署名システム、署名装置、署名検証装置及びプログラム
【課題】ユーザの指定した第1の電子文書とは異なる第2の電子文書に電子署名が施された場合でも、第2の電子文書に署名していないことを証明できる可能性を高める。
【解決手段】電子文書処理装置10は、署名対象の電子文書を印刷装置20に印刷させる。ユーザは、印刷結果の紙文書30に対し署名デバイス40で手書き署名を施す。手書き署名済みの紙文書30はドロワー50に保管される。署名デバイス40はその手書き署名の筆跡データを取得し、電子文書のハッシュ値と筆跡データとを結合したデータに対してユーザの署名鍵を用いて電子署名を施す。電子署名の値は、電子文書及び筆跡データと共に、ドロワー50内の紙文書30と対応づけて文書管理システム60に登録される。署名検証システム70は、登録された電子文書の電子署名の検証が成功すると、更にそれに対応づけられた筆跡データとドロワー50内の紙文書30上の手書き署名とを比較する。
【解決手段】電子文書処理装置10は、署名対象の電子文書を印刷装置20に印刷させる。ユーザは、印刷結果の紙文書30に対し署名デバイス40で手書き署名を施す。手書き署名済みの紙文書30はドロワー50に保管される。署名デバイス40はその手書き署名の筆跡データを取得し、電子文書のハッシュ値と筆跡データとを結合したデータに対してユーザの署名鍵を用いて電子署名を施す。電子署名の値は、電子文書及び筆跡データと共に、ドロワー50内の紙文書30と対応づけて文書管理システム60に登録される。署名検証システム70は、登録された電子文書の電子署名の検証が成功すると、更にそれに対応づけられた筆跡データとドロワー50内の紙文書30上の手書き署名とを比較する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は署名システム、署名装置、署名検証装置及びプログラムに関する。
【背景技術】
【0002】
特許文献1に開示された装置は、手書きサイン,拇印,印鑑などを入力するアクション電子化手段、電子原本入力手段、電子原本表示手段、手書きサイン,拇印,印鑑のデータを電子署名技術で関連付ける署名処理手段、電子署名出力手段を一体的に構成したものである。署名処理手段は入力手段を介し電子原本を外部から受け取り、表示手段に渡して表示する。さらにアクション電子化手段からアクションデータを受け取り、電子原本とアクションデータとを合わせてアクション添付電子原本とし、このハッシュ値を計算する。署名鍵と対応する公開鍵証明書を取得し、ハッシュ値を署名鍵で暗号化し、公開鍵証明書を添付して電子署名とし、この電子署名とアクション添付電子原本とを合わせて署名添付電子原本とし、出力手段に渡して外部に出力する。
【0003】
特許文献2には、手書き文書をスキャナで読み取り、読取結果の画像データに対してユーザの電子署名を施すことで、手書き文書の画像に電子署名を行う装置が開示されている。
【0004】
【特許文献1】特開2003−134108号公報
【特許文献2】特開2003−318885号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
本発明は、ユーザが署名対象として指定した電子文書とは異なる第2の電子文書に電子署名が施された場合でも、ユーザが第2の電子文書には署名していないことを証明できるようにすることを目的とする。
【課題を解決するための手段】
【0006】
請求項1に係る発明は、電子文書を印刷し、前記電子文書に対応する紙文書を生成する印刷手段と、前記紙文書に対して署名者が記入した手書き署名の筆跡情報を取得する取得手段と、前記署名者の署名鍵を用いて、前記電子文書及び前記筆跡情報、又は、当該電子文書の特徴量及び前記筆跡情報から生成される情報に対する電子署名値を計算する署名値計算手段と、前記電子署名値と、前記電子文書と、前記筆跡情報と、前記署名者により前記手書き署名が記入された後の紙文書又は当該紙文書の読取画像と、を互いに対応づける対応付け手段と、前記電子文書に対応づけられた前記電子署名値が、前記電子文書と当該電子文書に対応づけられた前記筆跡情報との組合せに対する電子署名値として正しいか否かを検証する電子署名検証手段と、前記電子文書に対応づけられた前記筆跡情報と、前記電子文書に対応づけられた前記署名者により前記手書き署名が記入された後の紙文書の読取画像と、とを比較することで、前記筆跡情報を検証する手書き署名検証手段と、を備える署名システムである。
【0007】
請求項2に係る発明は、請求項1に係る発明において、前記電子署名検証手段による検証が成功した場合でも、前記手書き署名検証手段による検証が失敗した場合には、前記電子文書に関して何らかの不正が行われた可能性がある旨の情報を通知する通知手段、を更に備える。
【0008】
請求項3に係る発明は、電子文書の印刷結果である紙文書に対して署名者が記入した手書き署名の筆跡情報を取得する取得手段と、前記署名者の署名鍵を用いて、前記電子文書及び前記筆跡情報、又は、当該電子文書の特徴量及び前記筆跡情報から生成される情報に対する電子署名値を計算する署名値計算手段と、前記電子署名値及び前記筆跡情報を、前記電子文書及び前記署名者により前記手書き署名が記入された後の紙文書又は当該紙文書の読取画像と、対応づけできるように出力する出力手段と、を備える署名装置である。
【0009】
請求項4に係る発明は、電子文書及び当該電子文書に対応する紙文書に記入された署名者の手書き署名の筆跡を表す筆跡情報、又は、当該電子文書の特徴量及び前記筆跡情報に対する電子署名値と、を取得する取得手段と、前記電子署名値が、前記電子文書と前記筆跡情報との組合せに対する電子署名値として正しいか否かを検証する電子署名検証手段と、前記電子文書に対応づけられた前記署名者により前記手書き署名が記入された後の紙文書の読取画像と、前記筆跡情報と、を比較することで、前記筆跡情報を検証する手書き署名検証手段と、を備える署名検証装置である。
【0010】
請求項5に係る発明は、コンピュータを、電子文書及び当該電子文書に対応する紙文書に記入された署名者の手書き署名の筆跡を表す筆跡情報、又は、当該電子文書の特徴量と前記筆跡情報から生成される情報に対する電子署名値と、を取得する取得手段、前記電子署名値が、前記電子文書と前記筆跡情報との組合せに対する電子署名値として正しいか否かを検証する電子署名検証手段、前記電子文書に対応づけられた前記署名者により前記手書き署名が記入された後の紙文書の読取画像と、前記筆跡情報と、を比較することで、前記筆跡情報を検証する手書き署名検証手段、として機能させるためのプログラムである。
【発明の効果】
【0011】
請求項1,2,4又は5に係る発明によれば、ユーザが署名対象として指定した電子文書とは異なる第2の電子文書に電子署名が施された場合でも、手書き署名を施した紙文書又はこれを読み取った画像によりユーザが第2の電子文書には署名していないことを証明できる。
【0012】
請求項3に係る発明によれば、ユーザが署名対象として指定した電子文書とは異なる第2の電子文書に電子署名が施された場合でも、ユーザが第2の電子文書には署名していないことを証明できるようにするための情報を生成することができる。
【発明を実施するための最良の形態】
【0013】
まず図1を参照して、実施形態のシステムの概略構成を説明する。このシステムは、電子文書に対する電子署名と、その電子文書の印刷出力である紙文書への手書き署名とを組み合わせた署名及びその検証のための仕組みを提供する。
【0014】
このシステムでは、電子文書処理装置10が保持する署名対象の電子文書(文書ファイル)を印刷装置20で印刷し、印刷結果の紙文書30に対して、ユーザがペンを内蔵した署名デバイス40により手書きで署名を行う。このようにして紙文書30に手書きで施されたユーザの署名を、以下では手書き署名と呼ぶ。手書き署名を施された紙文書30は、例えば信頼できる文書格納庫(ドロワー50)に保管される。また、署名デバイス40は、手書き署名の筆跡、すなわちペン先の軌跡であるストロークを検知する機能を備えており、その筆跡を表す筆跡データを生成する。また、署名デバイス40は、ユーザの電子署名用の鍵(署名鍵、例えば公開鍵暗号系における秘密鍵)を記憶すると共に、電子署名機能を備えており、電子文書処理装置10から署名対象の電子文書を取得し、その電子文書と手書き署名の筆跡データとを結合したデータに対して電子署名を施す。そして、署名デバイス40が生成した電子署名の情報は、その電子文書、これに対応する手書き署名済みの紙文書、及び手書き署名の筆跡データと対応づけて、文書管理システム60に登録される。
