ホーム > 特許ランキング > 株式会社デンソーテン
特開2023-169714情報処理装置、携帯端末装置、車両管理装置、車載装置、車両管理システムおよび個人情報処理方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023169714
(43)【公開日】2023-11-30
(54)【発明の名称】情報処理装置、携帯端末装置、車両管理装置、車載装置、車両管理システムおよび個人情報処理方法
(51)【国際特許分類】
G06F 21/62 20130101AFI20231122BHJP
【FI】
G06F21/62 345
【審査請求】未請求
【請求項の数】13
【出願形態】OL
(21)【出願番号】P 2022081002
(22)【出願日】2022-05-17
(71)【出願人】
【識別番号】000237592
【氏名又は名称】株式会社デンソーテン
(74)【代理人】
【識別番号】110002147
【氏名又は名称】弁理士法人酒井国際特許事務所
(72)【発明者】
【氏名】三木 好州
(72)【発明者】
【氏名】鵜野 雄二
(72)【発明者】
【氏名】豊田 昌行
(57)【要約】
【課題】適切に個人情報を保護すること。
【解決手段】実施形態の一態様に係る情報処理装置は、記憶部に記憶された個人情報データに基づく動作を行う車載装置における上記記憶部に記憶する個人情報データの記憶制御を行う情報処理装置であって、コントローラを有する。コントローラは、車両の使用終了を検出した場合に、上記記憶部に記憶されている個人情報データを削除する削除処理を実行し、車両の使用開始を検出した場合に、外部装置から取得した上記車載装置の使用者の個人情報データを上記記憶部に記憶させる登録処理を実行する。
【選択図】図3
【解決手段】実施形態の一態様に係る情報処理装置は、記憶部に記憶された個人情報データに基づく動作を行う車載装置における上記記憶部に記憶する個人情報データの記憶制御を行う情報処理装置であって、コントローラを有する。コントローラは、車両の使用終了を検出した場合に、上記記憶部に記憶されている個人情報データを削除する削除処理を実行し、車両の使用開始を検出した場合に、外部装置から取得した上記車載装置の使用者の個人情報データを上記記憶部に記憶させる登録処理を実行する。
【選択図】図3
【特許請求の範囲】
【請求項1】
記憶部に記憶された個人情報データに基づく動作を行う車載装置における前記記憶部に記憶する個人情報データの記憶制御を行う情報処理装置であって、コントローラを有し、
前記コントローラは、
車両の使用終了を検出した場合に、前記記憶部に記憶されている個人情報データを削除する削除処理を実行し、
車両の使用開始を検出した場合に、外部装置から取得した前記車載装置の使用者の個人情報データを前記記憶部に記憶させる登録処理を実行する、
情報処理装置。
前記コントローラは、
車両の使用終了を検出した場合に、前記記憶部に記憶されている個人情報データを削除する削除処理を実行し、
車両の使用開始を検出した場合に、外部装置から取得した前記車載装置の使用者の個人情報データを前記記憶部に記憶させる登録処理を実行する、
情報処理装置。
【請求項2】
前記コントローラは、
前記使用終了を検出した場合に、前記削除処理に先立ち、前記外部装置に対して、前記記憶部に記憶されている個人情報データを送信して記憶させる退避要請処理を実行する、
請求項1に記載の情報処理装置。
前記使用終了を検出した場合に、前記削除処理に先立ち、前記外部装置に対して、前記記憶部に記憶されている個人情報データを送信して記憶させる退避要請処理を実行する、
請求項1に記載の情報処理装置。
【請求項3】
前記コントローラは、
車両の使用形態に応じた条件に基づき前記使用終了および前記使用開始を検出する、
請求項1または2に記載の情報処理装置。
車両の使用形態に応じた条件に基づき前記使用終了および前記使用開始を検出する、
請求項1または2に記載の情報処理装置。
【請求項4】
前記コントローラは、
車両がレンタカーまたはシェアカーである場合、レンタカーまたはシェアカーの管理システムからの返却手続完了情報に基づき前記使用終了を検出する、
請求項3に記載の情報処理装置。
車両がレンタカーまたはシェアカーである場合、レンタカーまたはシェアカーの管理システムからの返却手続完了情報に基づき前記使用終了を検出する、
請求項3に記載の情報処理装置。
【請求項5】
前記コントローラは、
車両が輸送車両である場合、輸送車両の管理システムからの個人情報データの確認完了情報に基づき前記使用終了を検出する、
請求項3に記載の情報処理装置。
車両が輸送車両である場合、輸送車両の管理システムからの個人情報データの確認完了情報に基づき前記使用終了を検出する、
請求項3に記載の情報処理装置。
【請求項6】
前記コントローラは、
車両がレンタカーまたはシェアカーである場合、レンタカーまたはシェアカーの管理システムからの貸出手続完了情報に基づき前記使用開始を検出する、
請求項3に記載の情報処理装置。
車両がレンタカーまたはシェアカーである場合、レンタカーまたはシェアカーの管理システムからの貸出手続完了情報に基づき前記使用開始を検出する、
請求項3に記載の情報処理装置。
【請求項7】
前記コントローラは、
車両の使用者の車両への接近を前記使用開始として検出する、
請求項3に記載の情報処理装置。
車両の使用者の車両への接近を前記使用開始として検出する、
請求項3に記載の情報処理装置。
【請求項8】
前記外部装置は、
車両の使用者が携帯するユーザデバイス、または、個人情報データを管理する個人情報管理サーバである、
請求項1または2に記載の情報処理装置。
車両の使用者が携帯するユーザデバイス、または、個人情報データを管理する個人情報管理サーバである、
請求項1または2に記載の情報処理装置。
【請求項9】
請求項1に記載の情報処理装置と通信する携帯端末装置であって、個人情報データを記憶する端末記憶部と、端末コントローラとを有し、
前記端末コントローラは、
前記情報処理装置からの個人情報データの取得要求に基づき、前記端末記憶部に記憶されている個人情報データを前記情報処理装置に送信し、
前記情報処理装置からの個人情報データの退避要求に基づき、前記携帯端末装置の使用者に対応する個人情報データである場合に、前記情報処理装置から送信された個人情報データを前記端末記憶部に記憶する、
携帯端末装置。
前記端末コントローラは、
前記情報処理装置からの個人情報データの取得要求に基づき、前記端末記憶部に記憶されている個人情報データを前記情報処理装置に送信し、
前記情報処理装置からの個人情報データの退避要求に基づき、前記携帯端末装置の使用者に対応する個人情報データである場合に、前記情報処理装置から送信された個人情報データを前記端末記憶部に記憶する、
携帯端末装置。
【請求項10】
請求項1に記載の情報処理装置と通信し、車両を管理する車両管理装置であって、装置コントローラを有し、
前記装置コントローラは、
前記使用終了を示す手続の操作が検出された場合に、前記情報処理装置へ前記使用終了を示す車両使用終了情報を送信し、
前記使用開始を示す手続の操作が検出された場合に、前記情報処理装置へ前記使用開始を示す車両使用開始情報を送信する、
車両管理装置。
前記装置コントローラは、
前記使用終了を示す手続の操作が検出された場合に、前記情報処理装置へ前記使用終了を示す車両使用終了情報を送信し、
前記使用開始を示す手続の操作が検出された場合に、前記情報処理装置へ前記使用開始を示す車両使用開始情報を送信する、
車両管理装置。
【請求項11】
車両に搭載され、記憶部に記憶された個人情報データに基づく動作の制御を行う車載装置であって、コントローラを有し、
前記コントローラは、
車両の使用終了を検出した場合に、前記記憶部に記憶されている個人情報データを削除する削除処理を実行し、
車両の使用開始を検出した場合に、外部装置から取得した前記車載装置の使用者の個人情報データを前記記憶部に記憶させる登録処理を実行する、
車載装置。
前記コントローラは、
車両の使用終了を検出した場合に、前記記憶部に記憶されている個人情報データを削除する削除処理を実行し、
車両の使用開始を検出した場合に、外部装置から取得した前記車載装置の使用者の個人情報データを前記記憶部に記憶させる登録処理を実行する、
車載装置。
【請求項12】
車両に搭載され、記憶部に記憶された個人情報データに基づく動作を行うとともに、前記記憶部に記憶する個人情報データの記憶制御を行う車載装置と、
車両の外部に設定され、個人情報データの管理を行う個人情報管理装置と、
車両の管理を行う車両管理装置と、を含む車両管理システムにおいて、
前記車載装置は、
前記車両管理装置からの車両使用終了情報に基づき車両の使用終了を検出した場合に、前記記憶部に記憶されている個人情報データを前記個人情報管理装置に送信して記憶させる退避要請処理と、前記記憶部に記憶されている個人情報データを削除する削除処理とを実行し、
前記車両管理装置からの車両使用開始情報に基づき車両の使用開始を検出した場合に、外部装置に個人情報データの取得要求を行い、当該取得要求により前記外部装置から取得した前記車載装置の使用者の個人情報データを前記記憶部に記憶させる登録処理を実行し、
前記個人情報管理装置は、
前記車載装置からの個人情報データの取得要求に基づき、装置記憶部に記憶されている個人情報データを前記車載装置に送信し、
前記車載装置からの個人情報データの退避要求に基づき、前記車載装置から送信された個人情報データを前記装置記憶部に記憶し、
前記車両管理装置は、
前記使用終了を示す手続の操作が検出された場合に、前記車載装置へ前記使用終了を示す前記車両使用終了情報を送信し、
前記使用開始を示す手続の操作が検出された場合に、前記車載装置へ前記使用開始を示す前記車両使用開始情報を送信する、
車両管理システム。
車両の外部に設定され、個人情報データの管理を行う個人情報管理装置と、
