情報処理装置
【課題】電子マネー端末に記憶されているセキュリティに関わるデータの漏洩を防止すること。
【解決手段】電子マネー端末8は、外部電源に接続されているか否かを監視しており、外部電源から切り離されると、内部のバッテリ33の電力を用いて外部電源から切り離されたことを不揮発性メモリ39の電源断フラグに記録する。電子マネー端末8は、起動時に、バッテリ33の記録を参照し、電子マネー端末8が外部電源から切り離されたか否かを確認する。外部電源から切り離されたことを確認した場合、電子マネー端末8は、記憶部41に記憶してあるセキュリティデータを消去した後、起動する。一方、外部電源から切り離されていないことを確認した場合はセキュリティデータを消去せずに起動する。
【解決手段】電子マネー端末8は、外部電源に接続されているか否かを監視しており、外部電源から切り離されると、内部のバッテリ33の電力を用いて外部電源から切り離されたことを不揮発性メモリ39の電源断フラグに記録する。電子マネー端末8は、起動時に、バッテリ33の記録を参照し、電子マネー端末8が外部電源から切り離されたか否かを確認する。外部電源から切り離されたことを確認した場合、電子マネー端末8は、記憶部41に記憶してあるセキュリティデータを消去した後、起動する。一方、外部電源から切り離されていないことを確認した場合はセキュリティデータを消去せずに起動する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置に関し、例えば、内部に記憶したセキュリティに関するデータを自動的に消去するものに関する。
【背景技術】
【0002】
近年の電子マネーの普及に伴い、電子マネーを用いた商取引が盛んに行われるようになってきた。
電子マネーシステムでは、バリューと呼ばれる金銭に対応させた電子データを電子マネーカードなどに内蔵されたICチップに記憶し、これを加盟店に設置した電子マネー端末からアクセスして増減することにより、金銭的価値の移動を行う。
なお、ICチップが記憶するバリュー残高を増額する金額変更処理はチャージと呼ばれ、減額する金額変更処理は決済と呼ばれている。
【0003】
電子マネー端末と電子マネーカードは、各種の暗号鍵を記憶しており、電子マネー端末と電子マネーカードは、これら暗号鍵によって相手方が正統な端末であることを確認し、また、通信を暗号化している。
また、電子マネー端末は、電子マネーカードとの処理履歴を利用ログデータとして一定期間蓄積し、電子マネーサーバに1日に1回程度送信する。そして、電子マネーサーバは、電子マネー端末から送信されてきた利用ログデータを集計する。
【0004】
このように、電子マネー端末には、セキュリティに関わるデータが記憶されているため、電子マネー端末が内部を不正に解析されることを防ぐ必要がある。
このように、装置内部のデータを保護する技術として、次の「セキュリティシステムとセキュリティ処理方法」がある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開平10−161865号公報
【0006】
この技術は、端末内の揮発性メモリにセキュリティを要するデータを記憶しておき、端末筐体の開放を検知すると、揮発性メモリへの電力供給を絶ってこれを消去するものである。
【発明の概要】
【発明が解決しようとする課題】
【0007】
電子マネー端末は、記憶するデータ量が多いため、ハードディスクなどの不揮発性の記憶装置に記憶している。また、各種暗号鍵も電子マネー端末を停止しても消去されないように不揮発性の記憶装置に記憶している。
これら、不揮発性メモリに記憶されたデータは、電力供給がなくても電子マネー端末内に保持されるため、電子マネー端末が、盗難などされた場合に、内部のデータの漏出を如何に防ぐかが重要な課題であった。
【0008】
そこで、本発明の目的は、電子マネー端末に記憶されているセキュリティに関わるデータの漏洩を防止することである。
【課題を解決するための手段】
【0009】
本発明は、前記目的を達成するために、請求項1に記載の発明では、外部電源からの電力供給の停止を検出する検出手段と、所定の情報を記憶した記憶手段と、前記記憶した所定の情報を用いて情報処理を行う情報処理手段と、前記検出手段で、電力供給の停止が検出された場合に、前記記憶した所定の情報を消去する消去手段と、を具備したことを特徴とする情報処理装置を提供する。
請求項2に記載の発明では、前記消去手段は、内部電源と不揮発性記憶媒体を備え、前記検出手段で電力供給の停止が検出された場合に、電力供給が停止された旨を表す停止記録を、前記内部電源の電力を用いて前記不揮発性記憶媒体に記録し、起動時に前記不揮発性記憶媒体の停止記録を確認して停止記録があった場合に、前記所定の情報を消去することを特徴とする請求項1に記載の情報処理装置を提供する。
請求項3に記載の発明では、起動時に、前記不揮発性記憶媒体に停止記録があった場合に、前記情報処理手段の情報処理機能を制限する機能制限手段を具備したことを特徴とする請求項2に記載の情報処理装置を提供する。
請求項4に記載の発明では、起動後に前記不揮発性記憶媒体に記録されている停止記録を無効化する無効化手段を具備したことを特徴とする請求項2、又は請求項3に記載の情報処理装置を提供する。
請求項5に記載の発明では、前記消去手段は、前記不揮発性記憶媒体に、外部電源からの電力供給が停止した時刻を記録し、起動時の時刻が、前記記録した時刻から所定時間内の場合は、前記所定の情報を消去しないことを特徴とする請求項2、請求項3、又は請求項4に記載の情報処理装置を提供する。
請求項6に記載の発明では、前記消去手段は、外部電源からの電力供給が停止した時刻と、外部電源からの電力供給が再開した時刻と、を記録し、前記記録に係る停止した時刻と再開した時刻の時間差が所定時間内である場合は、前記所定の情報を消去しないことを特徴とする請求項2、請求項3、又は請求項4に記載の情報処理装置を提供する。
請求項7に記載の発明では、前記消去手段は、内部電源を備え、前記検出手段で電力供給の停止が検出された直後に、前記内部電源の電力を用いて前記記憶した所定の情報を消去することを特徴とする請求項1に記載の情報処理装置を提供する。
請求項8に記載の発明では、前記情報処理手段は、貨幣価値の金額を電子データとして記憶し、金額変更情報を受信して前記記憶した金額に対して金額変更処理を行う貨幣端末に金額変更情報を送信し、前記所定の情報は、前記金額変更情報を暗号化する暗号鍵であることを特徴とする請求項1から請求項7に記載の情報処理装置を提供する。
請求項9に記載の発明では、前記消去手段は、更に、前記貨幣端末との処理内容を記録したログデータを消去することを特徴とする請求項8に記載の情報処理装置を提供する。
【発明の効果】
【0010】
本発明によれば、例えば、電源断の後に再起動する際に、内部のセキュリティに関わるデータを自動消去することにより、電子マネー端末に記憶されているデータの漏洩を防止することができる。
【図面の簡単な説明】
【0011】
【図1】電子マネーシステムのネットワーク構成を示した図である。
【図2】電子マネーカードのハードウェア的な構成の一例を示したブロック図である。
【図3】電子マネー端末のハードウェア的な構成の一例を示した図である。
【図4】電子マネー端末が行う電源断時処理を説明するためのフローチャートである。
【図5】電子マネー端末が行う起動処理について説明するためのフローチャートである。
【図6】変形例に係る電子マネー端末が行う電源断時処理について説明するためのフローチャートである。
【発明を実施するための形態】
【0012】
(1)実施の形態の概要
電子マネー端末8(図3)は、外部電源に接続されているか否かを監視しており、外部電源から切り離されると、内部のバッテリ33の電力を用いて動作し、外部電源から切り離されたことを不揮発性メモリ39の電源断フラグに記録する。
電子マネー端末8は、起動時に、電源断フラグを参照し、電子マネー端末8が外部電源から切り離されたか否かを確認する。外部電源から切り離されたことを確認した場合、電子マネー端末8は、記憶部41に記憶してあるセキュリティデータを消去した後、起動する。
一方、外部電源から切り離されていないことを確認した場合はセキュリティデータを消去せずに起動する。
【0013】
以上は、基本的な構成であるが、これでは落雷などによる瞬断(瞬間的な停電)が発生した場合もセキュリティデータを消去してしまうため、電子マネー端末8は、以下のようにして、電源断が瞬断であるか否かを判断し、瞬断である場合はセキュリティデータを消去せずに起動する機能を備えている。
【0014】
まず、電子マネー端末8は、外部電源から切り離された時刻を不揮発性メモリ39に記録する。そして、電子マネー端末8は、再起動時に現在時刻と不揮発性メモリ39に記録した時刻の時間差から外部電源から切り離されていた時間を計算する。
この時間が所定時間内の場合、電子マネー端末8は、セキュリティデータを消去せずに起動する。即ち、瞬断は、短時間の内に電力供給が復旧するため、電子マネー端末8が外部電源から切り離されていた時間に閾値を設け、これによって、落雷などによる瞬間的な停電と人為的な外部電源からの取り外しを区別する。
【0015】
以上のように、電子マネー端末8は、電源断を検知し、これをトリガーとして、そのたびにセキュリティデータを消去することができる。そのため、端末盗難などに対するリスクを減少させることができる。
また、電子マネー端末8は、再起動時に外部電源の電力によってセキュリティデータを消去するため、少容量のバッテリ33を搭載するだけで、大量のセキュリティデータを消去することができる。
【0016】
(2)実施の形態の詳細
本実施の形態では、電子マネーシステムで使用される電子マネー端末が保持するセキュリティに関するデータを保護する場合を例にとり説明する。
図1は、電子マネーシステム1のネットワーク構成を示した図である。
電子マネーシステム1は、電子マネーカード6、携帯電話7、電子マネーサーバ2、電子マネー端末8などから構成されており、電子マネー端末8と電子マネーサーバ2はネットワークにて接続可能となっている。
【0017】
電子マネーカード6は、非接触型ICチップを内蔵しており、近距離の無線通信によって電子マネー端末8と通信することができる。電子マネーカード6と電子マネー端末8の通信は暗号化されており、電子マネーカード6は、電子マネー端末8から受信した情報を復号化する機能と、電子マネー端末8に送信する情報を暗号化する機能を備えている。
