特許7586375アクセス認可システム、電子制御装置、アクセス認可方法、及びプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-11-11
(45)【発行日】2024-11-19
(54)【発明の名称】アクセス認可システム、電子制御装置、アクセス認可方法、及びプログラム
(51)【国際特許分類】
G06F 21/62 20130101AFI20241112BHJP
G06F 21/31 20130101ALI20241112BHJP
【FI】
G06F21/62 345
G06F21/31
【請求項の数】
10
(21)【出願番号】P 2024512475
(86)(22)【出願日】2023-03-27
(86)【国際出願番号】 JP2023012272
(87)【国際公開番号】W WO2023190375
(87)【国際公開日】2023-10-05
【審査請求日】2024-05-17
(31)【優先権主張番号】P 2022059062
(32)【優先日】2022-03-31
(33)【優先権主張国・地域又は機関】JP
(73)【特許権者】
【識別番号】000004260
【氏名又は名称】株式会社デンソー
(74)【代理人】
【識別番号】110000578
【氏名又は名称】名古屋国際弁理士法人
(72)【発明者】
【氏名】本谷 英之
(72)【発明者】
【氏名】山口 英之
【審査官】田中 啓介
(56)【参考文献】
【文献】米国特許出願公開第2020/0162914(US,A1)
【文献】特開2006-302199(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G01C21/00-21/36
G01C23/00-25/00
G06F12/14、21/00-21/88
G06Q10/00-99/00
G08G1/00-99/00
G09C1/00-5/00
H04K1/00-3/00
H04L9/00-9/40
(57)【特許請求の範囲】
【請求項1】
車両(17)の利用者の認証結果に基づいて、プライバシー情報へのアクセスの認可を行うアクセス認可システム(23)であって、前記利用者の認証は、異なる認証方法によって得られる前記認証結果に基づいて行われるように構成されており、
前記車両の各座席(19)ごとに、どの前記利用者がどの前記認証方法により認証されたかを示す管理データ、を管理するように構成された管理部(23b)と、
前記利用者の前記プライバシー情報へのアクセスに関し、前記管理データに基づき、各前記座席に紐付くどの前記利用者の同意が必要かを決定するように構成された決定部(23c)と、
を備えたアクセス認可システム。
【請求項2】
請求項1に記載のアクセス認可システムであって、各前記認証方法による前記認証結果と、各前記認証方法の認証の精度に応じて設定された認証レベルと、に基づいて、各前記利用者が着座する各前記座席を推定するように構成された、
アクセス認可システム。
【請求項3】
請求項2に記載のアクセス認可システムであって、各前記座席に対して、最も高い前記認証レベルに設定された前記利用者を、当該座席と紐付けるように構成された、
アクセス認可システム。
【請求項4】
請求項1から請求項3までのいずれか1項に記載のアクセス認可システムであって、前記プライバシー情報ごとに、どの前記座席の前記利用者の同意が必要なのかを管理するように構成された、
アクセス認可システム。
【請求項5】
請求項1から請求項3までのいずれか1項に記載のアクセス認可システムであって、同じ前記座席に異なる前記利用者が紐付けられたことがある場合には、前記座席に紐付けされたことのある全ての前記利用者から同意を得るように構成された、
アクセス認可システム。
【請求項6】
請求項1から請求項3までのいずれか1項に記載のアクセス認可システムであって、前記認証の結果が記憶された前記管理データは、予め決められた所定のデータ更新の条件が満たされた場合に更新されるように構成された、
アクセス認可システム。
【請求項7】
請求項1から請求項3までのいずれか1項に記載のアクセス認可システムであって、前記同意が必要な前記利用者の決定に用いるデータは、予め決められた所定のデータ消去の条件が満たされた場合に消去されるように構成された、
アクセス認可システム。
【請求項8】
車両(17)に搭載される複数の他の電子制御装置(4、12)から送信されるデータの中継機能を有する電子制御装置(3)であって、異なる認証方法による前記車両の利用者の認証結果を取得するように構成された取得部(23b)と、
前記車両の座席(19)ごとに、どの前記利用者がどの前記認証方法により認証されたかを示す管理データを記憶するように構成された管理データ記憶部(15、23b)と、
前記利用者のプライバシー情報へのアクセスに関し、前記管理データ記憶部に記憶される前記管理データに基づき、各前記座席に紐付くどの前記利用者の同意が必要かを決定するように構成された決定部(23c)と、
前記電子制御装置が記憶する前記利用者のプライバシー情報、又は前記他の電子制御装置が記憶する前記利用者のプライバシー情報へアクセスするように構成されたアクセス部(23d)と、
を備えた電子制御装置。
【請求項9】
車両(17)の利用者の認証結果に基づいて、プライバシー情報へのアクセスの認可を行うアクセス認可システム(23)が実行するアクセス認可方法であって、前記利用者の認証は、異なる認証方法によって得られる前記認証結果に基づいて行われるように構成されており、
前記車両の各座席(19)ごとに、どの前記利用者がどの前記認証方法により認証されたかを示す管理データ、を管理し、
前記利用者の前記プライバシー情報へのアクセスに関し、前記管理データに基づき、各前記座席に紐付くどの前記利用者の同意が必要かを決定する、
アクセス認可方法。
【請求項10】
車両(17)の利用者の認証結果に基づいて、プライバシー情報へのアクセスの認可を行うアクセス認可システム(23)が実行するプログラムであって、前記利用者の認証は、異なる認証方法によって得られる前記認証結果に基づいて行われるように構成されており、
前記車両の各座席(19)ごとに、どの前記利用者がどの前記認証方法により認証されたかを示す管理データ、を管理し、
前記利用者の前記プライバシー情報へのアクセスに関し、前記管理データに基づき、各前記座席に紐付くどの前記利用者の同意が必要かを決定する、
機能を実行するためのプログラム。
【発明の詳細な説明】
【関連出願の相互参照】
【0001】
本国際出願は、2022年3月31日に日本国特許庁に出願された日本国特許出願第2022-059062号に基づく優先権を主張するものであり、日本国特許出願第2022-059062号の全内容を本国際出願に参照により援用する。
【技術分野】
【0002】
本開示は、プライバシー情報にアクセスをする場合に、アクセスの認可を行う技術に関する。
【背景技術】
【0003】
一般に、スマートフォン等では、任意のサービスアプリケーションがユーザ(即ち、利用者)によって利用されている。利用者がサービスアプリケーションを利用する場合に、利用者のプライバシー情報(即ち、個人情報)が必要なときには、サービスアプリケーションによりプライバシー情報へのアクセスが行われる。また、プライバシー情報へのアクセスを行う場合には、利用者へプライバシー情報へのアクセスの同意確認(即ち、アクセス同意確認)が行われる。