車両の管理を行う車両管理装置と、を含む車両管理システムにおいて、
前記車載装置は、
前記車両管理装置からの車両使用終了情報に基づき車両の使用終了を検出した場合に、前記記憶部に記憶されている個人情報データを前記個人情報管理装置に送信して記憶させる退避要請処理と、前記記憶部に記憶されている個人情報データを削除する削除処理とを実行し、
前記車両管理装置からの車両使用開始情報に基づき車両の使用開始を検出した場合に、外部装置に個人情報データの取得要求を行い、当該取得要求により前記外部装置から取得した前記車載装置の使用者の個人情報データを前記記憶部に記憶させる登録処理を実行し、
前記個人情報管理装置は、
前記車載装置からの個人情報データの取得要求に基づき、装置記憶部に記憶されている個人情報データを前記車載装置に送信し、
前記車載装置からの個人情報データの退避要求に基づき、前記車載装置から送信された個人情報データを前記装置記憶部に記憶し、
前記車両管理装置は、
前記使用終了を示す手続の操作が検出された場合に、前記車載装置へ前記使用終了を示す前記車両使用終了情報を送信し、
前記使用開始を示す手続の操作が検出された場合に、前記車載装置へ前記使用開始を示す前記車両使用開始情報を送信する、
車両管理システム。
【請求項13】
記憶部に記憶された個人情報データに基づく動作を行う車載装置における前記記憶部に記憶する個人情報データの記憶制御を行う個人情報処理方法であって、
車両の使用終了を検出した場合に、外部装置に対して前記記憶部に記憶されている個人情報データを記憶させるとともに、前記記憶部に記憶されている個人情報データを削除し、
車両の使用開始を検出した場合に、前記外部装置から取得した前記車載装置の使用者の個人情報データを前記記憶部に記憶させる、
個人情報処理方法。
車両の使用終了を検出した場合に、外部装置に対して前記記憶部に記憶されている個人情報データを記憶させるとともに、前記記憶部に記憶されている個人情報データを削除し、
車両の使用開始を検出した場合に、前記外部装置から取得した前記車載装置の使用者の個人情報データを前記記憶部に記憶させる、
個人情報処理方法。
【発明の詳細な説明】
【技術分野】
【0001】
開示の実施形態は、情報処理装置、携帯端末装置、車両管理装置、車載装置、車両管理システムおよび個人情報処理方法に関する。
【背景技術】
【0002】
従来、自動車には、たとえば快適制御のため、各種の情報を保存しておいて必要な時に呼び出して制御に用いる機能がある(たとえば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2001-304896号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
このような機能等に用いられる各種の情報には個人情報が含まれる場合が多く、適切に個人情報を保護することが要求される。
【0005】
たとえば、自動車を売却する場合や、レンタルやカーシェアリングによって自動車を一時的に使用する場合などにおいては、自動車内に残った個人情報が、次の使用者などに漏れてしまう懸念がある。また、自動車が盗難に遭った場合、やはり個人情報が漏れてしまう懸念がある。
【0006】
実施形態の一態様は、上記に鑑みてなされたものであって、適切に個人情報を保護することができる情報処理装置、携帯端末装置、車両管理装置、車載装置、車両管理システムおよび個人情報処理方法を提供することを目的とする。
【課題を解決するための手段】
【0007】
実施形態の一態様に係る情報処理装置は、記憶部に記憶された個人情報データに基づく動作を行う車載装置における前記記憶部に記憶する個人情報データの記憶制御を行う情報処理装置であって、コントローラを有する。前記コントローラは、車両の使用終了を検出した場合に、前記記憶部に記憶されている個人情報データを削除する削除処理を実行し、車両の使用開始を検出した場合に、外部装置から取得した前記車載装置の使用者の個人情報データを前記記憶部に記憶させる登録処理を実行する。
【発明の効果】
【0008】
実施形態の一態様によれば、適切に個人情報を保護することができる。
【図面の簡単な説明】
【0009】
【発明を実施するための形態】
【0010】
以下、添付図面を参照して、本願の開示する情報処理装置、携帯端末装置、車両管理装置、車載装置、車両管理システムおよび個人情報処理方法の実施形態を詳細に説明する。なお、以下に示す実施形態によりこの発明が限定されるものではない。
【0011】
また、以下では、自動車を「車両」と記載する。また、以下では、カーシェアリングの形態で使用される車両を「シェアカー」と記載する。
【0012】
また、以下では、実施形態に係る情報処理装置の一例が、個人情報保護のために機能する車載装置10、ユーザデバイス30、個人情報管理サーバ100、レンタカー管理サーバ300、シェアカー管理サーバ500および車両売買管理サーバ700であるものとする。
【0013】
また、以下では、実施形態に係る車両管理システムが、上記した各情報処理装置の連携によってユーザの個人情報を保護する個人情報保護システム1であるものとする。また、以下では、実施形態に係る保護情報処理方法が、個人情報保護システム1の実行する個人情報保護方法であるものとする。
【0014】
【0015】
図1に示すように、実施形態に係る個人情報保護システム1は、車載装置10と、ユーザデバイス30と、個人情報管理サーバ100とを含む。
【0016】
車載装置10は、車両に搭載されるコンピュータ内蔵の装置であり、たとえばドライブレコーダやカーナビゲーション装置、マルチメディア装置、車両制御装置等である。車載装置10は、個人情報を記憶する個人情報データ記憶器21を有し、使用者等の個人情報を記憶し、各種制御に用いる。
【0017】
ユーザデバイス30は、車両を使用するユーザが利用する端末装置であり、たとえばスマートフォンである。ユーザデバイス30は、携帯端末装置の一例に相当する。
【0018】
個人情報管理サーバ100は、各ユーザの個人情報データを管理する装置である。個人情報管理サーバ100は、個人情報DB(Database)102aを有する。個人情報DB102aは、各車両を使用するユーザごとの個人情報を格納するデータベースである。
【0019】
図1に示すように、実施形態に係る個人情報保護方法では、車両の「使用終了時」に、車載装置10が、個人情報データ記憶器21の個人情報を、退避用の個人情報記憶部へ退避する(ステップS1)。個人情報管理サーバ100またはユーザデバイス30は、かかる退避先である個人情報記憶部の一例に相当する。
【0020】
また、車載装置10は、個人情報記憶部へ個人情報が退避された後、車載装置10の個人情報データ記憶器21に記憶された個人情報を削除する(ステップS2)。
【0021】
一方、車両の「使用開始時」に、車載装置10は、個人情報記憶部から該当するユーザの個人情報を取得(受信)する(ステップS3)。そして、車載装置10は、取得した個人情報を個人情報データ記憶器21に記憶する(ステップS4)。
【0022】
すなわち、実施形態に係る個人情報保護方法では、基本的に個人情報は車両側(個人情報データ記憶器21)に常時保存せず、「使用終了時」のタイミングで個人情報を自動的に削除しておき、「使用開始時」のタイミングで改めてユーザの個人情報を外部の個人情報記憶部から取得して、車両側(個人情報データ記憶器21)に登録する。
【0023】
なお、車両の「使用終了時」は、車両の様々な使用形態や、個人情報保護の内容・レベル等によって異なる。たとえば車両から離れる際に個人情報保護を行う場合は、エンジンの停止や電源オフのタイミング(一旅程の完了)などが「使用終了時」となる。また、車両の所有者が変わる際に個人情報保護を行う場合、レンタカーやシェアカーでは、車両の返却手続完了時のタイミングなどが「使用終了時」となり、オーナーカーでは車両売却(譲渡)時等における車両の引き渡しのタイミングなどが「使用終了時」となる。
【0024】
同様に、車両の「使用開始時」も、車両の様々な使用形態や、個人情報保護の内容・レベル等によって異なる。車両から離れる際に個人情報保護を行う場合は、エンジンの始動や電源オンのタイミング(一旅程の開始)などが「使用開始時」となる。
【0025】
また、車両の所有者が変わる際に個人情報保護を行う場合、レンタカーやシェアカーでは、車両の貸し受け後の最初のエンジンの始動のタイミング(一旅程の開始)などが「使用開始時」となり、オーナーカーでは車両の購入(譲受)時等における納車後の最初のエンジンの始動のタイミング(一旅程の開始)などが「使用開始時」となる。なお、これらの場合、過去の利用車両で使用した最新の個人情報を、「使用開始時」のタイミングで改めて外部の個人情報記憶部から取得して、車両側(個人情報データ記憶器21)に登録することになる。
【0026】
なお、個人情報の削除タイミングおよび登録タイミングの違いを含めた制御内容については、図5を用いた説明で後述する。
【0027】
このような実施形態に係る個人情報保護方法によれば、適切に個人情報を保護することができる。以下、実施形態に係る個人情報保護システム1の構成例について、より具体的に説明する。
【0028】
図2は、実施形態に係る個人情報保護システム1の構成例を示す図である。個人情報保護システム1は、車載装置10と、ユーザデバイス30と、個人情報管理サーバ100の他、レンタカー管理サーバ300と、シェアカー管理サーバ500と、車両売買管理サーバ700と、サービス端末900とを含む。
【0029】
レンタカー管理サーバ300、シェアカー管理サーバ500および車両売買管理サーバ700はそれぞれ、車両管理装置の一例に相当する。
【0030】
