WO2023090117A1

WO2023090117A1 - 認証システムおよび認証プログラム

Info

Publication number: WO2023090117A1
Application number: PCT/JP2022/040206
Authority: WO
Inventors: 克彦近藤
Original assignee: Ｔｅｓｎｏｌｏｇｙ株式会社
Priority date: 2021-11-17
Filing date: 2022-10-27
Publication date: 2023-05-25
Also published as: JP2023074059A

Abstract

認証システムは、電子機器の保持者の生体認証用データを入力する入力装置と、入力された保持者の生体認証用データから、保持者の生体特徴データを抽出する特徴抽出部と、電子機器から、電子機器に登録済みの正当なユーザの生体特徴データを取得する特徴データ取得部と、保持者の生体認証用データから抽出された保持者の生体特徴データと正当なユーザの生体特徴データとに基づいて生体認証を行う認証部と、を備える。

Description

認証システムおよび認証プログラム

　本発明は、本人認証の技術に関する。

　ユーザに対してサービスや機能を提供するシステムにおいて、ユーザに成りすまして第三者がそのサービスや機能を享受することがないようにするために、ユーザの本人確認を行うことがある。

　簡単な例で言えば、ユーザが自宅のドアを自動解錠させる機能を有する電子鍵システムが想定される。第三者が、ユーザ宅に侵入することを防ぐために、電子鍵システムはドアの前にいる人物がユーザ本人であることを確認する。

　本人確認のための本人認証の方法として、生体認証が用いられることがある。生体認証は、たとえば映像に含まれる顔の特徴を示す顔特徴データに基づく顔認証である。電子鍵システムは、正当なユーザの顔特徴データを保持しており、ドアの前にいる人物の顔の特徴と比較を行う。

特許第４００２１９８号公報特許第３８２７６００号公報国際公開第２０１７／０３８４８５号

　上述した電子鍵システムの例の場合、電子鍵システムで保持している顔特徴データなどの個人データが流出する恐れがあり、プライバシーの保護やセキュリティの面から問題がある。

　特許文献１は、このように本人認証に用いられる個人データの漏洩を防止することを課題としている。特許文献１の場合、認証用オブジェクト（電子機器の例）に基準個人データを保持しており、認証装置に基準個人データは保持されていない。したがって、認証装置から基準個人データが漏洩するリスクは低い。

　特許文献１では、認証の対象となる対象個人データを認証用オブジェクトで取得し、対象個人データと基準個人データを認証装置へ送り、認証装置で両者を比較する構成になっている。悪意ある第三者にとって、見せかけとして基準個人データと同じ対象個人データを生成することは容易である。つまり、適当な基準個人データをコピーすれば、偽の対象個人データとなる。悪意ある第三者が、認証用オブジェクトの通信インターフェースを模した偽造装置を用意して、対となる偽の基準個人データと偽の対象個人データを送り付ければ、何の問題もなく認証成功に導くことができてしまう。このように、特許文献１の技術は、セキュリティのレベルが低い。

　本発明は、上記課題認識に基づいて完成された発明であり、その主たる目的は、高いセキュリティレベルを確保しつつ、本人認証におけるユーザの生体特徴データの流出を防ぐことである。

　本発明のある態様における認証システムは、電子機器の保持者の生体認証用データを入力する入力装置と、入力された保持者の生体認証用データから、保持者の生体特徴データを抽出する特徴抽出部と、電子機器から、電子機器に登録済みの正当なユーザの生体特徴データを取得する特徴データ取得部と、保持者の生体認証用データから抽出された保持者の生体特徴データと正当なユーザの生体特徴データとに基づいて生体認証を行う認証部と、を備えることを特徴とする。

　本発明の別の態様における認証システムは、電子機器の正当なユーザの生体認証用データを入力する入力装置と、正当なユーザの生体認証用データから、正当なユーザの生体特徴データを抽出する特徴抽出部と、正当なユーザの生体特徴データを電子機器に登録させる特徴データ提供部と、を備えることを特徴とする。

　本発明によれば、高いセキュリティレベルを確保しつつ、本人認証におけるユーザの生体特徴データの流出を防ぐことができる。

実施形態１における電子鍵システムの概要を示す図である。実施形態１における認証装置の機能ブロック図である。実施形態１におけるスマートフォン端末の機能ブロック図である。実施形態１における初期設定のシーケンスを示す図である。実施形態１における自動解錠のシーケンスを示す図である。変形例１における電子鍵システムの概要を示す図である。変形例１における認証装置の機能ブロック図である。変形例１における受付装置の機能ブロック図である。変形例１における初期設定のシーケンスを示す図である。変形例２における電子鍵システムの概要を示す図である。図１１（Ａ）は、変形例２における認証装置の機能ブロック図である。図１１（Ｂ）は、変形例２におけるスマートフォン端末の機能ブロック図である。変形例２における初期設定のシーケンスを示す図である。変形例２における自動解錠（初回）のシーケンスを示す図である。変形例２における自動解錠（２回目以降）のシーケンスを示す図である。変形例３における電子鍵システムの概要を示す図である。図１６（Ａ）は、変形例３における認証装置の機能ブロック図である。図１６（Ｂ）は、変形例３における受付装置の機能ブロック図である。変形例３において宿泊客のスマートフォン端末ＩＤを取得するシーケンスを示す図である。変形例３における自動解錠のシーケンスを示す図である。変形例４における電子鍵システムの概要を示す図である。図２０（Ａ）は、変形例４における自宅の認証装置の機能ブロック図である。図２０（Ｂ）は、変形例４における会社の認証装置の機能ブロック図である。図２０（Ｃ）は、変形例４におけるスマートフォン端末の機能ブロック図である。自宅の認証装置における自動解錠のシーケンスを示す図である。会社の認証装置における自動解錠のシーケンスを示す図である。変形例５における電子鍵システムの概要を示す図である。図２４（Ａ）は、変形例５における認証装置の機能ブロック図である。図２４（Ｂ）は、変形例５におけるスマートフォン端末の機能ブロック図である。変形例５における自動解錠のシーケンスを示す図である。変形例６における電子鍵システムの構成を示す図である。実施形態２における認証システムの概要を示す図である。実施形態２における生体情報登録のシーケンスを示す図である。実施形態２におけるサービス開始時のシーケンスを示す図である。変形例７における生体情報登録のシーケンスを示す図である。変形例８における解錠始時のシーケンスを示す図である。変形例９における解錠時のシーケンスを示す図である。変形例１２における対象機器のメニュー画面図である。変形例１２における家電製品のメニュー画面図である。

［実施形態１］
　図１は、実施形態１における電子鍵システムの概要を示す図である。
　利用者が玄関のドア３０６を開けて、自宅に入ろうとするシーンを想定する。利用者は、自らが使用するスマートフォン端末１００を保持している。実施形態１における電子鍵システムは、その場でスマートフォン端末１００を保持している者が、スマートフォン端末１００の正当なユーザであることを確認する本人認証システムの例である。

　玄関の前には、認証装置２００が設置されている。認証装置２００は、利用者の生体特徴データを用いて利用者の認証を行う。生体特徴データとは、人物の特徴を示し生体認証において比較元となるデータである。ここでは、人物の顔の特徴を示す顔特徴データを用いる例を示す。他の生体特徴データの例については、変形例で後述する。認証装置２００は、近距離無線通信装置３００、カメラ３０２およびロック装置３０４と接続している。接続方法は、有線でも無線でもよい。ただし、第三者の介入を防ぐために、認証装置２００とカメラ３０２は、有線で接続することが望ましい。認証装置２００は、近距離無線通信装置３００を内蔵してもよい。また、認証装置２００は、カメラ３０２を内蔵してもよい。このように、玄関のドア３０６付近に、認証装置２００、近距離無線通信装置３００、カメラ３０２およびロック装置３０４を含む電子鍵システムが設置されている。

　利用者が玄関に近づくと、スマートフォン端末１００と近距離無線通信装置３００は、互いを検知して通信を開始する。スマートフォン端末１００には、利用者の顔特徴データが暗号化された状態で格納されている。認証装置２００は、近距離無線通信装置３００を介してスマートフォン端末１００から暗号化されている顔特徴データを取得して、復号する。また、認証装置２００は、カメラ３０２で撮影された映像からドア３０６の前にいる利用者の顔の特徴データを抽出する。映像から抽出された顔の特徴データが、復号された顔特徴データと合致する場合に、認証装置２００は、顔認証が成功（ＯＫ）であると判定して、ロック装置３０４を制御して解錠させる。顔認証の成功（ＯＫ）は、ドア３０６を開ける権限を有する利用者が自らのスマートフォン端末１００を保持していることを意味する。

　認証装置２００は、当該認証装置２００でのみ使用する暗号鍵、つまり認証装置２００の固有の暗号鍵を使用する。この例における暗号鍵は、認証装置２００の外部に出されない。暗号鍵とは、データの暗号化や復号を行う際に、アルゴリズムに与えられる秘密のコードである。従って、復号において使用される鍵も、暗号鍵と呼ばれる。暗号鍵については、製造段階で認証装置２００が予め記憶するようにしてもよいし、運用段階で認証装置２００が、外部装置からの伝送で共通鍵を受け付けて記憶するようにしてもよい。この例における暗号鍵は、共通鍵暗号方式（対称鍵暗号方式）による共通鍵である。つまり、暗号化用の鍵と復号用の鍵が同じである。但し、後述するように公開鍵暗号方式（非対称鍵暗号方式）を採用して、暗号化用と復号用として別々の鍵を用いるようにしてもよい。この例では、認証装置２００のみが暗号鍵を保持し、スマートフォン端末１００は暗号鍵を保持しない。つまり、スマートフォン端末１００は、暗号化の処理も復号の処理も行わない。

　一方、映像から抽出された顔特徴データが、復号された顔特徴データと合致しない場合に、認証装置２００は、顔認証が不成功（ＮＧ）であるとする。この場合には、認証装置２００は、ロック装置３０４を解錠させない。顔認証の不成功（ＮＧ）は、ドア３０６を開ける権限を有する利用者以外の第三者がスマートフォン端末１００を保持していることを意味する。つまり、スマートフォン端末１００を盗用した者が、玄関に近づいても解錠されない。したがって、スマートフォン端末１００を紛失したとしても、スマートフォン端末１００を拾った第三者が利用者に成りすまして、ユーザ宅のドア３０６のロック装置３０４を解錠させることはできない。なお、同居人にスマートフォン端末１００を貸した場合にも、顔認証が不成功（ＮＧ）となるのでドア３０６は開かない。

　認証装置２００は、固有の暗号鍵を保持している。スマートフォン端末１００で保持されている顔特徴データは、この暗号鍵を用いて暗号化されたものである。つまり、前提として、認証装置２００で利用者が解錠する権限を有することを確認した上で、利用者を撮影しその映像から抽出された顔特徴データが固有の暗号鍵で暗号化されて、スマートフォン端末１００に付与されている。また、暗号化されている顔特徴データの復号にも、この暗号鍵が用いられる。

　固有の暗号鍵とは、その認証装置２００のみで使用される専用の暗号鍵である。固有の暗号鍵は、他の認証装置２００と共有されない秘密鍵である。つまり、同種の認証装置２００が複数存在しても、それぞれ独自の暗号鍵を使用する。例えば、複数のドアに同種の認証装置２００が設置されている場合に、認証装置２００毎に異なる暗号鍵が使用される。利用者が勘違いで隣のドアに近づいたとしても、暗号化された顔特徴データは復号されないので解錠されない。また、顔特徴データを盗もうとする者が、不正のために用意した認証装置の前にターゲットの人物を誘導して、暗号化されている顔特徴データを不正に得たとしても、本来の暗号鍵（その人物が使用している認証装置２００の固有の暗号鍵）がわからないので復号できず、顔特徴データを入手することはできない。さらに、他人に成り済まして不正を行おうと考えている者が、自身が用意した認証装置で、自らの顔画像を暗号化して他の認証装置で使用できる顔特徴データを偽造しようとする行為も防止できる。仮に一つの認証装置２００における暗号鍵が流出したとしても、他の認証装置２００に被害が及ばないという面もある。このように、固有の暗号鍵を用いることによって、高いセキュリティが担保されるとともに、顔特徴データの流出を防止することができる。

　図２は、実施形態１における認証装置２００の機能ブロック図である。
　認証装置２００の各構成要素は、ＣＰＵ（Central Processing Unit）および各種コプロセッサ（Coprocessor）などの演算器、メモリやストレージといった記憶装置、それらを連結する有線または無線の通信線を含むハードウェアと、記憶装置に格納され、演算器に処理命令を供給するソフトウェアによって実現される。コンピュータプログラムは、デバイスドライバ、オペレーティングシステム、それらの上位層に位置する各種アプリケーションプログラム、また、これらのプログラムに共通機能を提供するライブラリによって構成されてもよい。図示した各ブロックは、ハードウェア単位の構成ではなく、機能単位のブロックを示している。各ブロックは、記憶装置に記憶されているプログラムを演算器に実行させることによって実現してもよい。スマートフォン端末１００や後述する受付装置４００など装置の場合も同様である。

　認証装置２００は、ユーザインターフェース処理部２１０、データ格納部２４０、近距離無線通信部２５０、およびデータ処理部２８０を含む。ユーザインターフェース処理部２１０は、認証装置２００が備えるディスプレイとタッチセンサを一体としたタッチパネルなどを介したユーザインターフェース処理を担当する。データ格納部２４０は各種データを格納する。データ格納部２４０は、たとえば、ＲＡＭ、ＲＯＭ、フラッシュメモリ、ＳＳＤ（Solid State Device）、ハードディスク、その他の記憶デバイス又はそれらを適宜組み合わせて実現される。近距離無線通信部２５０は、近距離無線通信処理を担当する。データ処理部２８０は、ユーザインターフェース処理部２１０により入力されたデータ、近距離無線通信部２５０により取得されたデータおよびデータ格納部２４０に格納されているデータに基づいて各種処理を実行する。データ処理部２８０は、ユーザインターフェース処理部２１０、データ格納部２４０、および近距離無線通信部２５０のインターフェースとしても機能する。

