技術 携帯型端末装置の機能制限システム

0001

本発明は、携帯電話機、携帯情報端末、デジタルビデオカメラ及びデジタルスチルカメラ等の携帯型端末装置（携帯型電子機器）の機能制限システムに関し、特に、当該携帯型端末装置が有する所定の機能の実行を禁止し、その禁止を不正解除できないように携帯型端末装置の機能を制限する携帯型端末装置の機能制限システムに関する。

0002

近年の情報通信技術の発達により、携帯電話機、携帯情報端末、デジタルカメラなどの携帯型端末装置は高機能化、小型化が進み、特に携帯電話機は爆発的に普及している。

0003

現在普及している携帯電話機のほとんどの機種にはカメラ機能（撮影機能）が備えられており、ＴＶ（テレビ）電話機能を備えたものも少なくない。このため、特別な装置を用いることなく、だれもが音声や映像を記録したり、任意の情報を無線で送信したりすることが可能な環境にある。

0004

工場や研究施設など機密情報を扱う施設では、機密漏えいを防止するため、これら携帯型端末装置の持ち込み自体を禁止しているところは少なくない。また、コンサート会場、美術館、映画館などでも、著作権保護の観点からこれらの携帯型端末装置の持ち込みを制限することもある。

0005

一方、携帯電話機や携帯情報端末は、個人情報や機密情報のかたまりであるだけでなく、最近は電子マネー機能をも有した携帯電話機も普及している。このため、携帯電話機等を預かる管理者は細心の注意を払って預かる必要があり、万が一にも盗難された場合には補償や社会的信用の失墜といった問題が発生するため、非常に大きな手間とコストがかかっている。

0006

預けるユーザにとっても、信頼できる管理者か否かが非常に不安であり、知らない間に情報やお金が盗難されるというリスクを常に負うことになる。また、多機能化した携帯電話機は、単に電話であるというだけでなく、時計であり、スケジュール帳であり、カメラであり、音楽プレーヤーであり、ゲーム機であり、電子ブックなどであったりするため、特定の機能を禁止するためだけに携帯電話機ごと他人（管理者等）に預けるといったことは、ユーザにとって受け入れがたく、大変な不便を強いる。

0007

下記特許文献１では、特定の動作モードでの使用が禁止されている施設等において自動的にその動作モードでの使用を禁止するようにした携帯型電気機器および電気機器制御システムを提供している。

0008

しかしながら、その電気機器制御システムにおいては、動作禁止を指示する電波を発信するための装置を設置する必要があり、システムが大規模になる。また、使用するのが電波であるため、禁止区域外にも禁止を指示する電波が漏洩し、禁止する必要のない機器に悪影響を与える可能性があるなど、明確に禁止区域と禁止区域外を分けることは難しい。

0009

さらに、電波を使うことから、電波強度や周波数などに関する関係法令に準拠する必要があり、実施方法によっては設置に免許等が必要になる場合もある。このため、管理者が簡単にシステムを設置するのは難しい。

0010

また、施設に持ち込まれるすべての機器が当該システムに対応している必要があり、自動的にすべての機器における特定動作モードでの使用を制限することは、現実的には不可能であった。このため、特に機密レベルの高い施設では自動化するわけにはいかず、結局は持ち込みを行う機器が当該システムに対応しているのか否かを人手で確認し、必要に応じて管理者が機器を預かる必要があったが、その確認自体も容易に行うことはできなかった。

0011

また、下記特許文献２では、カメラ付き携帯電話機などの携帯式撮影装置を所持する訪問者から該装置を預かることなく、施設の秘密事項などの撮影を防止できる携帯式撮影装置用のレンズカバーを提供している。

0012

しかしながら、下記特許文献２に開示されたシール式のレンズカバーでは、ユーザが該レンズカバーを一時的に剥がして秘密事項等を撮影してしまう可能性がある。また、剥離すると接着剤が残ることで剥離したことが判明するシールであれば、接着剤でレンズを汚してしまう問題がある。レンズは非常にデリケートな光学部品であり、レンズに残った接着剤をふき取る際にレンズに傷をつけてしまう可能性もあった。このため、ユーザの大切な撮影装置を汚したり傷つけたりするレンズカバーは、ユーザにとっても、管理者にとっても受け入れにくかった。

0013

更に、禁止できるのはカメラ機能だけで、録音、通話、データ通信などといった機能については禁止することができなかった。

0014

特開平１１−２６１６７４号公報
登録実用新案第３１０４７９６号公報

0015

以上のように、従来は自動的に電波を用いて特定の機能を禁止しようとしても、対応していない機器に対しては無力であるため、結局は管理者が機器を預かる必要があった。また、電波は明確に禁止区域と禁止区域外を分けることが困難であるため、禁止区域に電波が届かなかったり、禁止区域外に電波が漏れ出したりして、所望の制御ができない問題もあった。

0016

また、シール式のレンズカバーを用いれば、管理者が携帯式撮影装置を預かる必要がないが、ユーザが不正にシールを剥がしたり、接着剤がレンズに残る問題があった。

0017

本発明は、上記の点に鑑み、携帯型端末機能が有する所定の機能の実行を簡便に禁止することができ、且つ、その禁止の不正解除を有効に防止することができる携帯型端末装置の機能制限システムを提供することを目的とする。

0018

上記目的を達成するために本発明に係る携帯型端末装置の機能制限システムは、携帯型端末装置と、該携帯型端末装置に対する機能制限を管理する端末管理装置と、を備えて構成され、前記端末管理装置は、前記携帯型端末装置が有する所定の機能の実行を禁止するためのロックコード及びその実行禁止を解除するための解除コードを生成するコード生成手段を備え、前記携帯型端末装置は、前記ロックコード及び前記解除コードの入力を受けるコード入力手段と、入力された前記ロックコードに従って前記所定の機能の実行を禁止するとともに、入力された前記解除コードに従ってその実行禁止を解除する機能制御手段と、を備えている。そして、好ましくは、前記解除コードは、前記ロックコードとは異なるコードである。

0019

これにより、端末管理装置が生成したロックコードが入力された携帯型端末装置の所定の機能は、解除コードが入力されるまで実行できない。これを利用すれば、例えば、管理者によって所定の機能（機能の実行）が禁止された区域にユーザが入場する際、ユーザは管理者に携帯型端末装置を預けることなく、携帯型端末装置を当該区域に持ち込むことができるようになる。

0020

好ましくは、例えば、前記コード生成手段は、生成する前記解除コードに対して所定の演算を施すことによって得られるデータを、生成する前記ロックコードに含め、前記機能制御手段は、入力された前記解除コードに対して前記所定の演算を施すことによって得られるデータが、入力された前記ロックコードの所定の部分と一致している場合に、前記所定の機能の実行禁止を解除する。

0021

これにより、ユーザはロックコードから解除コードを求めることができず、ユーザが不正に解除コードを入力して機能禁止（機能の実行禁止）を解除することが有効に防止される。また、解除コードを知っていればロックコードを求めることができるため、管理者は正しいロックコードで機能が禁止されているかの確認及び機能禁止の解除を行うことができる。

0022

また、好ましくは例えば、前記コード生成手段は、所定の被暗号化データと該被暗号化データに暗号化を施すことによって得られるデータを、生成する前記ロックコードに含めるとともに、暗号化された前記被暗号化データを復号化するための鍵データを、生成する前記解除コードに含め、前記機能制御手段は、入力された前記解除コードに含まれる前記鍵データにて入力された前記ロックコードの一部を復号化することにより得られるデータが、入力された前記ロックコード内の前記被暗号化データと一致している場合に、前記所定の機能の実行禁止を解除する。

