電子署名入力システム、及び電子署名入力方法
【課題】電子署名の署名入力時の不正な操作を防止し、特定の文書に特定の個人が署名したことを高い信頼度で保証することができる電子署名入力システム、及び電子署名入力方法を提供する。
【解決手段】署名者自身による署名を入力し、電子署名データを作成するに当たって、署名入力時に、署名入力手段を識別するID情報と、署名入力手段による署名動作情報と、それに対応する時刻情報とを監視し、それらに基づき不正操作を検知する。
【解決手段】署名者自身による署名を入力し、電子署名データを作成するに当たって、署名入力時に、署名入力手段を識別するID情報と、署名入力手段による署名動作情報と、それに対応する時刻情報とを監視し、それらに基づき不正操作を検知する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、文書などの電子データに添付するため、署名者自身による署名を入力し、電子署名データを作成する電子署名入力システム、及び電子署名入力方法に関する。
【背景技術】
【0002】
近年では、電子的な情報処理機器の進展により、様々な情報が電子化処理されている。公的に重要な意味を持つ文書なども従来の紙文書が電子化されている。
【0003】
一方、文書等の電子化処理は、複製や改ざんが容易になるなどの弊害も問題となっている。セキュリティの観点から、文書等の電子化に当たっては、暗号等に代表される様々な保護手段が採られるようになった。
【0004】
また、従来の紙文書等で通常行われていた署名や印鑑などを用いた特定の個人の認証も、電子化された文書等においては、そのままでは適用できない。筆跡や印影のデータはそのまま電子化してしまうと、通常の電子データ同様、複製や改ざんが容易で多くの不正を許容してしまいかねない。
【0005】
手書きの筆跡などを当てにしない多くの電子署名のシステムも提案されている。しかしながら、それらは、特定の認証局を必要としたり、予め様々なデータの登録を要したり、あるいは複雑で手間の掛かる認証の手順を要したりと、課題の多いものであった。
【0006】
これに対して、署名者本人による手書きの署名を用いる前提で、署名を電子化して利用するようなシステムも提案されている(例えば、特許文献1、2参照)。
【0007】
これらは、例えば、タブレットPCの入力画面にそのままペン入力するような形態で、書かれたサインを電子データ化して入力する。但し、サインをそのまま電子データとしただけでは、セキュリティの観点から不十分である。例えば、サインのデータをそのままコピーして他の文書に貼り付けるといった不正が行われやすい。
【0008】
暗号化処理する、文書と関連付ける、サインの動作自体をもデータ化する、等の対策が考えられているが、紙文書におけるサインと比べて煩雑であり、見ただけで判断できる紙文書のサインの簡便性には遠いものである。
【0009】
特許文献1には、署名入力時に、タブレットなどで入力される署名の幾何情報とその入力のタイミング情報とをセットにして電子署名とする技術が提案されている。またこの署名情報は文書とともに暗号化されて関連付けられる。文書とセットで暗号化処理されていることで、筆跡データの他の文書へのコピーペーストを防止している。また署名のタイミング情報により、筆跡の模倣を防止している。
【0010】
特許文献2には、手書きサイン、拇印、印鑑などを入力するアクションを電子化してアクションデータとする、また文書原本と関連付けた署名処理を行う、という技術が提案されている。これもアクション(筆跡データ)と文書の関連づけを保証、すなわちそのアクションがその文書に対してなされたことを保証するような署名処理である。サイン自体を隠す必要がなく、登録データも不要である。
【0011】
しかしながら特許文献1の技術では、暗号システムが必須であり、また署名を認証するのに予め筆跡データの登録が必要である。また特許文献2の技術では、保証されるのはアクション(筆跡データ)と文書との関連づけのみ、すなわちそのアクションがその文書に対してなされたことの保証のみであり、そのアクション自体の正当性は従来通り筆跡を見て判断されるしかない。
【特許文献1】特開平10−91065号公報
【特許文献2】特開2003−134108号公報
【発明の開示】
【発明が解決しようとする課題】
【0012】
上述したように、従来の技術は、入力された署名のデータに対して、文書との関連付けと暗号化による保護が主体であった。すなわち、サインが正当に入力されたものであるという前提で、それが不正に二次使用されたり、改ざんされたりすることを防止するものであった。
【0013】
しかしながら、それらの技術は入力時に不正が行われるケースに対しては考慮されていない。すなわち、一旦不正な署名が行われてしまうと、署名の保護は無意味である。また、既に正当ではない署名の複製を防止する意味もない。
【0014】
署名入力中に行われる不正として、署名の一部に対して、手書き以外で入力する、別人が処理する、他の入力部材を用いる、その他何らかの不正操作を行うなどが想定される。これらの署名入力時の不正に対しても、より確実に防止できる技術が求められる。
【0015】
本発明の目的は、上記の課題を解決し、電子署名の署名入力時の不正な操作を防止し、特定の文書に特定の個人が署名したことを高い信頼度で保証することができる電子署名入力システム、及び電子署名入力方法を提供することである。
【課題を解決するための手段】
【0016】
上記の課題を解決するために、本発明は以下の特徴を有するものである。
【0017】
1. 署名者自身が署名入力のための操作を行う署名入力手段と、前記署名入力手段による署名入力に基づいて電子署名データを作成する署名データ作成手段と、を有する電子署名入力システムにおいて、前記署名入力手段による署名入力時に、署名の開始から終了までの入力操作に関する署名操作情報を取得する署名プロセス監視手段と、前記署名入力手段による署名入力時に、前記署名プロセス監視手段により取得された前記署名操作情報に基づき不正操作を検知する不正操作検知手段と、を有し、前記署名操作情報は、前記署名入力手段を識別するID情報と、前記署名入力手段の署名入力時の動作情報と、前記動作情報に対応する時刻情報と、を含むことを特徴とする電子署名入力システム。
【0018】
2. 前記署名データ作成手段により作成される電子署名データは、前記署名プロセス監視手段により取得された前記署名操作情報を含むことを特徴とする1に記載の電子署名入力システム。
【0019】
3. 前記署名データ作成手段により作成された電子署名データを不正操作から保護するための署名データ保護手段を有し、前記署名データ保護手段は、前記署名入力の終了に伴い発動されることを特徴とする1または2に記載の電子署名入力システム。
【0020】
4. 前記不正操作検知手段が不正操作を検知したときに、不正の警告を発する不正警告手段を有することを特徴とする1乃至3の何れか1項に記載の電子署名入力システム。
【0021】
5. 前記不正操作検知手段が不正操作を検知したときに、前記電子署名データを無効にする署名破棄手段を有することを特徴とする1乃至4の何れか1項に記載の電子署名入力システム。
【0022】
6. 署名者自身が署名入力手段を用いて署名入力のための操作を行う署名入力工程と、前記署名入力工程における署名入力に基づいて電子署名データを作成する署名データ作成工程と、を備える電子署名入力方法において、前記署名入力工程における署名入力時に、署名の開始から終了までの入力操作に関する署名操作情報を取得する署名プロセス監視工程と、前記署名入力工程における署名入力時に、前記署名プロセス監視工程によって取得された前記署名操作情報に基づき不正操作を検知する不正操作検知工程と、を備え、前記署名操作情報は、前記署名入力手段を識別するID情報と、前記署名入力手段の署名入力時の動作情報と、前記動作情報に対応する時刻情報と、を含むことを特徴とする電子署名入力方法。
【0023】
7. 前記署名データ作成工程において作成される電子署名データは、前記署名プロセス監視工程によって取得された前記署名操作情報を含むことを特徴とする6に記載の電子署名入力方法。
【0024】
8. 前記署名データ作成工程において作成された電子署名データを不正操作から保護するための署名データ保護工程を備え、前記署名データ保護工程は、前記署名入力の終了に伴い発動されることを特徴とする6または7に記載の電子署名入力方法。
【0025】
9. 前記不正操作検知工程において不正操作が検知されたときに、不正の警告を発する不正警告工程を備えることを特徴とする6乃至8の何れか1項に記載の電子署名入力方法。
【0026】
10. 前記不正操作検知工程において不正操作が検知されたときに、前記電子署名データを無効にする署名破棄工程を備えることを特徴とする6乃至9の何れか1項に記載の電子署名入力方法。
【発明の効果】
【0027】
本発明に係る電子署名入力システム、及び電子署名入力方法によれば、文書などの電子データに添付するため、署名者自身による署名を入力し、電子署名データを作成するに当たって、以下のことが達成できる。
【0028】
すなわち、本発明に係る電子署名入力システム、及び電子署名入力方法によれば、署名入力時に、署名入力手段を識別するID情報と、署名入力手段による署名動作情報と、それに対応する時刻情報とを監視し、それらに基づき不正操作を検知することができる。
【0029】
これにより、電子署名の署名入力時の不正な操作を防止し、特定の文書に特定の個人が署名したことを高い信頼度で保証することができる。
【発明を実施するための最良の形態】
【0030】
以下に図を参照して、本発明に係る電子署名入力システム及びその方法の実施形態を説明する。
【0031】
電子署名入力システムは、署名の入力部を備えたデジタルデータ処理装置であり、CPUを用いて署名者のサイン入力とその表示、電子署名データの作成、さらに文書データに添付したり、安全のための保護処理などを行う。