レンタカー管理サーバ300は、レンタカーの運行を管理する装置であり、たとえばカーレンタル事業者によって運用される。シェアカー管理サーバ500は、シェアカーの運行を管理する装置であり、たとえばカーシェアリング事業者によって運用される。車両売買管理サーバ700は、車両の売買を管理する装置であり、たとえば車両売買事業者によって運用される。
【0031】
サービス端末900は、カーレンタル事業者、カーシェアリング事業者および車両売買事業者によって提供される保守サービスなどのサービス用端末である。
【0032】
車載装置10と、ユーザデバイス30と、個人情報管理サーバ100と、レンタカー管理サーバ300と、シェアカー管理サーバ500と、車両売買管理サーバ700とは、インターネットや携帯電話回線網等で構成されるネットワークNを介して相互に通信可能に接続される。
【0033】
また、車載装置10と、ユーザデバイス30とは、Bluetooth(登録商標)等による近距離無線通信や、USB(Universal Serial Bus)接続通信等による直接通信が可能である。車載装置10とサービス端末900も、同様の直接通信が可能である。
【0034】
次に、図3は、実施形態に係る車載装置10の構成例を示すブロック図である。なお、図3および後にブロック図として示す図6,8,18では、本実施形態の特徴を説明するために必要な構成要素のみを表しており、一般的な構成要素についての記載を省略している。
【0035】
換言すれば、図3、図6、図8および図18に図示される各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。例えば、各ブロックの分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することが可能である。
【0036】
【0037】
図3に示すように、実施形態に係る車載装置10には、車両に適宜設置されたIG(Ignition)スイッチ11と、車載センサ12と、カメラ13と、HMI(Human Machine Interface)部14とが接続される。そして、車載装置10は、第1通信部15と、第2通信部16と、記憶部17と、制御部18とを有する。また、車載装置10には、各種車両機器26が接続され、車載装置10は、これら車両機器26を制御、あるいは車両機器26との間でデータ通信を行う。
【0038】
IGスイッチ11は、車両の電源系統の制御(電源供給・遮断)用およびエンジンの始動/停止用のスイッチである。車載センサ12は、車両に搭載される各種のセンサである。カメラ13は、フロントガラスやリアガラス、サイドミラー、ダッシュボード等の車両の各所に取り付けられ、車両の内外を撮影する。
【0039】
HMI部14は、ユーザに対する入力および出力に関するインターフェイス部品を提供する構成要素である。HMI部14は、ユーザからの入力操作を受け付ける入力インターフェイスを含む。入力インターフェイスは、たとえばタッチパネルによって実現される。なお、入力インターフェイスは、キーボードや、マウスや、ペンタブレットや、マイク等によって実現されてもよい。また、入力インターフェイスは、ソフトウェア部品によって実現されてもよい。
【0040】
また、HMI部14は、ユーザに対して画像情報や音声情報を提示する出力インターフェイスを含む。出力インターフェイスは、たとえばディスプレイやスピーカ等によって実現される。
【0041】
第1通信部15は、ネットワークアダプタ等によって実現される。第1通信部15は、ネットワークNと無線で接続され、ネットワークNを介して、個人情報保護システム1に含まれる他の装置との間で情報の送受信を行う。
【0042】
第2通信部16は、ネットワークアダプタ等によって実現される。第2通信部16は、ユーザデバイス30またはサービス端末900との間で近距離無線通信あるいは有線通信を行い、ユーザデバイス30またはサービス端末900との間で情報の送受信を行う。
【0043】
記憶部17は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の記憶デバイスによって実現される。図3の例では、記憶部17は、車両種別情報記憶部17aと、個人情報データ記憶部17bと、個人情報制御情報記憶部17cと、退避先情報記憶部17dとを、その記憶領域に有する。
【0044】
車両種別情報記憶部17aは、使用形態の違いによる車両の種別に関する車両種別情報を記憶する。車載装置10を搭載する車両がオーナーカーである場合、車両種別情報記憶部17aには、オーナーカーであることを示す車両種別情報が登録される。同様に、車両がレンタカーやシェアカーである場合、車両種別情報記憶部17aには、レンタカーやシェアカーであることを示す車両種別情報が登録される。他にも、車両がタクシーのような輸送車両である場合、車両種別情報記憶部17aには、輸送車両であることを示す車両種別情報が登録される。
【0045】
個人情報データ記憶部17bは、図1に示した個人情報データ記憶器21に相当する。個人情報データ記憶部17bは、ユーザの個人情報の集合体である個人情報群のデータを記憶する。図4は、個人情報データ記憶部17bに記憶されるデータの一例を示す図である。図4に示すように、個人情報データ記憶部17bに記憶される個人情報は、たとえば個人自身や個人の所有物や行動等に関するデータ内容として、電話番号や、メールアドレス、ショートメール、SNS(Social Network Service)チャット、コンテンツ視聴履歴、コンテンツプレイリスト、ペアリング情報(Bluetooth(登録商標)等の通信における接続先機器に関する情報)、自宅の住所などが挙げられる。
【0046】
また、車両の使用(移動)に関する履歴関連として、目的地の履歴や、走行履歴などが挙げられる。また、車両の設定関連として、シート設定値や、ハンドル設定値、走行モード等が挙げられる。また、ドライブレコーダ関連として、記録映像、記録音声などが挙げられる。個人情報データ記憶部17bには、図4に示したこれら個人情報の各データが格納される。
【0047】
図3の説明に戻る。個人情報制御情報記憶部17cは、車両種別情報に応じた個人情報の削除および登録の制御に関する制御内容や制御対象条件である個人情報制御情報を記憶する。ここで、図5を用いて、かかる制御内容について説明する。
【0048】
図5は、個人情報制御情報記憶部17cに記憶される個人情報制御情報の一例を示す図である。個人情報制御情報は、車両種別ごとの各種情報の削除および登録に関する制御内容を記憶するデータテーブルとして構成される。個人情報制御情報記憶部17cには、図5に示した個人情報制御データテーブルが構成されており、このデータテーブルに各制御内容に対応する制御データが記憶されることとなる。
【0049】
具体的に、個人情報制御情報は、「車両種別」が所謂主キーとなっており、「車両種別」が識別キーとなるデータレコードにおける各データ項目欄に、個人情報の各カテゴリの削除タイミングおよび登録タイミングの条件を示すデータが記憶される構成(「個人データ関連(削除タイミング条件)」、「履歴関連(削除タイミング条件)」、「設定関連(削除タイミング条件)」、「ドライブレコーダ関連(削除タイミング条件)」、および「個人データ関連(登録タイミング条件)」、「履歴関連(登録タイミング条件)」、「設定関連(登録タイミング条件)」、「ドライブレコーダ関連(登録タイミング条件)」)となっている。
【0050】
具体的には、図5のデータテーブル例では、「車両種別」に対するオーナーカー、レンタカー、シェアカー、および輸送車両の各データレコードに、当該車両種別に対応する「個人データ関連(削除タイミング条件)」、「履歴関連(削除タイミング条件)」、「設定関連(削除タイミング条件)」、「ドライブレコーダ関連(削除タイミング条件)」、および「個人データ関連(登録タイミング条件)」、「履歴関連(登録タイミング条件)」、「設定関連(登録タイミング条件)」、「ドライブレコーダ関連(登録タイミング条件)」の各データが記憶される。
【0051】
そして、このデータテーブルのデータは、車両メーカ等により開発・設計等で求められた適当なデータが予め登録されている。また、車両オーナ等が車両の使用形態等に応じて適宜設定できるように、このデータテーブルのデータは、車両オーナ等によるマニュアル操作により更新できるようになっている。なお、データテーブルのデフォルトのデータを別途記憶しておき、車両オーナ等によるマニュアル操作によるデフォルトデータの登録指示により、記憶されているデフォルトのデータでこのデータテーブルのデータを更新(デフォルトのデータへの復帰)できるようにすることが好ましい。
【0052】
【0053】
次に、個人情報制御情報における具体的なデータ例の内容について説明する。車両種別がオーナーカーである場合、図5に示すように、「個人データ関連」の個人情報の削除タイミングは、エンジン停止または電源オフ時となる。また、「履歴関連」および「設定関連」の個人情報の削除タイミングも、エンジン停止または電源オフ時となる。これら情報は、車両使用中に用いられる情報である点と、またデータ容量が小さくユーザデバイス30等への情報退避が容易(現実的に可能)であることから、エンジン停止または電源オフ時を個人情報の削除タイミングとしている。なお、「履歴関連」および「設定関連」は個人情報としての特性はやや低く(直接、個人および特性を特定するものではない)、秘匿要求度はやや低いものとなるので、*1に示すように、エンジン停止または電源オフ時における「履歴関連」および「設定関連」の個人情報の削除は、他の条件、たとえば車両売却時、長時間車両を利用しなかった場合、マニュアルによる削除操作のタイミングで行うようにしてもよい。
【0054】