　ユーザインターフェース処理部２１０は、ユーザの操作によってデータを入力する入力部２２０とユーザへ提供するデータを出力する出力部２３０を有する。

　データ処理部２８０は、パスワード認証部２８１、映像取得部２８２、特徴抽出部２８３、暗号化部２８４、特徴データ提供部２８５、特徴データ取得部２８６、復号部２８７、人物認証部２８８およびロック制御部２８９を有する。
　パスワード認証部２８１は、パスワード認証を行う。映像取得部２８２は、カメラ３０２から利用者を写した映像を取得する。特徴抽出部２８３は、映像から利用者の顔特徴データを抽出する。暗号化部２８４は、顔特徴データを暗号化する。以下では、暗号化された顔特徴データを「顔特徴データ（暗号化）」と記す。特徴データ提供部２８５は、スマートフォン端末１００へ顔特徴データ（暗号化）を提供し、保持させる。つまり、特徴データ提供部２８５は、スマートフォン端末１００に正当なユーザの特徴データ（暗号化）を登録させる。特徴データ取得部２８６は、スマートフォン端末１００から顔特徴データ（暗号化）を取得する。復号部２８７は、顔特徴データ（暗号化）を復号する。人物認証部２８８は、人物の認証（たとえば、顔認証）を行う。ロック制御部２８９は、ロック装置３０４を制御して解錠および施錠を行わせる。

　格納部２４０は、固有の暗号鍵を格納する。具体的には、共通鍵暗号方式（対称鍵暗号方式）の場合には、共通鍵が格納部２４０に格納される。公開鍵暗号方式（非対称鍵暗号方式）の場合には、対となる暗号化用の鍵と復号用の鍵が格納部２４０に格納される。

　近距離無線通信部２５０は、スマートフォン端末１００との近距離無線通信を制御する。近距離無線通信部２５０は、送信部２６０と受信部２７０を有する。送信部２６０は、近距離無線通信によって各種データを送信する。受信部２７０は、近距離無線通信によって各種データを受信する。この実施形態１で、送信部２６０は、生体特徴データの暗号化および復号に用いられる固有の暗号鍵を送信しない。つまり、認証装置２００は、格納部２４０に格納され、暗号化部２８４および復号部２８７で使用される固有の暗号鍵を外部に出力しない。従って、固有の暗号鍵は、秘匿される。

　図３は、実施形態１におけるスマートフォン端末１００の機能ブロック図である。
　スマートフォン端末１００は、ユーザインターフェース処理部１１０、データ処理部１８０、データ格納部１４０、近距離無線通信部１５０およびネットワーク通信部１５５を含む。ユーザインターフェース処理部１１０は、タッチパネルなどを介してユーザからの操作を受け付けるほか、画像表示や音声出力など、ユーザインターフェース処理を担当する。近距離無線通信部１５０は、近距離無線通信処理を担当する。ネットワーク通信部１５５は、ネットワークを介した通信処理を担当する。データ格納部１４０は各種データを格納する。データ処理部１８０は、ユーザインターフェース処理部１１０により入力されたデータ、ネットワーク通信部１５５および近距離無線通信部１５０により取得されたデータおよびデータ格納部１４０に格納されているデータに基づいて各種処理を実行する。データ処理部１８０は、ユーザインターフェース処理部１１０、データ格納部１４０、近距離無線通信部１５０およびネットワーク通信部１５５のインターフェースとしても機能する。

　ユーザインターフェース処理部１１０は、ユーザによる操作入力を受け付ける入力部１２０と、ユーザに情報提示を行う出力部１３０とを含む。
　入力部１２０は、受付部１２２を含む。受付部１２２は、利用者の操作を受け付ける。出力部１３０は、表示処理部１３２を含む。表示処理部１３２は、スマートフォン端末１００のディスプレイに画面やメッセージなどを表示させる処理を行う。

　データ処理部１８０は、特徴データ取得部１８１と特徴データ提供部１８２を有する。特徴データ取得部１８１は、認証装置２００から顔特徴データ（暗号化）を取得して保持する処理を行う。つまり、特徴データ取得部１８１は、正当なユーザの顔特徴データ（暗号化）をスマートフォン端末１００のデータ格納部１４０に登録する。登録された正当なユーザの顔特徴データ（暗号化）は、スマートフォン端末１００に登録済みの生体特徴データの例である。特徴データ提供部１８２は、登録された正当なユーザの顔特徴データ（暗号化）を認証装置２００に提供する。

　データ格納部１４０は、特徴データ記憶部１４１を有する。特徴データ記憶部１４１は、顔特徴データ（暗号化）を記憶する。特徴データ記憶部１４１は、不揮発性の記憶装置の領域を用いる。

　近距離無線通信部１５０は、近距離無線通信を制御する。近距離無線通信部１５０は、送信部１６０と受信部１７０を有する。送信部１６０は、近距離無線通信によって各種データを送信する。受信部１７０は、近距離無線通信によって各種データを受信する。

　ネットワーク通信部１５５は、ネットワーク（ＬＡＮ（Local Area Network）、移動体通信網およびインターネットなど）を介した通信を行う。ネットワーク通信部１５５は、送信部１６５と受信部１７５を有する。送信部１６５は、ネットワーク通信によって各種データを送信する。受信部１７５は、ネットワーク通信によって各種データを受信する。

　図４は、実施形態１における初期設定のシーケンスを示す図である。まず、前提として、スマートフォン端末１００に顔特徴データ（暗号化）を付与するための初期設定モードの動作について説明する。

　利用者が玄関に近づいたことにより、スマートフォン端末１００が近距離無線通信装置３００に接近すると、スマートフォン端末１００の近距離無線通信部１５０と認証装置２００の近距離無線通信部２５０は、コネクションを確立させる（Ｓ１０）。近距離無線通信の手段として、ＮＦＣ（Near field communication）として普及している既存の技術を用いてもよい。

　コネクションが確立されると、表示処理部１３２は、初期設定画面を表示する（Ｓ１２）。初期設定画面は、スマートフォン端末１００の初期設定を行うための画面である。受付部１２２は、初期設定画面において利用パスワードを受け付ける（Ｓ１４）。利用パスワードは、利用者が解錠する権限を有することを確認するためのパスワードである。利用パスワードは、予め入居者（利用者）へ通知されているものとする。利用パスワードを、初期設定モードに移るための管理者パスワードと捉えてもよい。

　続いて、受付部１２２が、初期設定画面の利用開始ボタンのタッチ操作によって利用開始要求を受け付けると（Ｓ１６）、スマートフォン端末１００の送信部１６０は、利用パスワードを認証装置２００へ送信し、認証装置２００の受信部２７０は、利用パスワードを受信する（Ｓ１８）。パスワード認証部２８１は、利用パスワードの認証を行う（Ｓ２０）。利用パスワードが誤っていれば、この段階で処理を終える。利用パスワードが正しければ、処理を続行する。

　認証装置２００の映像取得部２８２は、カメラ３０２で撮影された利用者の映像を取得する（Ｓ２２）。特徴抽出部２８３は、映像に含まれる顔領域を判別し、その顔領域の画像に基づいて顔特徴データを生成する（Ｓ２４）。暗号化部２８４は、生成された顔特徴データを自ら保持する固有の暗号鍵を用いて暗号化する（Ｓ２６）。

　認証装置２００の特徴データ提供部２８５は、顔特徴データ（暗号化）をスマートフォン端末１００へ提供し、スマートフォン端末１００の特徴データ取得部１８１は、認証装置２００から顔特徴データ（暗号化）を取得する（Ｓ２８）。具体的には、認証装置２００の送信部２６０は、顔特徴データ（暗号化）を送信し、スマートフォン端末１００の受信部１７０が、顔特徴データ（暗号化）を受信する。この近距離無線通信を用いたデータ伝送の仕組みとして、直接の通信のほかネットワークドライブを介した通信であってもよい。ネットワークドライブであれば、所定のディレクトリの所定のファイルとして顔特徴データ（暗号化）が書き込まれる。なお、近距離無線通信を用いたデータ伝送は、セキュア通信であることが望ましい。

　ここでは、解錠を制御する認証装置２００において顔特徴データ（暗号化）を生成して、スマートフォン端末１００へ提供する例を示しているが、認証装置２００以外の装置において顔特徴データ（暗号化）を生成して、スマートフォン端末１００へ提供するようにしてもよい。たとえば、後述する変形例１では、受付装置において顔特徴データ（暗号化）を生成して、スマートフォン端末１００へ提供する（図９参照）。

　スマートフォン端末１００の特徴データ記憶部１４１は、受信した顔特徴データ（暗号化）を格納する（Ｓ３０）。表示処理部１３２は、電子鍵システムの初期設定が完了して利用を開始したことを知らせる開始通知画面を表示する（Ｓ３２）。その後、スマートフォン端末１００が認証装置２００から離れ、両者の間が通信可能な所定距離よりも広がると、スマートフォン端末１００の近距離無線通信部１５０と認証装置２００の近距離無線通信部２５０とのコネクションは、切断される（Ｓ３４）。

　図５は、実施形態１における自動解錠のシーケンスを示す図である。次に、通常モードにおける自動解錠の動作について説明する。

　利用者が玄関に近づいたことにより、スマートフォン端末１００の近距離無線通信部１５０と認証装置２００の近距離無線通信部２５０は、コネクションを確立させる（Ｓ４０）。

　認証装置２００の特徴データ取得部２８６は、コネクションが確立すると自動的にスマートフォン端末１００から顔特徴データ（暗号化）を取得する。スマートフォン端末１００の特徴データ提供部１８２は、特徴データ記憶部１４１に記憶している顔特徴データ（暗号化）を認証装置２００に提供する（Ｓ４２）。具体的には、スマートフォン端末１００の送信部１６０は、顔特徴データ（暗号化）を送信し、認証装置２００の受信部２７０は、顔特徴データ（暗号化）を受信する。ネットワークドライブであれば、所定のディレクトリの所定のファイルとして顔特徴データ（暗号化）が読み込まれる。特徴データ取得部２８６が顔特徴データ（暗号化）を取得できない場合には、認証装置２００は処理を終え、解錠されない。このとき、例えば、顔特徴データ（暗号化）をスマートフォン端末１００に登録するための操作を行うよう利用者に促してもよい。

　認証装置２００の復号部２８７は、受信した顔特徴データ（暗号化）を固有の暗号鍵を用いて復号する（Ｓ４４）。復号部２８７が顔特徴データ（暗号化）を復号できない場合には、認証装置２００は処理を終え、解錠されない。認証装置２００の映像取得部２８２は、カメラ３０２で撮影された利用者の映像を取得する（Ｓ４６）。そして、人物認証部２８８は、顔認証処理を行う（Ｓ４８）。具体的には、人物認証部２８８は、映像に含まれる顔領域を判別し、その顔領域の画像に基づいて顔特徴データを生成する。生成された顔特徴データが復号された顔特徴データと合致する場合に、顔認証（人物認証の例）を成功（ＯＫ）とする。認証処理は、従来技術と同様でよい。顔認証が不成功（ＮＧ）である場合には、認証装置２００は処理を終え、解錠されない。

　顔認証が成功（ＯＫ）であると、ロック制御部２８９は、ロック装置３０４に対して解錠を指示する（Ｓ５０）。これに応じて、ロック装置３０４は解錠する。

　認証装置２００の送信部２６０は、解錠通知を送信し、スマートフォン端末１００の受信部１７０は、解錠通知を受信する（Ｓ５２）。スマートフォン端末１００が解錠通知を受信すると、表示処理部１３２は、解錠通知画面を表示させる（Ｓ５４）。解錠通知画面には、解錠された旨が表示される。スマートフォン端末１００は、解錠通知の音を出力してもよい。解錠通知画面の表示は、省いてもよい。

　スマートフォン端末１００が認証装置２００から離れ、両者の間が通信可能な所定距離よりも広がると、スマートフォン端末１００の近距離無線通信部１５０と認証装置２００の近距離無線通信部２５０のコネクションは、切断される（Ｓ５６）。コネクションが切断されると、ロック制御部２８９は、ロック装置３０４に対して施錠を指示する（Ｓ５８）。これに応じて、ロック装置３０４は施錠する。従って、利用者が外出した場合に、自動的に施錠される。また、利用者が住宅内に入って、玄関から離れた場合にも、自動的に施錠される。解錠時点から一定時間が経過したときに、ロック制御部２８９がロック装置３０４に対して施錠を指示し、自動的に施錠されるようにしてもよい。認証装置２００のモード制御部（不図示）が、自動解錠と自動施錠を行う自動モードと、自動解錠と自動施錠を行わない非自動モードを切り替るようにしてもよい。たとえば、利用者が家の中に入って所定の時間が経過した後に自動モードから非自動モードに切り替え、外出した際に非自動モードから自動モードに切り替えるようにしてもよい。ユーザが自宅内にいるか、外出しているかは、認証装置２００のモード制御部（不図示）が、ＧＰＳ（Global Positioning System）機能によって検出されるスマートフォン端末１００の位置情報を、スマートフォン端末１００から取得して、その位置情報に基づいて判定することができる。