なお、ICチップを接触型とし、電極の接触により電子マネー端末8と接続するように構成してもよい。
【0018】
ICチップは、CPUを搭載した一種のコンピュータであり、電子マネーシステム1において通貨に該当する電子データであるバリューの金額を記憶したり、電子マネー端末8から送信されてきた金額変更情報(金額を増減するコマンド)を用いて当該記憶したバリューの金額に対して金額変更処理を行う。
【0019】
バリューとは、電子マネーシステム1において貨幣価値と対応させた電子データであって、金額を属性として持ち、この金額の増減により通貨と同様の交換価値の移動を生じさせるものである。
ICチップのバリューを増額させる(チャージする)際に、増額分の代金を顧客から徴収し、これをバリューで決済した加盟店に決済金額に応じて分配することにより、通貨とバリューとの対応が図られている。
【0020】
また、バリューの概念には、ポイントなど、物やサービスと交換可能な交換価値も含めることができる。
ICチップは、貨幣価値の金額を電子データ(バリュー)として記憶し、金額変更情報を受信して前記記憶した金額に対して金額変更処理を行う貨幣端末として機能している。
【0021】
携帯電話7は、電子マネーカード6と同様のICチップを内蔵した携帯端末である。
携帯電話7のICチップは、電子マネーカード6のICチップと同様に、電子マネー機能が組み込んであり、電子マネー端末8と近距離の無線通信を行って、金額変更処理などを行うことができる。
また、携帯電話7は、ネットワークを経由して電子マネーサーバ2と通信し、電子マネーサーバ2から金額変更情報を受信して金額変更処理を行うこともできる。
【0022】
なお、電子マネーカード6や携帯電話7は、ICチップの組み込み形態の一例であって、例えば、PDA(Personal Digital Assistant)などの、他の組み込み媒体に組み込むこともできる。
以下では、ICチップの組み込み媒体として電子マネーカード6を用いて説明するが、他の組み込み媒体に対しても同様な説明が成り立つ。
【0023】
加盟店は、電子マネーカード6によってバリューでの商取引が可能な店舗(コンビニエンスストア、デパート、レストラン、その他の小売店舗、自動販売機、営業車両、その他の移動体など)であり、会計場所に単数、又は複数の電子マネー端末8を備えている。
電子マネー端末8は、例えば、単独で設置されていたり、あるいは、会計装置(キャッシュレジスタやPOSシステム)などに組み込まれている場合もある。
【0024】
電子マネー端末8は、電子マネーカード6に各種コマンドを送信して電子マネーカード6のCPUに情報処理させる端末であり、近距離の無線にて電子マネーカード6と通信することができる。
電子マネー端末8は、各種暗号鍵を記憶しており、これを用いて電子マネーカード6を認証したり、電子マネーカード6との通信を暗号化する。
【0025】
電子マネー端末8は、操作担当者からチャージ金額や決済金額の入力を受け付けるなどして、金額変更情報を生成して電子マネーカード6に送信し、これによって、電子マネーカード6に金額変更処理を行わせる。
また、電子マネー端末8は、電子マネーカード6と行った処理内容を利用ログデータとして蓄積しており、後ほど電子マネーサーバ2にバッチ処理にて送信する。
電子マネー端末8は、電子マネーサーバ2との通信内容も暗号鍵を用いて暗号化する。
【0026】
電子マネーセンタは、電子マネーシステム1の運営事業体であって、電子マネーサーバ2を用いて電子マネーシステム1の運営管理を行っている。
電子マネーサーバ2は、ネットワークにより電子マネー端末8、8、8、…に接続されており、電子マネー端末8から利用ログデータを送信してもらいデータベースに記憶する。
電子マネーサーバ2は、データベースに記憶した利用ログデータを用いて、各加盟店ごとにチャージ金額の合計、及び決済金額の合計を集計する。
電子マネーセンタは、この集計結果に基づいて各加盟店との資金決済を行う。
【0027】
以上のように構成された電子マネーシステム1において、電子マネー端末8は、内部に暗号鍵やその他の外部に漏洩してはならない情報が記憶されている。また、利用ログデータも営業秘密であり、外部への漏洩を防ぐことが望ましい。
そのため、電子マネー端末8は、万が一電子マネー端末8が盗難された場合に、これらのデータを消去するセキュリティ機能を備えている。
消去対象とするデータの範囲は、例えば、暗号鍵や利用ログデータなど、予め電子マネー端末8に設定することができる。
以下、消去対象となる消去対象データをセキュリティデータと呼ぶことにする。
なお、セキュリティデータは、暗号鍵と利用ログデータとするほか、暗号鍵のみ、更には、暗号鍵と加盟店IDなど、各種のバリエーションが可能である。
【0028】
電子マネー端末8は、外部電源からの電力供給の有無を監視することにより、電子マネー端末8が外部電源端子(コンセント)に接続されていることを確認している。
そして、電子マネー端末8は、外部電源からの電力供給の停止を検知すると、予め装備しているバッテリによって動作し、不揮発性メモリに用意された電源断フラグをオン(正常時にはオフに設定されている)に設定する。
その後、電子マネー端末8は、外部電源から電力が供給されて起動する際に、不揮発性メモリの電源断フラグがオンに設定されているか否かを確認し、オンであった場合は、セキュリティデータを消去してから起動し、オフであった場合は、セキュリティデータを消去せずに起動する。
【0029】
なお、落雷などにより、瞬間的に電力供給が途絶えて復旧する瞬断が発生する場合があるが、瞬断による電力供給停止と、盗難などによる人為的な電力供給停止を区別するために、電子マネー端末8は、更に次のような機能を備えている。
【0030】
電子マネー端末8は時計を備えており、電力供給が停止した際に、電源断フラグをオンに設定すると共に、電力供給が停止した時刻も不揮発性メモリに記憶する。
そして、電子マネー端末8は、再度電力が供給された際に電源断フラグがオンであることを確認すると、内部の時計により現在時刻を取得し、不揮発性メモリに記憶してある時刻から現在時刻に至るまでの時間を計算する。
電子マネー端末8は、この時間が所定時間内である場合は、セキュリティデータを消去せずに起動し、この時間が所定時間内でない場合は、セキュリティデータを消去してから起動する。
【0031】
このようにして、電子マネー端末8は、外部電源からの電力供給が途絶えていた時間が所定時間内であった場合は瞬断であると判断し、セキュリティデータを消去せずに起動する。瞬断は、数ミリ秒〜数百ミリ秒程度のごく短い時間で発生するため、所定時間を瞬断よりも若干長く(例えば、500ミリ秒程度)設定することにより、電子マネー端末8は、盗難などによる電源断と、瞬断を区別することができる。
【0032】
以上に説明したように、電子マネー端末8は、外部電源からの電力供給が停止した場合に、その旨を不揮発性メモリに記録しておき、外部電源からの電力供給が再開した際に、当該外部電源からの電力を用いてセキュリティデータを消去する。
そのため、バッテリは、不揮発性メモリに記録することができる小型のものを搭載するだけで大量のセキュリティデータを消去することができる。即ち、バッテリの能力以上の量のセキュリティデータを消去することができる。
【0033】
利用ログデータは、電子マネーカード6と処理するたびに生成されてデータ量が大きくなりがちである一方、電子マネー端末8には大型のバッテリを搭載することが好ましくない。
そこで、本実施の形態のように、小型のバッテリで大量のデータを消去できる機構が有効性を発揮する。
なお、以下では、場合に応じて、外部電源からの電力供給が停止したことを電源断と略記する。
【0034】
図2は、電子マネーカード6のハードウェア的な構成の一例を示したブロック図である。
電子マネーカード6は、CPU(Central Processing Unit)21、高周波回路22、アンテナ26、ROM(Read Only Memory)23、RAM(Random Access Memory)24、EEPROM(Electrically Erasable and Programmable ROM)25などを有している。
これらの素子は、ICチップ上に形成されている。ただし、アンテナ26は、電子マネーカード6内部の外縁部付近、又は電子マネーカード6の対角線を軸とする楕円曲線上に張り巡らされた空中線により構成され、端部がICチップに接続されている。
【0035】
CPU21は、ROM23やEEPROM25に記憶されている各種プログラムに従って情報処理を行う中央処理装置であり、電子マネー端末8から金額変更情報を受信して、これを用いて記憶してあるバリュー残高の金額変更処理などを行う。
CPU21は、アンテナ26、高周波回路22を介して、電子マネー端末8と近距離の無線通信を行うことができる。
【0036】
アンテナ26は、電子マネー端末8のリーダライタ部に内蔵されたアンテナと電波による送受信を行うためのアンテナであり、各種情報の送受信を行うほか、リーダライタ部からの電波によりICチップを駆動するための電力を発電する。
【0037】
高周波回路22は、電子マネー端末8のリーダライタ部からアンテナ26に送信されてきた高周波をデジタル信号に変換してCPU21に出力したり、逆にCPU21が出力したデジタル信号を高周波に変換してアンテナ26からリーダライタ部に送出する。
【0038】
RAM24は、CPU21が情報処理を行う際のワーキングメモリを提供する随時書き込み読み出し可能なメモリである。
本実施の形態では、CPU21が金額変更処理などを行う際に、一時的な記憶領域として使用される。
ROM23は、電子マネーカード6を機能させるための基本的なプログラムやパラメータ、データなどを記憶した読み出し専用メモリである。
【0039】
EEPROM25は、情報の書込消去が可能なROMである。EEPROM25に記憶してある情報は、電子マネーカード6への電力の供給がない場合でも保たれる。
