個人認証システム
【課題】可搬媒体紛失時にも問題のない生体情報を活用した個人認証システムを作る。
【解決手段】サーバは、個人管理番号と利用者の情報と特定区域への入退場を示す第1のフラグとを関連付けて記憶する第1記憶手段、端末からの生体情報を復号化する手段、端末から受信した情報及び復号化した生体情報を第2記憶手段に一時格納する手段、受信した情報に含まれる個人管理番号と第1記憶手段に基づき利用者が特定区域への入場又は退場の可否を判定する手段、入場可又は退場可と判定した場合に受信した各情報に含まれる生体情報と復号化した生体情報に基づき利用者の認証を行う手段、認証された場合に判定手段の結果に基づき第1の記憶手段の第1のフラグを更新する手段、更新後の第1のフラグを前記ネットワークを介して端末に送信する手段と、端末から可搬媒体の第1のフラグの更新完了通知を受信し、第2記憶手段に一時格納した各情報を削除する手段とを有する。
【解決手段】サーバは、個人管理番号と利用者の情報と特定区域への入退場を示す第1のフラグとを関連付けて記憶する第1記憶手段、端末からの生体情報を復号化する手段、端末から受信した情報及び復号化した生体情報を第2記憶手段に一時格納する手段、受信した情報に含まれる個人管理番号と第1記憶手段に基づき利用者が特定区域への入場又は退場の可否を判定する手段、入場可又は退場可と判定した場合に受信した各情報に含まれる生体情報と復号化した生体情報に基づき利用者の認証を行う手段、認証された場合に判定手段の結果に基づき第1の記憶手段の第1のフラグを更新する手段、更新後の第1のフラグを前記ネットワークを介して端末に送信する手段と、端末から可搬媒体の第1のフラグの更新完了通知を受信し、第2記憶手段に一時格納した各情報を削除する手段とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、高セキュリティを求められる特定の区域への入退場において、生体情報を利用し、管理を行う技術に関する。
【背景技術】
【0002】
国際空港等の公共性の高い、特定の建物、会場、複数部屋等の区域への入退場に行う個人認証システムでは、身分事項情報、生体情報をデータベースへ格納し、入退場時の個人認証を行う技術がある。
【0003】
しかしながら、データベース内へ生体情報を格納した場合、悪意を持つ第三者等への生体情報漏洩時には、生体情報は生涯変更不可能な情報であり、身分事項情報との関連付けから個人の特定も容易であることから、生体情報管理者は常に甚大なリスクを背負う必要がある。
【0004】
【特許文献1】特開2001−76270号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
従来の個人認証システムでは、当該利用者が入場している間等の一時的な期間でも、データベース内で身分事項情報及び生体情報を管理しているために、個人情報の漏洩や悪用に対する一般利用者の不安が大きく、生体情報の登録においては、嫌悪感を示す利用者がいる。
【0006】
一方、特定区域への入退場管理者側としては、成りすましによる不正入場等の脅威を回避するために、情報漏洩等のリスクはあるものの、生体情報を有効に活用することは必須事項であると考えている。
【0007】
更に、従来の個人認証システムでは、入退場管理者は、入退場時の生体認証によるセキュリティの確保を行うことはできたが、出勤、退勤等の勤務時間管理については実現しておらず、個人認証システムは更なる利便性向上の余地を残していると言える。
【0008】
また、従来の個人認証システムでは、深夜帯等の明らかに利用を行っていない時間帯においても、該当のセキュリティエリアに入場する権限があれば、いつでも利用が可能であるため、入退場管理者は、常に全てのセキュリティエリアの監視を行う必要があり、負担は小さくないものとなっている。
【0009】
更に、特定区域への入退場管理者側には、入退場におけるセキュリティの向上や処理に必要な物の軽減等による、一般利用者に対する安心感・効率性の向上も実現したいという思いがある。
【0010】
また、従来の個人認証システムでは、可搬媒体の紛失時には、可搬媒体内に身分事項情報及び生体情報が両方とも登載されていることもあり、可搬媒体を紛失した場合には、個人情報漏えいのリスクもある。
【0011】
そこで、本発明では、データベース内に生体情報を保持させずに、個人情報として生体情報のみを格納する可搬媒体を使用することで、生体情報を利用することによる利便性と高セキュリティを確保することを課題とする。
【0012】
更に、本発明では、可搬媒体内に身分事項情報を格納しないことで、可搬媒体から身分事項情報と生体情報の関連付けを第三者が行えないようにし、可搬媒体紛失時においても、個人の特定を不可能とすることを課題とする。
【課題を解決するための手段】
【0013】
生体情報を暗号化の上、利用者側が所持する可搬媒体に格納し、可搬媒体内の個人情報を利用した個人認証システムを構築することで、情報漏洩のリスク分散を実現し、また、利用者側にて個人情報の管理が可能となるため、利用者の知らないところで情報漏洩が行われる等の危険性を低減する。
【0014】
前記可搬媒体内の個人情報に基づいた個人認証では、個人認証時に、可搬媒体内の生体情報と、生体情報読取装置にて取得した利用者の生体情報を照合することで、可搬媒体所持者が、成りすましによる不正入場を試みていないかの検知を行うことを可能とし、高セキュリティを実現可能とする。
【0015】
入退場時の生体認証によるセキュリティの確保に加え、利用者単位もしくは組織単位での勤務時間管理を併せて行うことが可能とすることで、管理者に対して、入退場管理だけではなく、更なる付加価値を加えることができる。
【0016】
深夜帯等の明らかに利用を行っていない時間帯においては、入退場の制限を行うことで、管理者が常に全てのセキュリティエリアを監視する負担から開放され、また、入場権限を有する利用者であっても、他の利用者がいない時間帯に侵入し、機密情報を持ち出す等の組織内不正の試みを防止することも可能となる。
【0017】
前記の入退場管理を、利用者が容易に持ち運び可能な可搬媒体のみで実現し、また、第一区域入場時等の各セキュリティエリアを経由する際に可搬媒体に格納される、ステータスフラグ等の入場や退場した旨判別可能な情報を利用することで、各セキュリティエリアへの入退場をより厳格なものとする。
【0018】
可搬媒体内の個人情報は、暗号化された生体情報のみを格納し、仮に利用者が可搬媒体を紛失した場合でも、身分事項情報が含まれていないことから、個人を特定することは不可能なものとする。
【発明の効果】
【0019】
本発明によれば、個人管理番号、生体情報及びステータスフラグが格納された可搬媒体のみを利用者が所持することで、大規模な身分事項及び生体情報等の個人情報情報漏洩のリスク軽減、ステータスフラグを利用した厳格な入退場手続き、可搬媒体内の生体情報と生体認証装置から読み取った生体情報を照合することによる成りすましの防止、データベース内に保持される利用者の入退場時間及びグループコードを利用した個人単位もしくは組織単位での勤務時間管理、セキュリティエリアの利用可能時間制限を行うことによる管理者の負担軽減を実現することが可能である。
【発明を実施するための最良の形態】
【0020】
以下に、本発明の実施の形態を説明する。
【実施例1】
【0021】
以下、本発明の個人認証システム実施形態を、図面に基づいて説明する。ただし、この実施形態に記載される構成要素、種類、組み合わせは、説明例であり、本発明はこれらの記載に限定されるものではない。
【0022】
図1は、本実施形態における個人認証システムの構成を示す図である。個人認証システムは、認証システムサーバ10、申請登録用装置160、生体認証装置200、生体認証装置220及び生体認証装置300によって構成される。認証システムサーバ10では、申請登録用装置160、生体認証装置200、生体認証装置220、生体認証装置300より、個人管理番号や生体情報を取得し、入退場の管理を行うことが可能である。
【0023】
認証システムサーバ10は、メモリ等の記憶装置20とデータベース100によって構成され、通信制御部40により、申請登録用装置160、生体認証装置200及び生体認証装置220との通信を相互に可能としている。
【0024】
記憶装置20では、データベース100に生体情報を保管することなく個人認証システムを実現するため、一時的に生体情報を含む個人情報を、個人情報等保管領域30に保管し、入退場管理を実現可能としている。なお、個人情報等保管領域30に保管された情報は、各入退場処理が終了時に、即時削除される。
【0025】
認証制御部50では、生体認証60、不正利用者チェック70、利用者登録80等を含めた、入退場管理に必要とされる機能を実現可能とする。なお、データベース制御部90を用いて、データベース100から、上記機能を実現する上で必要となる情報を取得可能である。
【0026】
データベース100は、個人管理番号情報データベース110、不正利用者情報データベース120、グループコード情報データベース130、入退履歴管理情報データベース140及びセキュリティゾーン情報データベース150によって構成される。
【0027】
申請登録用装置160は、申請登録端末170、可搬媒体読取装置180及び生体情報読取装置190によって構成される。なお、申請登録端末170では、可搬媒体読取装置180と生体情報読取装置190との通信・読取制御部が可能であり、可搬媒体読取装置180と生体情報読取装置190にて取得した、身分事項情報及び生体情報等の個人情報は、申請登録端末170を介して認証システムサーバ10へ送信される。
【0028】
生体認証装置200は、入場審査端末210、可搬媒体読取装置180及び生体情報読取装置190によって構成される。なお、入場審査端末210では、可搬媒体読取装置180と生体情報読取装置190との通信・読取制御部が可能であり、可搬媒体読取装置180と生体情報読取装置190にて取得した、個人管理番号及び生体情報等の個人情報は、入場審査端末210を介して認証システムサーバ10へ送信される。
【0029】
生体認証装置220は、退場審査端末290、可搬媒体読取装置180及び生体情報読取装置190によって構成される。なお、退場審査端末290では、可搬媒体読取装置180と生体情報読取装置190との通信・読取制御部が可能であり、可搬媒体読取装置180と生体情報読取装置190にて取得した、個人管理番号及び生体情報等の個人情報は、退場審査端末230を介して認証システムサーバ10へ送信される。
【0030】
生体認証装置300は、内部認証端末230、可搬媒体読取装置180及び生体情報読取装置190によって構成される。なお、内部認証端末230では、可搬媒体読取装置180と生体情報読取装置190との通信・読取制御部が可能であり、可搬媒体読取装置180と生体情報読取装置190にて取得した、個人管理番号及び生体情報等の個人情報は、内部認証端末230を介して認証システムサーバ10へ送信される。
【0031】
図2は、本実施形態における個人認証システムにおいて使用される機器が、どのように配置されるのか、一例を示したものであり、申請ゾーン250とセキュリティゾーン260により構成される。なお、図2に明示されていないが、認証システムサーバ10は、システム管理者以外が容易に使用することを困難とする、セキュリティが十分に確保された場所に設置されているものとする。
【0032】
申請ゾーン250は、本発明における、個人認証システムの申請窓口であり、申請者270より個人認証システムの登録、登録内容変更又は登録解除の依頼を受けたシステム管理者260が、登録、登録内容変更又は登録解除業務を実施する。登録申請時には、システム管理者260が、申請者270の身分事項情報及び生体情報を、申請登録用装置160を用いて、可搬媒体240へと登録を行い、申請者270へ交付する。登録解除時には、システム管理者260が、可搬媒体240に登録されている申請者270の身分事項情報及び生体情報を削除し、可搬媒体240の回収を行う。また、管理者は、利用者からFAXやE-Mail等の電子的な通信手段にてデータベース内に登録された身分事項情報の変更を依頼された場合には、利用者から公開管理番号を取得の上、登録内容変更作業を行う。利用者が直接申請ゾーン250に訪れた場合には、公開管理番号もしくは可搬媒体読取装置180にて利用者の可搬媒体240から読み取った管理番号を使用し、登録内容変更作業を行うことが可能である。
【0033】