【0015】
図2に、ドロワー50に保管された署名済みの紙文書30と、文書管理システム60に登録された電子文書(登録電子文書100)との対応関係の一例を概念的に示す。この例では、登録文書100には、文書ID102,電子文書104,筆跡データ106,及び電子署名値108が含まれる。文書ID102は、この登録文書100に対して文書管理システム60が付与した一意な識別情報である。電子文書104は、署名対象の電子文書のデータそのものである。筆跡データ106は、その電子文書104の印刷出力である紙文書30に対してユーザが施した手書き署名32の筆跡データである。電子署名値108は、電子文書104と筆跡データ106とを連結したデータに対し、そのユーザの署名鍵により施した電子署名の署名値を含んだ署名情報である。また、紙文書30上には、対応する登録文書100の文書ID102を表す識別情報34が、印刷(例えばバーコード印刷)その他の方式で埋め込まれている。文書ID102と識別情報34は、登録文書100と紙文書30とを対応づける役割を果たしている。
【0016】
署名デバイス40により電子的方法及び手書きの両方の署名が施され、文書管理システム60に保存された電子文書に対し、署名の検証が要求されると、署名検証システム70は、まずその電子文書に対応づけられた電子署名を検証する。そして、その検証が成功した(すなわち真正な電子署名であると判定された)場合には、更にドロワー50に保管された当該電子文書に対応する紙文書上の手書き署名と、当該電子文書に対応づけて文書管理システム60に保存されている筆跡データを照合し、両者が同じ手書き署名を表しているかどうかを検証する。この検証が成功した(すなわち手書き署名と筆跡データとが一致すると判定された)場合に、その電子文書が、ユーザが署名を行った真正なものであると判定する。
【0017】
次に、図3及び図4を参照して、この実施形態におけるユーザ署名のためのシステムについて更に詳しく説明する。図3及び図4において、図1に示したシステムの要素と同様の要素には同一の符号を付す。
【0018】
電子文書処理装置10は、1以上の電子文書を保持している。電子文書処理装置10は、保持している電子文書の表示又は編集等の機能を持っていてもよい。また、電子文書処理装置10は、電子文書を作成する機能を持っていてもよい。電子文書処理装置10は、保持している電子文書に対してユーザの署名を求め、その署名結果の文書を文書管理システム60に登録する。電子文書処理装置10は、ユーザに対し署名を要求する処理を行うものであればどのようなものでもよい。例えば医師に対し電子カルテの内容に対する署名を要求する電子カルテシステム、責任者に対し承認の結果として署名を要求する稟議システム、遠隔で確定申告を行うシステムなどがそれに相当する。
【0019】
最近では署名に用いる署名鍵はユーザ個人に帰属するものという意識から、電子文書処理装置10内ではなく、それとは独立した例えばICカードのようなデバイスで署名鍵を
管理するシステムが現れている。本実施形態でも署名鍵はペン型の署名デバイス40内で管理されるものとする。
【0020】
署名デバイス40は、ペン型のデバイスであり、実際に紙文書30に対し手書き署名を行うためのペン先であるペン43に加え、電子署名のための情報処理を行うためのプロセッサ、メモリ、プログラムなどと、手書き署名の筆跡を読み取るためのカメラその他のハードウエア及びプログラムを備えている。すなわち、署名デバイス40は、電子文書処理装置10から署名対象の電子文書に関するデータを受け取る文書データ入力装置41と、ペン43による手書き署名の筆跡データを取得するための筆跡データ取得装置45と、内蔵するユーザの署名鍵を用いて文書データ入力装置に入力された情報および筆跡データに対する署名値を計算する署名値計算装置47と、筆跡データおよび署名値を出力するデータ出力装置49とを備える。
【0021】
筆跡データ取得装置45にて筆跡データを取得する方法はいくつか考えることができる。例えば、一例として、署名デバイス40に加速度センサーを内蔵させ、このセンサーの計測結果から署名デバイス40の動きを分析し、その動きの情報を筆跡データとして得る方法がある。また、別の方法として、手書き記入の際の下敷きとしてデジタイザ機能を備えたタブレットデバイスを用い、署名デバイス40のペン先の時々刻々の位置をタブレットデバイスから取得し、取得したペン先の位置の時間変化を筆跡データとして得る方法もある。
【0022】
また、更に別の方法として、いわゆるデジタルペンを用いる方法がある。この方法の一例では、紙面上での各点の位置を表す位置情報をドットパターンなどのコードパターンとして電子文書の画像に重畳して用紙に印刷し、又はそのようなコードパターンがあらかじめ印刷された用紙に電子文書の画像を印刷し、その位置情報を用いて筆跡データを求める(例えば特開2007−041691号公報)。この種の方式では、署名デバイス40に内蔵されたカメラで、署名作業の際の各時点でのペン先の位置にある位置情報を検知し、それら各時点でのペン先の位置(紙面上での二次元位置)の連なりを表す筆跡データを得る。なお、この種の方式では、コードパターンにより、各点の位置情報の他に、その用紙又はページを識別する識別情報を表現することもできるので、この識別情報と登録文書100の文書ID102とを同じ値とするか、又は両者の対応付けを行えば、紙文書30上の特定の位置に識別情報34をバーコード等の形で印刷する必要はない。
【0023】
印刷装置20は電子文書の画像を印刷できればよく、一般的なプリンタで構わない。ただし、前述の筆跡データの取得方法の一つとして、紙面に位置情報を埋め込む方法を採用する場合には、紙面に位置情報を埋め込む機能を持つ必要がある。ただし、電子文書処理装置10が電子文書の画像に位置情報を重畳した画像データを生成する場合には、印刷装置20はそのような機能を持たなくてもよい。
【0024】
紙文書30に持たせる識別情報34は、バーコードなどの機械可読コード画像として、或いは人間にとって可読な例えば文字列などとして、紙文書30上の特定の位置に印刷してもよい。また、上述のように、紙面に印刷される位置情報表示用にコードパターンに、その識別情報34の内容を持たせてもよい。また、RFIDタグなどのデータ保持可能な微小デバイスが装着或いは漉き込まれた用紙を用いる場合には、識別情報34の値を用紙中のそのデバイスに書き込んでもよい。
【0025】
署名値計算装置47は、ユーザの署名鍵を用い、例えば公開鍵暗号方式等を利用した公知の電子署名アルゴリズムに従って、対象となるデータについての署名値を計算する。そして、(例えばXML署名等の標準に従って)その署名値を対象となるデータに対応づける処理を行う。
【0026】
文書管理システム60は、署名デバイス40によりユーザの電子署名及び手書き署名が施された電子文書(登録文書100)を保存し、管理するシステムである。図3では、登録文書100のうちの電子文書104、筆跡データ106、電子署名値108がそれぞれ電子文書DB(データベース)62、筆跡データDB64、及び署名値DB66に分かれて保管される例を示しているが、これは一例に過ぎない。電子文書104と筆跡データ106と電子署名値108を互いに対応づけて管理するものであれば、データベースの構成の仕方はどのようなものであってもよい。なお、文書管理システム60内で互いに対応づけて管理された電子文書104と筆跡データ106と電子署名値108とは、更に文書管理システム60の外部にあるドロワー50に保管された紙文書30と、例えば文書ID102(識別情報34)を介して対応づけられている。
【0027】
また、文書管理システム60は、必ずしも1台のコンピュータ装置に実装される必要はない。電子文書104、筆跡データ106、及び電子署名値108が、手書き署名済みの紙文書30と対応づけて記憶されれば十分である。したがって、例えば、電子文書104、筆跡データ106、及び電子署名値108を、それぞれ文書ID102と対応づけて別々の記憶装置に保存するなどの構成をとってもよい。
【0028】
