１＞
　第１端末１０Ａであるパソコンのブラウザかマルウェアに乗っ取られており、ブラウザの表示が書き換えられる（ＭＩＴＢ攻撃）。利用者５０は、第１端末１０Ａであるパソコンのブラウザから勘定系システム３０のＷｅｂサイトにアクセスしインターネットバンキングにログインし、振込を選択して振込先口座番号の一部（「１２」）と名義（半蔵門一郎）、振込金額を入力する。すると、振込先口座番号の一部が「１２」から「５６」に改ざんされ、振込先名義が、「半蔵門一郎」から「ｘｘｘ　ｘｘｘ」に改ざんされて、勘定系システム３０に送信される。

　マルウェアは、第１端末１０Ａの画面には、振込先口座番号の一部：「１２」、名義：「半蔵門一郎」を表示するため、利用者５０は、改ざんには気がつかず、第１端末１０Ａであるパソコンから、入力情報の「確認」を選択する。

　また、ステップＳ１１において、利用者５０は、第２端末１０Ｂであるスマートフォンから、振込先口座番号の一部の残り（「３４」）を入力する。なお、勘定系システム３０は、利用者５０がインターネットバンキングにログインし振込先口座番号の一部、振込先名義、振込金額等を入力し、該情報を受信した時点で、第２端末１０Ｂであるスマートフォンに、振込先口座番号の一部の残りの入力の督促をプッシュ通知するようにしてもよい。利用者５０は、第２端末１０Ｂであるスマートフォンから、振込先口座番号の一部の残り（３４）を入力する。

＜ステップＳ１２＞
　第１端末１０Ａから改ざんされた振込先口座番号の一部と名義、振込金額は、第１通信路を介して勘定系システム３０に送信される。第２端末１０Ｂに入力された振込先口座番号の残りは、放送局２１、放送送信所２２を介して勘定系システム３０に送信される。

＜ステップＳ１３＞
　勘定系システム３０では、図１Ａの情報処理制御装置３１の照合部３４が、第１端末１０Ａであるパソコンからの振込先口座番号の一部：５６と、第２端末１０Ｂであるスマートフォンからの振込先口座番号の一部の残り：３４を合成して振込先口座番号：５６３４を再構成する。そして、勘定系システム３０では、情報処理制御装置３１の記憶部（データベース）３５に登録されている口座情報と照合し、振込先口座番号：５６３４に対して登録されている名義が、第１端末１０Ａから送信された振込先名義と一致するか検証する。この場合、口座情報には、振込先口座番号：「５６３４」、名義：「ｘｘｘ　ｘｘｘ」は、登録されていない。

　＜ステップＳ１４＞
　勘定系システム３０では、振込処理を中止する。すなわち、第１端末１０Ａにおいてマルウェアにより入力情報が改ざんされた場合、該入力情報の処理は実行されない。

　図６は、図３Ａを参照して説明したインターネットバンキングの正常時の手順を例示する図である。この例では、振込口座番号を重複して入力する。すなわち、利用者５０は、第１端末１０Ａであるパソコンから振込先口座情報（全）を入力し、第２端末１０Ｂであるスマートフォンから第１端末１０Ａであるパソコンと同じ振込先口座情報（全）を入力する。

＜ステップＳ２１＞
　利用者５０は、第１端末１０Ａであるパソコンのブラウザから勘定系システム３０のＷｅｂサイトにアクセスしてインターネットバンキングにログインし、振込を選択して振込先口座番号（全）（１２３４）と名義、振込金額を入力する。利用者５０は、第２端末１０Ｂであるスマートフォンから、勘定系システム３０のＷｅｂサイトにアクセスしインターネットバンキングにログインし、振込先口座番号（全）（１２３４）を入力する。

＜ステップＳ２２＞
　第１端末１０Ａに入力された振込先口座番号と名義、振込金額は、第１通信路を介して勘定系システム３０に送信される。第２端末１０Ｂに入力された振込先口座番号は、放送局２１、放送送信所２２を介して勘定系システム３０に送信される。

＜ステップＳ２３＞
　勘定系システム３０では、第１端末１０Ａであるパソコンからの振込先口座番号：１２３４と、第２端末１０Ｂであるスマートフォンからの振込先口座番号：１２３４とが一致するか照合する。なお、ステップＳ２３において、勘定系システム３０は、第１端末１０Ａであるパソコンからの振込先口座番号：１２３４の入力時点と、第２端末１０Ｂであるスマートフォンからの振込先口座番号：１２３４の入力の時間差が、予め定められた所定時間以上である場合、振込トランザクションを無効化する構成としてもよい。

　＜ステップＳ２４＞
　勘定系システム３０は、第１端末１０Ａであるパソコンからの振込先口座番号と、第２端末１０Ｂであるスマートフォンからの振込先口座番号とが一致した場合、振込先口座番号：１２３４、名義：半蔵門一郎への振込を実行する。不一致の場合、振込は実行しない。

　なお、勘定系システム３０は、第１端末１０Ａであるパソコンからの振込先口座番号と、第２端末１０Ｂであるスマートフォンからの振込先口座番号とが一致した場合、情報処理制御装置３１の記憶部（データベース）３５の口座情報と照合し、振込先口座番号：１２３４に対して登録されている名義が、第１端末１０Ａから送信された振込先名義と一致するか確認するようにしてもよい。この場合、口座情報として登録されている振込先口座番号：１２３４の名義：半蔵門一郎は、第１端末１０Ａから送信された振込先名義と一致する。

　図７は、図５を参照して説明したインターネットバンキングのＭＩＴＢ攻撃を受けた場合の手順を例示する図である。

＜ステップＳ３１＞
　第１端末１０Ａであるパソコンのブラウザかマルウェアに乗っ取られている。利用者５０は、第１端末１０Ａであるパソコンのブラウザから勘定系システム３０のＷｅｂサイトにアクセスしインターネットバンキングにログインし振込を選択して振込先口座番号：１２３４と名義：半蔵門一郎、振込金額を入力すると、振込先口座番号が「１２３４」から「５６７８」に改ざんされ、振込先名義が、「半蔵門一郎」から「ｘｘｘ　ｘｘｘ」に改ざんされて、勘定系システム３０に送信されている。マルウェアは、第１端末１０Ａの画面には、振込先口座番号：「１２３４」、名義：「半蔵門一郎」を表示するため、利用者５０は改ざんに気がつかず、入力情報の「確認」（ＯＫボタン）を選択する。利用者５０は、第２端末１０Ｂであるスマートフォンから、勘定系システム３０のＷｅｂサイトにアクセスしインターネットバンキングにログインし、振込先口座番号（１２３４）を入力する。

　＜ステップＳ３２＞
　第１端末１０Ａから改ざんされた振込先口座番号（５６７８）と名義（ｘｘｘ　ｘｘｘ）、振込金額は、第１通信路を介して勘定系システム３０に送信される。第２端末１０Ｂに入力された振込先口座番号：１２３４は、放送局２１、放送送信所２２を介して勘定系システム３０に送信される。

　＜ステップＳ３３＞
　勘定系システム３０では、照合部３４が、第１端末１０Ａであるパソコンからの振込先口座番号：５６７８と、第２端末１０Ｂであるスマートフォンからの振込先口座番号：１２３４とが一致するかチェック（照合）する。

　＜ステップＳ３４＞
　勘定系システム３０では、チェックの結果が不一致であるため、トランザクションを無効化し、振込は中止する。すなわち、第１端末１０Ａにおいてマルウェアにより入力情報が改ざんされた場合、該入力情報の処理は実行されない。