セキュリティゾーン260は、登録申請を済ませた個人認証システム利用者が利用する、入退場の制限された区域である。セキュリティゾーン260内には、第一区域270と第二区域280の二つの区域がある。第一区域270は、個人認証システムに登録された利用者であれば、誰でも制限無く入場が可能な区域である。第一区域270への入場は、生体認証装置200にて、可搬媒体240内の個人管理番号とデータベース内の個人管理番号の照合及び可搬媒体240内の生体情報と生体認証装置200にて取得した利用者の生体情報の照合を行い、問題が無ければ入場可能となる。また、その際、第一区域270へ入場した旨、可搬媒体240及びデータベースへステータスフラグが設定される。第二区域280は、複数のセキュリティレベル(システム管理者、関係者、一般利用者等)毎に分かれた区域で構成されており、システム上に登録されたセキュリティレベルに応じた区域のみに入場が制限される。第二区域280への入場は、生体認証装置300にて、可搬媒体240内のステータスフラグとデータベース内のステータスフラグが一致しているかの照合及び可搬媒体240内の生体情報と生体認証装置300にて取得した利用者の生体情報の照合を行い、問題が無ければ入場可能となる。また、第一区域からの退場時には、生体認証装置220にて、可搬媒体240内のステータスフラグとデータベース内のステータスフラグが一致しているかの照合及び可搬媒体240内の生体情報と生体認証装置220にて取得した利用者の生体情報の照合を行い、問題がなければ、可搬媒体240及びデータベース100の記憶情報からステータスフラグを削除の上、退場が可能となる。
【0034】
ここで、図1に示す各データベース(110、120、130、140、150)に記憶されている情報と、可搬媒体240に記憶されている情報を、図13〜図18を参照し説明する。
【0035】
図13は、個人管理番号情報データベース110に記憶されている情報を示すものであり、本個人認証システム利用者に関する情報が格納されている。個人管理番号111は、本個人認証システムへの登録申請時に利用者に対して付与されるユニークな番号であり、本個人認証システムにおける利用者情報の検索処理を実施する際にキーとなる情報である。公開管理番号112は、一般的に公開可能な管理番号であり、管理者は本情報を元にデータベース内の登録情報の変更を行うことが可能である。身分事項情報113は、利用者の性別、名前、住所等の個人情報である。グループコード114は、利用者が所属する組織等を示したコードである。ステータスフラグ115は、利用者が生体認証装置200、生体認証装置220及び生体認証装置300を使用した際に設定される情報であり、「入場」、「退場」及び「内部認証」等、利用者が最後に行った操作が判別可能である。無効フラグ116は、利用者が過去に不正な行為を働いた場合等に、本個人認証システムの利用を無効にするためのフラグである。公開鍵117及び秘密鍵118は、可搬媒体240内に生体情報を格納する場合及び可搬媒体240から読み取った暗号化された生体情報を復号化する際に使用する情報である。登録年月日時分秒119は、利用者が登録可能となった、年月日時分秒を示す情報である。登録訂正年月日時分秒11Aは、登録されている利用者の登録情報を訂正した年月日時分秒を示す情報である。
【0036】
図14は、不正利用者情報データベース120に記憶されている情報を示すものであり、本個人認証システムにおける、不正利用者に関する情報が格納されている。不正利用者管理番号121には、不正利用者の個人管理番号111が格納されており、利用者の本個人認証システム登録申請時に、身分事項情報122記載の身分事項情報と登録申請時に提出された身分事項情報の照合を行い、不正利用者でないかの確認を行う。グループコード123は、本個人認証システムへの登録申請時に組織等に対して付与されるユニークな番号である。
【0037】
図15は、グループコード情報データベース130に記憶されている情報を示すものであり、本個人認証システムに登録されている組織等に関する情報が格納されている。グループコード131は、本個人認証システムへの登録申請時に組織等に対して付与されるユニークな番号である。組織情報132は、組織等の組織名、住所、電話番号等の組織情報である。セキュリティレベル133は、グループ毎に付与され、第二区域280内の各セキュリティレベルゾーンへの入退場可否を判別するために使用される権限情報である。例えば、セキュリティレベル133がAである場合には、第二区域280内のセキュリティレベルゾーン3、5に入退場可能である等の設定が可能である。
【0038】
図16は、入退履歴管理情報140に記憶されている情報を示すものであり、利用者が生体認証装置200、生体認証装置220及び生体認証装置300を使用したタイミングの時間等の履歴情報が格納されている。個人管理番号141には、生体認証装置200、生体認証装置220及び生体認証装置300を利用者が使用した際に、個人管理番号111が格納される。通番142は、利用者が生体認証装置200、生体認証装置220及び生体認証装置300を使用する度に1から順に番号が増加され,各操作毎の情報を保持するために使用される。ステータスフラグ143には、生体認証装置200、生体認証装置220及び生体認証装置300において、どのような操作を行ったかという情報を格納されている。年月日時分秒144は、各操作を行った際の年月日時分秒である。セキュリティゾーン番号145は、第二区域280内において、セキュリティレベル133に応じて設けられる複数のゾーンに対して付与されるユニークな番号であり、ここでは、利用者がどのゾーンに入退場を行ったかの情報を示している。グループコード146は、本個人認証システムへの登録申請時に組織等に対して付与されるユニークな番号であり、本コードを使用することで、グループ単位での入退場管理を行うことが可能である。
【0039】
図17は、セキュリティゾーン情報データベース130に記憶されている情報を示すものであり、本個人認証システムの第二区域280内のセキュリティゾーンに関する情報が格納されている。セキュリティゾーン番号151は、各セキュリティゾーンに付与されるユニークな番号である。セキュリティゾーン名152は、セキュリティゾーン番号151に対応する名称である。セキュリティレベル153は、該当のセキュリティゾーン151へのセキュリティのレベルを表すレベルである。利用可能曜日154は、セキュリティゾーン151が利用可能な曜日である。利用可能開始時刻(時分秒)155及び利用可能終了時刻(時分秒)156には、該当のセキュリティゾーン151が利用可能となる開始時刻及び利用不可となる終了時刻が格納されている。
【0040】
図18は、可搬媒体240内の情報を示すものである。個人管理番号241は、生体認証装置200、生体認証装置220及び生体認証装置300において読み取られる情報であり、本情報を用いて、データベース内の利用者情報の検索を行う。ステータスフラグ242は、利用者が生体認証装置200、生体認証装置220及び生体認証装置300を使用した際に設定される情報であり、「入場」、「退場」及び「内部認証」等、利用者が最後に行った操作が格納される。生体情報(暗号化)243には、利用者の生体情報が暗号化された上で格納されており、生体認証装置200、生体認証装置220及び生体認証装置300を使用時に、利用者の生体情報と可搬媒体240内の生体情報(暗号化)243が一致するか照合を行う際に使用する。
【0041】
次に、第一実施形態による個人認証システムの動作について、図3〜図8に示すシーケンスを参照し説明する。
【0042】
図3は、個人認証システム管理者が申請登録用装置160を用いて、新規利用者の身分事項情報及び発行された個人管理番号をデータベースに格納させ、また、可搬媒体240には、利用者より取得する生体情報を登載するシーケンスを示す図である。同図において、申請者270は生体情報読取装置190より生体情報を読み取った後(ステップS1901)、申請登録端末160から身分事項情報を入力(ステップS1701)し、取得した生体情報及び入力された身分事項情報は申請登録端末160から認証システムサーバ10へと送信される(ステップS1702)。認証システムサーバ10は受信した身分事項情報及び生体情報をメモリに格納(ステップS101)した後、生体情報が正常に登録されたことを確認するため、生体情報再取得処理を開始する(ステップS102)。申請登録端末160は、生体情報取得要求を生体情報読取装置190へと伝え(ステップS1703)、生体情報読取装置190は利用者から再度生体情報を取得し(ステップS1902)、その生体情報を認証システムサーバ10へと送信する(ステップS1704)。認証システムサーバ10では、メモリに格納した生体情報と再度取得した生体情報を照合(ステップS103)し、問題が無ければ、身分事項情報を用いて、データベース内の不正利用者に該当しないかのチェックを行う(ステップS104)。チェックにおいて、不正利用者に該当しないことが確認できた場合は、個人管理番号情報データベース110に身分事項情報を登録(ステップS105)し、公開鍵117を用いて暗号化した生体情報(ステップS106)と新規に発行された個人管理番号を申請登録端末160へ送信(ステップS107)し、申請登録端末160から可搬媒体240への暗号化された生体情報と個人管理番号の書き込み要求が可搬媒体読取装置180に送信される(ステップS1705)。なお、ステップS106において、暗号化する生体情報はステップS1702で受信した生体情報又はステップ1704で受信した生体情報の何れを用いても良い。
可搬媒体読取装置は受信した暗号化された生体情報と個人管理番号を可搬媒体240に書き込み、書き込みが完了した旨を申請登録端末160へ通知する(ステップS1801。登録申請端末160は、可搬媒体240への書き込み完了通知を認証システムサーバ10に送信(ステップS1706)し、その通知を受けた認証システムサーバ10はメモリに格納されている身分事項情報及び生体情報を削除(ステップS108)し、登録処理を終了する。なお、ステップS103又はステップS104において、問題が検知された場合には、メモリに格納されている身分事項情報及び生体情報を削除し、登録処理を終了する。
【0043】
図4は、個人認証システムの利用者が生体認証装置200を用いて、セキュリティゾーン260内の第一区域270へ入場を行う際のシーケンスを示す図である。利用者は、可搬媒体240内の暗号化された生体情報、個人管理番号及びステータスフラグを、可搬媒体読取装置180により読み取らせ(ステップS1811)、更に生体情報読取装置190より利用者の生体情報を読み取らせ(ステップS1911)、入場審査端末210にその情報を送信する。入場審査端末210では、受信した暗号化された生体情報、個人管理番号、ステータスフラグ及び生体情報読取装置190より取得した生体情報を認証システムサーバ10に送信する(ステップS2111)。認証システムサーバ10では、まず、秘密鍵118を用いて、暗号化されている生体情報の復号(ステップS111)を行い、復号した生体情報、個人管理番号、ステータスフラグ及び取得した生体情報をメモリに格納する(ステップS112)。次に、個人管理番号を用いて、関連データベースを検索し(ステップS113)、個人管理番号が存在する、無効フラグがたっていない、ステータスフラグが適切及び利用可能時間帯であるかをチェックし、該当利用者の第一区域270への入場可否を判断する(ステップS114)。具体的には、認証システムサーバ10は、認証ステップ2111で受信した個人管理番号に基づき個人管理番号情報データベース110を検索し、該当個人管理番号の有無をチェックし、該当個人管理番号111が有る場合、ステータスフラグ115が適切、かつ無効フラグ116が立っていない場合、予め定められている第一区域270の利用可能日時情報と現在日時情報とから当該利用者の第一区域270への入場可否を判断する。個人管理番号111が個人管理番号情報110にない、あるいはステータスフラグ115が不適切、あるいは無効フラグ116が立っている場合には、認証システムサーバ10は、この利用者は第一区域270へは入場不可と判断する。入場可と判断された場合は、認証システムサーバ10は、復号化した生体情報と生体情報読取装置190より取得した生体情報を照合し、可搬媒体240所持者と異なる人物が入場しようとしていないかを判別する(ステップS115)。照合の結果、同一人物であると判断されると、個人管理番号情報データベース110のステータスフラグを「入場」と判断可能な状態に更新(ステップS116)し、入退履歴管理情報データベース140に入場を示す情報とともに入場した年月日時分秒を登録する(ステップS117)。次に、認証システムサーバ10より入場審査端末210に対して、更新したステータスフラグを送信(ステップS118)し、入場審査端末210から可搬媒体読取装置180に対して、可搬媒体240へのステータスフラグ書き込み要求が送信される(ステップS2112)。書き込み要求を受信した可搬媒体読取装置180は、可搬媒体240へステータスフラグの書き込み(ステップS1812)を行ったのち、入場審査端末210へ可搬媒体240へのステータスフラグ書き込みが完了した旨通知を行い、入場審査端末210から認証システムサーバ10へ同様に、書き込み完了通知を送信する(ステップS2113)。完了通知を受信した認証システムサーバ10は、メモリに格納された生体情報、個人管理番号及びステータスフラグを削除(ステップS119)し、入場処理を終了する。なお、ステップS114又はステップS115において、問題が検知された場合には、メモリに格納されている生体情報、個人管理番号及びステータスフラグを削除し、入場処理を終了する。
【0044】