【0004】
今後、自動車等の車両に関連した分野においても、多様化したニーズに対応するため、車両内もしくはクラウド上に搭載されたサービスアプリケーションにより、車両システムがもつ車両の利用者のプライバシー情報を取得し、そのプライバシー情報を活用したサービスの提供が加速すると予想される(例えば、特許文献1参照)。つまり、プライバシー情報の増加や、利用者へプライバシー情報に関するアクセス同意確認する状況の増加が予想される。
【先行技術文献】
【特許文献】
【0005】
【文献】特許第4776627号公報
【発明の概要】
【0006】
発明者の詳細な検討の結果、従来の技術について、下記のような課題が見出された。
【0007】
具体的には、車両においては、車両内に複数の人が搭乗し、スマートフォン等とは異なり、同時に複数の人がサービスアプリケーションを利用することが想定される。
【0008】
そして、そのような状況下においては、サービスアプリケーションが、車両システムが持つ車両の利用者のプライバシー情報へアクセスし、そのプライバシー情報を利用することが考えられる。
【0009】
しかし、このような場合には、サービスアプリケーションが、車両を利用している全ての利用者(即ち、全ての搭乗者)に対して、プライバシー情報へのアクセス同意確認を行ってしまうことが考えられる。その結果、車両の利用者の負担が増大し、また、アクセス同意確認に時間を要することにより、サービスアプリケーションの品質劣化に繋がるという可能性がある。
【0010】
本開示の一局面は、車両の利用者のプライバシー情報へのアクセスの同意確認の負担を軽減するとともに、サービスアプリケーションの品質劣化を抑制する技術を提供することが望ましい。
【0011】
a)本開示の一態様は、車両の利用者の認証結果に基づいて、プライバシー情報へのアクセスの認可を行うアクセス認可システムに関するものである。
【0012】
このアクセス認可システムでは、利用者の認証は、異なる認証方法によって得られる認証結果に基づいて行われるように構成されている。
【0013】
また、アクセス認可システムは、管理部と決定部とを備えている。
【0014】
管理部では、車両の各座席ごとに、どの利用者がどの認証方法により認証されたかを示す管理データを管理するように構成されている。
【0015】
決定部では、利用者のプライバシー情報へのアクセスに関し、管理データに基づき、各座席に紐付くどの利用者の同意が必要かを決定するように構成されている。
【0016】
このような構成により、本開示では、車両の利用者のプライバシー情報へのアクセスの同意確認の負担を軽減できるとともに、サービスアプリケーションの品質劣化を抑制することができる。
【0017】
具体的には、本開示では、車両の各座席ごとに、どの利用者がどの認証方法により認証されたかを示す管理データを管理している。従って、利用者のプライバシー情報へのアクセスに関し、前記管理データに基づいて、各座席に紐付くどの利用者の同意が必要かを決定することができる。
【0018】
そのため、プライバシー情報にアクセスするための同意の確認(即ち、アクセス同意確認)を、アクセス同意確認が必要な利用者に対して適切に実施できる。その結果、車両の利用者全員にアクセス同意確認するような場合に比べて、アクセス同意確認の負担を軽減できる。また、必要な利用者に対して速やかにアクセス同意確認ができるので、サービスアプリケーションの品質劣化を抑制することができる。
【0019】
b)本開示の他の一態様は、車両に搭載される複数の他の電子制御装置から送信されるデータの中継機能を有する電子制御装置に関するものである。この電子制御装置は、取得部と管理データ記憶部と決定部とアクセス部とを備えている。
【0020】
取得部は、異なる認証方法による車両の利用者の認証結果を取得するように構成されている。
【0021】
管理データ記憶部は、車両の座席ごとに、どの利用者がどの認証方法により認証されたかを示す管理データを記憶するように構成されている。
【0022】
決定部は、利用者のプライバシー情報へのアクセスに関し、管理データ記憶部に記憶される管理データに基づき、各座席に紐付くどの利用者の同意が必要かを決定するように構成されている。
【0023】
アクセス部は、電子制御装置が記憶する利用者のプライバシー情報、又は他の電子制御装置が記憶する利用者のプライバシー情報へアクセスするように構成されている。
【0024】
このような構成により、本開示では、車両の利用者のプライバシー情報へのアクセスの同意確認の負担を軽減できるとともに、サービスアプリケーションの品質劣化を抑制することができる。
【0025】
c)本開示の他の一態様は、車両の利用者の認証結果に基づいて、プライバシー情報へのアクセスの認可を行うアクセス認可方法に関するものである。
【0026】
このアクセス認可方法では、利用者の認証は、異なる認証方法によって得られる認証結果に基づいて行われるように構成されている。
【0027】
さらに、このアクセス認可方法では、車両の各座席ごとに、どの利用者がどの認証方法により認証されたかを示す管理データ、を管理し、利用者のプライバシー情報へのアクセスに関し、管理データに基づき、各座席に紐付くどの利用者の同意が必要かを決定する。
【0028】
このような構成により、本開示では、車両の利用者のプライバシー情報へのアクセスの同意確認の負担を軽減できるとともに、サービスアプリケーションの品質劣化を抑制することができる。
【0029】
d)本開示の他の一態様は、車両の利用者の認証結果に基づいて、プライバシー情報へのアクセスの認可を行うアクセス認可システムが実行するプログラムに関するものである。
【0030】
このプログラムでは、利用者の認証は、異なる認証方法によって得られる認証結果に基づいて行われるように構成されている。
【0031】
さらに、このプログラムは、車両の各座席ごとに、どの利用者がどの認証方法により認証されたかを示す管理データ、を管理し、利用者のプライバシー情報へのアクセスに関し、管理データに基づき、各座席に紐付くどの利用者の同意が必要かを決定する、機能を実行する。
【0032】
このような構成により、本開示では、車両の利用者のプライバシー情報へのアクセスの同意確認の負担を軽減できるとともに、サービスアプリケーションの品質劣化を抑制することができる。
【図面の簡単な説明】
【0033】
【図1】実施形態における車両システムの全体構成を示す説明図である。
【図2】車両の利用者や利用者の認証方法を示す説明図である。
【図3】車両の各座席の認証装置や確認装置を示す説明図である。
【図4】車両のハード構成を示すブロック図である。
【図5】車両システムにおけるソフトウェア等の構成を示すブロック図である。
【図6】車両システムにおける全体の構成を示すブロック図である。
【図7】アクセス同意確認者を決定する方法を示すブロック図である。
【図8】認証結果のテーブルT1を示す説明図である。