　図８Ａは、図４Ａの勘定系システム３０の一例を説明する図である。受付システム３０１と、データベースシステム（ＤＢシステム）３０２を備えている。受付システム３０１と、データベースシステム３０２は、図１Ａの照合部３４を構成してもよい。

　図８Ｂは、勘定系システム３０を図８Ａの構成とした場合における処理手順を説明する図である。

＜ステップＳ１０１＞
　利用者５０は、第１端末１０Ａに、第１のＩＤとパスワードを入力する。ここで、第１のＩＤ（「主ＩＤ」ともいう）は、出金口座番号である。

＜ステップＳ１０２＞
　第１のＩＤ、パスワードは、第１端末１０Ａから勘定系システム３０の受付システム３０１に送信される。

＜ステップＳ１０３＞
　勘定系システム３０の受付システム３０１は、第１のＩＤとパスワードに基づき認証を行い、認証確認結果を第１端末１０Ａに通知する。

＜ステップＳ１０４＞
　利用者５０は、振込要求情報（振込先口座情報の前半（上位桁）を含む）を、第１端末１０Ａに入力する。

＜ステップＳ１０５＞
　第１端末１０Ａは、振込要求情報と、振込要求入力時の時刻情報を、第１通信路４１を介して送信する。振込要求情報は、例えば、振込先口座情報の前半（上位桁）、振込先名義、振込金額を含む。

＜ステップＳ１０６＞
　利用者５０は、第２のＩＤ（「副ＩＤ」ともいう）とパスワードを、第２端末１０Ｂに入力する。第２のＩＤは、出金口座番号である。

＜ステップＳ１０７＞
　利用者５０は、振込要求情報（振込先口座情報の後半（下位桁）を含む）を第２端末１０Ｂに入力する。

＜ステップＳ１０８＞
　第２端末１０Ｂは、第２のＩＤと、パスワードと、振込先口座情報の後半（下位桁）と、振込先口座情報の後半の入力時の時刻情報を、第２通信路４２を介して、勘定系システム３０の受付システム３０１に送信する。

＜ステップＳ１０９＞
　受付システム３０１では、第１のＩＤ（出金口座番号）と第２のＩＤ（出金口座番号）が一致するか、及び、第１端末１０Ａからの時刻情報と、第２端末１０Ｂからの時刻情報との時刻差が一定範囲内であるという条件が成り立つかチェックする。該条件が成り立つ場合、受付システム３０１は、振込先口座情報の前半と後半を合成し、振込先名義とともに、勘定系システム３０のデータベース（ＤＢ）システム３０２に送信する。

＜ステップＳ１１０＞
　ＤＢシステム３０２は、振込先口座情報と登録口座情報とを照合する。

＜ステップＳ１１１＞
　ＤＢシステム３０２は、照合確認結果を受付システム３０１に通知する。

＜ステップＳ１１２＞
　ＤＢシステム３０２は、振込受付確認を、第１端末１０Ａに送信する。

＜ステップＳ１１３＞
　受付システム３０１は、振込による送信実行指示を振込送金システムに送信する。

　図９は、図６のシステムの処理手順を説明する図である。図９を参照すると、図８ＢのＤＢシステム３０２での照合処理、情報の送受信が省略されている。ステップＳ１０１～Ｓ１０３、及びＳ１０６は、図８Ｂと同一であるため説明は省略する。

　図９において、ステップＳ１０４では、利用者５０は、振込要求情報（振込先口座情報を含む）を第１端末１０Ａに入力する。

　ステップＳ１０５では、第１端末１０Ａは、振込要求情報と、振込要求入力時の時刻情報を第１通信路４１を介して送信する。振込要求情報は、例えば、振込先口座情報、振込先名義、振込金額を含む。

　ステップＳ１０７では、利用者５０は、振込要求情報（振込先口座情報を含む）を第２端末１０Ｂに入力する。

　ステップＳ１０８では、第２端末１０Ｂは、第２のＩＤ、パスワード、振込先口座情報、振込先口座情報の入力時の時刻情報を、第２通信路４２を介して、勘定系システム３０の受付システム３０１に送信する。

　ステップＳ１０９では、受付システム３０１は、第１のＩＤ（出金口座番号）と第２のＩＤ（出金口座番号）が一致するか、及び、第１端末１０Ａからの時刻情報と、第２端末１０Ｂからの時刻情報との時刻差が一定範囲内であるという条件が成り立つかチェックし、成り立つ場合、受付システム３０１は、第１端末１０Ａからの振込先口座情報と第２端末１０Ｂからの振込先口座情報が一致するかチェックする。一致する場合、受付システム３０１は、ステップＳ１１２において、振込受付確認を第１端末１０Ａに送信し、ステップＳ１１３において、振込による送信実行指示を振込送金システムに送信する。

　図１０Ａは、図３ＢのＡＴＭの一例を説明する図である。なお、図１０Ａのシステム構成は、図３Ｂと同一であるため、システムの説明は省略する。

　図１０Ａの例では、利用者５０は、振込先口座情報（振込先口座番号、振込先口座名義など）の一部を第１端末１０ＡであるＡＴＭに入力し、該入力情報は専用線経由で勘定系システム３０に送信される。振込先口座情報の残りは利用者５０により第２端末１０Ｂであるスマートフォンに入力され、一方向通信路４３である放送波を介して勘定系システム３０に送信される。本実施形態において、利用者５０は、振込先口座情報の全てをＡＴＭに入力せずに、分割した一部を入力し、残りをスマートフォンに入力する。振込先口座情報は、どのように分割してもよい。例えば振込先口座番号のみを分割してもよいし、振込先口座番号と振込先口座名義の一方をＡＴＭ、他方をスマートフォンに入力してもよい。あるいは、振込先口座番号を二つに分割し（上位桁、下位桁）、振込先口座名義を二つに分割し（例えば名義前半、名義後半）、分割した組み合わせをＡＴＭ、他方をスマートフォンに入力してもよい。例えば（振込先口座番号上位桁、名義前半）をＡＴＭ、（振込先口座番号下位桁、名義後半）をスマートフォンに入力してもよい。

　第１端末１０ＡであるＡＴＭからは、出金口座番号、暗証番号（利用者が金融機関の口座開設時に登録した暗証番号）、振込先情報（一部）、振込金額等の一連の項目を暗号鍵（例えば共通鍵）で暗号化して、勘定系システム３０に送信する。勘定系システム３０では、ＡＴＭから送信された暗号化された情報を復号鍵（共通鍵）で復号する。

　第２端末１０Ｂであるスマートフォンからは、出金口座番号、パスワード（スマホパスワード）、振込先情報（残り）を暗号鍵（例えば共通鍵）で暗号化して、勘定系システム３０に送信する。勘定系システム３０では、ＡＴＭから送信された暗号化された情報を復号鍵（共通鍵）で復号する。第２端末１０Ｂであるスマートフォンからのパスワードは、スマートフォンで使うパスワードであってもよい。あるいは、ＡＴＭが取引番号を発行・表示し、スマートフォンに利用者が入力して送信するようにしてもよい。共通鍵の配信は、Ｄｉｆｆｉｅ－Ｈｅｌｌｍａｎ鍵交換を用いてもよい。

　勘定系システム３０では、出金口座番号（及び取引番号）に基づいて振込先口座情報（口座番号、名義）を統合し、事前に登録されている口座番号・口座名義と照合し、照合に成功したら振込を実行する。振込先口座番号が改ざんされると、振込先名義と対応がとれない。このため、たとえ振込を実行しても、振込送金エラーとなる。したがって、利用者５０がＡＴＭに入力した振込先情報等が改ざんされても、攻撃者の口座への振込送金等を防止することができる。

