JPH1011509A

JPH1011509A - 電子書類セキュリティシステム、電子押印セキュリティシステムおよび電子署名セキュリティシステム

Info

Publication number: JPH1011509A
Application number: JP18548496A
Authority: JP
Inventors: Yasuhiro Fukuzaki; 康弘福崎
Original assignee: Wacom Co Ltd
Current assignee: Wacom Co Ltd
Priority date: 1996-06-26
Filing date: 1996-06-26
Publication date: 1998-01-16
Also published as: US5948103A

Abstract

(57)【要約】（修正有）【課題】印鑑やサインなどを文書に付加し、その形な
どを文書の特徴量で変形させることにより、厳密な認証
を行う。【解決手段】処置装置側では、ネットワークサーバに
保管されている印影やサインなどの基準図形データＣを
参照し、これに対し電子書類データのダイジェストなど
の特徴量に基づき特定の点Ｄ上で変更Ｆを加える。結果
Ｅは基準図形とほぼ同一と認謝できる。検証側では、承
認済み電子書類データから図形データを分離し、これと
基準図形データとから変更の元になった特徴量を求め、
電子書類データから得られる特徴量との一致を判定す
る。

Description

【発明の詳細な説明】

【０００１】

【発明の属する技術分野】本発明は、電子的な書類にお
けるセキュリティ技術に関するものである。

【０００２】

【従来の技術】最近、ＬＡＮの普及により、会社内での
電子的な書類のやりとりが多くなってきている。しかし
ながら、そのような書類の決済や承認といった処理は、
電子的に行うことが難しいのが現状である。物理的な書
類であれば、印鑑を押して決済するのが日本の慣行であ
るし、欧米ではサインがこれに代るものである。このよ
うな印鑑やサインをコンピュータ上で再現することは大
変簡単なことであるが、電子的な情報であるので、複製
や改竄が極めて容易となり、セキュリティ上の問題が発
生する。そこで、現在、使われているのが、いわゆる暗
号化技術である。特に最近開発された暗号化方式として
公開鍵暗号化方式がある（特公平６−２０１９９、特開
平２−１３４９４０、特開平３−６７３５６、特開平３
−１９５２２９、特開平４−９１５３１、特開平４−１
１８７７７、特開平４−１６０４９３、特開平５−２６
００４３、特開平６−９５５９１、特開平６−１０３４
２５、特開平６−１０３４２６、特開平６−１５００８
２、特開平６−１６１３５４、特開平６−１６２２８
９、特開平６−２２４８９６、特開平６−３１５０３
６、特開平７−１３５６８０、特開平７−１６２４５
１）。従来の共通鍵暗号化方式では、二つの鍵を使い、
その一方を公開することによって、情報送信者の特定と
情報受信者の特定が別々に可能になった。つまり、秘密
鍵で暗号化した文書を公開することで、文書の内容は公
開しながらも、その文書は他の人間が作成したものでは
なく、改竄もされていないことを保証するという、まさ
に従来のサインに近い用い方ができるようになった。こ
れが、デジタル署名あるいは電子シグネチャと呼ばれる
ものである。また、暗号化してしまうと、その内容が平
文で読めなくなってしまうので、単に改竄の防止だけが
目的で、内容自体を秘密にする必要のない場合は、その
文書を暗号化した文字が、元の文書に付け加えられる形
で、使用されている。これをクリア・シグネチャと呼ぶ
ことにする。

【０００３】さて、実際には、公開鍵暗号化方式は処理
が複雑で、高度な処理能力を必要とし、従来の暗号化処
理より時間がかかるタイムコンシューミングプロセスで
あるとされている。そこで、文書を直接暗号化するので
はなく、文書から特徴データを取り出して、その取り出
された短いデータを暗号化する方法が用いられている。
この取り出された特徴データは、電子の指紋とも呼ば
れ、元の情報が１ビットでも異なれば、推測不能な全く
別のデータが取り出される。これには、一方向性ハッシ
ュ関数が用いられており、実際に、ＭＤ２、ＭＤ４、Ｍ
Ｄ５といったプログラムが米国ＲＳＡＤＡＴＡＳＥ
ＣＵＲＩＴＹ，Ｉｎｃ．から、公開されている。ＲＳＡ
データセキュリティ社の特徴抽出プログラムに関する公
開文書は、「Ronald Rivest,"The MD5 Message-Digest
Algorithm",RFC-1321 MIT Laboratory for Computer Sc
ience, 1991.」がある。この文書は、ＲＳＡデータセキ
ュリティ社自身によりインターネット上で公開されてい
る。この中に実際に動作するソースコードが含まれてお
り、実際に本願の発明者のコンピュータ環境によっても
動作が確認された。このＲＳＡデータセキュリティ社の
プログラムは、可変長の原文データを１２８ビット固定
長の特徴データに変換するものである。ＭＤ２やＭＤ５
は、実際の公開鍵暗号化通信ソフトであるＰＧＰや、暗
号化電子メールの規格であるＰＥＭなどで、採用されて
いるものである。

【０００４】図１１は、従来から存在する電子シグネチ
ャ（クリアシグネチャ）を示す図である。図１１（Ａ）
は、署名の対象となる文書を示す。図１１（Ｂ）は、署
名の対象となる文書を示す平文の後に続けて電子署名
（デジタル署名、電子シグネチャ）を施したものであ
る。この電子署名は、発信者の秘密鍵により文書を暗号
化したものである。受信者は、公開鍵により復号化して
平文と同様の文書が得られることを確認することによ
り、当該電子書類の真正であることを検証できる。

【０００５】公開鍵暗号化方式以外の特徴データの求め
方としては、古いものではいわゆるチェックサムと呼ば
れる方法がある。これは、データが文字コード等を表す
ものであるか否かに拘らず、それらをすべて数値とみな
して加算し、その合計をもって、特徴データとするもの
である。これは、非常に簡単に特徴データを求めるやり
方ではあるが、セキュリティ機能は脆弱である。

【０００６】

【発明が解決しようとする課題】クリア・シグネチャと
して付加される文は、意味不明の文字の羅列となり、見
方によってはたいへん目障りである。

【０００７】また、クリア・シグネチャを作成するとき
に使われる秘密鍵データは通常、その装置に組み込まれ
ており、その秘密鍵の管理が重要な問題となる。

【０００８】ところで、物理的な書類に対しては、図１
１（Ｃ）に示すように、印鑑やサインが使われてきたの
であり、もし、電子的な書類に付加されるものが、その
ような形態をしていれば、たいへん自然であり、しか
も、人間がその内容を一応は判断ができるようになる。

【０００９】

【課題を解決するための手段】そこで、印鑑やサインな
どの情報を付加することで、人間の目にもその書類が真
正のものであるらしいことについてのある程度の判断が
でき、また、その印鑑やサインの形などを文書の特徴量
で変形させることにより、厳密な認証を行うことができ
るようにしようというのが、本発明の内容である。

【００１０】もし、図形を２次元の点の集合、いわゆる
ビットマップ、で表わすとすれば、その点の一部または
すべてを、文章の特徴量で変化させることにより、特徴
量の情報を反映させることができる。

【００１１】また、図形が、線や円、矩形といった要素
図形の位置や大きさ、つまり、いわゆるベクトル情報で
構成されている場合は、その要素図形の位置や大きさに
文章の特徴量を反映させることができる。

【００１２】このようにしておいて、本当に複製や改竄
が行われていないかを検証する必要のある場合は、文章
の特徴量によって変形された図形データから、逆に文章
が持っているはずの特徴量を引き出して、文書自体の特
徴量と比較すればよい。

【００１３】ここでいう文章は、文字を表わす情報のみ
で構成されていることに限定されない。図形情報や、音
声情報、動画などのマルチメディア情報、あるいは他の
文書への参照情報を含むいわゆるハイパーテキストであ
っても、かまわない。

【００１４】また、例えば、下級の管理者によって、印
や、サインが、本願でいうセキュリティ機能を伴って使
われている文書の印やサインを含む全体を新たな文書と
見なして、上級の管理者がさらに本発明の印やサインを
することで、さらにセキュリティが強化される。

【００１５】ここでいう特徴量とは、上述の電子指紋デ
ータやチェックサムのような方式で取り出されるデータ
のことである。この特徴量を公開鍵暗号化方式の秘密鍵
で暗号化して、暗号化後のデータで図形を変形させるよ
うにすれば、強力なセキュリティが実現できる。

【００１６】あるいは、暗号化まではしなくても、単に
特徴量で変形させるだけであっても、単純な図形コピー
を防止することができる。つまり、コンピュータ上で
は、素人でも、図形データをいとも簡単にコピーするこ
とができるという問題があるが、そのような行為に対し
ては、これだけでも効果的である。

【００１７】さらに、特徴量データを図形データの変形
に反映させる際の反映させる点や反映の仕方などを変化
させることで、偽造は困難になる。ここでは、この操作
を攪乱処理と呼び、攪乱用のデータを攪乱データと呼
ぶ。つまり、元のデータは視認性を保持するためにある
程度固定しておく必要があるので、これを固定して公開
しておき、別に秘密の攪乱データを有し、それに基づい
て攪乱することで、セキュリティを高めようとする方法
である。ここでいう攪乱は、暗号化の一種と見ることも
できる。その場合の攪乱データは暗号鍵データのことに
なる。但し、実際に図形データの中のどの点がどのよう
に変化するのかを指定し、かつ視認性が失われないよう
に制限を加えることを示す情報が何らかの形で必要にな
る。もし、公開鍵暗号化のような本格的な暗号化手段で
セキュリティ強度そのものが確保されているのであれ
ば、視認性を保つために変化点位置を制限したりする情
報は、元になる図形データそのものに埋め込んでおくこ
とも可能である。つまり、ビットマップで変化する位置
の点の色を予め変えておくことなどがその例である。

【００１８】もし、印影を使うのであれば、それを押印
する道具は実際の印鑑の形をしていたほうが分かり易
い。実際、タブレットと呼ばれる位置検出装置におい
て、印鑑の形状をした位置指示器（電子印鑑）を使用す
れば、実際の印鑑にかなり近い操作感覚が得られる。そ
の電子印鑑の中に、印影データやここでいう攪乱データ
などを搭載すれば、セキュリティ機能を持った電子印鑑
システムとなる。

【００１９】また、サインを使う場合、サインする道具
はペンである。ペンについてもそれを電子化したもの
（電子ペン）が、タブレット上で使用可能である。ただ
し、その場合に実際にサインをその都度手書きで入力し
ていたのでは、この特許の主旨には合わない。その都度
違う図形では基準図形データとして扱うことができない
からである。本発明における基準図形データは一般のサ
インのように単にいつどこでかいても同様の特徴を持っ
た筆跡で書けるというだけでは足りず厳密にその図形を
表す電子データが電子的に見て同一であって完全一致す
るものでなければならない。従って、あるときある場所
でタブレット等により取得されたサイン筆跡のデータを
その後も用いることになる。つまり、サインをその都度
記入するのではなくサインデータを電子ペンに貯えてお
いて、そのデータをコンピュータに渡すといった用い方
になる。

【００２０】また、このような電子印鑑や電子サインに
おいて、そのオリジナルの印影データやサインデータま
たは攪乱データから、実際に電子書類に追加される図形
データを作成する処理を、その場にあるコンピュータで
行う場合、オリジナルの印影データやサインデータ、攪
乱データを一旦、コンピュータで受け取ることになる。
それで、例えば、外出先のコンピュータで使う場合など
に、本来は秘密にしなければならないデータを本人の意
に反してコピーされて悪用される可能性は否定できな
い。

【００２１】そこで、そのような場合も含めて、もっと
も安全なのは、電子印鑑、もしくは電子ペンの中で、図
形データの変形処理を行う事である。電子印鑑もしく
は、電子ペンは、文書データ自体か、文書データの特徴
量データを受け取って、その特徴量を反映ずみの図形デ
ータをコンピュータに送り返せばよい。このような事を
実現するためのハードウェア構成については、後述する
ように、本出願人が別途、特許出願している。