【図9】認証レベルのテーブルT2を示す説明図である。
【図10】各利用者の認証レベルのテーブルT3を示す説明図である。
【図11】利用者座席推定のテーブルT4を示す説明図である。
【図12】アクセス同意確認者のテーブルT5を示す説明図である。
【図13】利用者の座席を推定する処理を示すフローチャートである。
【図14】アクセス同意確認者の決定等の処理を示すフローチャートである。
【発明を実施するための形態】
【0034】
以下、本開示の例示的な実施形態について図面を参照しながら説明する。
【0035】
[1.実施形態]
本実施形態では、車両(例えば、自動車)に適用されるアクセス認可システムについて説明する。
本実施形態では、車両(例えば、自動車)に適用されるアクセス認可システムについて説明する。
【0036】
[1-1.全体構成]
図1に示すように、本実施形態では、車両システム1は、車両側の構成として、電子制御装置(即ち、ECU)3と、認証装置5と、確認装置7と、を備え、クラウド側の構成として、サーバ9を備えている。なお、本実施形態では、ECU3に、後述するアクセス認可システム23(例えば、図5等参照)が搭載されている一例について説明する。
図1に示すように、本実施形態では、車両システム1は、車両側の構成として、電子制御装置(即ち、ECU)3と、認証装置5と、確認装置7と、を備え、クラウド側の構成として、サーバ9を備えている。なお、本実施形態では、ECU3に、後述するアクセス認可システム23(例えば、図5等参照)が搭載されている一例について説明する。
【0037】
ECU3と認証装置5と確認装置7とは、車載ネットワーク11により、通信可能に接続される。ECU3とサーバ9とは、無線通信可能に接続される。
【0038】
ECU3は、周知の演算処理装置であるCPU13や記憶装置であるメモリ15等を備えており、後に詳述するように、メモリ15に記憶されたプログラムを実行することで、各種の処理(例えば、アクセス認可システム23での処理)を実行する。
【0039】
なお、前記ECU3以外に、前記車載ネットワーク11には、他のECU4も接続されている。
【0040】
以下、各構成について詳細に説明する。
【0041】
[1-2.認証装置及び確認装置]
本実施形態では、図2に示すように、車両17に利用者A、B、Cが搭乗する場合を例に挙げて説明する。
本実施形態では、図2に示すように、車両17に利用者A、B、Cが搭乗する場合を例に挙げて説明する。
【0042】
<認証装置>
車両17には、カメラによって車両17に搭乗している人(即ち、利用者)の顔を撮影し、そのカメラ画像に基づいて利用者の認証を行う認証装置5(例えば、図3参照)が搭載されている。つまり、カメラ認証を行う周知の認証装置5が搭載されている。
車両17には、カメラによって車両17に搭乗している人(即ち、利用者)の顔を撮影し、そのカメラ画像に基づいて利用者の認証を行う認証装置5(例えば、図3参照)が搭載されている。つまり、カメラ認証を行う周知の認証装置5が搭載されている。
【0043】
詳しくは、図3に示すように、認証装置5として、運転席19a、助手席19b、後部座席19cの各座席19に応じて、例えば各座席19の前方に、各座席19に着座した利用者のカメラ認証を行うために、それぞれカメラ認証装置5aが配置されている。カメラ認証装置5aには、車両17に搭乗し得る利用者の顔画像が予め登録されている。
【0044】
また、他の認証装置5として、運転席19a、助手席19b、後部座席19cの各座席19の前方に、各座席19に着座した利用者の指紋認証を行うために、それぞれ周知の指紋センサを備えた指紋認証装置5bが配置されている。指紋認証装置5bには、車両17に搭乗し得る利用者の指紋データが予め登録されている。
【0045】
この指紋認証装置5bとしては、指紋センサが配置された指確認部(即ち、指を押し当てる部分)と、利用者に指紋認証をお願いする(即ち、案内する)表示を行うディスプレイと、を備えた構成を採用できる。なお、ディスプレイでの表示とともに、音声で案内してもよく、或いは、音声のみで案内してもよい。そして、利用者の指が指確認部に当てられて指紋が正常に読み取られた場合に、指紋認証のための処理が実施される。
【0046】
なお、後部座席19cとしては、通常、複数(例えば3人)の利用者が着座できるようなスペースがあるが、ここでは、本開示の理解が容易なように、後部座席19cに一人が着座する例を挙げて説明する。つまり、後部座席19cに1台のカメラ認証装置5aと1台の指紋認証装置5bを配置する例を挙げて説明する。勿論、後部座席19cに着座する各利用者に応じて、各利用者の座席19の前にそれぞれカメラ認証装置5aや指紋認証装置5bを配置してもよい。この点については、確認装置7についても同様である。
【0047】
また、車室内全体を撮影可能なカメラを、車両17の前方又は車両17の天井に備え、カメラ画像から座席19の位置及び座席19に紐づく顔を特定し、各座席19に対応する顔認証を行ってもよい。
【0048】
なお、ここで、認証とは、利用者本人であることを確認することを示しており、後述するように、各認証装置5の特性や性能により、認証の精度(即ち、信頼性)が異なる。
【0049】
<確認装置>
確認装置7としては、周知のディスプレイとタッチパネルとを組み合わせたHMIを採用できる。なお、HMIとは、Human Machine Interfaceの略である。
確認装置7としては、周知のディスプレイとタッチパネルとを組み合わせたHMIを採用できる。なお、HMIとは、Human Machine Interfaceの略である。
【0050】
具体的には、確認装置7としては、図示しないが、例えば、同意確認の操作をお願いする表示を行うディスプレイと、ディスプレイに設けられて指の接触を確認できるタッチ領域(即ち、タッチパネルが設けられた領域)と、を設ける構成が挙げられる。なお、表示とともに音声による案内が実施されてもよいし、音声のみで案内してもよい。そして、利用者の指がタッチ領域に当てられることにより、同意確認ができた場合には、同意確認の結果に基づく、各種の処理が実施される。
【0051】
また、確認装置7としては、各利用者が所有する携帯電話でもよい。認証装置5には、利用者の顔画像や指紋データとともに、利用者の携帯電話がペアリングされた状態で登録されている。同意が必要な利用者の携帯電話に対して、同意確認の操作をお願いする表示を行い、携帯電話にて指紋認証やパスワード入力を行うことで同意確認するよう構成してもよい。
【0052】
[1-3.ECU]
次に、ECU3について説明する。
次に、ECU3について説明する。
【0053】
ECU3は、上述のように、CPU13やメモリ15等を備えた電子制御装置である。つまり、周知の図示しないマイクロコンピュータを備えた装置である。なお、メモリ15としては、周知のROM15a、RAM15b(例えば、図4参照)、図示しないEEPROM等が挙げられる。また、メモリ15としては、マイクロコンピュータ内のメモリに限らず、マイクロコンピュータ外の各種の記憶装置(例えば、ハードディスク等)が挙げられる。
【0054】