EEPROM25には、電子マネーカード6に電子マネーカードとしての機能を発揮させるための電子マネープログラムが記憶されているほか、電子マネー端末8との通信を暗号化する各種暗号鍵、バリュー残高やログデータ、ICチップを識別するID情報である電子マネー機能部IDなどの各種データを格納する電子マネー記憶部29が形成されている。
【0040】
図3は、電子マネー端末8のハードウェア的な構成の一例を示した図である。
電子マネー端末8は、CPU31、ROM37、RAM38、不揮発性メモリ39、記憶部41、電源断検出回路32、バッテリ33、通信制御部34、入出力部35、リーダライタ部36、時計部40などがバスラインで接続されて構成されている。
【0041】
電子マネー端末8は、外部電源からの電力供給がある場合は、これによって動作し、外部電源からの電力供給が停止した場合は、バッテリ33によって、ある程度の時間(CPU31が不揮発性メモリ39に電源断フラグと電源断時刻を記録するのに要する時間)動作できるようになっている。
【0042】
また、電子マネー端末8は、電源断時には、全体の構成のうち、CPU31が不揮発性メモリ39に電源断フラグを設定し、電源断時刻を記録する最低限の構成部分だけ動作するように構成することもできる。
このように構成すること、バッテリ33の消費電力を低減化することができ、バッテリ33をより小型化することができる。
【0043】
CPU31は、所定のプログラムに従って情報処理を行うほか、電子マネー端末8全体の制御などを行う。
具体的には、CPU31は、金額変更情報を生成して電子マネーカード6に送信し、電子マネーカード6に金額変更処理を行わせたり、電子マネーカード6との処理内容を記録した利用ログデータを生成する。
【0044】
また、外部電源からの電力供給が停止した場合、CPU31は、バッテリ33の供給する電力によって動作し、不揮発性メモリ39の電源断フラグをオンに設定すると共に、電源断時の時刻を時計部40から取得して不揮発性メモリ39に記録する。
そして、再起動時には、CPU31は、電源断フラグを確認し、電源断フラグがオンであった場合は、不揮発性メモリ39に記憶してある電源断時刻と、時計部40の計測する現在時刻から、瞬断であったか否かを判断し、瞬断でなかった場合は、セキュリティデータを消去してから起動し、瞬断であった場合はセキュリティデータを消去しないで起動する。
なお、CPU31は、電子マネー端末8の主電源スイッチがオフとなっている場合でも外部電源の電力によって動作しており、電源断を監視している。
【0045】
ROM37は、電子マネー端末8を動作させるための基本的なプログラムやパラメータなどを記憶した読み出し専用メモリである。
RAM38は、CPU31のワーキングメモリを提供したり、記憶部41に記憶されたプログラムやデータをロードして記憶したりなどする随時書き込み読み出し可能なメモリである。
通信制御部34は、ネットワークを介して電子マネー端末8を電子マネーサーバ2に接続する接続装置である。
【0046】
電源断検出回路32は、外部電源からの電力供給が停止した場合に、その旨の通知をCPU31に行う回路である。
電源断検出回路32は、外部電源からの電力供給の停止を検出する検出手段として機能している。
電源断検出回路32は、電子マネー端末8の主電源スイッチがオフになっている場合も稼動しており、電子マネー端末8の電源コードが外部電源端子に接続していることを監視している。
電力供給の監視は、例えば、外部電源の電圧のピーク値を監視しており、当該ピーク値が所定値より低下した場合に外部電源からの電力供給が停止したと判断する。
また、電流値を用いたり、あるいは、電圧や電流値の実行値を監視するなど、他の方法で監視してもよい。
【0047】
電源断検出回路32は、通常は、外部電源からの電力で稼動し、外部電源からの電力供給が停止した際には、バッテリ33の供給する電力で稼動する。このようにして、電源断検出回路32は、電源断となった場合でも動作してCPU31に信号を送信することができる。
【0048】
バッテリ33は、内部電源であって、例えば、大容量コンデンサ、リチウムイオンバッテリ、アルカリイオン電池、燃料電池、鉛蓄電池などの蓄電装置と、これら蓄電装置が供給する電力を制御する制御回路などから構成されており、外部電源からの電力供給が停止した際に、電子マネー端末8がある程度動作可能となる電力を供給する。
バッテリ33を2次電池やコンデンサなどで構成する場合は、電子マネー端末8が稼動している間、外部電源からの電力によりバッテリ33を常に満充電状態に保つように構成することができる。
【0049】
不揮発性メモリ39は、例えば、EEPROMで構成された不揮発性記憶媒体である。
なお、不揮発性メモリ39は、例えば、バッテリを備えた半導体記憶装置など、電源断時に記憶内容を保てるものであればよい。
不揮発性メモリ39には、CPU31が、電源断フラグを設定したり、電源断時の時刻を書き込んだりするエリアが確保可能となっており、不揮発性メモリ39は、外部電源からの電力供給が停止した場合でも、CPU31が設定した電源断フラグと電源断時の時刻を保持する。電源断フラグは、電力供給が停止された旨を表す停止記録として機能している。
【0050】
なお、本実施の形態では、電源断フラグと、電源断時刻を不揮発性メモリ39に記憶するように構成したが、記憶部41が不揮発性の記憶装置の場合は、これらの情報を記憶部41に記憶するように構成することもできる。
【0051】
時計部40は、例えば、バッテリを備えた水晶発信装置により構成され、外部電源の有無に関わらずに現在時刻の出力を刻々と行う。
時計部40は、例えば、パスワードを入力しないと時刻校正ができないなど、時刻改竄が困難となるように構成されている。
時計部40は、CPU31が電源断時の時刻と起動時の時刻を読み取る際に用いられる。
【0052】
記憶部41は、例えばハードディスクやその他の記憶媒体と、これらを駆動する駆動装置から構成されており、各種プログラムを格納したプログラム格納部42、データを格納したデータ格納部43などから構成されている。
【0053】
プログラム格納部42には、電子マネー端末8を機能させるための基本的なプログラムであるOSや、電子マネーカード6に金額変更処理を行わせるための情報処理プログラム、電源断を検知して、電源断フラグや電源断時刻を不揮発性メモリ39に書き込む電源断記録プログラム、起動する際に、電源断フラグや電源断時刻を確認して、セキュリティデータを消去してから起動する起動プログラムなどが記憶されている。
データ格納部43には、セキュリティデータやその他のデータが記憶されている。
【0054】
セキュリティデータは、消去すべき所定の情報に対応し、記憶部41は、所定の情報を記憶した記憶手段として機能している。また、CPU31は、暗号鍵などを用いて電子マネーカード6との情報処理を行うため、この所定の情報を用いて情報処理を行う情報処理手段として機能している。
【0055】
入出力部35は、例えば、キーボード、バーコードリーダなどの入力装置や、液晶表示装置、プリンタ、音声出力装置といった出力装置を備えている。
入力装置は、操作担当者などから商品コードや決済金額、チャージ金額などの入力を受け付けるのに用いられ、出力装置は、表示装置によって現在の処理状態を表示したり、音声出力装置によって処理が完了した際に所定の効果音を出力させたり、処理内容をプリンタで印刷したりなどするのに用いる。
リーダライタ部36は、アンテナを内蔵しており、電子マネーカード6のICチップと無線通信を行う。
【0056】
次に、図4のフローチャートを用いて、電子マネー端末8が行う電源断時処理について説明する。
まず、電子マネー端末8は、電源断検出回路32によって、正規に稼動を開始してから継続的に外部電源からの電力供給を監視している。
電源断検出回路32は、電源断を検知すると、電源断が発生したことをCPU31に通知する(ステップ5)。
【0057】
CPU31は、電源断検出回路32から電源断の通知を受信すると、時計部40から現在時刻を電源断時刻として取得する(ステップ10)。
次に、CPU31は、不揮発性メモリ39の電源断フラグをオフからオンに設定すると共に、電源断時刻を不揮発性メモリ39に書き込む(ステップ15)。
不揮発性メモリ39は、電源断フラグと電源断時刻の記憶を保持する。
その後、電子マネー端末8は、時計部40を除いて停止する。
【0058】
次に、図5を用いて、電子マネー端末8が行う起動処理について説明する。
まず、CPU31は、起動要求を受け付ける。この起動要求は、例えば、操作担当者が電子マネー端末8の起動操作を行ったり、あるいは、瞬断後に自動的に行ったりする。
すると、CPU31は、不揮発性メモリ39から電源断フラグの状態と電源断時刻を読み取る(ステップ35)。
次に、CPU31は、不揮発性メモリ39から読み取った電源断フラグにより電源断があったか否かを判断する(ステップ40)。
【0059】
電源断フラグがオフであった場合、CPU31は、電源断がなかったと判断し(ステップ40;N)、不揮発性メモリ39を初期化する(ステップ55)。
この初期化は、電源断フラグの状態をオフに設定し、電源断時刻を消去することにより行われる。
【0060】
電源断フラグがオンであった場合、CPU31は、電源断があったと判断し(ステップ40;Y)、更に、この電源断が瞬断であったか否かを判断する(ステップ45)。
CPU31は、次のようにして瞬断であるか否かの判断を行う。
まず、CPU31は、電源断があったと判断すると、時計部40から現在時刻を読み取る。そして、不揮発性メモリ39から読み取った電源断時刻から現在時刻までに経過した時間を計算し、これを所定時間(閾値)と比較する。
経過した時間が所定時間内である場合、CPU31は、瞬断であると判断し、所定時間以上の場合は、瞬断でないと判断する。
【0061】
このようにして判断した結果、瞬断であった場合(ステップ45;Y)、CPU31は、不揮発性メモリ39を初期化した後(ステップ55)、セキュリティデータを消去せずに電子マネー端末8を起動する(ステップ60)。
また、瞬断でなかった場合(ステップ45;N)、CPU31は、記憶部41に記憶されているセキュリティデータを消去する(ステップ50)。
そして、CPU31は、不揮発性メモリ39を初期化した後(ステップ55)、電子マネー端末8を起動する(ステップ60)。
このように、電子マネー端末8は、起動後に不揮発性メモリ39に記録されている電源断フラグを無効化する無効化手段を備えている。