ドロワー50は、手書き署名済みの紙文書30を物理的に保管する保管庫である。保管された紙文書30は、ユーザが電子文書/紙文書に電子/手書き署名を行ったことの物理的な証拠となる。なお、手書き署名済みの紙文書30そのものを保管する代わりに、或いはこれに加えて、その紙文書30をスキャンして得た読取画像データを保存するようにしてもよい。この場合、読取画像データは、例えば、識別情報34を解析して得た文書ID102と対応づけて、データベースに保存しておけばよい。
【0029】
次に図4を参照して、本システムの署名時の動作について説明する。
【0030】
ユーザが電子文書に自らの署名を付すこととした場合、ユーザは、例えば電子文書処理装置10に対して署名対象の電子文書を指定し、署名を施す旨の指示を行う。この指示に応じて、(1)電子文書処理装置10は印刷装置20に対し、その電子文書の画像を表すデータを送り、印刷指示を行う。(2)印刷装置20は、送付されたデータを元に印刷を行い、電子文書が印刷された紙文書30を出力する。
【0031】
次にユーザは、(3)印刷された紙文書30に対し署名デバイス40のペン43を用いて手書きで署名を行う。このとき署名デバイス40は、筆跡データ取得装置45により手書き署名の筆跡データ106を取得する。(4)手書き署名済みの紙文書30はドロワー50まで送られ、(5)ドロワー50に格納される。ドロワー50は、例えばこのシステムが設置されたオフィスに設けられた文書保管庫であってもよいし、署名された紙文書を安全に保管する業者又は公的機関の文書保管庫であってもよい。
【0032】
次に署名デバイス40は、(6)電子文書処理装置10から署名対象の電子文書のハッシュ値を受け取る(文書データ入力装置41)。電子文書のハッシュ値ではなく、電子文書そのものを受け取り、署名デバイス40にてハッシュ値を計算してもよいが、通信量の削減のためここではハッシュ値を取得するものとする。
【0033】
電子文書のハッシュ値を受け取った署名デバイス40では、(7)署名値計算装置47が、筆跡データとハッシュ値に対する署名値を計算する。具体的には、例えば、電子文書のハッシュ値と筆跡データとを連結させ、その連結結果のデータのハッシュ値を計算し、計算結果のハッシュ値に対して、内蔵するユーザの署名鍵で暗号化処理を行う。また、別の例として、電子文書のハッシュ値と筆跡データのハッシュ値とを連結し、その連結データに対するハッシュ値を計算し、この計算結果を署名鍵で暗号化してもよい。また、電子文書そのものと筆跡データとを連結したもののハッシュ値を、署名鍵で暗号化することで、署名値を計算してもよい。(8)署名デバイス40は、このようにして計算された署名値と筆跡データを電子文書処理装置10へ返す。
【0034】
筆跡データと署名値を受け取った電子文書処理装置10は、(9)これらのデータを署名対象の電子文書と合わせて文書管理システム60へ送る。このとき、電子文書処理装置10は、署名デバイス40から受け取った署名値の検証を行ってもよい。電子文書処理装置10で署名値の検証を行うことで、例えば署名デバイス40がわざと別の電子文書に対する署名値を計算するなどという不正行為が検知できる(電子文書処理装置10は、署名デバイス40から不正の濡れ衣を着せることを避けられる)。
【0035】
(10)文書管理システム60は、送られてきた電子文書、筆跡データ、署名値とを互いに対応づけて保存する。
【0036】
次に、このようにして文書管理システム60に登録された署名済みの電子文書(登録文書100)の署名を検証するシステムについて、図5を参照して説明する。
【0037】
署名検証システム70は、電子署名の検証を行う電子署名検証装置72と、筆跡データの検証を行う筆跡データ検証装置78を備えている。検証鍵DB74には、各ユーザの電子署名を検証するための検証鍵(例えば当該ユーザの公開鍵)が登録されている。検証鍵DB74は、電子署名検証装置72又は署名検証システム70のプログラムがインストールされたコンピュータ内に設けられてもよいし、そのコンピュータにネットワークを介して接続されるリポジトリとして構成してもよい。スキャナ76は、紙文書の紙面を光学的に読み取り、紙面の画像を表す画像データを生成する。スキャナ76は、筆跡データ検証装置78に対しその画像データを供給する。
【0038】
図6は、この署名検証システム70を用いた署名検証処理の一例を示している。この手順では、文書管理システム60内にある登録文書100に付された署名を検証する場合、ユーザは、その登録文書100を指定する情報を署名検証システム70に入力し、署名検証の実行を指示する。この指示を受けた場合、まず署名検証システム70内の電子署名検証装置72が、その指定情報が表す登録文書100(すなわち電子文書104と筆跡データ106と電子署名値108とを含み、ドロワー50内の紙文書30との対応付けの情報(例えば文書ID102)を含むデータ)を文書管理システム60から受け取る(S10)。なお、ユーザが事前に文書管理システム60から登録文書100を取得し、これを署名検証システム70に入力してもよい。次に、電子署名検証装置72が、電子署名値108に含まれる検証鍵を特定する情報(鍵IDなど)を用いて、検証鍵DB74から検証鍵を検索して取得する(S12)。検証鍵、電子文書、筆跡データ、署名値がそろったら、電子署名検証装置72は、署名の検証を行う(S14)。具体的には、電子文書のハッシュ値を計算し、そのハッシュ値と筆跡データを連結させたデータのハッシュ値を更に計算する。そして、この計算の結果と、署名値を検証鍵で復号したものとが一致するかどうかを調べる。一致した場合は検証成功とし、一致しない場合は検証失敗とする。この段階での検証失敗(S16の判定結果が否定(N))は、電子文書、筆跡データ、署名値の何れかが改ざんされたことを意味する。この場合は、登録文書100そのものが信頼できないので、処理を終える。
【0039】
電子署名の検証に成功した場合(S16の判定結果が肯定(Y))、次に筆跡データ検証装置78により筆跡データの検証を行う。これにはまず検証対象の電子文書に対応する紙文書をドロワー50から探索する。この探索では、ドロワー50内の紙文書30の中から、登録文書100の文書ID102に対応する識別情報34を持つものを特定すればよい。そのような紙文書30が見つかると、その紙文書30をスキャナ76で読み込み(S18)、画像データに変換する。一方、登録文書100中の筆跡データ106(これは時系列順に並んだ座標の列、乃至ベクトルデータなどとして表現されている)も、画像データ(例えばビットマップ画像)へ変換する。そして、スキャナ76で読み取った画像データ中の手書き署名の画像と筆跡データ106が表す手書き署名の画像データとの比較を行い、一致の度合いを計算する(S20)。画像の一致の度合いの計算には、既存の画像の比較技術を用いてよい。画像の比較を行う際に、事前に画像の傾きや大きさなどを、従来技術を用いて修正しても良い。ステップS20の判定において一致の度合いが予め定めた閾値以上であるかどうかを判定する(S22)。一致度合いが閾値に達しない場合は検証失敗と判定し、閾値以上の場合は検証成功と判定する。
【0040】
その他、署名検証システム70に付属するモニター上に筆跡の一致度合いを数値で表示したり、両者の手書き署名画像のうち一致している部分と一致していない部分を判別可能な状況で表示したりして、ユーザ(検証を指示した者)に両者の一致、不一致を判断させるようにしてもよい。
【0041】
筆跡データ検証装置78での検証が失敗した場合、署名検証システム70は、検証対象の登録文書100に対し何らかの不正が行われている可能性がある旨を示す情報を、例えばモニターを介してユーザ(検証を指示した者)に通知する。
【0042】
例えば、電子文書処理装置10が不正を働き、署名者が署名を行おうとしている文書Aではない文書Bに対して署名をさせようとする場合、文書Aのハッシュ値の代わりに文書Bのハッシュ値を署名デバイス40に渡す攻撃が想定される。
【0043】
この場合、署名デバイス40は渡された文書Bのハッシュ値と、文書Aの印刷出力に対する手書き署名の筆跡データを元に電子署名を行うことになる。ここで、電子文書処理装置10がその電子署名の結果(電子署名値)と共に文書管理システム60に登録する電子文書を文書Bにすり替えておけば、電子署名検証装置72における電子署名の検証は成功してしまう。
【0044】