　スマートフォン端末１００の近距離無線通信部１５０がコネクションの切断を検出すると、表示処理部１３２は、便宜的に施錠通知画面を表示させる（Ｓ６２）。施錠通知画面には、施錠された旨が表示される。コネクションが切断されると自動的に施錠されるので、施錠されたものとみなして処理を行っても問題ない。スマートフォン端末１００は、施錠通知の音を出力してもよい。この動作により、利用者は玄関から離れたところでも施錠されたことを確認できる。施錠通知画面の表示は、省いてもよい。

　実施形態１では、共通鍵暗号方式（対称鍵暗号方式）による共通鍵を暗号鍵として用いることが考えられる。暗号鍵は、認証装置２００の外に持ち出されないので、第三者の手に渡ることはない。したがって、暗号鍵を用いた生体特徴データ（暗号化）の偽造や不正な復号による生体特徴データの搾取が起きるリスクは極めて小さい。公開鍵暗号方式（非対称鍵暗号方式）を採用してもよいが、共通鍵暗号方式の方が、処理速度が速いので利用者が解錠を待つ時間が短くなる。

　自宅の玄関のドア３０６の例を示したが、実施形態１の仕組みを会社のドア３０６などに適用してもよい。

　上述のように、認証装置２００がサーバと連携することなく、単独で認証動作を完了できるようにした。つまり、認証装置２００は、単にゲートウェイとして機能する。認証するシステム側で、顔特徴データなどの個人情報を保持しないので、個人情報が流出する心配がない。これにより、プライバシーの保護が図られ、セキュリティも向上する。

［変形例１］
　ホテルの客室に電子鍵システムを応用する例について説明する。この例では、利用期間（宿泊期間）に限って、宿泊客である利用者が、客室のドア３０６を自動的に解錠できるようにする。

　図６は、変形例１における電子鍵システム５００ａの概要を示す図である。
　ホテルは、客室Ａと客室Ｂなどの複数の客室を有する。また、ホテルは、利用者がチェックインおよびチェックアウトの手続きを行うための受付カウンターを有する。

　客室Ａのドア３０６付近には、近距離無線通信装置３００ａ、ロック装置３０４ａ、カメラ３０２ａおよび認証装置２００ａを含む電子鍵システム５００ａが設置され、客室Ｂのドア３０６付近には、近距離無線通信装置３００ｂ、ロック装置３０４ｂ、カメラ３０２ｂおよび認証装置２００ｂを含む電子鍵システム５００ｂが設置されている。また、受付カウンターには、近距離無線通信装置３００ｓとカメラ３０２ｓを接続している受付装置４００が設けられている。客室Ａの認証装置２００ａと客室Ｂの認証装置２００ｂと受付装置４００は、ＬＡＮを介して接続されている。受付装置４００とカメラ３０２ｓは、第三者の介入を防ぐために有線で接続することが望ましい。このように、近距離無線通信装置３００ｓ、カメラ３０２ｓおよび受付装置４００を含む受付システム５０２と、各客室の電子鍵システム５００は、ＬＡＮを介して接続される統合システム５０４を構成している。

　受付カウンターにおいて利用者がチェックインするときに、利用者のスマートフォン端末１００に対する初期設定を行う。受付装置４００において生体特徴データ（暗号化）を生成して利用者のスマートフォン端末１００に付与する。生体特徴データの暗号化および復号に用いられる暗号鍵は、認証装置２００ａ，２００ｂの固有のものであって、客室によって異なる。客室毎の暗号鍵は、その客室に宿泊客が割り当てられる都度更新される。したがって、前日に宿泊していた者が、宿泊期間を過ぎてから入室することはない。客室Ａに宿泊客を割り当てる場合に、受付装置４００は、認証装置２００ａの暗号鍵を生成し、認証装置２００ａへ伝送する。同様に、客室Ｂに宿泊客を割り当てる場合に、受付装置４００は、認証装置２００ｂの暗号鍵を生成し、認証装置２００ｂへ伝送する。図示するように、受付装置４００は、部屋番号と対応付けて暗号鍵を保持する暗号鍵管理データを有している。認証装置２００ａ，２００ｂは、受付装置４００から受け取った暗号鍵を用いて、利用者のスマートフォン端末１００から得られる生体特徴データ（暗号化）を復号して、利用者の顔認証を行う。

　図７は、変形例１における認証装置２００ａ，２００ｂの機能ブロック図である。
　変形例１で追加される機能ブロックを示す。データ格納部２４０は、暗号鍵記憶部２４１を有する。暗号鍵記憶部２４１は、暗号鍵を記憶する。暗号鍵記憶部２４１は、不揮発性の記憶装置の領域を用いる。

　ネットワーク通信部２５５は、ネットワーク（ＬＡＮおよびインターネットなど）を介した通信を行う。ネットワーク通信部２５５は、送信部２６５と受信部２７５を有する。送信部２６５は、ネットワーク通信によって各種データを送信する。受信部２７５は、ネットワーク通信によって各種データを受信する。

　図８は、変形例１における受付装置４００の機能ブロック図である。
　ユーザインターフェース処理部４１０は、入力部４２０と出力部４３０を有する。入力部４２０は、受付部４２２を有する。受付部４２２は、ユーザ操作を受け付ける。出力部４３０は、表示処理部４３２を有する。表示処理部４３２は、受付装置４００のディスプレイに画面やメッセージなどを表示させる処理を行う。

　データ処理部４８０は、暗号鍵生成部４８１、映像取得部４８２、特徴抽出部４８３、暗号化部４８４及び特徴データ提供部４８５を有する。
　暗号鍵生成部４８１は、暗号鍵を生成する。共通鍵暗号方式（対称鍵暗号方式）の場合には、共通鍵を生成する。公開鍵暗号方式（非対称鍵暗号方式）の場合には、暗号化用の秘密鍵と復号用の公開鍵を生成する。映像取得部４８２は、カメラ３０２ｓから利用者を写した映像を取得する。特徴抽出部４８３は、映像から利用者の顔特徴データを抽出する。暗号化部４８４は、顔特徴データを暗号化する。特徴データ提供部４８５は、スマートフォン端末１００へ顔特徴データ（暗号化）を提供し、保持させる。つまり、特徴データ提供部４８５は、スマートフォン端末１００に正当なユーザの生体特徴データ（暗号化）を登録させる。

　データ格納部４４０は、暗号鍵管理データ記憶部４４１を有する。暗号鍵管理データ記憶部４４１は、暗号鍵管理データを記憶する。暗号鍵管理データ記憶部４４１は、不揮発性の記憶装置の領域を用いる。

　近距離無線通信部４５０は、近距離無線通信を制御する。近距離無線通信部４５０は、送信部４６０と受信部４７０を有する。送信部４６０は、近距離無線通信によって各種データを送信する。受信部４７０は、近距離無線通信によって各種データを受信する。

　ネットワーク通信部４５５は、ネットワーク（ＬＡＮおよびインターネットなど）を介した通信を行う。ネットワーク通信部４５５は、送信部４６５と受信部４７５を有する。送信部４６５は、ネットワーク通信によって各種データを送信する。受信部４７５は、ネットワーク通信によって各種データを受信する。

　図９は、変形例１における初期設定のシーケンスを示す図である。
　チェックインのときに、宿泊する利用者に客室が割り当てられる。受付部４２２は、受付員による部屋番号の入力を受け付ける（Ｓ７０）。暗号鍵生成部４８１は、部屋番号で特定される客室に対応する新たな暗号鍵を生成し、暗号鍵管理データを更新する（Ｓ７２）。受付装置４００の送信部４６５は、新たな暗号鍵をその客室の認証装置２００ａ，２００ｂへ送信する（Ｓ７４）。認証装置２００ａ，２００ｂの受信部２７５が新たな暗号鍵を受信すると、暗号鍵記憶部２４１は、それまで記憶していた暗号鍵に替えて新たな暗号鍵を記憶する（Ｓ７６）。

　受付員の指示に従って、利用者がスマートフォン端末１００を近距離無線通信装置３００ｓに近づけると、スマートフォン端末１００の近距離無線通信部１５０と受付装置４００の近距離無線通信部４５０は、コネクションを確立させる（Ｓ７８）。

　受付装置４００の映像取得部４８２は、カメラ３０２ｓで撮影された利用者の映像を取得する（Ｓ８０）。特徴抽出部４８３は、映像に含まれる顔領域を判別し、その顔領域の画像に基づいて顔特徴データを生成する（Ｓ８２）。暗号化部４８４は、生成された顔特徴データを、利用者に割り当てられた客室に対応する暗号鍵を用いて暗号化する（Ｓ８４）。

　受付装置４００の特徴データ提供部４８５は、顔特徴データ（暗号化）をスマートフォン端末１００へ提供し、保持させる。つまり、特徴データ提供部４８５は、スマートフォン端末１００に正当なユーザの生体特徴データ（暗号化）を登録させる。スマートフォン端末１００の特徴データ取得部１８１は、顔特徴データ（暗号化）を取得する（Ｓ８６）。具体的には、受付装置４００の送信部４６０は、顔特徴データ（暗号化）を送信し、スマートフォン端末１００の受信部１７０が、顔特徴データ（暗号化）を受信する。この近距離無線通信を用いたデータ伝送の仕組みについては、認証装置２００の場合と同様である。

　スマートフォン端末１００の特徴データ記憶部１４１は、受信した顔特徴データ（暗号化）を記憶する（Ｓ８８）。表示処理部１３２は、電子鍵システム５００ａの初期設定が完了したことを知らせる開始通知画面を表示する（Ｓ９０）。そして、スマートフォン端末１００が受付装置４００から離れ、両者の間が通信可能な所定距離よりも広がると、スマートフォン端末１００の近距離無線通信部１５０と受付装置４００の近距離無線通信部４５０とのコネクションは切断される（Ｓ９２）。

　自動解錠のシーケンスは、実施形態１の場合（図５）と同様である。

　なお、利用者のスマートフォン端末１００に顔特徴データ（暗号）と暗号鍵が保持されており、前もってスマートフォン端末１００から受付装置４００へ暗号鍵を送るようにする場合には、図９で説明した初期設定を省いてもよい。その場合には、客室利用の開始時点において、客室の認証装置２００において宿泊客の暗号鍵を保持しておくようにすればよい。つまり、客室利用の開始までに、Ｓ７４とＳ７６に示した処理を行う。このようにすれば、チェックインにおける初期設定を行わなくても、自動解錠が可能となる。スマートフォン端末１００から受付装置４００へ暗号鍵の伝送する際には、暗号鍵を暗号化することが望ましい。暗号鍵の流出を防ぐためである。

［変形例２］
　スマートフォン端末１００に保持されている顔特徴データ（暗号化）を複数の認証装置２００において共用して、それぞれの認証装置２００が同一の利用者に関する認証を個別に行ってもよい。

　図１０は、変形例２における電子鍵システムの概要を示す図である。
　自宅のドア３０６の電子鍵システム５００ｃ（近距離無線通信装置３００ｃ、カメラ３０２ｃ、ロック装置３０４ｃおよび認証装置２００ｃを含む）と同様に、会社のドア３０６にも電子鍵システム５００ｄ（近距離無線通信装置３００ｄ、カメラ３０２ｄ、ロック装置３０４ｄおよび認証装置２００ｄを含む）が設置されている。但し、自宅の電子鍵システム５００ｃと会社の電子鍵システム５００ｄの間で通信を行う必要はない。つまり、ネットワーク上でデータを一括管理するシステム（たとえば、クラウドシステム）とは一線を画する。

　利用者は、自宅の電子鍵システム５００ｃを利用して自宅のドア３０６の自動解錠を行うとともに、会社の電子鍵システム５００ｄを利用して会社のドア３０６の自動解錠を行う。利用者のスマートフォン端末１００には、自宅の認証装置２００ｃから付与された顔特徴データ（暗号化）が格納されている。実施形態１で説明したように、自宅のドア３０６を開ける場合には、自宅の認証装置２００ｃで保持している暗号鍵を用いて顔特徴データ（暗号化）を復号して、顔認証を行うことが可能である。一方、会社のドア３０６を開ける場合、会社の認証装置２００ｄが、利用者の自宅で使われている暗号鍵を知らなければ、スマートフォン端末１００にある顔特徴データ（暗号化）を復号することができない。したがって、自宅の認証装置２００ｃで保持されている暗号鍵を、会社の認証装置２００ｄに伝える必要がある。

　変形例２では、自宅の認証装置２００ｃの暗号鍵をスマートフォン端末１００に保持して、会社の認証装置２００ｄからスマートフォン端末１００内に有る暗号鍵を読み取れるようにする。会社の認証装置２００ｄでは、出社してくる社員毎に異なる暗号鍵を管理する。そのため、認証装置２００ｄは、暗号鍵保存データを保持する。暗号鍵保存データには、社員のスマートフォン端末１００のＩＤ（以下、「スマートフォン端末ＩＤ」という）に、それぞれのスマートフォン端末１００から取得した暗号鍵が対応付けられている。スマートフォン端末ＩＤは、ＵＤＩＤ（Unique Device IDentifier）、製造番号、ＭＡＣアドレス（Media Access Control address）あるいはＩＰアドレス（Internet Protocol address）などでもよい。

　上述した実施形態１の例では、認証装置２００から暗号鍵が持ち出されないので、暗号鍵が悪用される心配が無くなる。これに対して、認証装置２００から暗号鍵を持ち出す形態では、暗号鍵が第三者の手に渡って悪用されることが無いように配慮する必要があった。

　変形例２では、スマートフォン端末１００から暗号鍵を収集する認証装置２００ｄで、安全に暗号鍵を管理できることを想定している。会社の電子鍵システム５００ｄを利用する社員は特定の人に限られており、比較的管理が容易であるという点と、会社側には社員との信頼関係を維持する責務がある点が根拠となっている。