【0062】
以上の例では、電源断や瞬断の有無に関わらず、不揮発性メモリ39を初期化するが、これは、例えば、電子マネー端末8で、例えば、チケット発行プログラムなど、複数のソフトウェアを実行できる場合、電子マネー端末8の電源を投入したまま、電子マネー処理機能を起動したり終了したりする場合があることを考慮したものである。
即ち、この場合に、電子マネー端末8の起動とは、電子マネー端末8で電子マネー処理プログラムを起動することに対応し、不揮発性メモリ39が初期化していないと、電子マネー処理プログラムを起動するたびに、不揮発性メモリ39の電源断フラグや電源断時刻によって、セキュリティデータを消去する場合があるからである。
電子マネー端末8が、電子マネー処理プログラムを常時稼動するものであれば、不揮発性メモリ39を初期化する必要は必ずしもない。
【0063】
以上に説明した本実施の形態では、次のような効果を得ることができる。
(1)外部電源から電子マネー端末8への電力供給が停止した場合、電力供給が停止した旨を不揮発性メモリ39に記録することができる。
(2)CPU31は、起動時に電源断フラグを確認することにより、電子マネー端末8が外部電源から切り離されたか否かを確認することができる。そして、外部電源から切り離されていた場合、CPU31は、消去対象となっているデータ(セキュリティデータ)を消去することができる。
【0064】
(3)セキュリティデータの消去は、外部電源の電力を用いて行うため、大量のデータを消去することができる。
(4)CPU31は、外部電源からの電力供給が停止した時刻を不揮発性メモリ39に記録しておくことにより、電力供給の停止が瞬断であるか否かを判断することができる。
(5)外部電源からの電力供給停止が瞬断であった場合、セキュリティデータの消去を行わないようにすることができる。
【0065】
なお、本実施の形態では、電源断フラグと電源断時刻を不揮発性メモリ39に記憶したが、電源断時刻を電源断フラグとして使用することもできる。
この場合、CPU31は、不揮発性メモリ39に電源断時刻が書き込まれている場合は、電源断があったと判断し、電源断時刻が書き込まれていない場合は電源断がなかったと判断する。
この例では、電源断時刻の有無が電源断フラグとして機能するため、CPU31は、不揮発性メモリ39に電源断フラグを設定せずに、電源断の有無と瞬断の有無を判断することができる。
【0066】
また、本実施の形態では、不揮発性メモリ39の初期化を電源断フラグをオフに設定し、電源断時刻を消去することにより行ったが、これに限定せず、不揮発性メモリ39に記録されている電源断フラグと電源断時刻が起動時に無効化するものであればよい。
これは、例えば、電源断フラグと電源断時刻に無効と有効を表す有効性フラグを設定することにより行うことができる。
【0067】
また、本実施の形態では、CPU31は、電源断があったか否かを判断した後、更に、瞬断があったか否かを判断したが、瞬断を考慮する必要がない場合は、瞬断の判断を行わないように構成することもできる。
この場合、CPU31は、不揮発性メモリ39に電源断時刻は記録しない。そして、起動時には、CPU31は、不揮発性メモリ39で電源断フラグがオンであった場合は、セキュリティデータを消去してから電子マネー端末8を起動し、電源断フラグがオフであった場合は、セキュリティデータを消去せずに電子マネー端末8を起動する。
【0068】
更に、本実施の形態では、瞬断の判断として、電源断時の時刻と電子マネー端末8の起動時の時刻を用いたが、外部電源からの電力供給再開時刻を不揮発性メモリ39に記憶し、この再開時刻と電源断時の時間差から瞬断を判断するように構成することも可能である。
この場合は、電源断検出回路32は、電源断後に、外部電源からの電力供給再開を監視し、再開時にCPU31に通知を行う。CPU31は、この通知を受信すると、時計部40から現在時刻を取得してこれを不揮発性メモリ39に再開時刻として記憶させる。
そして、CPU31は、起動時に不揮発性メモリ39に記憶した電源断時刻と再開時刻の差を計算し、当該時間差が所定時間内である場合、瞬断であると判断する。電子マネー端末8は、瞬断であると判断した場合は、セキュリティデータの消去は行わない。
この方法は、電子マネー端末8の起動時と電力供給再開時に時間差がある場合に有効である。
【0069】
また、本実施の形態では、瞬断でない電源断を検知した場合に、セキュリティ情報を消去したが、更に電子マネー端末8の機能制限を行う機能制限手段を設けるように構成することもできる。
この場合、電子マネー端末8は、セキュリティ情報を消去して起動した後、例えば、電子マネーカード6へ金額変更情報を送信できないように機能制限を行うことができる。
【0070】
(変形例)
本変形例は、外部電源からの電力供給の停止を検出した直後に、バッテリ33の電力でセキュリティデータを消去するものである。
この方法は、バッテリ33がセキュリティデータを消去するのに要する電力を供給できる場合に有効である。
このような場合は、例えば、セキュリティデータのデータ量が小さい場合、又は、セキュリティデータのデータ量は大きいが、バッテリ33の能力も十分に大きい場合がある。
【0071】
以下、本変形例に係る電子マネー端末8の電源断時処理について図6のフローチャートを用いて説明する。
まず、電子マネー端末8が稼動している間、電源断検出回路32が外部電源からの電力供給を監視する。
電源断検出回路32は、外部電源からの電力供給の停止、即ち、電源断を検知すると、電源断が発生したことをCPU31に通知する(ステップ70)。
【0072】
CPU31は、電源断検出回路32から電源断の通知を受信すると、時計部40の計測する時刻により、通知を受けてからの経過時間の計測を開始する(ステップ75)。
経過時間が所定時間内である場合(ステップ80;Y)、CPU31は、外部電源による電力供給が再開したか否かを確認する(ステップ85)。
電力供給が再開した場合(ステップ85;Y)、CPU31は、セキュリティデータを消去せずに、電子マネー端末8を起動する(ステップ95)。
一方、電力供給が再開していない場合(ステップ85;N)、CPU31は、ステップ80に戻る。
【0073】
経過時間が所定時間内でなかった場合(ステップ80;N)、CPU31は、バッテリ33の供給する電力を用いて動作してセキュリティデータを消去し(ステップ90)、電子マネー端末8を起動する(ステップ95)。
【0074】
以上のようにして、本変形例は、外部電源からの電力供給が開始されるまでの経過時間により瞬断を判断し、瞬断である場合は、セキュリティデータを消去せずに起動し、瞬断でない場合は、即座にセキュリティデータを消去してから起動する。
なお、本変形例では、瞬断の有無の判断を行ったが、瞬断の有無に関わらずにセキュリティデータを消去するように構成することもできる。
この場合、CPU31は、電源断検出回路32から電源断の通知を受けた場合、即座にセキュリティデータを消去する。
【0075】
以上、本実施の形態、及び変形例では、電子マネー端末8のセキュリティデータを保護する場合について説明したが、これは、保護対象を電子マネー端末8に限定するものではなく、クレジット端末や、セキュリティ性の高いデータを持つその他の情報処理装置に適用できるものである。
例えば、研究データや財務データなどの機密情報が蓄積されたコンピュータに適用したり、あるいは、大量の営業データが記憶されてる着脱可能なハードディスク装置にCPU、バッテリ、不揮発性メモリなどを搭載し、ハードディスク装置を電源断後に再起動する際に、営業データを消去するように構成することもできる。
【符号の説明】
【0076】
1 電子マネーシステム
2 電子マネーサーバ
6 電子マネーカード
7 携帯電話
8 電子マネー端末
31 CPU
32 電源断検出回路
33 バッテリ
34 通信制御部
35 入出力部
36 リーダライタ部
37 ROM
38 RAM
39 不揮発性メモリ
40 時計部
41 記憶部
【技術分野】
【0001】
本発明は、情報処理装置に関し、例えば、内部に記憶したセキュリティに関するデータを自動的に消去するものに関する。
【背景技術】
【0002】
近年の電子マネーの普及に伴い、電子マネーを用いた商取引が盛んに行われるようになってきた。
電子マネーシステムでは、バリューと呼ばれる金銭に対応させた電子データを電子マネーカードなどに内蔵されたICチップに記憶し、これを加盟店に設置した電子マネー端末からアクセスして増減することにより、金銭的価値の移動を行う。
なお、ICチップが記憶するバリュー残高を増額する金額変更処理はチャージと呼ばれ、減額する金額変更処理は決済と呼ばれている。
【0003】
電子マネー端末と電子マネーカードは、各種の暗号鍵を記憶しており、電子マネー端末と電子マネーカードは、これら暗号鍵によって相手方が正統な端末であることを確認し、また、通信を暗号化している。
また、電子マネー端末は、電子マネーカードとの処理履歴を利用ログデータとして一定期間蓄積し、電子マネーサーバに1日に1回程度送信する。そして、電子マネーサーバは、電子マネー端末から送信されてきた利用ログデータを集計する。
【0004】
このように、電子マネー端末には、セキュリティに関わるデータが記憶されているため、電子マネー端末が内部を不正に解析されることを防ぐ必要がある。
このように、装置内部のデータを保護する技術として、次の「セキュリティシステムとセキュリティ処理方法」がある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開平10−161865号公報
【0006】
この技術は、端末内の揮発性メモリにセキュリティを要するデータを記憶しておき、端末筐体の開放を検知すると、揮発性メモリへの電力供給を絶ってこれを消去するものである。
【発明の概要】
【発明が解決しようとする課題】
【0007】
電子マネー端末は、記憶するデータ量が多いため、ハードディスクなどの不揮発性の記憶装置に記憶している。また、各種暗号鍵も電子マネー端末を停止しても消去されないように不揮発性の記憶装置に記憶している。
これら、不揮発性メモリに記憶されたデータは、電力供給がなくても電子マネー端末内に保持されるため、電子マネー端末が、盗難などされた場合に、内部のデータの漏出を如何に防ぐかが重要な課題であった。