ところが、そのとき署名者が行った手書き署名を持つ文書Bの紙文書は存在しないため、筆跡データ検証装置78での検証は成功しない。すなわち、署名者は、文書Aの画像を印刷した紙文書の内容を確認した上で手書き署名を施すので、署名者のそのときの手書き署名は文書Aの紙文書上に正しく施されることになる。手書き署名の筆跡は、同じ人でも毎回異なるので、文書Aの紙文書に行った手書き署名と同じ筆跡の手書き署名を持つ別の紙文書は存在しない。同じ筆跡と見なす幅(一致度合いの閾値)をある程度見込んだとしても、文書Aへの手書き署名と同じ手書き署名を持つ別の紙文書が存在する確率は極めて低い。このため、電子文書処理装置10が署名対象の電子文書をすり替える不正を行った場合には、署名結果である登録文書100は極めて高い確率で筆跡検証が失敗することとなり、有効な文書として機能しない。
【0045】
その代わりに、そのとき署名者が手書き署名を施した文書Aの紙文書はドロワー50内に存在する。文書Aの紙文書に記された手書き署名と、文書Bに関連付けられた筆跡データとを筆跡データ検証装置78で比較すれば、両者の一致が見出される。このため、署名者が署名をしたのは文書Aであって、文書Bではないことが分かる。
【0046】
図5及び図6の例では、ドロワー50に保管した手書き署名済みの紙文書そのものを用いて筆跡検証を行ったが、これは必須のことではない。この代わりに、その紙文書のスキャン結果の画像データを保管しておき、その画像データ中の手書き署名と登録文書100中の筆跡データ106とを比較することで筆跡検証を行ってもよい。例えば上述のような電子文書処理装置10による不正等の検知へ利用するためには、紙文書をスキャンしてスキャン結果の画像データを保管するシステムを、電子文書処理装置10とは別の装置としておけばよい。
【0047】
以上のシステムにおいて、署名デバイス40は、ユーザ個人の物であり、その中に内蔵されている署名鍵や、上述の各種の機能は、そのユーザにとって信頼できるとみなせる。この場合、電子文書処理装置10,文書管理システム60が仮に不正を働いたとしても、署名デバイス40が生成するデータ自体は信頼でき、またドロワー50に保管されている紙文書30に対する改ざんは困難なので、その不正は電子署名検証又は手書き署名筆跡検証の失敗をもたらすこととなる。
【0048】
以上に例示した実施形態のシステムにおいて、電子文書処理装置10,文書管理システム60,署名検証システム70は、典型的には、それぞれ個別のコンピュータ上に実現される。ただし、これらのうちの2以上が同一のコンピュータ上に実現されてももちろん構わない。また、署名検証システム70の内部機能(電子署名検証装置72及び筆跡データ検証装置78など)がそれぞれ相互に通信可能な別のコンピュータ上に実現されてもよい。
【0049】
電子文書処理装置10,文書管理システム60,署名検証システム70,及び署名デバイス40のうち情報処理を行う部分は、典型的には、汎用のコンピュータにそれら各装置が実行する上述の機能を記述したプログラムを実行させることにより実現される。コンピュータは、例えば、ハードウエアとして、図7に示すように、CPU200等のマイクロプロセッサ、ランダムアクセスメモリ(RAM)202およびリードオンリメモリ(ROM)204等のメモリ(一次記憶)、HDD(ハードディスクドライブ)206を制御するHDDコントローラ208、各種I/O(入出力)インタフェース210、ローカルエリアネットワークなどのネットワークとの接続のための制御を行うネットワークインタフェース212等が、例えばバス214を介して接続された回路構成を有する。また、そのバス214に対し、例えばI/Oインタフェース210経由で、CDやDVDなどの可搬型ディスク記録媒体に対する読み取り及び/又は書き込みのためのディスクドライブ216、フラッシュメモリなどの各種規格の可搬型の不揮発性記録媒体に対する読み取り及び/又は書き込みのためのメモリリーダ・ライタ218、などが接続されてもよい。上に例示した各機能モジュールの処理内容が記述されたプログラムがCDやDVD等の記録媒体を経由して、又はネットワーク等の通信手段経由で、ハードディスクドライブ等の固定記憶装置に保存され、コンピュータにインストールされる。固定記憶装置に記憶されたプログラムがRAM202に読み出されCPU200等のマイクロプロセッサにより実行されることにより、上に例示した機能モジュール群が実現される。なお、それら機能モジュール群のうちの一部又は全部を、専用LSI(Large Scale Integration)、ASIC(Application Specific Integrated Circuit、特定用途向け集積回路)又はFPGA(Field Programmable Gate Array)等のハードウエア回路として構成してもよい。
【図面の簡単な説明】
【0050】
【図1】実施形態のシステムの概略構成を説明するための図である。
【図2】実施形態における文書管理の考え方を説明するための図である。
【図3】実施形態のシステムのうち、文書に署名を施す部分の一例を示す図である。
【図4】文書に対して署名を施す処理の流れを説明するための図である。
【図5】実施形態のシステムのうち、文書に付された署名を検証する部分の一例を示す図である。
【図6】署名検証の処理の一例を示すフローチャートである。
【図7】コンピュータのハードウエア構成の一例を示す図である。
【符号の説明】
【0051】
10 電子文書処理装置、20 印刷装置、30 紙文書、32 署名、34 識別情報、40 署名デバイス、41 文書データ入力装置、43 ペン、45 筆跡データ取得装置、47 署名値計算装置、49 データ出力装置、50 ドロワー、60 文書管理システム、70 署名検証システム、72 電子署名検証装置、76 スキャナ、78 筆跡データ検証装置、100 登録文書。
【技術分野】
【0001】
本発明は署名システム、署名装置、署名検証装置及びプログラムに関する。
【背景技術】
【0002】
特許文献1に開示された装置は、手書きサイン,拇印,印鑑などを入力するアクション電子化手段、電子原本入力手段、電子原本表示手段、手書きサイン,拇印,印鑑のデータを電子署名技術で関連付ける署名処理手段、電子署名出力手段を一体的に構成したものである。署名処理手段は入力手段を介し電子原本を外部から受け取り、表示手段に渡して表示する。さらにアクション電子化手段からアクションデータを受け取り、電子原本とアクションデータとを合わせてアクション添付電子原本とし、このハッシュ値を計算する。署名鍵と対応する公開鍵証明書を取得し、ハッシュ値を署名鍵で暗号化し、公開鍵証明書を添付して電子署名とし、この電子署名とアクション添付電子原本とを合わせて署名添付電子原本とし、出力手段に渡して外部に出力する。
【0003】
特許文献2には、手書き文書をスキャナで読み取り、読取結果の画像データに対してユーザの電子署名を施すことで、手書き文書の画像に電子署名を行う装置が開示されている。
【0004】
【特許文献1】特開2003−134108号公報
【特許文献2】特開2003−318885号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
本発明は、ユーザが署名対象として指定した電子文書とは異なる第2の電子文書に電子署名が施された場合でも、ユーザが第2の電子文書には署名していないことを証明できるようにすることを目的とする。
【課題を解決するための手段】
【0006】
請求項1に係る発明は、電子文書を印刷し、前記電子文書に対応する紙文書を生成する印刷手段と、前記紙文書に対して署名者が記入した手書き署名の筆跡情報を取得する取得手段と、前記署名者の署名鍵を用いて、前記電子文書及び前記筆跡情報、又は、当該電子文書の特徴量及び前記筆跡情報から生成される情報に対する電子署名値を計算する署名値計算手段と、前記電子署名値と、前記電子文書と、前記筆跡情報と、前記署名者により前記手書き署名が記入された後の紙文書又は当該紙文書の読取画像と、を互いに対応づける対応付け手段と、前記電子文書に対応づけられた前記電子署名値が、前記電子文書と当該電子文書に対応づけられた前記筆跡情報との組合せに対する電子署名値として正しいか否かを検証する電子署名検証手段と、前記電子文書に対応づけられた前記筆跡情報と、前記電子文書に対応づけられた前記署名者により前記手書き署名が記入された後の紙文書の読取画像と、とを比較することで、前記筆跡情報を検証する手書き署名検証手段と、を備える署名システムである。