　なお、図１０Ｂに示すように、第２端末１０Ｂが、近距離無線通信技術（Ｎｅａｒ　Ｆｉｅｌｄ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ：ＮＦＣ）対応のスマートフォンの場合、スマートフォンのアプリにより、振込先口座番号の一部を、ＡＴＭ１０Ａに自動入力する構成としてもよい。自動入力の場合は、ＡＴＭ１０Ａで入力情報を表示し、利用者が確認ボタンを押すようにしてもよい。第２端末１０Ｂであるスマートフォンがマルウェア等によって汚染されると、不正送金のリスクが有る。このリスクを回避するため、利用者５０は、第１端末１０ＡであるＡＴＭの画面で確認する構成としてもよい。

　あるいは、第２端末１０Ｂであるスマートフォンは、第１端末１０ＡであるＡＴＭとの近距離無線通信にて、入力情報をＡＴＭに設定入力するようにしてもよい。第２端末１０Ｂであるスマートフォンのアプリで振込先口座番号と振込先口座名義、振込金額を入力し、振込先口座番号と振込先口座名義を分割し、分割した情報の一方の情報を、第１端末１０ＡであるＡＴＭに自動入力し、該ＡＴＭから、第１通信路である専用線４１Ａ経由で、勘定系システム３０に送信し、分割した情報の残りを、第２端末１０Ｂであるスマートフォンから、第２通信路である無線アクセス網４２Ａ、携帯網４２Ｂ、放送局２１、放送送信所２２、放送波４３経由で、勘定系システム３０に送信するようにしてもよい。この場合も、第１端末１０ＡであるＡＴＭにて、第２端末１０Ｂであるスマートフォンからの入力情報を表示し、利用者５０が第１端末１０ＡであるＡＴＭの画面で確認ボタンを押すようにしてもよい。

　図１１Ａは、図１０ＡのＡＴＭの変形例を説明する図である。図１１Ａのシステム構成は、図３Ｂと同一である。図１１Ａの例では、振込先口座情報（振込先口座番号、振込先口座名義など）の一部又は全てをＡＴＭとスマートフォンの両方からそれぞれ勘定系システム３０に送信される。例えば振込先口座情報のうち、振込先口座番号は、一部ではなく、全てを第１端末１０ＡであるＡＴＭに入力し、専用線経由で勘定系システム３０に送信され、振込先口座情報（全て）は第２端末１０Ｂであるスマートフォンに入力され、一方向通信路４３である放送波を介して勘定系システム３０に送信される。振込先口座名義、振込金額等は、ＡＴＭに入力し、専用線経由で勘定系システム３０に送信される。

　第１端末１０ＡであるＡＴＭからは、出金口座番号、暗証番号（利用者が金融機関の口座開設時に登録した暗証番号）、振込先情報（振込先口座番号（全て）、振込先名義）、振込金額等の一連の項目を暗号鍵（例えば共通鍵）で暗号化して、勘定系システム３０に送信する。勘定系システム３０では、ＡＴＭから送信された暗号化された情報を復号鍵（共通鍵）で復号する。

　第２端末１０Ｂであるスマートフォンからは、出金口座番号、パスワード、振込先口座番号（全て）を暗号鍵（例えば共通鍵）で暗号化して、勘定系システム３０に送信する。勘定系システム３０では、ＡＴＭから送信された暗号化された情報を復号鍵（共通鍵）で復号する。第２端末１０Ｂであるスマートフォンからのパスワードは、スマートフォンで使うパスワードであってもよい。あるいは、ＡＴＭが取引番号を発行・表示し、スマートフォンに利用者が入力して送信するようにしてもよい。

　勘定系システム３０では、出金口座番号（及び取引番号）が相互に一致する振込先口座情報のうち、ＡＴＭとスマートフォンの両方で送信された部分（図１１Ａでは、振込先（全て））を照合し、一致していれば、次の処理に進む。ＡＴＭ又はスマートフォンに入力した情報が改ざんされても、攻撃者の口座への送金を防止することが可能である。これは、ＡＴＭ又はスマートフォンの一方に入力した情報が改ざんされると、ＡＴＭとスマートフォンの両方から送信される振込先口座情報が不一致となり、振込送金エラーとなるためである。

　勘定系システム３０では、第１端末１０ＡであるＡＴＭと第２端末１０Ｂであるスマートフォンの両方から送信される振込先口座情報が互いに一致する場合、当該振込先口座情報をデータベースに登録されている口座情報を検索し、振込先口座情報に対応する振込先名義が、ＡＴＭから送信された振込先名義と一致するかチェックするようにしてもよい。勘定系システム３０では、振込先口座情報に対応する振込先名義が、ＡＴＭから送信された振込先名義と一致する場合、振込送金処理を実行するようにしてもよい。

　なお、図１１Ｂに示すように、スマートフォンの近距離無線通信技術（Near Field Communication：ＮＦＣ）により、振込先口座番号をＡＴＭに自動入力する構成としてもよい。自動入力の場合は、ＡＴＭで入力情報を表示し、利用者が確認ボタンを押すようにしてもよい。スマートフォンが乗っ取られると、不正送金のリスクが有る。このリスクを回避するため、利用者５０はＡＴＭの画面で確認する。あるいは、スマートフォンのＡＴＭのアプリ等を用いて、振込先口座番号と振込先口座名義、振込金額をスマートフォンに入力し、振込先口座番号と振込先口座名義をスマートフォンからＡＴＭに自動入力し、専用線経由で勘定系システム３０に送信し、さらにスマートフォンから放送波経由でも勘定系システム３０に送信するようにしてもよい。この場合も、ＡＴＭで入力情報を表示し、利用者が確認ボタンを押すようにしてもよい。

　以下では、放送波を用いる利点について説明する。放送波を用いない場合、図１２Ａに示すように、第２端末１０Ｂであるスマートフォンからの情報メッセージ７１（例えば振込先口座番号の残り）には宛先（例えば銀行Ｃ）が付加されて、無線アクセス網、携帯網、仲介サービス（中継装置）から、宛先の銀行Ｃに送信される。この場合、情報メッセージ７１に付加された宛先（例えば銀行Ｃ）が知られて、攻撃者６０により攻撃されやすい。また盗み取った情報を、インターネット回線等を介して攻撃者６０に送り返すルートもあり得る。

　図１２Ｂは、本実施形態により放送波を用いる例を説明する図である。第２端末１０Ｂであるスマートフォンからの情報メッセージ７１（例えば振込先口座番号の残り）には、最終的な宛先（銀行Ｃ）を利用者のスマートフォン１０Ｂでは付与せず、例えば、放送局２１宛てに送信される。情報メッセージ７１には、放送局２１の利用者の識別情報（ＩＤ）とパスワードが付加される。放送局２１では、スマートフォンからの情報メッセージを受信すると、利用者の識別情報（ＩＤ）とパスワードから認証を行い、利用者の識別情報（ＩＤ）に対応付けて登録されている銀行宛にヘッダ情報を書き換えて、放送送信所２２から銀行宛に送信する。スマートフォンからの情報メッセージを盗聴等しても攻撃者には宛先の銀行等は分からない。また宛先の銀行等には、一方向通信路である放送波で情報メッセージが送信される。このため、情報を送り返すルートもない。

　また、本実施形態によれば、放送波を用いることで、経済的かつ安定的に情報を届けることができる。放送波を用いない場合、図１３Ａに例示するように、多数のシステム設置拠点（ｓｉｔｅ）に対して、仲介サービス（中継装置）から専用線をそれぞれ設置する必要がある。また、仲介サービス（中継装置）と勘定系システムである各銀行の拠点をインターネット（例えばＶＰＮ（Ｖｉｒｔｕａｌ　Ｐｒｉｖａｔｅ　Ｎｅｔｗｏｒｋ））で接続する場合、安全、安定的に情報を送信、受信することが困難である場合もある。