0023

また、例えば、前記コード生成手段は、予め定められた被暗号化データに暗号化を施すことによって得られるデータを、生成する前記ロックコードに含めるとともに、暗号化された前記被暗号化データを復号化するための鍵データを、生成する前記解除コードに含め、 前記機能制御手段は、入力された前記解除コードに含まれる前記鍵データにて入力された前記ロックコードの一部を復号化することにより得られるデータが、前記被暗号化データと一致している場合に、前記所定の機能の実行禁止を解除するようにしてもよい。

0024

これらによっても、ユーザはロックコードから解除コードを求めることができず、ユーザが不正に解除コードを入力して機能禁止（機能の実行禁止）を解除することが有効に防止される。また、解除コードを知っていれば被暗号化データを復号することができるため、管理者は正しいロックコードで機能が禁止されているかの確認及び機能禁止の解除を行うことができる。

0025

また、好ましくは例えば、前記端末管理装置は、前記コード生成手段が生成した前記ロックコード及び前記解除コードを画像として符号化して出力する画像出力手段を更に備え、前記携帯型端末装置は、画像を撮影するための撮像手段を更に備え、前記コード入力手段は、前記撮像手段によって撮影された符号化された画像を復号化することにより、前記ロックコード及び前記解除コードを得る。

0026

これにより、ロックコードや解除コードが長いデータであっても、ユーザはカメラ機能（撮影機能）を用いて容易にコード入力を行うことができる。

0027

また、好ましくは例えば、前記端末管理装置は、前記コード生成手段が生成した前記ロックコード及び前記解除コードを文字として符号化して出力する文字出力手段を更に備え、前記携帯型端末装置は、文字を入力するためのキー入力手段を更に備え、前記コード入力手段は、前記キー入力手段を介して入力された符号化された文字を復号化することにより、前記ロックコード及び前記解除コードを得る。

0028

これにより、撮影機能を持たない携帯型端末装置であっても、キー入力手段を用いてロックコードや解除コードの入力を行うことができる。

0029

そして、例えば、前記文字出力手段は、０〜９の数字と２種の記号を含む文字を用いて前記ロックコード及び前記解除コードを符号化するとよい。

0030

上記２種の記号としては、例えば「＊」（アスタリスク）や「＃」（シャープ）が採用可能である。上記のように構成することにより、例えば、携帯型端末装置が携帯電話機等の場合には、文字入力モードを切り替えることなく、ロックコード及び解除コードの入力を行うことができるようになる。

0031

また、好ましくは例えば、前記コード生成手段は、前記ロックコードに前記携帯型端末装置のどの機能の実行を禁止するかを示す機能禁止フラグを含め、前記機能制御手段は、前記機能禁止フラグにて示された機能の実行を禁止する。

0032

これにより、「カメラ機能とＴＶ電話機能を禁止する」などのように、管理者は所望の機能だけを選択して携帯型端末装置の機能を禁止することができる。

0033

また、好ましくは例えば、前記コード生成手段は、前記ロックコードに前記所定の機能の実行を禁止する期間を示す期間情報を含め、前記機能制御手段は、前記所定の機能の実行を禁止してから前記期間情報に従った時間が経過したとき、前記所定の機能の実行禁止を解除する。

0034

これにより、仮にユーザが解除コードを入力し忘れたとしても、所定の時間が経過すれば自動的に機能禁止が解除され、ユーザの便宜が図られる。

0035

具体的には、例えば、前記携帯型端末装置は、時刻を計測するタイマー手段と、前記タイマー手段の計測結果を利用して前記所定の機能の実行を禁止してからの経過時間を計測するカウンタ手段と、を更に備え、前記機能制御手段は、前記経過時間が前記期間情報に従った時間に達したとき、前記所定の機能の実行禁止を解除する。

0036

また、好ましくは例えば、前記携帯型端末装置は、入力された前記ロックコードに対して所定の演算を行うことで取得される認証コードを表示可能な表示手段を更に備え、前記端末管理装置は、前記認証コードの入力を受ける認証コード入力手段と、入力された前記認証コードが前記コード生成手段が生成した前記ロックコードに基づいて得られたものであるかを検証する認証コード検証手段と、を更に備えている。

0037

これにより、ユーザが正しいロックコードで携帯型端末装置の機能を禁止（実行の禁止）しているかを、必要に応じて管理者が確認できるようになる。このため、ユーザが不正に別のロックコードを使って携帯型端末装置の機能を禁止するのを防止することができる。

0038

そして、好ましくは例えば、前記携帯型端末装置は、前記認証コードを画像として符号化してから前記表示手段に表示し、前記端末管理装置は、画像を撮影するための管理装置側撮像手段を更に備え、前記認証コード入力手段は、前記管理装置側撮像手段によって撮影された符号化された画像を復号化することにより、前記認証コードを得る。

0039

これにより、管理者は画像を読み取ることで認証コードを確認することができるため、認証コードの確認の容易化が図られる。

0040

上述した通り、本発明によれば、ロックコードの入力された携帯型端末装置の所定の機能は、解除コードが入力されるまで実行できない。これを利用すれば、例えば、管理者によって所定の機能（機能の実行）が禁止された区域にユーザが入場する際、ユーザは管理者に携帯型端末装置を預けることなく、携帯型端末装置を当該区域に持ち込むことができるようになる。これにより、管理者側はユーザの携帯型端末装置を管理するコストやリスクを負わなくて済み、ユーザ側は管理者に情報や財産が奪われるという心配をしなくても済むようになる。

0041

＜＜第１実施形態＞＞
以下、本発明の第１の実施の形態について図面を参照して説明する。以下の説明において、同一の部分には同一の符号を付してあり、同一の部分の名称及び機能等は、特記なき限り同じとなっている。このため、同一の部分についての重複する説明は繰り返さない。また、本明細書において、「機能の実行の禁止」と「機能の禁止」は、同義である。

0042

図１は、本実施の形態に係る携帯型端末装置の機能制限システムの構成を示す概要図である。携帯型端末装置の所定の機能が禁止（実行禁止）されるべき研究施設等のエリア４０の入口と出口に、それぞれ端末管理装置（端末制御装置）２０が設置される。

0043

携帯型端末装置１を所持するユーザ４１は、入口において、入口に設置された端末管理装置２０が提示したロックコードを携帯型端末装置１に入力することで、所定の機能を禁止した状態でエリア４０に入場する。

0044

ユーザ４１はエリア４０を出場する際、出口において、出口に設置された端末管理装置２０が提示した解除コードを携帯型端末装置１に入力することにより、所定の機能の禁止を解除する。入口に設置された端末管理装置２０と出口に設置された端末管理装置２０は通信回線で結ばれ、それらは、ユーザ毎に（或いは携帯端末装置１毎に）異なるロックコード、解除コードを提示する。

0045

図１では、エリア４０の入口と出口が分かれているが、入口と出口を共有する場合は（即ち、出入口が１つの場合は）、端末管理装置２０は１台のみで足り、その共有された出入口に設置された１台の端末管理装置２０が上記ロックコードと解除コードの双方をユーザ４１に対して発行する。