【0008】
そこで、本発明の目的は、電子マネー端末に記憶されているセキュリティに関わるデータの漏洩を防止することである。
【課題を解決するための手段】
【0009】
本発明は、前記目的を達成するために、請求項1に記載の発明では、外部電源からの電力供給の停止を検出する検出手段と、所定の情報を記憶した記憶手段と、前記記憶した所定の情報を用いて情報処理を行う情報処理手段と、前記検出手段で、電力供給の停止が検出された場合に、前記記憶した所定の情報を消去する消去手段と、を具備したことを特徴とする情報処理装置を提供する。
請求項2に記載の発明では、前記消去手段は、内部電源と不揮発性記憶媒体を備え、前記検出手段で電力供給の停止が検出された場合に、電力供給が停止された旨を表す停止記録を、前記内部電源の電力を用いて前記不揮発性記憶媒体に記録し、起動時に前記不揮発性記憶媒体の停止記録を確認して停止記録があった場合に、前記所定の情報を消去することを特徴とする請求項1に記載の情報処理装置を提供する。
請求項3に記載の発明では、起動時に、前記不揮発性記憶媒体に停止記録があった場合に、前記情報処理手段の情報処理機能を制限する機能制限手段を具備したことを特徴とする請求項2に記載の情報処理装置を提供する。
請求項4に記載の発明では、起動後に前記不揮発性記憶媒体に記録されている停止記録を無効化する無効化手段を具備したことを特徴とする請求項2、又は請求項3に記載の情報処理装置を提供する。
請求項5に記載の発明では、前記消去手段は、前記不揮発性記憶媒体に、外部電源からの電力供給が停止した時刻を記録し、起動時の時刻が、前記記録した時刻から所定時間内の場合は、前記所定の情報を消去しないことを特徴とする請求項2、請求項3、又は請求項4に記載の情報処理装置を提供する。
請求項6に記載の発明では、前記消去手段は、外部電源からの電力供給が停止した時刻と、外部電源からの電力供給が再開した時刻と、を記録し、前記記録に係る停止した時刻と再開した時刻の時間差が所定時間内である場合は、前記所定の情報を消去しないことを特徴とする請求項2、請求項3、又は請求項4に記載の情報処理装置を提供する。
請求項7に記載の発明では、前記消去手段は、内部電源を備え、前記検出手段で電力供給の停止が検出された直後に、前記内部電源の電力を用いて前記記憶した所定の情報を消去することを特徴とする請求項1に記載の情報処理装置を提供する。
請求項8に記載の発明では、前記情報処理手段は、貨幣価値の金額を電子データとして記憶し、金額変更情報を受信して前記記憶した金額に対して金額変更処理を行う貨幣端末に金額変更情報を送信し、前記所定の情報は、前記金額変更情報を暗号化する暗号鍵であることを特徴とする請求項1から請求項7に記載の情報処理装置を提供する。
請求項9に記載の発明では、前記消去手段は、更に、前記貨幣端末との処理内容を記録したログデータを消去することを特徴とする請求項8に記載の情報処理装置を提供する。
【発明の効果】
【0010】
本発明によれば、例えば、電源断の後に再起動する際に、内部のセキュリティに関わるデータを自動消去することにより、電子マネー端末に記憶されているデータの漏洩を防止することができる。
【図面の簡単な説明】
【0011】
【図1】電子マネーシステムのネットワーク構成を示した図である。
【図2】電子マネーカードのハードウェア的な構成の一例を示したブロック図である。
【図3】電子マネー端末のハードウェア的な構成の一例を示した図である。
【図4】電子マネー端末が行う電源断時処理を説明するためのフローチャートである。
【図5】電子マネー端末が行う起動処理について説明するためのフローチャートである。
【図6】変形例に係る電子マネー端末が行う電源断時処理について説明するためのフローチャートである。
【発明を実施するための形態】
【0012】
(1)実施の形態の概要
電子マネー端末8(図3)は、外部電源に接続されているか否かを監視しており、外部電源から切り離されると、内部のバッテリ33の電力を用いて動作し、外部電源から切り離されたことを不揮発性メモリ39の電源断フラグに記録する。
電子マネー端末8は、起動時に、電源断フラグを参照し、電子マネー端末8が外部電源から切り離されたか否かを確認する。外部電源から切り離されたことを確認した場合、電子マネー端末8は、記憶部41に記憶してあるセキュリティデータを消去した後、起動する。
一方、外部電源から切り離されていないことを確認した場合はセキュリティデータを消去せずに起動する。
【0013】
以上は、基本的な構成であるが、これでは落雷などによる瞬断(瞬間的な停電)が発生した場合もセキュリティデータを消去してしまうため、電子マネー端末8は、以下のようにして、電源断が瞬断であるか否かを判断し、瞬断である場合はセキュリティデータを消去せずに起動する機能を備えている。
【0014】
まず、電子マネー端末8は、外部電源から切り離された時刻を不揮発性メモリ39に記録する。そして、電子マネー端末8は、再起動時に現在時刻と不揮発性メモリ39に記録した時刻の時間差から外部電源から切り離されていた時間を計算する。
この時間が所定時間内の場合、電子マネー端末8は、セキュリティデータを消去せずに起動する。即ち、瞬断は、短時間の内に電力供給が復旧するため、電子マネー端末8が外部電源から切り離されていた時間に閾値を設け、これによって、落雷などによる瞬間的な停電と人為的な外部電源からの取り外しを区別する。
【0015】
以上のように、電子マネー端末8は、電源断を検知し、これをトリガーとして、そのたびにセキュリティデータを消去することができる。そのため、端末盗難などに対するリスクを減少させることができる。
また、電子マネー端末8は、再起動時に外部電源の電力によってセキュリティデータを消去するため、少容量のバッテリ33を搭載するだけで、大量のセキュリティデータを消去することができる。
【0016】
(2)実施の形態の詳細
本実施の形態では、電子マネーシステムで使用される電子マネー端末が保持するセキュリティに関するデータを保護する場合を例にとり説明する。
図1は、電子マネーシステム1のネットワーク構成を示した図である。
電子マネーシステム1は、電子マネーカード6、携帯電話7、電子マネーサーバ2、電子マネー端末8などから構成されており、電子マネー端末8と電子マネーサーバ2はネットワークにて接続可能となっている。
【0017】
電子マネーカード6は、非接触型ICチップを内蔵しており、近距離の無線通信によって電子マネー端末8と通信することができる。電子マネーカード6と電子マネー端末8の通信は暗号化されており、電子マネーカード6は、電子マネー端末8から受信した情報を復号化する機能と、電子マネー端末8に送信する情報を暗号化する機能を備えている。
なお、ICチップを接触型とし、電極の接触により電子マネー端末8と接続するように構成してもよい。
【0018】
ICチップは、CPUを搭載した一種のコンピュータであり、電子マネーシステム1において通貨に該当する電子データであるバリューの金額を記憶したり、電子マネー端末8から送信されてきた金額変更情報(金額を増減するコマンド)を用いて当該記憶したバリューの金額に対して金額変更処理を行う。
【0019】
バリューとは、電子マネーシステム1において貨幣価値と対応させた電子データであって、金額を属性として持ち、この金額の増減により通貨と同様の交換価値の移動を生じさせるものである。
ICチップのバリューを増額させる(チャージする)際に、増額分の代金を顧客から徴収し、これをバリューで決済した加盟店に決済金額に応じて分配することにより、通貨とバリューとの対応が図られている。
【0020】
また、バリューの概念には、ポイントなど、物やサービスと交換可能な交換価値も含めることができる。
ICチップは、貨幣価値の金額を電子データ(バリュー)として記憶し、金額変更情報を受信して前記記憶した金額に対して金額変更処理を行う貨幣端末として機能している。
【0021】
携帯電話7は、電子マネーカード6と同様のICチップを内蔵した携帯端末である。
携帯電話7のICチップは、電子マネーカード6のICチップと同様に、電子マネー機能が組み込んであり、電子マネー端末8と近距離の無線通信を行って、金額変更処理などを行うことができる。
また、携帯電話7は、ネットワークを経由して電子マネーサーバ2と通信し、電子マネーサーバ2から金額変更情報を受信して金額変更処理を行うこともできる。
【0022】
なお、電子マネーカード6や携帯電話7は、ICチップの組み込み形態の一例であって、例えば、PDA(Personal Digital Assistant)などの、他の組み込み媒体に組み込むこともできる。
以下では、ICチップの組み込み媒体として電子マネーカード6を用いて説明するが、他の組み込み媒体に対しても同様な説明が成り立つ。
【0023】
加盟店は、電子マネーカード6によってバリューでの商取引が可能な店舗(コンビニエンスストア、デパート、レストラン、その他の小売店舗、自動販売機、営業車両、その他の移動体など)であり、会計場所に単数、又は複数の電子マネー端末8を備えている。
電子マネー端末8は、例えば、単独で設置されていたり、あるいは、会計装置(キャッシュレジスタやPOSシステム)などに組み込まれている場合もある。
【0024】
電子マネー端末8は、電子マネーカード6に各種コマンドを送信して電子マネーカード6のCPUに情報処理させる端末であり、近距離の無線にて電子マネーカード6と通信することができる。
電子マネー端末8は、各種暗号鍵を記憶しており、これを用いて電子マネーカード6を認証したり、電子マネーカード6との通信を暗号化する。
【0025】
電子マネー端末8は、操作担当者からチャージ金額や決済金額の入力を受け付けるなどして、金額変更情報を生成して電子マネーカード6に送信し、これによって、電子マネーカード6に金額変更処理を行わせる。
また、電子マネー端末8は、電子マネーカード6と行った処理内容を利用ログデータとして蓄積しており、後ほど電子マネーサーバ2にバッチ処理にて送信する。
電子マネー端末8は、電子マネーサーバ2との通信内容も暗号鍵を用いて暗号化する。
【0026】
電子マネーセンタは、電子マネーシステム1の運営事業体であって、電子マネーサーバ2を用いて電子マネーシステム1の運営管理を行っている。