【００２２】

【発明の実施の形態】以下、発明者が最良と思う実施の
形態を述べる。

【００２３】セキュリティ強度を現在考えられる限り最
大にするために公開鍵暗号化方式を用いる。この公開鍵
暗号化方式での秘密鍵で平文の文書データを暗号化す
る。その際具体的には、ハッシュ関数などで、特徴を保
ったままデータを一旦縮小しておいて、その縮小したデ
ータを暗号化する方が効率がよい。元の文書データを平
文データ、暗号化した後のデータを暗号化データと呼
ぶ。この暗号化データで基準図形データを変形または修
正して、元の平文データに付加する。ここまでが、電子
押印または電子署名の手段となる。

【００２４】次がその押印または署名された平文データ
を受け取った人が、その押印または署名の正当性を検証
する手段である。まず、付加された図形データと元の基
準図形データを比較して、暗号化データを抽出する。そ
して、抽出された暗号化データを公開鍵で復号化して、
元の平文データを得る。こうして得られた平文データと
受け取った平文データを比較することで、その押印また
は署名の正当性が確認できる。特徴量データをもって比
較を行う場合には、平文データから抽出した特徴量デー
タを、図形データから抽出した特徴量データと比較する
ことになる。

【００２５】基準図形データ及び公開鍵は、押印または
署名されたデータを検証する人が自由に入手できるよう
になっている必要がある。

【００２６】ここで、秘密鍵データを移動可能な媒体に
保持しておけば、秘密鍵の管理が簡単になる。また暗号
化装置と秘密鍵データを同一の携帯可能装置に搭載して
おけば、秘密鍵データがその装置の外に出ないので、セ
キュリティレベルは最高となる。

【００２７】位置指示器内部に暗号化装置と秘密鍵デー
タを搭載して、押印／署名の位置を位置検出装置で指示
しながら、データ通信を行い押印／署名操作をなすよう
にすることができる。

【００２８】暗号化されたデータ量は短い文（５０文字
程度）でも、１Ｋビット以上になる。一方、印鑑の印影
の大きさは縦横６４ビットづつで、４Ｋビットあるの
で、そのドットの４つにひとつの割合で反映させればよ
い。もし、それで、印影がくずれて、人間にとって判別
しずらくなるようであれば、各点の色のデータを使えば
よい。例えば、今のWindows（米国マイクロソフト社の
商標）のような環境では２５６種類の色が設定可能であ
るので、これを８ビットの情報とみれば、先程の６４ド
ット四角の印影データは３２Ｋビットのデータを持つ事
になり、１Ｋビット程度の情報を反映させても、印影の
判別は可能である。また、元の文書が長い場合には、そ
のすべてをそのまま暗号化するのではなく、要点を短く
まとめた文を付け加えて、それを暗号化すればよい。

【００２９】また、サインの場合、そのサインを構成す
るベクトルデータの点の数が５００点として、それぞれ
の点がＸ方向とＹ方向に±３ドットずつ動かせるとする
と、７×７で４９点で約５．５ビットの情報量となるの
で、５００点で２７５０ビット表現できるので、１Ｋビ
ット程度の変形情報を反映させる事ができる。ここで
は、前述のＭＤ２やＭＤ４、ＭＤ５などの特徴量抽出手
段を使わない場合の、データ量の概算を示した。なお、
前述の特徴量抽出手段を用いれば、どんな大きなデータ
もわずか１２８ビットの特徴データとすることができる
ので、その場合のデータ量の制限は特になく、ＣＰＵの
処理速度の問題のみとなる。

【００３０】さらに、入力面と表示面が一体になったシ
ステム、つまり、位置検出装置と表示装置とが積層配置
されて一体になっているものを用いて、その上で印鑑型
の位置指示器を画面に押し付ければ、その場に印影が表
示され、その印影のかすれ具合が、実は文書の暗号化デ
ータを含んでおり、電子的に検証ができるというシステ
ムが、構築可能である。

【００３１】

【実施例】以下、本発明の実施例について図面を参照し
つつ説明する。図１は本発明に係る電子書類セキュリテ
ィシステム、電子押印セキュリティシステムまたは電子
署名セキュリティシステムの基本構成を示す機能ブロッ
ク図である。機能ブロック図を用いたのは、本発明が多
くの場合、汎用コンピュータ間のデータのやり取りに関
して適用されるものであり、ブロック図に示される「特
徴量抽出部」、「図形データ変更手段」、「特徴量再現
部」、「特徴量一致判定部」等の各構成部分は情報処理機
器としてのコンピュータ（厳密にいえばコンピュータの
セントラルプロセッシングユニットすなわちＣＰＵ）が
その機器内に設けられた記憶装置にあらかじめ記憶され
たプログラムを読み込んでその手順を実行することによ
りその都度実現するものであること、すなわちソフトウ
ェアにより実現されるものである場合が多いことに基づ
く。ワードプロセッサ専用機器や、多機能電話機、他の
通信機器等の専用機により実現する例を排除するもので
はない。このことは図６から図１０までの他の機能ブロ
ック図についても同様である。

【００３２】図１に描かれた破線で囲んだ二つの装置、
電子押印または電子サイン処理装置１００と電子押印ま
たは電子サインの検証処理装置２００とは本発明に係る
電子書類セキュリティシステム、電子押印セキュリティ
システム又は電子署名セキュリティシステムを構成する
二つの装置である。「電子押印処理装置」又は「電子サ
イン処理装置」というネーミングは従来紙の書類に対し
て印鑑又はサインにより行っていた書類承認操作を電子
的に処理する装置であるという観点からのネーミングで
ある。「電子押印処理装置」と「電子サイン処理装置」と
の双方を含む上位の概念を抽出すれば、「電子書類承認
操作装置」と捉えることのできるものである。同様に「電
子押印検証処理装置」又は「電子サイン検証処理装置」と
いうネーミングは従来印鑑の押印又はサインの実行され
た紙の書類に対して目視にてそれが確からしいこと(本
人がまさに押印又はサインをしたものであること)を検
証してその書類の真正であることを確かめていた操作を
電子的に処理する装置であるという観点からのネーミン
グである。「電子押印検証処理装置」と「電子サイン検証
処理装置」との双方を含む上位の概念を抽出すれば、「電
子書類承認検証装置」と捉えることのできるものであ
る。

【００３３】また、図１に描かれた二つの装置は通常は
一つの筐体を有する装置(一つのコンピュータ）の中に
「承認」と「検証」との双方の機能を併せ持つような装置が
複数存在し、それらの装置のうちの二つの間で「承認」と
「検証」の操作がなされる場合において、一方の装置中の
「承認」の機能にのみ着目し、他方の装置中の「検証」の機
能にのみ着目して描いたものと見ることができる。ちょ
うど二つのトランシーバーの間で通話をするときに双方
とも送信、受信の両機能を持っているが一方が送信して
おり、他方が受信している状況に着目して一方の送信機
能と他方の受信機能とのみを問題としているがごとくで
ある。したがって、電子押印又は電子サイン処理装置１
００における特徴量抽出部１１０と電子押印又は電子サ
インの検証処理装置２００における特徴量抽出部２１０
とは同一の機能を有するものであるが、違う個体として
の情報処理装置に設けられたものである。言い換えれ
ば、図１の電子押印又は電子サイン処理装置１００に設
けられた特徴量抽出部１１０は、それが属するコンピュ
ータが「承認」操作をする立場のときには、特徴量抽出部
１１０の役を演じるが、一旦それが属するコンピュータ
が「検証」処理をする立場に立てば、特徴量抽出部２１０
の役割を演じる可能性を秘めたものであるといえる。

【００３４】図１に示された電子押印又は電子サイン処
理装置１００と電子押印又は電子サイン検証処理装置２
００とから構成される電子書類セキュリティシステム、
電子押印セキュリティシステム又は電子署名セキュリテ
ィシステムに関し、主にデータの処理の流れにしたがっ
て、このセキュリティシステムの構成及びその働きを説
明する。文書データＤ００１は、所定のソフトウェアで
電子書類として再現可能な電子的な書類データである。
ここで、所定のソフトウェアとは例えばワードプロセッ
サ、表計算、データベース、ＣＡＤ(コンピュータエイ
ディッドデザイン)、あるいは社内メールシステム等の
コンピュータのアプリケーションプログラムであって、
電子的な書類データを確実に保存でき、かつ、ＣＲＴ
(陰極線管：カソードレイチューブ）装置等に表示して
あたかも紙の書類を見るかのように操作者の肉眼による
ビジュアルな形に現わすことのできるソフトウェアを指
す。

【００３５】文書データＤ００１が電子押印又は電子サ
イン処理装置１００に引き渡される経路はいくつか考え
られる。第一に、文書データＤ００１を作成した者が自
らその電子書類に電子的な押印、電子的なサイン等の承
認操作を施そうとする場合には、文書データＤ００１
は、電子押印又は電子サイン処理装置１００を構成する
コンピュータの記憶装置にすでに記憶されていると考え
られる。したがってその場合には当該ファイルにアクセ
スすることをもって文書データＤ００１は電子押印又は
電子サイン処理装置１００に引き渡される。第二に、文
書データＤ００１を作成した者が承認者とは異なる場合
であって、その二人の用いるコンピュータが特には接続
されていないような場合には、フロッピーディスク等の
情報記憶媒体を通して承認者の用いるコンピュータに持
ち込まれ、当該コンピュータに組み込まれた電子押印又
は電子サイン処理装置１００がアクセス可能な状態とな
る。第三に、文書データＤ００１の発信者と承認者のそ
れぞれ用いるコンピュータがローカルエリアネットワー
ク又はモデムと電話回線を通じたネットワーク等により
接続状態にある場合には電子メールシステム等により発
信者が承認者に対して文書データＤ００１を送り、承認
者はそれを受信するという形式により文書データＤ００
１の引き渡しがなされ得る。電子押印又は電子サイン処
理装置１００に引き渡された文書データＤ００１は、少
なくとも一時的に(必要があれば半永久的に)電子押印又
は電子サイン処理装置１００に記憶されるべきであるか
ら電子押印又は電子サイン処理装置１００は電子書類デ
ータ記憶手段を有する。煩雑を避けるため図１には描く
のを省略した。

【００３６】図１に示す文書データＤ００１は、操作者
が見えるように表示装置にビジュアルに表示した場合に
は、図２（Ａ）に示すような日本語の文書又は図３
（Ａ）に示すような英語の文書（他の言語による文書で
も構わない）であるが、電子的なデータとしてみれば、
図２（Ｂ）又は図３（Ｂ）に示すような文字コードを表
す数字の羅列となる（図２及び図３については後述す
る）。特徴量抽出部１１０は、文書データＤ００１の文
書データとしての特徴、すなわち文字コードの数字の羅
列としての特徴量を抽出する。この特徴量抽出は後で図
２及び図３を参照しつつ詳述するように例えばチェック
サムを用いてすることができる。特徴量抽出部１１０に
より抽出された文書データＤ００１の特徴量はそれに基
づいて図形データを変更すべく、図形データ変更手段１
２０に送られる。図形データ変更手段１２０は、図形デ
ータＤ００２を読み込んでそれに対して文書データＤ０
０１の特徴量に応じた変更を加える。変更を加えられた
図形データは文書データＤ００１に追加されて「文書デ
ータ」に「文書データの特徴量により変形された図形デ
ータ」が付加されたデータＤ００３として出力される。
このように、文書データＤ００１と図形データＤ００２
とからＤ００３を生成する装置が電子押印又は電子サイ
ン処理装置１００であるということができる。電子押印
又は電子サイン処理装置１００には、文書データＤ００
１に変形された図形データを付加する図形データ付加手
段が内在するとみるべきであるが、図１では、煩雑を避
けるため図示を省略した。また、図１に示した図形デー
タＤ００２には、括弧書きで攪乱データを記載している
が、この意味については後述する。