　これに対して、放送波を用いる場合、図１３Ｂに示すように、専用線に比べて経済的に、インターネットに比べると安定的に情報を届けることが可能である。図１３Ｂにおいて、放送波を受信するシステムは、銀行に制限されるものでない。例えば後述するように、ＩｏＴ機器であってもよい。広域に分布する多数のＩｏＴ機器である場合、これらのＩｏＴ機器を遠隔操作するシステム等において、大きな利点がある。

　図１４は、本発明の別の実施形態を説明する図である。本実施形態では、一方向通信路として、放送波のかわりに、一方向ゲートウェイ（ＧＷ）２４Ａを用いている。利用者は、第２端末１０Ｂであるスマートフォンから、仲介サービス２３（中継装置）の利用者ＩＤとパスワード情報を付加して、仲介サービス２３宛てに、振込先口座番号情報の残り（振込先口座番号情報の一部はパソコン又はＡＴＭに入力）を含む情報メッセージ７１を送信する。

　仲介サービス２３では、第２端末１０Ｂであるスマートフォンから送信される仲介サービス２３の利用者ＩＤとパスワード情報から利用者を認証する。認証の結果、仲介サービス２３の利用者ＩＤとパスワード情報が正しい場合、仲介サービス２３は、登録利用者情報２４１を参照して、仲介サービス２３の利用者ＩＤに対応した銀行を宛先とする情報メッセージ７２（振込先口座番号情報の残りを含む）を生成する。より詳しくは、仲介サービス２３は、例えば、第２端末１０Ｂであるスマートフォンからの情報メッセージ７１（振込先口座番号情報の残りを含む）の宛先情報欄を、仲介サービス２３の利用者ＩＤに対応した銀行Ｃ宛に変更して情報メッセージ７２を生成し、一方向ゲートウェイ２４Ａ、専用線／インターネット４４を介して、銀行Ｃに送信する。第２端末１０Ｂであるスマートフォンからの情報メッセージを盗聴等しても攻撃者６０には、最終の宛先（銀行Ｃ）の銀行は分からない。また宛先の銀行等には、一方向通信路である一方向ゲートウェイ２４Ａを介して情報メッセージが送信される。このため、情報を送り返すルートもない。

　次に、図１０Ａに例示したＡＴＭの例の具体的な手順について説明する。図１５は、図１０ＡにおけるＡＴＭ側の入力情報に関するステップＡ１－Ａ４、スマートフォン側の入力情報に関するステップＢ１－Ｂ７を付加したものである。図１６は、図１５のステップＡ１－Ａ４、Ｂ１－Ｂ７の処理手順を説明する図である。

＜ステップＡ１＞
　利用者は、第１端末１０ＡであるＡＴＭに、振込情報（振込先口座番号の一部、振込先名義、振込金額等）を入力する。

＜ステップＡ２＞
　第１端末１０ＡであるＡＴＭでは、銀行から発行された共通鍵１を用いて入力情報（出金口座番号、利用者の暗証番号、振込先口座番号の一部、振込先名義、振込金額）を暗号化する。なお、共通鍵１の配信は、例えばＤｉｆｆｉｅ－Ｈｅｌｌｍａｎ鍵交換を用いてもよい。

＜ステップＡ３＞
　第１端末１０ＡであるＡＴＭでは、銀行を宛先として付加したメッセージを送信する。

＜ステップＡ４＞
　勘定系システム３０（銀行）では、第１端末１０ＡであるＡＴＭからのメッセージを受信し、共通鍵１を用いて入力情報（出金口座番号、利用者の暗証番号、振込先口座番号の一部、振込先名義、振込金額）を復号する。

＜ステップＢ１＞
　利用者は、第２端末１０Ｂであるスマートフォンに、振込情報（振込先口座番号の残り）を入力する。

＜ステップＢ２＞
　第２端末１０Ｂであるスマートフォンでは、銀行から発行された共通鍵２を用いて入力情報（振込先口座番号の残り）を暗号化する。第２端末１０Ｂであるスマートフォンと銀行間での共通鍵２の配送は、例えばＤｉｆｆｉｅ－Ｈｅｌｌｍａｎ鍵交換を用いてもよい。

＜ステップＢ３＞
　第２端末１０Ｂであるスマートフォンでは、利用者が予め登録した利用者ＩＤ、パスワードと、銀行宛先を付加して、放送局２１（放送事業者）から発行された共通鍵３で暗号化する。第２端末１０Ｂであるスマートフォンと放送局２１（放送事業者）間での共通鍵３の配送は、例えばＤｉｆｆｉｅ－Ｈｅｌｌｍａｎ鍵交換を用いてもよい。

＜ステップＢ４＞
　第２端末１０Ｂであるスマートフォンは放送局２１を宛先とするメッセージを送信する。

＜ステップＢ５、Ｂ６＞
　放送局２１では、共通鍵３を用いて、メッセージを復号し、利用者ＩＤとパスワードを用いて認証（本人確認）を行う。認証が行えた場合、放送送信所２２から、銀行宛に放送波４３にてメッセージを送信する。パスワードを用いて認証を行うことで、予め放送局２１（放送事業者）に登録した利用者以外、放送を利用して情報を銀行宛に送信することはできない。

＜ステップＢ７＞
　勘定系システム３０（銀行）では、放送送信所２２から送信されたメッセージを受信し、共通鍵２を用いて入力情報（振込先口座番号の残り）を復号する。

　なお、第２端末１０Ｂであるスマートフォンから送信されるメッセージの宛先（銀行）情報を隠ぺいするために、該スマートフォンからのメッセージの宛先を、放送局２１とし、放送局２１において、ステップＢ５で、第２端末１０Ｂであるスマートフォンから送信された利用者ＩＤに対応した宛先を付加し、放送波で宛先に送信するようにしてもよい。

　図１７は、図１６の変形例を説明する図である。図１６のステップＢ３、Ｂ５が修正されている。ステップＢ３－２では、第２端末１０Ｂであるスマートフォンでは、利用者が予め登録した放送局利用者ＩＤとパスワードを付加し放送局（放送事業者）から発行された共通鍵２で暗号化する。

　ステップＢ４では、第２端末１０Ｂであるスマートフォンは、宛先：放送局を付加して送信する。

　ステップＢ５－２では、放送局２１／放送送信所２２は、放送局利用者ＩＤに対応した宛先（銀行）を付加して送信する。

　振込手続き等において、利用者５０の手間及びトラヒックの軽減のために、振込先口座の新規登録時、及び、未登録口座への振込時のみ、実施形態を利用するようにしてもよい。この場合、第２通信路のトラヒックや負荷等を軽減することができる。

　利用者５０の使いやすさを改善するための手法として、第１端末１０Ａ、第２端末１０ＢであるＡＴＭ、スマートフォン共に、振込先口座番号と振込先口座の名義（振込先名義）を表示するようにしてもよい。第１端末１０ＡであるＡＴＭからは、振込先口座番号を第１通信路４１から勘定系システム３０に向けて送信し、第２端末１０Ｂであるスマートフォンからは、振込先口座名義を送信するようにしてもよい。

　図１８は、本発明のさらに別の実施形態を説明する図である。図１８に示すように、放送局２１の入口に一方向ゲートウェイ２４Ｂを配置するようにしてもよい。かかる構成により、利用者ＩＤと宛先の対応等、放送局２１からの情報漏えいを、より確実に防止することができる。