また、「ドライブレコーダ関連」の個人情報の削除タイミングは、ドライブレコーダに記録された情報の重要度に応じて決められた期間の経過時となる。つまり、ドライブレコーダ関連情報は、運転状況や事故の確認等、車両運転終了後の利用が多く、車両運転終了後もしばらくは残しておく必要性があるため、上述のようなタイミングが削除タイミングとして好ましい。そして、たとえば、急激な加速度(衝突等の発生の可能性が高い)があった場合、ユーザによる映像記録保護操作があった場合、走行時間帯に走行経路で事故等が発生した旨の情報を得た場合、等においては、「ドライブレコーダ関連」の個人情報の記録が車両運転終了後も比較的長時間保持されるようにする。
【0055】
また、車両種別がオーナーカーである場合、「個人データ関連」、「履歴関連」および「設定関連」の個人情報の登録タイミングは、使用開始検出時となる。つまり、オーナーカーである場合、これらの個人情報は、車両使用時に用いられる情報であるため、使用開始検出時における最新の個人情報の登録が好ましい。なお、使用開始検出時は、電源オンまたはエンジン始動、ユーザデバイス30との近距離無線通信を介してユーザの接近を検出した場合、等となる。「ドライブレコーダ関連」は、ドライブレコーダからドライブレコーダ動作中に送信される情報であるので、登録タイミング情報の登録対象とはならない。
【0056】
なお、上述のタイミングでこれら個人情報の取得が無い場合、たとえば電源オンまたはエンジン始動にユーザデバイス30等から個人情報が取得できなかった場合は、個人情報制御情報記憶部17cに対する各個人情報の新たな登録は行われず、既登録分の個人情報が記憶された状態、あるいは個人情報が記憶されていない状態(既登録分の個人情報が記録されていない場合)となる。
【0057】
次に、車両種別がレンタカーである場合の、個人情報制御情報における具体的なデータ例の内容について説明する。車両種別がレンタカーである場合、個人情報の削除タイミングは、カテゴリを問わず返却手続き完了時が好ましい。すなわち、レンタカーの場合、貸出期間だけ車両が借主の所有および使用となるので、個人情報は当該貸出期間に使用されることとなる。また、レンタカーの車両管理の面を考慮すると、車両が返却されるまでは、車両借主を特定する「個人データ関連」の個人情報や、車両の破損や事故等に関係する情報である「履歴関連」および「ドライブレコーダ関連」の個人情報は、その記録を維持する必要性がある。したがって、レンタカーの場合は、当該貸出期間のみ借主に関する個人情報の記憶を維持する。
【0058】
なお、「ドライブレコーダ関連」は、警察等の公的機関等から撮影画像等の提供要請(たとえば、周辺で発生した事件・事故の調査資料として)がある場合があるので、記録の維持期間を貸出期間の後、予め定めた期間経過した時点で、データを削除する方法も有効である。なお、レンタカー利用者であるユーザの個人情報は、これら個人情報の削除前に、個人情報管理サーバ100またはユーザデバイス30へ退避される。
【0059】
また、車両種別がレンタカーである場合、「個人データ」および「設定関連」の個人情報の登録タイミングは、これら個人情報が当該貸出期間に使用されることとなるため、貸出手続完了時または貸出手続完了後の最初の使用開始検出時が好ましい。なお、使用開始検出時は、電源オンまたはエンジン始動、ユーザデバイス30との近距離無線通信を介してユーザの接近を検出した場合、等となる。また、「履歴関連」および「ドライブレコーダ関連」は、車両の走行開始後にナビゲーション装置やドライブレコーダから送信される情報であるので、登録タイミング情報の登録対象とはならない。
【0060】
次に、車両種別がシェアカーである場合の、個人情報制御情報における具体的なデータ例の内容について説明する。車両種別がシェアカーである場合、個人情報の削除タイミングは、カテゴリを問わず返却手続き完了時が好ましい。すなわち、シェアカーの場合、貸出期間だけ車両が借主の所有および使用となるので、個人情報は当該貸出期間に使用されることとなる。また、カーシェアリングの場合、貸出から返却まで事業者が介在せずに手続きが可能なため、シェアカーの車両管理の面を考慮すると、*2に示すように、カーシェアリング事業者が返却後における車両の状態を確認するまでは、車両借主を特定する「個人データ関連」の個人情報や、車両の破損や事故等に関係する情報である「履歴関連」および「ドライブレコーダ関連」の個人情報は、その記録を維持する必要性がある。したがって、シェアカーの場合は、カーシェアリング事業者からみた車両の貸出期間(貸出開始から返却後の車両状態確認まで)のみ借主に関する個人情報の記憶を維持する。
【0061】
なお、「ドライブレコーダ関連」は、警察等の公的機関等から撮影画像等の提供要請(たとえば、周辺で発生した事件・事故の調査資料として)がある場合があるので、記録の維持期間を貸出期間の後、予め定めた期間経過した時点で、データを削除する方法も有効である。
【0062】
また、シェアカー利用者であるユーザの個人情報は、これら個人情報の削除前に、個人情報管理サーバ100またはユーザデバイス30へ退避される。また、車両種別がシェアカーである場合、登録対象情報および登録タイミングについては、レンタカーの場合と同様に、「個人データ関連」および「設定関連」の個人情報を貸出手続完了時または貸出手続完了後の最初の使用開始検出時に登録するのが好ましい。
【0063】
次に、車両種別が輸送車両である場合の、個人情報制御情報における具体的なデータ例の内容について説明する。車両種別が輸送車両である場合、「個人データ関連」および「設定関連」の個人情報の削除タイミングは、エンジン停止または電源オフ時が好ましい。
【0064】
また、「履歴関連」および「ドライブレコーダ関連」の個人情報の削除タイミングは、当該車両を所有する、あるいは運転手を管理する輸送事業者の管理者によるこれら情報の確認完了時が好ましい。つまり、輸送車両の場合、これらの個人情報は、たとえば、安全運転実行の確認、適切な運行ルート走行の確認のための運転者の運転状況確認(運行管理)のために重要であるためである。
【0065】
なお、「ドライブレコーダ関連」は、警察等の公的機関等から撮影画像等の提供要請がある場合があるので、輸送事業者の管理者によるこれら情報の確認完了後、予め定めた期間経過した時点で、データを削除する方法も有効である。
【0066】
また、車両種別が輸送車両である場合、「個人データ関連」および「設定関連」の個人情報の登録タイミングは、車両の使用開始検出時が好ましい。つまり、輸送車両の場合、車両の使用毎に運転手が変わる場合が多い(特に多数の車両、運転手(従業員)を有する運輸業者の場合)ので、車両の使用開始検出時で「個人データ関連」および「設定関連」の個人情報を登録するのが好ましい。なお、使用開始検出時は、電源オンまたはエンジン始動、ユーザデバイス30との近距離無線通信を介してユーザの接近を検出した場合、等となる。また、「履歴関連」および「ドライブレコーダ関連」の個人情報は、ドライブレコーダからドライブレコーダ動作中に送信される情報であるので、登録タイミング情報の登録対象とはならない。
【0067】
図3の説明に戻る。退避先情報記憶部17dは、退避先となる個人情報記憶部に相当する装置に関する情報であり、当該装置(たとえば、個人情報管理サーバ100またはユーザデバイス30)のネットワークアドレス等の接続するための情報を含む。
【0068】
制御部18は、コントローラ(controller)であり、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、記憶部17に記憶されている各種プログラムがRAMを作業領域として実行されることにより実現される。また、制御部18は、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現することができる。
【0069】
制御部18は、切替部18aと、検出部18bと、削除処理部18cと、登録処理部18dと、送受信部18eと、認証部18fと、車両機器制御部18gとを有し、以下に説明する情報処理の機能や作用を実現または実行する。
【0070】
切替部18aは、車両種別情報記憶部17aに記憶された車両種別情報に応じて個人情報制御情報記憶部17cに記憶された個人情報制御情報の該当するデータレコードを選択し、当該データレコードにおける各制御データを処理に用いる制御データとして設定することによって、削除処理部18cの動作モードおよび登録処理部18dの動作モードを切り替える。
【0071】
検出部18bは、IGスイッチ11や車載センサ12、カメラ13、第1通信部15、第2通信部16からの入力に基づいて車両の使用終了時または使用開始時を検出する。すなわち、検出部18bは、個人情報制御情報に基づいて設定される各種個人情報の削除条件および登録条件が満たされるか否かを、上述のIGスイッチ11や車載センサ12等の入力に基づき判断し、各種個人情報の削除タイミングまたは登録タイミングを検出する。
【0072】
削除処理部18cは、検出部18bによって各種個人情報の削除タイミングが検出された場合に、該当する各種個人情報について、図1のステップS1,S2で示した削除処理を実行する。登録処理部18dは、検出部18bによって各種個人情報の登録タイミングが検出された場合に、図1のステップS3,S4で示した登録処理を実行する。
【0073】
送受信部18eは、削除処理および登録処理において行われる、個人情報管理サーバ100あるいはユーザデバイス30等との間のデータの送受信処理を実行する。認証部18fは、車両種別がシェアカーである場合に、第2通信部16によって読み取られたユーザデバイス30からのユーザの認証情報を取得し、かかる認証情報に基づいて、ユーザを車両の正規の使用者として認証する認証処理を実行する。
【0074】