【００３７】電子押印又は電子サインの検証処理装置
（前述したように「電子書類承認検証装置」と見ること
もできる）２００は、図１の下半分に描かれた破線に囲
まれた部分であり、主に特徴量抽出部２１０、特徴量再
現部２２０、特徴量一致判定部２３０とからなる。電子
押印又は電子サインの検証処理装置２００は、「文書デ
ータ」に「文書データの特徴量により変形された図形デ
ータ」の付加されたデータＤ００３と図形データＤ００
２との二つのデータを取得して、Ｄ００３のデータの正
当性、即ちＤ００１に加えられた承認の正当性を検証す
る装置である。従って、その手順はまず、Ｄ００３とＤ
００２との二つのデータを取得するところから始まる。
この意味において、電子押印又は電子サインの検証処理
装置２００は承認済み電子書類データ記憶手段と基準図
形データ参照手段（図形データＤ００２は変更が加えら
れていない図形データなので基準図形データと見ること
ができる。以下、変更された図形データとの区別を意識
するときは、必要に応じてＤ００２を基準図形データと
もよぶことにする。）とを内在するといえる。基準図形
データの参照の仕方は、後述するように、例えばネット
ワークサーバを介して当該データを参照するといったや
り方が考えられる。これら二つの手段は、図１に図示す
ることは省略して煩雑を避けた。

【００３８】電子押印又は電子サインの検証処理装置２
００に取り込まれたＤ００３は、文書データと「文書デ
ータの特徴量により変形された図形データ」とに分離さ
れて、文書データは特徴量抽出部２１０に送られ、「文
書データの特徴量により変形された図形データ」は特徴
量再現部２２０に送られる。この意味において電子押印
又は電子サインの検証処理装置２００はデータ分離手段
をも内在するとみるべきであるが、この分離は単にくっ
ついているのを分けるだけであり、通常は簡単な処理で
ある。近時のワードプロセッサやメイルシステム等のア
プリケーションプログラムは文書データと図形データと
の混在するデータを扱うのを得意としており、その混在
データを表示装置にビジュアルに表示する際にも両者の
混在するものであることを操作者に意識させることなく
表示するのが通常である。Ｄ００３のデータが二つのデ
ータの付加されたデータであることは、このような意味
における付加であるから、その分離もまたここでは簡単
な処理である。したがって、このデータ分離手段は本発
明の大筋からは遠いため煩雑を避ける意味で図１からは
図示を省略した。

【００３９】さて、電子押印又は電子サインの検証処理
装置２００が、Ｄ００３の正当性を検証するやり方は、
文書データの特徴量を二つの方法で抽出して、それらが
一致するか否かを判定することにより行われる。まず、
特徴量抽出部２１０は、Ｄ００３から分離された文書デ
ータ、即ち元々の文書データＤ００１と同一の文書デー
タから特徴量を抽出する。こうして得られた特徴量は、
電子押印又は電子サイン処理装置１００が文書データＤ
００１から得た特徴量と同一のはずである。一方、特徴
量再現部２２０は、「文書データの特徴量により変形さ
れた図形データ」と「基準図形データ（Ｄ００２）」と
から特徴量を再現する。この再現が可能であるために
は、電子押印又は電子サイン処理装置１００において図
形データ変更手段１２０が加えた変更が特徴量に対して
一意的であるか、あるいは、その図形データ変更からも
との特徴量への変換の解が常に求めることのできるもの
であって、その解の個数が有限であれば足りる。一意的
である場合には、まさにそれらの二つの特徴量が完全一
致するか否かを特徴量一致判定部２３０は比較し、判定
すればよい。一意的でない場合は、有限個のその解のう
ちのいずれかに一致することをもって特徴量が一致した
として押印又はサインの正当性を検証することとなる。
口述する図６から図１０までにおける特徴量一致判定も
この意味における一致で足りる。一意的である場合の方
が、一意的でない場合に比べて処理が簡単であり、かつ
検証の確からしさの度合いも大きいので望ましいといえ
る。

【００４０】図２及び図３を参照しつつ、文書データや
図形データの実例に即して説明する。図２は、文書デー
タが日本語文書データ、図形データがビットマップデー
タである場合について本発明に係る書類承認、承認検証
のやり方を示した図である。図２（Ａ）は、日本語文書
の一例を示したものである。図２（Ｂ）は、図２（Ａ）
の日本語文書を構成する各文字をシフトＪＩＳコードに
よりコード化したデータである。漢字は２バイトコード
となり、この文書全体で９６バイトとなる。この文字デ
ータを表す数字は厳密にいえば序数であって、数値では
ないともいえるが、これらをすべて数値とみなして加算
したものが、いわゆるチェックサムと呼ばれるものとな
る。この例でいえば文字データの加算合計は、１３８６
４（１０進数）となる。これを２進数に表すと、００１
１０１１０００１０１０００（２進数）となる。例え
ば、この量を文書データの特徴量とすることができる。

【００４１】図２（Ｃ）は、ビットマップで構成されて
いる図形データを示している。これは、基準図形データ
（図１で示したＤ００２）である。ここでは、日本国な
どで紙の書類の承認に用いられている印鑑の押印図形
（印影）を示す図形をビットマップで電子的データとし
て表現したものを用いている。署名の筆跡（シグネチ
ャ）をビットマップで表現して基準図形データとするこ
ともできるし、トレードマーク、ロゴマーク、紋章、記
章等のマークを用いることもできる。日本国で用いられ
る印鑑に類似したものに限らず欧米で用いられることの
ある封印に類似したものを用いることもできる。印影を
示す図形はここでは効果を見やすくするために縦３２ド
ット、横３２ドットとしている。図２（Ｃ）に示すよう
にここでは「山中」という日本人の名前の姓を表す印影
があり、図２（Ｄ）に示すようにここでは１６個の点を
文字データの特徴量データを反映させる点（ビット）と
して予め定めておく。この１６個の点がどの点（ビッ
ト）であるかを示す情報は図１に示すＤ００２（基準図
形データ）に含まれる。図形データの中で、実際に特徴
量データを反映させる位置を示すデータは、後述するよ
うに攪乱データとして用いられるものであり図１に示し
たＤ００２では括弧書きで示したものである。さきほど
のチェックサムの結果得られた１６ビットの２進数に基
づいて基準図形データのうちの１６点のそれぞれに変更
を加える。例えば、各ビットが１ならば白黒反転、０な
らば変更無しと割り当てることができる。そのようにし
て上記「００１１０１１０００１０１０００」に基づい
て図２（Ｃ）の基準図形データのうちの図２（Ｄ）に示
す１６点に変更を加えた結果が図２（Ｅ）であり、その
１６点のうち白黒反転させた点のみを抜き出して表示し
たのが図２（Ｆ）である。このようにして得られた図２
（Ｅ）の図形は、文書データの特徴量を含み、かつ人の
目には、印影とほぼ同一のものとして判別できるものと
なる。この変形された図形データを文書データに追加し
たものが、図２（Ｇ）となる。図２（Ｇ）は日本国等に
おいて従来の紙の書類文化の慣行上通常なされてきた書
類に押印するという処理を電子的に行った結果を実現し
たものといえる。

【００４２】さて、逆にこの印影から、元の文書の特徴
量を求めるには、元の基準図形データ（印影データ）と
照合して、特徴量を反映させるべき点（ここでは１６
点）の状態から、特徴量を再現することができる。元の
基準図形データは、印鑑に代わるものであるからその所
持すべき者が厳重に保管すべきであるが、他人に対して
は検証処理において特徴量を抽出する処理のためにだけ
参照される。このような基準図形データの管理は、例え
ば、ネットワークサーバにおいて基準図形データを管理
することによってなされ得る。図１に示す特徴量再現部
２２０によって再現された特徴量と、図１に示す特徴量
抽出部２１０が文書データから再度抽出した特徴量との
一致を確認すれば、その文書が改竄されていないことが
分かる。また、同時に印影が他の文書からコピーされた
ものではないことも判明する。

【００４３】ここでは、説明のため、特徴量を求める手
段として、もっとも簡単な方法であるチェックサムを説
明した。このチェックサムの方法でも、特に文字データ
だけの場合は、意味のとれる形でデータを改竄すること
は非常に難しくなる。また、例えば、同じチェックサム
を使う方法でも、文書を細かいブロックに区切って、ブ
ロック毎のチェックサムを追加する方法や、文字を２次
元に配置して、その縦方向と横方向のチェックサムを使
うなどの方法で、セキュリティ強度を上げることができ
る。文書データ自体に図形データなどを含む場合の改竄
防止のための特徴量を求めることは、かなり面倒ではあ
るが、暗号化の手法を用いれば実現することは可能であ
る。しかし、真に重要な内容は文字データとして記述す
るようにすれば、補助的な図形データ等は特に特徴量を
求める対象から外すようにしても、実用上は問題ない場
合が多い。

【００４４】また、この例では、攪乱データとして、図
形データの中で、実際に特徴量データを反映させる位置
を示すデータを使用している。これを１６ビットとした
のは、簡単に説明するためであって、ビット数をもっと
増やしても構わない。さらに、ランダムに変化するビッ
トを加えることによって、図形データの変換手段を解読
して偽造しようとする試みに対する防衛手段としてもよ
い。この攪乱データを固定として、図形データ変換手段
に組み込めば、特に外部からは見えなくなるので、請求
項１に記載した如く、特に攪乱データはないものとして
扱う事もできる。また、この攪乱データを時間的に変更
するなどの手段を講じれば、さらにセキュリティ強度が
高まる。また、特徴量を反映させる位置を、もっと元の
図形に似せて限定すれば、一見、自然にかすれたような
イメージとなり、特殊なデータを含んでいる事を意識さ
せないようになる。元の図形データをもっと、多くのド
ットで構成した細かいイメージとすると、更に自然な印
影が得られる。図形データの変更に関してはここでは黒
白の反転を例に述べたが、中間階調を表現するデータを
持たせて階調変化させることも可能である。また、色の
情報を持たせて、色調の変化とすることもできる。

【００４５】次に西洋風のサインの例を示す。図３は、
文書データが英語文書データ、図形データがベクトルデ
ータである場合について本発明に係る書類承認、承認検
証のやり方を示した図である。図３（Ａ）は、英語の文
書の例を示し、図３（Ｂ）は、その文書を構成する文字
をコード化したデータの集まりを表している。日本語文
書の場合と同様なチェックサムを計算すると、文字数６
１個、文字コードをすべて数値とみなして合算した合計
が５６４６（１０進数）となり、これを２進数で表すと
「０００１０１１０００００１１１０」が得られる。図
３（Ｃ）に示すサインの図形情報は、いわゆるベクトル
図形データ、もっといえば、インクデータといわれる線
分の連なりからなるデータである。線分の連なりからな
るデータは始点と終点のＸＹ座標の集まりからなるデー
タであるからベクトルデータであることは疑いがない
が、ここでは、線分データや、インクデータのみならず
円や円弧、楕円等のデータをも含む情報、すなわち一般
にＣＡＤで扱う図形情報を持ってベクトルデータとよぶ
こととする。図３（Ｄ）に示すように図形データの中か
ら１６点を選んで、文書の特徴量を反映させるポイント
としている。印鑑の場合と同様にチェックサムの値を２
進数で表現し、その各ビットの状態をそれぞれの点の位
置に反映させている。ここでは、ビットが１の場合に右
方向に３ポイントずらし、ビットが０の場合はそのまま
にしている。図３（Ｅ）は、データの特徴量を反映させ
たサインを示し、図３（Ｆ）は、文書データの特徴量が
反映されて移動した点を示している。特徴量の表現方法
が異なる以外は電子印鑑の例と同じである。ここで、図
形が粗いのは説明のため違いが分かるように粗くしたの
であり、実際はもっと細かく点をとっておき、そこから
１ドットだけずらす、といったことをすれば、人間の肉
眼による視認の上ではほとんど同じように見えるように
することも可能である。図３（Ｇ）は、電子的に表現さ
れた文書とそれに付加されたサインとを示す図である。
本発明にいうサインのデータは書類の承認者がその都
度、署名動作を実行する性質のものではなく、一度限り
署名の筆跡を電子データとして取得し、それを他人が偽
って承認処理をするのに使われないように本人が厳重に
保存、保持して用いる性質のものである。尤も他人が用
いる場合はありえるが、それは変更を加えられた図形デ
ータから特徴量を再現するための参照用としてのみ用い
ることが許容されるような処置がとられるのが望まし
い。