【0032】
本発明に係る電子署名入力システムでは、特に署名者のサイン入力時にそのプロセスを監視し、不正な入力操作などを検知する処理も合わせて行う。
【0033】
(電子署名入力システムのハードウェア構成)
図1は電子署名入力システム1のハードウェア構成の例を示す図である。本実施形態では、電子署名入力システム1としてタブレットPCを用いるものとする。
【0034】
電子署名入力システム1は、図1に示すように、CPU20a、RAM20b、ROM20c、操作部20d、表示部20e、通信IF部20f、入出力IF部20g、その他の種々の回路または機器などによって構成される。
【0035】
通信IF部20fは、例えば無線通信インタフェース回路であって、ネットワークを通じて、電子署名データを添付した文書データなどを送受信する。表示部20eは、例えば液晶ディスプレイとその駆動回路であり、CPU20aで処理された文書データや電子署名データの表示を行う。
【0036】
操作部20dは、署名者などによる入力操作を受け付ける装置であり、例えば、タブレットPCの入力操作画面と入力用ペン部材との組み合わせを含み、署名者が行った操作内容を示す信号を入力する。
【0037】
入出力IF部20gは、例えばメモリーカードなどの外部記録媒体からデータを読み取り、入力する、または外部記録媒体に書き込むための回路である。
【0038】
ROM20cには、後で機能ブロック図(図2)を用いて説明するが、署名入力部201、署名データ作成部202、署名プロセス監視部203、不正操作検知部204などの機能を実現するためのプログラムおよびデータが格納されている。これらのプログラムおよびデータは必要に応じてRAM20bに読み出され、CPU20aによってプログラムが実行される。
【0039】
またRAM20bには、文書データや電子署名データの記憶部(不図示)が構築され、CPU20aは、必要に応じてデータの記憶、読み出しを行う。
【0040】
(電子署名入力システムの機能構成)
図2は電子署名入力システム1の機能構成の例を示す図である。但し、電子署名入力処理に関わる機能のみを記述している。図2を用いて、電子署名入力システム1による電子署名入力処理の機能構成について説明する。
【0041】
図2において、201は署名入力部であり、署名入力手段として機能する。本実施形態では、タブレットPCの入力操作画面と入力用ペン部材との組み合わせが署名入力部201として機能するものとする。
【0042】
図3はタブレットPC2の外観を示す斜視図であり、21が入力操作画面、22が入力用のペン部材である。図4はペン部材22の機能構成を示す構成図であり、図5は入力操作画面21の署名入力用画面表示例である。
【0043】
この署名入力部201により署名者が署名入力を行う。すなわち、署名者がペン部材22を用いて、直接入力操作画面21に署名を手書きすることにより署名入力を行う。署名入力操作の詳細については後述する。
【0044】
202は署名データ作成部であり、署名データ作成手段として機能する。署名入力部201により取得された署名者による署名入力などを処理して、電子署名データを作成する。電子署名データは、署名者による手書きの筆跡を電子化したデータを含む。
【0045】
電子署名データには、署名の操作の開始から終了にいたる動作情報、時刻情報などの署名操作情報を含んでもよい。また、署名の対象である文書データなどと関連付けてもよいし、一体化してもよい。
【0046】
203は署名プロセス監視部であり、署名プロセス監視手段として機能する。署名入力部201により署名入力される操作に対して、署名入力の操作の開始から終了にいたる動作情報、時刻情報などの署名操作情報を監視し、取得する。
【0047】
署名操作情報には、署名入力の装置としてのID情報、例えば使用しているペン部材22を識別できるID情報等も含まれる。これらは、署名入力時の不正操作検知のために用いられる。詳細は後述する。
【0048】
204は不正操作検知部であり、不正操作検知手段として機能する。署名プロセス監視部203により取得された署名操作情報に基づいて、署名入力時に不正な操作が行われたかどうかを検知する。
【0049】
署名入力時の不正な操作とは、例えば、署名の少なくとも一部に対して、手書き以外の入力が行われる、別人が処理する、他の入力用ペン部材を用いる場合などであり、その他ペン部材のON/OFF動作の異常や、動作時間間隔の異常など、入力操作に対する何らかの不正が想定される場合が含まれる。
【0050】
205は署名データ保護部であり、署名データ保護手段として機能する。署名プロセス監視部203が署名入力の終了を検知すると、署名データ作成部202により作成された電子署名データに対して、複製や改ざんなどの不正操作に対する保護のための処理を行う。
【0051】
署名データ保護処理としては、一般に暗号化処理などが行われる。暗号化処理については多くの公知技術があり、任意の手法を用いることができる。また暗号化の際には、署名の対象となる文書とのリンクを考慮して暗号化処理することが一般的であり、望ましい。
【0052】
206は不正警告部であり、不正警告手段として機能する。不正操作検知部204により署名入力時の不正な操作が検知されたとき、不正操作が行われていることを表示し、署名者に警告する。
【0053】
警告の方法は、表示に限定することはない。音声や他の一般的な警告信号により警告してもよい。不正の警告は、不正な操作の種類を示す内容を含んでいてもよい。
【0054】
207は署名破棄部であり、署名破棄手段として機能する。不正操作検知部204により署名入力時の不正な操作が検知されたとき、署名データ作成部202により作成されている電子署名データを無効とし、破棄する。
【0055】
不正警告部206による不正な操作の警告と署名破棄部207による電子署名データの破棄を連動して行うようにしてもよい。その場合、不正操作が行われていることを表示するとともに、電子署名データを破棄することを合わせて表示することが望ましい。
【0056】
(署名入力操作について)
上述したように、本実施形態に係る電子署名入力システム1は、タブレットPC2(入力用ペン部材22を含む)からなる。
【0057】
図3はタブレットPC2の外観例を示す斜視図である。署名者がペン部材22を用いて、直接タブレットPC2の入力操作画面21に署名を手書きすることにより署名入力を行う。
【0058】
対象となる合意文書に署名者が署名を行う一般的な場合について、署名入力操作を説明する。
【0059】
対象となる合意文書は、任意のテキスト編集のアプリケーションなどを用いて作成され、契約などの対象となる両者間で合意が行われる。合意された文書は、上記電子署名入力システム1、すなわちタブレットPC2(入力用ペン部材22を含む)で入力可能なフォーマットに変換される。
【0060】
合意文書はタブレットPC2の入力操作画面21に表示され、その画面上で、入力用ペン部材22を用いて、合意した両者が同時に、あるいは別個に、手書きで署名操作を行う。もちろん、上記合意文書の作成と入力操作画面21上での署名入力とは、一つの同じアプリケーションで行われてもよい。
【0061】
以下に署名入力時の入力用ペン部材の構成と動作、及びタブレットPCの動作について説明する。これらの動作は、既述した署名入力部201によって実行されるものである。
【0062】
<入力用ペン部材の構成と動作>
ここで、署名入力に用いる入力用ペン部材22の構成と動作について説明する。図4はペン部材22の機能構成例を示す構成図である。
【0063】
図4に示すようにペン部材22の外観は通常のペンと同じであり、通常のペンと同様に使用してサインする。ペン先部材31はバネ(不図示)により通常はペン先側へ移動するように負荷がかけられている。
【0064】
ON/OFF検知スイッチ32は、ペン先部材31の動きを検知する。スイッチ32は、通常はOFF、ペン先部材31が押し付けられ、ペン元側へ移動するとONである。I/F回路33は、ON/OFF検知スイッチ32の結果を変換する。
【0065】
二次記憶部34は、入力用ペン部材22自身のIDを記憶している。35は制御部(CPU)であり、後述する入力用ペン部材22全体の動作とその信号に対する各機能部分の処理を制御する。通信部36は、タブレットPC2本体との通信を行う。電源部37は、入力用ペン部材22全体の各機能部分に電源を供給する。
【0066】
タブレットPC2本体側にも、当然入力用ペン部材22との通信機能を有しており、署名入力時に、ペン先部材31の移動によるON/OFF信号や入力用ペン部材22自身のID情報などを受信する。
【0067】
署名入力時の動作を説明する。
【0068】
署名者がこのペン部材22を使い、ペン先部材31に与えられた負荷を越える筆圧でペン部材22を操作した場合、ペン先部材31がペン元側へ移動し、ON/OFF検知スイッチ32をOFFからONにする。
【0069】
I/F回路33は、ペン先部材31の移動に伴うON/OFF信号をデジタルデータに変換して、制御部35に送る。
【0070】
制御部35は、二次記憶部34のID情報を取得する。ペン部材22のID情報は、ペン部材22の製造時にEEPROMなどの二次記憶部34に書き込まれるもので、個々のペン部材22毎に固有のIDであり、特定のペン部材22を識別することができる。
【0071】
また制御部35は、上記ON/OFF信号とペン部材22のID情報とを、通信部36を経由してタブレットPC2へ送信する。入力用ペン部材22とタブレットPC2との通信は、Bluetoothなどの一般的な通信規約に従って行われる。
【0072】
<タブレットPCの動作>
ここで、入力用ペン部材22からの通信を受ける側のタブレットPC2の動作について説明する。図5はタブレットPC2の入力操作画面21の表示例を示す。