ECU3により実行される各種機能は、CPU13が非遷移的実体的記録媒体に格納されたプログラムを実行することにより実現される。この例では、メモリ15が、プログラムを格納した非遷移的実体的記録媒体に該当する。また、このプログラムが実行されることで、プログラムに対応する方法が実行される。
【0055】
なお、メモリ15には、各種のプログラムだけではなく、各種のプログラムを実行する際に使用される各種のデータが記憶されている。例えば、後述する、車両17の情報や利用者の情報(例えば、個人情報であるプライバシー情報)や、プライバシー情報へのアクセスの同意確認(即ち、アクセス同意確認)を行うための情報などを、データベースとして記憶している。
【0056】
前記ECU3の各種機能を実現する手法はソフトウェアに限るものではなく、その一部又は全部の要素について、一つあるいは複数のハードウェアを用いて実現してもよい。例えば、上記機能がハードウェアである電子回路によって実現される場合、その電子回路は多数の論理回路を含むデジタル回路、又はアナログ回路、あるいはこれらの組合せによって実現してもよい。
【0057】
<車両のハード構成>
ここで、前記ECU3を含む車両17全体のシステムのハード構成について説明する。
ここで、前記ECU3を含む車両17全体のシステムのハード構成について説明する。
【0058】
図4に示すように、車両17においては、ECU3は、各種の演算処理を行う制御部3Sとして、CPU13と、ROM15a、RAM15b等のメモリ15を備えている。
【0059】
ECU3は、車内の通信を行う車内通信部8により、複数のECU4や車外との通信を行う車外通信装置10と接続されている。また、各ECU4は、それぞれ他のECU12と接続されている。
【0060】
なお、ECU4には、ECU3と同様に、CPU4aと、ROM4b、RAM4c等のメモリ14を備えるとともに、ECU12にも、CPU12aと、ROM12b、RAM12c等のメモリ24を備えている。
【0061】
ここでは、ECU3は、複数のECU4を統括することにより、車両全体として連携がとれた制御を実現できる。各ECU4は、例えば、車両における機能によって区分されたドメイン毎に設けられ、主として、そのドメイン内に存在する複数のECU12の制御を実行することができる。ドメインは、例えば、パワートレーン、ボデー、シャシー、コックピット等である。なお、ECU12は、例えば、センサやアクチュエータを制御するECUである。
【0062】
[1-4.ソフトウェア]
次に、ECU3に搭載されるソフトウェアの構成について説明する。
次に、ECU3に搭載されるソフトウェアの構成について説明する。
【0063】
図5に示すように、本実施形態においては、ソフトウェア(即ち、使用されるプログラム)の構成として、サービスアプリケーション21と、アクセス認可システム23(アクセス認可ユニット、とも言う)と、車両サービス25(車両サービスユニット、とも言う)と、を備えている。
【0064】
サービスアプリケーション21としては、例えばサードパーティによって作成されて、予め車両17に搭載されているプログラム(例えば、後述するサービスアプリケーションP、Q)が挙げられる。
【0065】
このサービスアプリケーション21は、例えば車両17が始動された場合に、車両17の搭乗者である利用者に対して、何らかのサービスを提供するプログラムである。例えば、車両17の今までの走行履歴を、ダッシュボードに配置されたディスプレイ等により、運転者等に表示して提供するプログラム等である。
【0066】
車両サービス25としては、車両17の動作を制御したり、車両17や利用者に関する各種の情報を管理するプログラム(例えば、後述する車両サービスX、Y)が挙げられる。
【0067】
詳しくは、車両サービス25は、車両17や利用者に関する個人情報である各種のプライバシー情報を管理している。このプライバシー情報の種類としては、後述するように(例えば、図12参照)、「現在位置情報」、「現在画像情報(例えば、現在の車室内の画像情報)」、「生体情報」等が挙げられる。
【0068】
なお、前記メモリ15の所定の領域に、前記図12に示すような前記プライバシー情報の種類等が予め記憶されている。また、各プライバシー情報の種類ごとの実際のデータ(例えば、車両17の現在の位置に関する実際のデータ)等は、各プライバシー情報の種類ごとに区分されて、逐次メモリ15の他の領域に蓄積される。
【0069】
各プライバシー情報の一部又は全部は、車両サービス25が搭載されるECU3とは別のECU4、12に記憶されていてもよい。例えば、ECU4はカメラECUであって、当該カメラECUのメモリ14に撮影画像が蓄積されてもよい。
【0070】
そして、車両サービス25では、例えばサービスアプリケーション21からの要求に基づいて、必要な処理を行う。例えば、プライバシー情報にアクセスしたり、車両17の制御などを行う。
【0071】
アクセス認可システム23は、サービスアプリケーション21と車両サービス25とを繋ぐ機能を有している。例えばサービスアプリケーション21から、車両サービス25に対して、プライバシー情報を利用する何からのサービスの要求があった場合に、後述するように、プライバシー情報にアクセスすることに同意するかどうかの同意確認(即ち、アクセス同意確認)を行う処理等を行う。
【0072】
サービスアプリケーション21からの要求が、プライバシー情報に該当しない情報を利用するものである場合、同意確認を行うことなく、当該情報にアクセスする。アクセス認可システム23は、サービスアプリケーション21からの要求の種別、又はアクセス要求するデータの種別により、プライバシー情報を利用するものか否か判断する。
【0073】
そして、プライバシー情報にアクセスしてもよいというアクセス同意確認が得られた場合には、車両サービス25がプライバシー情報にアクセスすることが可能となる。これによって、プライバシー情報(例えば、車両17の現在の位置の情報や履歴等)が得られた場合には、そのプライバシー情報をサービスアプリケーション21に提供することができる。
【0074】
なお、アクセス認可システム23は、本実施形態では、ECU3に搭載されている。サービスアプリケーション21は、ECU3に搭載されていてもよいし、他のECU4に搭載されていてもよく、或いは、クラウド側に搭載されていてもよい。また、車両サービス(即ち、プライバシー情報を扱うサービス)25は、ECU3に搭載されていてもよいし、他のECU4に搭載されていてもよい。例えば、自宅住所の個人情報は、ナビゲーション装置のECUに記憶されている。
【0075】
なお、前記ソフトウェアの論理アーキテクチャーにおいては、OS(即ち、オペレーティングソフトウェア)上で、アクセス認可システム23等のミドルウェアが作動する。また、サービスアプリケーション21や車両サービス25は、アクセス認可システム23等のミドルウェアが提供するサービスを利用し、それぞれの機能を提供する。
【0076】
[1-5.構成全体のまとめ]
次に、上述した各構成を、図6に示す車両システム1のブロック図に基づいて、まとめて説明する。
次に、上述した各構成を、図6に示す車両システム1のブロック図に基づいて、まとめて説明する。