【００４６】図４は、本発明に係る電子押印セキュリテ
ィシステムを、パーソナルコンピュータ、ＣＲＴ装置、
タブレット及び電子印鑑で構成した場合のハードウェア
構成を示した図であり、図５は、本発明に係る電子押印
セキュリティシステムを、パーソナルコンピュータ、平
板型表示装置（例えば、液晶表示装置）を積層配置した
タブレット及び電子印鑑で構成した場合のハードウェア
構成を示した図である。これらはいずれも図６から図８
までに示した電子押印セキュリティシステムを構成し得
るハードウェア構成である。図６から図８までのシステ
ムに共通な特徴は電子印鑑なる器具（タブレットの位置
指示器としても機能する器具）の内部に基準印影データ
（前述した基準図形データに該当するものであるが、印
鑑の場合は図形は印影となるので、必要に応じて基準印
影データとよぶことにする）を保持することとし、電子
印鑑はタブレットに対して位置指示器としての役割のみ
ならず情報送信の役割をも果たす点にある。位置指示器
の内部に情報を保持し、タブレットに対し、位置の指示
を行うのみならず、保持する情報を引き渡す機能を有す
るような座標入力装置に関しては、本願と同一の出願人
が別途特許出願をしている。例えば、特許出願公開公報
平成３年第１８９７１６号（特許願平成１年第３２７２
７６号「位置検出装置及びその位置指示器」）、特許出
願公開公報平成７年第２００１３７号（特許願平成５年
第３３５８０２号「位置検出装置及びその位置指示
器」）、特許出願公開公報平成８年第１６３１１号（特
許願平成６年第１４８１８３号「コンピュータシステ
ム」）がある。

【００４７】特許出願公開公報平成３年第１８９７１６
号に開示された技術に関して、簡単に説明する。前提と
なるのは、電磁気的に位置指示器とタブレットとが結合
することによりコードレス（位置指示器とタブレットと
がケーブルにより接続されない）タブレットを実現する
ものである。そのようなコードレスタブレットについて
は出願人は、多くの製品を世に出している。特開平３−
１８９７１６では、そのようなコードレスタブレットの
改良として、同調回路を有する位置指示器と、該位置指
示器に対して電波を交互に送受することによりその指定
位置の座標値を求めるタブレットとからなる位置検出装
置において、位置指示器の同調回路に一定以上の電気的
エネルギー及び所定のタイミング情報を含む誘導電圧を
生起させ得る電波を送信する手段と、前記所定のタイミ
ング情報に基づく特定のタイミングに位置指示器の同調
回路より発生する電波の位相角又は周波数を検出する手
段とをタブレットに設けるとともに、同調回路に生起し
た誘導電圧より各部を駆動するための電気的エネルギー
を抽出する手段と、同調回路に生起した誘導電圧より所
定のタイミング情報を抽出する手段と、該所定のタイミ
ング情報に基づく特定のタイミングにスイッチ等の操作
に基づいて同調回路の位相角又は周波数を変化させる手
段とを位置指示器に設けたことを特徴とするものであ
る。また、そのような位置検出装置であって、さらに、
タブレット側に、位置指示器の同調回路に一定期間連続
する誘導電圧及びこれに続く所定周期の間欠的な誘導電
圧を生起させ得る電波を送信する手段を設けて、かつ、
位置指示器側に同調回路に生起した一定期間連続する誘
導電圧及びこれに続く所定周期の間欠的な誘導電圧を所
定のタイミング情報として抽出する手段を設けることを
も提案している。さらに、タブレット側に特定のタイミ
ングに検出した位相角又は周波数の変化をコードに変換
する手段を設け、かつ、位置指示器側にスイッチ等の操
作に応じた特定のコードに従って同調回路の位相角又は
周波数を変化させる手段を設けることをも提案してい
る。

【００４８】特許出願公開公報平成７年第２００１３７
号に開示された技術について簡単に説明する。コードレ
スタブレットの改良技術であることは同様である。この
出願において出願人は、少なくとも２つの動作状態を有
する位置指示器からその指示位置の座標値に対応する一
定の空間分布を有する電磁波を発生し、これをタブレッ
トで検出して該位置指示器による指示位置の座標値を求
める位置検出装置において、位置指示器に、タブレット
側から送信される動作状態の設定命令を含む電磁波を受
信する電磁波受信手段と、該受信した電磁波より動作状
態の設定命令を抽出する命令抽出手段と、該動作状態の
設定命令に従って動作状態を設定する動作設定手段とを
設け、タブレットに、位置指示器に対する動作状態の設
定命令を発生する命令発生手段と、該動作状態の設定命
令を含む電磁波を位置指示器側へ送信する電磁波送信手
段とを設けたことを特徴とする位置検出装置を提案し
た。また、指示位置の座標値に対応する一定の空間分布
を有する電磁波を発生する電磁波発生手段と、該電磁波
発生手段から発生する電磁波の強度特性または周波数特
性もしくはこれらの特性の時間的変化を所定の制御情報
に応じて制御する特性制御手段と、タブレット側から送
信される動作状態の設定命令を含む電磁波を受信する電
磁波受信手段と、該受信した電磁波より動作状態の設定
命令を抽出する命令抽出手段と、該動作状態の設定命令
に従って少なくとも２つの動作状態のいずれかに設定
し、該設定された動作状態に基づく情報を前記所定の制
御情報として入力可能とする動作設定手段とを備えた位
置指示器と、位置指示器に対する動作状態の設定命令を
発生する命令発生手段と、該動作状態の設定命令を含む
電磁波を位置指示器側へ送信する電磁波送信手段と、位
置指示器側から発生する一定の空間分布を有する電磁波
を検出する電磁波検出手段と、該検出した電磁波より位
置指示器による指示位置の座標値を求める座標検出手段
と、前記検出した電磁波の強度特性または周波数特性も
しくはこれらの特性の時間的変化を検出する特性検出手
段と、該検出した電磁波の特性より情報を識別する情報
識別手段とを備えたタブレットからなることを特徴とす
る位置検出装置をも提案した。さらに、指示位置の座標
値に対応する一定の空間分布を有する電磁波を発生する
電磁波発生手段と、該電磁波発生手段から発生する電磁
波の強度特性または周波数特性もしくはこれらの特性の
時間的変化を所定の制御情報に従って制御する特性制御
手段と、少なくとも一つの指示器情報を発生する情報発
生手段と、タブレット側から送信される指示器情報の要
求命令を含む電磁波を受信する電磁波受信手段と、該受
信した電磁波より指示器情報の要求命令を抽出する命令
抽出手段と、該指示器情報の要求命令に従って前記指示
器情報を前記所定の制御情報として設定する情報設定手
段とを備えた位置指示器と、位置指示器に対する指示器
情報の要求命令を発生する命令発生手段と、該指示器情
報の要求命令を含む電磁波を位置指示器側へ送信する電
磁波送信手段と、位置指示器側から発生する一定の空間
分布を有する電磁波を検出する電磁波検出手段と、該検
出した電磁波より位置指示器による指示位置の座標値を
求める座標検出手段と、前記検出した電磁波の特性より
指示器情報を識別する情報識別手段とを備えたタブレッ
トとからなることを特徴とする位置検出装置をも提案し
た。指示位置の座標値に対応する一定の空間分布を有す
る電磁波を発生する電磁波発生手段と、該電波発生手段
から発生する電磁波の強度特性または周波数特性もしく
はこれらの特性の時間的変化を所定の制御情報に従って
制御する特性制御手段と、複数種類の指示器情報をそれ
ぞれ発生する複数種類の情報発生手段と、タブレット側
から送信される所定の種類の指示器情報の要求命令を含
む電磁波を受信する電磁波受信手段と、該受信した電磁
波より所定の種類の指示器情報の要求命令を抽出する命
令抽出手段と、該指示器情報の要求命令に従って前記複
数種類の指示器情報のうちから該当する種類の指示器情
報を選択して前記所定の制御情報として設定する情報設
定手段とを備えた位置指示器と、位置指示器に対する所
定の種類の指示器情報の要求命令を発生する命令発生手
段と、該指示器情報の要求命令を含む電磁波を位置指示
器側へ送信する電磁波送信手段と、位置指示器側から発
生する一定の空間分布を有する電磁波を検出する電磁波
検出手段と、該検出した電磁波より位置指示器による指
示位置の座標値を求める座標検出手段と、前記検出した
電磁波の強度特性または周波数特性もしくはこれらの特
性の時間的変化を検出する特性検出手段と、該検出した
電磁波の特性より所定の種類の指示器情報を識別する情
報識別手段とを備えたタブレットとからなることを特徴
とする位置検出装置をも提案した。さらに、これらの位
置検出装置において、送信する電磁波の継続時間または
休止時間により位置指示器側に対する命令を表すように
なすことをも提案した。さらにまた、位置指示器の電磁
波受信手段として共振回路を用いることを提案した。ま
た、位置指示器の共振回路を電磁波発生手段として用い
ることをも提案した。また、位置指示器の特性制御手段
として共振回路の共振特性を変えるようになすことをも
提案した。共振回路に受信される電磁波から位置指示器
の各部を駆動する電気的エネルギーを抽出する電源抽出
手段を備えることをも提案した。

【００４９】特許出願公開公報平成８年第１６３１１号
に開示された技術について簡単に説明する。この出願に
おいて出願人は、位置指示器より位置検出装置本体に対
し位置情報以外の情報をも伝達可能な位置検出装置と、
該位置検出装置を主たる入力デバイスとするソフトウェ
アを備えたコンピュータシステムにおいて、特定の位置
指示器に特定のソフトウェアに対応した位置指示器であ
ることを示す識別情報を発生する識別情報発生手段を設
け、前記特定の位置指示器より発せられ位置検出装置本
体を介して入力される識別情報から特定のソフトウェア
を認識するソフトウェア認識手段と、前記特定の位置指
示器の使用に伴って位置検出装置本体から出力される各
種の情報を特定のソフトウェアのみに選択的に入力する
ソフトウェア選択手段とを備えたことを特徴とするコン
ピュータシステムを提案した。また、位置指示器より位
置検出装置本体に対し位置情報以外の情報も伝達可能な
位置検出装置と、該位置検出装置を主たる入力デバイス
とするソフトウェアとを備えたコンピュータシステムに
おいて、特定の位置指示器に特定のソフトウェアに対応
した位置指示器であることを示す識別情報を発生する識
別情報発生手段を設け、前記特定の位置指示器より発せ
られ位置検出装置本体を介して入力される識別情報から
特定のソフトウェアを認識するトフトウェア認識手段
と、該特定のソフトウェアが既に起動されているか否か
を判定する起動判定手段と、該判定の結果、起動されて
いなければ、該特定のソフトウェアを起動するソフトウ
ェア起動手段とを備えたことを特徴とするコンピュータ
システムをも提案した。さらに、位置指示器より位置検
出装置本体に対し位置情報以外の情報も伝達可能な位置
検出装置と、該位置検出装置を主たる入力デバイスとす
るソフトウェアとを備えたコンピュータシステムにおい
て、特定の位置指示器に特定のソフトウェアに対応した
位置指示器であることを示す識別情報を発生する識別情
報発生手段を設け、前記特定の位置指示器より発せられ
位置検出装置本体を介して入力される識別情報から特定
のソフトウェアを認識するソフトウェア認識手段と、該
特定のソフトウェアが既に起動されているか否かを判定
する起動判定手段と、該判定の結果、起動されていなけ
れば、該特定のソフトウェアを起動するソフトウェア起
動手段と、前記特定の位置指示器の使用に伴って位置検
出装置本体から出力される各種の情報を特定のソフトウ
ェアのみに入力するソフトウェア選択手段とを備えたこ
とを特徴とするコンピュータシステムをも提案した。さ
らに、上記のコンピュータシステムにおいて、特定の位
置指示器が特定のソフトウェアに最適化された態様を有
することを特徴とするコンピュータシステムを提案し
た。また、コードレスでかつ電池を電源とする位置指示
器を備えた位置検出装置を用いることを特徴とする上記
コンピュータシステムを提案した。さらにまた、コード
レスでかつ共振回路を有する位置指示器を備えた位置検
出装置を用いることを特徴とする上記コンピュータシス
テムをも提案した。コードレスでかつ共振回路を有し、
該共振回路に発生するエネルギーを電源とする位置指示
器を備えた位置検出装置を用いることを特徴とする上記
コンピュータシステムをも提案した。