0046

また、端末管理装置２０をエリア４０とは別の場所に設置し、全てのユーザに共通のロックコードと解除コードを発行するようにしても構わない。その場合、例えば、その共通のロックコードと解除コードを紙等に印刷し、ロックコードをエリア４０の入口に、解除コードを出口に掲示する。

0047

図２は、本実施の形態に係る携帯型端末装置１としての携帯電話機の機能構成を示すブロック図である。携帯型端末装置１は、機能制御手段１０、メモリ１１、キー入力手段２、撮像手段３、表示手段４、音声入力手段５、通信手段１３、タイマー手段１４及びカウンタ手段１５を備える。

0048

機能制御手段１０は、ＣＰＵ（Central Processing Unit）およびＣＰＵ上で実行されるプログラムによって実現され、携帯型端末装置１全体の機能を制御する。メモリ１１は、ＲＡＭ(Random Access Memory)またはＲＡＭとＲＯＭ（Read Only Memory）を含んで構成され、メモリ１１上にプログラムや作業データなどが置かれる。

0049

キー入力手段２は、ユーザからの文字入力やメニュー操作のためのキー入力を受け付ける。キー入力手段２は、０〜９の数字やひらがな等の他、「＊」（アスタリスク）や「＃」（シャープ）等の記号のキー入力を受け付ける。撮像手段３は、動画もしくは静止画を撮影する。表示手段４は、メニュー、ユーザへのメッセージや画像などの表示を行う。音声入力手段５は、通話時や録音時に音声を入力する。通信手段１３は、通話やデータ通信時などにおいて、基地局と通信を行う。

0050

タイマー手段１４は、時刻（現在時刻）を計測するものである。タイマー手段１４は、携帯型端末装置１の電源（主電源）がオフの時も図示されないバッテリを駆動源として動作し、時刻を計測し続ける。カウンタ手段１５は、メモリ１１上に構成されている。機能制御手段１０がタイマー手段１４の計測結果を参照することにより、（原則として）一定時間が経過するごとにカウンタ手段１５のカウント値は更新される。

0051

携帯型端末装置１は、音声による通話機能、ＴＶ（テレビ）電話機能、録音機能、カメラ機能、メール送受信機能、Ｗｅｂページを閲覧するためのＷｅｂブラウザ機能、所謂アプリ機能などの複数の機能を実現可能となっている。それらの複数の機能の内の何れかの機能の実行は、所定の操作によって禁止され、該禁止を行う際に用いるロックコード及び該禁止を解除する際に用いる解除コードは、コード入力手段１２を介して入力される。コード入力手段１２は、キー入力手段２及び撮像手段３を用いて構成されるが、キー入力手段２を用いることなく又は撮像手段３を用いることなく、コード入力手段１２を構成することも可能である。

0052

携帯型端末装置１の動作状態は、互いに異なる複数の動作状態から択一的に選択される。その選択動作は、例えば、機能制御手段１０或いは上記ＣＰＵによって行われる。上記複数の動作状態には、通常状態、休止状態、および電源オフ状態が含まれる。通常状態及び休止状態は、携帯型端末装置１の電源（主電源）がオンである場合に選択される動作状態であり、電源オフ状態は、電源（主電源）がオフである場合に選択される動作状態である。

0053

通常状態では、携帯型端末装置１の有する機能を（上記所定の操作によって禁止されていない限り）全て実行可能である。休止状態は、キー入力手段２等を用いた携帯型端末装置１への操作を一定時間行わなかったとき、或いは、携帯型端末装置１が図３のように折り畳み式である場合に携帯型端末装置１を折り畳んだときに、選択される動作状態である。携帯型端末装置１の動作状態が休止状態となっている場合において、キー入力手段２等を用いた何らかの操作を携帯型端末装置１に施すと、或いは、携帯型端末装置１が図３のように折り畳み式である場合に携帯型端末装置１を折り畳んだ状態から開いた状態に移行させると、携帯型端末装置１の動作状態は直ちに上記通常状態に移行する。

0054

休止状態では、一部の機能を除いて携帯型端末装置１の有する機能の殆どが停止している（実行されないようになっている）。具体的には例えば、休止状態では、タイマー手段１４による時刻の計測機能及び電話の着信を待ち受ける受信待ち機能等を除いて、携帯型端末装置１の有する機能の殆どが停止している。電源オフ状態では、タイマー手段１４による時刻の計測機能を除いた他の全ての機能が停止している。上記のように、通常状態だけでなく、休止状態及び電源オフ状態においても、タイマー手段１４は時刻の計測を行う。

0055

尚、携帯型端末装置１の動作状態として、通常状態、休止状態、および電源オフ状態以外の他の動作状態を別途設けるようにしても構わない。

0056

図３は、本実施の形態に係る携帯型端末装置１としての携帯電話機の外観図である。携帯電話機は折り畳み式となっており、図３（ａ）及び（ｂ）は、それぞれ、その折り畳みを開いた際における表面概観図及び側面概観図である。携帯型端末装置１の表面側にはＬＣＤ（Liquid Crystal Display）などで実現される表示手段４とキー入力手段２が配置され、背面側にはレンズ及び撮像素子などで実現される撮像手段３が配置される。

0057

図４は、本実施の形態に係る端末管理装置２０の機能構成を示すブロック図である。端末管理装置２０は、ＣＰＵ２１、メモリ２２、表示手段２３、キー入力手段２４、撮像手段２５、ＨＤＤ（Hard Disk Drive）２６、通信手段２７を備える。

0058

端末管理装置２０の機能は、ＣＰＵ２１上で実行されるプログラムによって実現される。メモリ２２は、ＲＡＭまたはＲＡＭとＲＯＭを含んで構成され、実行中のプログラムや作業データなどを格納する。表示手段２３は、メニュー、メッセージや画像などの表示を行う。

0059

キー入力手段２４は、ユーザから文字入力や各種操作のためのキー入力を受け付ける。撮像手段２５は、動画もしくは静止画を撮影する。ＨＤＤ２６は、プログラムや保存すべきロックコード及び解除コード等を格納する。ＣＰＵ２１は、通信手段２７を用いて他の端末管理装置２０とデータ通信を行うことにより、他の端末管理装置２０のＨＤＤ２６に保存されたロックコード及び解除コード等の各種データを複数の端末管理装置２０間で共有する。

0060

図１３を参照して、本実施の形態に係る端末管理装置２０における、ロックコードの生成、解除コードの生成及びそれらの保存の処理手順について説明する。図１のように２台の端末管理装置２０を用いる場合、図１３を参照して説明されるステップＳ２０〜Ｓ２３の処理は、エリア４０の入口に設置された端末管理装置２０が行う。

0061

まず、ステップＳ２０にて、携帯型端末装置１を所持するユーザ４１がキー入力手段２４を介してユーザＩＤを端末管理装置２０（入口側の端末管理装置２０）に入力する。ＣＰＵ２１は、入力された該ユーザＩＤをメモリ２２に格納する。ユーザＩＤが二次元コードやバーコード等の画像で符号化されている場合、撮像手段２５による二次元コード等の撮影画像データをメモリ２２に格納し、ＣＰＵ２１が該撮影画像データからユーザＩＤを復号する（復号されたユーザＩＤは、メモリ２２に格納される）。