　このように会社側で高い安全性を担保している場合には、認証装置２００ｄで暗号鍵を継続的に記憶していても問題ないと考えられる。むしろ、毎日出社する社員の利便性を高めるという意味で、暗号鍵を保持して認証を高速に行えるようにする方が合理的であると言える。

　図１１（Ａ）は、変形例２における認証装置２００ｄの機能ブロック図である。
　変形例２で追加される機能ブロックを示す。認証装置２００ｄのデータ処理部２８０は、端末ＩＤ取得部２９０、暗号鍵特定部２９１および暗号鍵取得部２９２を有する。
　端末ＩＤ取得部２９０は、スマートフォン端末１００からスマートフォン端末ＩＤを取得する。暗号鍵特定部２９１は、スマートフォン端末ＩＤに対応する暗号鍵を特定する。暗号鍵取得部２９２は、スマートフォン端末ＩＤから暗号鍵を取得する。

　認証装置２００ｄのデータ格納部２４０は、暗号鍵保存データ記憶部２４２を有する。暗号鍵保存データ記憶部２４２は、暗号鍵保存データを記憶する。暗号鍵保存データ記憶部２４２は、不揮発性の記憶装置の領域を用いる。

　図１１（Ｂ）は、変形例２におけるスマートフォン端末１００の機能ブロック図である。
　変形例２で追加される機能ブロックを示す。スマートフォン端末１００のデータ処理部１８０は、端末ＩＤ提供部１８３と暗号鍵提供部１８４を有する。端末ＩＤ提供部１８３は、スマートフォン端末ＩＤを認証装置２００ｄに提供する。暗号鍵提供部１８４は、暗号鍵を認証装置２００ｄへ提供する。

　スマートフォン端末１００のデータ格納部１４０は、暗号鍵記憶部１４２を有する。暗号鍵記憶部１４２は、暗号鍵を記憶する。暗号鍵記憶部１４２は、不揮発性の記憶装置の領域を用いる。

　図１２は、変形例２における初期設定のシーケンスを示す図である。
　この初期設定は、自宅の電子鍵システム５００ｃで行われる。Ｓ３０までの処理の流れは、実施形態１（図４）の場合と同様である。スマートフォン端末１００に顔特徴データ（暗号化）を記憶させた後に、認証装置２００ｃの送信部２６０は、顔特徴データ（暗号化）の復号に必要な暗号鍵（共通鍵または復号用の公開鍵）をスマートフォン端末１００へ送信する（Ｓ１００）。スマートフォン端末１００の受信部１７０が暗号鍵を受信すると、暗号鍵記憶部１４２は、受信した暗号鍵を記憶する（Ｓ１０２）。Ｓ３２以降の処理の流れは、実施形態１（図４）の場合と同様である。

　続いて、会社の電子鍵システム５００ｄの通常モードにおける自動解錠の動作について説明するが、初回と２回目以降とでは、処理の流れが異なる。当初、認証装置２００ｄは暗号鍵を知らないので、初回の処理においては、それを得る動作が必要である。暗号鍵を得た後、すなわち２回目以降の処理においては、その暗号鍵を使えばよいので、暗号鍵を得る必要が無く動作が簡単になる。

　図１３は、変形例２における自動解錠（初回）のシーケンスを示す図である。
　利用者が会社のドア３０６に近づいたことにより、スマートフォン端末１００が近距離無線通信装置３００ｄに接近すると、スマートフォン端末１００の近距離無線通信部１５０と認証装置２００ｄの近距離無線通信部２５０は、コネクションを確立させる（Ｓ１１０）。

　認証装置２００ｄの端末ＩＤ取得部２９０は、スマートフォン端末１００からスマートフォン端末ＩＤを取得する。スマートフォン端末１００の端末ＩＤ提供部１８３は、スマートフォン端末ＩＤを認証装置２００ｄに提供する（Ｓ１１２）。具体的には、スマートフォン端末１００の送信部１６０は、スマートフォン端末ＩＤを送信し、認証装置２００ｄの受信部２７０は、スマートフォン端末ＩＤを受信する。ネットワークドライブによって、スマートフォン端末ＩＤを引き渡すようにしてもよい。

　認証装置２００ｄの暗号鍵特定部２９１は、取得したスマートフォン端末ＩＤが暗号鍵保存データに設定されているか否かを判定する。暗号鍵保存データにそのスマートフォン端末ＩＤが設定されていない場合には、そのスマートフォン端末ＩＤに対応する暗号鍵も無いことになるので、暗号鍵特定部２９１は、暗号鍵未保存と判定する。（Ｓ１１４）。このように、初回のみ、暗号鍵未保存と判定される。

　暗号鍵未保存と判定された場合には、認証装置２００ｄの暗号鍵取得部２９２は、スマートフォン端末１００から暗号鍵を取得する。スマートフォン端末１００の暗号鍵提供部１８４は、暗号鍵を認証装置２００ｄへ提供する。この暗号鍵は、上述したように自宅の認証装置２００ｃから持ち出されたものである。具体的には、認証装置２００ｄの送信部２６０は、暗号鍵の要求を送信し、スマートフォン端末１００の受信部１７０は、暗号鍵の要求を受信する（Ｓ１１６）。この要求に応じて、スマートフォン端末１００の送信部１６０は、暗号鍵記憶部１４２に記憶されている暗号鍵を送信する。認証装置２００ｄの受信部２７０は、この暗号鍵を受信する（Ｓ１１８）。ネットワークドライブによって、暗号鍵を引き渡すようにしてもよい。認証装置２００ｄの暗号鍵保存データ記憶部２４２は、受信した暗号鍵をスマートフォン端末ＩＤに対応付けて暗号鍵保存データに含める（Ｓ１２０）。Ｓ４６以降の処理は、実施形態１（図５）の場合と同様である。なお、Ｓ４２で取得する顔特徴データ（暗号化）は、他の認証装置（自宅の認証装置２００ｃ）によってスマートフォン端末１００に登録された顔特徴データ（暗号化）である。

　図１４は、変形例２における自動解錠（２回目以降）のシーケンスを示す図である。Ｓ１１０とＳ１１２の処理は、図１３の場合と同様である。

　認証装置２００ｄの暗号鍵特定部２９１は、取得したスマートフォン端末ＩＤが暗号鍵保存データに設定されているか否かを判定する。具体的には、スマートフォン端末ＩＤに対応する暗号鍵が有る場合、暗号鍵保存データにそのスマートフォン端末ＩＤが設定され、暗号鍵特定部２９１は、暗号鍵保存データを参照して暗号鍵保存済みか否かを判定する。（Ｓ１３０）。このように、２回目以降の判定では、暗号鍵保存済みと判定される。

　暗号鍵保存済みと判定すると、暗号鍵特定部２９１は、スマートフォン端末ＩＤに対応付けられている暗号鍵を特定する（Ｓ１３２）。Ｓ４２以降の処理は、実施形態１（図５）の場合と同様である。なお、Ｓ４２で取得する顔特徴データ（暗号化）は、他の認証装置（自宅の認証装置２００ｃ）によってスマートフォン端末１００に登録された顔特徴データ（暗号化）である。

　変形例２のように、暗号鍵を認証装置２００ｃの外部に持ち出す態様では、公開鍵暗号方式（非対称鍵暗号方式）を採用してもよい。上述の例で、顔特徴データの暗号化を行う自宅の認証装置２００ｃで、たとえばＲＳＡ（Rivest-Shamir-Adleman cryptosystem）暗号方式による暗号化用の秘密鍵と復号用の公開鍵を生成する。自宅の認証装置２００ｃで顔特徴データを暗号化する場合には、秘密鍵が用いられる。自宅の認証装置２００ｃは、復号用の公開鍵をスマートフォン端末１００に与える。自ら生成していない顔特徴データ（暗号化）を復号する会社の認証装置２００ｄは、スマートフォン端末１００から復号用の公開鍵を取得して、その公開鍵を用いて顔特徴データ（暗号化）を復号する。このようにすれば、秘密鍵が流出することはないので、第三者が自宅の認証装置２００ｃに成り代わって顔特徴データ（暗号化）を生成するという偽造行為を阻止することができる。このように、公開鍵暗号方式（非対称鍵暗号方式）を用いれば、共通鍵暗号方式（対称鍵暗号方式）に比べてリスクを軽減することができる。

　ただし、上述のように公開鍵暗号方式（非対称鍵暗号方式）を用いるようにしても、会社の認証装置２００ｄから利用者の公開鍵が流出すれば、第三者がその利用者のスマートフォン端末１００から盗み出した顔特徴データ（暗号化）を復号して、その利用者の顔特徴データを不正に得る可能性があるというリスクは残る。もちろん、高度なセキュア技術によってスマートフォン端末１００内のデータ秘匿性や通信の安全性を高めれば、顔特徴データ（暗号化）の盗み出しを阻止することは可能である。

［変形例３］
　変形例２では、スマートフォン端末１００に保持されている顔特徴データ（暗号化）を会社の電子鍵システム５００ｄでも利用した。変形例３では、ホテルの電子鍵システム５００ｆで、同様に顔特徴データ（暗号化）を利用する例について説明する。

　図１５は、変形例３における電子鍵システムの概要を示す図である。
　自宅のドア３０６の電子鍵システム５００ｅ（近距離無線通信装置３００ｅ、カメラ３０２ｅ、ロック装置３０４ｅおよび認証装置２００ｅを含む）と同様に、ホテルの客室のドア３０６にも電子鍵システム５００ｆ（近距離無線通信装置３００ｆ、カメラ３０２ｆ、ロック装置３０４ｆおよび認証装置２００ｆを含む）が設置されている。但し、自宅の電子鍵システム５００ｅとホテルの客室の電子鍵システム５００ｆの間で通信を行う必要はない。自宅の電子鍵システム５００ｅと受付装置４００の間でも通信を行う必要はない。なお、上述したように、近距離無線通信装置３００ｓ、カメラ３０２ｓおよび受付装置４００を含む受付システム５０２と、各客室の電子鍵システム５００は、ＬＡＮを介して接続される統合システム５０４を構成している。

　客室の認証装置２００ｆが、スマートフォン端末１００から暗号鍵を取得して、スマートフォン端末１００から得られる顔特徴データ（暗号化）を復号する点は、変形例２の場合と同様である。但し、変形例３では、客室の認証装置２００ｆが宿泊客（利用者）の認証を行う際にその都度暗号鍵を取得して、復号に用いた暗号鍵をすぐに消去する。暗号鍵を毎回破棄することによって、暗号鍵が流出する可能性を極力小さくする。

　ホテルは、不特定の人によって利用される。従って、客室の認証装置２００ｆが取得する暗号鍵の数が多い。そのため、暗号鍵を安全に管理する負担は大きい。仮に暗号鍵が流出したことが判明した場合に、どの暗号鍵が流出し、どの暗号鍵が流出していないという状況の把握が難しい。一方、利用者も多数のホテルに宿泊することが想定される。利用者が自分の暗号鍵が流出していることに気づいたとしても、ホテル側から連絡が無ければ、どのホテルから流出したか突き止めることは困難である。このように、被害範囲の特定や責任の所在を明らかにすることが難しければ、うやむやとなって、電子鍵システム５００の信頼が揺らぐことになりかねない。従って、ホテルのように不特定多数の人が利用する場所に設置されている電子鍵システム５００が、スマートフォン端末１００に保持されている生体特徴データ（暗号化）を利用する場合には、変形例３のように暗号鍵が残らない手順を採用することが望ましい。

　変形例３では、客室の認証装置２００ｆにおいて、スマートフォン端末１００から提供される暗号鍵を使用するので、変形例１のように受付装置４００が客室毎に暗号鍵を生成する必要はない。但し、客室の認証装置２００ｆが宿泊客以外の第三者のスマートフォン端末１００で解錠させてしまうことは避けなければならない。そこで、受付装置４００で宿泊客のスマートフォン端末ＩＤを把握して、客室の認証装置２００ｆに適正なスマートフォン端末ＩＤとしてそれを伝えるようにする。各客室の電子鍵システム５００は、それぞれの宿泊客のスマートフォン端末１００に限って、自動解錠を行うようにする。宿泊客のスマートフォン端末ＩＤは、受付装置４００で保持する利用者端末管理データにおいて部屋番号に対応付けられる。

　また、客室の認証装置２００ｆがスマートフォン端末１００から暗号鍵を取得しようとするタイミングで、暗号鍵の提供を承認する利用者操作をスマートフォン端末１００で受け付けてから伝送することとする。利用者が暗号鍵の提供を拒む場合には、上述した変形例１による利用が可能である。

　図１６（Ａ）は、変形例３における認証装置２００ｆの機能ブロック図である。
　変形例３で追加される機能ブロックを示す。認証装置２００ｆのデータ処理部２８０は、端末判定部２９３と暗号鍵消去部２９４を有する。端末判定部２９３は、読み取ったスマートフォン端末ＩＤが予め記憶している宿泊客のスマートフォン端末ＩＤと一致するか否かを判定する。暗号鍵消去部２９４は、一時的に記憶している暗号鍵を消去する。

　認証装置２００ｆのデータ格納部２４０は、端末ＩＤ記憶部２４３と暗号鍵一時記憶部２４４を有する。端末ＩＤ記憶部２４３は、端末ＩＤを記憶する。端末ＩＤ記憶部２４３は、不揮発性の記憶装置の領域を用いる。暗号鍵一時記憶部２４４は、一時的に暗号鍵を記憶する。暗号鍵一時記憶部２４４は、揮発性の記憶装置の領域を用いてもよい。

　図１６（Ｂ）は、変形例３における受付装置４００の機能ブロック図である。
　変形例３で追加される機能ブロックを示す。受付装置４００のデータ処理部４８０は、端末ＩＤ取得部４８６を有する。端末ＩＤ取得部４８６は、スマートフォン端末１００からスマートフォン端末ＩＤを取得する。