【００５０】これら３件の特許出願に開示された技術を
持ってすれば、図６から図８までに描かれたセキュリテ
ィシステムを構成することが可能になる。図４及び図５
に描いたタブレットは、これら３件に開示されたタブレ
ットまたは位置検出装置と表現されたものに該当する。
また、図４及び図５に描いた電子印鑑は、上記３件の特
許出願において位置指示器と表現されたものに該当す
る。図６から図８における電子印鑑では基準図形データ
のセキュリティの問題を解決すべく、電子印鑑の筐体内
部に基準図形データを保持することとしているのが第一
の特徴である。図４及び図５に示した電子印鑑はタブレ
ットとは何らのケーブルによる接続をもなされずに独立
の筐体により構成される。図４におけるパソコン、ＣＲ
Ｔ、タブレット間及び図５におけるパソコンと平板型表
示装置の積層配置されたタブレットとはケーブル接続さ
れるのが普通であるが、それを描くのを省略した。図４
に示す構成例では電子印鑑をもって押印する場所はタブ
レット上であるがその印影が表示されるのはＣＲＴ装置
上となる。図５に示す構成例では電子印鑑をもって押印
する場所とその印影が表示される場所とが一致するので
より紙の書類に押印するのと近似した感覚で押印作業が
できることとなる。位置検出装置を使うメリットとし
て、押印する位置に意味のある場合があることを指摘し
ておく。日本国において用いられる紙の文書であれば、
役職によって、押印する位置は決まっている場合があ
る。その場合は、押すべき位置に自動的に押せるように
すれば、位置の指示は不要である。しかし、例えば、上
司が不在のときに代理で印を押すときは、いつもとは違
う欄に押す必要がある。そのような場合は押印位置を直
接指示できるメリットが現れる。また、例えば、訂正印
の場合、すなわち、訂正を欲する場所にその訂正を実行
する主体が本人の同一性を確認するために押印する場合
には、その押印位置に意味がある。これも位置検出装置
を使うメリットになる。

【００５１】図６は、電子印鑑の筺体内部に基準印影デ
ータを保持することにより簡単なセキュリティ機能を実
現した電子押印セキュリティシステムの機能ブロック図
である。図６に示す実施例では、電子押印処理装置１０
１には、位置検出部１４１及び情報通信装置１５１が設
けられている点が、図１に示す電子押印または電子サイ
ン処理装置１００と異なる点である。位置検出部１４１
は、デジタイザタブレットと呼ばれることのある座標検
出装置のうちの平板上のセンサを含む側の装置により主
に構成される。座標検出装置は、一般に電子ペンや、カ
ーソル（パック形状の位置指示器）等の位置指示器を平
板上の座標検出領域に置いて、操作者がその位置指示器
を動かすことにより座標（ＸＹ座標）をコンピュータに
入力する装置である。電子印鑑３００は、そのような座
標検出装置上の座標検出領域内の位置を示す位置指示部
３１０を備えた位置指示器であり、かつ、内部に基準印
影データを保持し、情報通信部３２０をも兼ね備えた器
具である。このような電子印鑑３００を、内部にＣＰＵ
や、電池を備えたものとして構成して電子印鑑３００を
電子押印装置１０１とはコードで接続されずに分離して
設けることができるのは、図７等に示す実施例にあるよ
うに、比較的容易に構成し得る。本願と同一出願人が既
に出願し、提案した上述の３件の技術を用いれば、ＣＰ
Ｕや電池を電子印鑑３００の筺体内部に設けなくとも図
６に示す電子印鑑３００を構成することができる。

【００５２】ごく簡単に、上述の３件の技術を振り返る
と、特開平３−１８９７１６では、共振回路を有する位
置指示器とタブレットとの間で電磁結合をするコードレ
スタブレットにおいて、タブレットからのタイミング情
報を位置指示器が受けることによりコード情報を位相角
または周波数の変化としてタブレット側に返してタブレ
ットはそれを検出して位置指示器のコード情報を取得し
得るものを開示した。この位置指示器の筺体内部に不揮
発性メモリを設けて、基準印影データ（＋攪乱データ）
を保持すれば、図６に示す電子印鑑３００の基本的な構
成が実現できる。さらに、特開平７−２００１３７で
は、タブレットからコードレスの位置指示器に対し各種
の命令を送ってその動作を制御可能な位置検出装置及び
その位置指示器を提案し、また、必要な時のみ指示器情
報を位置指示器からタブレットへ伝達可能な位置検出装
置及びその位置指示器を提案し、さらに、位置指示器に
複数の情報が蓄えられている場合に、必要な種類の指示
器情報のみを位置指示器からタブレットへ伝達可能な位
置検出装置及びその位置指示器を提案した。従って、電
子印鑑３００は、電子押印処理装置１０１が必要な時の
み必要なデータを引き渡すことができる。また、さら
に、特開平８−１６３１１では、位置指示器側にコンピ
ュータ側のソフトウェアを認識し、必要があれば、それ
を起動し、また、特定のソフトウェアのみに選択的に入
力することができる機能を持たせることを提案した。こ
の技術によれば、電子印鑑３００を電子押印処理装置１
０１を構成する位置検出部１４１及び情報通信装置１５
１に近づけると、電子押印処理装置１０１を構成するコ
ンピュータがそれまで他の処理（例えば、ワードプロセ
ッサのテキスト入力処理）を実行していた場合でも、自
動的に電子押印処理のソフトウェアが起動して当該コン
ピュータが電子押印処理装置１０１として機能すること
を担保できる。また、電子押印処理のソフトウェア以外
のソフトウェアに対しては基準印影データ（＋攪乱デー
タ）Ｄ００２の引渡しを拒否することが可能であるた
め、秘密とすべきこの種のデータのセキュリティ上都合
がよい。

【００５３】図６に示した実施例が、図１に示した基本
構成と異なるもう一つの点がある。電子印鑑３００の情
報送信部３２０から電子押印の検証処理装置２０１の情
報通信装置２５１への矢印の意味するものである。情報
通信装置２５１と情報送信部３２０との間は、例えば電
磁結合により情報のやりとりが可能である。即ち、上述
の３件の特許出願に開示された技術によりそれを構成で
きる。ここでは、位置指示及び位置検出の機能は捨象で
きるから、情報送信部３２０側の共振回路と情報通信装
置２５１側のアンテナ（ループコイル）との間で電磁結
合がなされ、その波形の変化の情報にあるタイミングで
コード情報を載せることによって情報のやりとりがなさ
れ得る。また、電子押印の検証処理装置２０１は、通
常、汎用パソコンによって構成されるが、そのソフトウ
ェアが押印の検証処理ソフトウェアである場合にのみ基
準印影データ（＋攪乱データ）Ｄ００２を参照し得るよ
うにすべく電子印鑑３００が情報通信装置２５１に近づ
いたときにのみ検証処理ソフトウェアまたはそのための
基準印影データ参照ソフトウェアが動作するように構成
することも上述の技術により可能である。

【００５４】さらに、電子押印の検証処理装置２０１の
検証ソフトウェアは、情報通信装置２５１を介して参照
した基準印影データ（＋攪乱データ）Ｄ００２を特徴量
再現部２２０にて特徴量を再現するための参照用にのみ
用い、不必要な記憶、保持はしないことがセキュリティ
上、望ましい。電子押印の検証処理装置２０１上の記憶
装置に何らかの形で基準印影データ（＋攪乱データ）Ｄ
００２を残しては、当該装置を構成するコンピュータ
（パソコン）の操作者、使用者が他人の印影を用い文書
を偽造するおそれがあるからである。

【００５５】斯かるセキュリティ上の見地から図６にお
ける電子印鑑３００は、押印処理を実行する者が一つだ
け保管し、厳重に管理する性質のものであり、複数ある
ことは好ましくない。この点においても図１に示す基本
構成が押印者のコンピュータとネットワークサーバとの
二箇所に基準印影データ（＋攪乱データ）をおく必要が
あるのと異なる点である。図６における電子印鑑３００
は、たった一つのものであり、検証処理の際には押印者
本人が電子押印の検証処理装置２０１にまで出向く必要
のあるものである。そもそも、本願に係る電子押印は、
図１１（Ｂ）に示す従来例のＰＧＰシグネチャと異な
り、常に検証を必要とするものではなく、一応は目視に
より相当の確からしさを確認できるものであって、疑義
の生じたときのみ検証を必要とするものであるから、図
６に示す電子印鑑を用いたセキュリティシステムであっ
ても、簡単な電子書類のセキュリティシステムは実現で
きたといえる。なお、図６における実施例の特徴をもう
一つつけ加えると、電子押印処理装置１０１の中の印影
データ押印部１３１では、変更の加えられた印影データ
を印影データ変更手段１２１から受け取るとともに、押
印位置の情報を位置検出部１４１から得て文書データＤ
００１の然るべき位置（押印者が欲する位置）に印影デ
ータを付加することができる。このようにして押印され
た電子文書Ｄ００３が生成される点が、図１に示す基本
構成と異なる。電子印鑑３００が位置指示器でもあるゆ
えんである。

【００５６】図６に示すセキュリティシステムに限界が
あるとすれば、基準印影データ（＋攪乱データ）Ｄ００
２がたとえ一時的にせよ、電子押印装置１０１または電
子押印の検証処理装置２０１に引き渡される点にある。
この種のシステムは複数人のグループの人間の間で運用
されるが、その複数人の中の一人に個人情報を盗んで悪
用しようとする者が出たときにその者がソフトウェアを
書き換えて本来個人情報であるべき基準印影データ（＋
攪乱データ）Ｄ００２等にアクセスして不当にそれを取
得する可能性を全くなしとし得ないのが図６に示す実施
例の限界といえる。

【００５７】図７は、電子印鑑の内部で印影データ変
更、印影データ一致判定等の処理を行うことにより高度
なセキュリティ機能を実現した電子押印セキュリティシ
ステムの機能ブロック図である。図７に示す実施例で
は、電子印鑑３０１は、内部にＣＰＵや電池を備えるこ
とにより一個の独立したコンピュータとして働くもので
ある。特徴量抽出部１１０及び印影データ変更手段１２
１は図６の実施例では電子押印処理装置１０１の内部に
設けられていたが、図７では、電子印鑑３００の筐体内
部に設けられる。また、図７の印影データ一致判定部２
３１は、図６に示す実施例の電子押印の検証処理装置２
０１内の特徴量一定判定部２３０に相当するものであ
る。

【００５８】図７に示す実施例に関して、処理の流れに
したがって、説明する。電子押印処理装置１０２は汎用
コンピュータに必要な電子書類セキュリティのためのソ
フトウェアが組み込まれたものであり、その入力機器と
してデジタイザタブレット（座標入力装置）が接続され
ている。当該タブレットは電子印鑑３０１を位置指示器
として用いるとともに電子印鑑３０１との間で情報通信
機能をも有するものである。電子印鑑３０１と電子押印
処理装置１０２側のデジタイザタブレットとは例えば、
電磁気的な結合をすることにより電気的な非接触状態で
も情報のやり取りが可能である。電子押印処理装置１０
２に文書データＤ００１が読み込まれているときに電子
印鑑３０１が電子押印処理装置１０２のデジタイザタブ
レットに近づくと電子押印処理装置１０２は文書データ
Ｄ００１を情報通信装置１５２を介して電子印鑑３０１
に引き渡す。電子印鑑３０１側の情報通信部３２１は、
文書データＤ００１を受け取ってその特徴量を抽出すべ
くそのデータを電子印鑑３０１内の特徴量抽出部１１０
に引き渡す。図７の電子印鑑３０１内の特徴量抽出部１
１０は、図１における電子押印または電子サイン処理装
置１００内の特徴量抽出部１１０、図６における電子押
印処理装置１０１内の特徴量抽出部１１０と同様の処理
を実行して文書データD００１の特徴量を抽出する。抽
出された特徴量は図７の電子印鑑３０１ないの印影デー
タ変更手段１２１に引き渡される。