【0007】
請求項2に係る発明は、請求項1に係る発明において、前記電子署名検証手段による検証が成功した場合でも、前記手書き署名検証手段による検証が失敗した場合には、前記電子文書に関して何らかの不正が行われた可能性がある旨の情報を通知する通知手段、を更に備える。
【0008】
請求項3に係る発明は、電子文書の印刷結果である紙文書に対して署名者が記入した手書き署名の筆跡情報を取得する取得手段と、前記署名者の署名鍵を用いて、前記電子文書及び前記筆跡情報、又は、当該電子文書の特徴量及び前記筆跡情報から生成される情報に対する電子署名値を計算する署名値計算手段と、前記電子署名値及び前記筆跡情報を、前記電子文書及び前記署名者により前記手書き署名が記入された後の紙文書又は当該紙文書の読取画像と、対応づけできるように出力する出力手段と、を備える署名装置である。
【0009】
請求項4に係る発明は、電子文書及び当該電子文書に対応する紙文書に記入された署名者の手書き署名の筆跡を表す筆跡情報、又は、当該電子文書の特徴量及び前記筆跡情報に対する電子署名値と、を取得する取得手段と、前記電子署名値が、前記電子文書と前記筆跡情報との組合せに対する電子署名値として正しいか否かを検証する電子署名検証手段と、前記電子文書に対応づけられた前記署名者により前記手書き署名が記入された後の紙文書の読取画像と、前記筆跡情報と、を比較することで、前記筆跡情報を検証する手書き署名検証手段と、を備える署名検証装置である。
【0010】
請求項5に係る発明は、コンピュータを、電子文書及び当該電子文書に対応する紙文書に記入された署名者の手書き署名の筆跡を表す筆跡情報、又は、当該電子文書の特徴量と前記筆跡情報から生成される情報に対する電子署名値と、を取得する取得手段、前記電子署名値が、前記電子文書と前記筆跡情報との組合せに対する電子署名値として正しいか否かを検証する電子署名検証手段、前記電子文書に対応づけられた前記署名者により前記手書き署名が記入された後の紙文書の読取画像と、前記筆跡情報と、を比較することで、前記筆跡情報を検証する手書き署名検証手段、として機能させるためのプログラムである。
【発明の効果】
【0011】
請求項1,2,4又は5に係る発明によれば、ユーザが署名対象として指定した電子文書とは異なる第2の電子文書に電子署名が施された場合でも、手書き署名を施した紙文書又はこれを読み取った画像によりユーザが第2の電子文書には署名していないことを証明できる。
【0012】
請求項3に係る発明によれば、ユーザが署名対象として指定した電子文書とは異なる第2の電子文書に電子署名が施された場合でも、ユーザが第2の電子文書には署名していないことを証明できるようにするための情報を生成することができる。
【発明を実施するための最良の形態】
【0013】
まず図1を参照して、実施形態のシステムの概略構成を説明する。このシステムは、電子文書に対する電子署名と、その電子文書の印刷出力である紙文書への手書き署名とを組み合わせた署名及びその検証のための仕組みを提供する。
【0014】
このシステムでは、電子文書処理装置10が保持する署名対象の電子文書(文書ファイル)を印刷装置20で印刷し、印刷結果の紙文書30に対して、ユーザがペンを内蔵した署名デバイス40により手書きで署名を行う。このようにして紙文書30に手書きで施されたユーザの署名を、以下では手書き署名と呼ぶ。手書き署名を施された紙文書30は、例えば信頼できる文書格納庫(ドロワー50)に保管される。また、署名デバイス40は、手書き署名の筆跡、すなわちペン先の軌跡であるストロークを検知する機能を備えており、その筆跡を表す筆跡データを生成する。また、署名デバイス40は、ユーザの電子署名用の鍵(署名鍵、例えば公開鍵暗号系における秘密鍵)を記憶すると共に、電子署名機能を備えており、電子文書処理装置10から署名対象の電子文書を取得し、その電子文書と手書き署名の筆跡データとを結合したデータに対して電子署名を施す。そして、署名デバイス40が生成した電子署名の情報は、その電子文書、これに対応する手書き署名済みの紙文書、及び手書き署名の筆跡データと対応づけて、文書管理システム60に登録される。
【0015】
図2に、ドロワー50に保管された署名済みの紙文書30と、文書管理システム60に登録された電子文書(登録電子文書100)との対応関係の一例を概念的に示す。この例では、登録文書100には、文書ID102,電子文書104,筆跡データ106,及び電子署名値108が含まれる。文書ID102は、この登録文書100に対して文書管理システム60が付与した一意な識別情報である。電子文書104は、署名対象の電子文書のデータそのものである。筆跡データ106は、その電子文書104の印刷出力である紙文書30に対してユーザが施した手書き署名32の筆跡データである。電子署名値108は、電子文書104と筆跡データ106とを連結したデータに対し、そのユーザの署名鍵により施した電子署名の署名値を含んだ署名情報である。また、紙文書30上には、対応する登録文書100の文書ID102を表す識別情報34が、印刷(例えばバーコード印刷)その他の方式で埋め込まれている。文書ID102と識別情報34は、登録文書100と紙文書30とを対応づける役割を果たしている。
【0016】
署名デバイス40により電子的方法及び手書きの両方の署名が施され、文書管理システム60に保存された電子文書に対し、署名の検証が要求されると、署名検証システム70は、まずその電子文書に対応づけられた電子署名を検証する。そして、その検証が成功した(すなわち真正な電子署名であると判定された)場合には、更にドロワー50に保管された当該電子文書に対応する紙文書上の手書き署名と、当該電子文書に対応づけて文書管理システム60に保存されている筆跡データを照合し、両者が同じ手書き署名を表しているかどうかを検証する。この検証が成功した(すなわち手書き署名と筆跡データとが一致すると判定された)場合に、その電子文書が、ユーザが署名を行った真正なものであると判定する。
【0017】
次に、図3及び図4を参照して、この実施形態におけるユーザ署名のためのシステムについて更に詳しく説明する。図3及び図4において、図1に示したシステムの要素と同様の要素には同一の符号を付す。
【0018】
電子文書処理装置10は、1以上の電子文書を保持している。電子文書処理装置10は、保持している電子文書の表示又は編集等の機能を持っていてもよい。また、電子文書処理装置10は、電子文書を作成する機能を持っていてもよい。電子文書処理装置10は、保持している電子文書に対してユーザの署名を求め、その署名結果の文書を文書管理システム60に登録する。電子文書処理装置10は、ユーザに対し署名を要求する処理を行うものであればどのようなものでもよい。例えば医師に対し電子カルテの内容に対する署名を要求する電子カルテシステム、責任者に対し承認の結果として署名を要求する稟議システム、遠隔で確定申告を行うシステムなどがそれに相当する。
【0019】
最近では署名に用いる署名鍵はユーザ個人に帰属するものという意識から、電子文書処理装置10内ではなく、それとは独立した例えばICカードのようなデバイスで署名鍵を
管理するシステムが現れている。本実施形態でも署名鍵はペン型の署名デバイス40内で管理されるものとする。
【0020】
署名デバイス40は、ペン型のデバイスであり、実際に紙文書30に対し手書き署名を行うためのペン先であるペン43に加え、電子署名のための情報処理を行うためのプロセッサ、メモリ、プログラムなどと、手書き署名の筆跡を読み取るためのカメラその他のハードウエア及びプログラムを備えている。すなわち、署名デバイス40は、電子文書処理装置10から署名対象の電子文書に関するデータを受け取る文書データ入力装置41と、ペン43による手書き署名の筆跡データを取得するための筆跡データ取得装置45と、内蔵するユーザの署名鍵を用いて文書データ入力装置に入力された情報および筆跡データに対する署名値を計算する署名値計算装置47と、筆跡データおよび署名値を出力するデータ出力装置49とを備える。
【0021】
筆跡データ取得装置45にて筆跡データを取得する方法はいくつか考えることができる。例えば、一例として、署名デバイス40に加速度センサーを内蔵させ、このセンサーの計測結果から署名デバイス40の動きを分析し、その動きの情報を筆跡データとして得る方法がある。また、別の方法として、手書き記入の際の下敷きとしてデジタイザ機能を備えたタブレットデバイスを用い、署名デバイス40のペン先の時々刻々の位置をタブレットデバイスから取得し、取得したペン先の位置の時間変化を筆跡データとして得る方法もある。