　受付装置４００のデータ格納部４４０は、利用端末管理データ記憶部４４２を有する。利用端末管理データ記憶部４４２は、利用端末管理データを記憶する。利用端末管理データ記憶部４４２は、不揮発性の記憶装置の領域を用いる。

　自宅の電子鍵システム５００ｅにおける初期設定のシーケンスは、変形例２の場合（図１２）と同様である。

　図１７は、変形例３において宿泊客のスマートフォン端末ＩＤを取得するシーケンスを示す図である。
　変形例３では、チェックインのときに、受付装置４００が宿泊客（利用者）のスマートフォン端末１００からそのＩＤ、つまり利用者のスマートフォン端末ＩＤを取得する。

　チェックインのときに、宿泊する利用者に客室が割り当てられる。受付部４２２は、受付員による部屋番号の入力を受け付ける。受付員の指示に従って、利用者がスマートフォン端末１００を近距離無線通信装置３００ｓに近づけると、スマートフォン端末１００の近距離無線通信部１５０と受付装置４００の近距離無線通信部４５０は、コネクションを確立させる（Ｓ１４２）。

　受付装置４００の受付装置４００の端末ＩＤ取得部４８６は、スマートフォン端末１００からスマートフォン端末ＩＤを取得する。スマートフォン端末１００の端末ＩＤ提供部１８３は、スマートフォン端末ＩＤを受付装置４００に提供する（Ｓ１４４）。具体的には、スマートフォン端末１００の送信部１６０は、スマートフォン端末ＩＤを送信し、受付装置４００の受信部４７０は、スマートフォン端末ＩＤを受信する。

　受付装置４００の利用端末管理データ記憶部４４２は、取得した利用者のスマートフォン端末ＩＤを部屋番号に対応付けて利用端末管理データに含める（Ｓ１４６）。受付装置４００の送信部４６５は、利用者のスマートフォン端末ＩＤを部屋番号に対応する認証装置２００ｆへ送信する。客室の認証装置２００ｆの受信部２７５は、利用者のスマートフォン端末ＩＤを受信する（Ｓ１４８）。端末ＩＤ記憶部２４３は、利用者のスマートフォン端末ＩＤを記憶する（Ｓ１５０）。受付装置４００の送信部４６５は、部屋番号をスマートフォン端末１００へ送信する（Ｓ１５２）。スマートフォン端末１００の受信部１７５は、部屋番号を受信し、データ格納部１４０は、受信した部屋番号を記憶する（Ｓ１５４）。その後、スマートフォン端末１００が受付装置４００から離れ、両者の間が通信可能な所定距離よりも広がると、スマートフォン端末１００の近距離無線通信部１５０と受付装置４００の近距離無線通信部４５０とのコネクションは切断される（Ｓ１５６）。

　図１８は、変形例３における自動解錠のシーケンスを示す図である。
　利用者が客室のドア３０６に近づいたことにより、スマートフォン端末１００が近距離無線通信装置３００ｆに接近すると、スマートフォン端末１００の近距離無線通信部１５０と認証装置２００ｆの近距離無線通信部２５０は、コネクションを確立させる（Ｓ１６０）。

　認証装置２００ｆの端末ＩＤ取得部２９０は、スマートフォン端末１００からスマートフォン端末ＩＤを取得する。スマートフォン端末１００の端末ＩＤ提供部１８３は、スマートフォン端末ＩＤと部屋番号を認証装置２００ｆに提供する（Ｓ１６２）。具体的には、スマートフォン端末１００の送信部１６０は、スマートフォン端末ＩＤと部屋番号を送信し、認証装置２００ｆの受信部２７０は、スマートフォン端末ＩＤと部屋番号を受信する。

　端末判定部２９３は、取得した部屋番号が当該客室の部屋番号と一致するか否か、更に取得したスマートフォン端末ＩＤが、端末ＩＤ記憶部２４３に記憶されている利用者のスマートフォン端末ＩＤと一致するか否かの判定を行う（Ｓ１６４）。取得した部屋番号が当該客室の部屋番号と一致しない場合、または取得したスマートフォン端末ＩＤが利用者のスマートフォン端末ＩＤと一致しない場合は、宿泊客以外の第三者のスマートフォン端末１００が検知されたことを意味する。その場合には、認証装置２００ｆは、解錠されない。取得した部屋番号が当該客室の部屋番号と一致しない場合には、認証装置２００ｆの送信部２６０が、「部屋が違います」などのメッセージを含むエラー通知をスマートフォン端末１００へ送信するようにしてもよい。その場合、スマートフォン端末１００の受信部１７５はエラー通知を受信し、スマートフォン端末１００の表示処理部１３２は、エラー通知に含まれるメッセージをディスプレイに表示させる。

　一方、取得した部屋番号が当該客室の部屋番号と一致し、且つ取得したスマートフォン端末ＩＤが利用者のスマートフォン端末ＩＤと一致する場合には、宿泊客のスマートフォン端末１００が検知されたことを意味する。その場合には、認証装置２００ｆの暗号鍵取得部２９２が、宿泊客のスマートフォン端末１００から暗号鍵を取得する処理を行う。そのために、認証装置２００ｆの送信部２６０は、暗号鍵の要求をスマートフォン端末１００へ送信する。スマートフォン端末１００の受信部１７０が暗号鍵の要求を受信すると（Ｓ１６６）、表示処理部１３２は、認否画面を表示させる処理を行う（Ｓ１６８）。認否画面は、宿泊客（利用者）に暗号鍵提供の認否を問うための画面である。宿泊客が暗号鍵提供を拒む場合には、スマートフォン端末１００の受付部１２２が拒否の操作を受け付ける。この場合には、スマートフォン端末１００の送信部１６０が暗号鍵提供の拒否を認証装置２００ｆへ送信し、スマートフォン端末１００と認証装置２００ｆは、処理を終え、解錠されない。なお、電子メールなど他の手段によって、暗号鍵提供の認否を宿泊客（利用者）に問うようにしてもよい。

　一方、宿泊客が暗号鍵提供を認める場合には、スマートフォン端末１００の受付部１２２が承認の操作を受け付ける（Ｓ１７０）。この場合には、スマートフォン端末１００の送信部１６０は、暗号鍵記憶部１４２に記憶されている暗号鍵を送信する。認証装置２００ｆの受信部２７０は、この暗号鍵を受信する（Ｓ１７２）。暗号鍵取得部２９２は、取得した暗号鍵を暗号鍵一時記憶部２４４に一時的に記憶する（Ｓ１７４）。認証装置２００ｆの特徴データ取得部２８６は、他の認証装置（自宅の認証装置２００ｅ）によってスマートフォン端末１００に登録された顔特徴データ（暗号化）を取得する（Ｓ４２）。認証装置２００ｆの復号部２８７は、取得した顔特徴データ（暗号化）を、一時的に記憶している暗号鍵を用いて復号する。復号を終えると、暗号鍵消去部２９４は、暗号鍵一時記憶部２４４に記憶している暗号鍵を消去する（Ｓ１７６）。Ｓ４６以降の処理は、実施形態１（図５）の場合と同様である。

［変形例４］
　変形例４では、複数の認証を組み合わせる多重認証方式について説明する。多重認証を行う認証装置２００では、他の認証装置２００で事前に行われた認証の結果も加味する。事前認証と本認証の両方が成功（ＯＫ）である場合に、多重認証が成功（ＯＫ）となる。

　図１９は、変形例４における電子鍵システムの概要を示す図である。
　自宅のドア３０６の電子鍵システム５００ｃ（近距離無線通信装置３００ｃ、カメラ３０２ｃ、ロック装置３０４ｃおよび認証装置２００ｃを含む）と同様に、会社のドア３０６にも電子鍵システム５００ｄ（近距離無線通信装置３００ｄ、カメラ３０２ｄ、ロック装置３０４ｄおよび認証装置２００ｄを含む）が設置されている。この構成は、変形例２（図１０）と同様である。

　この例で利用者は、朝方の出社時に会社の電子鍵システム５００ｄを利用し、夕方の帰宅時に会社の電子鍵システム５００ｄを利用する。ここでは、会社の認証装置２００ｄで多重認証を行う例を示す。この場合、自宅の認証装置２００ｃにおける顔認証が事前認証となり、会社の認証装置２００ｄにおける顔認証が本認証となる。具体的には、朝方に会社の認証装置２００ｄで顔認証を受けるときに、前日の夕方に自宅の認証装置２００ｃにおいて顔認証が成功（ＯＫ）であったかを確認する。そして、両方の顔認証が成功（ＯＫ）である場合に、会社の認証装置２００ｄにおける利用者認証（本人確認のための本人認証）が成功（ＯＫ）となり、会社のドア３０６は解錠される。

　もしも、前日の夕方に自宅の認証装置２００ｃにおいて顔認証を受けていない場合には、前日の帰宅前にスマートフォン端末１００を紛失したり、盗まれたりした可能性がある。従って、利用者以外の第三者による成りすましを防ぐために、会社の認証装置２００ｄにおける利用者認証を不成功（ＮＧ）とし、会社のドア３０６を解錠させないようにする。また、前日の夕方に自宅の認証装置２００ｃにおいて顔認証が不成功（ＮＧ）である場合には、利用者以外の第三者が利用者のスマートフォン端末１００を持って利用者宅を訪れたことになる。そのため、第三者がスマートフォン端末１００を保持していると想定して、会社の認証装置２００ｄにおける利用者認証を不成功（ＮＧ）とし、会社のドア３０６を解錠させない。このように、多重認証を行えば、セキュリティ強度を高めることができる。

　図２０（Ａ）は、変形例４における自宅の認証装置２００ｃの機能ブロック図である。
　変形例４で追加される機能ブロックを示す。認証装置２００ｃのデータ処理部２８０は、事前認証結果提供部２９５を有する。事前認証結果提供部２９５は、事前認証結果をスマートフォン端末１００に提供する。

　図２０（Ｂ）は、変形例４における会社の認証装置２００ｄの機能ブロック図である。
　変形例４で追加される機能ブロックを示す。認証装置２００ｄのデータ処理部２８０は、事前認証結果取得部２９６および事前認証確認部２９７を有する。事前認証結果取得部２９６は、スマートフォン端末１００から事前認証結果を取得する。事前認証確認部２９７は、事前認証が成功（ＯＫ）であったことを確認する。

　図２０（Ｃ）は、変形例４におけるスマートフォン端末１００の機能ブロック図である。
　変形例４で追加される機能ブロックを示す。スマートフォン端末１００のデータ処理部１８０は、事前認証結果取得部１８５と事前認証結果提供部１８６を有する。事前認証結果取得部１８５は、認証装置２００ｃから事前認証結果を取得する。事前認証結果提供部１８６は、認証装置２００ｄへ事前認証結果を提供する。

　スマートフォン端末１００のデータ格納部１４０は、事前認証結果記憶部１４３を有する。事前認証結果記憶部１４３は、事前認証結果を記憶する。事前認証結果記憶部１４３は、不揮発性の記憶装置の領域を用いる。

　図２１は、自宅の認証装置２００ｃにおける自動解錠のシーケンスを示す図である。
　変形例２を基礎として説明する。Ｓ４８までの処理は、変形例２の場合と同様である。Ｓ４８において顔認証が成功（ＯＫ）になると、自宅の認証装置２００ｃの事前認証結果提供部２９５は、事前認証結果をスマートフォン端末１００に提供する。事前認証結果には、認証装置ＩＤ、認証日時および成功が含まれる。認証装置ＩＤは、認証場所が自宅であることを特定できる情報である。成功は、判定結果を示している。顔認証が不成功（ＮＧ）である場合には、判定結果として不成功が含まれる。

　スマートフォン端末１００の事前認証結果取得部１８５は、自宅の認証装置２００ｃから事前認証結果を取得する（Ｓ１８０）。具体的には、認証装置２００ｃの送信部２６０は、事前認証結果を送信し、スマートフォン端末１００の受信部１７０は、事前認証結果を受信する。スマートフォン端末１００の事前認証結果記憶部１４３は、事前認証結果を記憶する（Ｓ１８２）。ネットワークドライブによって事前認証結果を引き渡すようにしてもよい。Ｓ５０以降の処理は、変形例２の場合と同様である。

　図２２は、会社の認証装置２００ｄにおける自動解錠のシーケンスを示す図である。
　変形例２を基礎として説明する。Ｓ４８までの処理は、変形例２の場合と同様である。ここでは、Ｓ４８の処理において顔認証が成功（ＯＫ）であるものとする。

　会社の認証装置２００ｄの事前認証結果取得部２９６は、スマートフォン端末１００から他の認証装置（自宅の認証装置２００ｃ）における事前認証結果を取得する。スマートフォン端末１００の事前認証結果提供部１８６は、会社の認証装置２００ｄへ事前認証結果を提供する（Ｓ１９０）。具体的には、スマートフォン端末１００の送信部１６０は、事前認証結果記憶部１４３に記憶されている事前認証結果を送信する。認証装置２００ｄの受信部２７０は、事前認証結果を受信する。

　事前認証確認部２９７は、取得した事前認証結果を確認する（Ｓ１９２）。具体的には、事前認証確認部２９７は、事前認証結果に、所定場所（この例では、自宅）に対応する所定の認証装置ＩＤが含まれているか否かを判定する。所定の認証装置ＩＤが含まれていない場合には、事前認証確認部２９７は、多重認証を不成功（ＮＧ）とする。所定の認証装置ＩＤが含まれている場合には、事前認証確認部２９７は、所定の認証装置ＩＤに対応する認証日時が所定期間（たとえば、前日の夕方の時間帯）に含まれるか否かを判定する。認証日時が所定期間に含まれていない場合には、事前認証確認部２９７は、多重認証を不成功（ＮＧ）とする。認証日時が所定期間に含まれている場合には、事前認証確認部２９７は、所定の認証装置ＩＤに対応する判定結果が不成功（ＮＧ）である場合に、事前認証確認部２９７は、多重認証を不成功（ＮＧ）とする。一方、判定結果が成功（ＯＫ）である場合には、事前認証確認部２９７は、多重認証を成功（ＯＫ）とする。なお、所定の認証装置ＩＤおよび所定期間は、予め設定されているものとする。

