本開示の一態様に係る制御方法は、事業者から提供されたサービスをグループ単位で利用した場合における一のグループに属するユーザ毎の利用実績に関する実績情報を生成する生成装置と、複数のサーバとを備えるシステムにおける、前記複数のサーバのうちの第1サーバによって実行される制御方法であって、前記一のグループに属する第1ユーザによる第1利用実績に関する第1実績情報を前記生成装置から取得し、取得した前記第1実績情報が、前記第1サーバに記憶されている前記第1ユーザおよび前記事業者の間で締結された契約の契約内容に基づくルールで許容されるか否かを判定し、前記判定による判定結果を含む第1トランザクションデータを、前記複数のサーバのうちの前記第1サーバとは異なる複数の第2サーバに転送し、かつ、前記第1トランザクションデータを含む第1ブロックを前記第1サーバが管理する分散台帳に格納する。
これにより、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを容易に判定することができる。
また、例えば、さらに、第1のタイミングが到来したか否かを判定し、前記第1のタイミングが到来したと判定した場合、前記第1実績情報が前記ルールで許容されるか否かを判定してもよい。
このため、判定する回数を抑制することができる。
また、例えば、さらに、前記判定結果が、前記第1実績情報が前記ルールで許容されないことを示す場合、前記第1ユーザとは異なり、かつ、前記一のグループに属する第2ユーザの端末へ、前記契約内容および前記第1実績情報を送信し、前記端末から前記契約内容および前記第1実績情報についての前記第2ユーザによる確認結果を取得し、取得した前記確認結果を、前記複数の第2サーバに転送し、かつ、前記確認結果を含む第2ブロックを前記分散台帳に格納してもよい。
このため、第2ユーザに確認させる契約内容及び実績情報を、第1実績情報がルールで許容されないおそれがある第1ユーザの契約内容及び第1実績情報に絞り込むことができる。よって、第2ユーザに通知される契約内容及び実績情報の情報量を抑制することができ、通信量を低減することができる。
また、例えば、さらに、取得した前記第1実績情報を、前記複数の第2サーバに転送し、かつ、前記第1実績情報を含む第3ブロックを前記分散台帳に格納してもよい。
これにより、判定結果が分散台帳に格納されるので、その判定結果が、後日に改ざんされることを防止することができる。
また、例えば、前記第1ブロックを前記分散台帳に格納する際、前記複数の第2サーバとともに、前記第1トランザクションデータを含むトランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行し、前記コンセンサスアルゴリズムによって前記トランザクションデータの正当性について合意された場合、前記トランザクションデータを含むブロックを前記分散台帳に格納してもよい。
また、例えば、前記システムは、前記ユーザ毎にそれぞれ使用される複数の端末をさらに備え、前記複数の端末はそれぞれ、前記分散台帳を有し、前記第1トランザクションデータを含むブロックを前記分散台帳に格納する際、前記複数の端末とともに、前記第1トランザクションデータを含むトランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行し、前記コンセンサスアルゴリズムによって前記トランザクションデータの正当性について合意された場合、前記トランザクションデータを含むブロックを前記分散台帳に格納してもよい。
また、例えば、前記トランザクションデータを含むブロックを前記分散台帳に格納する際、前記トランザクションデータをブロックチェーンのトランザクションデータとして前記分散台帳に格納してもよい。
また、例えば、前記第1実績情報は、前記第1ユーザによる前記サービスの利用量、または、利用時間が増加するにしたがって増加する実績値を含み、前記ルールでは、前記第1実績情報が前記契約内容に含まれる閾値を超えることが許容されなくてもよい。
本開示の一態様に係るサーバは、事業者から提供されたサービスをグループ単位で利用した場合における一のグループに属するユーザ毎の利用実績に関する実績情報を生成する生成装置と、複数のサーバとを備えるシステムにおける、前記複数のサーバのうちの一つのサーバであって、プロセッサと、メモリと、を備え、前記プロセッサは、一のグループに属する第1ユーザによる第1利用実績に関する第1実績情報を前記生成装置から取得し、取得した前記第1実績情報が、前記サーバに記憶されている前記第1ユーザおよび前記事業者の間で締結された契約に基づくルールで許容されるか否かを判定し、前記判定による判定結果を含む第1トランザクションデータを、前記複数のサーバのうちの前記一つのサーバとは異なる複数の他のサーバに転送し、かつ、前記第1トランザクションデータを含む第1ブロックを前記サーバが管理する分散台帳に格納する。