車両機器制御部18gは、車両に搭載されて車両に関する各種機能を実現する車両機器26を制御する、あるいは車両機器26とのデータ通信(情報をやり取り)を実行する。つまり、車両機器制御部18gは、記憶部17(個人情報データ記憶部17b)に記憶された個人情報データに基づき車両機器26を制御する。また、車両機器制御部18gは、車両機器26が制御に用いる個人情報データを記憶部17(個人情報データ記憶部17b)から抽出して車両機器26へ提供する。また、車両機器制御部18gは、車両機器26の調整値(ユーザ操作により調整された制御値等)を取得して記憶部17(個人情報データ記憶部17b)に記憶された個人情報データとして登録あるいは更新する。車両機器制御部18gは、このような各種の制御や処理を実行する。
【0075】
次に、個人情報管理サーバ100の構成例について説明する。図6は、実施形態に係る個人情報管理サーバ100の構成例を示すブロック図である。図6に示すように、実施形態に係る個人情報管理サーバ100は、通信部101と、記憶部102と、制御部103とを有する。
【0076】
通信部101は、ネットワークアダプタ等によって実現される。通信部101は、ネットワークNと有線または無線で接続され、ネットワークNを介して、車載装置10との間で情報の送受信を行う。
【0077】
記憶部102は、RAM、フラッシュメモリ、ハードディスク、光ディスク等の記憶デバイスによって実現される。また、記憶部102には個人情報DB102aが形成されている。上述したように、個人情報DB102aは、各車両を使用するユーザごとの個人情報データを格納するデータベースである。
【0078】
図7は、個人情報DB102aの一例を示す図である。図7に示すように、「ユーザID」はユーザを識別するコードで、個人情報データの主コードの働きを持つ。つまり、ユーザID毎にユーザIDで識別されるデータレコードが生成され、当該データレコードに各種の個人情報データが記憶されることになる。
【0079】
「個人データ関連情報」には、図4に示したような個人データ関連情報における各データ項目のデータが記憶されることになる。なお、図7においては、「個人データ関連情報」における各データ項目をまとめた形(1つの枠)で表示しているが、各データ項目のデータは分離・識別できる形で記憶されている。また、「個人データ関連情報」のデータは、ユーザによる個人データ関連情報の更新操作(たとえば、メールアドレスの変更操作、等)により、更新されることになる。
【0080】
「設定関連情報」には、図4に示したような設定関連情報における各データ項目のデータが記憶されることになる。なお、図7においては、「設定関連情報」における各データ項目をまとめた形(1つの枠)で表示しているが、各データ項目のデータは分離・識別できる形で記憶されている。また、「設定関連情報」のデータは、ユーザによる設定の変更操作に伴い変更される設定情報(たとえば、シート位置を変更した際の変更後のシート位置情報、等)により、更新されることになる。
【0081】
「履歴関連情報」には、図4に示したような履歴関連情報における各データ項目のデータが記憶されることになる。「履歴関連情報」については、旅程毎に情報が生成されることになるので、ユーザIDで識別されるデータレコードにおける履歴関連情報の記憶部分を細分化した形式の小データレコードを設け、当該小データレコードに各旅程の履歴関連情報を記憶する形式となる。なお、「履歴関連情報」を「ユーザID」でリンクした別データベースとする形式とすることも可能である。具体的には、旅程毎に小データレコードが生成され、「履歴ID」に履歴を識別する履歴コードが記憶される。「履歴ID」は小データレコードの主コードの働きも行う。そして、当該旅程に関する各履歴関連情報データが「履歴関連情報本体」に記憶される。なお、図7においては、「履歴関連情報本体」における各データ項目をまとめた形(1つの枠)で表示しているが、各データ項目のデータは分離・識別できる形で記憶されている。また、「履歴関連情報」は蓄積されていくことになるが、記録から予め定めた所定期間経過後に消去する、同様の履歴(出発地点と目的地点が同じ等)が発生した際に消去する、等、適宜消去するのが望ましい。
【0082】
「ドライブレコーダ関連情報」には、図4に示したようなドライブレコーダ関連情報における各データ項目のデータが記憶されることになる。「ドライブレコーダ関連情報」についても、旅程毎に情報が生成されることになるので、ユーザIDで識別されるデータレコードにおけるドライブレコーダ関連情報の記憶部分を細分化した形式の小データレコードを設け、当該小データレコードに各旅程のドライブレコーダ関連情報を記憶する形式となる。なお、「ドライブレコーダ関連情報」を「ユーザID」でリンクした別データベースとする形式とすることも可能である。具体的には、旅程毎に小データレコードが生成され、「ドライブレコードID」にドライブレコーダ関連情報(どの旅程のデータか)を識別するドライブレコードコードが記憶される。「ドライブレコードID」は小データレコードの主コードの働きも行う。そして、当該旅程に関する各ドライブレコーダ関連情報データが「ドライブレコーダ関連情報本体」に記憶される。なお、図7においては、「ドライブレコーダ関連情報本体」における各データ項目をまとめた形(1つの枠)で表示しているが、各データ項目のデータは分離・識別できる形で記憶されている。また、「ドライブレコーダ関連情報」は蓄積されていくことになるが、記録から予め定めた所定期間経過後に消去する、同様の履歴(出発地点と目的地点が同じ等)が発生した際に消去する、等、適宜消去するのが望ましい。
【0083】
図6の説明に戻る。制御部103は、上述した制御部18と同様のコントローラであり、CPUやMPU等によって、記憶部102に記憶されている各種プログラムがRAMを作業領域として実行されることにより実現される。また、制御部103は、ASICやFPGA等の集積回路により実現することができる。
【0084】
制御部103は、取得部103aと、保存部103bと、抽出部103cと、送信部103dとを有し、以下に説明する情報処理の機能や作用を実現または実行する。
【0085】
取得部103aは、通信部101を介し、車載装置10からの退避要求や退避対象である個人情報データ、車載装置10からの登録要求を取得する。保存部103bは、取得部103aが車載装置10から退避要求および退避対象である個人情報データを取得した場合に、該当の個人情報データを個人情報DB102aへ保存(情報種別に応じて更新、蓄積)する。
【0086】
抽出部103cは、取得部103aが車載装置10から登録要求を取得した場合に、かかる登録要求に基づき、車載装置10への登録対象となる個人情報データを個人情報DB102aから抽出する。
【0087】
送信部103dは、抽出部103cによって抽出された個人情報データを、通信部101を介し、該当の車載装置10へ向けて送信する。また、送信部103dは、個人情報データの退避要求または登録要求に対する各種の応答情報を該当の車載装置10へ向けて送信する。
【0088】
【0089】
HMI部31は、ユーザに対する入力および出力に関するインターフェイス部品を提供する構成要素であり、上述したHMI部14と同様の構成であるため、ここでの説明は省略する。なお、HMI部31の形状、大きさ、性能等は、ユーザデバイス30の形状、大きさ、要求される性能に応じたものとなる。
【0090】
通信部32は、ネットワークアダプタ等によって実現される。通信部32は、ネットワークNと無線で接続され、ネットワークNを介して、車載装置10との間で情報の送受信を行う。また、通信部32は、車載装置10と近距離無線通信で接続され、車載装置10との間で情報の送受信を行う。
【0091】
記憶部33は、RAM、フラッシュメモリ等の記憶デバイスによって実現され、各種データの記憶、プログラム実行に伴うプログラムの記憶(展開)や処理中に生成されるデータの一時記憶等に用いられる。また、記憶部33は、アプリ情報記憶部33aと、個人情報データ記憶部33bとが設けられ、それぞれアプリ情報と個人情報データを記憶する。アプリ情報は、制御部34が実行する個人情報保護システム1に係る専用アプリのプログラム等を含む。個人情報データ記憶部33bは、車載装置10から退避要求を受け付けた場合に、車載装置10から送信される個人情報データを退避記憶する。なお、個人情報データ記憶部33bは、ユーザデバイス30の電源がオフとなった際等でもデータが保持されるように、例えば、フラッシュメモリ等の書き換え可能な不揮発性メモリを用いる構成や、バックアップ電源を付加した構成が取られる。
【0092】
制御部34は、上述した制御部18および制御部103と同様のコントローラであり、CPUやMPU等によって構成され、これらCPUやMPU等が記憶部33に記憶されている各種プログラムを、RAMを作業領域として実行することにより実現される。また、制御部34は、ASICやFPGA等の集積回路により実現することができる。
【0093】
制御部34は、アプリ実行部34aと、送受信部34bとを有し、以下に説明する情報処理の機能や作用を実現する。
【0094】
アプリ実行部34aは、アプリ情報記憶部33aから前述の専用アプリのプログラムを読み込んで実行し、当該アプリの各種機能を実現する。具体的には、アプリ実行部34aは、HMI部31を介したユーザの操作による操作データ入力と当該操作データに基づく各種処理、HMI部31を介した各種情報、映像情報や音声情報の出力を行う。
【0095】
また、アプリ実行部34aは、送受信部34bを介し、アプリの実行における対車載装置10との情報の送受信を行う。具体的には、アプリ実行部34aは、車載装置10から退避要求を受け付けた場合に、車載装置10から送信される個人情報データを個人情報データ記憶部33bに退避記憶する。また、アプリ実行部34aは、車載装置10から登録要求を受け付けた場合に、個人情報データ記憶部33bから該当する個人情報データを抽出し、送受信部34bを介して車載装置10に抽出した個人情報データを送信する。
【0096】