電子マネーサーバ2は、ネットワークにより電子マネー端末8、8、8、…に接続されており、電子マネー端末8から利用ログデータを送信してもらいデータベースに記憶する。
電子マネーサーバ2は、データベースに記憶した利用ログデータを用いて、各加盟店ごとにチャージ金額の合計、及び決済金額の合計を集計する。
電子マネーセンタは、この集計結果に基づいて各加盟店との資金決済を行う。
【0027】
以上のように構成された電子マネーシステム1において、電子マネー端末8は、内部に暗号鍵やその他の外部に漏洩してはならない情報が記憶されている。また、利用ログデータも営業秘密であり、外部への漏洩を防ぐことが望ましい。
そのため、電子マネー端末8は、万が一電子マネー端末8が盗難された場合に、これらのデータを消去するセキュリティ機能を備えている。
消去対象とするデータの範囲は、例えば、暗号鍵や利用ログデータなど、予め電子マネー端末8に設定することができる。
以下、消去対象となる消去対象データをセキュリティデータと呼ぶことにする。
なお、セキュリティデータは、暗号鍵と利用ログデータとするほか、暗号鍵のみ、更には、暗号鍵と加盟店IDなど、各種のバリエーションが可能である。
【0028】
電子マネー端末8は、外部電源からの電力供給の有無を監視することにより、電子マネー端末8が外部電源端子(コンセント)に接続されていることを確認している。
そして、電子マネー端末8は、外部電源からの電力供給の停止を検知すると、予め装備しているバッテリによって動作し、不揮発性メモリに用意された電源断フラグをオン(正常時にはオフに設定されている)に設定する。
その後、電子マネー端末8は、外部電源から電力が供給されて起動する際に、不揮発性メモリの電源断フラグがオンに設定されているか否かを確認し、オンであった場合は、セキュリティデータを消去してから起動し、オフであった場合は、セキュリティデータを消去せずに起動する。
【0029】
なお、落雷などにより、瞬間的に電力供給が途絶えて復旧する瞬断が発生する場合があるが、瞬断による電力供給停止と、盗難などによる人為的な電力供給停止を区別するために、電子マネー端末8は、更に次のような機能を備えている。
【0030】
電子マネー端末8は時計を備えており、電力供給が停止した際に、電源断フラグをオンに設定すると共に、電力供給が停止した時刻も不揮発性メモリに記憶する。
そして、電子マネー端末8は、再度電力が供給された際に電源断フラグがオンであることを確認すると、内部の時計により現在時刻を取得し、不揮発性メモリに記憶してある時刻から現在時刻に至るまでの時間を計算する。
電子マネー端末8は、この時間が所定時間内である場合は、セキュリティデータを消去せずに起動し、この時間が所定時間内でない場合は、セキュリティデータを消去してから起動する。
【0031】
このようにして、電子マネー端末8は、外部電源からの電力供給が途絶えていた時間が所定時間内であった場合は瞬断であると判断し、セキュリティデータを消去せずに起動する。瞬断は、数ミリ秒〜数百ミリ秒程度のごく短い時間で発生するため、所定時間を瞬断よりも若干長く(例えば、500ミリ秒程度)設定することにより、電子マネー端末8は、盗難などによる電源断と、瞬断を区別することができる。
【0032】
以上に説明したように、電子マネー端末8は、外部電源からの電力供給が停止した場合に、その旨を不揮発性メモリに記録しておき、外部電源からの電力供給が再開した際に、当該外部電源からの電力を用いてセキュリティデータを消去する。
そのため、バッテリは、不揮発性メモリに記録することができる小型のものを搭載するだけで大量のセキュリティデータを消去することができる。即ち、バッテリの能力以上の量のセキュリティデータを消去することができる。
【0033】
利用ログデータは、電子マネーカード6と処理するたびに生成されてデータ量が大きくなりがちである一方、電子マネー端末8には大型のバッテリを搭載することが好ましくない。
そこで、本実施の形態のように、小型のバッテリで大量のデータを消去できる機構が有効性を発揮する。
なお、以下では、場合に応じて、外部電源からの電力供給が停止したことを電源断と略記する。
【0034】
図2は、電子マネーカード6のハードウェア的な構成の一例を示したブロック図である。
電子マネーカード6は、CPU(Central Processing Unit)21、高周波回路22、アンテナ26、ROM(Read Only Memory)23、RAM(Random Access Memory)24、EEPROM(Electrically Erasable and Programmable ROM)25などを有している。
これらの素子は、ICチップ上に形成されている。ただし、アンテナ26は、電子マネーカード6内部の外縁部付近、又は電子マネーカード6の対角線を軸とする楕円曲線上に張り巡らされた空中線により構成され、端部がICチップに接続されている。
【0035】
CPU21は、ROM23やEEPROM25に記憶されている各種プログラムに従って情報処理を行う中央処理装置であり、電子マネー端末8から金額変更情報を受信して、これを用いて記憶してあるバリュー残高の金額変更処理などを行う。
CPU21は、アンテナ26、高周波回路22を介して、電子マネー端末8と近距離の無線通信を行うことができる。
【0036】
アンテナ26は、電子マネー端末8のリーダライタ部に内蔵されたアンテナと電波による送受信を行うためのアンテナであり、各種情報の送受信を行うほか、リーダライタ部からの電波によりICチップを駆動するための電力を発電する。
【0037】
高周波回路22は、電子マネー端末8のリーダライタ部からアンテナ26に送信されてきた高周波をデジタル信号に変換してCPU21に出力したり、逆にCPU21が出力したデジタル信号を高周波に変換してアンテナ26からリーダライタ部に送出する。
【0038】
RAM24は、CPU21が情報処理を行う際のワーキングメモリを提供する随時書き込み読み出し可能なメモリである。
本実施の形態では、CPU21が金額変更処理などを行う際に、一時的な記憶領域として使用される。
ROM23は、電子マネーカード6を機能させるための基本的なプログラムやパラメータ、データなどを記憶した読み出し専用メモリである。
【0039】
EEPROM25は、情報の書込消去が可能なROMである。EEPROM25に記憶してある情報は、電子マネーカード6への電力の供給がない場合でも保たれる。
EEPROM25には、電子マネーカード6に電子マネーカードとしての機能を発揮させるための電子マネープログラムが記憶されているほか、電子マネー端末8との通信を暗号化する各種暗号鍵、バリュー残高やログデータ、ICチップを識別するID情報である電子マネー機能部IDなどの各種データを格納する電子マネー記憶部29が形成されている。
【0040】
図3は、電子マネー端末8のハードウェア的な構成の一例を示した図である。
電子マネー端末8は、CPU31、ROM37、RAM38、不揮発性メモリ39、記憶部41、電源断検出回路32、バッテリ33、通信制御部34、入出力部35、リーダライタ部36、時計部40などがバスラインで接続されて構成されている。
【0041】
電子マネー端末8は、外部電源からの電力供給がある場合は、これによって動作し、外部電源からの電力供給が停止した場合は、バッテリ33によって、ある程度の時間(CPU31が不揮発性メモリ39に電源断フラグと電源断時刻を記録するのに要する時間)動作できるようになっている。
【0042】
また、電子マネー端末8は、電源断時には、全体の構成のうち、CPU31が不揮発性メモリ39に電源断フラグを設定し、電源断時刻を記録する最低限の構成部分だけ動作するように構成することもできる。
このように構成すること、バッテリ33の消費電力を低減化することができ、バッテリ33をより小型化することができる。
【0043】
CPU31は、所定のプログラムに従って情報処理を行うほか、電子マネー端末8全体の制御などを行う。
具体的には、CPU31は、金額変更情報を生成して電子マネーカード6に送信し、電子マネーカード6に金額変更処理を行わせたり、電子マネーカード6との処理内容を記録した利用ログデータを生成する。
【0044】
また、外部電源からの電力供給が停止した場合、CPU31は、バッテリ33の供給する電力によって動作し、不揮発性メモリ39の電源断フラグをオンに設定すると共に、電源断時の時刻を時計部40から取得して不揮発性メモリ39に記録する。
そして、再起動時には、CPU31は、電源断フラグを確認し、電源断フラグがオンであった場合は、不揮発性メモリ39に記憶してある電源断時刻と、時計部40の計測する現在時刻から、瞬断であったか否かを判断し、瞬断でなかった場合は、セキュリティデータを消去してから起動し、瞬断であった場合はセキュリティデータを消去しないで起動する。
なお、CPU31は、電子マネー端末8の主電源スイッチがオフとなっている場合でも外部電源の電力によって動作しており、電源断を監視している。
【0045】
ROM37は、電子マネー端末8を動作させるための基本的なプログラムやパラメータなどを記憶した読み出し専用メモリである。
RAM38は、CPU31のワーキングメモリを提供したり、記憶部41に記憶されたプログラムやデータをロードして記憶したりなどする随時書き込み読み出し可能なメモリである。
通信制御部34は、ネットワークを介して電子マネー端末8を電子マネーサーバ2に接続する接続装置である。
【0046】
電源断検出回路32は、外部電源からの電力供給が停止した場合に、その旨の通知をCPU31に行う回路である。
電源断検出回路32は、外部電源からの電力供給の停止を検出する検出手段として機能している。
電源断検出回路32は、電子マネー端末8の主電源スイッチがオフになっている場合も稼動しており、電子マネー端末8の電源コードが外部電源端子に接続していることを監視している。
電力供給の監視は、例えば、外部電源の電圧のピーク値を監視しており、当該ピーク値が所定値より低下した場合に外部電源からの電力供給が停止したと判断する。
また、電流値を用いたり、あるいは、電圧や電流値の実行値を監視するなど、他の方法で監視してもよい。
【0047】
電源断検出回路32は、通常は、外部電源からの電力で稼動し、外部電源からの電力供給が停止した際には、バッテリ33の供給する電力で稼動する。このようにして、電源断検出回路32は、電源断となった場合でも動作してCPU31に信号を送信することができる。