【0077】
<アクセス認可システムの入出力>
図6に示すように、本実施形態では、上述したサービスアプリケーションPやサービスアプリケーションQからのサービス要求が、アクセス認可システム23に対して出力されるように構成されている。このサービス要求としては、各サービスアプリケーション21が提供する各種のサービスを実施するために必要な情報の提供、例えば、車両サービスX、Yから得られる各種の情報(例えば、プライバシー情報)の提供の要求が挙げられる。
図6に示すように、本実施形態では、上述したサービスアプリケーションPやサービスアプリケーションQからのサービス要求が、アクセス認可システム23に対して出力されるように構成されている。このサービス要求としては、各サービスアプリケーション21が提供する各種のサービスを実施するために必要な情報の提供、例えば、車両サービスX、Yから得られる各種の情報(例えば、プライバシー情報)の提供の要求が挙げられる。
【0078】
また、各利用者の認証を行う各認証装置5からの認証結果が、アクセス認可システム23に対して出力されるように構成されている。
【0079】
なお、各認証装置5の認証を行うタイミング、従って、認証結果のデータ(即ち、管理データ)を更新するとしては、予め設定された各種のタイミングを採用できる。例えば、乗車時や、車両17の始動用のスイッチ(例えば、イグニッションスイッチ)がオンとなったタイミングや、認証が必要なサービス要求があったタイミングなどが挙げられる。
【0080】
さらに、アクセス認可システム23から、各座席19の各利用者の確認装置7に対して、プライバシー情報にアクセスすることに同意するかどうか(即ち、アクセスを認可するかどうか)のアクセス同意確認のために、アクセス同意確認の表示等を行う旨の制御信号が出力されるように構成されている。
【0081】
そして、各確認装置7にて各利用者がアクセス同意確認の操作を行った場合には、そのアクセス同意確認の結果が、アクセス認可システム23に対して出力されるように構成されている。
【0082】
また、アクセス認可システム23から、各車両サービス25に対して、車両17の制御を行うための信号が出力されるように構成されている(即ち、サービスアクセスが可能である)。
【0083】
さらに、アクセス認可システム23から、各車両サービス25に対して、各種の情報をメモリ15のデータベースから取得するための信号が出力されるように構成されている(即ち、情報取得が可能である)。
【0084】
特に、アクセス同意確認がなされた場合には、アクセス認可システム23から、各車両サービス25に対して、プライバシー情報(例えば、車両17の現在の位置や履歴等)を、メモリ15のデータベースから取得するための信号が出力されるように構成されている。この信号に応じて、プライバシー情報が、各車両サービス25からアクセス認可システム23に提供される。
【0085】
<アクセス認可システム>
アクセス認可システム23は、機能的に、サービス要求判定部23aと、利用者認証情報管理部23bと、アクセス認可部23cと、車両情報取得部23dと、車両情報提供部23eと、を備えている。
アクセス認可システム23は、機能的に、サービス要求判定部23aと、利用者認証情報管理部23bと、アクセス認可部23cと、車両情報取得部23dと、車両情報提供部23eと、を備えている。
【0086】
サービス要求判定部23aは、サービスアプリケーション21からのサービス要求の判定を行うように構成されている。例えば、サービスアプリケーション21から、所定の情報(例えば、プライバシー情報)の提供の要求があるか否かを判定する。そして、サービス要求があると判定された場合には、そのサービス要求を満たすために必要な処理(例えば、プライバシー情報にアクセスするための処理等)を行うように構成されている。
【0087】
利用者認証情報管理部23bは、後述するように、プライバシー情報へのアクセス同意確認が必要な利用者(即ち、アクセス同意確認者)を決定するために必要な各種の情報、例えば、各認証装置5による認証結果や各種のテーブル(例えば、図7参照)等の情報を管理するように構成されている。これら各種テーブルは、例えば、メモリ15に記憶される。
【0088】
なお、各種テーブルは、アクセス認可システム23がECU4にある場合は、ECU4のメモリ14に記憶され、アクセス認可システム23がECU12にある場合は、ECU12のメモリ24に記憶される。
【0089】
アクセス認可部23cは、利用者認証情報管理部23bからの情報に基づいて、アクセス同意確認者を決定する。さらに、決定されたアクセス同意確認者に対して、確認装置7を駆動して、アクセス同意確認を行うための制御を行う。そして、確認装置7からアクセス同意確認がなされた旨の信号が得られた場合には、プライバシー情報へのアクセスを認可する。
【0090】
車両情報取得部23dは、プライバシー情報へのアクセスが認可されている場合には、車両サービス25が管理するデータベースから必要なプライバシー情報を取得するように構成されている。
【0091】
車両情報取得部23dは、ECU3のメモリ15に記憶されているプライバシー情報を取得する。なお、プライバシー情報が、ECU3、4、12のメモリ15、14、24のうち少なくとも一つに記憶されている場合には、当該プライバシー情報が記憶されているメモリ15、14、24からプライバシー情報を取得する。
【0092】
車両情報提供部23eは、車両情報取得部23dによって取得されたプライバシー情報を、前記サービス要求を行ったサービスアプリケーション21へ提供するように構成されている。
【0093】
【0094】
なお、アクセス同意確認とは、サービスアプリケーション21が、車両サービス25が管理するプライバシー情報を利用する場合に、そのプライバシー情報を利用して良いか否かを利用者に確認することを意味している。
【0095】
(1)図7にアクセス同意確認の全体の流れを示すように、まず、前もって各座席19の各認証装置5よる認証結果を示すテーブル(即ち、テーブルT1)を作成する。なお、このテーブルT1は、メモリ15の所定領域にデータベースとして記憶される。
【0096】
具体的には、各座席19の各認証装置5(即ち、カメラ認証装置5aや指紋認証装置5b)によってカメラ認証や指紋認証を行い、その認証結果を、各利用者ごとに記憶する(即ち、テーブルT1を作成する)。認証装置5に予め登録されていた各利用者の顔データや指紋データと、認証装置5を用いて搭乗者を撮影した顔データや入力された指紋データとを照合し、いずれの座席19にどの利用者が搭乗しているかを判別する。
【0097】
図8では、認証結果として、各認証装置5によって認証された場合を「適」、認証されない場合を「-」で示している。
【0098】
図8では、例えば、運転席19aのカメラ認証装置5aによるカメラ認証によって、利用者Aと利用者Bとが認証されている場合を示している。つまり、運転席19aのカメラ認証装置5aによって両利用者A、Bが撮影されたので、そのカメラ画像によって、両利用者A、Bが認証されたことを示している。なお、助手席19bのカメラ認証装置5aによるカメラ認証も同様である。