図5は、個人認証システムの利用者が生体認証装置300を用いて、セキュリティゾーン260内の第二区域280へ内部認証を行う際のシーケンスを示す図である。利用者は、可搬媒体240内の暗号化された生体情報、個人管理番号及びステータスフラグを、可搬媒体読取装置180により読み取らせ(ステップS1821)、更に生体情報読取装置190より利用者の生体情報を読み取らせ(ステップS1921)、内部認証端末230にその情報を送信する。内部認証端末230では、受信した暗号化された生体情報、個人管理番号、ステータスフラグ及び生体情報読取装置190より取得した生体情報を認証システムサーバ10に送信する(ステップS2321)。認証システムサーバ10では、まず、秘密鍵118を用いて、暗号化されている生体情報の復号(ステップS121)を行い、復号した生体情報、個人管理番号、ステータスフラグ及び取得した生体情報をメモリに格納する(ステップS122)。次に、個人管理番号を用いて、関連データベースを検索し(ステップS123)、無効フラグがたっていない、ステータスフラグが適切、利用者のセキュリティレベルにて第二区域への入場が可能及び利用可能時間帯であるかをチェックし、該当利用者の第二区域280への入場可否を判断する(ステップS124)。
具体的には、具体的には、認証システムサーバ10は、認証ステップ2321で受信した個人管理番号に基づき個人管理番号情報データベース110を検索し、該当個人管理番号の有無をチェックし、該当個人管理番号111が有る場合、ステータスフラグ115が適切、かつ無効フラグ116が立っていない場合、予め定められている第一区域270の利用可能日時情報と現在日時情報とから当該利用者の第二区域280への入場可否を判断する。入場可と判断された場合は、認証システムサーバ10は、復号化した生体情報と生体情報読取装置190より取得した生体情報を照合し、可搬媒体240所持者と異なる人物が入場しようとしていないかを判別する(ステップS125)。照合の結果、同一人物であると判断されると、個人管理番号情報データベース110のステータスフラグを「内部認証」と判断可能な状態に更新(ステップS126)し、入退履歴管理情報データベースに入場した年月日時分秒を登録する(ステップS127)。次に、認証システムサーバ10より内部認証端末230に対して、更新したステータスフラグを送信(ステップS128)し、内部認証端末230から可搬媒体読取装置180に対して、可搬媒体240へのステータスフラグ書き込み要求が送信される(ステップS2322)。書き込み要求を受信した可搬媒体読取装置180は、可搬媒体240へステータスフラグの書き込み(ステップS1822)を行ったのち、内部認証端末230へ可搬媒体240へのステータスフラグ書き込みが完了した旨通知を行い、内部認証端末230から認証システムサーバ10へ同様に、書き込み完了通知を送信する(ステップS2323)。完了通知を受信した認証システムサーバ10は、メモリに格納された生体情報、個人管理番号及びステータスフラグを削除(ステップS129)し、内部認証処理を終了する。なお、ステップS124又はステップS125において、問題が検知された場合には、メモリに格納されている生体情報、個人管理番号及びステータスフラグを削除し、内部認証処理を終了する。
【0045】
図6は、個人認証システムの利用者が生体認証装置220を用いて、セキュリティゾーン260内の第一区域270から退場を行う際のシーケンスを示す図である。利用者は、可搬媒体240内の暗号化された生体情報、個人管理番号及びステータスフラグを、可搬媒体読取装置180により読み取らせ(ステップS1831)、更に生体情報読取装置190より利用者の生体情報を読み取らせ(ステップS1931)、退場審査端末290にその情報を送信する。退場審査端末290では、受信した暗号化された生体情報、個人管理番号、ステータスフラグ及び生体情報読取装置190より取得した生体情報を認証システムサーバ10に送信する(ステップS2131)。認証システムサーバ10では、まず、秘密鍵118を用いて、暗号化されている生体情報の復号(ステップS131)を行い、復号した生体情報、個人管理番号、ステータスフラグ及び取得した生体情報をメモリに格納する(ステップS132)。次に、個人管理番号を用いて、関連データベースを検索し(ステップS133)、個人管理番号か存在する、無効フラグがたっていない及びステータスフラグが適切であるかをチェックし、該当利用者の第一区域270からの退場可否を判断する(ステップS134)。具体的には、認証システムサーバ10は、認証ステップ2131で受信した個人管理番号に基づき個人管理番号情報データベース110を検索し、該当個人管理番号の有無をチェックし、該当個人管理番号111が有る場合、ステータスフラグ115が適切、かつ無効フラグ116が立っていない場合、予め定められている第一区域270の利用可能日時情報と現在日時情報とから当該利用者の第一区域270からの退場可否を判断する。退場可と判断された場合は、復号化した生体情報と生体情報読取装置190より取得した生体情報を照合し、可搬媒体240所持者と異なる人物が退場しようとしていないかを判別する(ステップS135)。照合の結果、同一人物であると判断されると、個人管理番号情報データベース110のステータスフラグを「退場」と判断可能な状態に更新(ステップS136)し、入退履歴管理情報データベースに退場した年月日時分秒を登録する(ステップS137)。次に、認証システムサーバ10より退場審査端末290に対して、更新したステータスフラグを送信(ステップS138)し、退場審査端末290から可搬媒体読取装置180に対して、可搬媒体240へのステータスフラグ書き込み要求が送信される(ステップS2132)。書き込み要求を受信した可搬媒体読取装置180は、可搬媒体240へステータスフラグの書き込み(ステップS1832)を行ったのち、退場審査端末290へ可搬媒体240へのステータスフラグ書き込みが完了した旨通知を行い、退場審査端末290から認証システムサーバ10へ同様に、書き込み完了通知を送信する(ステップS2133)。完了通知を受信した認証システムサーバ10は、メモリに格納された生体情報、個人管理番号及びステータスフラグを削除(ステップS139)し、退場処理を終了する。なお、ステップS134又はステップS135において、問題が検知された場合には、メモリに格納されている生体情報、個人管理番号及びステータスフラグを削除し、退場処理を終了する。
【0046】
図7は、個人認証システム管理者が申請登録用装置160を用いて、登録解除の申請を行っている申請者の登録解除を行う際のシーケンスを示す図である。管理者は、登録解除申請を行っている利用者の可搬媒体240内の暗号化された生体情報及び個人管理番号を、可搬媒体読取装置180により読み取らせ(ステップS1841)、更に生体情報読取装置190より利用者の生体情報を読み取らせ(ステップS1941)、申請登録用装置160にその情報を送信する。申請登録用装置160では、受信した暗号化された生体情報、個人管理番号及び生体情報読取装置190より取得した生体情報を認証システムサーバ10に送信する(ステップS1741)。認証システムサーバ10では、まず、暗号化されている生体情報の復号(ステップS141)を行い、復号した生体情報、個人管理番号及び取得した生体情報をメモリに格納する(ステップS142)。次に、個人管理番号を用いて、システム上を検索し(ステップS143)、個人管理番号か存在するかをチェックし、該当利用者の登録解除可否を判断する(ステップS144)。登録解除可と判断された場合は、復号化した生体情報と生体情報読取装置190より取得した生体情報を照合し、可搬媒体240所持者と異なる人物が登録解除しようとしていないかを判別する(ステップS145)。照合の結果、同一人物であると判断されると、個人管理番号情報データベース110の該当個人管理番号レコードを削除する(ステップS146)。次に、認証システムサーバ10より申請登録用装置160に対して、該当個人管理番号レコードを削除した旨送信(ステップS147)し、申請登録用装置160から可搬媒体読取装置180に対して、可搬媒体240へ可搬媒体240上の全情報削除の要求を送信する(ステップS1742)。全情報削除要求を受信した可搬媒体読取装置180は、可搬媒体240から全情報の削除(ステップS1842)を行ったのち、申請登録用装置160へ可搬媒体240の全情報削除が完了した旨通知を行い、申請登録用装置160から認証システムサーバ10へ同様に、削除完了通知を送信する(ステップS1743)。完了通知を受信した認証システムサーバ10は、メモリに格納された生体情報及び個人管理番号を削除(ステップS148)し、登録解除処理を終了する。なお、ステップS144又はステップS145において、問題が検知された場合には、メモリに格納されている生体情報及び個人管理番号を削除し、登録解除処理を終了する。
【0047】
図8は、個人認証システム管理者が申請登録用装置160を用いて、登録内容修正の申請を行っている申請者の登録内容修正を行う際のシーケンスを示す図である。管理者は、登録内容修正申請を行っている利用者の可搬媒体240内の暗号化された生体情報及び個人管理番号を、可搬媒体読取装置180により読み取らせ(ステップS1851)、更に生体情報読取装置190より利用者の生体情報を読み取らせ(ステップS1951)、申請登録用装置160にその情報を送信する。申請登録用装置160では、受信した暗号化された生体情報、個人管理番号及び生体情報読取装置190より取得した生体情報を認証システムサーバ10に送信する(ステップS1751)。認証システムサーバ10では、まず、秘密鍵118を用いて、暗号化されている生体情報の復号(ステップS151)を行い、復号した生体情報、個人管理番号及び取得した生体情報をメモリに格納する(ステップS152)。次に、個人管理番号を用いて、システム上を検索し(ステップS153)、個人管理番号か存在するか、無効フラグがたっていないをチェックし、該当利用者の登録内容修正可否を判断する(ステップS154)。登録内容修正可と判断された場合は、復号化した生体情報と生体情報読取装置190より取得した生体情報を照合し、可搬媒体240所持者と異なる人物が登録内容修正しようとしていないかを判別する(ステップS155)。照合の結果、同一人物であると判断されると、認証システムサーバ10から身分事項情報を申請登録用装置160に送信し(ステップS156)、管理者は申請登録用装置160から身分事項情報を修正(ステップS1752)の上、認証システムサーバ10に修正情報を送信する(ステップS1753)。次に、認証システムサーバ10では、受信した身分事項情報(修正情報)をメモリに格納(ステップS157)し、管理者に対して確認を行ってもらうべく、身分事項情報(修正情報)を申請登録用装置160に送信する(ステップS158)。管理者は、身分事項情報(修正情報)を申請登録用装置160にて確認(ステップS1754)する。身分事項情報(修正情報)に問題が無ければ、認証システムサーバ10にて、個人管理番号情報データベース110の身分事項情報を修正する(ステップS159)。次に、認証システムサーバ10より申請登録用装置160に対して、身分事項情報を修正した旨送信(ステップS15A)し、メモリに格納された身分事項情報、生体情報及び個人管理番号を削除し、登録内容修正処理を終了する。なお、ステップS154又はステップS155において、問題が検知された場合には、メモリに格納されている身分事項情報、生体情報及び個人管理番号を削除し、登録内容修正処理を終了する。
【実施例2】
【0048】
図10は、個人認証システムの利用者が生体認証装置200を用いて、セキュリティゾーン260内の第一区域270へ入場を行う際のシーケンスを示す図である。但し、図10のフローは、本個人認証システム導入者からコスト低減の要望があった場合に対応可能するために、生体認証装置200内における生体情報読取装置190の設置を行わない場合のフロー図である。利用者は、可搬媒体240内の暗号化された個人管理番号及びステータスフラグを、可搬媒体読取装置180により読み取らせ(ステップS1871)、入場審査端末210にその情報を送信する。入場審査端末210では、受信した個人管理番号及びステータスフラグを認証システムサーバ10に送信する(ステップS2171)。認証システムサーバ10では、まず、個人管理番号及びステータスフラグをメモリに格納する(ステップS172)。次に、個人管理番号を用いて、システム上を検索し(ステップS173)、個人管理番号が存在する、無効フラグがたっていない、ステータスフラグが適切及び利用可能時間帯であるかをチェックし、該当利用者の第一区域270への入場可否を判断する(ステップS173)。入場可と判断された場合は、個人管理番号情報データベース110のステータスフラグを「入場」と判断可能な状態に更新(ステップS174)し、入退履歴管理情報データベースに入場した年月日時分秒を登録する(ステップS175)。次に、認証システムサーバ10より入場審査端末210に対して、更新したステータスフラグを送信(ステップS176)し、入場審査端末210から可搬媒体読取装置180に対して、可搬媒体240へのステータスフラグ書き込み要求が送信される(ステップS2172)。書き込み要求を受信した可搬媒体読取装置180は、可搬媒体240へステータスフラグの書き込み(ステップS1872)を行ったのち、入場審査端末210へ可搬媒体240へのステータスフラグ書き込みが完了した旨通知を行い、入場審査端末210から認証システムサーバ10へ同様に、書き込み完了通知を送信する(ステップS2173)。完了通知を受信した認証システムサーバ10は、メモリに格納された個人管理番号及びステータスフラグを削除(ステップS177)し、入場処理を終了する。なお、ステップS173において、問題が検知された場合には、メモリに格納されている個人管理番号及びステータスフラグを削除し、入場処理を終了する。