＜応用例１＞
　図３Ｃの法人からの送金において、金融機関による海外送金（外国送金）に適用してもよい。多額の金融被害は、外国送金で発生している。利便性が求められる一般利用者に比べて、金融機関は、安全性をより重視する可能性がある。このため、振込情報を複数のルートで送信する。なお、外国送金の情報入力は、図３Ｃに示すように、第１端末１０Ａ及び第２端末１０Ｂに対してそれぞれ別々の担当者が入力してもよいし、あるいは、同一の担当者が、第１端末１０Ａ及び第２端末１０Ｂから外国送金情報（分割した振込先口座番号等）を入力してもよい。

＜応用例２＞
　図１９は、別の応用例を例示する図である。この応用例では、電力、ガス等のインフラ、石油、化学等のプラント制御システム８０の制御を行う端末である主操作端末を第１端末１０Ａとし、副操作端末を第２端末１０Ｂとする。操作者５０Ｃにより主操作端末（第１端末１０Ａ）に入力される情報は、端末ＩＤ、コマンド番号（一部）、コマンド名等を含む。操作者５０Ｃにより副操作端末（第２端末１０Ｂ）に入力される情報は、端末ＩＤ、本人確認ＩＤ、コマンド番号（残り）を含む。この場合、主操作端末（第１端末１０Ａ）、副操作端末（第２端末１０Ｂ）からの第１、第２情報は、これらの端末に入力された項目（例えばコマンド番号）の情報の一部とその残りを含むようにしてもよい。あるいは、第１、第２情報は、異なる項目として、コマンド名と、コマンド番号をそれぞれ含むようにしてもよい。

　第１端末１０Ａ（主操作端末）は専用線／インターネット４１Ｂを介してプラント制御システム８０に接続する。第２端末１０Ｂ（副操作端末）は、専用線／インターネット４２Ｄ、放送局２１、放送送信所２２、放送波４３を介してプラント制御システム８０に接続する。

　プラント制御システム８０は、図１Ａの情報処理制御装置３１を備えている。プラント制御システム８０では、第１端末１０Ａからのコマンド番号の一部と、第２端末１０Ｂからのコマンド番号の残りを合成し、１つのコマンド番号を生成するようにしてもよい。

　プラント制御システム８０では、生成したコマンド番号から、記憶部（図１Ａの３５：コマンド番号とコマンド名の対応を記憶したテーブル）を参照して、コマンド番号に対応するコメント名を検索する。

　プラント制御システム８０は、コマンド番号に対応するコマンド名が検索できた場合、当該コマンド名と、第１端末１０Ａに入力されたコマンド名が一致するかチェックする。一致する場合、プラント制御システム８０は、該コマンドを実行する。なお、第１端末１０Ａ（主操作端末）と第２端末１０Ｂ（副操作端末）でコマンド名を分割して送信し、プラント制御システム８０でコマンド名を合成して復元し、記憶部（図１Ａの３５：コマンド番号とコマンド名の対応を記憶したテーブル）を参照して、コマンド名に対応するコメント番号を検索し、第１端末１０Ａ（主操作端末）又は第２端末１０Ｂ（副操作端末）から送信されたコマンド番号と一致するかチェックするようにしてもよい。

　プラント制御システム８０において、コマンド番号とコマンド名が事前登録されたコマンド情報と完全一致しなければ、操作を中断する。図１９において、攻撃者は、第１端末１０Ａ（主操作端末）と第２端末１０Ｂ（副操作端末）の両方をマルウェアによって乗っ取らないと、不正操作を行うことはできない。第１端末１０Ａ（主操作端末）と第２端末１０Ｂ（副操作端末）は１つのユニットとして一体化されてもよい（ただし、内部では、電気的に分離される（無線接続も存在しない状態とされる））。なお、主操作端末と副操作端末への入力は異なる操作者が行うようにしてもよい。

＜応用例３＞
　図２０は、別の応用例としてデータ配信サービス（「データキャストサービス」とも称せられる）を例示する図である。この応用例では、放送事業者の契約者(情報配信元)は、契約で定められた範囲内で配信先を指定する。契約者の第１端末１０Ａに入力された情報（配信先情報）は、第１通信路である専用線／インターネット４１Ｂを介して地域別放送局８１に送信される。契約者の第２端末１０Ｂに入力された情報（配信先情報）は、専用線４２Ｃを介して、放送局２１に送信され、放送送信所２２で放送され、地域別放送局８１に送信される。

　地域別放送局８１は、図１Ａの情報処理制御装置３１を備えた構成としてもよい。地域別放送局８１は、契約者の第１端末１０Ａ、第２端末１０Ｂから送信された情報を照合して、配信先を決定し、配信先に対応した放送送信所８２から契約者からの配信情報（コンテンツ）を配信する。

　地域別放送局８１は、配信先が契約者から送信された情報に基づき、配信先が定められた範囲内であることを確認する。放送事業者は、攻撃者が契約者の識別情報（ＩＤ）とパスワード（ＰＷ）を盗み取っても情報配信ができないように対策を講じることが求められる。図２０において、第１端末１０Ａから送信された第１情報（配信先情報）と第２端末１０Ｂから送信された第２情報（配信先情報）との照合部（図１Ａの３４）での照合結果に基づき、地域別放送局８１から情報配信が行われる。このため、第１情報（配信先情報）が改ざんされた場合には、情報配信は行われない。攻撃者が第１端末１０Ａ（主操作端末）の識別情報（ＩＤ）とパスワードを盗み取っても、配信先を自由に指定して情報配信できないような設定とされる。

　また、全国等、広い範囲に情報配信できる契約を行っていない契約者が全国等、広い範囲に情報配信を行うなどの不正な情報配信リスクを軽減することが求められるが、図２０の構成では、不正な情報配信リスクを軽減可能としている。

　第２端末１０Ｂから送信される第２情報は、第１情報と同一の配信先名（又は配信先番号）であってもよい。

　第１端末１０Ａから送信される第１情報は、データの配信先名（又は配信先番号）を分割した一部であってもよい。第２端末１０Ｂから送信される第２情報は、データの配信先名（又は配信先番号）を分割した残りであってもよい。地域別放送局８１において、照合部（図１Ａの３４）では、第１、第２情報を合成し、配信先名（又は配信先番号）を復元するようにしてもよい。

　第１、第２端末１０Ａ、１０Ｂからそれぞれ送信される第１、第２情報の一方が、配信先番号である場合、地域別放送局８１において、記憶部（図１Ａの３５）には、配信番号と、データの配信先名との対応を記憶してもよい。例えば第１端末１０Ａから送信される第１情報は、データの配信先名、第２端末１０Ｂから送信される第２情報は、配信先番号であってもよい。

　地域別放送局８１において、照合部（図１Ａの３４）では、第１、第２情報を第１、第２通信部（図１Ａの３２、３３）からそれぞれ受け取り、記憶部（図１Ａの３５）に記憶されている登録データから第２情報（配信先番号）にて、配信先名を検索し、第１情報の配信先名と一致するものがあるか照合するようにしてもよい。

　なお、図２０において、同一の配信先に対して、複数の名称とコードのセットを用意し、毎回利用する名称・コードを変更するなどしてもよい。前記実施形態では、振込先口座情報を分割したが、配信先情報を分割して入力・送信するようにしてもよい。すなわち、かかる構成により、担当者の過失や故意による不正な配信を防止することができる。なお、図２０では、契約者の第１端末１０Ａ、第２端末１０Ｂへの配信先情報の入力を担当者５０Ａ、責任者５０Ｂが行っているが、契約者側の業務形態等によっては、同一担当者が行うようにしてもよい。

＜応用例４＞
　図２１は、別の応用例を説明する図である。ＩｏＴ機器９０における管理者の追加登録を行う。利用者はパスワードを、第１端末１０Ａ（主操作端末）、第２端末１０Ｂ（副操作端末）に入力し、第１通信路である専用線／インターネット４１Ｂ、第２通信路である専用線／インターネット４２Ｄ、放送局２１、放送送信所２２、放送波４３を介して、ＩｏＴ機器９０に送信する。