　Ｓ５０以降の処理については、変形例２の場合と同様である。ここでは、変形例２を基礎として説明したが、実施形態１又はその他の変形例を基礎としてもよい。

　たとえば、変形例２を基礎とせずに、実施形態１を基礎とすれば、認証装置２００ｃで行う事前認証と認証装置２００ｄで行う本認証とで異なる暗号鍵を用いることになる。この場合には、スマートフォン端末１００は、認証装置２００ｃの暗号鍵で暗号化された顔特徴データ（暗号化）と認証装置２００ｄの暗号鍵で暗号化された顔特徴データ（暗号化）とを保持することになる。この場合には、２種類の暗号鍵により認証が行われることになるので、偽造などの第三者による不正行為がより複雑になり、結果的に認証精度を高めることができる。

［変形例５］
　変形例５では、訪問先で電子鍵システムを利用した利用者（以下、「訪問者」ということがある）に関する訪問履歴を、認証装置２００とスマートフォン端末１００の双方で記録する。認証装置２００は、スマートフォン端末１００側の訪問履歴を、認証装置２００側の訪問履歴と照らし合わせることによって、訪問者が同じスマートフォン端末１００を持っていることを確認する。訪問先は、例えば会社であり、訪問者は、例えば取引業者である。

　図２３は、変形例５における電子鍵システムの概要を示す図である。
　会社のドア３０６に、電子鍵システム５００ｇ（近距離無線通信装置３００ｇ、カメラ３０２ｇ、ロック装置３０４ｇおよび認証装置２００ｇを含む）が設置されている。認証装置２００ｇは、装置側訪問履歴を保持する。装置側訪問履歴には、訪問者のスマートフォン端末ＩＤに対応付けて訪問日時が記憶される。図示した記録によれば、認証装置ＩＤ：Ｍ１の認証装置２００ｇが設置されている会社で、スマートフォン端末ＩＤ：ＳＰ１を持つ利用者の訪問を２回受け、スマートフォン端末ＩＤ：ＳＰ２を持つ利用者の訪問を２回受けている。

　スマートフォン端末１００は、端末側訪問履歴を保持する。端末側訪問履歴には、利用した電子鍵システム５００の認証装置ＩＤに対応付けて訪問日時が記憶される。図示した記録によれば、スマートフォン端末ＩＤ：ＳＰ１を持つ利用者が、認証装置ＩＤ：Ｍ１の認証装置２００ｇが設置されている会社を２回訪問し、認証装置ＩＤ：Ｍ２の認証装置２００がある会社を２回訪問している。端末側訪問履歴は、各認証装置２００から取得される認証結果に基づいて生成される。

　この状態で、スマートフォン端末ＩＤ：ＳＰ１を持つ利用者が、認証装置ＩＤ：Ｍ１の認証装置２００ｇが設置されている会社を訪問すると想定する。その場合に、認証装置２００ｇは、スマートフォン端末１００から端末側訪問履歴を取得して、自ら保持する装置側訪問履歴との照合を行う。この例では、訪問者側で記録されている訪問日時：２０２１／１／１　１０：００と訪問日時：２０２１／１／２　１１：００が、会社側で記録されている訪問日時と一致するので、正当な訪問者であると判定される。なお、訪問日時が異なる場合には、改造装置によるスマートフォン端末ＩＤの偽造などの不正行為が行われている可能性があるので、利用者認証を不成功（ＮＧ）とし、解錠させない。

　訪問履歴における訪問日時は、利用者認証が成功（ＯＫ）となった認証日時を示す。したがって、訪問履歴は、認証履歴の例である。後述する訪問履歴記憶部１４４は認証履歴記憶部の例であり、訪問履歴提供部１８７は認証履歴提供部の例であり、訪問履歴記憶部２４５は認証履歴記憶部の例であり、訪問履歴取得部２９８は認証履歴取得部の例である。

　図２４（Ａ）は、変形例５における認証装置２００ｇの機能ブロック図である。
　変形例５で追加される機能ブロックを示す。認証装置２００ｇのデータ処理部２８０は、訪問履歴取得部２９８と訪問履歴照合部２９９を有する。訪問履歴取得部２９８は、スマートフォン端末１００から端末側訪問履歴を取得する。訪問履歴照合部２９９は、訪問履歴の照合を行う。

　認証装置２００ｇのデータ格納部２４０は、訪問履歴記憶部２４５を有する。訪問履歴記憶部２４５は、装置側訪問履歴を記憶する。訪問履歴記憶部２４５は、不揮発性の記憶装置の領域を用いる。

　図２４（Ｂ）は、変形例５におけるスマートフォン端末１００の機能ブロック図である。
　変形例５で追加される機能ブロックを示す。スマートフォン端末１００のデータ処理部１８０は、訪問履歴提供部１８７を有する。訪問履歴提供部１８７は、認証装置２００ｇへ端末側訪問履歴を提供する。

　スマートフォン端末１００のデータ格納部１４０は、訪問履歴記憶部１４４を有する。訪問履歴記憶部１４４は、端末側訪問履歴を記憶する。訪問履歴記憶部１４４は、不揮発性の記憶装置の領域を用いる。

　図２５は、変形例５における自動解錠のシーケンスを示す図である。
　訪問者が会社のドア３０６に近づいたことにより、スマートフォン端末１００が近距離無線通信装置３００ｇに接近すると、スマートフォン端末１００の近距離無線通信部１５０と認証装置２００ｇの近距離無線通信部２５０は、コネクションを確立させる（Ｓ２００）。

　認証装置２００ｇの端末ＩＤ取得部２９０は、スマートフォン端末１００からスマートフォン端末ＩＤを取得する。スマートフォン端末１００の端末ＩＤ提供部１８３は、スマートフォン端末ＩＤを認証装置２００ｇに提供する（Ｓ２０２）。具体的には、スマートフォン端末１００の送信部１６０は、スマートフォン端末ＩＤを送信し、認証装置２００ｇの受信部２７０は、スマートフォン端末ＩＤを受信する。ネットワークドライブによって、スマートフォン端末ＩＤを引き渡すようにしてもよい。

　スマートフォン端末１００の訪問履歴提供部１８７は、認証装置２００ｇへ端末側訪問履歴を提供する。認証装置２００ｇの訪問履歴取得部２９８は、スマートフォン端末１００から端末側訪問履歴を取得する（Ｓ２０４）。具体的には、スマートフォン端末１００の送信部１６０は、端末側訪問履歴を送信する。認証装置２００ｇの受信部２７０は、端末側訪問履歴を受信する。ネットワークドライブによって、端末側訪問履歴を引き渡すようにしてもよい。端末側訪問履歴は、このスマートフォン端末１００が用いられた認証の日時を含む第１訪問履歴の例である。

　訪問履歴照合部２９９は、訪問履歴の照合を行う（Ｓ２０６）。具体的には、訪問履歴照合部２９９は、端末側訪問履歴から認証装置２００ｇの認証装置ＩＤ：Ｍ１に対応する訪問日時を抽出する。訪問履歴照合部２９９は、さらに、装置側訪問履歴から、Ｓ２０２で取得したスマートフォン端末ＩＤ：ＳＰ１に対応する訪問日時を抽出する。端末側訪問履歴から抽出された訪問日時と装置側訪問履歴から抽出された訪問日時が一致する場合には、照合が成功（ＯＫ）となり、認証装置２００ｇは処理を続行する。一方、両方の訪問日時が一致しない場合には、照合が不成功（ＮＧ）となる。この場合には、認証装置２００ｇは処理を終え、解錠されない。装置側訪問履歴は、この認証装置２００ｇによる認証の日時を含む第２訪問履歴の例である。

　Ｓ２０８～Ｓ２１４の処理は、実施形態１で説明した図５のＳ４２～Ｓ４８の場合と同様である。Ｓ２１４で顔認証が成功（ＯＫ）であると、認証装置２００ｇの送信部２６０は、成功通知（認証装置ＩＤ，訪問日時を含む）をスマートフォン端末１００へ送信する（Ｓ２１６）。スマートフォン端末１００の受信部１７０は、成功通知（認証装置ＩＤ，訪問日時を含む）を受信する。スマートフォン端末１００の訪問履歴記憶部１４４において、成功通知で受けた認証装置ＩＤと訪問日時が端末側訪問履歴に加えられる（Ｓ２１８）。

　また、認証装置２００ｇの訪問履歴記憶部２４５において、Ｓ２０２で取得したスマートフォン端末ＩＤと訪問日時が装置側訪問履歴に追加される（Ｓ２２０）。Ｓ２２２以降の処理は、実施形態１で説明した図５のＳ５０以降の場合と同様である。

［変形例６］
　図２６は、変形例６における電子鍵システムの構成を示す図である。
　上述の実施形態１および変形例では、図２６（Ａ）に示すように、カメラ３０２（入力装置の例）を認証装置２００の外部に設ける構成を示したが、図２６（Ｂ）に示すように、カメラ３０２を認証装置２００の内部、つまり認証装置２００の筐体の中に設けるようにしてもよい。

　また、上述の実施形態１および変形例では、図２６（Ａ）に示すように、認証装置２００に接続する近距離無線通信装置３００を介して、認証装置２００とスマートフォン端末１００（電子機器の例）との間の通信を行う構成を示したが、図２６（Ｂ）に示すように、サーバ６００を介して認証装置２００とスマートフォン端末１００との間の通信を行うようにしてもよい。認証装置２００は、第１ネットワークを介してサーバ６００と接続する。スマートフォン端末１００は、第２ネットワークを介してサーバ６００と接続する。第１ネットワークは、たとえばＬＡＮあるいはインターネットなどである。第２ネットワークは、たとえばＬＡＮあるいはインターネットなどである。第１ネットワークと第２ネットワークは、同じでもよいし、異なってもよい。サーバ６００は、認証装置２００から受信したデータを、スマートフォン端末１００へ転送する。また、サーバ６００は、スマートフォン端末１００から受信したデータを、認証装置２００へ転送する。

　なお、図２６（Ａ）と（Ｂ）の構成の変形として、カメラ３０２を認証装置２００の内部に設けて、近距離無線通信装置３００を介して通信を行う構成でもよい。あるいは、カメラ３０２を認証装置２００の外部に設けて、サーバを介して通信を行う構成でもよい。

［その他の変形例］
　人物認証として顔認証を行う例を示したが、他の生体認証を行うようにしてもよい。顔の一部の特徴によって人物を認証してもよい。たとえば、虹彩認証を行うようにしてもよい。その場合には、スマートフォン端末１００の保持者を撮影した映像から虹彩特徴データを抽出して、正当なユーザの虹彩特徴データと比較して同一の人物であるか否かを判定する。顔以外の身体の一部の特徴によって人物を認証してもよい。たとえば、静脈認証を行うようにしてもよい。その場合には、保持者を撮影した映像から静脈特徴データを抽出して、正当なユーザの静脈特徴データと比較して同一の人物であるか否かを判定する。また、体型認証を行うようにしてもよい。その場合には、保持者を撮影した映像から体型特徴データを抽出して、正当なユーザの体型特徴データと比較して同一の人物であるか否かを判定する。あるいは、指紋認証を行うようにしてもよい。その場合には、カメラ３０２に代えて指紋読取装置を用いる。指紋読取装置で保持者の指紋特徴データを抽出して、正当なユーザの指紋特徴データと比較して同一の人物であるか否かを判定する。静止画に限らず動画によって人物を認証してもよい。たとえば、利用者のアクション（歩行など）の特徴によって人物を認証してもよい。その場合には、保持者を撮影した動画からアクション特徴データを抽出して、正当なユーザのアクション特徴データと比較して同一の人物であるか否かを判定する。映像によらず音声によって人物を認証してもよい。たとえば、保持者の声の特徴によって人物を認証してもよい。その場合には、カメラ３０２に代えてマイクを用いる。マイクで入力した保持者の声から声特徴データを抽出して、正当なユーザの声特徴データと比較して同一の人物であるか否かを判定する。声特徴データは、発声や発音の特徴を含む。上述した顔特徴データ、虹彩特徴データ、静脈特徴データ、体型特徴データ、指紋特徴データ、アクション特徴データおよび声特徴データは、人物の生理的な特徴を示す生体特徴データの例である。また、顔の映像データ、虹彩の映像データ、静脈の画像データ、体型（全体容姿）の映像データ、指紋の画像データ、人物のアクションを写した動画像データおよび人物の声の音声データは、人物の生理的な特徴に基づく生体認証に用いられる生体認証用データの例である。

　スマートフォン端末１００は、電子機器の例である。スマートフォン端末１００以外の電子機器を用いるようにしてもよい。電子機器は、たとえばカード型装置、鍵型装置、タブレット端末やノート型パソコンなどの携帯可能な装置であってもよい。カメラ３０２および指紋読取装置は、映像の入力装置の例である。マイクは、音声の入力装置の例である。映像取得部４８２は、映像又は音声の入力装置から、電子機器の保持者の映像又は音声を取得する映像／音声取得部の例である。保持者の映像は、身体全体を映した画像の他、顔の画像、虹彩の画像、指紋の画像や静脈の画像など身体の一部を映す画像を含む。保持者の映像は、静止画像でもよいし、動画像でもよい。映像取得部４８２に代えて人物の声、つまり音声を取得する音声取得部を用いてもよい。これらの映像および音声は、生体認証用データの例である。生体認証用データは、個人の生体的特徴を含み、生体特徴データの抽出元となるデータである。