【0049】
図11は、個人認証システムの利用者が生体認証装置300を用いて、セキュリティゾーン260内の第二区域280へ内部認証を行う際のシーケンスを示す図である。但し、図11のフローは、本個人認証システム導入者からコスト低減の要望があった場合に対応可能するために、生体認証装置300内における生体情報読取装置190の設置を行わない場合のフロー図である。利用者は、可搬媒体240内の暗号化された個人管理番号及びステータスフラグを、可搬媒体読取装置180により読み取らせ(ステップS1881)、内部認証端末230にその情報を送信する。内部認証端末230では、受信した個人管理番号及びステータスフラグを認証システムサーバ10に送信する(ステップS2381)。認証システムサーバ10では、まず、個人管理番号及びステータスフラグをメモリに格納する(ステップS182)。次に、個人管理番号を用いて、システム上を検索し(ステップS183)、無効フラグがたっていない、ステータスフラグが適切、利用者のセキュリティレベルにて第二区域への入場が可能及び利用可能時間帯であるかをチェックし、該当利用者の第二区域280への入場可否を判断する(ステップS184)。入場可と判断された場合は、個人管理番号情報データベース110のステータスフラグを「内部認証」と判断可能な状態に更新(ステップS185)し、入退履歴管理情報データベースに入場した年月日時分秒を登録する(ステップS186)。次に、認証システムサーバ10より内部認証端末230に対して、更新したステータスフラグを送信(ステップS187)し、内部認証端末230から可搬媒体読取装置180に対して、可搬媒体240へのステータスフラグ書き込み要求が送信される(ステップS2382)。書き込み要求を受信した可搬媒体読取装置180は、可搬媒体240へステータスフラグの書き込み(ステップS1882)を行ったのち、内部認証端末230へ可搬媒体240へのステータスフラグ書き込みが完了した旨通知を行い、内部認証端末230から認証システムサーバ10へ同様に、書き込み完了通知を送信する(ステップS2383)。完了通知を受信した認証システムサーバ10は、メモリに格納された個人管理番号及びステータスフラグを削除(ステップS188)し、内部認証処理を終了する。なお、ステップS184において、問題が検知された場合には、メモリに格納されている個人管理番号及びステータスフラグを削除し、内部認証処理を終了する。
【0050】
図12は、個人認証システムの利用者が生体認証装置220を用いて、セキュリティゾーン260内の第一区域270から退場を行う際のシーケンスを示す図である。但し、図11のフローは、本個人認証システム導入者からコスト低減の要望があった場合に対応可能するために、生体認証装置220内における生体情報読取装置190の設置を行わない場合のフロー図である。利用者は、可搬媒体240内の個人管理番号及びステータスフラグを、可搬媒体読取装置180により読み取らせ(ステップS1891)、退場審査端末290にその情報を送信する。退場審査端末290では、受信した個人管理番号及びステータスフラグを認証システムサーバ10に送信する(ステップS2191)。認証システムサーバ10では、まず、個人管理番号及びステータスフラグをメモリに格納する(ステップS191)。次に、個人管理番号を用いて、システム上を検索し(ステップS192)、個人管理番号か存在する、無効フラグがたっていない及びステータスフラグが適切であるかをチェックし、該当利用者の第一区域270からの退場可否を判断する(ステップS193)。退場可と判断された場合は、個人管理番号情報データベース110のステータスフラグを「退場」と判断可能な状態に更新(ステップS194)し、入退履歴管理情報データベースに退場した年月日時分秒を登録する(ステップS195)。次に、認証システムサーバ10より退場審査端末290に対して、更新したステータスフラグを送信(ステップS196)し、退場審査端末290から可搬媒体読取装置180に対して、可搬媒体240へのステータスフラグ書き込み要求が送信される(ステップS2192)。書き込み要求を受信した可搬媒体読取装置180は、可搬媒体240へステータスフラグの書き込み(ステップS1892)を行ったのち、退場審査端末290へ可搬媒体240へのステータスフラグ書き込みが完了した旨通知を行い、退場審査端末290から認証システムサーバ10へ同様に、書き込み完了通知を送信する(ステップS2193)。完了通知を受信した認証システムサーバ10は、メモリに格納された個人管理番号及びステータスフラグを削除(ステップS197)し、退場処理を終了する。なお、ステップS193において、問題が検知された場合には、メモリに格納されている個人管理番号及びステータスフラグを削除し、退場処理を終了する。
【実施例3】
【0051】
図9は、個人認証システム管理者が申請登録用装置160を用いて、組織情報に関する登録内容修正の申請を行っている複数申請者の登録内容修正を行う際のシーケンスを示す図である。本実施けたいでは管理者は、登録内容修正申請を行っている複数利用者の可搬媒体240内の個人管理番号を、可搬媒体読取装置180により読み取らせ(ステップS1861、ステップS1862)、申請登録用装置160にその情報を送信する。申請登録用装置160では、個人管理番号を認証システムサーバ10に送信する(ステップS1761)。認証システムサーバ10では、まず、個人管理番号をメモリに格納する(ステップS161)。次に、個人管理番号を用いて、システム上を検索し(ステップS162)、個人管理番号か存在するか、無効フラグがたっていないをチェックし、該当複数利用者の登録内容修正可否を判断する(ステップS163)。登録内容修正可と判断された場合は、認証システムサーバ10から複数利用者の組織情報を申請登録用装置160に送信し(ステップS164)、管理者は申請登録用装置160から組織情報を修正(ステップS1762)の上、認証システムサーバ10に修正情報を送信する(ステップS1763)。次に、認証システムサーバ10では、受信した組織情報(修正情報)をメモリに格納(ステップS165)し、管理者に対して確認を行ってもらうべく、身分事項情報(修正情報)を申請登録用装置160に送信する(ステップS166)。管理者は、身分事項情報(修正情報)を申請登録用装置160にて確認(ステップS1764)する。身分事項情報(修正情報)に問題が無ければ、認証システムサーバ10にて、グループコード情報データベース130の組織情報を修正する(ステップS167)。次に、認証システムサーバ10より申請登録用装置160に対して、組織情報を修正した旨送信(ステップS168)し、メモリに格納された個人管理番号を削除し、組織情報に関する登録内容修正処理を終了する。なお、ステップS163において、問題が検知された場合には、メモリに格納されている個人管理番号を削除し、組織情報に関する登録内容修正処理を終了する。
【0052】
認証システムサーバ10は、組織情報と入退場した時間情報に基づいて前記利用者が属する組織単位での勤務時間を集計することができる。
【図面の簡単な説明】
【0053】
【図1】第一実施形態による個人認証システムの構成を示す図である。
【図2】第一実施形態による個人認証システム装置の配置図である。
【図3】第一実施形態による個人認証システムの登録処理を示すシーケンスである。
【図4】第一実施形態による個人認証システムの入場処理を示すシーケンスである。
【図5】第一実施形態による個人認証システムの内部認証処理を示すシーケンスである。
【図6】第一実施形態による個人認証システムの退場処理を示すシーケンスである。
【図7】第一実施形態による個人認証システムの登録解除処理を示すシーケンスである。
【図8】第一実施形態による個人認証システムの登録内容修正処理を示すシーケンスである。
【図9】第三実施形態による個人認証システムの登録内容修正処理(一括処理)を示すシーケンスである。
【図10】第二実施形態による個人認証システムの入場処理(生体情報無し)を示すシーケンスである。
【図11】第二実施形態による個人認証システムの内部認証処理(生体情報無し)を示すシーケンスである。
【図12】第二実施形態による個人認証システムの退場処理(生体情報無し)を示すシーケンスである。
【図13】個人管理番号情報データベース110に記憶されている情報の一例を示す図である。
【図14】不正利用者情報データベース120に記憶されている情報の一例を示す図である。
【図15】グループコード情報データベース130に記憶されている情報の一例を示す図である。
【図16】入退履歴管理情報データベース140に記憶されている情報の一例を示す図である。
【図17】セキュリティゾーン情報データベース150に記憶されている情報の一例を示す図である。
【図18】可搬媒体240に登録されている情報の一例を示す図である。
【符号の説明】
【0054】
10・・・認証システムサーバ、20・・・記憶装置、40・・・通信制御部、50・・・認証制御部、90・・・データベース制御部、100・・・データベース、110・・・個人管理番号情報データベース、120・・・不正利用者情報データベース、130・・・グループコード情報データベース、140・・・入退履歴管理情報データベース、160・・・申請登録用装置、170・・・申請登録端末、180・・・可搬媒体読取装置、190・・・生体情報読取装置、200・・・生体認証装置、210・・・入場審査端末、220・・・生体認証装置、230・・・内部認証端末、240・・・可搬媒体、290・・・退場認証端末、300・・・生体認証装置。
【技術分野】
【0001】
本発明は、高セキュリティを求められる特定の区域への入退場において、生体情報を利用し、管理を行う技術に関する。
【背景技術】
【0002】
国際空港等の公共性の高い、特定の建物、会場、複数部屋等の区域への入退場に行う個人認証システムでは、身分事項情報、生体情報をデータベースへ格納し、入退場時の個人認証を行う技術がある。
【0003】
しかしながら、データベース内へ生体情報を格納した場合、悪意を持つ第三者等への生体情報漏洩時には、生体情報は生涯変更不可能な情報であり、身分事項情報との関連付けから個人の特定も容易であることから、生体情報管理者は常に甚大なリスクを背負う必要がある。
【0004】
【特許文献1】特開2001−76270号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
従来の個人認証システムでは、当該利用者が入場している間等の一時的な期間でも、データベース内で身分事項情報及び生体情報を管理しているために、個人情報の漏洩や悪用に対する一般利用者の不安が大きく、生体情報の登録においては、嫌悪感を示す利用者がいる。
【0006】
一方、特定区域への入退場管理者側としては、成りすましによる不正入場等の脅威を回避するために、情報漏洩等のリスクはあるものの、生体情報を有効に活用することは必須事項であると考えている。
【0007】
更に、従来の個人認証システムでは、入退場管理者は、入退場時の生体認証によるセキュリティの確保を行うことはできたが、出勤、退勤等の勤務時間管理については実現しておらず、個人認証システムは更なる利便性向上の余地を残していると言える。
【0008】
また、従来の個人認証システムでは、深夜帯等の明らかに利用を行っていない時間帯においても、該当のセキュリティエリアに入場する権限があれば、いつでも利用が可能であるため、入退場管理者は、常に全てのセキュリティエリアの監視を行う必要があり、負担は小さくないものとなっている。
【0009】
更に、特定区域への入退場管理者側には、入退場におけるセキュリティの向上や処理に必要な物の軽減等による、一般利用者に対する安心感・効率性の向上も実現したいという思いがある。
【0010】
また、従来の個人認証システムでは、可搬媒体の紛失時には、可搬媒体内に身分事項情報及び生体情報が両方とも登載されていることもあり、可搬媒体を紛失した場合には、個人情報漏えいのリスクもある。
【0011】
そこで、本発明では、データベース内に生体情報を保持させずに、個人情報として生体情報のみを格納する可搬媒体を使用することで、生体情報を利用することによる利便性と高セキュリティを確保することを課題とする。
【0012】
更に、本発明では、可搬媒体内に身分事項情報を格納しないことで、可搬媒体から身分事項情報と生体情報の関連付けを第三者が行えないようにし、可搬媒体紛失時においても、個人の特定を不可能とすることを課題とする。
【課題を解決するための手段】
【0013】
生体情報を暗号化の上、利用者側が所持する可搬媒体に格納し、可搬媒体内の個人情報を利用した個人認証システムを構築することで、情報漏洩のリスク分散を実現し、また、利用者側にて個人情報の管理が可能となるため、利用者の知らないところで情報漏洩が行われる等の危険性を低減する。
【0014】