【0022】
また、更に別の方法として、いわゆるデジタルペンを用いる方法がある。この方法の一例では、紙面上での各点の位置を表す位置情報をドットパターンなどのコードパターンとして電子文書の画像に重畳して用紙に印刷し、又はそのようなコードパターンがあらかじめ印刷された用紙に電子文書の画像を印刷し、その位置情報を用いて筆跡データを求める(例えば特開2007−041691号公報)。この種の方式では、署名デバイス40に内蔵されたカメラで、署名作業の際の各時点でのペン先の位置にある位置情報を検知し、それら各時点でのペン先の位置(紙面上での二次元位置)の連なりを表す筆跡データを得る。なお、この種の方式では、コードパターンにより、各点の位置情報の他に、その用紙又はページを識別する識別情報を表現することもできるので、この識別情報と登録文書100の文書ID102とを同じ値とするか、又は両者の対応付けを行えば、紙文書30上の特定の位置に識別情報34をバーコード等の形で印刷する必要はない。
【0023】
印刷装置20は電子文書の画像を印刷できればよく、一般的なプリンタで構わない。ただし、前述の筆跡データの取得方法の一つとして、紙面に位置情報を埋め込む方法を採用する場合には、紙面に位置情報を埋め込む機能を持つ必要がある。ただし、電子文書処理装置10が電子文書の画像に位置情報を重畳した画像データを生成する場合には、印刷装置20はそのような機能を持たなくてもよい。
【0024】
紙文書30に持たせる識別情報34は、バーコードなどの機械可読コード画像として、或いは人間にとって可読な例えば文字列などとして、紙文書30上の特定の位置に印刷してもよい。また、上述のように、紙面に印刷される位置情報表示用にコードパターンに、その識別情報34の内容を持たせてもよい。また、RFIDタグなどのデータ保持可能な微小デバイスが装着或いは漉き込まれた用紙を用いる場合には、識別情報34の値を用紙中のそのデバイスに書き込んでもよい。
【0025】
署名値計算装置47は、ユーザの署名鍵を用い、例えば公開鍵暗号方式等を利用した公知の電子署名アルゴリズムに従って、対象となるデータについての署名値を計算する。そして、(例えばXML署名等の標準に従って)その署名値を対象となるデータに対応づける処理を行う。
【0026】
文書管理システム60は、署名デバイス40によりユーザの電子署名及び手書き署名が施された電子文書(登録文書100)を保存し、管理するシステムである。図3では、登録文書100のうちの電子文書104、筆跡データ106、電子署名値108がそれぞれ電子文書DB(データベース)62、筆跡データDB64、及び署名値DB66に分かれて保管される例を示しているが、これは一例に過ぎない。電子文書104と筆跡データ106と電子署名値108を互いに対応づけて管理するものであれば、データベースの構成の仕方はどのようなものであってもよい。なお、文書管理システム60内で互いに対応づけて管理された電子文書104と筆跡データ106と電子署名値108とは、更に文書管理システム60の外部にあるドロワー50に保管された紙文書30と、例えば文書ID102(識別情報34)を介して対応づけられている。
【0027】
また、文書管理システム60は、必ずしも1台のコンピュータ装置に実装される必要はない。電子文書104、筆跡データ106、及び電子署名値108が、手書き署名済みの紙文書30と対応づけて記憶されれば十分である。したがって、例えば、電子文書104、筆跡データ106、及び電子署名値108を、それぞれ文書ID102と対応づけて別々の記憶装置に保存するなどの構成をとってもよい。
【0028】
ドロワー50は、手書き署名済みの紙文書30を物理的に保管する保管庫である。保管された紙文書30は、ユーザが電子文書/紙文書に電子/手書き署名を行ったことの物理的な証拠となる。なお、手書き署名済みの紙文書30そのものを保管する代わりに、或いはこれに加えて、その紙文書30をスキャンして得た読取画像データを保存するようにしてもよい。この場合、読取画像データは、例えば、識別情報34を解析して得た文書ID102と対応づけて、データベースに保存しておけばよい。
【0029】
次に図4を参照して、本システムの署名時の動作について説明する。
【0030】
ユーザが電子文書に自らの署名を付すこととした場合、ユーザは、例えば電子文書処理装置10に対して署名対象の電子文書を指定し、署名を施す旨の指示を行う。この指示に応じて、(1)電子文書処理装置10は印刷装置20に対し、その電子文書の画像を表すデータを送り、印刷指示を行う。(2)印刷装置20は、送付されたデータを元に印刷を行い、電子文書が印刷された紙文書30を出力する。
【0031】
次にユーザは、(3)印刷された紙文書30に対し署名デバイス40のペン43を用いて手書きで署名を行う。このとき署名デバイス40は、筆跡データ取得装置45により手書き署名の筆跡データ106を取得する。(4)手書き署名済みの紙文書30はドロワー50まで送られ、(5)ドロワー50に格納される。ドロワー50は、例えばこのシステムが設置されたオフィスに設けられた文書保管庫であってもよいし、署名された紙文書を安全に保管する業者又は公的機関の文書保管庫であってもよい。
【0032】
次に署名デバイス40は、(6)電子文書処理装置10から署名対象の電子文書のハッシュ値を受け取る(文書データ入力装置41)。電子文書のハッシュ値ではなく、電子文書そのものを受け取り、署名デバイス40にてハッシュ値を計算してもよいが、通信量の削減のためここではハッシュ値を取得するものとする。
【0033】
電子文書のハッシュ値を受け取った署名デバイス40では、(7)署名値計算装置47が、筆跡データとハッシュ値に対する署名値を計算する。具体的には、例えば、電子文書のハッシュ値と筆跡データとを連結させ、その連結結果のデータのハッシュ値を計算し、計算結果のハッシュ値に対して、内蔵するユーザの署名鍵で暗号化処理を行う。また、別の例として、電子文書のハッシュ値と筆跡データのハッシュ値とを連結し、その連結データに対するハッシュ値を計算し、この計算結果を署名鍵で暗号化してもよい。また、電子文書そのものと筆跡データとを連結したもののハッシュ値を、署名鍵で暗号化することで、署名値を計算してもよい。(8)署名デバイス40は、このようにして計算された署名値と筆跡データを電子文書処理装置10へ返す。
【0034】
筆跡データと署名値を受け取った電子文書処理装置10は、(9)これらのデータを署名対象の電子文書と合わせて文書管理システム60へ送る。このとき、電子文書処理装置10は、署名デバイス40から受け取った署名値の検証を行ってもよい。電子文書処理装置10で署名値の検証を行うことで、例えば署名デバイス40がわざと別の電子文書に対する署名値を計算するなどという不正行為が検知できる(電子文書処理装置10は、署名デバイス40から不正の濡れ衣を着せることを避けられる)。
【0035】
(10)文書管理システム60は、送られてきた電子文書、筆跡データ、署名値とを互いに対応づけて保存する。
【0036】
次に、このようにして文書管理システム60に登録された署名済みの電子文書(登録文書100)の署名を検証するシステムについて、図5を参照して説明する。
【0037】
署名検証システム70は、電子署名の検証を行う電子署名検証装置72と、筆跡データの検証を行う筆跡データ検証装置78を備えている。検証鍵DB74には、各ユーザの電子署名を検証するための検証鍵(例えば当該ユーザの公開鍵)が登録されている。検証鍵DB74は、電子署名検証装置72又は署名検証システム70のプログラムがインストールされたコンピュータ内に設けられてもよいし、そのコンピュータにネットワークを介して接続されるリポジトリとして構成してもよい。スキャナ76は、紙文書の紙面を光学的に読み取り、紙面の画像を表す画像データを生成する。スキャナ76は、筆跡データ検証装置78に対しその画像データを供給する。
【0038】