【0073】
入力操作画面21に表示されているのは、署名入力用画面の表示例であり、合意された契約書の署名のページを示している。
【0074】
ページのほぼ上半分に契約書の文書41が表示されており、下半分に手書きによる署名領域43が表示されている。また、署名領域43の左上には署名開始アイコン42が、右下には署名終了アイコン44が設定されている。
【0075】
署名時に、入力用ペン部材22のペン先部材31がタブレットPC2の入力操作画面21に触れると、座標化された入力操作画面21上のペン先部材31の接触位置情報X1(x1、y1)が取得される。タブレットPC2のCPUは、取得した位置情報X1(x1、y1)に基づいて、入力操作画面21上の該当位置に点情報を描画する。合わせて、この位置情報を入力用ペン部材22から受信した上述の情報とセットにし、署名操作情報として記憶する。
【0076】
入力用ペン部材22による署名入力の開始と終了のタイミングは、署名開始アイコン42と署名終了アイコン44を用いて取得するようにしてもよいし、署名領域43内でのペン先部材31のON/OFFに応じるようにしてもよい。
【0077】
入力用ペン部材22による署名入力の開始から終了にいたる間、上述の署名操作情報は継続的に取得され続ける。これらの動作は、既述した署名プロセス監視部203によって実行されるものである。
【0078】
<署名操作情報について>
ここで、署名入力時に署名プロセス監視部203によって監視され、取得される署名操作情報について説明する。図6は取得される署名操作情報の例を示す。
【0079】
図6の例では署名入力時にX1からX8にいたるデータが取得されている。これらは署名開始から終了の間に時刻と位置情報がサンプリングされたものである。すなわち、データX1(署名開始)からデータX8(署名終了)にいたるそれぞれの時刻情報t1からt8と、それらに対応するペン先の位置情報(x1、y1)から(x7、y7)(但しX8はデータなし)がそれぞれ取得されている。
【0080】
またペン部材22から受信したペン先部材31のON/OFF情報とID情報もそれぞれのデータとセットになって取得されている。X1からX8まで、IDがAAAで表される同一のペン部材22を用いて操作され、かつペン先部材31は署名入力の間、ON状態であることが分かる。
【0081】
但し、データX8においては、ペン先部材31はOFF状態になっており、署名が終わった状態である。従ってデータX8は、ペン先の位置情報も(入力なし)である。
【0082】
署名プロセス監視部203によって監視されるこれらの署名操作情報に基づいて、既述した不正操作検知部204は署名入力時の不正操作を検知するものである。
【0083】
不正操作の検知動作についての例を説明する。
【0084】
電子署名の認証をより確実にするには、
電子署名をより確実に認証できる筆跡データを備えていること、
電子署名に暗号化処理などの署名データ保護処理が行われていること、
が必要なことはいうまでもない。
【0085】
しかしながらそういった署名の複製や改ざんに対する検証以外に、一連の署名入力動作における不正操作を検証するために、次のような確認が必要であると考えられる。
【0086】
1.同一の署名入力手段を用いて署名されていること、
2.署名入力手段の動作と署名操作が一致していること、
3.文書への署名入力と署名操作が時間的に一致していること、
4.署名操作が連続的に、かつ短時間に行われていること。
【0087】
本実施形態では、署名プロセス監視部203によって監視される上記の署名操作情報に基づいて、不正操作検知部204は次のように署名入力時の不正操作を検知できる。
【0088】
1.については、署名操作情報におけるID情報が正当であり、かつ署名入力中一定である(変動していない)ことにより確認できる。
【0089】
2.については、ペン先部材31のON/OFF情報と署名入力の操作情報とが一致している(ON状態で入力操作されている)ことにより確認できる。
【0090】
3.については、署名入力の操作時刻情報と文書に記録された署名時刻とが整合していることにより確認できる。
【0091】
4.については、署名入力の一連の操作時刻情報が連続し、短時間に終了していることにより確認できる。
【0092】
本実施形態では、署名入力時に、署名操作情報、すなわち署名入力手段を識別するID情報と、署名入力手段による署名動作情報と、それに対応する時刻情報とを監視することで、署名入力時の不正操作を検知することができる。
【0093】
これにより、電子署名に対して、特定の文書に特定の個人が署名したことをより高い信頼度で保証することができる。
【0094】
またこれらの署名操作情報は、署名データ作成手段により作成される電子署名データに情報として含めるようにしてもよい。それにより署名入力時に不正操作を検知するだけでなく、署名入力後に行われる電子署名データに対する不正操作の検知にも役立てることができる。
【0095】
(署名入力処理フロー)
図7は、本実施形態に係る電子署名入力システムを用いた電子署名入力方法の手順例を示すフローチャートである。図7を用いて電子署名入力方法のフローを説明する。
【0096】
図7において、ステップS11で署名入力の開始を検知する。
【0097】
署名入力の検知は、様々な方法が可能である。ここでは署名者が署名領域43の左上の署名開始アイコン42をペン部材22でさわることで、署名入力の開始を検知することとする(図5参照)。署名入力終了の場合は、同様に署名領域43の右下の署名終了アイコン44をさわるものとする。
【0098】
上記以外に、署名領域43内に始めてペン部材22でさわるタイミングを、署名入力開始とすることも可能である。
【0099】
署名入力開始を検知した後は、既述したように署名入力部201は入力操作を継続し、電子署名データ作成のための筆跡データを取得し続ける。従って、この後の署名入力終了を検知するステップS14までは、署名入力工程として機能する。
【0100】
ステップS12では、署名入力が開始され、かつ継続している状態であり、この間署名プロセス監視部203は入力操作を監視し、署名操作情報を取得し続ける。すなわち、ステップS12は署名プロセス監視工程として機能する。
【0101】
ステップS13では、取得した署名操作情報に基づき、不正操作検知部204が署名入力時の不正な操作が行われているかどうかを検知する。すなわち、ステップS13は不正操作検知工程として機能する。
【0102】
ステップS13で不正操作が検知された場合(ステップS13:YES)は、ステップS17へ進む。検知されなかった場合(ステップS13:NO)は、ステップS14を実行する。
【0103】
ステップS14では、署名入力が終了したかどうかを検知する。署名入力の終了も開始と同様、様々な検知手法が可能である。ここでは署名入力開始の場合と同様に、署名者が署名領域43の右下の署名終了アイコン44をペン部材22でさわることで、署名入力の終了を検知することとする(図5参照)。
【0104】
ステップS14で署名入力の終了が検知された場合(ステップS14:YES)は、ステップS15を実行する。検知されなかった場合(ステップS14:NO)は、ステップS12へ戻り、ステップS14で署名入力の終了が検知されるまで、署名入力工程を繰り返す。
【0105】
不正操作が検知されることなく、署名入力の終了が検知されると、ステップS15で電子署名データが作成される。すなわち、ステップS15は署名データ作成工程として機能する。
【0106】
電子署名データには、署名プロセス監視工程で取得した署名操作情報を含めて作成しておいてもよい。電子署名データに対する不正操作の検知に有効な情報として利用することができる。
【0107】
またステップS14で署名入力終了が検知されると、署名データ作成工程で作成された電子署名データに対して、すぐに次のステップS16が発動される。あるいは電子データ作成工程(ステップS15)と併行してステップS16が実行されるようにしてもよい。
【0108】
ステップS16では、作成された電子署名データに保護処理が施される。すなわち、ステップS16は署名データ保護工程として機能する。
【0109】
保護処理は、電子署名データの複製や改ざんを防止するために、一般的には暗号化処理などが行われる。ここでは、対象文書とリンクさせた状態で暗号化処理することにする。暗号化処理は任意の公知技術を用いることができる。
【0110】
一方、署名入力時に不正操作が検知される(ステップS14:NO)と、ステップS17で不正操作が行われたことを警告表示する。すなわち、ステップS17は不正警告工程として機能する。
【0111】
不正警告の方法も記述したように様々な方法が可能である。ここでは、例えば入力操作画面21の署名領域43上に、この署名は不正と判断された旨の表示を行うものとする。その後ステップS18へ進む。
【0112】
ステップS18では、不正操作が検知されたことに応じて、作成された、あるいは作成中の電子署名データを無効とし、データを破棄する。すなわち、ステップS18は署名破棄工程として機能する。
【0113】
また、ここでは署名を破棄するとともに、入力操作画面21の署名領域43上に、この署名は無効により破棄した旨の追加表示を行うものとする。
【0114】
ステップS16の署名データ保護工程もしくはステップS18の署名破棄工程が終了すれば、本署名入力処理は終了する。署名が破棄された場合、必要ならば最初に戻ってステップS11から署名入力をやり直すようなフローとしてもよい。
【0115】
(不正操作検知処理フロー)
図8は、図7におけるステップS13の不正操作検知工程の詳細な手順例を示すフローチャートである。図8を用いて不正操作検知工程の詳細なフローの例を説明する。
【0116】