【0099】
(2)次に、前記図7に示すように、前記テーブルT1の認証結果と認証レベルのテーブルT2とに基づいて、各利用者の認証レベルのテーブルT3を作成する。
【0100】
前記認証レベルのテーブルT2とは、図9に示すように、各認証方法における認証の精度(即ち、信頼性)の高さをランク付けしたものである。つまり、カメラ認証よりも指紋認証の方が信頼性が高く、カメラ認証と指紋認証との両方を行う場合が最も信頼性が高く設定されている。なお、数字が大きい方が、認証レベル(即ち、認証の信頼性)が高い。テーブルT2は、例えば、メモリ15に記憶されている。
【0101】
前記各利用者の認証レベルのテーブルT3とは、図10に示すように、テーブルT1の認証結果をテーブルT2の認証レベルを用いて、各利用者ごとに認証レベルを決定したものである。テーブルT3は、例えば、メモリ15に記憶されている。
【0102】
(3)次に、前記図7に示すように、前記テーブルT3の各利用者ごとの認証レベルに基づいて、各利用者が着座している可能性の高い各座席19の推定を行い、図11に示すような利用者の座席19を推定したテーブルT4(即ち、利用者座席推定のテーブルT4)を作成する。
【0103】
例えば、テーブルT3では、運転席19aについては、利用者Aの認証レベルが最大の3であるので、運転席19aに利用者Aが着座していると推定する。同様に、助手席19bについては、利用者Bの認証レベルが最大の3であるので、助手席19bに利用者Bが着座していると推定する。同様に、後部座席19cについては、利用者Cの認証レベルが最大の1であるので、後部座席19cに利用者Cが着座していると推定する。
【0104】
従って、テーブルT4では、上述のように推定された各座席19と当該各座席19に着座していると推定された各利用者が関連付けられている。つまり、各座席19と各座席19に着座していると推定された各利用者とが紐付されてメモリ15に記憶される。なお、これらテーブルT1~T4は、サービスアプリケーション21からのアクセス要求を受け付ける前に、予め作成しておくとよい。
【0105】
(4)次に、前記図7に示すように、前記利用者の座席19を推定したテーブルT4と、アクセス同意確認者の座席19との関係を示すテーブルT5とに基づいて、アクセス同意確認者を決定する。
【0106】
このテーブルT5とは、図12に示すように、プライバシー情報とアクセス同意確認者(即ち、プライバシー情報にアクセスする場合に同意を必要とする利用者)の座席19との関係を示すテーブルであり、予めメモリ15に記憶されている。
【0107】
具体的には、例えば、サービスアプリケーション21がアクセスしたいプライバシー情報が、各利用者(従って、車両17)の現在位置情報である場合には、アクセス同意確認者が、運転席19aに着座している利用者(即ち、運転者)であることを示している。
【0108】
また、例えば、プライバシー情報が、現在の画像情報(例えば、前席のみの画像情報)である場合には、アクセス同意確認者が、運転席19aと助手席19bに着座している利用者(即ち、対象者)であることを示している。この場合、運転席19aの利用者及び助手席19bの利用者、両方の同意確認が必要となる。なお、サービスアプリケーション21からの要求において、運転席画像であることが明示されている場合、テーブルT5に依らず運転席19aの同意確認が必要であるようにすることができる。
【0109】
また、例えば、プライバシー情報が、生体情報(例えば、後部座席19cの利用者の体温)である場合には、アクセス同意確認者が、後部座席19cに着座している利用者(即ち、対象者)であることを示している。
【0110】
従って、本実施形態では、前記テーブルT4から、各座席19に着座している利用者が分かり、前記テーブルT5から、プライバシー情報に応じてアクセス同意確認者の座席19が分かるので、プライバシー情報に応じて、どの座席19に着座している利用者のアクセス同意確認を得ればよいのかが分かる。つまり、前記テーブルT4と前記テーブルT5とから、プライバシー情報に応じたアクセス同意確認者を決定することができる。
【0111】
例えば、テーブルT5から、プライバシー情報が現在位置情報である場合、アクセス同意確認者は運転席19aの利用者であることが分かり、また、テーブルT4から、運転席19aに着座しているのは利用者Aであると推定されるので、利用者Aに対してアクセス同意確認を行えばよいことが分かる。
【0112】
よって、例えば、利用者Aが着座している運転席19aの確認装置7aを用いて、利用者Aのアクセス同意確認を行うことができる。
【0113】
ここで、アクセス同意確認ができた場合には、アクセス認可システム23は、前記プライバシー情報にアクセスすることができるので、メモリ15のデータベースに記憶された当該プライバシー情報(例えば、車両17の現在の位置を示す情報等)を得ることができる。よって、その取得したプライバシー情報をサービスアプリケーション21に提供することができる。
【0114】
なお、例えば、ナビゲーション装置において自宅住所にアクセスしたい場合は、どの座席19かは関係なく、車両オーナーの同意を得るようにしてもよい。この場合、予め顔データや指紋データを登録する際に、登録するデータが車両オーナーのデータであることも同時に登録すればよい。よって、登録したデータに基づいて、車両オーナーがどこに着座しているか判別し、その座席19(即ち、その座席19の利用者)の同意確認を得るようにしてもよい。
【0115】
【0116】
以下の処理は、例えば、車両17のイグニッションスイッチがオンとなった場合に実施される。
【0117】
<座席推定処理>
この座席推定処理とは、車両17のどの座席19にどの利用者が着座しているかを推定する処理である。
この座席推定処理とは、車両17のどの座席19にどの利用者が着座しているかを推定する処理である。
【0118】
図13のフローチャートに示すように、まず、ステップ(以下、S)100では、降車か否かを判定する。ここで肯定判断されるとS110に進み、一方否定判断されると一旦本処理を終了する。
【0119】
例えば、周知のドアスイッチにより、ドアが開けられたことが検知され、その後、周知の着座センサにより、着座状態であった全ての座席19について、非着座状態に変化したことが検知された場合には、降車であると判定することができる。
【0120】
S110では、上述したアクセス同意確認者の決定に使用した情報(即ち、データ)の履歴を消去する条件(即ち、履歴オールクリアの条件)が満たされたか否かを判定する。ここで肯定判断されるとS120に進み、一方否定判断されると一旦本処理を終了する。
【0121】
なお、アクセス同意確認者の決定に使用した情報とは、例えば、テーブルT1、テーブルT3、テーブルT4のように、実際に利用者を認証した結果等のように、認証結果によって変動する情報であり、テーブルT2、テーブルT5のように、認証結果によって変動しない情報(即ち、認証前に予め設定されている情報)は含まれない。
【0122】