図6は、この署名検証システム70を用いた署名検証処理の一例を示している。この手順では、文書管理システム60内にある登録文書100に付された署名を検証する場合、ユーザは、その登録文書100を指定する情報を署名検証システム70に入力し、署名検証の実行を指示する。この指示を受けた場合、まず署名検証システム70内の電子署名検証装置72が、その指定情報が表す登録文書100(すなわち電子文書104と筆跡データ106と電子署名値108とを含み、ドロワー50内の紙文書30との対応付けの情報(例えば文書ID102)を含むデータ)を文書管理システム60から受け取る(S10)。なお、ユーザが事前に文書管理システム60から登録文書100を取得し、これを署名検証システム70に入力してもよい。次に、電子署名検証装置72が、電子署名値108に含まれる検証鍵を特定する情報(鍵IDなど)を用いて、検証鍵DB74から検証鍵を検索して取得する(S12)。検証鍵、電子文書、筆跡データ、署名値がそろったら、電子署名検証装置72は、署名の検証を行う(S14)。具体的には、電子文書のハッシュ値を計算し、そのハッシュ値と筆跡データを連結させたデータのハッシュ値を更に計算する。そして、この計算の結果と、署名値を検証鍵で復号したものとが一致するかどうかを調べる。一致した場合は検証成功とし、一致しない場合は検証失敗とする。この段階での検証失敗(S16の判定結果が否定(N))は、電子文書、筆跡データ、署名値の何れかが改ざんされたことを意味する。この場合は、登録文書100そのものが信頼できないので、処理を終える。
【0039】
電子署名の検証に成功した場合(S16の判定結果が肯定(Y))、次に筆跡データ検証装置78により筆跡データの検証を行う。これにはまず検証対象の電子文書に対応する紙文書をドロワー50から探索する。この探索では、ドロワー50内の紙文書30の中から、登録文書100の文書ID102に対応する識別情報34を持つものを特定すればよい。そのような紙文書30が見つかると、その紙文書30をスキャナ76で読み込み(S18)、画像データに変換する。一方、登録文書100中の筆跡データ106(これは時系列順に並んだ座標の列、乃至ベクトルデータなどとして表現されている)も、画像データ(例えばビットマップ画像)へ変換する。そして、スキャナ76で読み取った画像データ中の手書き署名の画像と筆跡データ106が表す手書き署名の画像データとの比較を行い、一致の度合いを計算する(S20)。画像の一致の度合いの計算には、既存の画像の比較技術を用いてよい。画像の比較を行う際に、事前に画像の傾きや大きさなどを、従来技術を用いて修正しても良い。ステップS20の判定において一致の度合いが予め定めた閾値以上であるかどうかを判定する(S22)。一致度合いが閾値に達しない場合は検証失敗と判定し、閾値以上の場合は検証成功と判定する。
【0040】
その他、署名検証システム70に付属するモニター上に筆跡の一致度合いを数値で表示したり、両者の手書き署名画像のうち一致している部分と一致していない部分を判別可能な状況で表示したりして、ユーザ(検証を指示した者)に両者の一致、不一致を判断させるようにしてもよい。
【0041】
筆跡データ検証装置78での検証が失敗した場合、署名検証システム70は、検証対象の登録文書100に対し何らかの不正が行われている可能性がある旨を示す情報を、例えばモニターを介してユーザ(検証を指示した者)に通知する。
【0042】
例えば、電子文書処理装置10が不正を働き、署名者が署名を行おうとしている文書Aではない文書Bに対して署名をさせようとする場合、文書Aのハッシュ値の代わりに文書Bのハッシュ値を署名デバイス40に渡す攻撃が想定される。
【0043】
この場合、署名デバイス40は渡された文書Bのハッシュ値と、文書Aの印刷出力に対する手書き署名の筆跡データを元に電子署名を行うことになる。ここで、電子文書処理装置10がその電子署名の結果(電子署名値)と共に文書管理システム60に登録する電子文書を文書Bにすり替えておけば、電子署名検証装置72における電子署名の検証は成功してしまう。
【0044】
ところが、そのとき署名者が行った手書き署名を持つ文書Bの紙文書は存在しないため、筆跡データ検証装置78での検証は成功しない。すなわち、署名者は、文書Aの画像を印刷した紙文書の内容を確認した上で手書き署名を施すので、署名者のそのときの手書き署名は文書Aの紙文書上に正しく施されることになる。手書き署名の筆跡は、同じ人でも毎回異なるので、文書Aの紙文書に行った手書き署名と同じ筆跡の手書き署名を持つ別の紙文書は存在しない。同じ筆跡と見なす幅(一致度合いの閾値)をある程度見込んだとしても、文書Aへの手書き署名と同じ手書き署名を持つ別の紙文書が存在する確率は極めて低い。このため、電子文書処理装置10が署名対象の電子文書をすり替える不正を行った場合には、署名結果である登録文書100は極めて高い確率で筆跡検証が失敗することとなり、有効な文書として機能しない。
【0045】
その代わりに、そのとき署名者が手書き署名を施した文書Aの紙文書はドロワー50内に存在する。文書Aの紙文書に記された手書き署名と、文書Bに関連付けられた筆跡データとを筆跡データ検証装置78で比較すれば、両者の一致が見出される。このため、署名者が署名をしたのは文書Aであって、文書Bではないことが分かる。
【0046】
図5及び図6の例では、ドロワー50に保管した手書き署名済みの紙文書そのものを用いて筆跡検証を行ったが、これは必須のことではない。この代わりに、その紙文書のスキャン結果の画像データを保管しておき、その画像データ中の手書き署名と登録文書100中の筆跡データ106とを比較することで筆跡検証を行ってもよい。例えば上述のような電子文書処理装置10による不正等の検知へ利用するためには、紙文書をスキャンしてスキャン結果の画像データを保管するシステムを、電子文書処理装置10とは別の装置としておけばよい。
【0047】
以上のシステムにおいて、署名デバイス40は、ユーザ個人の物であり、その中に内蔵されている署名鍵や、上述の各種の機能は、そのユーザにとって信頼できるとみなせる。この場合、電子文書処理装置10,文書管理システム60が仮に不正を働いたとしても、署名デバイス40が生成するデータ自体は信頼でき、またドロワー50に保管されている紙文書30に対する改ざんは困難なので、その不正は電子署名検証又は手書き署名筆跡検証の失敗をもたらすこととなる。
【0048】
以上に例示した実施形態のシステムにおいて、電子文書処理装置10,文書管理システム60,署名検証システム70は、典型的には、それぞれ個別のコンピュータ上に実現される。ただし、これらのうちの2以上が同一のコンピュータ上に実現されてももちろん構わない。また、署名検証システム70の内部機能(電子署名検証装置72及び筆跡データ検証装置78など)がそれぞれ相互に通信可能な別のコンピュータ上に実現されてもよい。
【0049】
電子文書処理装置10,文書管理システム60,署名検証システム70,及び署名デバイス40のうち情報処理を行う部分は、典型的には、汎用のコンピュータにそれら各装置が実行する上述の機能を記述したプログラムを実行させることにより実現される。コンピュータは、例えば、ハードウエアとして、図7に示すように、CPU200等のマイクロプロセッサ、ランダムアクセスメモリ(RAM)202およびリードオンリメモリ(ROM)204等のメモリ(一次記憶)、HDD(ハードディスクドライブ)206を制御するHDDコントローラ208、各種I/O(入出力)インタフェース210、ローカルエリアネットワークなどのネットワークとの接続のための制御を行うネットワークインタフェース212等が、例えばバス214を介して接続された回路構成を有する。また、そのバス214に対し、例えばI/Oインタフェース210経由で、CDやDVDなどの可搬型ディスク記録媒体に対する読み取り及び/又は書き込みのためのディスクドライブ216、フラッシュメモリなどの各種規格の可搬型の不揮発性記録媒体に対する読み取り及び/又は書き込みのためのメモリリーダ・ライタ218、などが接続されてもよい。上に例示した各機能モジュールの処理内容が記述されたプログラムがCDやDVD等の記録媒体を経由して、又はネットワーク等の通信手段経由で、ハードディスクドライブ等の固定記憶装置に保存され、コンピュータにインストールされる。固定記憶装置に記憶されたプログラムがRAM202に読み出されCPU200等のマイクロプロセッサにより実行されることにより、上に例示した機能モジュール群が実現される。なお、それら機能モジュール群のうちの一部又は全部を、専用LSI(Large Scale Integration)、ASIC(Application Specific Integrated Circuit、特定用途向け集積回路)又はFPGA(Field Programmable Gate Array)等のハードウエア回路として構成してもよい。