前記可搬媒体内の個人情報に基づいた個人認証では、個人認証時に、可搬媒体内の生体情報と、生体情報読取装置にて取得した利用者の生体情報を照合することで、可搬媒体所持者が、成りすましによる不正入場を試みていないかの検知を行うことを可能とし、高セキュリティを実現可能とする。
【0015】
入退場時の生体認証によるセキュリティの確保に加え、利用者単位もしくは組織単位での勤務時間管理を併せて行うことが可能とすることで、管理者に対して、入退場管理だけではなく、更なる付加価値を加えることができる。
【0016】
深夜帯等の明らかに利用を行っていない時間帯においては、入退場の制限を行うことで、管理者が常に全てのセキュリティエリアを監視する負担から開放され、また、入場権限を有する利用者であっても、他の利用者がいない時間帯に侵入し、機密情報を持ち出す等の組織内不正の試みを防止することも可能となる。
【0017】
前記の入退場管理を、利用者が容易に持ち運び可能な可搬媒体のみで実現し、また、第一区域入場時等の各セキュリティエリアを経由する際に可搬媒体に格納される、ステータスフラグ等の入場や退場した旨判別可能な情報を利用することで、各セキュリティエリアへの入退場をより厳格なものとする。
【0018】
可搬媒体内の個人情報は、暗号化された生体情報のみを格納し、仮に利用者が可搬媒体を紛失した場合でも、身分事項情報が含まれていないことから、個人を特定することは不可能なものとする。
【発明の効果】
【0019】
本発明によれば、個人管理番号、生体情報及びステータスフラグが格納された可搬媒体のみを利用者が所持することで、大規模な身分事項及び生体情報等の個人情報情報漏洩のリスク軽減、ステータスフラグを利用した厳格な入退場手続き、可搬媒体内の生体情報と生体認証装置から読み取った生体情報を照合することによる成りすましの防止、データベース内に保持される利用者の入退場時間及びグループコードを利用した個人単位もしくは組織単位での勤務時間管理、セキュリティエリアの利用可能時間制限を行うことによる管理者の負担軽減を実現することが可能である。
【発明を実施するための最良の形態】
【0020】
以下に、本発明の実施の形態を説明する。
【実施例1】
【0021】
以下、本発明の個人認証システム実施形態を、図面に基づいて説明する。ただし、この実施形態に記載される構成要素、種類、組み合わせは、説明例であり、本発明はこれらの記載に限定されるものではない。
【0022】
図1は、本実施形態における個人認証システムの構成を示す図である。個人認証システムは、認証システムサーバ10、申請登録用装置160、生体認証装置200、生体認証装置220及び生体認証装置300によって構成される。認証システムサーバ10では、申請登録用装置160、生体認証装置200、生体認証装置220、生体認証装置300より、個人管理番号や生体情報を取得し、入退場の管理を行うことが可能である。
【0023】
認証システムサーバ10は、メモリ等の記憶装置20とデータベース100によって構成され、通信制御部40により、申請登録用装置160、生体認証装置200及び生体認証装置220との通信を相互に可能としている。
【0024】
記憶装置20では、データベース100に生体情報を保管することなく個人認証システムを実現するため、一時的に生体情報を含む個人情報を、個人情報等保管領域30に保管し、入退場管理を実現可能としている。なお、個人情報等保管領域30に保管された情報は、各入退場処理が終了時に、即時削除される。
【0025】
認証制御部50では、生体認証60、不正利用者チェック70、利用者登録80等を含めた、入退場管理に必要とされる機能を実現可能とする。なお、データベース制御部90を用いて、データベース100から、上記機能を実現する上で必要となる情報を取得可能である。
【0026】
データベース100は、個人管理番号情報データベース110、不正利用者情報データベース120、グループコード情報データベース130、入退履歴管理情報データベース140及びセキュリティゾーン情報データベース150によって構成される。
【0027】
申請登録用装置160は、申請登録端末170、可搬媒体読取装置180及び生体情報読取装置190によって構成される。なお、申請登録端末170では、可搬媒体読取装置180と生体情報読取装置190との通信・読取制御部が可能であり、可搬媒体読取装置180と生体情報読取装置190にて取得した、身分事項情報及び生体情報等の個人情報は、申請登録端末170を介して認証システムサーバ10へ送信される。
【0028】
生体認証装置200は、入場審査端末210、可搬媒体読取装置180及び生体情報読取装置190によって構成される。なお、入場審査端末210では、可搬媒体読取装置180と生体情報読取装置190との通信・読取制御部が可能であり、可搬媒体読取装置180と生体情報読取装置190にて取得した、個人管理番号及び生体情報等の個人情報は、入場審査端末210を介して認証システムサーバ10へ送信される。
【0029】
生体認証装置220は、退場審査端末290、可搬媒体読取装置180及び生体情報読取装置190によって構成される。なお、退場審査端末290では、可搬媒体読取装置180と生体情報読取装置190との通信・読取制御部が可能であり、可搬媒体読取装置180と生体情報読取装置190にて取得した、個人管理番号及び生体情報等の個人情報は、退場審査端末230を介して認証システムサーバ10へ送信される。
【0030】
生体認証装置300は、内部認証端末230、可搬媒体読取装置180及び生体情報読取装置190によって構成される。なお、内部認証端末230では、可搬媒体読取装置180と生体情報読取装置190との通信・読取制御部が可能であり、可搬媒体読取装置180と生体情報読取装置190にて取得した、個人管理番号及び生体情報等の個人情報は、内部認証端末230を介して認証システムサーバ10へ送信される。
【0031】
図2は、本実施形態における個人認証システムにおいて使用される機器が、どのように配置されるのか、一例を示したものであり、申請ゾーン250とセキュリティゾーン260により構成される。なお、図2に明示されていないが、認証システムサーバ10は、システム管理者以外が容易に使用することを困難とする、セキュリティが十分に確保された場所に設置されているものとする。
【0032】
申請ゾーン250は、本発明における、個人認証システムの申請窓口であり、申請者270より個人認証システムの登録、登録内容変更又は登録解除の依頼を受けたシステム管理者260が、登録、登録内容変更又は登録解除業務を実施する。登録申請時には、システム管理者260が、申請者270の身分事項情報及び生体情報を、申請登録用装置160を用いて、可搬媒体240へと登録を行い、申請者270へ交付する。登録解除時には、システム管理者260が、可搬媒体240に登録されている申請者270の身分事項情報及び生体情報を削除し、可搬媒体240の回収を行う。また、管理者は、利用者からFAXやE-Mail等の電子的な通信手段にてデータベース内に登録された身分事項情報の変更を依頼された場合には、利用者から公開管理番号を取得の上、登録内容変更作業を行う。利用者が直接申請ゾーン250に訪れた場合には、公開管理番号もしくは可搬媒体読取装置180にて利用者の可搬媒体240から読み取った管理番号を使用し、登録内容変更作業を行うことが可能である。
【0033】
セキュリティゾーン260は、登録申請を済ませた個人認証システム利用者が利用する、入退場の制限された区域である。セキュリティゾーン260内には、第一区域270と第二区域280の二つの区域がある。第一区域270は、個人認証システムに登録された利用者であれば、誰でも制限無く入場が可能な区域である。第一区域270への入場は、生体認証装置200にて、可搬媒体240内の個人管理番号とデータベース内の個人管理番号の照合及び可搬媒体240内の生体情報と生体認証装置200にて取得した利用者の生体情報の照合を行い、問題が無ければ入場可能となる。また、その際、第一区域270へ入場した旨、可搬媒体240及びデータベースへステータスフラグが設定される。第二区域280は、複数のセキュリティレベル(システム管理者、関係者、一般利用者等)毎に分かれた区域で構成されており、システム上に登録されたセキュリティレベルに応じた区域のみに入場が制限される。第二区域280への入場は、生体認証装置300にて、可搬媒体240内のステータスフラグとデータベース内のステータスフラグが一致しているかの照合及び可搬媒体240内の生体情報と生体認証装置300にて取得した利用者の生体情報の照合を行い、問題が無ければ入場可能となる。また、第一区域からの退場時には、生体認証装置220にて、可搬媒体240内のステータスフラグとデータベース内のステータスフラグが一致しているかの照合及び可搬媒体240内の生体情報と生体認証装置220にて取得した利用者の生体情報の照合を行い、問題がなければ、可搬媒体240及びデータベース100の記憶情報からステータスフラグを削除の上、退場が可能となる。
【0034】
ここで、図1に示す各データベース(110、120、130、140、150)に記憶されている情報と、可搬媒体240に記憶されている情報を、図13〜図18を参照し説明する。
【0035】
図13は、個人管理番号情報データベース110に記憶されている情報を示すものであり、本個人認証システム利用者に関する情報が格納されている。個人管理番号111は、本個人認証システムへの登録申請時に利用者に対して付与されるユニークな番号であり、本個人認証システムにおける利用者情報の検索処理を実施する際にキーとなる情報である。公開管理番号112は、一般的に公開可能な管理番号であり、管理者は本情報を元にデータベース内の登録情報の変更を行うことが可能である。身分事項情報113は、利用者の性別、名前、住所等の個人情報である。グループコード114は、利用者が所属する組織等を示したコードである。ステータスフラグ115は、利用者が生体認証装置200、生体認証装置220及び生体認証装置300を使用した際に設定される情報であり、「入場」、「退場」及び「内部認証」等、利用者が最後に行った操作が判別可能である。無効フラグ116は、利用者が過去に不正な行為を働いた場合等に、本個人認証システムの利用を無効にするためのフラグである。公開鍵117及び秘密鍵118は、可搬媒体240内に生体情報を格納する場合及び可搬媒体240から読み取った暗号化された生体情報を復号化する際に使用する情報である。登録年月日時分秒119は、利用者が登録可能となった、年月日時分秒を示す情報である。登録訂正年月日時分秒11Aは、登録されている利用者の登録情報を訂正した年月日時分秒を示す情報である。
【0036】
図14は、不正利用者情報データベース120に記憶されている情報を示すものであり、本個人認証システムにおける、不正利用者に関する情報が格納されている。不正利用者管理番号121には、不正利用者の個人管理番号111が格納されており、利用者の本個人認証システム登録申請時に、身分事項情報122記載の身分事項情報と登録申請時に提出された身分事項情報の照合を行い、不正利用者でないかの確認を行う。グループコード123は、本個人認証システムへの登録申請時に組織等に対して付与されるユニークな番号である。
【0037】
図15は、グループコード情報データベース130に記憶されている情報を示すものであり、本個人認証システムに登録されている組織等に関する情報が格納されている。グループコード131は、本個人認証システムへの登録申請時に組織等に対して付与されるユニークな番号である。組織情報132は、組織等の組織名、住所、電話番号等の組織情報である。セキュリティレベル133は、グループ毎に付与され、第二区域280内の各セキュリティレベルゾーンへの入退場可否を判別するために使用される権限情報である。例えば、セキュリティレベル133がAである場合には、第二区域280内のセキュリティレベルゾーン3、5に入退場可能である等の設定が可能である。
【0038】
図16は、入退履歴管理情報140に記憶されている情報を示すものであり、利用者が生体認証装置200、生体認証装置220及び生体認証装置300を使用したタイミングの時間等の履歴情報が格納されている。個人管理番号141には、生体認証装置200、生体認証装置220及び生体認証装置300を利用者が使用した際に、個人管理番号111が格納される。通番142は、利用者が生体認証装置200、生体認証装置220及び生体認証装置300を使用する度に1から順に番号が増加され,各操作毎の情報を保持するために使用される。ステータスフラグ143には、生体認証装置200、生体認証装置220及び生体認証装置300において、どのような操作を行ったかという情報を格納されている。年月日時分秒144は、各操作を行った際の年月日時分秒である。セキュリティゾーン番号145は、第二区域280内において、セキュリティレベル133に応じて設けられる複数のゾーンに対して付与されるユニークな番号であり、ここでは、利用者がどのゾーンに入退場を行ったかの情報を示している。グループコード146は、本個人認証システムへの登録申請時に組織等に対して付与されるユニークな番号であり、本コードを使用することで、グループ単位での入退場管理を行うことが可能である。
【0039】