図8において、不正操作検知処理の開始時点で、既に署名プロセス監視工程(ステップS12)において署名操作情報を順次取得している。その取得した署名操作情報に基づき順次、不正操作の検知処理を行っていく。
【0117】
不正操作検知のための確認事項は、例えば前述した次のような項目である。
1.同一の署名入力手段を用いて署名されていることが確認できること、
2.署名入力手段の動作と署名操作が一致していること、
3.文書への署名入力と署名操作が時間的に一致していること、
4.署名操作が連続的に、かつ短時間に行われていること。
【0118】
まずステップS21では、署名操作情報に基づき入力間隔が適正であるかどうかを判定する。これは、既述した不正操作を検証するために必要な確認(4.署名操作が連続的に、かつ短時間に行われていること)であり、署名入力の一連の操作時刻情報が連続し、短時間に終了していることを確認する。
【0119】
例えば、操作時刻の間隔t(n+1)−t(n)が所定の時間間隔tsより大きくなった場合は、通常の署名の動作とは見なせず、不正操作が行われている可能性を想定して、処理する。
【0120】
ステップS21で入力間隔が適正である場合(ステップS21:YES)は、次のステップS22を実行する。入力間隔が適正でない場合(ステップS21:NO)は、ステップS25へ進み、不正入力であると判定する。
【0121】
ステップS22では、署名操作情報に基づき、同一のペン(署名入力手段)であるかどうかを判定する。これは、既述した不正操作を検証するために必要な確認(1.同一の署名入力手段を用いて署名されていること)であり、署名操作情報におけるID情報が正当であり、かつ署名入力中一定である(変動していない)ことを確認する。
【0122】
例えば、署名入力手段のID(AAA)が操作時刻の変化に伴い、ID(BBB)に変わったとすれば、署名者が変わった、あるいは用いられる入力手段が変わったということであり、不正操作が行われている可能性を想定して、処理する。
【0123】
ステップS22で同一のペン(署名入力手段)である場合(ステップS22:YES)は、次のステップS23を実行する。同一のペン(署名入力手段)でない場合(ステップS22:NO)は、ステップS25へ進み、不正入力であると判定する。
【0124】
ステップS23では、署名操作情報に基づき、ペンONと操作時刻情報が一致しているかどうかを判定する。これは、既述した不正操作を検証するために必要な確認(2.署名入力手段の動作と署名操作が一致していること)であり、ペン先部材のON/OFF情報と署名入力の操作情報とが一致している(ON状態で入力操作されている)ことを確認する。
【0125】
例えば、ペン先部材(署名入力手段)ON状態が署名終了前にOFF状態に変化し、その回数や時間が、設定した通常の署名動作の条件範囲を外れた場合、署名動作の途中で何らかの不正操作が行われている可能性を想定して、処理する。
【0126】
ステップS23でペンONと操作時刻情報が一致している場合(ステップS23:YES)は、次のステップS24を実行し、不正入力でないと判定する。一致していない場合(ステップS23:NO)は、ステップS25へ進み、不正入力であると判定する。
【0127】
ステップS24またはステップS25で、不正入力でないまたは不正入力であると判定されると、不正操作検知処理は終了である。
【0128】
なお図8には示していないが、既述した不正操作を検証するために必要な確認(3.文書への署名入力と署名操作が時間的に一致していること)の処理を追加してもよい。
【0129】
これは、署名入力の操作時刻情報と文書に記録された署名時刻とが整合していることの確認であり、例えば署名操作情報として得られた時刻情報と、文書自体に記録される署名時刻情報との時間差が所定時間以上であれば、何らかの不正操作が行われている可能性を想定して、処理する。
【0130】
この確認も、ステップS21乃至ステップS23の確認と同様にNO(異常)である場合は無条件にステップS25へ進み、不正入力であると判定すればよい。
【0131】
すなわち、不正操作検知の各確認処理は、すべてがYES(正常)の場合のみ、不正入力でないと判定されるのである。
【0132】
あるいは、上記のように各確認処理毎に判定を行うのではなく、判定のための重み付けをした評価点を付けておき、それらの評価点を総合して不正入力の判定を行うようにしてもよい。
【0133】
上述してきたように、本実施形態によれば、文書などの電子データに添付するため、署名者自身による署名を入力し、電子署名データを作成するに当たって、署名入力時に、署名入力手段を識別するID情報と、署名入力手段による署名動作情報と、それに対応する時刻情報とを監視し、それらに基づき不正操作を検知することができる。
【0134】
これにより、電子署名の署名入力時の不正な操作を防止し、特定の文書に特定の個人が署名したことを高い信頼度で保証することができる。
【0135】
なお本発明の範囲は、常は実施形態に限定されるものではない。本発明の趣旨を逸脱しない限り、それらの変更された形態もその範囲に含むものである。
【図面の簡単な説明】
【0136】
【図1】本実施形態に係る電子署名入力システムのハードウェア構成の例を示す図である。
【図2】本実施形態に係る電子署名入力システムの機能構成の例を示す図である。
【図3】タブレットPCの外観例を示す斜視図である。
【図4】ペン部材の機能構成例を示す構成図である。
【図5】タブレットPCの入力操作画面の署名入力用画面表示例である。
【図6】署名プロセス監視工程で取得される署名操作情報の例を示す図である。
【図7】電子署名入力処理の手順例を示すフローチャートである。
【図8】図7における不正操作検知工程の手順例を示すフローチャートである。
【符号の説明】
【0137】
1 電子署名入力システム
2 タブレットPC
21 入力操作画面
22 入力用ペン部材
31 ペン先部材
32 ON/OFF検知スイッチ
33 I/F回路
34 二次記憶部
35 制御部
36 通信部
37 電源部
41 文書表示
42 署名開始アイコン
43 署名領域
44 署名終了アイコン
201 署名入力部
202 署名データ作成部
203 署名プロセス監視部
204 不正操作検知部
205 署名データ保護部
206 不正警告部
207 署名破棄部
208 データ解析部
209 データ作成部
210 データ送信部
【技術分野】
【0001】
本発明は、文書などの電子データに添付するため、署名者自身による署名を入力し、電子署名データを作成する電子署名入力システム、及び電子署名入力方法に関する。
【背景技術】
【0002】
近年では、電子的な情報処理機器の進展により、様々な情報が電子化処理されている。公的に重要な意味を持つ文書なども従来の紙文書が電子化されている。
【0003】
一方、文書等の電子化処理は、複製や改ざんが容易になるなどの弊害も問題となっている。セキュリティの観点から、文書等の電子化に当たっては、暗号等に代表される様々な保護手段が採られるようになった。
【0004】
また、従来の紙文書等で通常行われていた署名や印鑑などを用いた特定の個人の認証も、電子化された文書等においては、そのままでは適用できない。筆跡や印影のデータはそのまま電子化してしまうと、通常の電子データ同様、複製や改ざんが容易で多くの不正を許容してしまいかねない。
【0005】
手書きの筆跡などを当てにしない多くの電子署名のシステムも提案されている。しかしながら、それらは、特定の認証局を必要としたり、予め様々なデータの登録を要したり、あるいは複雑で手間の掛かる認証の手順を要したりと、課題の多いものであった。
【0006】
これに対して、署名者本人による手書きの署名を用いる前提で、署名を電子化して利用するようなシステムも提案されている(例えば、特許文献1、2参照)。
【0007】
これらは、例えば、タブレットPCの入力画面にそのままペン入力するような形態で、書かれたサインを電子データ化して入力する。但し、サインをそのまま電子データとしただけでは、セキュリティの観点から不十分である。例えば、サインのデータをそのままコピーして他の文書に貼り付けるといった不正が行われやすい。
【0008】
暗号化処理する、文書と関連付ける、サインの動作自体をもデータ化する、等の対策が考えられているが、紙文書におけるサインと比べて煩雑であり、見ただけで判断できる紙文書のサインの簡便性には遠いものである。
【0009】
特許文献1には、署名入力時に、タブレットなどで入力される署名の幾何情報とその入力のタイミング情報とをセットにして電子署名とする技術が提案されている。またこの署名情報は文書とともに暗号化されて関連付けられる。文書とセットで暗号化処理されていることで、筆跡データの他の文書へのコピーペーストを防止している。また署名のタイミング情報により、筆跡の模倣を防止している。
【0010】
特許文献2には、手書きサイン、拇印、印鑑などを入力するアクションを電子化してアクションデータとする、また文書原本と関連付けた署名処理を行う、という技術が提案されている。これもアクション(筆跡データ)と文書の関連づけを保証、すなわちそのアクションがその文書に対してなされたことを保証するような署名処理である。サイン自体を隠す必要がなく、登録データも不要である。
【0011】
しかしながら特許文献1の技術では、暗号システムが必須であり、また署名を認証するのに予め筆跡データの登録が必要である。また特許文献2の技術では、保証されるのはアクション(筆跡データ)と文書との関連づけのみ、すなわちそのアクションがその文書に対してなされたことの保証のみであり、そのアクション自体の正当性は従来通り筆跡を見て判断されるしかない。
【特許文献1】特開平10−91065号公報
【特許文献2】特開2003−134108号公報
【発明の開示】
【発明が解決しようとする課題】
【0012】