また、履歴オールクリアの条件としては、例えば、車両17が、カーシェアリングされる場合においては、ある利用者のカーシェアリングでの利用が終了したことが確認された場合が挙げられる。なお、カーシェアリングの終了の場合には、車両17のECU3に対して、インターネット等の通信方法によって、カーシェアリングが終了したことを示す信号が入力されるようにしておき、この条件を履歴オールクリアの条件として採用してもよい。なお、レンタカーについても、カーシェアリングと同様なことが言える。
【0123】
また、個人所有等の車両17においては、例えば車検時等の車両17の検査時や、所定の経過時間に、履歴をオールクリアしてもよい。
【0124】
S120では、履歴オールクリアを実施する。このように履歴オールクリアを行うことにより、プライバシー情報等の各種の情報が漏洩しにくくなるという利点がある。
【0125】
続くS130では、乗車か否かを判定する。ここで肯定判断されるとS140に進み、一方否定判断されると一旦本処理を終了する。
【0126】
例えば、周知のドアスイッチにより、ドアが開けられたことが検知され、その後、着座センサにより、非着座状態から着座状態に変化したことが検知された場合には、乗車であると判定することができる。
【0127】
S140では、認証装置5よる利用者の認証を実施する。具体的には、カメラ認証装置5aによって、利用者を撮影し、その画像から利用者を認証することができる。また、指紋認証装置5bでは、例えば、音声やディスプレイによる案内により、利用者の指紋認証の動作を促すことができる。
【0128】
続くS150では、認証装置5よる各利用者の認証結果を取得する。この結果、各認証装置5により、例えば、前記テーブルT1に示すように、各座席19の各認証装置5に対応した各利用者の認証結果のデータが得られる。ここで、S110において履歴がオールクリアとならない場合、テーブルT1には、過去の認証結果も残存するため、認証結果(即ち、認証されたことを示す情報又は認証されていないことを示す情報)と共に、認証した際のタイムスタンプを記憶しておく。
【0129】
続くS160では、前記認証結果のテーブルT1と上述した認証レベルのテーブルT2とに基づいて、利用者の座席19を推定し、一旦本処理を終了する。
【0130】
詳しくは、テーブルT1とテーブルT2とを用いて、前記各利用者の認証レベルのテーブルT3を作成し、そのテーブルT3に基づいて、利用者の座席19を推定する。テーブルT1において履歴が残存している場合、新しいタイムスタンプの認証結果を参照し、認証レベルを決定する。テーブルT3には、決定した認証レベルと共に認証した際のタイムスタンプを記憶しておくとよい。利用者の座席19を推定する際は、テーブルT3において新しいタイムスタンプの認証レベルを参照する。これにより、前記利用者の座席19を推定したテーブルT4が得られる。
【0131】
このようにして、車両17のどの座席19にどの利用者が着座しているかを推定することができる。
【0132】
<アクセス認可処理>
このアクセス認可処理とは、アクセス同意確認者を決定して、アクセス同意確認等を行う処理である。
このアクセス認可処理とは、アクセス同意確認者を決定して、アクセス同意確認等を行う処理である。
【0133】
図14のフローチャートに示すように、まず、S200では、サービスアプリケーション21からのサービス要求があるか否かを判定する。ここで肯定判断されるとS210に進み、一方否定判断されると一旦本処理を終了する。なお、ここでサービス要求としては、例えば、車両サービス25に対して、何からの情報(例えば、プライバシー情報やプライバシー情報以外の各種の情報)を要求すること等が挙げられる。
【0134】
S210では、プライバシー情報へのアクセス要求があるか否かを判定する。ここで肯定判断されるとS220に進み、一方否定判断されるとS250に進む。
【0135】
S220では、プライバシー情報へのアクセス要求があったので、前記アクセス同意確認者のテーブルT5と、前記利用者座席推定のテーブルT4(即ち、利用者座席情報)とに基づいて、アクセス同意確認を行う利用者(即ち、アクセス同意確認者)を選定(即ち、決定)する。
【0136】
続くS230では、S220で選定した利用者(即ち、アクセス同意確認者)のみに、確認装置7を用いて、アクセス同意確認を行う。例えば、確認装置7によって、音声やディスプレイを用いて、利用者にアクセス同意確認のための操作を促す。
【0137】
続くS240では、アクセス同意確認者によって、確認装置7に対してアクセス同意確認の操作がなされたか否かを判定する。ここで肯定判断されるとS250に進み、一方否定判断されると一旦本処理を終了する。アクセス同意確認者が複数いる場合は、全員のアクセス同意が確認された場合に、肯定判断とみなす。
【0138】
S250では、S240にてアクセス同意確認がなされたので、プライバシー情報へのアクセスを認可して、アクセス要求に応じる処理を行い、一旦本処理を終了する。
【0139】
つまり、本処理により、プライバシー情報等の情報を、車両サービス25からサービスアプリケーション21へ提供することが可能となる。
【0140】
なお、前記S210で否定判断された場合には、プライバシー情報以外の各種の情報をサービスアプリケーション21に提供することが可能である。
【0141】
このように、本処理により、各種の車両サービス25の利用が可能となり、車両情報等の各種の情報の取得や提供等を行うことができる。
【0142】
[1-8.効果]
本実施形態によれば、以下の効果が得られる。
本実施形態によれば、以下の効果が得られる。
【0143】
(1a)本実施形態では、車両17の各座席19ごとに、どの利用者がどの認証方法(例えば、どの認証装置5)により認証されたかを示すデータを管理している。従って、利用者のプライバシー情報へのアクセスに関し、前記データ等を用いることにより、各座席19に紐付くどの利用者の同意が必要かを決定することができる。詳しくは、各テーブルT1~T5を利用して、プライバシー情報にアクセスするための同意が必要な利用者(即ち、アクセス同意確認者)を決定することができる。
【0144】
そのため、プライバシー情報にアクセスするための同意の確認(即ち、アクセス同意確認)を、前記アクセス同意確認者のみに対して適切に実施できる。その結果、車両17の利用者全員にアクセス同意確認するような場合に比べて、アクセス同意確認の負担を軽減できる。また、必要な利用者に対して速やかにアクセス同意確認ができるので、サービスアプリケーション21の品質劣化を抑制することができる。
【0145】
(1b)本実施形態では、各認証方法による認証結果と、各認証方法の認証の精度に応じて設定された認証レベルと、に基づいて、各利用者が着座する座席19を推定する。詳しくは、各座席19に対して、最も高い認証レベルに設定された利用者を、当該座席19と紐付けるように構成されている。従って、座席19を推定する精度が高いという効果がある。
【0146】
(1c)本実施形態では、認証の結果が記憶されたデータは、予め決められた所定のデータ更新の条件が満たされた場合に更新されるように構成されている。従って、前記データの更新を適切に実施できるという利点がある。
【0147】