【図面の簡単な説明】
【0050】
【図1】実施形態のシステムの概略構成を説明するための図である。
【図2】実施形態における文書管理の考え方を説明するための図である。
【図3】実施形態のシステムのうち、文書に署名を施す部分の一例を示す図である。
【図4】文書に対して署名を施す処理の流れを説明するための図である。
【図5】実施形態のシステムのうち、文書に付された署名を検証する部分の一例を示す図である。
【図6】署名検証の処理の一例を示すフローチャートである。
【図7】コンピュータのハードウエア構成の一例を示す図である。
【符号の説明】
【0051】
10 電子文書処理装置、20 印刷装置、30 紙文書、32 署名、34 識別情報、40 署名デバイス、41 文書データ入力装置、43 ペン、45 筆跡データ取得装置、47 署名値計算装置、49 データ出力装置、50 ドロワー、60 文書管理システム、70 署名検証システム、72 電子署名検証装置、76 スキャナ、78 筆跡データ検証装置、100 登録文書。
【特許請求の範囲】
【請求項1】
電子文書を印刷し、前記電子文書に対応する紙文書を生成する印刷手段と、
前記紙文書に対して署名者が記入した手書き署名の筆跡情報を取得する取得手段と、
前記署名者の署名鍵を用いて、前記電子文書及び前記筆跡情報、又は、当該電子文書の特徴量及び前記筆跡情報から生成される情報に対する電子署名値を計算する署名値計算手段と、
前記電子署名値と、前記電子文書と、前記筆跡情報と、前記署名者により前記手書き署名が記入された後の紙文書又は当該紙文書の読取画像と、を互いに対応づける対応付け手段と、
前記電子文書に対応づけられた前記電子署名値が、前記電子文書と当該電子文書に対応づけられた前記筆跡情報との組合せに対する電子署名値として正しいか否かを検証する電子署名検証手段と、
前記電子文書に対応づけられた前記筆跡情報と、前記電子文書に対応づけられた前記署名者により前記手書き署名が記入された後の紙文書の読取画像と、とを比較することで、前記筆跡情報を検証する手書き署名検証手段と、
を備える署名システム。
【請求項2】
前記電子署名検証手段による検証が成功した場合でも、前記手書き署名検証手段による検証が失敗した場合には、前記電子文書に関して何らかの不正が行われた可能性がある旨の情報を通知する通知手段、
を更に備える請求項1記載の署名システム。
【請求項3】
電子文書の印刷結果である紙文書に対して署名者が記入した手書き署名の筆跡情報を取得する取得手段と、
前記署名者の署名鍵を用いて、前記電子文書及び前記筆跡情報、又は、当該電子文書の特徴量及び前記筆跡情報から生成される情報に対する電子署名値を計算する署名値計算手段と、
前記電子署名値及び前記筆跡情報を、前記電子文書及び前記署名者により前記手書き署名が記入された後の紙文書又は当該紙文書の読取画像と、対応づけできるように出力する出力手段と、
を備える署名装置。
【請求項4】
電子文書及び当該電子文書に対応する紙文書に記入された署名者の手書き署名の筆跡を表す筆跡情報、又は、当該電子文書の特徴量及び前記筆跡情報に対する電子署名値と、を取得する取得手段と、
前記電子署名値が、前記電子文書と前記筆跡情報との組合せに対する電子署名値として正しいか否かを検証する電子署名検証手段と、
前記電子文書に対応づけられた前記署名者により前記手書き署名が記入された後の紙文書の読取画像と、前記筆跡情報と、を比較することで、前記筆跡情報を検証する手書き署名検証手段と、
を備える署名検証装置。
【請求項5】
コンピュータを、
電子文書及び当該電子文書に対応する紙文書に記入された署名者の手書き署名の筆跡を表す筆跡情報、又は、当該電子文書の特徴量と前記筆跡情報から生成される情報に対する電子署名値と、を取得する取得手段、
前記電子署名値が、前記電子文書と前記筆跡情報との組合せに対する電子署名値として正しいか否かを検証する電子署名検証手段、
前記電子文書に対応づけられた前記署名者により前記手書き署名が記入された後の紙文書の読取画像と、前記筆跡情報と、を比較することで、前記筆跡情報を検証する手書き署名検証手段、
として機能させるためのプログラム。
【請求項1】
電子文書を印刷し、前記電子文書に対応する紙文書を生成する印刷手段と、
前記紙文書に対して署名者が記入した手書き署名の筆跡情報を取得する取得手段と、
前記署名者の署名鍵を用いて、前記電子文書及び前記筆跡情報、又は、当該電子文書の特徴量及び前記筆跡情報から生成される情報に対する電子署名値を計算する署名値計算手段と、
前記電子署名値と、前記電子文書と、前記筆跡情報と、前記署名者により前記手書き署名が記入された後の紙文書又は当該紙文書の読取画像と、を互いに対応づける対応付け手段と、
前記電子文書に対応づけられた前記電子署名値が、前記電子文書と当該電子文書に対応づけられた前記筆跡情報との組合せに対する電子署名値として正しいか否かを検証する電子署名検証手段と、
前記電子文書に対応づけられた前記筆跡情報と、前記電子文書に対応づけられた前記署名者により前記手書き署名が記入された後の紙文書の読取画像と、とを比較することで、前記筆跡情報を検証する手書き署名検証手段と、
を備える署名システム。
【請求項2】
前記電子署名検証手段による検証が成功した場合でも、前記手書き署名検証手段による検証が失敗した場合には、前記電子文書に関して何らかの不正が行われた可能性がある旨の情報を通知する通知手段、
を更に備える請求項1記載の署名システム。
【請求項3】
電子文書の印刷結果である紙文書に対して署名者が記入した手書き署名の筆跡情報を取得する取得手段と、
前記署名者の署名鍵を用いて、前記電子文書及び前記筆跡情報、又は、当該電子文書の特徴量及び前記筆跡情報から生成される情報に対する電子署名値を計算する署名値計算手段と、
前記電子署名値及び前記筆跡情報を、前記電子文書及び前記署名者により前記手書き署名が記入された後の紙文書又は当該紙文書の読取画像と、対応づけできるように出力する出力手段と、
を備える署名装置。
【請求項4】
電子文書及び当該電子文書に対応する紙文書に記入された署名者の手書き署名の筆跡を表す筆跡情報、又は、当該電子文書の特徴量及び前記筆跡情報に対する電子署名値と、を取得する取得手段と、
前記電子署名値が、前記電子文書と前記筆跡情報との組合せに対する電子署名値として正しいか否かを検証する電子署名検証手段と、
前記電子文書に対応づけられた前記署名者により前記手書き署名が記入された後の紙文書の読取画像と、前記筆跡情報と、を比較することで、前記筆跡情報を検証する手書き署名検証手段と、
を備える署名検証装置。
【請求項5】
コンピュータを、
電子文書及び当該電子文書に対応する紙文書に記入された署名者の手書き署名の筆跡を表す筆跡情報、又は、当該電子文書の特徴量と前記筆跡情報から生成される情報に対する電子署名値と、を取得する取得手段、
前記電子署名値が、前記電子文書と前記筆跡情報との組合せに対する電子署名値として正しいか否かを検証する電子署名検証手段、
前記電子文書に対応づけられた前記署名者により前記手書き署名が記入された後の紙文書の読取画像と、前記筆跡情報と、を比較することで、前記筆跡情報を検証する手書き署名検証手段、
として機能させるためのプログラム。
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図1】
【図3】
【図4】
【図5】
【図6】
【図7】
【図1】
【公開番号】特開2010−154051(P2010−154051A)
【公開日】平成22年7月8日(2010.7.8)
【国際特許分類】
【出願番号】特願2008−328000(P2008−328000)
【出願日】平成20年12月24日(2008.12.24)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成22年7月8日(2010.7.8)
【国際特許分類】
【出願日】平成20年12月24日(2008.12.24)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]