【0048】
バッテリ33は、内部電源であって、例えば、大容量コンデンサ、リチウムイオンバッテリ、アルカリイオン電池、燃料電池、鉛蓄電池などの蓄電装置と、これら蓄電装置が供給する電力を制御する制御回路などから構成されており、外部電源からの電力供給が停止した際に、電子マネー端末8がある程度動作可能となる電力を供給する。
バッテリ33を2次電池やコンデンサなどで構成する場合は、電子マネー端末8が稼動している間、外部電源からの電力によりバッテリ33を常に満充電状態に保つように構成することができる。
【0049】
不揮発性メモリ39は、例えば、EEPROMで構成された不揮発性記憶媒体である。
なお、不揮発性メモリ39は、例えば、バッテリを備えた半導体記憶装置など、電源断時に記憶内容を保てるものであればよい。
不揮発性メモリ39には、CPU31が、電源断フラグを設定したり、電源断時の時刻を書き込んだりするエリアが確保可能となっており、不揮発性メモリ39は、外部電源からの電力供給が停止した場合でも、CPU31が設定した電源断フラグと電源断時の時刻を保持する。電源断フラグは、電力供給が停止された旨を表す停止記録として機能している。
【0050】
なお、本実施の形態では、電源断フラグと、電源断時刻を不揮発性メモリ39に記憶するように構成したが、記憶部41が不揮発性の記憶装置の場合は、これらの情報を記憶部41に記憶するように構成することもできる。
【0051】
時計部40は、例えば、バッテリを備えた水晶発信装置により構成され、外部電源の有無に関わらずに現在時刻の出力を刻々と行う。
時計部40は、例えば、パスワードを入力しないと時刻校正ができないなど、時刻改竄が困難となるように構成されている。
時計部40は、CPU31が電源断時の時刻と起動時の時刻を読み取る際に用いられる。
【0052】
記憶部41は、例えばハードディスクやその他の記憶媒体と、これらを駆動する駆動装置から構成されており、各種プログラムを格納したプログラム格納部42、データを格納したデータ格納部43などから構成されている。
【0053】
プログラム格納部42には、電子マネー端末8を機能させるための基本的なプログラムであるOSや、電子マネーカード6に金額変更処理を行わせるための情報処理プログラム、電源断を検知して、電源断フラグや電源断時刻を不揮発性メモリ39に書き込む電源断記録プログラム、起動する際に、電源断フラグや電源断時刻を確認して、セキュリティデータを消去してから起動する起動プログラムなどが記憶されている。
データ格納部43には、セキュリティデータやその他のデータが記憶されている。
【0054】
セキュリティデータは、消去すべき所定の情報に対応し、記憶部41は、所定の情報を記憶した記憶手段として機能している。また、CPU31は、暗号鍵などを用いて電子マネーカード6との情報処理を行うため、この所定の情報を用いて情報処理を行う情報処理手段として機能している。
【0055】
入出力部35は、例えば、キーボード、バーコードリーダなどの入力装置や、液晶表示装置、プリンタ、音声出力装置といった出力装置を備えている。
入力装置は、操作担当者などから商品コードや決済金額、チャージ金額などの入力を受け付けるのに用いられ、出力装置は、表示装置によって現在の処理状態を表示したり、音声出力装置によって処理が完了した際に所定の効果音を出力させたり、処理内容をプリンタで印刷したりなどするのに用いる。
リーダライタ部36は、アンテナを内蔵しており、電子マネーカード6のICチップと無線通信を行う。
【0056】
次に、図4のフローチャートを用いて、電子マネー端末8が行う電源断時処理について説明する。
まず、電子マネー端末8は、電源断検出回路32によって、正規に稼動を開始してから継続的に外部電源からの電力供給を監視している。
電源断検出回路32は、電源断を検知すると、電源断が発生したことをCPU31に通知する(ステップ5)。
【0057】
CPU31は、電源断検出回路32から電源断の通知を受信すると、時計部40から現在時刻を電源断時刻として取得する(ステップ10)。
次に、CPU31は、不揮発性メモリ39の電源断フラグをオフからオンに設定すると共に、電源断時刻を不揮発性メモリ39に書き込む(ステップ15)。
不揮発性メモリ39は、電源断フラグと電源断時刻の記憶を保持する。
その後、電子マネー端末8は、時計部40を除いて停止する。
【0058】
次に、図5を用いて、電子マネー端末8が行う起動処理について説明する。
まず、CPU31は、起動要求を受け付ける。この起動要求は、例えば、操作担当者が電子マネー端末8の起動操作を行ったり、あるいは、瞬断後に自動的に行ったりする。
すると、CPU31は、不揮発性メモリ39から電源断フラグの状態と電源断時刻を読み取る(ステップ35)。
次に、CPU31は、不揮発性メモリ39から読み取った電源断フラグにより電源断があったか否かを判断する(ステップ40)。
【0059】
電源断フラグがオフであった場合、CPU31は、電源断がなかったと判断し(ステップ40;N)、不揮発性メモリ39を初期化する(ステップ55)。
この初期化は、電源断フラグの状態をオフに設定し、電源断時刻を消去することにより行われる。
【0060】
電源断フラグがオンであった場合、CPU31は、電源断があったと判断し(ステップ40;Y)、更に、この電源断が瞬断であったか否かを判断する(ステップ45)。
CPU31は、次のようにして瞬断であるか否かの判断を行う。
まず、CPU31は、電源断があったと判断すると、時計部40から現在時刻を読み取る。そして、不揮発性メモリ39から読み取った電源断時刻から現在時刻までに経過した時間を計算し、これを所定時間(閾値)と比較する。
経過した時間が所定時間内である場合、CPU31は、瞬断であると判断し、所定時間以上の場合は、瞬断でないと判断する。
【0061】
このようにして判断した結果、瞬断であった場合(ステップ45;Y)、CPU31は、不揮発性メモリ39を初期化した後(ステップ55)、セキュリティデータを消去せずに電子マネー端末8を起動する(ステップ60)。
また、瞬断でなかった場合(ステップ45;N)、CPU31は、記憶部41に記憶されているセキュリティデータを消去する(ステップ50)。
そして、CPU31は、不揮発性メモリ39を初期化した後(ステップ55)、電子マネー端末8を起動する(ステップ60)。
このように、電子マネー端末8は、起動後に不揮発性メモリ39に記録されている電源断フラグを無効化する無効化手段を備えている。
【0062】
以上の例では、電源断や瞬断の有無に関わらず、不揮発性メモリ39を初期化するが、これは、例えば、電子マネー端末8で、例えば、チケット発行プログラムなど、複数のソフトウェアを実行できる場合、電子マネー端末8の電源を投入したまま、電子マネー処理機能を起動したり終了したりする場合があることを考慮したものである。
即ち、この場合に、電子マネー端末8の起動とは、電子マネー端末8で電子マネー処理プログラムを起動することに対応し、不揮発性メモリ39が初期化していないと、電子マネー処理プログラムを起動するたびに、不揮発性メモリ39の電源断フラグや電源断時刻によって、セキュリティデータを消去する場合があるからである。
電子マネー端末8が、電子マネー処理プログラムを常時稼動するものであれば、不揮発性メモリ39を初期化する必要は必ずしもない。
【0063】
以上に説明した本実施の形態では、次のような効果を得ることができる。
(1)外部電源から電子マネー端末8への電力供給が停止した場合、電力供給が停止した旨を不揮発性メモリ39に記録することができる。
(2)CPU31は、起動時に電源断フラグを確認することにより、電子マネー端末8が外部電源から切り離されたか否かを確認することができる。そして、外部電源から切り離されていた場合、CPU31は、消去対象となっているデータ(セキュリティデータ)を消去することができる。
【0064】
(3)セキュリティデータの消去は、外部電源の電力を用いて行うため、大量のデータを消去することができる。
(4)CPU31は、外部電源からの電力供給が停止した時刻を不揮発性メモリ39に記録しておくことにより、電力供給の停止が瞬断であるか否かを判断することができる。
(5)外部電源からの電力供給停止が瞬断であった場合、セキュリティデータの消去を行わないようにすることができる。
【0065】
なお、本実施の形態では、電源断フラグと電源断時刻を不揮発性メモリ39に記憶したが、電源断時刻を電源断フラグとして使用することもできる。
この場合、CPU31は、不揮発性メモリ39に電源断時刻が書き込まれている場合は、電源断があったと判断し、電源断時刻が書き込まれていない場合は電源断がなかったと判断する。
この例では、電源断時刻の有無が電源断フラグとして機能するため、CPU31は、不揮発性メモリ39に電源断フラグを設定せずに、電源断の有無と瞬断の有無を判断することができる。
【0066】
また、本実施の形態では、不揮発性メモリ39の初期化を電源断フラグをオフに設定し、電源断時刻を消去することにより行ったが、これに限定せず、不揮発性メモリ39に記録されている電源断フラグと電源断時刻が起動時に無効化するものであればよい。
これは、例えば、電源断フラグと電源断時刻に無効と有効を表す有効性フラグを設定することにより行うことができる。
【0067】
また、本実施の形態では、CPU31は、電源断があったか否かを判断した後、更に、瞬断があったか否かを判断したが、瞬断を考慮する必要がない場合は、瞬断の判断を行わないように構成することもできる。
この場合、CPU31は、不揮発性メモリ39に電源断時刻は記録しない。そして、起動時には、CPU31は、不揮発性メモリ39で電源断フラグがオンであった場合は、セキュリティデータを消去してから電子マネー端末8を起動し、電源断フラグがオフであった場合は、セキュリティデータを消去せずに電子マネー端末8を起動する。
【0068】
更に、本実施の形態では、瞬断の判断として、電源断時の時刻と電子マネー端末8の起動時の時刻を用いたが、外部電源からの電力供給再開時刻を不揮発性メモリ39に記憶し、この再開時刻と電源断時の時間差から瞬断を判断するように構成することも可能である。