なお、制御部34は、車載装置10から退避要求あった個人情報データが当該ユーザデバイス30(携帯端末装置)の所有者の個人情報であるかを判断し、ユーザデバイス30(携帯端末装置)の所有者の個人情報である場合に、上述の退避記憶処理を行う。具体的には、車載装置10とユーザデバイス30とで送受信される個人情報データにユーザデバイス30を識別できるデータ(ユーザデバイス30の識別データ、所有者の個人コード等)を含ませ、またユーザデバイス30にはこれら識別用のデータ(ユーザデバイス30の識別データ、所有者の個人コード等)を記憶しておいて、制御部34はこれらの送受信された識別用のデータおよびユーザデバイス30に記憶された識別用のデータを照合する。そして制御部34は、この照合結果に基づき、車載装置10から退避要求のあった個人情報データが当該ユーザデバイス30(携帯端末装置)の所有者の個人情報であるかを判断する。
【0097】
送受信部34bは、アプリ実行部34aの指示に基づき、通信部32を介して、アプリの実行における対車載装置10との情報の送受信を行う。
【0098】
次に、個人情報の基本的な削除処理における車載装置10と個人情報管理サーバ100またはユーザデバイス30の処理シーケンスについて説明する。図9は、個人情報の基本的な削除処理における車載装置10と、個人情報管理サーバ100またはユーザデバイス30の処理シーケンスを示す図である。
【0099】
図9に示すように、車載装置10(制御部18)は、個人情報制御情報記憶部17cに記憶された自車両の種別に該当する個人情報制御情報に基づき、個人情報の削除タイミングを検出すると(ステップS11)、個人情報管理サーバ100またはユーザデバイス30に対し、当該個人情報制御情報に基づき退避要求および退避対象となる個人情報データを送信する(ステップS12)。
【0100】
そして、車載装置10から送信された退避要求を受信した個人情報管理サーバ100(制御部103)またはユーザデバイス30(制御部34)は、車載装置10から送信された退避対象の個人情報データを個人情報DB102aに、または個人情報データ記憶部33bに保存する(ステップS13)。
【0101】
なお、個人情報管理サーバ100への個人情報の退避要求の場合、車載装置10から送信される個人情報データにはユーザを識別するユーザIDデータが含まれ、個人情報DB102aにおける当該ユーザIDデータのデータレコードに車載装置10からの個人情報データが記憶されることになる。また、ユーザデバイス30への個人情報の退避要求の場合、当該個人情報データの対象であるユーザのユーザデバイス30に車載装置10から当該個人情報データが送信され、ユーザデバイス30の個人情報データ記憶部33bに当該個人情報データが記憶されることになる。
【0102】
そして、個人情報管理サーバ100またはユーザデバイス30は、車載装置10に対し、個人情報データの退避が完了したことを示す完了通知を送信する(ステップS14)。
【0103】
そして、車載装置10は、かかる完了通知を受信すると、車載装置10の個人情報データ記憶部17bに記憶されている個人情報データを削除する(ステップS15)。
【0104】
次に、個人情報の基本的な登録処理における車載装置10と個人情報管理サーバ100またはユーザデバイス30の処理シーケンスについて説明する。図10は、個人情報の基本的な登録処理における車載装置10と、個人情報管理サーバ100またはユーザデバイス30の処理シーケンスを示す図である。
【0105】
図10に示すように、車載装置10(制御部18)は、個人情報制御情報記憶部17cに記憶された自車両の種別に該当する個人情報制御情報に基づき、個人情報の登録タイミングを検出すると(ステップS21)、個人情報管理サーバ100またはユーザデバイス30に対し、登録要求を送信する(ステップS22)。
【0106】
そして、車載装置10から送信された登録要求を受信した個人情報管理サーバ100(制御部103)またはユーザデバイス30(制御部34)は、車載装置10から送信された登録要求対象の個人情報データを個人情報DB102aから、または個人情報データ記憶部33bから抽出する(ステップS23)。
【0107】
なお、個人情報管理サーバ100への個人情報の登録要求の場合、車載装置10から送信される登録要求には個人情報の対象ユーザを識別するユーザIDデータが含まれ、個人情報DB102aにおける当該ユーザIDデータのデータレコードからの個人情報データが抽出されることになる。また、ユーザデバイス30への個人情報の登録要求の場合、当該個人情報データの対象であるユーザのユーザデバイス30に車載装置10から当該登録要求が送信され、当該ユーザデバイス30の個人情報データ記憶部33bに記憶された個人情報データが抽出されることになる。
【0108】
そして、個人情報管理サーバ100またはユーザデバイス30は、車載装置10に対し、抽出した個人情報データを送信する(ステップS24)。
【0109】
そして、車載装置10は、かかる個人情報データを受信すると、個人情報データ記憶部17bに当該個人情報データを登録する(ステップS25)。
【0110】
図11は、登録処理におけるユーザデバイス30のアプリ画面例を示す図である。当該アプリは、個人情報の利用、更新等を行いたい場合に、車両使用前にユーザが起動することになる。なお、レンタカーやシェアカーの場合は、レンタカーやシェアカーの予約・貸し出し等を行うアプリに組み込むことにより、車両使用前にユーザが起動することになるので好適なものとなる。
【0111】
【0112】
そして、ユーザがかかるアプリ画面において「はい」を選択し、「送信」ボタンをタップすると、ユーザデバイス30は図10のステップS23(個人情報データ記憶部33bからの抽出)およびステップS24(抽出した個人情報データの車載装置10への送信)を実行する。一方、ユーザが「いいえ」を選択し、「送信」ボタンをタップすると、ユーザデバイス30は図10のステップS23,S24を実行することとなく、登録要求をキャンセルする。なお、この場合、ユーザデバイス30は、車載装置10に対し登録要求をキャンセルする旨の情報を送信し、車載装置10では登録要求がキャンセルされた旨の報知(表示等)を行うのが好ましい。これにより、ユーザは、車両の使用開始時において、自身の個人情報データを車両(車載装置10)に登録するか否かを任意に選択することができる。
【0113】
次に、削除処理のいくつかの変形例の処理シーケンスについて説明する。図12は、第1の変形例に係る削除処理における車載装置10とレンタカー管理サーバ300の処理シーケンスを示す図である。また、図13は、第2の変形例に係る削除処理における車載装置10と、レンタカー管理サーバ300およびサービス端末900の処理シーケンスを示す図である。
【0114】
第1の変形例および第2の変形例は、レンタカーの返却手続完了が削除タイミングとなる例である。第2の変形例は、サービス端末900が介在する点が第1の変形例とは異なる。
【0115】
図12に示すように、レンタカー管理サーバ300においてレンタカーの返却手続が完了すると(ステップS31)、例としてレンタカー営業所の職員がレンタカー管理サーバ300に接続された端末を操作してレンタカーの返却手続完了の操作を行う。すると、レンタカー管理サーバ300(レンタカー管理サーバ300の制御部)はネットワークNを介し、返却されたレンタカーの車載装置10へ個人情報の削除要求を送信する(ステップS32)。
【0116】
車載装置10(制御部18)は、レンタカー管理サーバ300からの削除要求を受けて個人情報データ記憶部17bに記憶された個人情報データを削除する(ステップS33)。なお、上述したように、個人情報データにおける各種データの削除タイミングは図5に示した個人情報制御情報記憶部17cに記憶された個人情報制御情報に基づき決定される。そして、車載装置10は、レンタカー管理サーバ300へ向けて完了通知を送信する(ステップS34)。
【0117】
あるいは、図13に示すように、レンタカー管理サーバ300は、レンタカーの返却手続が完了すると(ステップS41)、ネットワークNを介し、サービス端末900へ返却されたレンタカーに対する個人情報データの削除指示を送信する(ステップS42)。なお、この削除指示には、個人情報データを削除する対象となるレンタカーを識別するためのデータと通信接続するための通信接続データ(端末アドレス等)が含まれる。
【0118】
サービス端末900は、これを受けて、ネットワークNまたは近距離無線通信などを介し、返却されたレンタカーの車載装置10へ個人情報データの削除要求を送信する(ステップS43)。
【0119】
車載装置10は、かかる削除要求を受けて個人情報データ記憶部17bに記憶された個人情報データを削除する(ステップS44)。なお、上述したように、個人情報データにおける各種データの削除タイミングは図5に示した個人情報制御情報記憶部17cに記憶された個人情報制御情報に基づき決定される。そして、車載装置10は、サービス端末900へ向けて個人情報データの削除の完了通知を送信する(ステップS45)。そして、サービス端末900は、レンタカー管理サーバ300へ当該個人情報データの削除の完了通知を送信(転送)する(ステップS46)。
【0120】
つづいて、シェアカーに適応した第3の変形例および第4の変形例について説明する。図14は、第3の変形例に係る削除処理におけるユーザデバイス30および車載装置10と、シェアカー管理サーバ500の処理シーケンスを示す図である。また、図15は、第4の変形例に係る削除処理における車載装置10とシェアカー管理サーバ500の処理シーケンスを示す図である。
【0121】
第3の変形例および第4の変形例は、シェアカーの返却手続完了が削除タイミングとなる例である。第4の変形例は、車載装置10に残された個人情報データをシェアカー管理サーバ500側で確認する点が第3の変形例とは異なる。
【0122】