上述したように、従来の技術は、入力された署名のデータに対して、文書との関連付けと暗号化による保護が主体であった。すなわち、サインが正当に入力されたものであるという前提で、それが不正に二次使用されたり、改ざんされたりすることを防止するものであった。
【0013】
しかしながら、それらの技術は入力時に不正が行われるケースに対しては考慮されていない。すなわち、一旦不正な署名が行われてしまうと、署名の保護は無意味である。また、既に正当ではない署名の複製を防止する意味もない。
【0014】
署名入力中に行われる不正として、署名の一部に対して、手書き以外で入力する、別人が処理する、他の入力部材を用いる、その他何らかの不正操作を行うなどが想定される。これらの署名入力時の不正に対しても、より確実に防止できる技術が求められる。
【0015】
本発明の目的は、上記の課題を解決し、電子署名の署名入力時の不正な操作を防止し、特定の文書に特定の個人が署名したことを高い信頼度で保証することができる電子署名入力システム、及び電子署名入力方法を提供することである。
【課題を解決するための手段】
【0016】
上記の課題を解決するために、本発明は以下の特徴を有するものである。
【0017】
1. 署名者自身が署名入力のための操作を行う署名入力手段と、前記署名入力手段による署名入力に基づいて電子署名データを作成する署名データ作成手段と、を有する電子署名入力システムにおいて、前記署名入力手段による署名入力時に、署名の開始から終了までの入力操作に関する署名操作情報を取得する署名プロセス監視手段と、前記署名入力手段による署名入力時に、前記署名プロセス監視手段により取得された前記署名操作情報に基づき不正操作を検知する不正操作検知手段と、を有し、前記署名操作情報は、前記署名入力手段を識別するID情報と、前記署名入力手段の署名入力時の動作情報と、前記動作情報に対応する時刻情報と、を含むことを特徴とする電子署名入力システム。
【0018】
2. 前記署名データ作成手段により作成される電子署名データは、前記署名プロセス監視手段により取得された前記署名操作情報を含むことを特徴とする1に記載の電子署名入力システム。
【0019】
3. 前記署名データ作成手段により作成された電子署名データを不正操作から保護するための署名データ保護手段を有し、前記署名データ保護手段は、前記署名入力の終了に伴い発動されることを特徴とする1または2に記載の電子署名入力システム。
【0020】
4. 前記不正操作検知手段が不正操作を検知したときに、不正の警告を発する不正警告手段を有することを特徴とする1乃至3の何れか1項に記載の電子署名入力システム。
【0021】
5. 前記不正操作検知手段が不正操作を検知したときに、前記電子署名データを無効にする署名破棄手段を有することを特徴とする1乃至4の何れか1項に記載の電子署名入力システム。
【0022】
6. 署名者自身が署名入力手段を用いて署名入力のための操作を行う署名入力工程と、前記署名入力工程における署名入力に基づいて電子署名データを作成する署名データ作成工程と、を備える電子署名入力方法において、前記署名入力工程における署名入力時に、署名の開始から終了までの入力操作に関する署名操作情報を取得する署名プロセス監視工程と、前記署名入力工程における署名入力時に、前記署名プロセス監視工程によって取得された前記署名操作情報に基づき不正操作を検知する不正操作検知工程と、を備え、前記署名操作情報は、前記署名入力手段を識別するID情報と、前記署名入力手段の署名入力時の動作情報と、前記動作情報に対応する時刻情報と、を含むことを特徴とする電子署名入力方法。
【0023】
7. 前記署名データ作成工程において作成される電子署名データは、前記署名プロセス監視工程によって取得された前記署名操作情報を含むことを特徴とする6に記載の電子署名入力方法。
【0024】
8. 前記署名データ作成工程において作成された電子署名データを不正操作から保護するための署名データ保護工程を備え、前記署名データ保護工程は、前記署名入力の終了に伴い発動されることを特徴とする6または7に記載の電子署名入力方法。
【0025】
9. 前記不正操作検知工程において不正操作が検知されたときに、不正の警告を発する不正警告工程を備えることを特徴とする6乃至8の何れか1項に記載の電子署名入力方法。
【0026】
10. 前記不正操作検知工程において不正操作が検知されたときに、前記電子署名データを無効にする署名破棄工程を備えることを特徴とする6乃至9の何れか1項に記載の電子署名入力方法。
【発明の効果】
【0027】
本発明に係る電子署名入力システム、及び電子署名入力方法によれば、文書などの電子データに添付するため、署名者自身による署名を入力し、電子署名データを作成するに当たって、以下のことが達成できる。
【0028】
すなわち、本発明に係る電子署名入力システム、及び電子署名入力方法によれば、署名入力時に、署名入力手段を識別するID情報と、署名入力手段による署名動作情報と、それに対応する時刻情報とを監視し、それらに基づき不正操作を検知することができる。
【0029】
これにより、電子署名の署名入力時の不正な操作を防止し、特定の文書に特定の個人が署名したことを高い信頼度で保証することができる。
【発明を実施するための最良の形態】
【0030】
以下に図を参照して、本発明に係る電子署名入力システム及びその方法の実施形態を説明する。
【0031】
電子署名入力システムは、署名の入力部を備えたデジタルデータ処理装置であり、CPUを用いて署名者のサイン入力とその表示、電子署名データの作成、さらに文書データに添付したり、安全のための保護処理などを行う。
【0032】
本発明に係る電子署名入力システムでは、特に署名者のサイン入力時にそのプロセスを監視し、不正な入力操作などを検知する処理も合わせて行う。
【0033】
(電子署名入力システムのハードウェア構成)
図1は電子署名入力システム1のハードウェア構成の例を示す図である。本実施形態では、電子署名入力システム1としてタブレットPCを用いるものとする。
【0034】
電子署名入力システム1は、図1に示すように、CPU20a、RAM20b、ROM20c、操作部20d、表示部20e、通信IF部20f、入出力IF部20g、その他の種々の回路または機器などによって構成される。
【0035】
通信IF部20fは、例えば無線通信インタフェース回路であって、ネットワークを通じて、電子署名データを添付した文書データなどを送受信する。表示部20eは、例えば液晶ディスプレイとその駆動回路であり、CPU20aで処理された文書データや電子署名データの表示を行う。
【0036】
操作部20dは、署名者などによる入力操作を受け付ける装置であり、例えば、タブレットPCの入力操作画面と入力用ペン部材との組み合わせを含み、署名者が行った操作内容を示す信号を入力する。
【0037】
入出力IF部20gは、例えばメモリーカードなどの外部記録媒体からデータを読み取り、入力する、または外部記録媒体に書き込むための回路である。
【0038】
ROM20cには、後で機能ブロック図(図2)を用いて説明するが、署名入力部201、署名データ作成部202、署名プロセス監視部203、不正操作検知部204などの機能を実現するためのプログラムおよびデータが格納されている。これらのプログラムおよびデータは必要に応じてRAM20bに読み出され、CPU20aによってプログラムが実行される。
【0039】
またRAM20bには、文書データや電子署名データの記憶部(不図示)が構築され、CPU20aは、必要に応じてデータの記憶、読み出しを行う。
【0040】
(電子署名入力システムの機能構成)
図2は電子署名入力システム1の機能構成の例を示す図である。但し、電子署名入力処理に関わる機能のみを記述している。図2を用いて、電子署名入力システム1による電子署名入力処理の機能構成について説明する。
【0041】
図2において、201は署名入力部であり、署名入力手段として機能する。本実施形態では、タブレットPCの入力操作画面と入力用ペン部材との組み合わせが署名入力部201として機能するものとする。
【0042】
図3はタブレットPC2の外観を示す斜視図であり、21が入力操作画面、22が入力用のペン部材である。図4はペン部材22の機能構成を示す構成図であり、図5は入力操作画面21の署名入力用画面表示例である。
【0043】
この署名入力部201により署名者が署名入力を行う。すなわち、署名者がペン部材22を用いて、直接入力操作画面21に署名を手書きすることにより署名入力を行う。署名入力操作の詳細については後述する。
【0044】
202は署名データ作成部であり、署名データ作成手段として機能する。署名入力部201により取得された署名者による署名入力などを処理して、電子署名データを作成する。電子署名データは、署名者による手書きの筆跡を電子化したデータを含む。
【0045】
電子署名データには、署名の操作の開始から終了にいたる動作情報、時刻情報などの署名操作情報を含んでもよい。また、署名の対象である文書データなどと関連付けてもよいし、一体化してもよい。
【0046】
203は署名プロセス監視部であり、署名プロセス監視手段として機能する。署名入力部201により署名入力される操作に対して、署名入力の操作の開始から終了にいたる動作情報、時刻情報などの署名操作情報を監視し、取得する。
【0047】
署名操作情報には、署名入力の装置としてのID情報、例えば使用しているペン部材22を識別できるID情報等も含まれる。これらは、署名入力時の不正操作検知のために用いられる。詳細は後述する。
【0048】
204は不正操作検知部であり、不正操作検知手段として機能する。署名プロセス監視部203により取得された署名操作情報に基づいて、署名入力時に不正な操作が行われたかどうかを検知する。
【0049】