0062

ステップＳ２０を終えて移行するステップＳ２１において、ＣＰＵ２１はロックコードと解除コードを生成し、続くステップＳ２２にてＣＰＵ２１はＨＤＤ２６にユーザＩＤとロックコードと解除コードを互いに関連付けて保存する。その後、ステップＳ２３にてＣＰＵ２１は、表示手段２３にロックコードを出力する（表示させる）。ユーザ４１は、出力されたロックコードをコード入力手段１２（図２）を介して携帯型端末装置１に入力する。詳細は後述するが、これにより、ロックコードにて指定された携帯型端末装置１の所定の機能（以下、機能Ａという）が禁止される。

0063

ステップＳ２０にて入力されるユーザＩＤは、携帯型端末装置１を所持するユーザ４１ごとに（或いは携帯型端末装置１ごとに）個別に設定されており、ユーザ４１が異なれば（或いは携帯型端末装置１が異なれば）該ユーザＩＤも異なる。尚、全てのユーザ４１（或いは携帯型端末装置１）に対して同じロックコード及び解除コードを用いるようにしてもよく、その場合は、ユーザＩＤは不要となり上記ステップＳ２０の処理は省略される。

0064

以下、ステップＳ２１にて生成されるロックコード及び解除コードについて説明する。

0065

図６に、ロックコードのデータ構造例を示す。ロックコードは、ヘッダ情報、期間情報、機能禁止フラグ、ロック鍵データ及びハッシュ値から構成される。

0066

ロックコードのヘッダ情報には、ロックコードを識別するための固定の文字列からなる識別子、バージョン番号及びロックコードのデータサイズなどが含まれる。

0067

期間情報には、機能Ａの実行禁止を行う期間を示すデータが含まれている。例えば、期間情報にて機能Ａの実行を禁止する秒数などを指定する。

0068

機能禁止フラグは複数のフラグから成り、機能禁止フラグによってどの機能の実行を禁止するかが特定される。例えば図７のように、２進数の各ビットにどの機能を禁止するか否かのフラグが割り当てられ、それらのビット（フラグ）によって機能禁止フラグは構成される。そして、１が立っているビットの機能を禁止すると解釈する。

0069

ロック鍵データは、後述するように、機能Ａの実行禁止を解除する解除鍵データが正しいか否かを判定するために使用される。

0070

ロックコードにおけるハッシュ値は、ロックコード（ロックコードのハッシュ値以外のデータ）を原文とし、該原文から公知技術であるＭＤ５（Message Digest 5）、ＳＨＡ−１（Secure Hash Algorithm 1）などの一方向性ハッシュ関数を用いて生成されたハッシュ値であり、ロックコードが改竄されていないことを確認するために使用される。

0071

尚、図６に示したロックコードは一例であり、処理において期間情報を考慮しない（後述する図５のステップＳ１７に関する処理を行わない）、もしくは、あらかじめ定めた期間だけ機能Ａを禁止するのであれば期間情報は省略可能であり、また、禁止する機能がカメラ機能などあらかじめ定めた機能だけであるならば機能禁止フラグは省略可能である。

0072

図８に、解除コードのデータ構造例を示す。解除コードは、ヘッダ情報、解除鍵データ及びハッシュ値から構成される。

0073

解除コードのヘッダ情報には、解除コードを識別するための固定の文字列からなる識別子、バージョン番号及び解除コードのデータサイズなどが含まれる。

0074

解除鍵データは、後述するように、所定の演算に用いられ、機能Ａの実行禁止を解除するか否かを判定するために用いられる。

0075

解除コードにおけるハッシュ値は、解除コード（解除コードのハッシュ値以外のデータ）を原文とし、該原文から公知技術であるＭＤ５、ＳＨＡ−１などの一方向性ハッシュ関数を用いて生成されたハッシュ値であり、解除コードが改竄されていないことを確認するために使用される。

0076

ステップＳ２１にて生成されるロックコードのロック鍵データ（図６参照）をＫＬ、そのロックコードと同時生成される解除コードの解除鍵データ（図８参照）をＫＵとして、ロック鍵データ及び解除鍵データについて詳細な説明を行う。ステップＳ２１にて同時生成されたロックコードと解除コードは対となっており、ロックコードと対を成す解除コードを用いなければ、携帯型端末装置１の機能禁止を解除することはできない。ロック鍵データＫＬは、解除鍵データＫＵに対して所定の演算を施すことによって得られる値を示す。ロック鍵データＫＬと解除鍵データＫＵの関係は、下記式（１）によって表される。本実施の形態では、その所定の演算に公知技術であるＭＤ５、ＳＨＡ−１などの一方向性ハッシュ関数Ｈを用い、ＫＵのハッシュ値をＫＬとしているが、一方向性ハッシュ関数Ｈの代わりに暗号化関数を用いるようにしてもよい。
ＫＬ ＝ Ｈ（ＫＵ） ・・・（１）

0077

ＫＬからＫＵを求めるのは非常に困難であるため、ロックコードを知ったユーザが不正に解除コードを生成し、携帯型端末装置１の機能禁止を解除することはできない。また、ＫＵを１２８ビット以上にするなど十分に長いデータにしておけば、不正なユーザがＫＵを全数探索することでＫＬと一致するＫＵを見つけるといったことが抑制され、安全性が増す。反対に、ロックコード及び解除コードの入力の手間を軽減することを目的に、ＫＵ及びＫＬのデータ長を短くしても良い。

0078

図１５に、ステップＳ２２にて生成され、ＨＤＤ２６に保存されるロックコード及び解除コードの例を示す。上述したように、生成されたロックコード及び解除コードはユーザＩＤと関連付けてＨＤＤ２６に保存される。尚、ロックコードの代わりに、ロックコードに対して公知技術であるＭＤ５やＳＨＡ−１などの一方向性ハッシュ関数を用いて得たハッシュ値を保存するようにしてもよい。

0079

次に、図１４を参照して、本実施の形態に係る端末管理装置２０における解除コードの出力の処理手順について説明する。図１のように２台の端末管理装置２０を用いる場合、図１４を参照して説明されるステップＳ３０〜Ｓ３２の処理は、エリア４０の出口に設置された端末管理装置２０が行う。そして、その場合、入口に設置された端末管理装置２０のＨＤＤ２６に保存された解除コードは、ユーザＩＤと関連付けられつつ、通信手段２７を介して出口に設置された端末管理装置２０に共有される（ロックコード等のその他の各種データも共有可能である）。尚、３台以上の端末管理装置２０を利用することも可能であるが、その場合、各端末管理装置２０が扱うあらゆるデータは、全ての端末管理装置２０間で共有可能である。

0080

まず、ステップＳ３０にて、携帯型端末装置１を所持するユーザ４１がキー入力手段２４を介してユーザＩＤを端末管理装置２０（出口側の端末管理装置２０）に入力する。ＣＰＵ２１は、入力された該ユーザＩＤをメモリ２２に格納する。ユーザＩＤが二次元コードやバーコード等の画像で符号化されている場合、撮像手段２５による二次元コード等の撮影画像データをメモリ２２に格納し、ＣＰＵ２１が該撮影画像データからユーザＩＤを復号する（復号されたユーザＩＤは、メモリ２２に格納される）。

0081

ステップＳ３０を終えて移行するステップＳ３１において、ＣＰＵ２１は、ステップＳ３０で入力されたユーザＩＤに関連付けられてＨＤＤ２６に保存されている解除コードを読み出す。その後、ステップＳ３２にてＣＰＵ２１は、表示手段２３に解除コードを出力する（表示させる）。ユーザ４１は、出力された解除コードをコード入力手段１２を介して携帯型端末装置１に入力する。これにより、携帯型端末装置１の機能Ａの実行禁止が解除される。