図14に示すように、ユーザデバイス30(制御部34)は、ユーザによる返却操作が行われた場合、返却操作に基づく返却データをシェアカー管理サーバ500に通知する(ステップS51)。シェアカー管理サーバ500(シェアカー管理サーバ500の制御部)は、受信したユーザデバイス30からの返却データに基づいて返却手続を完了し(ステップS52)、車載装置10へ使用終了通知を送信する(ステップS53-1)。
【0123】
車載装置10は、使用終了通知を受けてシェアカーの使用終了を検出し(ステップS54)、シェアカーが使用(走行)できない処理等の使用終了処理を行う。そして、車載装置10は、個人情報データ記憶部17bに記憶された個人情報データを削除し(ステップS55)、シェアカー管理サーバ500へシェアカーの返却処理の完了通知を送信する(ステップS56)。
【0124】
なお、上述したように、個人情報データにおける各種データの削除タイミングは図5に示した個人情報制御情報記憶部17cに記憶された個人情報制御情報に基づき決定される。
【0125】
また、シェアカー管理サーバ500から車載装置10への使用終了通知の送信(ステップS53-1)に代えて、ユーザデバイス30から車載装置10への使用終了通知の送信(ステップS53-2)を行うようにしてもよい。
【0126】
第4の変形例では、図15に示すように、ユーザデバイス30(制御部34)は、ユーザによる返却操作が行われた場合、返却操作に基づく返却データをシェアカー管理サーバ500に通知する(ステップS61)。シェアカー管理サーバ500(シェアカー管理サーバ500の制御部)は、受信したユーザデバイス30からの返却データに基づいて返却手続を完了し(ステップS62)、車載装置10へ使用終了通知を送信する(ステップS63)。
【0127】
車載装置10は、使用終了通知を受けてシェアカーの使用終了を検出し(ステップS64)、シェアカーが使用(走行)できない処理等の使用終了処理を行う。そして、車載装置10は、個人情報データ記憶部17bに記憶された個人情報データをシェアカー管理サーバ500へ送信する(ステップS65)。シェアカー管理サーバ500は、受信した個人情報データをディスプレイ等でシェアカー管理者等に対して表示し、シェアカー管理者による確認結果入力を取得する。つまり、シェアカー管理者は個人情報データにおけるドライブレコーダ関連の個人情報における記録映像等を見て、事故等の発生や不正使用等の有無を判断し、その結果をシェアカー管理サーバ500に操作入力する。
【0128】
そして、シェアカー管理者による操作入力等に基づきシェアカー管理サーバ500はシェアカーの正常な使用終了の確認を完了すれば(ステップS66)、個人情報データの削除要求を車載装置10に対し送信する(ステップS67)。車載装置10は、シェアカー管理サーバ500からの削除要求を受信すると、個人情報データ記憶部17bに記憶された個人情報データを削除し(ステップS68)、シェアカー管理サーバ500へシェアカーの返却処理の完了通知を送信する(ステップS69)。
【0129】
次に、車両売買に適応した第5の変形例および第6の変形例について説明する。図16は、第5の変形例に係る削除処理における車載装置10と車両売買管理サーバ700の処理シーケンスを示す図である。また、図17は、第6の変形例に係る削除処理における車載装置10と、車両売買管理サーバ700およびサービス端末900の処理シーケンスを示す図である。
【0130】
第5の変形例および第6の変形例は、車両の売買契約手続完了が削除タイミングとなる例である。第6の変形例は、サービス端末900が介在する点が第5の変形例とは異なる。
【0131】
図16に示すように、車両売買管理サーバ700において車両の売買契約手続が完了すると(ステップS71)、たとえば車両買い取り業者の職員が車両売買管理サーバ700に接続された端末を操作して売買契約手続完了の操作を行う。すると、車両売買管理サーバ700(車両売買管理サーバ700の制御部)はネットワークNを介し、売買対象の車両の車載装置10へ個人情報の削除要求を送信する(ステップS72)。
【0132】
車載装置10(制御部18)は、車両売買管理サーバ700からの削除要求を受けて個人情報データ記憶部17bに記憶された個人情報データを削除する(ステップS73)。なお、上述したように、個人情報データにおける各種データの削除タイミングは図5に示した個人情報制御情報記憶部17cに記憶された個人情報制御情報に基づき決定される。そして、車載装置10は、車両売買管理サーバ700へ向けて個人情報データの削除の完了通知を送信する(ステップS74)。
【0133】
あるいは、図17に示すように、車両売買管理サーバ700は、車両の売買契約手続が完了すると(ステップS81)、ネットワークNを介し、サービス端末900へ売買対象の車両に対する個人情報データの削除指示を送信する(ステップS82)。なお、この削除指示には、個人情報データ削除の対象となる車両を識別するためのデータと通信接続するための通信接続データ(端末アドレス等)が含まれる。
【0134】
サービス端末900は、これを受けて、ネットワークNまたは近距離無線通信などを介し、売買対象の車両の車載装置10へ個人情報データの削除要求を送信する(ステップS83)。
【0135】
車載装置10は、かかる削除要求を受けて個人情報データ記憶部17bに記憶された個人情報データを削除する(ステップS84)。なお、上述したように、個人情報データにおける各種データの削除タイミングは図5に示した個人情報制御情報記憶部17cに記憶された個人情報制御情報に基づき決定される。そして、車載装置10は、サービス端末900へ向けて個人情報データの削除の完了通知を送信する(ステップS85)。そして、サービス端末900は、車両売買管理サーバ700へ当該個人情報データの削除の完了通知を送信(転送)する(ステップS86)。
【0136】
なお、図12~図17を用いて説明したレンタカー管理サーバ300、シェアカー管理サーバ500および車両売買管理サーバ700はそれぞれ、既に述べた通り「車両管理装置」の一例に相当し、その基本的構成は同様のもので、機能を実現するプログラムが上述した機能の処理に対応するものとなっている。次に、この車両管理装置の構成例について説明する。
【0137】
【0138】
通信部1101は、ネットワークアダプタ等によって実現される。通信部1101は、ネットワークNと有線または無線で接続され、ネットワークNを介して、車載装置10、ユーザデバイス30およびサービス端末900との間で情報の送受信を行う。
【0139】
記憶部1102は、RAM、フラッシュメモリ、ハードディスク、光ディスク等の記憶デバイスによって実現され、各種の情報を記憶する。
【0140】
制御部1103は、上述した制御部18、制御部34および制御部103と同様のコントローラであり、CPUやMPU等によって構成され、これらCPUやMPU等が記憶部1102に記憶されている各種プログラムを、RAMを作業領域として実行することにより実現される。また、制御部1103は、ASICやFPGA等の集積回路により実現することができる。
【0141】
制御部1103は、取得部1103aと、応答処理部1103bとを有し、以下に説明する情報処理の機能や作用を実現または実行する。
【0142】
取得部103aは、通信部101を介し、図12~図17に示した車載装置10、ユーザデバイス30およびサービス端末900からの各種の情報、および車両管理装置1100の使用者(カーレンタル事業者の職員)による入力操作情報を取得する。応答処理部1103bは、取得部103aによって取得された各種の情報に応じ、図12~図17に示した各種の処理(個人情報データの削除指示の車載装置10への送信、シェアカー使用終了通知の車載装置10への送信等)を実行する。たとえば、制御部1103は、車両の使用終了を示す手続の操作が検出された場合に、車載装置10へ車両の使用終了を示す車両使用終了情報(使用終了通知等)を送信する。また、制御部1103は、車両の使用開始を示す手続の操作が検出された場合に、車載装置10へ車両の使用開始を示す車両使用開始情報を送信する。
【0143】
次に、実施形態に係る車載装置10(制御部18)が実行する処理手順について、図19を用いて説明する。図19は、実施形態に係る車載装置10が実行する処理手順を示すフローチャートである。なお、図19の処理手順は、車載装置10の動作中に繰り返し実行される。
【0144】
車載装置10の制御部18は、図19に示すように、図5に示した個人情報制御情報、車両状態や貸出手続の状態等に基づき、個人情報データの削除タイミングであるか否かを判定する(ステップS101)。個人情報データの削除タイミングである場合(ステップS101,Yes)、制御部18は、退避要請処理を実行する(ステップS102)。つまり、制御部18は、個人情報記憶部(個人情報管理サーバ100またはユーザデバイス30)に対し、記憶部17に記憶されている個人情報データの退避要求を送信し、個人情報データを退避させる。そして、制御部18は、記憶部17に記憶されている個人情報データを削除する(ステップS103)。個人情報データの削除タイミングでない場合(ステップS101,No)、ステップS104へ遷移する。
【0145】
また、制御部18は、図5に示した個人情報制御情報、車両状態や貸出手続の状態等に基づき個人情報データの登録タイミングであるか否かを判定する(ステップS104)。個人情報データの登録タイミングである場合(ステップS104,Yes)、制御部18は、個人情報記憶部(個人情報管理サーバ100またはユーザデバイス30)に対し、個人情報データの登録要求を送信し(ステップS105)、該当する個人情報データを個人情報記憶部に抽出させる。そして、制御部18は、個人情報記憶部から抽出された個人情報データを取得する(ステップS106)。
【0146】