署名入力時の不正な操作とは、例えば、署名の少なくとも一部に対して、手書き以外の入力が行われる、別人が処理する、他の入力用ペン部材を用いる場合などであり、その他ペン部材のON/OFF動作の異常や、動作時間間隔の異常など、入力操作に対する何らかの不正が想定される場合が含まれる。
【0050】
205は署名データ保護部であり、署名データ保護手段として機能する。署名プロセス監視部203が署名入力の終了を検知すると、署名データ作成部202により作成された電子署名データに対して、複製や改ざんなどの不正操作に対する保護のための処理を行う。
【0051】
署名データ保護処理としては、一般に暗号化処理などが行われる。暗号化処理については多くの公知技術があり、任意の手法を用いることができる。また暗号化の際には、署名の対象となる文書とのリンクを考慮して暗号化処理することが一般的であり、望ましい。
【0052】
206は不正警告部であり、不正警告手段として機能する。不正操作検知部204により署名入力時の不正な操作が検知されたとき、不正操作が行われていることを表示し、署名者に警告する。
【0053】
警告の方法は、表示に限定することはない。音声や他の一般的な警告信号により警告してもよい。不正の警告は、不正な操作の種類を示す内容を含んでいてもよい。
【0054】
207は署名破棄部であり、署名破棄手段として機能する。不正操作検知部204により署名入力時の不正な操作が検知されたとき、署名データ作成部202により作成されている電子署名データを無効とし、破棄する。
【0055】
不正警告部206による不正な操作の警告と署名破棄部207による電子署名データの破棄を連動して行うようにしてもよい。その場合、不正操作が行われていることを表示するとともに、電子署名データを破棄することを合わせて表示することが望ましい。
【0056】
(署名入力操作について)
上述したように、本実施形態に係る電子署名入力システム1は、タブレットPC2(入力用ペン部材22を含む)からなる。
【0057】
図3はタブレットPC2の外観例を示す斜視図である。署名者がペン部材22を用いて、直接タブレットPC2の入力操作画面21に署名を手書きすることにより署名入力を行う。
【0058】
対象となる合意文書に署名者が署名を行う一般的な場合について、署名入力操作を説明する。
【0059】
対象となる合意文書は、任意のテキスト編集のアプリケーションなどを用いて作成され、契約などの対象となる両者間で合意が行われる。合意された文書は、上記電子署名入力システム1、すなわちタブレットPC2(入力用ペン部材22を含む)で入力可能なフォーマットに変換される。
【0060】
合意文書はタブレットPC2の入力操作画面21に表示され、その画面上で、入力用ペン部材22を用いて、合意した両者が同時に、あるいは別個に、手書きで署名操作を行う。もちろん、上記合意文書の作成と入力操作画面21上での署名入力とは、一つの同じアプリケーションで行われてもよい。
【0061】
以下に署名入力時の入力用ペン部材の構成と動作、及びタブレットPCの動作について説明する。これらの動作は、既述した署名入力部201によって実行されるものである。
【0062】
<入力用ペン部材の構成と動作>
ここで、署名入力に用いる入力用ペン部材22の構成と動作について説明する。図4はペン部材22の機能構成例を示す構成図である。
【0063】
図4に示すようにペン部材22の外観は通常のペンと同じであり、通常のペンと同様に使用してサインする。ペン先部材31はバネ(不図示)により通常はペン先側へ移動するように負荷がかけられている。
【0064】
ON/OFF検知スイッチ32は、ペン先部材31の動きを検知する。スイッチ32は、通常はOFF、ペン先部材31が押し付けられ、ペン元側へ移動するとONである。I/F回路33は、ON/OFF検知スイッチ32の結果を変換する。
【0065】
二次記憶部34は、入力用ペン部材22自身のIDを記憶している。35は制御部(CPU)であり、後述する入力用ペン部材22全体の動作とその信号に対する各機能部分の処理を制御する。通信部36は、タブレットPC2本体との通信を行う。電源部37は、入力用ペン部材22全体の各機能部分に電源を供給する。
【0066】
タブレットPC2本体側にも、当然入力用ペン部材22との通信機能を有しており、署名入力時に、ペン先部材31の移動によるON/OFF信号や入力用ペン部材22自身のID情報などを受信する。
【0067】
署名入力時の動作を説明する。
【0068】
署名者がこのペン部材22を使い、ペン先部材31に与えられた負荷を越える筆圧でペン部材22を操作した場合、ペン先部材31がペン元側へ移動し、ON/OFF検知スイッチ32をOFFからONにする。
【0069】
I/F回路33は、ペン先部材31の移動に伴うON/OFF信号をデジタルデータに変換して、制御部35に送る。
【0070】
制御部35は、二次記憶部34のID情報を取得する。ペン部材22のID情報は、ペン部材22の製造時にEEPROMなどの二次記憶部34に書き込まれるもので、個々のペン部材22毎に固有のIDであり、特定のペン部材22を識別することができる。
【0071】
また制御部35は、上記ON/OFF信号とペン部材22のID情報とを、通信部36を経由してタブレットPC2へ送信する。入力用ペン部材22とタブレットPC2との通信は、Bluetoothなどの一般的な通信規約に従って行われる。
【0072】
<タブレットPCの動作>
ここで、入力用ペン部材22からの通信を受ける側のタブレットPC2の動作について説明する。図5はタブレットPC2の入力操作画面21の表示例を示す。
【0073】
入力操作画面21に表示されているのは、署名入力用画面の表示例であり、合意された契約書の署名のページを示している。
【0074】
ページのほぼ上半分に契約書の文書41が表示されており、下半分に手書きによる署名領域43が表示されている。また、署名領域43の左上には署名開始アイコン42が、右下には署名終了アイコン44が設定されている。
【0075】
署名時に、入力用ペン部材22のペン先部材31がタブレットPC2の入力操作画面21に触れると、座標化された入力操作画面21上のペン先部材31の接触位置情報X1(x1、y1)が取得される。タブレットPC2のCPUは、取得した位置情報X1(x1、y1)に基づいて、入力操作画面21上の該当位置に点情報を描画する。合わせて、この位置情報を入力用ペン部材22から受信した上述の情報とセットにし、署名操作情報として記憶する。
【0076】
入力用ペン部材22による署名入力の開始と終了のタイミングは、署名開始アイコン42と署名終了アイコン44を用いて取得するようにしてもよいし、署名領域43内でのペン先部材31のON/OFFに応じるようにしてもよい。
【0077】
入力用ペン部材22による署名入力の開始から終了にいたる間、上述の署名操作情報は継続的に取得され続ける。これらの動作は、既述した署名プロセス監視部203によって実行されるものである。
【0078】
<署名操作情報について>
ここで、署名入力時に署名プロセス監視部203によって監視され、取得される署名操作情報について説明する。図6は取得される署名操作情報の例を示す。
【0079】
図6の例では署名入力時にX1からX8にいたるデータが取得されている。これらは署名開始から終了の間に時刻と位置情報がサンプリングされたものである。すなわち、データX1(署名開始)からデータX8(署名終了)にいたるそれぞれの時刻情報t1からt8と、それらに対応するペン先の位置情報(x1、y1)から(x7、y7)(但しX8はデータなし)がそれぞれ取得されている。
【0080】
またペン部材22から受信したペン先部材31のON/OFF情報とID情報もそれぞれのデータとセットになって取得されている。X1からX8まで、IDがAAAで表される同一のペン部材22を用いて操作され、かつペン先部材31は署名入力の間、ON状態であることが分かる。
【0081】
但し、データX8においては、ペン先部材31はOFF状態になっており、署名が終わった状態である。従ってデータX8は、ペン先の位置情報も(入力なし)である。
【0082】
署名プロセス監視部203によって監視されるこれらの署名操作情報に基づいて、既述した不正操作検知部204は署名入力時の不正操作を検知するものである。
【0083】
不正操作の検知動作についての例を説明する。
【0084】
電子署名の認証をより確実にするには、
電子署名をより確実に認証できる筆跡データを備えていること、
電子署名に暗号化処理などの署名データ保護処理が行われていること、
が必要なことはいうまでもない。
【0085】
しかしながらそういった署名の複製や改ざんに対する検証以外に、一連の署名入力動作における不正操作を検証するために、次のような確認が必要であると考えられる。
【0086】
1.同一の署名入力手段を用いて署名されていること、
2.署名入力手段の動作と署名操作が一致していること、
3.文書への署名入力と署名操作が時間的に一致していること、
4.署名操作が連続的に、かつ短時間に行われていること。
【0087】
本実施形態では、署名プロセス監視部203によって監視される上記の署名操作情報に基づいて、不正操作検知部204は次のように署名入力時の不正操作を検知できる。
【0088】
1.については、署名操作情報におけるID情報が正当であり、かつ署名入力中一定である(変動していない)ことにより確認できる。
【0089】
2.については、ペン先部材31のON/OFF情報と署名入力の操作情報とが一致している(ON状態で入力操作されている)ことにより確認できる。
【0090】
3.については、署名入力の操作時刻情報と文書に記録された署名時刻とが整合していることにより確認できる。
【0091】
4.については、署名入力の一連の操作時刻情報が連続し、短時間に終了していることにより確認できる。