図17は、セキュリティゾーン情報データベース130に記憶されている情報を示すものであり、本個人認証システムの第二区域280内のセキュリティゾーンに関する情報が格納されている。セキュリティゾーン番号151は、各セキュリティゾーンに付与されるユニークな番号である。セキュリティゾーン名152は、セキュリティゾーン番号151に対応する名称である。セキュリティレベル153は、該当のセキュリティゾーン151へのセキュリティのレベルを表すレベルである。利用可能曜日154は、セキュリティゾーン151が利用可能な曜日である。利用可能開始時刻(時分秒)155及び利用可能終了時刻(時分秒)156には、該当のセキュリティゾーン151が利用可能となる開始時刻及び利用不可となる終了時刻が格納されている。
【0040】
図18は、可搬媒体240内の情報を示すものである。個人管理番号241は、生体認証装置200、生体認証装置220及び生体認証装置300において読み取られる情報であり、本情報を用いて、データベース内の利用者情報の検索を行う。ステータスフラグ242は、利用者が生体認証装置200、生体認証装置220及び生体認証装置300を使用した際に設定される情報であり、「入場」、「退場」及び「内部認証」等、利用者が最後に行った操作が格納される。生体情報(暗号化)243には、利用者の生体情報が暗号化された上で格納されており、生体認証装置200、生体認証装置220及び生体認証装置300を使用時に、利用者の生体情報と可搬媒体240内の生体情報(暗号化)243が一致するか照合を行う際に使用する。
【0041】
次に、第一実施形態による個人認証システムの動作について、図3〜図8に示すシーケンスを参照し説明する。
【0042】
図3は、個人認証システム管理者が申請登録用装置160を用いて、新規利用者の身分事項情報及び発行された個人管理番号をデータベースに格納させ、また、可搬媒体240には、利用者より取得する生体情報を登載するシーケンスを示す図である。同図において、申請者270は生体情報読取装置190より生体情報を読み取った後(ステップS1901)、申請登録端末160から身分事項情報を入力(ステップS1701)し、取得した生体情報及び入力された身分事項情報は申請登録端末160から認証システムサーバ10へと送信される(ステップS1702)。認証システムサーバ10は受信した身分事項情報及び生体情報をメモリに格納(ステップS101)した後、生体情報が正常に登録されたことを確認するため、生体情報再取得処理を開始する(ステップS102)。申請登録端末160は、生体情報取得要求を生体情報読取装置190へと伝え(ステップS1703)、生体情報読取装置190は利用者から再度生体情報を取得し(ステップS1902)、その生体情報を認証システムサーバ10へと送信する(ステップS1704)。認証システムサーバ10では、メモリに格納した生体情報と再度取得した生体情報を照合(ステップS103)し、問題が無ければ、身分事項情報を用いて、データベース内の不正利用者に該当しないかのチェックを行う(ステップS104)。チェックにおいて、不正利用者に該当しないことが確認できた場合は、個人管理番号情報データベース110に身分事項情報を登録(ステップS105)し、公開鍵117を用いて暗号化した生体情報(ステップS106)と新規に発行された個人管理番号を申請登録端末160へ送信(ステップS107)し、申請登録端末160から可搬媒体240への暗号化された生体情報と個人管理番号の書き込み要求が可搬媒体読取装置180に送信される(ステップS1705)。なお、ステップS106において、暗号化する生体情報はステップS1702で受信した生体情報又はステップ1704で受信した生体情報の何れを用いても良い。
可搬媒体読取装置は受信した暗号化された生体情報と個人管理番号を可搬媒体240に書き込み、書き込みが完了した旨を申請登録端末160へ通知する(ステップS1801。登録申請端末160は、可搬媒体240への書き込み完了通知を認証システムサーバ10に送信(ステップS1706)し、その通知を受けた認証システムサーバ10はメモリに格納されている身分事項情報及び生体情報を削除(ステップS108)し、登録処理を終了する。なお、ステップS103又はステップS104において、問題が検知された場合には、メモリに格納されている身分事項情報及び生体情報を削除し、登録処理を終了する。
【0043】
図4は、個人認証システムの利用者が生体認証装置200を用いて、セキュリティゾーン260内の第一区域270へ入場を行う際のシーケンスを示す図である。利用者は、可搬媒体240内の暗号化された生体情報、個人管理番号及びステータスフラグを、可搬媒体読取装置180により読み取らせ(ステップS1811)、更に生体情報読取装置190より利用者の生体情報を読み取らせ(ステップS1911)、入場審査端末210にその情報を送信する。入場審査端末210では、受信した暗号化された生体情報、個人管理番号、ステータスフラグ及び生体情報読取装置190より取得した生体情報を認証システムサーバ10に送信する(ステップS2111)。認証システムサーバ10では、まず、秘密鍵118を用いて、暗号化されている生体情報の復号(ステップS111)を行い、復号した生体情報、個人管理番号、ステータスフラグ及び取得した生体情報をメモリに格納する(ステップS112)。次に、個人管理番号を用いて、関連データベースを検索し(ステップS113)、個人管理番号が存在する、無効フラグがたっていない、ステータスフラグが適切及び利用可能時間帯であるかをチェックし、該当利用者の第一区域270への入場可否を判断する(ステップS114)。具体的には、認証システムサーバ10は、認証ステップ2111で受信した個人管理番号に基づき個人管理番号情報データベース110を検索し、該当個人管理番号の有無をチェックし、該当個人管理番号111が有る場合、ステータスフラグ115が適切、かつ無効フラグ116が立っていない場合、予め定められている第一区域270の利用可能日時情報と現在日時情報とから当該利用者の第一区域270への入場可否を判断する。個人管理番号111が個人管理番号情報110にない、あるいはステータスフラグ115が不適切、あるいは無効フラグ116が立っている場合には、認証システムサーバ10は、この利用者は第一区域270へは入場不可と判断する。入場可と判断された場合は、認証システムサーバ10は、復号化した生体情報と生体情報読取装置190より取得した生体情報を照合し、可搬媒体240所持者と異なる人物が入場しようとしていないかを判別する(ステップS115)。照合の結果、同一人物であると判断されると、個人管理番号情報データベース110のステータスフラグを「入場」と判断可能な状態に更新(ステップS116)し、入退履歴管理情報データベース140に入場を示す情報とともに入場した年月日時分秒を登録する(ステップS117)。次に、認証システムサーバ10より入場審査端末210に対して、更新したステータスフラグを送信(ステップS118)し、入場審査端末210から可搬媒体読取装置180に対して、可搬媒体240へのステータスフラグ書き込み要求が送信される(ステップS2112)。書き込み要求を受信した可搬媒体読取装置180は、可搬媒体240へステータスフラグの書き込み(ステップS1812)を行ったのち、入場審査端末210へ可搬媒体240へのステータスフラグ書き込みが完了した旨通知を行い、入場審査端末210から認証システムサーバ10へ同様に、書き込み完了通知を送信する(ステップS2113)。完了通知を受信した認証システムサーバ10は、メモリに格納された生体情報、個人管理番号及びステータスフラグを削除(ステップS119)し、入場処理を終了する。なお、ステップS114又はステップS115において、問題が検知された場合には、メモリに格納されている生体情報、個人管理番号及びステータスフラグを削除し、入場処理を終了する。
【0044】
図5は、個人認証システムの利用者が生体認証装置300を用いて、セキュリティゾーン260内の第二区域280へ内部認証を行う際のシーケンスを示す図である。利用者は、可搬媒体240内の暗号化された生体情報、個人管理番号及びステータスフラグを、可搬媒体読取装置180により読み取らせ(ステップS1821)、更に生体情報読取装置190より利用者の生体情報を読み取らせ(ステップS1921)、内部認証端末230にその情報を送信する。内部認証端末230では、受信した暗号化された生体情報、個人管理番号、ステータスフラグ及び生体情報読取装置190より取得した生体情報を認証システムサーバ10に送信する(ステップS2321)。認証システムサーバ10では、まず、秘密鍵118を用いて、暗号化されている生体情報の復号(ステップS121)を行い、復号した生体情報、個人管理番号、ステータスフラグ及び取得した生体情報をメモリに格納する(ステップS122)。次に、個人管理番号を用いて、関連データベースを検索し(ステップS123)、無効フラグがたっていない、ステータスフラグが適切、利用者のセキュリティレベルにて第二区域への入場が可能及び利用可能時間帯であるかをチェックし、該当利用者の第二区域280への入場可否を判断する(ステップS124)。
具体的には、具体的には、認証システムサーバ10は、認証ステップ2321で受信した個人管理番号に基づき個人管理番号情報データベース110を検索し、該当個人管理番号の有無をチェックし、該当個人管理番号111が有る場合、ステータスフラグ115が適切、かつ無効フラグ116が立っていない場合、予め定められている第一区域270の利用可能日時情報と現在日時情報とから当該利用者の第二区域280への入場可否を判断する。入場可と判断された場合は、認証システムサーバ10は、復号化した生体情報と生体情報読取装置190より取得した生体情報を照合し、可搬媒体240所持者と異なる人物が入場しようとしていないかを判別する(ステップS125)。照合の結果、同一人物であると判断されると、個人管理番号情報データベース110のステータスフラグを「内部認証」と判断可能な状態に更新(ステップS126)し、入退履歴管理情報データベースに入場した年月日時分秒を登録する(ステップS127)。次に、認証システムサーバ10より内部認証端末230に対して、更新したステータスフラグを送信(ステップS128)し、内部認証端末230から可搬媒体読取装置180に対して、可搬媒体240へのステータスフラグ書き込み要求が送信される(ステップS2322)。書き込み要求を受信した可搬媒体読取装置180は、可搬媒体240へステータスフラグの書き込み(ステップS1822)を行ったのち、内部認証端末230へ可搬媒体240へのステータスフラグ書き込みが完了した旨通知を行い、内部認証端末230から認証システムサーバ10へ同様に、書き込み完了通知を送信する(ステップS2323)。完了通知を受信した認証システムサーバ10は、メモリに格納された生体情報、個人管理番号及びステータスフラグを削除(ステップS129)し、内部認証処理を終了する。なお、ステップS124又はステップS125において、問題が検知された場合には、メモリに格納されている生体情報、個人管理番号及びステータスフラグを削除し、内部認証処理を終了する。
【0045】
図6は、個人認証システムの利用者が生体認証装置220を用いて、セキュリティゾーン260内の第一区域270から退場を行う際のシーケンスを示す図である。利用者は、可搬媒体240内の暗号化された生体情報、個人管理番号及びステータスフラグを、可搬媒体読取装置180により読み取らせ(ステップS1831)、更に生体情報読取装置190より利用者の生体情報を読み取らせ(ステップS1931)、退場審査端末290にその情報を送信する。退場審査端末290では、受信した暗号化された生体情報、個人管理番号、ステータスフラグ及び生体情報読取装置190より取得した生体情報を認証システムサーバ10に送信する(ステップS2131)。認証システムサーバ10では、まず、秘密鍵118を用いて、暗号化されている生体情報の復号(ステップS131)を行い、復号した生体情報、個人管理番号、ステータスフラグ及び取得した生体情報をメモリに格納する(ステップS132)。次に、個人管理番号を用いて、関連データベースを検索し(ステップS133)、個人管理番号か存在する、無効フラグがたっていない及びステータスフラグが適切であるかをチェックし、該当利用者の第一区域270からの退場可否を判断する(ステップS134)。具体的には、認証システムサーバ10は、認証ステップ2131で受信した個人管理番号に基づき個人管理番号情報データベース110を検索し、該当個人管理番号の有無をチェックし、該当個人管理番号111が有る場合、ステータスフラグ115が適切、かつ無効フラグ116が立っていない場合、予め定められている第一区域270の利用可能日時情報と現在日時情報とから当該利用者の第一区域270からの退場可否を判断する。退場可と判断された場合は、復号化した生体情報と生体情報読取装置190より取得した生体情報を照合し、可搬媒体240所持者と異なる人物が退場しようとしていないかを判別する(ステップS135)。照合の結果、同一人物であると判断されると、個人管理番号情報データベース110のステータスフラグを「退場」と判断可能な状態に更新(ステップS136)し、入退履歴管理情報データベースに退場した年月日時分秒を登録する(ステップS137)。次に、認証システムサーバ10より退場審査端末290に対して、更新したステータスフラグを送信(ステップS138)し、退場審査端末290から可搬媒体読取装置180に対して、可搬媒体240へのステータスフラグ書き込み要求が送信される(ステップS2132)。書き込み要求を受信した可搬媒体読取装置180は、可搬媒体240へステータスフラグの書き込み(ステップS1832)を行ったのち、退場審査端末290へ可搬媒体240へのステータスフラグ書き込みが完了した旨通知を行い、退場審査端末290から認証システムサーバ10へ同様に、書き込み完了通知を送信する(ステップS2133)。完了通知を受信した認証システムサーバ10は、メモリに格納された生体情報、個人管理番号及びステータスフラグを削除(ステップS139)し、退場処理を終了する。なお、ステップS134又はステップS135において、問題が検知された場合には、メモリに格納されている生体情報、個人管理番号及びステータスフラグを削除し、退場処理を終了する。