そして、制御部18は、取得した個人情報データを個人情報データ記憶部17bに記憶し(ステップS107)、処理を終了する。また、個人情報データの登録タイミングでない場合(ステップS104,No)、制御部18は、処理を終了する。
【0147】
上述してきたように、実施形態に係る車載装置10(「情報処理装置」の一例に相当)は、記憶部17に記憶された個人情報データに基づく動作を行う車載装置10における記憶部17に記憶する個人情報データの記憶制御を行う情報処理装置であって、制御部18(「コントローラ」の一例に相当)を有する。制御部18は、車両の使用終了を検出した場合に、記憶部17に記憶されている個人情報データを削除する削除処理を実行し、車両の使用開始を検出した場合に、外部装置から取得した車載装置10の使用者の個人情報データを記憶部17に記憶させる登録処理を実行する。
【0148】
したがって、実施形態に係る車載装置10によれば、適切に個人情報を保護することができる。
【0149】
また、制御部18は、上記使用終了を検出した場合に、上記削除処理に先立ち、上記外部装置に対して、記憶部17に記憶されている個人情報データを送信して記憶させる退避要請処理を実行する。
【0150】
したがって、実施形態に係る車載装置10によれば、上記削除処理に先立ち、記憶部17に記憶されている個人情報データを外部装置に退避することができる。
【0151】
また、制御部18は、車両の使用形態に応じた条件に基づき上記使用終了および上記使用開始を検出する。
【0152】
したがって、実施形態に係る車載装置10によれば、車両の使用形態に応じた削除タイミングおよび登録タイミングを検出し、かかるタイミングに基づいた上記削除処理および上記登録処理を実行することで、車両の使用形態に応じて適切に個人情報を保護することができる。
【0153】
また、制御部18は、車両がレンタカーまたはシェアカーである場合、レンタカーまたはシェアカーの管理システムからの返却手続完了情報に基づき上記使用終了を検出する。
【0154】
したがって、実施形態に係る車載装置10によれば、車両がレンタカーまたはシェアカーである場合に、レンタカーまたはシェアカーであるという使用形態に応じて、返却手続完了時を削除タイミングとした上記削除処理を実行することが可能となる。
【0155】
また、制御部18は、車両が輸送車両である場合、輸送車両の管理システムからの個人情報データの確認完了情報に基づき上記使用終了を検出する。
【0156】
したがって、実施形態に係る車載装置10によれば、車両が輸送車両である場合に、輸送車両であるという使用形態に応じて、運行管理のうえで重要となる輸送事業者の管理者等による運転者の運転状況確認の完了時を削除タイミングとした上記削除処理を実行することが可能となる。
【0157】
また、制御部18は、車両がレンタカーまたはシェアカーである場合、レンタカーまたはシェアカーの管理システムからの貸出手続完了情報に基づき上記使用開始を検出する。
【0158】
したがって、実施形態に係る車載装置10によれば、車両がレンタカーまたはシェアカーである場合に、レンタカーまたはシェアカーであるという使用形態に応じて、貸出手続完了時を登録タイミングとした上記登録処理を実行することが可能となる。
【0159】
また、制御部18は、車両の使用者の車両への接近を上記使用開始として検出する。
【0160】
したがって、実施形態に係る車載装置10によれば、車両の使用者の車両への接近を登録タイミングとして、簡便に上記登録処理を実行することが可能となる。
【0161】
また、上記外部装置は、車両の使用者が携帯するユーザデバイス30、または、個人情報データを管理する個人情報管理サーバ100である。
【0162】
したがって、実施形態に係る車載装置10によれば、ユーザデバイス30または個人情報管理サーバ100を個人情報記憶部、いわばバックアップ装置として、適切に個人情報を保護することができる。
【0163】
また、実施形態に係るユーザデバイス30は、車載装置10と通信する携帯端末装置であって、個人情報データを記憶する記憶部33(「端末記憶部」の一例に相当)と、制御部34(「端末コントローラ」の一例に相当)とを有する。制御部34は、車載装置10からの個人情報データの取得要求に基づき、記憶部33に記憶されている個人情報データを車載装置10に送信し、車載装置10からの個人情報データの退避要求に基づき、ユーザデバイス30の使用者に対応する個人情報データである場合に、車載装置10から送信された個人情報データを記憶部33に記憶する。
【0164】
したがって、実施形態に係るユーザデバイス30によれば、当該ユーザデバイス30を個人情報記憶部、いわばバックアップ装置として、簡便かつ適切に個人情報を保護することができる。
【0165】
また、実施形態に係る車両管理装置1100は、車載装置10と通信し、車両を管理する車両管理装置であって、制御部1103(「装置コントローラ」の一例に相当)を有する。制御部1103は、上記使用終了を示す手続の操作が検出された場合に、車載装置10へ上記使用終了を示す車両使用終了情報を送信し、上記使用開始を示す手続の操作が検出された場合に、車載装置10へ上記使用開始を示す車両使用開始情報を送信する。
【0166】
したがって、実施形態に係る車両管理装置1100によれば、上記使用終了を示す手続の操作が検出された場合に車載装置10に上記削除処理を実行させ、上記使用開始を示す手続の操作が検出された場合に車載装置10に上記登録処理を実行させることができる。
【0167】
また、実施形態に係る車載装置10は、車両に搭載され、記憶部17に記憶された個人情報データに基づく動作の制御を行う車載装置であって、制御部18を有する。制御部18は、車両の使用終了を検出した場合に、記憶部17に記憶されている個人情報データを削除する削除処理を実行し、車両の使用開始を検出した場合に、外部装置から取得した車載装置10の使用者の個人情報データを記憶部17に記憶させる登録処理を実行する。
【0168】
したがって、実施形態に係る車載装置10によれば、適切に個人情報を保護することができる。
【0169】
また、実施形態に係る個人情報保護システム1(「車両管理システム」の一例に相当)は、車両に搭載され、記憶部17に記憶された個人情報データに基づく動作を行うとともに、記憶部17に記憶する個人情報データの記憶制御を行う車載装置10と、車両の外部に設定され、個人情報データの管理を行う個人情報管理サーバ100(「個人情報管理装置」の一例に相当)と、車両の管理を行う車両管理装置1100と、を含む。車載装置10は、車両管理装置1100からの車両使用終了情報に基づき車両の使用終了を検出した場合に、記憶部17に記憶されている個人情報データを個人情報管理サーバ100に送信して記憶させる退避要請処理と、記憶部17に記憶されている個人情報データを削除する削除処理とを実行する。また、車載装置10は、車両管理装置1100からの車両使用開始情報に基づき車両の使用開始を検出した場合に、外部装置に個人情報データの取得要求を行い、当該取得要求により上記外部装置から取得した車載装置10の使用者の個人情報データを記憶部17に記憶させる登録処理を実行する。個人情報管理サーバ100は、車載装置10からの個人情報データの取得要求に基づき、記憶部102(「装置記憶部」の一例に相当)に記憶されている個人情報データを車載装置に送信する。また、個人情報管理サーバ100は、車載装置10からの個人情報データの退避要求に基づき、車載装置10から送信された個人情報データを記憶部102に記憶する。車両管理装置1100は、上記使用終了を示す手続の操作が検出された場合に、車載装置10へ上記使用終了を示す上記車両使用終了情報を送信し、上記使用開始を示す手続の操作が検出された場合に、車載装置10へ上記使用開始を示す上記車両使用開始情報を送信する。
【0170】
したがって、実施形態に係る個人情報保護システム1によれば、適切に個人情報を保護することができる。
【0171】
また、実施形態に係る個人情報保護方法(「個人情報処理方法」の一例に相当)は、記憶部17に記憶された個人情報データに基づく動作を行う車載装置10における記憶部17に記憶する個人情報データの記憶制御を行う個人情報処理方法であって、車両の使用終了を検出した場合に、外部装置に対して記憶部17に記憶されている個人情報データを記憶させるとともに、記憶部17に記憶されている個人情報データを削除し、車両の使用開始を検出した場合に、上記外部装置から取得した車載装置10の使用者の個人情報データを記憶部17に記憶させる。
【0172】
したがって、実施形態に係る個人情報保護方法によれば、適切に個人情報を保護することができる。
【0173】
さらなる効果や変形例は、当業者によって容易に導き出すことができる。このため、本発明のより広範な態様は、以上のように表しかつ記述した特定の詳細および代表的な実施形態に限定されるものではない。したがって、添付の特許請求の範囲およびその均等物によって定義される総括的な発明の概念の精神または範囲から逸脱することなく、様々な変更が可能である。
【符号の説明】
【0174】
1 個人情報保護システム
10 車載装置
17 記憶部
18 制御部
30 ユーザデバイス
33 記憶部
34 制御部
100 個人情報管理サーバ
102 記憶部
103 制御部
300 レンタカー管理サーバ
500 シェアカー管理サーバ
700 車両売買管理サーバ
900 サービス端末
1100 車両管理装置
1102 記憶部
1103 制御部
10 車載装置
17 記憶部
18 制御部
30 ユーザデバイス
33 記憶部
34 制御部
100 個人情報管理サーバ
102 記憶部
103 制御部
300 レンタカー管理サーバ
500 シェアカー管理サーバ
700 車両売買管理サーバ
900 サービス端末
1100 車両管理装置
1102 記憶部
1103 制御部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】