【0092】
本実施形態では、署名入力時に、署名操作情報、すなわち署名入力手段を識別するID情報と、署名入力手段による署名動作情報と、それに対応する時刻情報とを監視することで、署名入力時の不正操作を検知することができる。
【0093】
これにより、電子署名に対して、特定の文書に特定の個人が署名したことをより高い信頼度で保証することができる。
【0094】
またこれらの署名操作情報は、署名データ作成手段により作成される電子署名データに情報として含めるようにしてもよい。それにより署名入力時に不正操作を検知するだけでなく、署名入力後に行われる電子署名データに対する不正操作の検知にも役立てることができる。
【0095】
(署名入力処理フロー)
図7は、本実施形態に係る電子署名入力システムを用いた電子署名入力方法の手順例を示すフローチャートである。図7を用いて電子署名入力方法のフローを説明する。
【0096】
図7において、ステップS11で署名入力の開始を検知する。
【0097】
署名入力の検知は、様々な方法が可能である。ここでは署名者が署名領域43の左上の署名開始アイコン42をペン部材22でさわることで、署名入力の開始を検知することとする(図5参照)。署名入力終了の場合は、同様に署名領域43の右下の署名終了アイコン44をさわるものとする。
【0098】
上記以外に、署名領域43内に始めてペン部材22でさわるタイミングを、署名入力開始とすることも可能である。
【0099】
署名入力開始を検知した後は、既述したように署名入力部201は入力操作を継続し、電子署名データ作成のための筆跡データを取得し続ける。従って、この後の署名入力終了を検知するステップS14までは、署名入力工程として機能する。
【0100】
ステップS12では、署名入力が開始され、かつ継続している状態であり、この間署名プロセス監視部203は入力操作を監視し、署名操作情報を取得し続ける。すなわち、ステップS12は署名プロセス監視工程として機能する。
【0101】
ステップS13では、取得した署名操作情報に基づき、不正操作検知部204が署名入力時の不正な操作が行われているかどうかを検知する。すなわち、ステップS13は不正操作検知工程として機能する。
【0102】
ステップS13で不正操作が検知された場合(ステップS13:YES)は、ステップS17へ進む。検知されなかった場合(ステップS13:NO)は、ステップS14を実行する。
【0103】
ステップS14では、署名入力が終了したかどうかを検知する。署名入力の終了も開始と同様、様々な検知手法が可能である。ここでは署名入力開始の場合と同様に、署名者が署名領域43の右下の署名終了アイコン44をペン部材22でさわることで、署名入力の終了を検知することとする(図5参照)。
【0104】
ステップS14で署名入力の終了が検知された場合(ステップS14:YES)は、ステップS15を実行する。検知されなかった場合(ステップS14:NO)は、ステップS12へ戻り、ステップS14で署名入力の終了が検知されるまで、署名入力工程を繰り返す。
【0105】
不正操作が検知されることなく、署名入力の終了が検知されると、ステップS15で電子署名データが作成される。すなわち、ステップS15は署名データ作成工程として機能する。
【0106】
電子署名データには、署名プロセス監視工程で取得した署名操作情報を含めて作成しておいてもよい。電子署名データに対する不正操作の検知に有効な情報として利用することができる。
【0107】
またステップS14で署名入力終了が検知されると、署名データ作成工程で作成された電子署名データに対して、すぐに次のステップS16が発動される。あるいは電子データ作成工程(ステップS15)と併行してステップS16が実行されるようにしてもよい。
【0108】
ステップS16では、作成された電子署名データに保護処理が施される。すなわち、ステップS16は署名データ保護工程として機能する。
【0109】
保護処理は、電子署名データの複製や改ざんを防止するために、一般的には暗号化処理などが行われる。ここでは、対象文書とリンクさせた状態で暗号化処理することにする。暗号化処理は任意の公知技術を用いることができる。
【0110】
一方、署名入力時に不正操作が検知される(ステップS14:NO)と、ステップS17で不正操作が行われたことを警告表示する。すなわち、ステップS17は不正警告工程として機能する。
【0111】
不正警告の方法も記述したように様々な方法が可能である。ここでは、例えば入力操作画面21の署名領域43上に、この署名は不正と判断された旨の表示を行うものとする。その後ステップS18へ進む。
【0112】
ステップS18では、不正操作が検知されたことに応じて、作成された、あるいは作成中の電子署名データを無効とし、データを破棄する。すなわち、ステップS18は署名破棄工程として機能する。
【0113】
また、ここでは署名を破棄するとともに、入力操作画面21の署名領域43上に、この署名は無効により破棄した旨の追加表示を行うものとする。
【0114】
ステップS16の署名データ保護工程もしくはステップS18の署名破棄工程が終了すれば、本署名入力処理は終了する。署名が破棄された場合、必要ならば最初に戻ってステップS11から署名入力をやり直すようなフローとしてもよい。
【0115】
(不正操作検知処理フロー)
図8は、図7におけるステップS13の不正操作検知工程の詳細な手順例を示すフローチャートである。図8を用いて不正操作検知工程の詳細なフローの例を説明する。
【0116】
図8において、不正操作検知処理の開始時点で、既に署名プロセス監視工程(ステップS12)において署名操作情報を順次取得している。その取得した署名操作情報に基づき順次、不正操作の検知処理を行っていく。
【0117】
不正操作検知のための確認事項は、例えば前述した次のような項目である。
1.同一の署名入力手段を用いて署名されていることが確認できること、
2.署名入力手段の動作と署名操作が一致していること、
3.文書への署名入力と署名操作が時間的に一致していること、
4.署名操作が連続的に、かつ短時間に行われていること。
【0118】
まずステップS21では、署名操作情報に基づき入力間隔が適正であるかどうかを判定する。これは、既述した不正操作を検証するために必要な確認(4.署名操作が連続的に、かつ短時間に行われていること)であり、署名入力の一連の操作時刻情報が連続し、短時間に終了していることを確認する。
【0119】
例えば、操作時刻の間隔t(n+1)−t(n)が所定の時間間隔tsより大きくなった場合は、通常の署名の動作とは見なせず、不正操作が行われている可能性を想定して、処理する。
【0120】
ステップS21で入力間隔が適正である場合(ステップS21:YES)は、次のステップS22を実行する。入力間隔が適正でない場合(ステップS21:NO)は、ステップS25へ進み、不正入力であると判定する。
【0121】
ステップS22では、署名操作情報に基づき、同一のペン(署名入力手段)であるかどうかを判定する。これは、既述した不正操作を検証するために必要な確認(1.同一の署名入力手段を用いて署名されていること)であり、署名操作情報におけるID情報が正当であり、かつ署名入力中一定である(変動していない)ことを確認する。
【0122】
例えば、署名入力手段のID(AAA)が操作時刻の変化に伴い、ID(BBB)に変わったとすれば、署名者が変わった、あるいは用いられる入力手段が変わったということであり、不正操作が行われている可能性を想定して、処理する。
【0123】
ステップS22で同一のペン(署名入力手段)である場合(ステップS22:YES)は、次のステップS23を実行する。同一のペン(署名入力手段)でない場合(ステップS22:NO)は、ステップS25へ進み、不正入力であると判定する。
【0124】
ステップS23では、署名操作情報に基づき、ペンONと操作時刻情報が一致しているかどうかを判定する。これは、既述した不正操作を検証するために必要な確認(2.署名入力手段の動作と署名操作が一致していること)であり、ペン先部材のON/OFF情報と署名入力の操作情報とが一致している(ON状態で入力操作されている)ことを確認する。
【0125】
例えば、ペン先部材(署名入力手段)ON状態が署名終了前にOFF状態に変化し、その回数や時間が、設定した通常の署名動作の条件範囲を外れた場合、署名動作の途中で何らかの不正操作が行われている可能性を想定して、処理する。
【0126】
ステップS23でペンONと操作時刻情報が一致している場合(ステップS23:YES)は、次のステップS24を実行し、不正入力でないと判定する。一致していない場合(ステップS23:NO)は、ステップS25へ進み、不正入力であると判定する。
【0127】
ステップS24またはステップS25で、不正入力でないまたは不正入力であると判定されると、不正操作検知処理は終了である。
【0128】
なお図8には示していないが、既述した不正操作を検証するために必要な確認(3.文書への署名入力と署名操作が時間的に一致していること)の処理を追加してもよい。
【0129】
これは、署名入力の操作時刻情報と文書に記録された署名時刻とが整合していることの確認であり、例えば署名操作情報として得られた時刻情報と、文書自体に記録される署名時刻情報との時間差が所定時間以上であれば、何らかの不正操作が行われている可能性を想定して、処理する。
【0130】
この確認も、ステップS21乃至ステップS23の確認と同様にNO(異常)である場合は無条件にステップS25へ進み、不正入力であると判定すればよい。
【0131】
すなわち、不正操作検知の各確認処理は、すべてがYES(正常)の場合のみ、不正入力でないと判定されるのである。
【0132】
あるいは、上記のように各確認処理毎に判定を行うのではなく、判定のための重み付けをした評価点を付けておき、それらの評価点を総合して不正入力の判定を行うようにしてもよい。