【００５９】図７の電子印鑑３０１内の印影データ変更
手段１２１は、基準印影データ（＋攪乱データ）Ｄ００
２に対して特徴量に応じた変更を加え、変更後の印影デ
ータを情報通信部３２１に返す。図７の実施例にあって
は、基準印影データ（＋攪乱データ）Ｄ００２は、電子
印鑑３０１内の記憶手段に保持されるものの、当該デー
タにアクセス可能な手段は印影データ変更手段１２１の
みであり、かつ、印影データ変更手段１２１はＤ００２
をそのまま外部に出力することはせず、変更を加えた印
影データのみを情報通信部３２１に返すこととするのが
望ましい。図７の実施例はＤ００２のデータが生のまま
外部に出ることを防ぐことによりセキュリティ強度を高
めることを目的とした実施例だからである。図７に示す
電子印鑑３０１内の印影データ変更手段１２１の実行す
る処理内容は、図１に示す電子押印または電子サイン処
理装置１００内の図形データ変更手段１２０、図６に示
す電子押印処理装置１０１内の印影データ変更手段１２
１の実行する処理内容と同様である。

【００６０】電子印鑑３０１内の情報通信部３２１は、
変更を加えられた印影データを受け取るとそれを、電子
押印処理装置１０２内の情報通信装置１５２に返す。電
子押印処理装置１０２内の情報通信装置１５２は当該印
影データを受け取ると電子押印処理装置１０２内の印影
データ押印部１３１に送る。一方、電子押印処理装置１
０２内の位置検出部１４１は、電子印鑑３０１の位置指
示部３１０がタブレット上のどの位置を指示しているか
を検出し、当該位置に関する座標データを押印位置とし
て印影データ押印部１３１に引き渡す。印影データ押印
部１３１は、電子書類のデータである文書データＤ００
１に対して位置検出部１４１から送られた押印位置に情
報通信装置１５２から得られた印影データを押印する処
理を実行して押印された電子文書D００３を生成する。
押印された電子文書Ｄ００３は、文書データと文書デー
タの特徴量により変形された印影データを組み合わせた
ものであり、このデータの生成により電子押印処理装置
１０２による押印処理が完結される。

【００６１】次に、図７に示す電子押印の検証処理につ
いて説明する。既に述べたように変形された印影データ
は押印者本人を示す紋章、記章等の図形であって、その
図形の外観形状に特徴を有するものであり、変更を加え
た印影は見た目には基準印影とほぼ同一のものであるか
ら、押印された電子文書が、例えば社内ＬＡＮ（ローカ
ルエリアネットワーク）で転々としたとしてもその都度
電子的な検証をする必要のあるものではない。最終的な
決定をする必要がある場合等に電子押印の検証処理装置
２０２の処理がなされる。この検証処理は押印の際に用
いたのと同じ固有の電子印鑑３０１を電子押印の検証処
理装置２０２の近くに持ってくることによってなされ
る。

【００６２】すなわち、検証の必要が生じた時には、押
印された電子文書Ｄ００３は、電子押印の検証処理装置
２０２内の情報通信装置２５２により電子印鑑３０１内
の情報通信部３２１に送られる。情報通信部３２１は、
押印された電子文書Ｄ００３を文書データと印影データ
とに分離して、文書データは電子印鑑３０１内の特徴量
抽出部１１０に、印影データは電子印鑑３０１内の印影
データ一致判定部２３１に送る。尤も押印された電子文
書Ｄ００３を文書データと印影データとに分離する処理
は（特にそれが複雑な処理である場合には）電子押印の
検証処理装置２０２側で行うことが望ましい。セキュリ
ティ上の問題も生じないからである。

【００６３】電子印鑑３０１内の情報通信部３２１から
電子印鑑３０１の特徴量抽出部１１０に送られた文書デ
ータは、当初の文書データＤ００１と同じもののはずで
ある。電子印鑑の特徴量抽出部１１０は、当該文書デー
タから特徴量を再び抽出する。再びという意味は押印処
理の際に一度行った処理と同一の処理を今度は電子押印
の検証処理装置２０２の情報通信装置２５２から送られ
た文書データに対して実行するという意味である。抽出
された特徴量は、電子印鑑３０１内の印影データ変更手
段１２１に送られる。印影データ変更手段１２１は、基
準印影データ（＋攪乱データ）Ｄ００２を取得し、それ
に対して特徴量に応じた変更を加える。変更を加えられ
た印影データは電子印鑑３０１内の印影データ変更手段
１２１から電子印鑑３０１内の印影データ一致判定部２
３１に送られる。電子印鑑内の印影データ一致判定部２
３１は、情報通信部３２１から受け取った印影データと
印影データ変更手段１２１から受け取った印影データと
を比較して一致するか否かを判定する。電子印鑑３０１
内の印影データ一致判定部２３１は、二つの印影データ
が一致する場合には、文書データＤ００３が真正なもの
との判定結果を情報通信部３２１に送り、不一致の場合
には真正なものではないとの判定結果を情報通信部３２
１に送る。電子印鑑３０１内の情報通信部３２１は、電
子押印の検証処理装置２０２内の情報通信装置２５２に
当該判定結果を送り、電子押印の検証処理装置２０２
は、当該結果を出力する。このようにして押印された電
子文書Ｄ００３の検証処理が完結する。

【００６４】図７における実施例では、検証処理のため
に特徴量の一致を判定せずに印影データの一致を判定し
たのは、電子印鑑３０１内には既に特徴量抽出部１１０
が存在するから、それのほかに図１や図６のような特徴
量再現部２２０を重ねて設けるのは無益だからである。
それに対して、図１や図６では印影データの一致を判定
せずに特徴量の一致を判定したのは、セキュリティ上の
理由による。すなわち、図１の電子押印または電子サイ
ン処理装置１００内または図６の電子押印処理装置１０
１内の特徴量抽出部１１０及び図形データ変更手段１２
０または印影データ変更手段１２１の処理を、図１の電
子押印または電子サインの検証処理装置２００または図
６の電子押印の検証処理装置２０１において実行したと
すると、検証処理装置側で押印処理装置と同様の処理が
実行可能となるので、他人になりすまして押印を実行す
る不正処理の横行を許容する結果となり、セキュリティ
上問題だからである。そこで、図１や、図６の実施例で
は、図形データ変更や印影データ変更の逆変換の機能で
ある特徴量再現という機能のみを検証処理装置側に持た
せて、セキュリティの問題に対する措置を講じたもので
ある。

【００６４】それに対して、図７の実施例では、電子印
鑑３０１は押印者本人のみが一個のみ所有し、保管する
ものであるという前提からセキュリティに関するこの問
題をクリアできるため印影データの一致判定をすること
により合理化を図った。

【００６５】図８は、電子印鑑内における印影データ変
更を秘密鍵データに基づく文書データの暗号化処理に基
づいて行うことによりさらに高度なセキュリティ機能を
実現した電子押印セキュリティシステムの機能ブロック
図である。秘密鍵データに基づく文書データの暗号化処
理とは、前述した公開鍵暗号化方式に基づいて押印者
（署名者）本人が所持、保管する秘密鍵データに基づい
て文書データを暗号化（攪乱）する処理のことである。

【００６６】図８における実施例が、図７における実施
例と異なる点を列挙すると、電子印鑑３０２内に秘密鍵
データＤ００４を格納した点、図７の特徴量抽出部１１
０に代えて暗号化処理部１１１を設けた点、電子印鑑３
０２内では検証処理における一致判定を行わずに電子押
印の検証処理装置２０３内で一致判定を文書データ一致
判定部２３２にて行うこととした点、公開情報格納装置
４００を設けて基準印影データＤ２０２と公開鍵データ
Ｄ００５とを格納することとした点、電子押印の検証処
理装置２０３内に暗号化された文書データの抽出手段２
２１と復号化処理部２２２を設けた点、などである。

【００６７】図８における実施例を処理の流れにしたが
って説明する。電子押印処理装置１０２の構成は図７に
おける実施例と同一であり、同様の処理を実行する。電
子押印処理装置１０２が文書データＤ００１を扱ってい
る状態で、電子印鑑３０２の位置指示部３１０を電子押
印処理装置１０２の位置検出部１４１に近づけ、電子印
鑑３０２の情報通信部３２２を電子押印処理装置１０２
の情報通信装置１５２に近づけると、電子押印処理装置
１０２は、文書データＤ００１を情報通信装置１５２を
介して電子印鑑３０２の情報通信部３２２に送る。電子
印鑑３０２の情報通信部３２２は、当該文書データＤ０
０１は、情報通信部３２２から暗号化処理部１１１に送
られる。暗号化処理部１１１は、電子印鑑３０２内に格
納された秘密鍵データＤ００４を取得し、該秘密鍵デー
タＤ００４に基づいて文書データＤ００１を暗号化す
る。暗号化された文書データは、暗号化処理部１１１か
ら印影データ変更手段１２２へ送られる。

【００６８】印影データ変更手段１２２は、電子印鑑３
０２内に予め格納された基準印影データＤ００２を取得
し、当該基準印影データＤ００２に対して、暗号化処理
部１１１の出力である暗号化された文書データに基づい
て（当該暗号化された文書データの特徴を反映して）、
変形、修正等の変更を加える。変更処理は、図１の実施
例における図形データ変更手段１２０、図６または図７
の実施例における印影データ変更手段１２１と同様の処
理となる。変更された印影データは情報通信部３２２に
送られる。情報通信部３２２は、変更された印影データ
を電子押印装置１０２の情報通信装置１５２に送る。電
子押印装置１０２の情報通信装置１５２は、当該変更さ
れた印影データを電子押印処理装置１０２の印影データ
押印部１３１に送る。

【００６９】一方、電子印鑑３０２の位置指示部３１０
は、電子印鑑３０２の置かれた位置を電子押印処理装置
１０２の位置検出部１４１に対して指示し、電子押印処
理装置１０２の位置検出部１４１は、電子印鑑３０２の
位置指示部３１０が指示する位置を検出し、その押印位
置の情報（座標情報）を電子押印処理装置１０２の印影
データ押印部１３１に送る。電子押印処理装置１０２の
印影データ押印部１３１は、情報通信装置１５２から得
られた印影データを位置検出部１４１から得られた押印
位置の情報により文書データＤ００１に付加して押印さ
れた電子文書Ｄ００３を出力する。このようにして押印
済み電子文書が生成される。

【００７０】押印済み電子文書の検証処理をする必要が
生じた場合には、電子押印の検証処理装置２０３が検証
処理を実行する。図７における実施例では一致判定を電
子印鑑３０１内において実行したが、図８における実施
例では一致判定は電子押印の検証処理装置２０３が実行
する点が異なる点のうちの一つである。また、図８にお
ける実施例では、公開情報格納装置４００が設けられ、
その装置内に格納された基準印影データＤ００２及び公
開鍵データＤ００５を用いて電子押印の検証処理装置２
０３が検証処理を実行する点も異なる点である。この実
施例において基準印影データＤ００２を公開情報とでき
るのは、たとえ悪意の者があってもこれのみでは電子印
鑑の所持者本人を詐称することはできず、基準印影デー
タＤ００２と秘密鍵データＤ００４との組み合わせによ
ってのみ押印が可能だからである。