この場合は、電源断検出回路32は、電源断後に、外部電源からの電力供給再開を監視し、再開時にCPU31に通知を行う。CPU31は、この通知を受信すると、時計部40から現在時刻を取得してこれを不揮発性メモリ39に再開時刻として記憶させる。
そして、CPU31は、起動時に不揮発性メモリ39に記憶した電源断時刻と再開時刻の差を計算し、当該時間差が所定時間内である場合、瞬断であると判断する。電子マネー端末8は、瞬断であると判断した場合は、セキュリティデータの消去は行わない。
この方法は、電子マネー端末8の起動時と電力供給再開時に時間差がある場合に有効である。
【0069】
また、本実施の形態では、瞬断でない電源断を検知した場合に、セキュリティ情報を消去したが、更に電子マネー端末8の機能制限を行う機能制限手段を設けるように構成することもできる。
この場合、電子マネー端末8は、セキュリティ情報を消去して起動した後、例えば、電子マネーカード6へ金額変更情報を送信できないように機能制限を行うことができる。
【0070】
(変形例)
本変形例は、外部電源からの電力供給の停止を検出した直後に、バッテリ33の電力でセキュリティデータを消去するものである。
この方法は、バッテリ33がセキュリティデータを消去するのに要する電力を供給できる場合に有効である。
このような場合は、例えば、セキュリティデータのデータ量が小さい場合、又は、セキュリティデータのデータ量は大きいが、バッテリ33の能力も十分に大きい場合がある。
【0071】
以下、本変形例に係る電子マネー端末8の電源断時処理について図6のフローチャートを用いて説明する。
まず、電子マネー端末8が稼動している間、電源断検出回路32が外部電源からの電力供給を監視する。
電源断検出回路32は、外部電源からの電力供給の停止、即ち、電源断を検知すると、電源断が発生したことをCPU31に通知する(ステップ70)。
【0072】
CPU31は、電源断検出回路32から電源断の通知を受信すると、時計部40の計測する時刻により、通知を受けてからの経過時間の計測を開始する(ステップ75)。
経過時間が所定時間内である場合(ステップ80;Y)、CPU31は、外部電源による電力供給が再開したか否かを確認する(ステップ85)。
電力供給が再開した場合(ステップ85;Y)、CPU31は、セキュリティデータを消去せずに、電子マネー端末8を起動する(ステップ95)。
一方、電力供給が再開していない場合(ステップ85;N)、CPU31は、ステップ80に戻る。
【0073】
経過時間が所定時間内でなかった場合(ステップ80;N)、CPU31は、バッテリ33の供給する電力を用いて動作してセキュリティデータを消去し(ステップ90)、電子マネー端末8を起動する(ステップ95)。
【0074】
以上のようにして、本変形例は、外部電源からの電力供給が開始されるまでの経過時間により瞬断を判断し、瞬断である場合は、セキュリティデータを消去せずに起動し、瞬断でない場合は、即座にセキュリティデータを消去してから起動する。
なお、本変形例では、瞬断の有無の判断を行ったが、瞬断の有無に関わらずにセキュリティデータを消去するように構成することもできる。
この場合、CPU31は、電源断検出回路32から電源断の通知を受けた場合、即座にセキュリティデータを消去する。
【0075】
以上、本実施の形態、及び変形例では、電子マネー端末8のセキュリティデータを保護する場合について説明したが、これは、保護対象を電子マネー端末8に限定するものではなく、クレジット端末や、セキュリティ性の高いデータを持つその他の情報処理装置に適用できるものである。
例えば、研究データや財務データなどの機密情報が蓄積されたコンピュータに適用したり、あるいは、大量の営業データが記憶されてる着脱可能なハードディスク装置にCPU、バッテリ、不揮発性メモリなどを搭載し、ハードディスク装置を電源断後に再起動する際に、営業データを消去するように構成することもできる。
【符号の説明】
【0076】
1 電子マネーシステム
2 電子マネーサーバ
6 電子マネーカード
7 携帯電話
8 電子マネー端末
31 CPU
32 電源断検出回路
33 バッテリ
34 通信制御部
35 入出力部
36 リーダライタ部
37 ROM
38 RAM
39 不揮発性メモリ
40 時計部
41 記憶部
【特許請求の範囲】
【請求項1】
外部電源からの電力供給の停止を検出する検出手段と、
所定の情報を記憶した記憶手段と、
前記記憶した所定の情報を用いて情報処理を行う情報処理手段と、
前記検出手段で、電力供給の停止が検出された場合に、前記記憶した所定の情報を消去する消去手段と、
を具備したことを特徴とする情報処理装置。
【請求項2】
前記消去手段は、内部電源と不揮発性記憶媒体を備え、前記検出手段で電力供給の停止が検出された場合に、電力供給が停止された旨を表す停止記録を、前記内部電源の電力を用いて前記不揮発性記憶媒体に記録し、起動時に前記不揮発性記憶媒体の停止記録を確認して停止記録があった場合に、前記所定の情報を消去することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
起動時に、前記不揮発性記憶媒体に停止記録があった場合に、前記情報処理手段の情報処理機能を制限する機能制限手段を具備したことを特徴とする請求項2に記載の情報処理装置。
【請求項4】
起動後に前記不揮発性記憶媒体に記録されている停止記録を無効化する無効化手段を具備したことを特徴とする請求項2、又は請求項3に記載の情報処理装置。
【請求項5】
前記消去手段は、前記不揮発性記憶媒体に、外部電源からの電力供給が停止した時刻を記録し、起動時の時刻が、前記記録した時刻から所定時間内の場合は、前記所定の情報を消去しないことを特徴とする請求項2、請求項3、又は請求項4に記載の情報処理装置。
【請求項6】
前記消去手段は、外部電源からの電力供給が停止した時刻と、外部電源からの電力供給が再開した時刻と、を記録し、前記記録に係る停止した時刻と再開した時刻の時間差が所定時間内である場合は、前記所定の情報を消去しないことを特徴とする請求項2、請求項3、又は請求項4に記載の情報処理装置。
【請求項7】
前記消去手段は、内部電源を備え、前記検出手段で電力供給の停止が検出された直後に、前記内部電源の電力を用いて前記記憶した所定の情報を消去することを特徴とする請求項1に記載の情報処理装置。
【請求項8】
前記情報処理手段は、貨幣価値の金額を電子データとして記憶し、金額変更情報を受信して前記記憶した金額に対して金額変更処理を行う貨幣端末に金額変更情報を送信し、
前記所定の情報は、前記金額変更情報を暗号化する暗号鍵であることを特徴とする請求項1から請求項7に記載の情報処理装置。
【請求項9】
前記消去手段は、更に、前記貨幣端末との処理内容を記録したログデータを消去することを特徴とする請求項8に記載の情報処理装置。
【請求項1】
外部電源からの電力供給の停止を検出する検出手段と、
所定の情報を記憶した記憶手段と、
前記記憶した所定の情報を用いて情報処理を行う情報処理手段と、
前記検出手段で、電力供給の停止が検出された場合に、前記記憶した所定の情報を消去する消去手段と、
を具備したことを特徴とする情報処理装置。
【請求項2】
前記消去手段は、内部電源と不揮発性記憶媒体を備え、前記検出手段で電力供給の停止が検出された場合に、電力供給が停止された旨を表す停止記録を、前記内部電源の電力を用いて前記不揮発性記憶媒体に記録し、起動時に前記不揮発性記憶媒体の停止記録を確認して停止記録があった場合に、前記所定の情報を消去することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
起動時に、前記不揮発性記憶媒体に停止記録があった場合に、前記情報処理手段の情報処理機能を制限する機能制限手段を具備したことを特徴とする請求項2に記載の情報処理装置。
【請求項4】
起動後に前記不揮発性記憶媒体に記録されている停止記録を無効化する無効化手段を具備したことを特徴とする請求項2、又は請求項3に記載の情報処理装置。
【請求項5】
前記消去手段は、前記不揮発性記憶媒体に、外部電源からの電力供給が停止した時刻を記録し、起動時の時刻が、前記記録した時刻から所定時間内の場合は、前記所定の情報を消去しないことを特徴とする請求項2、請求項3、又は請求項4に記載の情報処理装置。
【請求項6】
前記消去手段は、外部電源からの電力供給が停止した時刻と、外部電源からの電力供給が再開した時刻と、を記録し、前記記録に係る停止した時刻と再開した時刻の時間差が所定時間内である場合は、前記所定の情報を消去しないことを特徴とする請求項2、請求項3、又は請求項4に記載の情報処理装置。
【請求項7】
前記消去手段は、内部電源を備え、前記検出手段で電力供給の停止が検出された直後に、前記内部電源の電力を用いて前記記憶した所定の情報を消去することを特徴とする請求項1に記載の情報処理装置。
【請求項8】
前記情報処理手段は、貨幣価値の金額を電子データとして記憶し、金額変更情報を受信して前記記憶した金額に対して金額変更処理を行う貨幣端末に金額変更情報を送信し、
前記所定の情報は、前記金額変更情報を暗号化する暗号鍵であることを特徴とする請求項1から請求項7に記載の情報処理装置。
【請求項9】
前記消去手段は、更に、前記貨幣端末との処理内容を記録したログデータを消去することを特徴とする請求項8に記載の情報処理装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2012−178189(P2012−178189A)
【公開日】平成24年9月13日(2012.9.13)
【国際特許分類】
【出願番号】特願2012−132353(P2012−132353)
【出願日】平成24年6月11日(2012.6.11)
【分割の表示】特願2007−7015(P2007−7015)の分割
【原出願日】平成19年1月16日(2007.1.16)
【出願人】(501044116)楽天Edy株式会社 (48)
【公開日】平成24年9月13日(2012.9.13)
【国際特許分類】
【出願日】平成24年6月11日(2012.6.11)
【分割の表示】特願2007−7015(P2007−7015)の分割
【原出願日】平成19年1月16日(2007.1.16)
【出願人】(501044116)楽天Edy株式会社 (48)
[ Back to top ]