【0133】
上述してきたように、本実施形態によれば、文書などの電子データに添付するため、署名者自身による署名を入力し、電子署名データを作成するに当たって、署名入力時に、署名入力手段を識別するID情報と、署名入力手段による署名動作情報と、それに対応する時刻情報とを監視し、それらに基づき不正操作を検知することができる。
【0134】
これにより、電子署名の署名入力時の不正な操作を防止し、特定の文書に特定の個人が署名したことを高い信頼度で保証することができる。
【0135】
なお本発明の範囲は、常は実施形態に限定されるものではない。本発明の趣旨を逸脱しない限り、それらの変更された形態もその範囲に含むものである。
【図面の簡単な説明】
【0136】
【図1】本実施形態に係る電子署名入力システムのハードウェア構成の例を示す図である。
【図2】本実施形態に係る電子署名入力システムの機能構成の例を示す図である。
【図3】タブレットPCの外観例を示す斜視図である。
【図4】ペン部材の機能構成例を示す構成図である。
【図5】タブレットPCの入力操作画面の署名入力用画面表示例である。
【図6】署名プロセス監視工程で取得される署名操作情報の例を示す図である。
【図7】電子署名入力処理の手順例を示すフローチャートである。
【図8】図7における不正操作検知工程の手順例を示すフローチャートである。
【符号の説明】
【0137】
1 電子署名入力システム
2 タブレットPC
21 入力操作画面
22 入力用ペン部材
31 ペン先部材
32 ON/OFF検知スイッチ
33 I/F回路
34 二次記憶部
35 制御部
36 通信部
37 電源部
41 文書表示
42 署名開始アイコン
43 署名領域
44 署名終了アイコン
201 署名入力部
202 署名データ作成部
203 署名プロセス監視部
204 不正操作検知部
205 署名データ保護部
206 不正警告部
207 署名破棄部
208 データ解析部
209 データ作成部
210 データ送信部
【特許請求の範囲】
【請求項1】
署名者自身が署名入力のための操作を行う署名入力手段と、
前記署名入力手段による署名入力に基づいて電子署名データを作成する署名データ作成手段と、を有する電子署名入力システムにおいて、
前記署名入力手段による署名入力時に、署名の開始から終了までの入力操作に関する署名操作情報を取得する署名プロセス監視手段と、
前記署名入力手段による署名入力時に、前記署名プロセス監視手段により取得された前記署名操作情報に基づき不正操作を検知する不正操作検知手段と、を有し、
前記署名操作情報は、
前記署名入力手段を識別するID情報と、
前記署名入力手段の署名入力時の動作情報と、
前記動作情報に対応する時刻情報と、を含む
ことを特徴とする電子署名入力システム。
【請求項2】
前記署名データ作成手段により作成される電子署名データは、前記署名プロセス監視手段により取得された前記署名操作情報を含む
ことを特徴とする請求項1に記載の電子署名入力システム。
【請求項3】
前記署名データ作成手段により作成された電子署名データを不正操作から保護するための署名データ保護手段を有し、
前記署名データ保護手段は、前記署名入力の終了に伴い発動される
ことを特徴とする請求項1または2に記載の電子署名入力システム。
【請求項4】
前記不正操作検知手段が不正操作を検知したときに、不正の警告を発する不正警告手段を有する
ことを特徴とする請求項1乃至3の何れか1項に記載の電子署名入力システム。
【請求項5】
前記不正操作検知手段が不正操作を検知したときに、前記電子署名データを無効にする署名破棄手段を有する
ことを特徴とする請求項1乃至4の何れか1項に記載の電子署名入力システム。
【請求項6】
署名者自身が署名入力手段を用いて署名入力のための操作を行う署名入力工程と、
前記署名入力工程における署名入力に基づいて電子署名データを作成する署名データ作成工程と、を備える電子署名入力方法において、
前記署名入力工程における署名入力時に、署名の開始から終了までの入力操作に関する署名操作情報を取得する署名プロセス監視工程と、
前記署名入力工程における署名入力時に、前記署名プロセス監視工程によって取得された前記署名操作情報に基づき不正操作を検知する不正操作検知工程と、を備え、
前記署名操作情報は、
前記署名入力手段を識別するID情報と、
前記署名入力手段の署名入力時の動作情報と、
前記動作情報に対応する時刻情報と、を含む
ことを特徴とする電子署名入力方法。
【請求項7】
前記署名データ作成工程において作成される電子署名データは、前記署名プロセス監視工程によって取得された前記署名操作情報を含む
ことを特徴とする請求項6に記載の電子署名入力方法。
【請求項8】
前記署名データ作成工程において作成された電子署名データを不正操作から保護するための署名データ保護工程を備え、
前記署名データ保護工程は、前記署名入力の終了に伴い発動される
ことを特徴とする請求項6または7に記載の電子署名入力方法。
【請求項9】
前記不正操作検知工程において不正操作が検知されたときに、不正の警告を発する不正警告工程を備える
ことを特徴とする請求項6乃至8の何れか1項に記載の電子署名入力方法。
【請求項10】
前記不正操作検知工程において不正操作が検知されたときに、前記電子署名データを無効にする署名破棄工程を備える
ことを特徴とする請求項6乃至9の何れか1項に記載の電子署名入力方法。
【請求項1】
署名者自身が署名入力のための操作を行う署名入力手段と、
前記署名入力手段による署名入力に基づいて電子署名データを作成する署名データ作成手段と、を有する電子署名入力システムにおいて、
前記署名入力手段による署名入力時に、署名の開始から終了までの入力操作に関する署名操作情報を取得する署名プロセス監視手段と、
前記署名入力手段による署名入力時に、前記署名プロセス監視手段により取得された前記署名操作情報に基づき不正操作を検知する不正操作検知手段と、を有し、
前記署名操作情報は、
前記署名入力手段を識別するID情報と、
前記署名入力手段の署名入力時の動作情報と、
前記動作情報に対応する時刻情報と、を含む
ことを特徴とする電子署名入力システム。
【請求項2】
前記署名データ作成手段により作成される電子署名データは、前記署名プロセス監視手段により取得された前記署名操作情報を含む
ことを特徴とする請求項1に記載の電子署名入力システム。
【請求項3】
前記署名データ作成手段により作成された電子署名データを不正操作から保護するための署名データ保護手段を有し、
前記署名データ保護手段は、前記署名入力の終了に伴い発動される
ことを特徴とする請求項1または2に記載の電子署名入力システム。
【請求項4】
前記不正操作検知手段が不正操作を検知したときに、不正の警告を発する不正警告手段を有する
ことを特徴とする請求項1乃至3の何れか1項に記載の電子署名入力システム。
【請求項5】
前記不正操作検知手段が不正操作を検知したときに、前記電子署名データを無効にする署名破棄手段を有する
ことを特徴とする請求項1乃至4の何れか1項に記載の電子署名入力システム。
【請求項6】
署名者自身が署名入力手段を用いて署名入力のための操作を行う署名入力工程と、
前記署名入力工程における署名入力に基づいて電子署名データを作成する署名データ作成工程と、を備える電子署名入力方法において、
前記署名入力工程における署名入力時に、署名の開始から終了までの入力操作に関する署名操作情報を取得する署名プロセス監視工程と、
前記署名入力工程における署名入力時に、前記署名プロセス監視工程によって取得された前記署名操作情報に基づき不正操作を検知する不正操作検知工程と、を備え、
前記署名操作情報は、
前記署名入力手段を識別するID情報と、
前記署名入力手段の署名入力時の動作情報と、
前記動作情報に対応する時刻情報と、を含む
ことを特徴とする電子署名入力方法。
【請求項7】
前記署名データ作成工程において作成される電子署名データは、前記署名プロセス監視工程によって取得された前記署名操作情報を含む
ことを特徴とする請求項6に記載の電子署名入力方法。
【請求項8】
前記署名データ作成工程において作成された電子署名データを不正操作から保護するための署名データ保護工程を備え、
前記署名データ保護工程は、前記署名入力の終了に伴い発動される
ことを特徴とする請求項6または7に記載の電子署名入力方法。
【請求項9】
前記不正操作検知工程において不正操作が検知されたときに、不正の警告を発する不正警告工程を備える
ことを特徴とする請求項6乃至8の何れか1項に記載の電子署名入力方法。
【請求項10】
前記不正操作検知工程において不正操作が検知されたときに、前記電子署名データを無効にする署名破棄工程を備える
ことを特徴とする請求項6乃至9の何れか1項に記載の電子署名入力方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2009−65503(P2009−65503A)
【公開日】平成21年3月26日(2009.3.26)
【国際特許分類】
【出願番号】特願2007−232436(P2007−232436)
【出願日】平成19年9月7日(2007.9.7)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(000001270)コニカミノルタホールディングス株式会社 (4,463)
【Fターム(参考)】
【公開日】平成21年3月26日(2009.3.26)
【国際特許分類】
【出願日】平成19年9月7日(2007.9.7)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(000001270)コニカミノルタホールディングス株式会社 (4,463)
【Fターム(参考)】
[ Back to top ]