【００７１】押印済み電子文書の検証処理の流れを図８
を参照しつつ説明する。まず電子押印の検証処理装置２
０３は、押印された電子文書（押印済み電子文書）Ｄ０
０３を文書データと印影データとに分離する。この分離
は、通常は単に付加されたものを分けるに過ぎない。分
離された文書データは当初の平文である文書データＤ０
０１と同一のもののはずである。この文書データは文書
データ一致判定部２３２に送られる。一方、分離された
印影データは暗号化された文書データの抽出手段２２１
に送られる。暗号化された文書データの抽出手段２２１
は、公開情報格納装置400に格納された基準印影データ
Ｄ００２を参照して、印影データ変更の元となった暗号
化されている文書データを抽出する。この抽出処理は電
子印鑑３０２の印影データ変更手段１２２が実行する変
更処理の逆の変換をする処理である。暗号化された文書
データの抽出手段２２１の出力、すなわち暗号化されて
いる文書データは、復号化処理部２２２に送られる。復
号化処理部２２２は、公開情報格納装置４００に格納さ
れた公開鍵データＤ００５を用いて、暗号化されている
文書データの復号化処理を実行する。その出力である復
号化された文書データは、文書データ一致判定部２３２
に送られる。文書データ一致判定部２３２は、押印され
た電子文書Ｄ００３から分離された文書データと復号化
処理部２２２により復号化された文書データとを比較し
て一致するか否かを判定する。そして、一致する場合に
は、押印済み電子文書Ｄ００３の押印を真正なものと判
定結果を出力し、一致しない場合には押印済み電子文書
Ｄ００３の押印を真正ではないと判定結果を出力する。

【００７２】図８に示す実施例では、公開情報格納装置
４００に格納された基準印影データＤ００２及び公開鍵
データＤ００５に基づいて検証処理を実行している。こ
の点において、図７に示す実施例が電子印鑑３０１にて
一致判定を実行するのと大きく異なっている。従って、
図８の実施例では図７に比べて検証処理が身近なものと
なっているといえる。図７では、一個しか存在しない電
子印鑑３０１を前提とするため検証処理がおいそれとは
できないのに対し、図８の実施例では公開情報格納装置
にはなんびともアクセス可能だからである。

【００７３】図９は、本発明の基本構成に秘密鍵による
暗号化及び公開鍵による復号化を加味した実施例を示す
機能ブロック図である。図９に示す実施例を図１に示す
本発明の基本構成と異なる点が２点ある。第一に、電子
押印または電子サイン処理装置１０３において、文書デ
ータの特徴量を抽出した後、その特徴量そのものに基づ
いて図形データ変更処理を実行するのではなく、秘密鍵
情報Ｄ００４により暗号化処理を施してからその結果に
基づいて図形データ変更を実行すべく、暗号化処理手段
１６０を設けた点である。第二に、電子押印または電子
サインの検証処理装置２０３において、特徴量の再現を
するのに図形データ解析処理と公開鍵情報Ｄ００５によ
る復号化処理との２段階によりなしている点である。図
１に示す基本構成で、出願人は、従来の電子シグネチャ
に代わるものとして図形データを用いた電子押印、電子
署名の概念を提案したが、従来の秘密鍵、公開鍵による
暗号化、復号化と組み合わせることによりさらにセキュ
リティ強度の高いシステムを構築できることを指摘すべ
く、図９に示す実施例を提案する。

【００７４】図９に示す実施例を図６から図８までの実
施例に比較すると、最も大きな違いは位置指示部、及び
位置検出部の捨象されている点である。図６から図８ま
でにあっては、デジタイザタブレットの存在の有用性を
指摘したが、図１の基本構成に位置検出の要素を加味し
ない場合であっても、秘密鍵、公開鍵による暗号化、復
号化の要素を加味することが有用であることを指摘すべ
く提案するものである。

【００７５】図９に示す実施例が図１と共通する点に関
しては図１と同一の符号を付している。共通する部分に
ついては前述したものと同様であるので、説明を省略す
る。

【００７６】図１０は、秘密鍵による暗号化処理を分離
可能なユニットにて実行する実施例を示す機能ブロック
図である。図１０に示す実施例が図９の実施例と異なる
のは、２点ある。第一に、暗号化処理部１６０を、電子
押印または電子サイン処理装置１０４から分離して携帯
可能なユニット５００内に設けて、そのユニット内部に
秘密鍵情報Ｄ００４を格納した点である。第二に、図形
データＤ００２と、公開鍵情報Ｄ００５とを公開情報サ
ーバ４００内に格納した点である。

【００７７】秘密鍵情報Ｄ００４を分離して携帯可能な
ユニット５００内に格納することにより、該情報が他人
に盗まれる危険が減り、セキュリティ強度を高めること
が出きる。即ち、図１０に示す実施例では、秘密鍵情報
は生のまま当該ユニットの外に出ることがない。秘密鍵
情報の管理者は、このユニットを身につけて持ち歩くこ
とにより、他人に使用される危険を回避できる。

【００７８】電子押印または電子サイン処理装置１０４
と分離して携帯可能なユニット５００との間の情報のや
りとりは、図７や図８に示した電子押印処理装置１０２
と電子印鑑３０１、３０２との間の情報のやりとりと同
様の方法、例えば電磁気的な結合による非接触の通信方
法が可能である。分離して携帯可能なユニット５００は
具体的にはＩＣカードのようなものとして構成すること
ができる。図１０に示す実施例では当該ユニット内で暗
号化処理を実行するので必要なＣＰＵを備えることにな
る。

【００７９】公開情報サーバ４００に図形データＤ００
２、公開鍵情報Ｄ００５を格納することによりネットワ
ークによる本システムの運用に適したものとなる。

【００８０】

【発明の効果】このようにして、電子印鑑や電子サイン
を施すことで、紙の書類に押印やサインにより決済を与
えるのと同様の感覚で、電子的に決済や承認の可能なシ
ステムを構築することができるようになった。ＯＡ（オ
フィスオートメーション）への効用が大きい。

【図面の簡単な説明】

【図１】本発明に係る電子書類セキュリティシステ
ム、電子押印セキュリティシステムまたは電子署名セキ
ュリティシステムの基本構成を示す機能ブロック図

【図２】文書データが日本語文書データ、図形データ
がビットマップデータである場合について本発明に係る
書類承認、承認検証のやり方を示した図

【図３】文書データが英語文書データ、図形データが
ベクトルデータである場合について本発明に係る書類承
認、承認検証のやり方を示した図

【図４】本発明に係る電子押印セキュリティシステム
を、パーソナルコンピュータ、ＣＲＴ装置、タブレット
及び電子印鑑で構成した場合のハードウェア構成を示し
た図

【図５】本発明に係る電子押印セキュリティシステム
を、パーソナルコンピュータ、平板型表示装置を積層配
置したタブレット及び電子印鑑で構成した場合のハード
ウェア構成を示した図

【図６】電子印鑑の筺体内部に基準印影データを保持
することにより簡単なセキュリティ機能を有する電子押
印セキュリティシステムの機能ブロック図

【図７】電子印鑑の内部で印影データ変更、印影デー
タ一致判定等の処理を行うことにより高度なセキュリテ
ィ機能を実現した電子押印セキュリティシステムの機能
ブロック図

【図８】電子印鑑内における印影データ変更を秘密鍵
データに基づく文書データの暗号化処理に基づいて行う
ことによりさらに高度なセキュリティ機能を実現した電
子押印セキュリティシステムの機能ブロック図

【図９】本発明の基本構成に秘密鍵による暗号化及び
公開鍵による復号化を加味した実施例を示す機能ブロッ
ク図

【図１０】秘密鍵による暗号化処理を分離可能なユニ
ットにて実行する実施例を示す機能ブロック図

【図１１】従来例の電子署名を示す図

【符号の説明】

１００、１０３、１０４電子押印又は電子サイン処理
装置（電子書類承認操作装置）１０１、１０２電子押印処理装置１１０特徴量抽出部１１１、１６０暗号化処理部１２０図形データ変更手段１２１、１２２印影データ変更手段１３１印影データ押印部１４１位置検出部１５１、１５２情報通信装置Ｄ００１文書データＤ００２図形データ（＋攪乱データ）Ｄ００３文書データ＋文書データの特徴量により変形
された図形データＤ００４秘密鍵データＤ００５公開鍵データ２００電子押印又は電子サイン検証処理装置（電子書
類承認検証装置）２０１、２０２電子押印の検証処理装置２１０特徴量抽出部２２０特徴量再現部２２１暗号化された文書データの抽出手段２２２、２６０復号化処理部２２３図形解析手段２３０特徴量一致判定部２３１印影データ一致判定部２３２文書データ一致判定部２５１、２５２情報通信装置３００、３０１、３０２電子印鑑３１０位置指示部３２０、３２１、３２２情報送信部３３０暗号化処理部４００公開情報格納装置５００分離して携帯可能なユニット

───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.⁶ 識別記号庁内整理番号ＦＩ技術表示箇所Ｇ０７Ｆ 7/12 7259−5ＪＧ０９Ｃ 1/00 ６４０ＤＧ０９Ｃ 1/00 ６４０Ｇ０６Ｆ 15/62 ４５５Ｇ０７Ｆ 7/08 ＢＨ０４Ｌ 9/32 Ｈ０４Ｌ 9/00 ６７３Ｄ６７５ＡＣ０７Ｆ 7/08 ＢＣ