(1d)本実施形態では、同意確認の選定に用いるデータは、所定のデータ消去の条件が満たされた場合に消去されるように構成されている。従って、同意確認の選定に用いるデータが適切に保護されているという利点がある。
【0148】
[1-9.対応関係]
次に、本実施形態と本開示との関係について説明する。
次に、本実施形態と本開示との関係について説明する。
【0149】
電子制御装置3、4、12は電子制御装置に対応し、車両17は車両に対応し、座席19は座席に対応し、アクセス認可システム23はアクセス認可システムに対応し、利用者認証情報管理部23bは管理部又は取得部に対応し、アクセス認可部23cは決定部に対応し、車両情報取得部23dはアクセス部に対応し、メモリ15及び利用者認証情報管理部23bは管理データ記憶部に対応する。
【0150】
[2.他の実施形態]
以上、本開示の実施形態について説明したが、本開示は、上記実施形態に限定されることなく、種々の形態を採り得ることは言うまでもない。
以上、本開示の実施形態について説明したが、本開示は、上記実施形態に限定されることなく、種々の形態を採り得ることは言うまでもない。
【0151】
(2a)前記実施形態では、各座席ごとに認証装置を配置したが、それ以外の構成であってもよい。例えば、車室内に1台または複数のカメラ認証装置を配置し、このカメラ認証装置で全ての乗員(即ち、利用者)を撮影して、各利用者の認証を行ってもよい。
【0152】
また、各利用者が携帯する情報端末(例えば、スマートフォン)を用いて、カメラ認証や指紋認証を行ってもよい。この場合は、車両の電子制御装置(即ち、ECU)と情報端末との間で予め通信を行って、情報端末の利用者の特定を行う。また、ECUに対する情報端末の方向や位置を、例えば電波の方向や強度等に基づいて求めることにより、情報端末がどの座席に着座する利用者の情報端末かを確認しておく(即ち、情報端末と座席との紐付けを行う)。
【0153】
(2b)前記実施形態では、各座席ごとに確認装置を配置したが、それ以外の構成であってもよい。例えば、車室内に1台または複数の確認装置を配置し、この確認装置で全ての乗員(即ち、利用者)のアクセス同意確認を行うようにしてもよい。なお、この場合は、どの利用者が確認操作を行うかを区別する必要がある。例えば、ある確認装置のタッチパネルに、利用者ごとに区分された同意確認する欄を設ける方法等を採用できる。
【0154】
また、上述の認証装置のように、各利用者が携帯する情報端末(例えば、スマートフォン)を用いて、アクセス同意確認を行ってもよい。この場合も、上述の認証装置と同様に、情報端末の利用者の特定や、情報端末の方向や位置に基づいて座席との紐付けを行う。
【0155】
(2c)前記実施形態では、アプリケーションサービス、アクセス認可システム、及び車両サービスが、車両に搭載されている例を挙げたが、アプリケーションサービス、アクセス認可システム、及び車両サービスの少なくとも1種が、車両以外の例えばクラウド側のサーバ9等に設けられていてもよい。
【0156】
(2d)過去に同じ座席に異なる利用者が紐付けられていたことを示す情報がある場合には、前記図14のS230で同意確認を行う際に、現在及び過去に同じ座席に紐付けられた利用者の全員から同意確認を得るようにしてもよい。例えば、テーブルT1、T3に記憶される履歴を参照し、過去に当該座席に紐づけられた利用者を判別することができる。例えば、サービスアプリケーションが一週間分の位置情報へのアクセスを要求する場合、一週間の間に運転席に紐づけられた利用者全員の同意確認が必要と判断する。
【0157】
なお、前記利用者の全員が、現在同じ車両に搭乗していない場合もあるので、そのようなときには、現在、同じ車両に搭乗している前記利用者の同意確認を得るようにしてもよい。このように、関係者全員に同意確認を行うことにより、プライバシー情報の保護を一層好適に行うことができる。
【0158】
例えば、運転者が交代した場合には、運転者の交代に応じて、新たに同意確認の選定に用いるデータ(例えば、認証結果のテーブルT1)を取得して、新たにアクセス同意確認者を選定することが考えられる。この場合は、同じ運転席に、前回と今回とで異なる利用者が紐付けされる。従って、このような場合には、同じ座席に紐付けられた現在及び過去の利用者の全員に同意確認を行ってもよい。なお、新たに紐付けする場合に、同じ座席の過去のデータを消去する場合には、このような処理を行う必要はない。
【0159】
(2e)アクセス同意確認は、あるサービスアプリケーションからのサービス要求に対して、1回実施されればよいが、複数回実施してもよい。例えば、車両が始動された場合(例えば、イグニッションスイッチがオンとなった場合)に実施するようにしてもよい。また、ある座席の利用者が変化した場合に実施してもよい。あるいは、所定の期間が経過した場合に実施してもよい。
【0160】
(2f)本開示に記載のアクセス認可システムの制御およびその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサおよびメモリを構成することによって提供された専用コンピュータにより、実現されてもよい。
【0161】
あるいは、本開示に記載のアクセス認可システムおよびその手法は、一つ以上の専用ハードウェア論理回路によってプロセッサを構成することによって提供された専用コンピュータにより、実現されてもよい。
【0162】
もしくは、本開示に記載のアクセス認可システムおよびその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサおよびメモリと一つ以上のハードウェア論理回路によって構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより、実現されてもよい。
【0163】
また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されてもよい。動作制御装置に含まれる各部の機能を実現する手法には、必ずしもソフトウェアが含まれている必要はなく、その全部の機能が、一つあるいは複数のハードウェアを用いて実現されてもよい。
【0164】
(2g)上述したアクセス認可システムの他、当該アクセス認可システムを構成要素とするシステム、当該アクセス認可システムのコンピュータを機能させるためのプログラム、このプログラムを記録した半導体メモリ等の非遷移有形記録媒体、制御方法など、種々の形態で本開示を実現することもできる。
【0165】
(2h)上記実施形態における1つの構成要素が有する複数の機能を、複数の構成要素によって実現したり、1つの構成要素が有する1つの機能を、複数の構成要素によって実現したりしてもよい。また、複数の構成要素が有する複数の機能を、1つの構成要素によって実現したり、複数の構成要素によって実現される1つの機能を、1つの構成要素によって実現したりしてもよい。また、上記実施形態の構成の一部を省略してもよい。また、上記実施形態の構成の少なくとも一部を、他の実施形態の構成に対して付加または置換してもよい。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】