　人物認証として複数の生体認証を組み合わせてもよい。上述の生体認証を任意に組み合わせてよい。たとえば、顔認証と声認証を組み合わせてもよい。複数の認証方法において共に同一の人物であることを確認するようにすれば、人物認証の精度が高まる。また、どの種類の認証方法を用いているかを非公開にすれば、成りすまし行為を難しくできる。映像に基づくことは推察できても、顔認証が行われているか、体型認証が行われているかは、外部から判断できないので、何を偽装すれば成りすませるかわからない。複数の認証方法を使えるようにしておいて、認証装置２００が人物を認証するときに、選択的に認証方法を指定するようにしてもよい。その都度、認証方法を替えれば、更に成りすましが困難になる。

　実施形態１および各変形例では、本人認証の用途として、電子鍵システム５００におけるロック制御の例を示した。つまり、本人認証システムの例として、電子鍵システム５００を示した。但し、他の用途に上述の本人認証技術を適用してもよい。この本人認証技術を適用すれば、本人認証が必要なシーンにおいて、自動的にその場にいる者が、本来のスマートフォン使用者本人（正当なユーザ）であることを確認することができる。たとえば支払いの電子決済を行う際に、この技術で本人認証を行ってから電子決済を実施するようにしてもよい。つまり、本人認証システムは、電子決済システムであってもよい。あるいは、証明書の発行や資格試験の受験など公的手続きにおいて本人であることを確認するために、この技術を適用してもよい。つまり、本人認証システムは、証明書発行システムであってもよいし、受験者チェックシステムであってもよい。

　電子決済システムに上述の本人認証技術を適用すれば、スムーズな買い物を実現することができる。利用者が、商品を選んで購入の意思を表せば、自動的に本人認証を行って電子決済の処理に移ることができる。使用されたスマートフォン端末１００のＩＤに利用者の住所を紐づけておけば、商品の発送などの手続きも自動化できる。また、飲食のようなサービスを利用する場合に、支払い手続きを簡略にすることができる。サービスを受けた者が、請求額に同意すれば、自動的に本人認証を行って電子決済の処理に移ることができる。たとえば、利用者が食事後に提示された請求額を目視したことで請求額に同意したとみなすように取り決めておけば、そのまま退店しても電子決済手段による支払いが可能である。

　高いセキュリティを求められない簡易な本人認証システムの場合には、上述した暗号化および復号の処理を省いてもよい。その場合には、上述し実施形態１および変形例に示した顔特徴データ（暗号化）に代えて平文の顔特徴データを用いてもよい。顔認証以外の認証方法の場合も、暗号化された生体特徴データに代えて平文の生体特徴データが用いてもよい。このように平文の生体特徴データを用いる場合に、セキュア通信によってセキュリティを担保するようにしてもよい。

［実施形態２］
　実施形態２では、生体認証を利用してＷｅｂサービスに関するユーザ認証を行う形態について説明する。具体的には、ユーザ端末で事前に登録した複数種類の個人情報データ（たとえば、生体情報）のうちのいくつかを認証サーバが指定し、ユーザ端末で採取された個人情報データが事前に登録されている個人情報データと合致するか否かを判定する生体認証を行う。複数種類の個人情報データとして、顔や虹彩などの静止画の他、ユーザのアクションを映した動画やユーザの音声が用いられる。認証サーバでは、生体認証に使用する個人情報データをランダムに指定する。なお、個人情報データとして、美容整形や第三者による加工などで変わりにくい特徴を示すデータを採用することが望ましい。

　図２７は、実施形態２における認証システムの概要を示す図である。
　ユーザ端末７００は、たとえば、スマートフォン、タブレット端末、ノード型パソコンあるいはパーソナルコンピュータなどである。ユーザ端末７００は、インターネットに接続可能である。認証サーバ８００と企業サーバ９００は、インターネットに接続している。

　ユーザ端末７００は、採取部７０２、通信部７０４、制御部７０６および格納部７０８を有する。採取部７０２は、生体情報（個人情報データの例）を採取する。通信部７０４は、インターネットを介して通信する。制御部７０６は、各種処理を制御する。格納部７０８は、各種データを格納する。格納部７０８は、生体情報を格納する生体情報格納部７１０を有する。生体情報格納部７１０は、以下でアプリケーションの処理以外では読み書きができない秘匿領域に設けられる。

　認証サーバ８００は、生体情報選択部８０２、通信部８０４および認証部８０６を有する。生体情報選択部８０２は、複数の生体情報の種類のうち、一つの種類を選択する。生体情報の種類は、「項目」ということもある。生体情報選択部８０２は、予測できないように、ランダムに生体情報の種類を選択する。通信部８０４は、インターネットを介して通信する。認証部８０６は、複数の生体情報の種類毎に、各種の生体認証を行う。

　企業サーバ９００は、Ｗｅｂサービスを提供するＷｅｂサーバの例である。この例で、企業サーバ９００は、企業のＷｅｂサイトを実現する。ユーザがユーザ端末７００を使用して、企業のＷｅｂサイトにログインする際に、生体認証を利用したユーザ認証を行うことを想定する。ただし、生体認証処理は、企業サーバ９００ではなく認証サーバ８００において実行される。

　図２８は、実施形態２における生体情報登録のシーケンスを示す図である。
　ユーザ端末７００の通信部７０４は、サービス申込みを企業サーバ９００へ送信する（Ｓ３００）。サービス申込みを受信した企業サーバ９００は、登録用ＵＲＬを発行し、ユーザ端末７００へ送信する（Ｓ３０２）。登録用ＵＲＬは、認証サーバ８００のアドレスである。

　ユーザ端末７００の通信部７０４は、受信した登録用ＵＲＬに従って認証サーバ８００へアクセスする（Ｓ３０４）。登録用ＵＲＬへのアクセスと受け付けた認証サーバ８００の通信部８０４は、生体情報登録依頼をユーザ端末７００へ送信する（Ｓ３０６）。生体情報登録依頼は、複数種類の生体情報の採取を促すメッセージを含む。たとえば、「右目を写して下さい。」、「顔を写して下さい。」、「手のひらを写して下さい。」、「肩を写して下さい。」、「右耳を写して下さい。」、「全身を動画撮影して下さい。」および「お好きな曲を歌って下さい。」などのメッセージによって、各種類の生体情報の採取が促される。但し、各種類の生体情報においてどのような特徴に焦点を当てているかは、ユーザに開示しない。生体情報を偽造しにくくするためである。

　ユーザ端末７００の採取部７０２は、順次メッセージを出力しつつ、撮影（静止画／動画）や録音を行う（Ｓ３０８）。採取された複数種類の生体情報は、秘匿領域に設けられた生体情報格納部７１０に格納される（Ｓ３１０）。秘匿領域に格納されたデータは、アプリケーションによってのみ書き換え可能なであって、ユーザが任意に差し替えることはできないようになっている。複数種類の生体情報の採取を終えると、ユーザ端末７００の通信部７０４は、生体情報登録完了の通知を認証サーバ８００へ送信する（Ｓ３１２）。

　認証サーバ８００の通信部８０４が生体情報登録完了の通知を受信すると、認証サーバ８００の認証部８０６は、新たなユーザＩＤを発行する（Ｓ３１４）。認証サーバ８００の通信部８０４は、ユーザＩＤを含むサービス受付完了の通知を企業サーバ９００へ送信する（Ｓ３１６）。企業サーバ９００は、受信したサービス受付完了（ユーザＩＤ通知を含む）をユーザ端末７００へ送る（Ｓ３１８）。

　図２９は、実施形態２におけるサービス開始時のシーケンスを示す図である。
　ユーザ指示やアプリケーションの動作などに基づいて、ユーザ端末７００の制御部７０６から通信部７０４へサービス開始要求が伝えられると、ユーザ端末７００の通信部７０４は、サービス実行の要求（ユーザＩＤを含む）を企業サーバ９００へ送信する（Ｓ３３０）。

　サービス実行の要求を受けた企業サーバ９００は、認証サーバ８００へ認証依頼（ユーザＩＤを含む）を送信する（Ｓ３３２）。認証サーバ８００の通信部８０４が認証依頼を受信すると、認証サーバ８００の生体情報選択部８０２は、生体情報の種類を複数選択する（Ｓ３３４）。この例で、生体情報選択部８０２は、１６種類の中から４種類を選択する。具体的には、認証サーバ８００の通信部８０４から生体情報選択部８０２へ項目（生体情報の種類）の抽出要求を伝える。生体情報選択部８０２は、ランダムに項目を決める。そして、生体情報選択部８０２から通信部８０４へ、選択された項目が伝えられる。

　認証サーバ８００の通信部８０４は、選択された各項目（生体情報の種類）の通知をユーザ端末７００へ送信する（Ｓ３３６）。各項目の通知には、それぞれの生体情報の採取を促すメッセージが含まれる。選択された項目が右目の虹彩画像データであれば、「右目を映してください。」というメッセージが含まれる。この例では、認証サーバ８００の通信部８０４は、ランダムに選択された４項目をユーザ端末７００へ通知する。

　ユーザ端末７００の通信部７０４が各項目（生体情報の種類）の通知を受信すると、ユーザ端末７００の採取部７０２は、各項目について生体情報を採取する。右目の虹彩画像データを採取する場合には、たとえばユーザ端末７００のインカメラを用いてユーザの右目を撮影する（Ｓ３３８）。ユーザ端末７００の通信部７０４は、各項目について採取した生体情報と生体情報格納部７１０に格納されている同種の生体情報をペアとして認証サーバ８００へ送信する（Ｓ３４０）。たとえば、右目について撮影された画像と格納されていた右目の画像が送られる。

　認証サーバ８００の通信部８０４が生体情報のペアを受信すると（Ｓ３４２）、認証サーバ８００の認証部８０６は、各項目について採取された生体情報と格納されていた生体情報に基づいて生体認証処理を行う（Ｓ３４４）。生体認証処理は、従来の方法でよい。認証部８０６は、各項目について生体認証が成功（ＯＫ）であれば、全体としての生体認証が成功（ＯＫ）であると判定する。一方、１項目でも生体認証が不成功（ＮＧ）であれば、認証部８０６は、全体としての生体認証が不成功（ＮＧ）であると判定する。ただし、１項目の生体認証が不成功（ＮＧ）だけで判断せずに、他の項目の生体認証の結果を考慮して判断してもよい。そうすれば、偶然のエラーを排除することができる。

　全体としての生体認証が不成功（ＮＧ）である場合には（Ｓ３４６のＮ）、認証サーバ８００の通信部８０４は、生体認証が不成功（ＮＧ）であったことを示すエラー通知をユーザ端末７００および企業サーバ９００へ送信する（Ｓ３４８）。一方、全体としての生体認証が成功（ＯＫ）である場合には（Ｓ３４６のＹ）、認証サーバ８００の通信部８０４は、認証成功の通知を企業サーバ９００へ送信する（Ｓ３５０）。

　企業サーバ９００は、認証成功の通知を受信すると、メニュー画面表示の指示をユーザ端末７００へ送信する（Ｓ３５２）。これにより、ユーザ端末７００は、企業サイトにおけるサービスのメニュー画面を表示する。

［変形例７］
　実施形態２では、ユーザ端末７００に対する生体情報登録のガイドを認証サーバ８００が行う例を示したが、変形例７では、企業サーバ９００が生体情報登録のガイドを行う。

　図３０は、変形例７における生体情報登録のシーケンスを示す図である。
　サービス申込みの処理（Ｓ３００）および登録用ＵＲＬ発行の処理（Ｓ３０２）は、実施形態２（図２８）の場合と同様である。ただし、登録用ＵＲＬは、企業サーバ９００のアドレスである。

　ユーザ端末７００の通信部７０４は、受信した登録用ＵＲＬに従って企業サーバ９００へアクセスする（Ｓ３０４）。登録用ＵＲＬへのアクセスを受け付けた企業サーバ９００の通信部（不図示）は、生体情報登録依頼をユーザ端末７００へ送信する（Ｓ４００）。

　撮影（静止画／動画）および録音の処理（Ｓ３０８）、秘匿領域に生体情報を格納する処理（Ｓ３１０）は、実施形態２（図２８）の場合と同様である。複数種類の生体情報の採取を終えると、ユーザ端末７００の通信部７０４は、生体情報登録完了の通知を企業サーバ９００へ送信する（Ｓ４０４）。

　企業サーバ９００の通信部が生体情報登録完了の通知を受信すると、企業サーバ９００の認証部（不図示）は、新たなユーザＩＤを発行する（Ｓ４０６）。企業サーバ９００の通信部８０４は、ユーザＩＤを含むサービス受付完了の通知をユーザ端末７００へ送る（Ｓ４０８）。

［変形例８］
　実施形態２では、生体認証が成功した場合に企業サーバ９００がＷｅｂサービスを提供する例を示したが、変形例８では、生体認証が成功した場合に認証サーバ８００においてロック装置の解錠を行う。ロック装置は、たとえばユーザの自宅のドアに設置されている。ロック装置は、ネットワーク通信または近距離無線などの通信機能を備えており、認証サーバ８００との通信が可能である。

　図３１は、変形例８における解錠時のシーケンスを示す図である。
　ユーザ端末７００の通信部７０４は、ユーザの自宅のドアの解錠要求（ユーザＩＤを含む）を認証サーバ８００へ送信する（Ｓ５００）。