Claims

【特許請求の範囲】

【請求項１】電子的に作成された電子書類に対して承
認者が電子的に承認を与える電子書類承認操作装置と、
該承認された電子書類に対して検証者が該承認の正当性
を電子的に検証する電子書類承認検証装置とからなる電
子書類のセキュリティシステムであって、（イ）前記
電子書類承認操作装置が、所定のソフトウェアで電子書類として再現可能な電子的
な書類データを処理する電子書類データ処理手段と、予め用意された基準となる図形データを参照する基準図
形データ参照手段と、前記電子書類データ処理手段に処理される電子的な書類
データから該電子書類データに固有な特徴量を抽出する
特徴抽出手段と、該特徴抽出手段により抽出された特徴量に従って、前記
基準図形データ参照手段により参照された基準図形デー
タに変更を加えることにより変更図形データを生成する
図形データ変更手段と、該図形データ変更手段により生成された図形データを前
記電子書類データ処理手段により処理される電子的な書
類データに付加することにより承認済み電子書類データ
を生成する図形データ付加手段とからなり、（ロ）前
記電子書類承認検証装置が、前記電子書類承認操作装置の図形データ付加手段により
生成された承認済み電子書類データを処理する承認済み
電子書類データ処理手段と、前記電子書類承認操作装置の基準図形データ参照手段が
参照した基準図形データと同一の図形データを参照する
基準図形データ参照手段と、前記承認済み電子書類データ処理手段により処理される
承認済み電子書類データから、前記電子書類承認操作装
置により付加された図形データと電子的な書類データと
を分離するデータ分離手段と、該データ分離手段により分離された電子書類データから
該電子書類データに固有な特徴量を検出する特徴量検出
手段と、該図形データ分離手段により分離された図形データと、
前記基準図形データ参照手段により参照された基準図形
データとから、図形データの変更の元になった特徴量を
求める図形データ変形特徴量再現手段と、該図形データ変形特徴量再現手段から得られた特徴量と
前記特徴量検出手段により検出された電子書類データ固
有の特徴量との一致を判定する特徴量一致判定手段とか
らなることを特徴とする電子書類セキュリティシステ
ム。
【請求項２】前記図形データは、押印された印影を表
わす図形であることを特徴とする請求項１の電子書類セ
キュリティシステム。
【請求項３】前記図形データは、承認者の署名を表わ
す図形であることを特徴とする請求項１の電子書類セキ
ュリティシステム。
【請求項４】前記基準となる図形データは、２次元の
点の色を示す情報であり、前記図形データ変更手段は、その点の色を変更する手段
であることを特徴とする請求項１から請求項３までのい
ずれかに記載の電子書類セキュリティシステム。
【請求項５】前記基準となる図形データは、図形を構
成する要素の位置や大きさを示す量を有しており、前記図形変更手段は、図形を構成する要素の位置や大き
さを変更する手段であることを特徴とする請求項１から
請求項３までのいずれかに記載の電子書類セキュリティ
システム。
【請求項６】前記基準となる図形データは、持ち運び
可能な媒体に保持されていることを特徴とする請求項１
から請求項５までのいずれかに記載の電子書類セキュリ
ティシステム。
【請求項７】前記図形データ変更手段における変更
は、攪乱データにより制御される攪乱処理を含むことを
特徴とする請求項１から請求項６までのいずれかに記載
の電子書類セキュリティシステム。
【請求項８】前記攪乱データと、前記基準となる図形
データとが、携帯可能な媒体に保持されていることを特
徴とする請求項１から請求項７までのいずれかに記載の
電子書類セキュリティシステム。
【請求項９】前記図形データ変更手段と、前記基準図
形データを有する媒体とが、ひとつの携帯可能な装置に
内蔵されていることを特徴とする請求項１から請求項８
までのいずれかに記載の電子書類セキュリティシステ
ム。
【請求項１０】電子押印装置と、電子押印検証装置と
からなる電子押印セキュリティシステムであって、
（イ）前記電子押印装置が、所定のソフトウェアで電子書類として再現可能な電子的
な書類データを処理する電子書類データ処理手段と、予め用意された基準となる基準図形データを参照する基
準図形データ参照手段と、予め用意された公開鍵暗号化方式での暗号化用の秘密鍵
データを保持する秘密鍵データ保持手段と、前記電子的文書データを公開鍵暗号化方式での暗号化用
の秘密鍵で暗号化する暗号化手段と、前記暗号化手段で暗号化された文書データをパラメタと
して、前記基準図形データを変形・修正する図形データ
変更手段と、前記文書データに前記図形データ変更手段で変形された
図形データを付加する図形データ付加手段ととからな
り、（ロ）前記電子押印検証装置が、予め用意された基準となる基準図形データを参照する基
準図形データ参照手段と、前記図形データの付加された文書データから、文書デー
タと、図形データとを分離する図形データ分離手段と、該図形データ分離手段で分離された図形データと、前記
基準図形データ参照手段により参照された基準図形デー
タを比較して、暗号化された文書データを取り出す暗号
化文書データ抽出手段と、予め用意された公開鍵暗号化方式での復号化用の公開鍵
データを参照する公開鍵データ参照手段と、前記復号化用の公開鍵データを用いて、前記暗号化文書
データ抽出手段で取り出された暗号化された文書データ
を復号化して平文の文書データにする復号化手段と、前記図形データ分離手段から取り出された文書データ
と、前記復号化手段で復号化された文書データを比較し
て一致するかどうかを判定する一致判定手段とからなる
ことを特徴とする電子押印セキュリティシステム。
【請求項１１】電子署名装置と、電子署名検証装置と
からなる電子署名セキュリティシステムであって、
（イ）前記電子署名装置が、所定のソフトウェアで電子書類として再現可能な電子的
な書類データを処理する電子書類データ処理手段と、予め用意された基準となる基準図形データを保持する基
準図形データ保持手段と、予め用意された公開鍵暗号化方式での暗号化用の秘密鍵
データを保持する秘密鍵データ保持手段と、前記電子的文書データを公開鍵暗号化方式での暗号化用
の秘密鍵で暗号化する暗号化手段と、前記暗号化装置で暗号化された文書データをパラメタと
して、前記基準図形データを変形・修正する図形データ
変更手段と、前記文書データに前記図形データ変更手段で変形された
図形データを付加する図形データ付加手段ととからな
り、（ロ）前記電子署名検証装置が、予め用意された基準となる基準図形データを参照する基
準図形データ参照手段と、前記図形データの付加された文書データから、文書デー
タと、図形データとを分離する図形データ分離手段と、該図形データ分離手段で分離された図形データと、前記
基準図形データ参照手段により参照された基準図形デー
タを比較して、暗号化された文書データを取り出す暗号
化文書データ抽出手段と、予め用意された公開鍵暗号化方式での復号化用の公開鍵
データを参照する公開鍵データ参照手段と、前記復号化用の公開鍵データを用いて、前記暗号化文書
データ抽出手段で取り出された暗号化された文書データ
を復号化して平文の文書データにする復号化手段と、前記図形データ分離手段から取り出された文書データ
と、前記復号化手段で復号化された文書データを比較し
て一致するかどうかを判定する一致判定手段とからなる
ことを特徴とする電子署名セキュリティシステム。
【請求項１２】前記暗号化用の秘密鍵データを携帯可
能な媒体に格納したことを特徴とする請求項１０又は請
求項１１のいずれかに記載のセキュリティシステム。
【請求項１３】前記暗号化用の秘密鍵と押印又は署名
時に使用される基準図形データを携帯可能な媒体に格納
したことを特徴とする請求項１０又は請求項１１のいず
れかに記載のセキュリティシステム。
【請求項１４】前記暗号化手段と秘密鍵データ保持手
段を電子押印又は電子署名装置から分離して、別の携帯
可能な装置としたことを特徴とする請求項１０又は請求
項１１のいずれかに記載のセキュリティシステム。
【請求項１５】前記基準図形データの保持手段も携帯
可能な装置に搭載したことを特徴とする請求項１４のセ
キュリティシステム。
【請求項１６】前記押印又は署名検証装置で使用する
基準図形データが、電子押印又は電子署名装置で使用す
る基準図形データとは内容は同じでも、別々に保持され
ていることを特徴とする請求項１５のセキュリティシス
テム。
【請求項１７】前記携帯可能な媒体または装置は、物
理的な印鑑（実際の印章）の外観形状をしていることを
特徴とする請求項１２から請求項１６までのうちのいず
れかに記載のセキュリティシステム。
【請求項１８】押印または署名の位置を位置を指示す
る位置指示器と、その指示位置を検出する座標検出手段
とを有することを特徴とする請求項１１から請求項１７
までのいずれかに記載のセキュリティシステム。
【請求項１９】前記携帯可能な媒体が、前記位置指示
器に内蔵されていることを特徴とする請求項１８のセキ
ュリティシステム。
【請求項２０】前記位置指示器と前記座標検出手段と
はそれぞれ相互に通信手段を有し、前記内蔵された媒体
に格納された秘密鍵データ、または基準図形データを、
前記通信手段によって、電子押印又は電子署名装置に伝
達することを特徴とする請求項１９のセキュリティシス
テム。
【請求項２１】電子押印装置と、押印検証装置とから
なる電子押印セキュリティシステムであって、（イ）
前記電子押印装置が、所定のソフトウェアで再現可能な電子的文書データを処
理する電子文書処理手段と、予め用意された基準となる基準図形データを保持する基
準図形データ保持手段と、予め用意された公開鍵暗号化方式での暗号化用の秘密鍵
データを保持する秘密鍵データ保持手段と、前記電子文書処理手段により処理される電子的文書デー
タから、その文書の特徴を取り出して文書特徴データを
作成する文書特徴データ抽出手段と、該文書特徴データ抽出手段により抽出された文書特徴デ
ータを前記秘密鍵データ保持手段により保持された秘密
鍵で暗号化する暗号化手段と、該暗号化手段により暗号化された文書特徴データをパラ
メタとして、前記基準図形データを変更する図形データ
変更手段と、前記電子文書処理手段により扱われる電子的文書データ
に前記図形データ変更手段により変形された図形データ
を付加することにより押印済み電子文書を生成する図形
データ付加手段とから構成され、（ロ）前記押印検証
装置が、前記図形データ付加手段により生成された押印済み電子
文書から、文書データと図形データとを分離する図形デ
ータ分離手段と、前記基準図形データ保持手段により保持される基準図形
データと同一の基準図形データを参照する基準図形デー
タ参照手段と、該基準図形データ参照手段により参照された基準図形デ
ータと、前記図形データ分離手段により分離された図形
データとを比較して、暗号化された文書特徴データを取
り出す暗号化文書特徴データ抽出手段と、予め用意された公開鍵暗号化方式での複号化用の公開鍵
データを保持する公開鍵データ保持手段と、該公開鍵データ保持手段により保持された公開鍵データ
を用いて、前記暗号化文書特徴データ抽出手段により取
り出された暗号化された文書特徴データを復号化して元
の文書特徴データを取得する復号化手段と、前記図形データ分離装置により分離された文書データか
ら、前記電子押印装置の文書特徴データ抽出手段と同一
の方法により、文書の特徴を取り出して文書特徴データ
を作成する文書特徴データ抽出手段と、該文書特徴データ抽出手段から得られた文書特徴データ
と、前記復号化手段から取得された文書特徴データとを
比較して一致するか否かを判定する文書特徴データ一致
判定手段とから構成されることを特徴とする電子押印セ
キュリティシステム。
【請求項２２】電子署名装置と、署名検証装置とから
なる電子署名セキュリティシステムであって、（イ）
前記電子署名装置が、所定のソフトウェアで再現可能な電子的文書データを処
理する電子文書処理手段と、予め用意された基準となる基準図形データを保持する基
準図形データ保持手段と、予め用意された公開鍵暗号化方式での暗号化用の秘密鍵
データを保持する秘密鍵データ保持手段と、前記電子文書処理手段により処理される電子的文書デー
タから、その文書の特徴を取り出して文書特徴データを
作成する文書特徴データ抽出手段と、該文書特徴データ抽出手段により抽出された文書特徴デ
ータを前記秘密鍵データ保持手段により保持された秘密
鍵で暗号化する暗号化手段と、該暗号化手段により暗号化された文書特徴データをパラ
メタとして、前記基準図形データを変更する図形データ
変更手段と、前記電子文書処理手段により扱われる電子的文書データ
に前記図形データ変更手段により変形された図形データ
を付加することにより署名済み電子文書を生成する図形
データ付加手段とから構成され、（ロ）前記署名検証
装置が、前記図形データ付加手段により生成された署名済み電子
文書から、文書データと図形データとを分離する図形デ
ータ分離手段と、前記基準図形データ保持手段により保持される基準図形
データと同一の基準図形データを参照する基準図形デー
タ参照手段と、該基準図形データ参照手段により参照された基準図形デ
ータと、前記図形データ分離手段により分離された図形
データとを比較して、暗号化された文書特徴データを取
り出す暗号化文書特徴データ抽出手段と、予め用意された公開鍵暗号化方式での複号化用の公開鍵
データを保持する公開鍵データ保持手段と、該公開鍵データ保持手段により保持された公開鍵データ
を用いて、前記暗号化文書特徴データ抽出手段により取
り出された暗号化された文書特徴データを復号化して元
の文書特徴データを取得する復号化手段と、前記図形データ分離装置により分離された文書データか
ら、前記電子署名装置の文書特徴データ抽出手段と同一
の方法により、文書の特徴を取り出して文書特徴データ
を作成する文書特徴データ抽出手段と、該文書特徴データ抽出手段から得られた文書特徴データ
と、前記復号化手段から取得された文書特徴データとを
比較して一致するか否かを判定する文書特徴データ一致
判定手段とから構成されることを特徴とする電子署名セ
キュリティシステム。
【請求項２３】前記秘密鍵データ保持手段を携帯可能
な媒体に格納したことを特徴とする請求項２１または請
求項２２のいずれか記載のセキュリティシステム。
【請求項２４】前記秘密鍵データ保持手段と、前記基
準図形データ保持手段とを携帯可能な媒体に格納したこ
とを特徴とする請求項２１または請求項２２のいずれか
に記載のセキュリティシステム。
【請求項２５】前記暗号化手段と秘密鍵データ保持手
段とを、前記図形データ付加手段から分離して、別の携
帯可能な装置としたことを特徴とする請求項２１または
請求項２２のいずれかに記載のセキュリティシステム。
【請求項２６】該携帯可能な装置に、前記基準図形デ
ータの保持手段をも搭載したことを特徴とする請求項２
５に記載のセキュリティシステム。
【請求項２７】押印または署名の位置を指示する位置
指示器と、その指示位置を検出する座標検出手段とを有することを
特徴とする請求項２１から請求項２６までのいずれかに
記載のセキュリティシステム。
【請求項２８】前記携帯可能な媒体が、前記位置指示
器に内蔵されていることを特徴とする請求項２７に記載
のセキュリティシステム。
【請求項２９】前記位置指示器と前記座標検出手段と
はそれぞれ相互に通信手段を有し、前記内蔵された媒体
に格納された秘密鍵データ、または基準図形データを、
該通信手段によって、電子押印／電子署名装置に伝達す
ることを特徴とする請求項28に記載のセキュリティシス
テム。