　ＩｏＴ機器９０において、受信したパスワードを相互に照合して、完全一致しない場合、ＩｏＴ機器９０において登録を中止する。ＩｏＴ機器９０は、図１Ａの情報処理制御装置３１を備えた構成としてもよい。

　第１端末１０Ａ（主操作端末）、第２端末１０Ｂ（副操作端末）において、コマンド情報（例えばコマンド番号）を分割し、分割した一部と、残りを第１、第２通信路４１、４２からＩｏＴ機器９０に送信するようにしてもよい（ただし、２分割に制限されるものでない）。ＩｏＴ機器９０は、前述した図１Ａの情報処理制御装置３１の照合部３４を備えている。ＩｏＴ機器９０は、第１端末１０Ａ（主操作端末）と第２端末１０Ｂ（副操作端末）から送信された、分割されたコマンド番号の一部と残りを合成して元のコマンド番号を復元する。そして、ＩｏＴ機器９０は、コマンド番号とコマンド名との対応を記録した記憶部（図１Ａの３５）を参照して、元のコマンド番号に対応して登録されているコマンド名を取得し、該コマンド名が第１端末１０Ａ（主操作端末）又は第２端末１０Ｂ（副操作端末）から送信されたコマンド名と一致するか照合し、コマンド名が一致する場合、ＩｏＴ機器９０において、該コマンドを実行するように制御する構成としてもよい。あるいは、第１端末１０Ａ（主操作端末）、第２端末１０Ｂ（副操作端末）において、コマンド名を分割してＩｏＴ機器９０に送信し、ＩｏＴ機器９０でコマンド名を合成して復元し、記憶部（図１Ａの３５：コマンド番号とコマンド名の対応を記憶したテーブル）を参照して、コマンド名に対応するコメント番号を検索し、第１端末１０Ａ（主操作端末）又は第２端末１０Ｂ（副操作端末）から送信されたコマンド番号と一致するかチェックするようにしてもよい。

　図２１において、攻撃者は、第１端末１０Ａ（主操作端末）と第２端末１０Ｂ（副操作端末）の両方を、マルウェア等によって乗っ取らない限り、不正な登録を行うことはできない（第１端末１０Ａ（主操作端末）と第２端末１０Ｂ（副操作端末）の一方をマルウェア等で乗っ取ったとしても不正な登録はできない）。

　ＩｏＴ機器９０へのコマンド送信時、第１端末１０Ａ（主操作端末）からコマンド名、第２端末１０Ｂ（副操作端末）からコマンド番号をそれぞれ送信するようにしてもよい。第１端末１０Ａ（主操作端末）、第２端末１０Ｂ（副操作端末）より、それぞれ、コマンド名とコマンド番号を送信し、一方が改ざんされたら、記憶部（図１の３５）に記録されている登録情報（コマンド番号とコマンド名の対応）と対応がとれないように、コマンド名とコマンド番号を定めるようにしてもよい。例えば、コマンドごとに異なる番号を付与する構成としてもよい。

　操作者（利用者）５０Ｄは、コマンド情報を、第１、第２端末１０Ａ、１０Ｂの各々に入力し、それを統合して照合（又は事前に登録された情報と照合）するため、一方の端末から送信された情報が改ざんされても、該改ざんの疑いを検知することができる。このため、不正なコマンドの実行をより確実に阻止することができる。なお、ＩｏＴ機器９０はカメラ等に制限されるものでなく、例えば、ドローンや、自動運転用のＶｅｈｉｃｌｅ　ＩｏＴ等であってもよい。

　図２２は、本発明の実施形態を説明する図である。第２端末１０Ｂは、ＨＭＡＣ（Ｈａｓｈ－ｂａｓｅｄ　Ｍｅｓｓａｇｅ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ｃｏｄｅ）を計算するＨＭＡＣ計算部１０１と、計算されたＨＭＡＣを送信する送信部１０２を備えている。ＨＭＡＣは、メッセージ認証符号（ＭＡＣ；　Ｍｅｓｓａｇｅ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ｃｏｄｅ）の一つであり、秘密鍵（共通鍵）とメッセージ（データ）とハッシュ関数をもとに計算される。勘定系システム３０の受付システム３０１は、第１情報受信部３１１、第２情報受信部３１２、照合部３１３、ＨＭＡＣ計算部１０１と同一のアルゴリズムと鍵を用いてＨＭＡＣを計算するＨＭＡＣ計算部３１４、ＨＭＡＣ照合部３１５を備えている。第１情報受信部３１１は、第１端末１０Ａから、第１通信路である専用線／インターネット４１Ｂを介して送信される第１情報を受信する。第２情報受信部３１２は、第２端末１０Ｂから、第２通信路（専用線４２Ｃ、放送局２１、放送送信所２２、放送波４３）を介して送信される第２情報を受信する。照合部３１３は、第１情報と第２情報のうち予め定められた項目の情報が一致するか照合する。ＨＭＡＣ計算部３１４は、第１情報のうち予め定められた項目の情報のＨＭＡＣを計算する。ＨＭＡＣ照合部３１５は、第２情報として受信した第２端末１０ＢからのＨＭＡＣと、ＨＭＡＣ計算部３１４からのＨＭＡＣが一致するかチェックする。

　図２３は、図２２の実施形態の動作を説明する図である。

＜ステップＳ２０１＞
　利用者５０は、第１端末１０Ａに第１のＩＤと、パスワードを入力する。第１のＩＤは例えば出金口座番号である。

＜ステップＳ２０２＞
　第１のＩＤとパスワードは、第１端末１０Ａから勘定系システム３０の受付システム３０１に送信される。

＜ステップＳ２０３＞
　受付システム３０１は、第１のＩＤとパスワードに基づき認証を行い、認証確認結果を通知する。

＜ステップＳ２０４＞
　利用者５０は、振込要求情報を第１端末１０Ａに入力する。

＜ステップＳ２０５＞
　第１端末１０Ａは、振込要求情報と、振込要求入力時の時刻情報を第１通信路４１を介して送信する。振込要求情報は、振込先口座情報、振込先名義、振込金額を含む。

＜ステップＳ２０６＞
　受付システム３０１のＨＭＡＣ計算部３１４は、振込先口座情報のＨＭＡＣを計算する。

＜ステップＳ２０７＞
　利用者５０は、第２のＩＤとパスワードを第２端末１０Ｂに入力する。第２のＩＤは、出金口座番号である。

＜ステップＳ２０８＞
　利用者５０は、振込先口座番号を第２端末１０Ｂに入力する。

＜ステップＳ２０９＞
　第２端末１０ＢのＨＭＡＣ計算部１０１は振込先口座番号のＨＭＡＣを計算する。

＜ステップＳ２１０＞
　第２端末１０Ｂの送信部１０２は、第２のＩＤ、パスワード、振込先口座情報、ＨＭＡＣ、振込先口座情報の入力時の時刻情報を、第２通信路４２を介して、勘定系システム３０の受付システム３０１に送信する。

＜ステップＳ２１１＞
　受付システム３０１の照合部３１３は、第１端末１０Ａからの第１のＩＤ（出金口座番号）と第２端末１０Ｂからの第２のＩＤ（出金口座番号）が一致するか、及び、第１端末１０Ａからの時刻情報と第２端末１０Ｂからの時刻情報との時刻差が一定範囲内であるという条件が成り立つかチェックする。ＨＭＡＣ照合部３１５は、ＨＭＡＣ計算部３１４で計算したＨＭＡＣと、第２端末１０ＢからのＨＭＡＣが一致するかチェックする。