0082

尚、本実施の形態ではステップＳ３０にてユーザＩＤを入力するようにしているが、全てのユーザ４１（或いは携帯型端末装置１）に対して同じロックコード及び解除コードを用いる場合は、上記ステップＳ３０の処理は省略可能である。

0083

次に、端末管理装置２０で生成したロックコード及び解除コードを表示手段２３に表示する方法について説明する。

0084

図９は、公知技術である二次元コードの一例である。二次元コードは、図９に示す如く、白と黒の微小な矩形にそれぞれ０または１の信号を割り当てることで、情報を画像に符号化する技術である。最近は、多くの携帯電話機にカメラ（図２の撮像手段３に相当）を使って二次元コードを読み取る機能が装備されており、ユーザはカメラで撮影するだけで情報を入力することができる。端末管理装置２０は、ロックコード及び解除コードをこのような二次元コードに符号化して表示手段２３に表示する。

0085

尚、二次元コードではなく、公知技術であるバーコードを用いてロックコードや解除コードを符号化し、表示手段２３に表示するようにしてよいし、電子透かし技術を用いて、写真などの画像にロックコードや解除コードを埋め込んで表示手段２３に表示するようにしてもよい。

0086

また、カメラ（図２の撮像手段３）を用いることなく、キー入力でロックコードや解除コードが入力できるよう、文字を用いてロックコードや解除コードを符号化し、表示手段２３に表示するようにしてもよい。

0087

通常、コンピュータ内でデータを表現するとき、１６進数が用いられる。一方、携帯型情報端末１として携帯電話機を想定した場合、１６進数をそのまま入力するためには文字入力モードを頻繁に切り替える必要があり、非常に不便である。そこで、端末管理装置２０で文字を用いてロックコードや解除コードを符号化するときは、１２進数に変換する。１２進数であれば、例えば「＊」に１０進数の１０、「＃」に１０進数の１１を割り当てることで、文字入力モードを数字モードにしたまま、ロックコードや解除コードの入力を行うことができる。なおかつ、１０進数と比べ、データを少ない桁で表現できるため、少ないキー入力回数でロックコードや解除コードの入力を行うことが出来る。

0088

一般に、或る値のｎ進数（ｎは２以上の整数）への変換は、その或る値をｎで次々に割っていった余りを下位の桁から並べていくことで容易に行うことができる。例えば、１６進数で「１ＦＣＣ６Ａ９３」という値は、１２で割った余りが１１、１０、９、８、１１、７、１０、２，１であるので、その値を１２進数で表現すると「１２＊７＃８９＊＃」となる。

0089

次に、図５を参照して、本実施の形態に係る携帯型端末装置１における、機能の実行禁止及び禁止解除の処理手順について説明する。図５は、その処理手順を示すフローチャートである。

0090

まず、機能制御手段１０は、ユーザ（管理者）から所定の機能（機能Ａ）の実行禁止を要求されると、ステップＳ１０にて、コード入力手段１２よりロックコードの入力を行い、入力されたロックコードをメモリ１１に格納する。つまり、エリア４０の入口に設置された端末管理装置２０が発行したロックコードをメモリ１１に格納する。ステップＳ１０を終えて移行するステップＳ１１において、機能制御手段１０は、メモリ１１に格納されたロックコードが正しいコードであるか否かの検証を行い、正しければステップＳ１２に移行して携帯型端末装置１の機能Ａの実行を禁止する。一方、正しくなければ図５の処理を終了する。

0091

ステップＳ１２を終えて移行するステップＳ１３にて、機能制御手段１０は、ユーザからキー入力手段２等を介して認証コードの要求があるかを確認する。認証コードの要求がなければ、そのままステップＳ１５に移行するが、認証コードの要求があれば、機能制御手段１０がステップＳ１４にて表示手段４に認証コードの表示を行ってからステップＳ１５に移行する。

0092

ステップＳ１５において、コード入力手段１２は解除コードの入力を受け付ける。解除コードが入力された場合、機能制御手段１０は、その解除コードをメモリ１１に格納し、更にステップＳ１６にて、格納された解除コードが正しいかどうかの確認を行う。エリア４０の出口に設置された端末管理装置２０が発行した正規の解除コードをステップＳ１５にて入力していれば、ステップＳ１６において、格納された解除コードは正しいと判断される。

0093

ステップＳ１５にて解除コードが入力されない場合、または、ステップＳ１６にて解除コードが正しいものではないと判断された場合は、ステップＳ１７に移行する。ステップＳ１７において、機能制御手段１０は、タイマー手段１４とカウンタ手段１５からの情報に基づいて、機能Ａの実行禁止を行ってから所定の時間が経過しているか否かの確認を行う。機能Ａの実行禁止を行ってから所定の時間が経過していない場合は、上述のステップＳ１３に戻ってステップＳ１３〜Ｓ１７の処理が繰り返される。機能Ａの実行禁止を行ってから所定の時間が経過している場合、または、ステップＳ１６にて解除コードが正しいと判断された場合は、ステップＳ１８に移行する。ステップＳ１８において、機能制御手段１０は携帯型端末装置１の機能Ａの実行禁止を解除する。

0094

ステップＳ１０におけるロックコードの入力とステップＳ１５における解除コードの入力を受け付けるコード入力手段１２について説明する。

0095

コード入力手段１２にキー入力手段２が使われるとき、ロックコード及び解除コードは、キー入力手段２を構成するボタン（キー）を介して入力される。この場合、ロックコード及び解除コードは文字にて符号化されており、コード入力手段１２（または機能制御手段１０）は、キー入力手段２を介して入力された符号化された文字を復号化することにより、ロックコード及び解除コードの入力を得る。

0096

キー入力手段２は、物理的なボタンに限らず、表示手段４上に表示された仮想キーボードによって構成されていてもよい。一般的に、コンピュータ内のデータは１６進数にて表現されるが、特に携帯電話機の場合、０〜９の数字を表すボタン並びに「＊」及び「＃」の記号を表すボタンが備えられているため、０〜９の数字だけで入力できる１０進数、あるいは、０〜９の数字に「＊」及び「＃」の記号を加えた１２進数でロックコード及び解除コードが表現されていると、入力時に文字入力モードを変更せずにデータが入力できるので望ましい。

0097

尚、或る値のｎ進数（ｎは２以上の整数）への変換は、その或る値をｎで次々に割っていった余りを下位の桁から並べていくことで容易に行うことができる。例えば「＊」に１０進数の１０、「＃」に１０進数の１１を割り当てた１２進数のデータ「１２＊７＃８９＊＃」があったとき、１６で割った余りは「３、９、１０、６、１２、１２、１５、１」であるので、その１２進数のデータを１６進数に変換すると「１ＦＣＣ６Ａ９３」となる。このように、コード入力手段１２を介して入力されたコード（ロックコード及び解除コード）は、携帯型端末装置１内で扱いやすい形式に変換される。

0098

また、コード入力手段１２に撮像手段３が使われるとき、ロックコード及び解除コードは、バーコード、図９に示したような二次元コード、または写真などに埋め込まれた電子透かしとして符号化されている。つまり、ロックコード及び解除コードは、画像として符号化されている。コード入力手段１２は、撮像手段３によって撮影された符号化された画像を復号化することにより、ロックコード及び解除コードの入力を得る。バーコード、二次元コード及び電子透かしについては公知技術であるので、それらの説明を割愛する。ロックコード及び解除コードが長いデータであっても、それらの入力に撮像手段３を用いるようにすれば、入力が容易となる。