　Ｓ３３４からＳ３４８までの処理は、実施形態２（図２９）と同様である。但し、Ｓ３４８において、企業サーバ９００へのエラー通知は行わない。全体としての生体認証が成功（ＯＫ）である場合には（Ｓ３４６のＹ）、認証サーバ８００は、解錠処理を行う（Ｓ５０２）。解錠処理において、認証サーバ８００の通信部８０４は、ロック装置３０４へ解錠指示を送信する（Ｓ５０４）。この指示によって、ユーザの自宅のドアのロック装置３０４が解錠される。そして、認証サーバ８００の通信部８０４は、解錠通知をユーザ端末７００へ送信する（Ｓ５０６）。

［変形例９］
　変形例８では、認証サーバ８００で生体認証処理を行う例を示したが、変形例９では、ユーザ端末７００で生体認証処理を行う。

　図３２は、変形例９における解錠時のシーケンスを示す図である。
　変形例８（図３１）の場合と同様に、ユーザ端末７００は解錠要求を認証サーバ８００へ送信する（Ｓ６００）。

　認証サーバ８００の通信部８０４が解錠要求を受信すると、認証サーバ８００の生体情報選択部８０２は、生体情報の種類を選択する（Ｓ６０２）。変形例９で、生体情報選択部８０２は、たとえば１６種類の中から１種類を選択する。認証サーバ８００の通信部８０４は、選択された１項目（生体情報の１種類）の通知をユーザ端末７００へ送信する（Ｓ６０４）。

　ユーザ端末７００の通信部７０４が１項目（生体情報の１種類）の通知を受信すると、ユーザ端末７００の採取部７０２は、１項目について生体情報を採取する。ユーザ端末７００の認証部（不図示）は、１項目について採取した生体情報と生体情報格納部７１０に格納されている同種の生体情報に基づいて生体認証処理を行う（Ｓ６０８）。その１項目について生体認証が成功（ＯＫ）であれば、ユーザ端末７００の通信部７０４は、認証成功の通知を認証サーバ８００へ送信する。そして、ユーザ端末７００の認証部は、所定回数（たとえば、４回）まで成功したか否かを判定する。

　所定回数まで成功していない場合には、ユーザ端末７００の通信部７０４が、繰り返し要求を認証サーバ８００へ送って（Ｓ６００）、上述したＳ６０２からの処理を繰り返す。尚、４回目までのいずれかの１項目で生体認証が不成功（ＮＧ）になれば、ユーザ端末７００の通信部７０４が認証不成功の通知を認証サーバ８００へ送信する。

　所定回数まで成功した場合には、ユーザ端末７００の通信部７０４は、認証サーバ８００へ解錠要求を送信する（Ｓ６１６）。Ｓ６１８～Ｓ６２２の処理は、変形例８（図３１）におけるＳ５０２～Ｓ５０６の処理と同様である。

［変形例１０］
　ユーザ端末７００の格納部７０８に登録されたテキスト情報と、採取部７０２に含まれるＯＣＲ（Optical　Character　Recognition）部のＯＣＲ機能で読み取った個人情報とによってユーザ認証を行うようにしてもよい。

［変形例１１］
　ユーザ端末７００の格納部７０８に登録されたテキスト情報を音声で読み上げた音声データを用いた照合によってユーザ認証を行うようにしてもよい。

［変形例１２］
　近距離無線通信（たとえば、Ｂｌｕｅｔｏｏｔｈ（登録商標））で、ユーザ端末７００から認証部を備えた対象機器（たとえば、自動車、オートバイや自宅のドア）に解錠／施錠指示を通知するようにしてもよい。

　図３３は、変形例１２における対象機器のメニュー画面図である。
　ユーザ端末７００の表示処理部（不図示）は、近距離無線通信のコネクションが確立した対象機器を示す対象機器ボタン７１２ａ～７１２ｃを含むメニュー画面をディスプレイに表示する。ユーザ端末７００の受付部（不図示）は、対象機器ボタン７１２ａ～７１２ｃのタッチによって対象機器の選択を受け付ける。その後、ユーザ端末７００の受付部（不図示）が解錠ボタン７１４のタッチによって解錠指示を受け付けると、ユーザ端末７００の通信部７０４は、選択された対象機器に解錠要求の信号が送信され、対象機器が解錠される。つまり、ロックが解除される。施錠についても同様に、ユーザ端末７００の受付部（不図示）が施錠ボタン（不図示）のタッチによって施錠指示を受け付けると、ユーザ端末７００の通信部７０４は、選択された対象機器に施錠要求の信号が送信され、対象機器が施錠される。つまり、ロックがかけられる。

　図３４は、変形例１２における家電製品のメニュー画面図である。
　対象機器の解錠が済んでから、次の動作を指示できるようにしてもよい。たとえば「自宅」を選択してドアを解錠させた後に、自宅内の各種家電製品の電源のＯＮ／ＯＦＦを制御する。近距離無線通信のコネクションが確立した対象機器が表示されるようにしてもよい。ユーザ端末７００の受付部は、家電製品ボタン７２２ａ～７２２ｅのタッチによって家電製品の選択を受け付ける。その後、ユーザ端末７００の受付部（不図示）がＯＮ／ＯＦＦボタン７２４のタッチによって電源切り替え指示を受け付けると、ユーザ端末７００の通信部７０４は、選択された家電製品に電源切り替えの信号が送信され、家電製品の電源が切り替えられる。家電製品の電源の状態がＯＦＦであれば、ＯＮに切り替わる。反対に、家電製品の電源の状態がＯＮであれば、ＯＦＦに切り替わる。対象機器におけるＯＮとＯＦＦをユーザが区別できるように、家電製品ボタン７２２ａ～７２２ｅの背景を電源の状態によって異ならせるようにしてもよい。

　実施形態２および変形例７～変形例１２についてまとめる。
　各種サービスの提供者において、サービスの享受を希望するユーザが真にサービスを受ける資格のある人物であるか、見極める必要がある。見極めを行うにあたり、各種認証処理が行われるが、第三者が認証するための書類や画像を捏造したり、改ざんしたりなどして、サービスの享受を希望するユーザになりすますことが考えられる。このような「なりすまし」を防止するための従来技術がある。

　特許文献の特開２０１７－４３２６７号公報（「電子キーシステム」、国際公開２０１７／０３８４８５と同じ）には、ユーザに着用される携帯機が、生体認識センサで着用者の生体情報を検知すると、生体認証手段によって検知した生体情報が予め登録されたユーザの生体情報と一致するか否かを判別する。生体認証手段が確証すると、通信制御手段によって、無線通信装置による自動車に搭載のコントロールユニットとの間での近距離無線通信を可能にする技術が開示されている。

　しかしながら、この特許文献の技術は、悪意のある第三者が端末を不正に収取し、基準個人データを書き換えることで、端末の保有者になりすますことができてしまう恐れがある。

　実施形態２および変形例７～変形例１２では、ユーザが採取項目を意識しない複数の生体情報夫々の特徴を、解錠処理を行う認証サーバが指定した暗号鍵で暗号化した上で、あらかじめユーザが保有する情報端末に格納する。そして、認証サーバがユーザの生体情報をリアルタイムで取得し、ユーザ端末内に格納された特徴との比較により認証処理を行う技術を開示するものである。これにより、悪意のある第三者が端末を不正に収取し、基準個人データを書き換えることで、端末の保有者になりすますことを防ぐ。

　実施形態２および変形例７～変形例１２の特徴を、以下に示す。
（１）サービスを享受するための情報端末に関する。情報端末は、複数種類の第１の個人情報データ（例えば、第１の生体情報）を格納する格納部と、第２の個人情報データ（例えば、第２の生体情報）を採取する採取部と、外部からの要求に応じて第２の個人情報データと格納された第１の個人情報データのうち第２の個人情報データに対応する第１の個人情報データを外部に送信する通信部と、外部からの認証結果に応じてサービスの実行を可能とするサービス実行部と、を備える。
（２）（１）に関して、複数種類のうち少なくとも１種類の個人情報データは、美容整形等により変化を受けにくい項目である。
（３）（１）に関して、複数種類の個人情報データは、音声データ、静止画及び動画のうちのいずれかである。
（４）（１）に関して、採取部は、文字認識機能を備えたＯＣＲ部を含む。
（５）認証プラットフォーム（たとえば、認証システム）に関する。認証プラットフォームは、複数種類の第１の個人情報データ（例えば、第１の生体情報）を格納する情報端末と、サービスの実行を制御する企業サーバと、情報端末に第２の個人情報データ（例えば、第２の生体情報）の採取を指示し、採取された第２の個人情報データと複数種類の第１の個人情報データのうち第２の個人情報データに対応するデータに基づいて認証し企業サーバに認証結果を通知する認証サーバと、を備える。
（６）（５）に関して、複数種類の個人情報データは、音声データ、静止画及び動画のうちのいずれかである。
（７）（５）に関して、認証サーバは、情報端末に対し、認証処理に使用する項目を複数種類の個人情報データの中から指定し、情報端末に通知する。
（８）（５）に関して、認証サーバは認証処理に使用する項目をランダムに抽出する認証データ選択部を備える。

　なお、本発明は上記実施形態１及び２や各変形例に限定されるものではなく、要旨を逸脱しない範囲で構成要素を変形して具体化することができる。上記実施形態や変形例に開示されている複数の構成要素を適宜組み合わせることにより種々の発明を形成してもよい。また、上記実施形態や変形例に示される全構成要素からいくつかの構成要素を削除してもよい。

Claims

　電子機器の保持者の生体認証用データを入力する入力装置と、
　入力された前記保持者の前記生体認証用データから、前記保持者の生体特徴データを抽出する特徴抽出部と、
　前記電子機器から、前記電子機器に登録済みの正当なユーザの生体特徴データを取得する特徴データ取得部と、
　前記保持者の前記生体認証用データから抽出された前記保持者の前記生体特徴データと前記正当なユーザの前記生体特徴データとに基づいて生体認証を行う認証部と、を備える認証システム。
　前記特徴データ取得部は、暗号化された状態の前記正当なユーザの前記生体特徴データを取得し、
　前記暗号化された状態の前記正当なユーザの前記生体特徴データを復号する復号部を、さらに備えることを特徴とする請求項１に記載の認証システム。
　電子機器の正当なユーザの生体認証用データを入力する入力装置と、
　前記正当なユーザの前記生体認証用データから、前記正当なユーザの生体特徴データを抽出する特徴抽出部と、
　前記正当なユーザの前記生体特徴データを前記電子機器に登録させる特徴データ提供部と、を備えることを特徴とする認証システム。
　前記入力装置は、前記電子機器の保持者の生体認証用データを入力し、
　前記特徴抽出部は、入力された前記保持者の前記生体認証用データから、前記保持者の生体特徴データを抽出し、
　前記電子機器から、前記電子機器に登録済みの前記正当なユーザの前記生体特徴データを取得する特徴データ取得部と、
　前記保持者の前記生体認証用データから抽出された前記保持者の前記生体特徴データと前記正当なユーザの前記生体特徴データとに基づいて生体認証を行う認証部と、を更に備える請求項３に記載の認証システム。
　データ暗号化を行う暗号化部と、
　暗号化データの復号を行う復号部と、を更に備え、
　前記暗号化部は、前記正当なユーザの前記生体特徴データを暗号化し、
　前記特徴データ提供部は、暗号化された状態の前記正当なユーザの前記生体特徴データを前記電子機器に登録させ、
　前記特徴データ取得部は、前記電子機器から、前記暗号化された状態の前記正当なユーザの前記生体特徴データを取得し、
　前記復号部は、取得された前記暗号化された状態の前記正当なユーザの前記生体特徴データを復号する請求項４に記載の認証システム。
　前記暗号化部および前記復号部で使用される暗号鍵を外部に出力しない請求項５に記載の認証システム。
　前記電子機器に接近したときに前記電子機器とコネクションを確立させる近距離無線通信部を、さらに備え、
　前記特徴データ取得部は、前記電子機器との前記コネクションが確立すると、自動的に前記電子機器に登録済みの前記正当なユーザの前記生体特徴データを取得することを特徴とする請求項１、２、４、５又は６に記載の認証システム。
　前記特徴データ取得部は、他の認証システムによって前記電子機器に登録された前記正当なユーザの前記生体特徴データを取得することを特徴とする請求項１、２、４、５、６又は７に記載の認証システム。
　他の認証システムにおける事前認証結果を取得する事前認証結果取得部と、
　前記事前認証結果が所定の条件を満たすことを確認する事前認証確認部と、をさらに備えることを特徴とする請求項１、２、４、５、６又は７に記載の認証システム。
　前記電子機器から、前記電子機器が用いられた生体認証の日時を含む第１訪問履歴を取得する訪問履歴取得部と、
　取得した前記第１訪問履歴と、前記認証システムによる生体認証の日時を含む第２訪問履歴とを照合する訪問履歴照合部と、をさらに備えることを特徴とする請求項１、２、４、５、６、７、８又は９に記載の認証システム。
　生体認証用データの入力装置から、電子機器の保持者の生体認証用データを取得する機能と、
　取得された前記保持者の前記生体認証用データから、前記保持者の生体特徴データを抽出する機能と、
　前記電子機器から、前記電子機器に登録済みの正当なユーザの生体特徴データを取得する機能と、
　前記保持者の前記生体認証用データから抽出された前記保持者の前記生体特徴データと前記正当なユーザの前記生体特徴データとに基づいて生体認証を行う機能と、をコンピュータに発揮させる認証プログラム。
　生体認証用データの入力装置から、電子機器の正当なユーザの生体認証用データを取得する機能と、
　前記正当なユーザの前記生体認証用データから、前記正当なユーザの生体特徴データを抽出する機能と、
　前記正当なユーザの前記生体特徴データを前記電子機器に登録させる機能と、をコンピュータに発揮させる認証プログラム。