【0046】
図7は、個人認証システム管理者が申請登録用装置160を用いて、登録解除の申請を行っている申請者の登録解除を行う際のシーケンスを示す図である。管理者は、登録解除申請を行っている利用者の可搬媒体240内の暗号化された生体情報及び個人管理番号を、可搬媒体読取装置180により読み取らせ(ステップS1841)、更に生体情報読取装置190より利用者の生体情報を読み取らせ(ステップS1941)、申請登録用装置160にその情報を送信する。申請登録用装置160では、受信した暗号化された生体情報、個人管理番号及び生体情報読取装置190より取得した生体情報を認証システムサーバ10に送信する(ステップS1741)。認証システムサーバ10では、まず、暗号化されている生体情報の復号(ステップS141)を行い、復号した生体情報、個人管理番号及び取得した生体情報をメモリに格納する(ステップS142)。次に、個人管理番号を用いて、システム上を検索し(ステップS143)、個人管理番号か存在するかをチェックし、該当利用者の登録解除可否を判断する(ステップS144)。登録解除可と判断された場合は、復号化した生体情報と生体情報読取装置190より取得した生体情報を照合し、可搬媒体240所持者と異なる人物が登録解除しようとしていないかを判別する(ステップS145)。照合の結果、同一人物であると判断されると、個人管理番号情報データベース110の該当個人管理番号レコードを削除する(ステップS146)。次に、認証システムサーバ10より申請登録用装置160に対して、該当個人管理番号レコードを削除した旨送信(ステップS147)し、申請登録用装置160から可搬媒体読取装置180に対して、可搬媒体240へ可搬媒体240上の全情報削除の要求を送信する(ステップS1742)。全情報削除要求を受信した可搬媒体読取装置180は、可搬媒体240から全情報の削除(ステップS1842)を行ったのち、申請登録用装置160へ可搬媒体240の全情報削除が完了した旨通知を行い、申請登録用装置160から認証システムサーバ10へ同様に、削除完了通知を送信する(ステップS1743)。完了通知を受信した認証システムサーバ10は、メモリに格納された生体情報及び個人管理番号を削除(ステップS148)し、登録解除処理を終了する。なお、ステップS144又はステップS145において、問題が検知された場合には、メモリに格納されている生体情報及び個人管理番号を削除し、登録解除処理を終了する。
【0047】
図8は、個人認証システム管理者が申請登録用装置160を用いて、登録内容修正の申請を行っている申請者の登録内容修正を行う際のシーケンスを示す図である。管理者は、登録内容修正申請を行っている利用者の可搬媒体240内の暗号化された生体情報及び個人管理番号を、可搬媒体読取装置180により読み取らせ(ステップS1851)、更に生体情報読取装置190より利用者の生体情報を読み取らせ(ステップS1951)、申請登録用装置160にその情報を送信する。申請登録用装置160では、受信した暗号化された生体情報、個人管理番号及び生体情報読取装置190より取得した生体情報を認証システムサーバ10に送信する(ステップS1751)。認証システムサーバ10では、まず、秘密鍵118を用いて、暗号化されている生体情報の復号(ステップS151)を行い、復号した生体情報、個人管理番号及び取得した生体情報をメモリに格納する(ステップS152)。次に、個人管理番号を用いて、システム上を検索し(ステップS153)、個人管理番号か存在するか、無効フラグがたっていないをチェックし、該当利用者の登録内容修正可否を判断する(ステップS154)。登録内容修正可と判断された場合は、復号化した生体情報と生体情報読取装置190より取得した生体情報を照合し、可搬媒体240所持者と異なる人物が登録内容修正しようとしていないかを判別する(ステップS155)。照合の結果、同一人物であると判断されると、認証システムサーバ10から身分事項情報を申請登録用装置160に送信し(ステップS156)、管理者は申請登録用装置160から身分事項情報を修正(ステップS1752)の上、認証システムサーバ10に修正情報を送信する(ステップS1753)。次に、認証システムサーバ10では、受信した身分事項情報(修正情報)をメモリに格納(ステップS157)し、管理者に対して確認を行ってもらうべく、身分事項情報(修正情報)を申請登録用装置160に送信する(ステップS158)。管理者は、身分事項情報(修正情報)を申請登録用装置160にて確認(ステップS1754)する。身分事項情報(修正情報)に問題が無ければ、認証システムサーバ10にて、個人管理番号情報データベース110の身分事項情報を修正する(ステップS159)。次に、認証システムサーバ10より申請登録用装置160に対して、身分事項情報を修正した旨送信(ステップS15A)し、メモリに格納された身分事項情報、生体情報及び個人管理番号を削除し、登録内容修正処理を終了する。なお、ステップS154又はステップS155において、問題が検知された場合には、メモリに格納されている身分事項情報、生体情報及び個人管理番号を削除し、登録内容修正処理を終了する。
【実施例2】
【0048】
図10は、個人認証システムの利用者が生体認証装置200を用いて、セキュリティゾーン260内の第一区域270へ入場を行う際のシーケンスを示す図である。但し、図10のフローは、本個人認証システム導入者からコスト低減の要望があった場合に対応可能するために、生体認証装置200内における生体情報読取装置190の設置を行わない場合のフロー図である。利用者は、可搬媒体240内の暗号化された個人管理番号及びステータスフラグを、可搬媒体読取装置180により読み取らせ(ステップS1871)、入場審査端末210にその情報を送信する。入場審査端末210では、受信した個人管理番号及びステータスフラグを認証システムサーバ10に送信する(ステップS2171)。認証システムサーバ10では、まず、個人管理番号及びステータスフラグをメモリに格納する(ステップS172)。次に、個人管理番号を用いて、システム上を検索し(ステップS173)、個人管理番号が存在する、無効フラグがたっていない、ステータスフラグが適切及び利用可能時間帯であるかをチェックし、該当利用者の第一区域270への入場可否を判断する(ステップS173)。入場可と判断された場合は、個人管理番号情報データベース110のステータスフラグを「入場」と判断可能な状態に更新(ステップS174)し、入退履歴管理情報データベースに入場した年月日時分秒を登録する(ステップS175)。次に、認証システムサーバ10より入場審査端末210に対して、更新したステータスフラグを送信(ステップS176)し、入場審査端末210から可搬媒体読取装置180に対して、可搬媒体240へのステータスフラグ書き込み要求が送信される(ステップS2172)。書き込み要求を受信した可搬媒体読取装置180は、可搬媒体240へステータスフラグの書き込み(ステップS1872)を行ったのち、入場審査端末210へ可搬媒体240へのステータスフラグ書き込みが完了した旨通知を行い、入場審査端末210から認証システムサーバ10へ同様に、書き込み完了通知を送信する(ステップS2173)。完了通知を受信した認証システムサーバ10は、メモリに格納された個人管理番号及びステータスフラグを削除(ステップS177)し、入場処理を終了する。なお、ステップS173において、問題が検知された場合には、メモリに格納されている個人管理番号及びステータスフラグを削除し、入場処理を終了する。
【0049】
図11は、個人認証システムの利用者が生体認証装置300を用いて、セキュリティゾーン260内の第二区域280へ内部認証を行う際のシーケンスを示す図である。但し、図11のフローは、本個人認証システム導入者からコスト低減の要望があった場合に対応可能するために、生体認証装置300内における生体情報読取装置190の設置を行わない場合のフロー図である。利用者は、可搬媒体240内の暗号化された個人管理番号及びステータスフラグを、可搬媒体読取装置180により読み取らせ(ステップS1881)、内部認証端末230にその情報を送信する。内部認証端末230では、受信した個人管理番号及びステータスフラグを認証システムサーバ10に送信する(ステップS2381)。認証システムサーバ10では、まず、個人管理番号及びステータスフラグをメモリに格納する(ステップS182)。次に、個人管理番号を用いて、システム上を検索し(ステップS183)、無効フラグがたっていない、ステータスフラグが適切、利用者のセキュリティレベルにて第二区域への入場が可能及び利用可能時間帯であるかをチェックし、該当利用者の第二区域280への入場可否を判断する(ステップS184)。入場可と判断された場合は、個人管理番号情報データベース110のステータスフラグを「内部認証」と判断可能な状態に更新(ステップS185)し、入退履歴管理情報データベースに入場した年月日時分秒を登録する(ステップS186)。次に、認証システムサーバ10より内部認証端末230に対して、更新したステータスフラグを送信(ステップS187)し、内部認証端末230から可搬媒体読取装置180に対して、可搬媒体240へのステータスフラグ書き込み要求が送信される(ステップS2382)。書き込み要求を受信した可搬媒体読取装置180は、可搬媒体240へステータスフラグの書き込み(ステップS1882)を行ったのち、内部認証端末230へ可搬媒体240へのステータスフラグ書き込みが完了した旨通知を行い、内部認証端末230から認証システムサーバ10へ同様に、書き込み完了通知を送信する(ステップS2383)。完了通知を受信した認証システムサーバ10は、メモリに格納された個人管理番号及びステータスフラグを削除(ステップS188)し、内部認証処理を終了する。なお、ステップS184において、問題が検知された場合には、メモリに格納されている個人管理番号及びステータスフラグを削除し、内部認証処理を終了する。
【0050】
図12は、個人認証システムの利用者が生体認証装置220を用いて、セキュリティゾーン260内の第一区域270から退場を行う際のシーケンスを示す図である。但し、図11のフローは、本個人認証システム導入者からコスト低減の要望があった場合に対応可能するために、生体認証装置220内における生体情報読取装置190の設置を行わない場合のフロー図である。利用者は、可搬媒体240内の個人管理番号及びステータスフラグを、可搬媒体読取装置180により読み取らせ(ステップS1891)、退場審査端末290にその情報を送信する。退場審査端末290では、受信した個人管理番号及びステータスフラグを認証システムサーバ10に送信する(ステップS2191)。認証システムサーバ10では、まず、個人管理番号及びステータスフラグをメモリに格納する(ステップS191)。次に、個人管理番号を用いて、システム上を検索し(ステップS192)、個人管理番号か存在する、無効フラグがたっていない及びステータスフラグが適切であるかをチェックし、該当利用者の第一区域270からの退場可否を判断する(ステップS193)。退場可と判断された場合は、個人管理番号情報データベース110のステータスフラグを「退場」と判断可能な状態に更新(ステップS194)し、入退履歴管理情報データベースに退場した年月日時分秒を登録する(ステップS195)。次に、認証システムサーバ10より退場審査端末290に対して、更新したステータスフラグを送信(ステップS196)し、退場審査端末290から可搬媒体読取装置180に対して、可搬媒体240へのステータスフラグ書き込み要求が送信される(ステップS2192)。書き込み要求を受信した可搬媒体読取装置180は、可搬媒体240へステータスフラグの書き込み(ステップS1892)を行ったのち、退場審査端末290へ可搬媒体240へのステータスフラグ書き込みが完了した旨通知を行い、退場審査端末290から認証システムサーバ10へ同様に、書き込み完了通知を送信する(ステップS2193)。完了通知を受信した認証システムサーバ10は、メモリに格納された個人管理番号及びステータスフラグを削除(ステップS197)し、退場処理を終了する。なお、ステップS193において、問題が検知された場合には、メモリに格納されている個人管理番号及びステータスフラグを削除し、退場処理を終了する。