0099

尚、コード入力手段１２に撮像手段３が使われるとき、カメラ機能が禁止されていても、解除コードを入力する場合に限り、撮像手段３を有効化する（つまり、解除コードを入力する場合に限って、カメラ機能の禁止を解除する）。このとき、撮像した画像が一時的な揮発性の作業メモリにのみ書き込まれ、メモリカード等の不揮発メモリに書き込まれないようにすれば、機密上の問題は生じない。

0100

次に、図６を参照してステップＳ１１の処理について詳細に説明する。ステップＳ１１では、ロックコードのハッシュ値以外のデータに対して公知技術である一方向性ハッシュ関数を用いてハッシュ値を求め、そのハッシュ値がロックコード内のハッシュ値と一致するか否かを判断することでロックコードに誤りや改竄がないかの確認を行う。また、この際、ヘッダ情報、期間情報及び機能禁止フラグが不正な値でないかの確認も行う。

0101

次に、図６、図７及び図１０を参照してステップＳ１２の処理について詳細に説明する。ステップＳ１２では、例えば図７に示されるようなロックコードの機能禁止フラグに従って、指定された機能（機能Ａ）の実行を禁止し、ロックコードをメモリ１１に保存する。この機能禁止フラグの採用により、管理者は所望の機能だけを選択して禁止することが可能となる。また、この際、ロックコードの期間情報を元に機能の実行禁止を行う秒数をカウント値としてメモリ１１上のカウンタ手段１５に保存するとともに、タイマー手段１４から取得した現在時刻をカウント値の更新時刻としてカウンタ手段１５に記録する。

0102

また、指定された機能（機能Ａ）の実行を禁止するに先立って、不正なロックコードによってユーザが不利益を被らないよう、図１０のように、どの機能がどれくらいの期間禁止されるかの確認メッセージを表示手段４に表示し、その機能の禁止をキャンセルできるようにしておくことが望ましい。

0103

次に、図１１を参照してステップＳ１３及びＳ１４の処理について詳細に説明する。ステップＳ１３においてユーザがメニュー操作などで認証コードを表示するように要求すると、ステップＳ１４において機能制御手段１０は、表示手段４に図１１に示されるような認証コードの表示を行う。例えば、認証コードとして、ロックコードのハッシュ値または該ハッシュ値に所定の演算を施して得られる値を表示する。詳細は後述するが、この認証コードは、携帯型端末装置１の機能Ａが正しく禁止されているかを確認するために用いられる。

0104

例えば、認証コードを二次元コード等の画像にて符号化したものを表示手段４に表示させるようにするとよい。この場合、認証コードを表す画像を読み取って復号化することにより管理者（端末管理装置２０）は認証コードを確認することができるため、ユーザが正しいロックコードで携帯型端末装置１の機能を禁止しているかの確認が容易化される。勿論、認証コードを文字にて符号化するようにしても構わない。

0105

次に、図８を参照してステップＳ１６の処理について詳細に説明する。ステップＳ１６において、機能制御手段１０は、解除コードのヘッダ情報に基づいて解除コードの書式が正しいか否かを判別する。更に、機能制御手段１０は、解除コードのハッシュ値以外のデータに対して公知技術である一方向性ハッシュ関数を用いてハッシュ値を求め、そのハッシュ値が解除コード内のハッシュ値と一致するか否かを判断することで解除コードに誤りや改竄がないかの確認を行う。その後、上記式（１）に従い、解除鍵データＫＵからロック鍵データＫＬを求める。そして、求められたロック鍵データＫＬと機能Ａを禁止（実行禁止）した際のロック鍵データとを比較し、一致している場合にステップＳ１８にて機能Ａの実行禁止を解除する。

0106

次に、ステップＳ１７の処理について詳細に説明する。機能制御手段１０は、タイマー手段１４から取得した現在時刻とカウンタ手段１５に記録されたカウント値の最終の（最新の）更新時刻との差に基づいてカウント値を修正する。カウント値は、時間の経過につれて変化していくが、記録されたカウント値の最終の更新時刻によって、カウント値が変化した最終の（最新の）時刻が特定される。

0107

例えば、２時間、機能Ａの実行を禁止する場合を考える。この場合、ステップＳ１２にて「７２００」の値がカウント値としてカウンタ手段１５に保存され、この時のタイマー手段１４の計測による現在時刻が「１４：００：００」（１４時ちょうど）であるなら、カウント値の更新時刻として「１４：００：００」がカウンタ手段１５に記録される。この後、機能Ａの実行禁止が行われてから１秒が経過するとタイマー手段１４の計測による現在時刻は「１４：００：０１」となり、その現在時刻とカウンタ手段１５に記録されている最終の更新時刻との差は１秒となる。このため、機能制御手段１０は、カウント値を「７１９９」（＝７２００−１）に修正し、それと同時にカウント値の更新時刻を現在時刻である「１４：００：０１」に修正する。

0108

上記のような修正が繰り返されカウント値が０になると、機能制御手段１０は、２時間が経過したと判断してステップＳ１８にて機能Ａの実行禁止を解除する。このように、機能制御手段１０は、機能Ａの実行を禁止してからの経過時間を（間接的に）表すカウント値を参照して、その経過時間を認識し、その経過時間が期間情報（図４参照）に従った時間（上記の例の場合、２時間）に達したときに機能Ａの実行禁止を解除する。これにより、解除コードを入力しなくても（例えば、入力し忘れたとしても）、所定の時間がすれば自動的に機能Ａの実行禁止が解除され、ユーザの便宜が図られる。尚、上記例では、カウンタ手段１５は、ダウンカウンタとなっているが、アップカウンタとしても構わない。

0109

次に、図１７を参照して、携帯型端末装置１の動作状態が休止状態または電源オフ状態から通常状態に移行した場合におけるカウンタ手段１５の修正処理手順について説明する。図１７は、その移行時におけるカウンタ手段１５の修正処理手順を表すフローチャートである。携帯型端末装置１の動作状態が通常状態（第１動作状態）となっている間は、カウンタ手段１５のカウント値及びカウント値の更新時刻の変更は、上述の如く行われるが、携帯型端末装置１の動作状態が休止状態及び電源オフ状態（第２動作状態）となっている間は、カウンタ手段１５のカウント値及びカウント値の更新時刻の変更は行われない。

0110

まず、ステップＳ５０にて携帯型端末装置１の動作状態が休止状態または電源オフ状態から通常状態に移行すると、ステップＳ５１にて機能制御手段１０は、現在、何らかの機能の実行が禁止されているかの確認を行う（今の場合、機能Ａが禁止されている）。禁止が行われていない場合は図１７の処理を直ちに終了するが、禁止が行われている場合、ステップＳ５２にて機能制御手段１０は、タイマー手段１４から取得した現在時刻とカウンタ手段１５に記録されているカウント値の最終の更新時刻との差からカウント値と最終の更新時刻の修正を行う。

0111

例えば、休止状態または電源オフ状態から通常状態への移行時（例えば、電源投入時）における、タイマー手段１４の計測による現在時刻、カウント値の最終の更新時刻及びカウント値が、それぞれ、「１４：３０：００」、「１４：００：００」及び「７２００」の場合、現在時刻と最終の更新時刻との差は３０分（１８００秒）であるから、カウント値は「５４００」（＝７２００−１８００）に修正されるとともに最終の更新時刻は「１４：３０：００」に修正される。