＜ステップＳ２１２＞
　第１端末１０Ａからの第１のＩＤ（出金口座番号）と第２端末１０Ｂからの第２のＩＤ（出金口座番号）とが一致し、第１端末１０Ａからの時刻情報と第２端末１０Ｂからの時刻情報との時刻差が一定範囲内であり、ＨＭＡＣ計算部３１４で計算したＨＭＡＣと、第２端末１０ＢからのＨＭＡＣが一致する場合、受付システム３０１は、振込受付確認を第１端末１０Ａに送信する。

＜ステップＳ２１３＞
　受付システム３０１は、振込送金実行指示を送金システムに送信する。

　プラント制御システム等への適用において、第１端末１０Ａよりコマンド番号を送信し、第２端末１０Ｂは、改めて入力したコマンド番号から、認証情報を生成して送信するようにしてもよい。プラント制御システム８０側では、第１端末１０Ａから受信したコマンド番号より、第２端末１０Ｂと同一のアルゴリズムと鍵を用いて認証情報を生成し、第２端末から受信した認証情報と照合し、改ざんがないことを確認するようにしてもよい。

　図２４は、本発明のさらに別の実施形態を説明する図である。図２４には、顔認証において、利用者５０の顔画像５１を分割し、分割した一方である部分画像５１Ａを第１端末１０Ａから第１通信路であるインターネット４１Ｃ、分割した他方の部分画像５１Ｂを第２端末１０Ｂから専用線４２Ｃ、放送局２１、放送送信所２２、放送波４３を含む第２通信路を介して、認証を行う認証システム９１（認証プログラム）に送信する構成が開示されている。認証システム９１では、第１通信路４１を介して受信した部分画像５１Ａと、放送波４３を介して受信した部分画像５１Ｂとを合成し、合成した画像に基づき、顔認証を行うようにしてもよい。この場合、第１端末１０Ａ、第２端末１０Ｂの一方のカメラ（不図示）で顔画像５１を撮像して分割し、分割した画像を他の端末に送信するようにしてもよい。

　あるいは、顔認証を行う認証システム９１（認証プログラム）を、スマートフォン等に実装してもよい。この場合、第１端末１０Ａ、第２端末１０Ｂを、例えば顔画像情報データベースに登録した認証センターの通信端末とし、該データベース等に登録されている顔画像５１を第１端末１０Ａ、第２端末１０Ｂの一方で分割し、分割した画像を他の端末に送信し、宛先のスマートフォン等でこれらを受信し、合成した画像に基づき、認証を行うようにしてもよい。なお、顔画像以外に、指紋、掌紋等であってもよい。図２４において、同一の顔画像を、第１端末１０Ａ、第２端末１０Ｂから第１通信路４１、第２通信路４２を介して宛先の認証システム９１に送信するようにしてよい。なお、画像は、顔画像、指紋、掌紋等に制限されるものでなく、所定の２次元画像、例えば２次元コード等であってもよい。

　図２５は、図１Ａ、図１Ｂの情報処理制御装置３１をコンピュータ装置４００で実現した構成を例示する図である。図２５を参照すると、コンピュータ装置４００は、プロセッサ４０１、記憶装置４０２、表示装置４０３、通信インタフェース４０４を備える。記憶装置４０２は、ハードディスクドライブ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ：ＨＤＤ）、半導体メモリ（例えば、ソリッドステートドライブ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ：ＳＳＤ）、ダイナミックランダムアクセスメモリ（Ｄｙｎａｍｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ：ＤＲＡＭ）、スタティックランダムアクセスメモリ（Ｓｔａｔｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ：ＳＲＡＭ）、読み出し専用のリードオンリメモリ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ：ＲＯＭ）、電気的に消去及びプログラム可能なリードオンリメモリ（Ｅｌｅｃｔｒｉｃａｌｌｙ　Ｅｒａｓａｂｌｅ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｒｅａｄ－Ｏｎｌｙ　Ｍｅｍｏｒｙ））、コンパクトディスク（Ｃｏｍｐａｃｔ　Ｄｉｓｃ：ＣＤ）、デジタルバーサタイルディスク（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｃ：ＤＶＤ）等のいずれか、又は複数の組み合わせから構成され、プロセッサ４０１で実行されるプログラムを格納する。通信インタフェース４０４は、図１Ａ、図１Ｂの第１、第２通信部３２、３３の機能を実現する。プロセッサ４０１は、記憶装置４０２に格納されてプログラムを実行することで、前記した実施形態の情報処理制御装置３１の機能を実現する。また、図２Ａ、図２Ｂの情報通信装置２０、２０Ａ、２０Ｂの各装置において、その機能の少なくとも一部を、図２５のコンピュータ装置４００で実現してもよいことは勿論である。

　前記実施形態では、振込先口座情報等の分割入力においては、統合する際に、勘定系システムにおいて、ＡＴＭ側から通知される情報の一部と、スマートフォン側から通知される情報の他の部分を統合するか、ＡＴＭとスマートフォンに全ての情報入力を行って、その両方から全ての情報送信を行う例が示されている。

　さらなる変形例として、ＡＴＭとスマートフォンに全ての情報入力を行って、ＡＴＭとスマートフォンが各々、入力情報の一部を送信してもよい。ＡＴＭとスマートフォンに全ての情報入力を行うことにすれば、口座番号の一部だけ入力する煩雑さを回避することができる。

　振込先口座情報の分割入力において、各端末に入力する部分を、システム側から指定するようにしてもよい。また、入力部分を、その都度変更するようにしてもよい。

　同一の入力情報を第１、第２端末から、重複入力する場合において、各端末から送信する部分をシステム側から指定するようにしてもよい。送信部分を、その都度変更してもよい。

　上記実施形態では、第１端末、第２端末を例に説明したが、端末は、２つの端末に制限されるものでなく、情報を入力する端末の数を３つ以上にしてもよい。

　なお、上記の特許文献１の開示を、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素（各請求項の各要素、各実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ乃至選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。

１０Ａ　第１端末（パソコン、ＡＴＭ、主端末、主操作端末）
１０Ｂ　第２端末（スマートフォン、副端末、副操作端末）
２０、２０Ａ、２０Ｂ　情報通信装置
２１、２１Ａ、２１Ｂ、２３　通信装置（放送局、仲介サービス）
２２、２２Ａ、２２Ｂ　一方向通信装置（放送送信所）
２３　仲介サービス
２４Ａ、２４Ｂ　一方向ゲートウェイ
３０　勘定系システム
３１　情報処理制御装置
３２　第１通信部
３３　第２通信部
３４　照合部
３５　記憶部（データベース）
３６　処理実行制御部
４１　第１通信路
４１Ａ　専用線
４１Ｂ　専用線／インターネット
４１Ｃ　インターネット
４２　第２通信路
４２Ａ　無線アクセス網
４２Ｂ　携帯網
４２Ｃ　専用線
４２Ｄ　専用線／インターネット
４３、４３Ａ、４３Ｂ　一方向通信路
４４　専用線／インターネット
５０　利用者
５０Ａ　担当者
５０Ｂ　責任者
５０Ｃ、５０Ｄ　操作者
５１　顔画像
５１Ａ、５１Ｂ　部分画像
６０　攻撃者
７１、７２　情報メッセージ
８０　プラント制御システム　
８１　地域別放送局
８２　放送送信所
９０　ＩｏＴ機器（ＩｏＴデバイス）
９１　認証システム
１０１　ＨＭＡＣ計算部
１０２　送信部
２４１　登録利用者情報
３０１　受付システム
３０２　ＤＢシステム
３１１　第１情報受信部
３１２　第２情報受信部
３１３　照合部
３１４　ＨＭＡＣ計算部
３１５　ＨＭＡＣ照合部
４００　コンピュータ装置
４０１　プロセッサ
４０２　記憶装置
４０３　表示装置
４０４　通信インタフェース