【実施例3】
【0051】
図9は、個人認証システム管理者が申請登録用装置160を用いて、組織情報に関する登録内容修正の申請を行っている複数申請者の登録内容修正を行う際のシーケンスを示す図である。本実施けたいでは管理者は、登録内容修正申請を行っている複数利用者の可搬媒体240内の個人管理番号を、可搬媒体読取装置180により読み取らせ(ステップS1861、ステップS1862)、申請登録用装置160にその情報を送信する。申請登録用装置160では、個人管理番号を認証システムサーバ10に送信する(ステップS1761)。認証システムサーバ10では、まず、個人管理番号をメモリに格納する(ステップS161)。次に、個人管理番号を用いて、システム上を検索し(ステップS162)、個人管理番号か存在するか、無効フラグがたっていないをチェックし、該当複数利用者の登録内容修正可否を判断する(ステップS163)。登録内容修正可と判断された場合は、認証システムサーバ10から複数利用者の組織情報を申請登録用装置160に送信し(ステップS164)、管理者は申請登録用装置160から組織情報を修正(ステップS1762)の上、認証システムサーバ10に修正情報を送信する(ステップS1763)。次に、認証システムサーバ10では、受信した組織情報(修正情報)をメモリに格納(ステップS165)し、管理者に対して確認を行ってもらうべく、身分事項情報(修正情報)を申請登録用装置160に送信する(ステップS166)。管理者は、身分事項情報(修正情報)を申請登録用装置160にて確認(ステップS1764)する。身分事項情報(修正情報)に問題が無ければ、認証システムサーバ10にて、グループコード情報データベース130の組織情報を修正する(ステップS167)。次に、認証システムサーバ10より申請登録用装置160に対して、組織情報を修正した旨送信(ステップS168)し、メモリに格納された個人管理番号を削除し、組織情報に関する登録内容修正処理を終了する。なお、ステップS163において、問題が検知された場合には、メモリに格納されている個人管理番号を削除し、組織情報に関する登録内容修正処理を終了する。
【0052】
認証システムサーバ10は、組織情報と入退場した時間情報に基づいて前記利用者が属する組織単位での勤務時間を集計することができる。
【図面の簡単な説明】
【0053】
【図1】第一実施形態による個人認証システムの構成を示す図である。
【図2】第一実施形態による個人認証システム装置の配置図である。
【図3】第一実施形態による個人認証システムの登録処理を示すシーケンスである。
【図4】第一実施形態による個人認証システムの入場処理を示すシーケンスである。
【図5】第一実施形態による個人認証システムの内部認証処理を示すシーケンスである。
【図6】第一実施形態による個人認証システムの退場処理を示すシーケンスである。
【図7】第一実施形態による個人認証システムの登録解除処理を示すシーケンスである。
【図8】第一実施形態による個人認証システムの登録内容修正処理を示すシーケンスである。
【図9】第三実施形態による個人認証システムの登録内容修正処理(一括処理)を示すシーケンスである。
【図10】第二実施形態による個人認証システムの入場処理(生体情報無し)を示すシーケンスである。
【図11】第二実施形態による個人認証システムの内部認証処理(生体情報無し)を示すシーケンスである。
【図12】第二実施形態による個人認証システムの退場処理(生体情報無し)を示すシーケンスである。
【図13】個人管理番号情報データベース110に記憶されている情報の一例を示す図である。
【図14】不正利用者情報データベース120に記憶されている情報の一例を示す図である。
【図15】グループコード情報データベース130に記憶されている情報の一例を示す図である。
【図16】入退履歴管理情報データベース140に記憶されている情報の一例を示す図である。
【図17】セキュリティゾーン情報データベース150に記憶されている情報の一例を示す図である。
【図18】可搬媒体240に登録されている情報の一例を示す図である。
【符号の説明】
【0054】
10・・・認証システムサーバ、20・・・記憶装置、40・・・通信制御部、50・・・認証制御部、90・・・データベース制御部、100・・・データベース、110・・・個人管理番号情報データベース、120・・・不正利用者情報データベース、130・・・グループコード情報データベース、140・・・入退履歴管理情報データベース、160・・・申請登録用装置、170・・・申請登録端末、180・・・可搬媒体読取装置、190・・・生体情報読取装置、200・・・生体認証装置、210・・・入場審査端末、220・・・生体認証装置、230・・・内部認証端末、240・・・可搬媒体、290・・・退場認証端末、300・・・生体認証装置。
【特許請求の範囲】
【請求項1】
端末と、該端末と接続される生体情報読取装置及び可搬媒体読取装置と、前記端末とネットワークを介して接続されるサーバと、から構成される個人認証システムであって、
前記可搬媒体読取装置は、利用者の可搬媒体から、暗号化された生体情報、個人管理番号及び複数の特定区域への入退場を示す第1のフラグを読み取り、前記端末に送信する手段を有し、
前記生体情報読取装置は、前記利用者から生体情報を読み取り、前記端末に送信する手段を有し、
前記端末は、前記可搬媒体読取装置及び前記生体情報読取装置から送信された前記各情報を前記ネットワークを介して前記サーバに送信する手段と、前記サーバから前記第1のフラグを前記ネットワークを介して受信する手段と、前記可搬媒体読取装置に該第1のフラグの更新要求を前記可搬媒体読取装置に送信する手段と、前記可搬媒体読取装置から前記第1のフラグの更新完了通知を受信し、該通知を前記サーバに送信する手段とを有し、
前記サーバは、前記個人管理番号と該個人管理番号に関連する利用者の情報と前記第1のフラグとを関連付けて記憶する第1の記憶手段と、前記端末から前記可搬媒体読取装置及び前記生体情報読取装置から送信された前記各情報を前記ネットワークを介して受信する手段と、該受信した暗号化された生体情報を復号化する手段と、該受信した各情報及び該復号化した生体情報を第2の記憶手段に一時格納する手段と、前記受信した個人管理番号と前記第1の記憶手段に基づき前記利用者が前記特定区域への入場又は該特定区域からの退場が可能かどうかを判定する手段と、入場可又は退場可と判定した場合に、前記受信した生体情報と前記復号化した生体情報に基づき利用者の認証を行う手段と、該認証が成立した場合に、前記判定手段の結果に基づき前記第1の記憶手段の前記第1のフラグを更新する手段と、該更新後の第1のフラグを前記ネットワークを介して前記端末に送信する手段と、前記端末から前記可搬媒体の前記第1のフラグの更新完了通知を受信し、前記第2の記憶手段に一時格納した前記各情報を削除する手段とを有する
ことを特徴とする個人認証システム。
【請求項2】
前記第1の記憶手段には、さらに不正利用者に関する情報が記憶されており、
前記サーバは、前記端末からの個人管理番号と前記第1の記憶手段の情報に基づき前記利用者が不正利用者かどうかを判定する手段を更に有することを特徴とする請求項1に記載の個人認証システム。
【請求項3】
前記サーバは、前記利用者が前記特定区域に入退場した時間及び該特定区域を示す情報を前記第1の記憶手段に格納する手段と、
前記第1の記憶手段に記憶されている前記特定区域に入退場した時間及び該特定区域を示す情報情報と前記個人管理番号に基づいて、前記利用者がどの特定区域にいつ入退場したのかを特定する手段と、を更に有することを特徴とする請求項1又は請求項2に記載の個人認証システム。
【請求項4】
前記第1の記憶手段には、前記利用者が属する組織情報が記憶されており、
前記サーバは、前記組織情報と前記入退場した時間情報に基づいて前記利用者が属する組織単位での勤務時間を集計する手段を更に有することを特徴とする請求項3記載の個人認証システム。
【請求項5】
前記第1の記憶手段には、前記特定区域への利用可能曜日、利用可能開始時刻、利用可能終了時刻の情報が記憶されており、該記憶情報に基づいて、前記利用者の前記特定区域への利用を制限する手段を更に有することを特徴とする請求項4記載の個人認証システム。
【請求項6】
前記可搬媒体及び前記第1の記憶手段には、一般的に公開可能な公開管理番号が記憶されており、
前記サーバは、前記端末から前記可搬媒体に記憶されている前記公開管理番号を前記ネットワークを介して受信し、該公開管理番号に基づいて、前記第1の記憶手段に記憶されている前記情報を検索し、変更する手段を更に有することを特徴とする請求項1に記載の個人認証システム。
【請求項1】
端末と、該端末と接続される生体情報読取装置及び可搬媒体読取装置と、前記端末とネットワークを介して接続されるサーバと、から構成される個人認証システムであって、
前記可搬媒体読取装置は、利用者の可搬媒体から、暗号化された生体情報、個人管理番号及び複数の特定区域への入退場を示す第1のフラグを読み取り、前記端末に送信する手段を有し、
前記生体情報読取装置は、前記利用者から生体情報を読み取り、前記端末に送信する手段を有し、
前記端末は、前記可搬媒体読取装置及び前記生体情報読取装置から送信された前記各情報を前記ネットワークを介して前記サーバに送信する手段と、前記サーバから前記第1のフラグを前記ネットワークを介して受信する手段と、前記可搬媒体読取装置に該第1のフラグの更新要求を前記可搬媒体読取装置に送信する手段と、前記可搬媒体読取装置から前記第1のフラグの更新完了通知を受信し、該通知を前記サーバに送信する手段とを有し、
前記サーバは、前記個人管理番号と該個人管理番号に関連する利用者の情報と前記第1のフラグとを関連付けて記憶する第1の記憶手段と、前記端末から前記可搬媒体読取装置及び前記生体情報読取装置から送信された前記各情報を前記ネットワークを介して受信する手段と、該受信した暗号化された生体情報を復号化する手段と、該受信した各情報及び該復号化した生体情報を第2の記憶手段に一時格納する手段と、前記受信した個人管理番号と前記第1の記憶手段に基づき前記利用者が前記特定区域への入場又は該特定区域からの退場が可能かどうかを判定する手段と、入場可又は退場可と判定した場合に、前記受信した生体情報と前記復号化した生体情報に基づき利用者の認証を行う手段と、該認証が成立した場合に、前記判定手段の結果に基づき前記第1の記憶手段の前記第1のフラグを更新する手段と、該更新後の第1のフラグを前記ネットワークを介して前記端末に送信する手段と、前記端末から前記可搬媒体の前記第1のフラグの更新完了通知を受信し、前記第2の記憶手段に一時格納した前記各情報を削除する手段とを有する
ことを特徴とする個人認証システム。
【請求項2】
前記第1の記憶手段には、さらに不正利用者に関する情報が記憶されており、
前記サーバは、前記端末からの個人管理番号と前記第1の記憶手段の情報に基づき前記利用者が不正利用者かどうかを判定する手段を更に有することを特徴とする請求項1に記載の個人認証システム。
【請求項3】
前記サーバは、前記利用者が前記特定区域に入退場した時間及び該特定区域を示す情報を前記第1の記憶手段に格納する手段と、
前記第1の記憶手段に記憶されている前記特定区域に入退場した時間及び該特定区域を示す情報情報と前記個人管理番号に基づいて、前記利用者がどの特定区域にいつ入退場したのかを特定する手段と、を更に有することを特徴とする請求項1又は請求項2に記載の個人認証システム。
【請求項4】
前記第1の記憶手段には、前記利用者が属する組織情報が記憶されており、
前記サーバは、前記組織情報と前記入退場した時間情報に基づいて前記利用者が属する組織単位での勤務時間を集計する手段を更に有することを特徴とする請求項3記載の個人認証システム。
【請求項5】
前記第1の記憶手段には、前記特定区域への利用可能曜日、利用可能開始時刻、利用可能終了時刻の情報が記憶されており、該記憶情報に基づいて、前記利用者の前記特定区域への利用を制限する手段を更に有することを特徴とする請求項4記載の個人認証システム。
【請求項6】
前記可搬媒体及び前記第1の記憶手段には、一般的に公開可能な公開管理番号が記憶されており、
前記サーバは、前記端末から前記可搬媒体に記憶されている前記公開管理番号を前記ネットワークを介して受信し、該公開管理番号に基づいて、前記第1の記憶手段に記憶されている前記情報を検索し、変更する手段を更に有することを特徴とする請求項1に記載の個人認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【公開番号】特開2009−301076(P2009−301076A)
【公開日】平成21年12月24日(2009.12.24)
【国際特許分類】
【出願番号】特願2008−151222(P2008−151222)
【出願日】平成20年6月10日(2008.6.10)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成21年12月24日(2009.12.24)
【国際特許分類】
【出願日】平成20年6月10日(2008.6.10)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]