0112

この修正処理により、機能Ａの実行が禁止されている間、、携帯型端末装置１の動作状態が休止状態または電源オフ状態となっていても、機能Ａの実行を禁止する期間情報が正しく反映される。

0113

次に、図１８を参照して、ユーザが時刻を変更した際のカウンタ手段１５の修正処理手順について説明する。

0114

まず、ステップＳ６０にて携帯型端末装置１の時刻が変更されたとき、ステップＳ６１にて機能制御手段１０は、現在、何らかの機能の実行が禁止されているかの確認を行う（今の場合、機能Ａが禁止されている）。禁止が行われていない場合は図１８の処理を直ちに終了するが、禁止が行われている場合、ステップＳ６２にて機能制御手段１０は、タイマー手段１４から取得した現在時刻（変更後の現在時刻）をカウンタ手段１５に記録されたカウント値の最終更新時刻に設定する。

0115

例えば、タイマー手段１４の計測による現在時刻、カウント値の最終の更新時刻及びカウント値が、それぞれ、「１４：３０：００」、「１４：３０：００」及び「５４００」の場合において、現在時刻が「１４：３０：００」から「１５：００：００」に変更された場合、機能制御手段１０は、カウント値の最終の更新時刻を、変更後の現在時刻である「１５：００：００」に変更する（カウント値は修正されない）。

0116

これにより、ユーザが携帯型端末装置１の時刻を変更しても機能Ａを禁止する期間情報が正しく反映されるため、ユーザが不正に時刻を進めても、設定された時間が経過するまでは自動的に機能禁止が解除されないようにすることができる。尚、現在時刻の変更は、時刻変更手段としても機能するキー入力手段２等を介して行われる。

0117

次に、携帯型端末装置１の機能Ａが正しく禁止されているかを端末管理装置２０で検証する処理を、図１６を用いて説明する。

0118

まず、ステップＳ４０にて、ＣＰＵ２１は、検証対象となる携帯型端末装置１を所持するユーザのユーザＩＤの入力を受け、受けたユーザＩＤをメモリ２２に格納する。ユーザＩＤが二次元コードやバーコード等の画像で符号化されている場合、撮像手段２５による二次元コード等の撮影画像データをメモリ２２に格納し、ＣＰＵ２１が該撮影画像データからユーザＩＤを復号する（復号されたユーザＩＤは、メモリ２２に格納される）。

0119

ステップＳ４０に続くステップＳ４１において、ＣＰＵ２１は、ステップＳ４０で入力されたユーザＩＤに関連付けられてＨＤＤ２６に保存されているロックコードを読み出す。更にステップＳ４２にて、ＣＰＵ２１は、キー入力手段２４を介して図５のステップＳ１４にて表示された認証コードの入力を受け、受けた認証コードをメモリ２２に格納する。認証コードが二次元コードやバーコード等の画像で符号化されている場合、撮像手段２５による二次元コード等の撮影画像データをメモリ２２に格納し、ＣＰＵ２１が該撮影画像データから認証コードを復号する（復号された認証コードは、メモリ２２に格納される）。

0120

ステップＳ４２に続くステップＳ４３において、ＣＰＵ２１は、ステップＳ４１にて読み出したロックコードから演算される認証コードと、ステップＳ４２にて入力した認証コードが一致するか否かを確認する。それらが一致している場合、ＣＰＵ２１はステップＳ４４にて携帯型端末装置１の機能Ａが正しく禁止されていると判断し、その旨を表示手段２３（図４）等を用いて報知する。一方、一致していない場合は、ＣＰＵ２１はステップＳ４５にて携帯型端末装置１の機能Ａが正しく禁止されていないと判断し、その旨を表示手段２３（図４）等を用いて報知する。

0121

このように、端末管理装置２０は、機能Ａが正しく禁止されていることに対応する正規な認証コードが、端末管理装置２０が発行したロックコードに基づいて生成されていることを利用して、機能Ａの禁止状態を検証する。

0122

尚、上述したように、複数の端末管理装置２０を用いる場合、各端末管理装置２０のＨＤＤ２６に保存された内容（解除コード等）は、通信手段２７を介して全ての端末管理装置２０に共有される。また、本実施の形態ではステップＳ４０にてユーザＩＤを入力するようにしているが、全てのユーザ４１（或いは携帯型端末装置１）に対して同じロックコード及び解除コードを用いる場合は、上記ステップＳ４０の処理は省略可能である。

0123

例えば、管理者が提示したロックコード（端末管理装置２０が発行したロックコード）とは別のロックコードと解除コードのペアをユーザが所有している場合を想定する。解除コードを知らないユーザは正当なロックコードは解除することはできないが、不正なユーザが、あらかじめ不正なロックコードで携帯型端末装置１の機能を禁止し、あたかも正当なロックコードで携帯型端末装置１の機能を禁止したふりをすることが考えられる。不正なロックコードを使用したときは認証コードが正当なロックコードを使用したときと異なる。このため、管理者がエリア４０への入室チェック等を行う際に、上記の処理にて認証コードの確認を行うことにより、ユーザが正当なロックコードを使用したか、不正なロックコードを使用したかを判別することが可能となる。

0124

また、不正なユーザが２台の携帯型端末装置１を所有しており、一方の携帯型端末装置１の表示手段４に正当な認証コードを表示させておいて、他方の携帯型端末装置１の表示手段４に同じ認証コードを表示する嘘の画面を表示させる、といった不正行為も考えられる。この場合に備え、ロックコードのハッシュ値と時刻情報（タイマー手段１４の計測による時刻を表す情報）と秘密の値から改めてハッシュ値を求めたものを認証コードとして用いるようにしてもよい。このようにすれば、仮に不正なユーザが陰に隠れて一方の携帯型端末装置１で認証コードを表示させ、その認証コードの取得の後、他方の携帯型端末装置１に同じ認証コードを表示する嘘の画面を表示させても、認証コードは刻々と変わるので、不正な認証コードであることを判別可能となる。また、ユーザは、ロックコードのハッシュ値と時刻情報を取得することはできるものの、秘密の値を知ることはできないため、ユーザが不正に認証コードを生成させることもできない。これにより、不正なユーザに嘘の認証コードだけを表示するプログラムが使われるのを防止することができる。

0125

＜＜第２実施形態＞＞
以下、本発明の第２の実施の形態について図面を参照して説明する。本明細書及び各図において、同一の部分には同一の符号を付してあり、同一の部分の名称及び機能等は、特記なき限り同じとなっている。このため、同一の部分についての重複する説明は繰り返さない。

0126

第２の実施の形態に係る携帯型端末装置及び端末管理装置の構成ブロック図や、携帯型端末装置の機能の実行禁止及び禁止解除の処理手順等は、基本的には、第１の実施の形態におけるそれらと同じであるため、それらの重複する説明を省略する。

0127

第２の実施の形態が第１の実施の形態と異なる点は、ロックデータのデータ構造と解除鍵データの使用方法だけであるため、異なる部分についてのみ説明する。以下、第２の実施の形態に係る端末管理装置が、図１３のステップＳ２１にて生成するロックコード及び解除コードについて説明する。

0128

図１２に、第２の実施の形態のステップＳ２１にて生成されるロックコード（第２の実施の形態に係る端末管理装置が生成するロックコード）のデータ構造例を示す。ロックコードは、ヘッダ情報、期間情報、機能禁止フラグ、乱数データ、ロック鍵データ及びハッシュ値から構成される。尚、解除コードのデータ構造例は、図８を用いて上述したものと同じである。