Claims (19)

1. 　予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第１端末と第２端末がそれぞれ送信する第１情報と第２情報のうち、
   　前記第１情報は、第１通信路を介して、前記第１情報と前記第２情報に基づき前記項目に関する照合を行う情報処理制御装置に送信され、
   　前記第２情報を、第２通信路を介して、受け取る通信装置と、
   　受け取った前記第２情報を、前記第２通信路を構成する少なくとも１つの一方向性の通信路を介して、前記情報処理制御装置に送信する一方向通信装置と、
   　を備えた、ことを特徴とする情報通信装置。
2. 　前記第１情報と前記第２情報が、前記項目を分割した一部と別の一部の情報をそれぞれ含み、
   　前記第１情報と前記第２情報にそれぞれ含まれる前記項目を分割した一部と別の一部の情報は、前記情報処理制御装置にて合成され登録情報と照合される、ことを特徴とする請求項１に記載の情報通信装置。
3. 　前記第１情報と前記第２情報が、前記第１端末と前記第２端末に重複して入力される前記項目の情報を含み、前記第１情報の前記項目の情報と前記第２情報の前記項目の情報とは、前記情報処理制御装置にて互いに一致するか照合される、ことを特徴とする請求項１に記載の情報通信装置。
4. 　前記第２情報は、前記重複して入力される前記項目の情報の認証コードを含む、ことを特徴とする請求項３に記載の情報通信装置。
5. 　前記第１情報と前記第２情報は、前記情報処理制御装置において、照合に用いる複数の異なる項目の情報を含む、ことを特徴とする請求項１乃至４のいずれか１項に記載の情報通信装置。
6. 　予め定められた前記項目は、
   　コマンド名とコマンド番号、
   　データの配信先名称と配信先番号、
   　振込先名義と振込先口座番号、
   　のいずれかを含む、ことを特徴とする請求項５に記載の情報通信装置。
7. 　前記一方向性の通信路は、
   　放送局からの放送波、及び、
   　一方向性のゲートウェイの
   　一方または両方を含む、ことを特徴とする請求項１乃至６のいずれか１項に記載の情報通信装置。
8. 　前記第１端末と前記第２端末の少なくとも一方から前記情報通信装置を宛先とする前記第１情報と前記第２情報の少なくとも一方を受け、前記第１情報と前記第２情報の少なくとも一方の宛先を、前記情報処理制御装置に設定した上で、前記情報処理制御装置に対して、前記一方向性の通信路を介して送信する前記一方向通信装置を備えた、ことを特徴とする請求項１乃至７のいずれか１項に記載の情報通信装置。
9. 　予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第１端末と第２端末の一方から第１情報、前記第１端末と前記第２端末の他方から第２情報を、それぞれ第１通信路と第２通信路を介して、受け取る受付部を備え、
   　前記第１通信路と前記第２通信路の少なくとも一方は、少なくとも１つの一方向性の通信路を含み、
   　前記第１通信路と前記第２通信路を介して受け取った前記第１情報と前記第２情報に基づき前記項目に関して照合を行い、照合結果に基づき、前記第１情報と前記第２情報の少なくとも一方に対応した処理の実行を制御する照合部を備えた、ことを特徴とする情報処理制御装置。
10. 　前記第１情報と前記第２情報が、前記項目を分割した一部と別の一部の情報をそれぞれ含み、
    　前記照合部は、前記第１情報と前記第２情報にそれぞれ含まれる前記項目を分割した一部と別の一部の情報とから合成した情報を登録情報と照合する、ことを特徴とする請求項９に記載の情報処理制御装置。
11. 　前記第１情報と前記第２情報が、前記第１端末と前記第２端末に重複して入力される前記項目の情報を含み、
    　前記照合部は、前記第１情報の前記項目の情報と前記第２情報の前記項目の情報とが一致するか照合する、ことを特徴とする請求項９に記載の情報処理制御装置。
12. 　前記第１端末と前記第２端末に前記項目の情報が重複して入力され、
    　前記第１情報は、前記項目の情報を含み、
    　前記第２情報は、重複して入力された前記項目の情報から生成される認証コードを含み、
    　前記照合部は、前記第１端末から送信された前記第１情報を受信すると、前記第１情報に含まれる前記項目の情報の認証コードを生成し、
    　前記第２情報に含まれる、前記第２端末から受信した前記認証コードを、生成した認証コードと照合する、ことを特徴とする請求項１１に記載の情報処理制御装置。
13. 　前記一方向性の通信路は、
    　放送局からの放送波、及び、
    　一方向性のゲートウェイ
    　の一方または両方を含む、ことを特徴とする請求項９乃至１２のいずれか１項に記載の情報処理制御装置。
14. 　情報通信装置と、
    　情報処理制御装置と、
    　を備え、
    　予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第１端末と第２端末がそれぞれ送信する第１情報と第２情報のうち、
    　前記第１情報は、第１通信路を介して、前記情報処理制御装置に送信され、
    　前記情報通信装置は、前記第２端末から前記第２情報を、第２通信路を介して、受け取り、受け取った前記第２情報を、前記の第２通信路を構成する少なくとも１つの一方向性の通信路を介して、前記情報処理制御装置に送信し、
    　前記情報処理制御装置では、前記第１情報と前記第２情報に基づき、前記項目に関し照合を行い、照合結果に基づき、前記第１情報と前記第２情報の少なくとも一方に対応した処理の実行を制御する、ことを特徴とする情報通信システム。
15. 　予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ複数の端末に入力され、それぞれに入力された情報を、情報処理制御装置に向けて送信する端末であって、前記入力された情報を一方向性の通信路を含む通信路を介して前記情報処理制御装置に送信する、ことを特徴とする端末。
16. 　予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第１端末と第２端末がそれぞれ送信する第１情報と第２情報のうち、
    　前記第１情報は、第１通信路を介して、前記第１情報と前記第２情報に基づき前記項目に関する照合を行う情報処理制御装置に送信され、
    　前記第２情報を、第２通信路を介して、受け取り、
    　受け取った前記第２情報を、前記第２通信路を構成する少なくとも１つの一方向性の通信路を介して前記情報処理制御装置に送信する、ことを特徴とする情報通信方法。
17. 　予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第１端末と第２端末の一方から第１情報、前記第１端末と前記第２端末の他方から第２情報を、それぞれ第１通信路と第２通信路を介して、受け取り、
    　前記第１通信路と前記第２通信路の少なくとも一方は、少なくとも１つの一方向性の通信路を含み、
    　前記第１通信路と前記第２通信路を介して受け取った前記第１情報と前記第２情報に基づき前記項目に関して照合を行い、照合結果に基づき、前記第１情報と前記第２情報の少なくとも一方に対応した処理の実行を制御する、ことを特徴とする情報処理制御方法。
18. 　予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第１端末と第２端末の一方から第１情報、前記第１端末と前記第２端末の他方から第２情報を、それぞれ第１通信路と第２通信路を介して、受け取り、
    　前記第１通信路と前記第２通信路の少なくとも一方は、少なくとも１つの一方向性の通信路を含み、
    　前記第１通信路と前記第２通信路を介して受け取った前記第１情報と前記第２情報に基づき前記項目に関して照合を行い、照合結果に基づき、前記第１情報と前記第２情報の少なくとも一方に対応した処理の実行を制御する処理をコンピュータに実行させるプログラム。
19. 　請求項１８のプログラムを記載した記録媒体。

Images