0129

ロックコードのヘッダ情報には、ロックコードを識別するための固定の文字列からなる識別子、バージョン番号及びロックコードのデータサイズなどが含まれる。

0130

期間情報には、所定の機能（以下、機能Ａという）の実行禁止を行う期間を示すデータが含まれている。例えば、期間情報にて機能Ａの実行を禁止する秒数などを指定する。

0131

機能禁止フラグは複数のフラグから成り、機能禁止フラグによってどの機能の実行を禁止するかが特定される。例えば図７のように、２進数の各ビットにどの機能を禁止するか否かのフラグが割り当てられ、それらのビット（フラグ）によって機能禁止フラグは構成される。そして、１が立っているビットの機能を禁止すると解釈する。

0132

乱数データ及びロック鍵データは、後述するように、機能Ａの実行禁止を解除する解除鍵データが正しいか否かを判定するために使用される。

0133

ロックコードにおけるハッシュ値は、ロックコード（ロックコードのハッシュ値以外のデータ）を原文とし、該原文から公知技術であるＭＤ５、ＳＨＡ−１などの一方向性ハッシュ関数を用いて生成されたハッシュ値であり、ロックコードが改竄されていないことを確認するために使用される。

0134

尚、図１２に示したロックコードは一例であり、処理において期間情報を考慮しない（図５のステップＳ１７に関する処理を行わない）、もしくは、あらかじめ定めた期間だけ機能Ａを禁止するのであれば期間情報は省略可能であり、また、禁止する機能がカメラ機能などあらかじめ定めた機能だけであるならば機能禁止フラグは省略可能である。

0135

また、乱数データは、ＣＰＵ２１等（図４）に含まれる公知の乱数発生手段によってロックコードごとに個別に設定されるが、乱数データをロックコードごとに個別に設定するのではなく予め定めたデータを乱数データとして取り扱うようにするのであれば、乱数データは省略可能である。ロックコードから乱数データを省略する場合は、その乱数データに対応する上記の予め定めたデータを事前にメモリ１１及びＨＤＤ２６等に格納しておく必要がある。

0136

第２の実施の形態のステップＳ２１にて生成されるロックコードのロック鍵データ（図１２参照）をＫＬ、乱数データをＲとし、且つ、そのロックコードと同時生成される解除コードの解除鍵データ（図８参照）をＫＵとして、それらの関係について詳細な説明を行う。ステップＳ２１にて同時生成されたロックコードと解除コードは対となっており、ロックコードと対を成す解除コードを用いなければ、携帯型端末装置の機能禁止を解除することはできない。

0137

ロック鍵データＫＬは、被暗号化データである乱数データＲに対して所定の暗号化を施すことにより得られるデータである。この暗号化に、暗号化鍵と復号化鍵が異なる公知技術である非対称鍵暗号（公開鍵暗号）を用いてもよいし、暗号化鍵と復号化鍵が同一の公知技術である対象鍵暗号(共通鍵暗号)を用いてもよい。

0138

Ｋ１を鍵（暗号化鍵）としてＲを暗号化する関数をＥとすると、ＫＬは下記式（２）のように表される。関数Ｅに対応する、Ｋ２を鍵（復号化鍵）としてＫＬを復号化する関数をＤとすると、Ｒは下記式（３）のように表される。尚、暗号に非対称鍵暗号を用いる場合はＫ１とＫ２は異なる値であり、対象鍵暗号を用いる場合はＫ１とＫ２は共通の値となる。
ＫＬ ＝ Ｅ（Ｋ１,Ｒ） ・・・（２）
Ｒ ＝ Ｄ（Ｋ２,ＫＬ） ・・・（３）

0139

解除鍵データＫＵには、復号化鍵Ｋ２の値が設定される。一般には、ロック鍵データＫＬと乱数データＲからは解除鍵データＫＵを知ることができないため、ロックコードだけを知ったユーザが不正に解除コードを生成することはできない。

0140

次に、図８を参照して本実施形態におけるステップＳ１６の処理を説明する。ステップＳ１６において、機能制御手段１０は、解除コードのヘッダ情報に基づいて解除コードの書式が正しいか否かを判別する。更に、機能制御手段１０は、解除コードのハッシュ値以外のデータに対して公知技術である一方向性ハッシュ関数を用いてハッシュ値を求め、そのハッシュ値が解除コード内のハッシュ値と一致するか否かを判断することで解除コードに誤りや改竄がないかの確認を行う。その後、上記式（３）に従い、解除鍵データＫＵを鍵としてロック鍵データＫＬを復号する。そして、その復号によって得られたデータと機能Ａを禁止（実行禁止）した際の乱数データＲとを比較し、一致している場合にステップＳ１８にて機能Ａの実行禁止を解除する。

0141

本明細書及び各図に示された実施の形態はすべての点において例示であって制限的なものではないと考えられるべきである。本発明の範囲は、実施の形態の説明ではなく特許請求の範囲によって示され、本発明の範囲には、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれる。

0142

携帯型端末装置としての携帯電話機を例に挙げて本発明の実施の形態を上述したが、本発明（上述の実施の形態にて示した技術）は、携帯電話機の他、携帯情報端末、携帯可能な比較的小型のパーソナルコンピュータ、デジタルビデオカメラ及びデジタルスチルカメラ等の様々な携帯型端末装置（携帯型電子機器）を対象として広く適用可能である。

0143

本実施の形態に係る携帯型端末装置の機能制限システムの構成を示す概要図である。
図１の携帯型端末装置の一例としての携帯電話機の機能構成図である。
図２の携帯電話機の外観図である。
図１の端末管理装置の機能構成図である。
図３の携帯型端末装置における、所定機能の実行禁止・解除の処理手順を示すフローチャートである。
図４の端末管理装置が生成するロックコードのデータ構造例である。
図６のロックコードにおける機能禁止フラグの一例を示す図である。
図４の端末管理装置が生成する解除コードのデータ構造例である。
二次元コードの一例を示す図である。
図２の表示手段に表示される、所定の機能を禁止する前にユーザに提示するメッセージの一例を示す図である。
図２の表示手段に表示される、認証コードの確認画面の一例を示す図である。
図４の端末管理装置が生成するロックコードのデータ構造の他の例である。
図４の端末管理装置における、ロックコード及び解除コードの生成とロックコードの出力の処理手順を示すフローチャートである。
図４の端末管理装置における、解除コードの出力の処理手順を示すフローチャートである。
図４の端末管理装置に保存されるロックコード及び解除コードの例である。
図２の携帯型端末装置の機能が正しく禁止されているかを図４の端末管理装置にて検証する処理手順を示すフローチャートである。
図２の携帯型端末装置の動作状態が休止状態または電源オフ状態から通常状態に移行した場合におけるカウント値の修正処理手順を示すフローチャートである。
図２のタイマー手段の時刻を変更した際における修正処理手順を示すフローチャートである。

0144

１携帯型端末装置
２キー入力手段
３撮像手段
４ 表示手段
５音声入力手段
１０機能制御手段
１１メモリ
１２コード入力手段
１３通信手段
１４タイマー手段
１５カウンタ手段
２０端末管理装置
２１ ＣＰＵ
２２ メモリ
２３ 表示手段
２４ キー入力手段
２５ 撮像手段
２６ ＨＤＤ
２７ 通信手段
４０エリア
４１ ユーザ