本開示の一態様に係るプログラムは、事業者から提供されたサービスをグループ単位で利用した場合における一のグループに属するユーザ毎の利用実績に関する実績情報を生成する生成装置と、複数のサーバとを備えるシステムにおける、前記複数のサーバのうちの第1サーバによって実行される制御方法をコンピュータに実行させるためのプログラムであって、一のグループに属する第1ユーザによる第1利用実績に関する第1実績情報を前記生成装置から取得し、取得した前記第1実績情報が、前記第1サーバに記憶されている前記第1ユーザおよび前記事業者の間で締結された契約に基づくルールで許容されるか否かを判定し、前記判定による判定結果を含む第1トランザクションデータを、前記複数のサーバのうちの前記第1サーバとは異なる複数の第2サーバに転送し、かつ、前記第1トランザクションデータを含む第1ブロックを前記第1サーバが管理する分散台帳に格納することをコンピュータに実行させるためのプログラムである。
以下、図面を参照しながら、実施の形態について説明する。なお、以下で説明する実施の形態は、いずれも本開示の一具体例を示すものである。つまり、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置及び接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素は、本開示の課題を達成するために必ずしも必要ではないが、より好ましい形態を構成する構成要素として説明される。
(実施の形態1)
まず、本開示に係るシステム構成について説明する。
本開示に係る管理システムは、それぞれユーザにより使用される3以上の端末と、1以上の認証サーバとを備え、新たに締結された契約の契約書つまり契約内容を監査させ、監査結果を受けて有効化された契約書を台帳に格納する。以下では、図面を参照しながら、本実施の形態に係る管理システムの構成等の説明を行う。
[管理システム]
図1は、実施の形態1に係る管理システムの構成の一例を示す図である。
本実施の形態に係る管理システムは、図1に示すように、例えば、事業者端末10と、生成装置20a~20xと、端末30a~30xと、認証サーバ50a~50cとを備える。これらは、ネットワークNで接続されている。ネットワークNは、例えば、インターネット、携帯電話のキャリアネットワークなどであるが、どのような通信回線またはネットワークから構成されてもよい。生成装置20a~20xのうちの1つと、端末30a~30xのうちの1つとは、住宅40a~40xのうちの1つと対応付けられている。例えば、生成装置20aと端末30aとは、ユーザAの住宅40aと対応付けられている。
なお、以下では、生成装置20a~生成装置20xのそれぞれを生成装置20とも称するが、生成装置20a~生成装置20xを生成装置A~生成装置Xと称する場合もある。また、端末30a~端末30xのそれぞれを端末30とも称するが、端末30a~端末30xを端末A~端末Xと称する場合もある。
以下、事業者端末10について説明する。
[事業者端末10]
事業者端末10は、事業者により使用される端末の一例である。事業者は、グループ単位で利用できるサービスを提供する。グループには、複数のユーザが含まれる。事業者は、一のグループに含まれる複数のユーザのそれぞれと、提供するサービスについて個別に契約を締結し、締結された契約に応じたサービスを提供する。例えば、事業者は、締結された契約に応じた量のサービスを提供する。なお、サービスを提供する事業者は管理システムのユーザの一例であり、事業者からサービスの提供を受けるユーザは管理システムのユーザの一例である。
本実施の形態では、事業者端末10は、事業者により使用される端末である。事業者端末10は、例えばパーソナルコンピュータであってもよいし、スマートフォン及びタブレットなどの携帯端末であってもよい。なお、事業者は、例えば、電力事業、通信事業、シェアリングサービス提供事業などの事業を営む者自身であってもよいし、それらの従業者であってもよい。事業者とユーザとの間で締結される契約は例えば個別契約の一つである。
本実施の形態では、複数のユーザで共通するグループは、例えば、複数のユーザがそれぞれ居住している住宅40a~40xを含む集合住宅である。例えば、事業者により提供される事業が電力事業である場合、共通するグループに属する複数のユーザは、共通する受電事業者からの電力の供給を受ける。この場合の事業者は、複数のユーザが居住する住宅を含む集合住宅の管理会社である。
図2は、実施の形態1に係る事業者端末10の構成の一例を示す図である。
本実施の形態に係る事業者端末10は、通信部101と、入力部102と、表示部103と、情報生成部104と、トランザクションデータ生成部105とを備える。
<通信部101>
通信部101は、事業者とユーザとの間の契約の契約内容と、ユーザの電子署名とを含む契約情報を含む契約トランザクションデータを、認証サーバ50に送信する。
本実施の形態では、通信部101は、ネットワークNを介して情報を認証サーバ50に送信したり、認証サーバ50からの通知を受信したりする。また、通信部101は、ネットワークNを介して端末30に情報を送信したり、端末30から情報を受信したりする。
このように、通信部101は、ネットワークNを介して端末30a~30xまたは認証サーバ50との間で通信を行う。なお、この通信は、TLS(Transport Layer Security)によりなされてもよく、TLS通信用の暗号鍵は通信部101で保持してもよい。
<入力部102>
入力部102は、事業者の操作による情報入力を受け付ける。入力部102は、受け付けた情報入力を、表示部103に表示したり、情報生成部104に送信したり、通信部101に送信したりする。
本実施の形態では、入力部102は、事業者の操作により入力された、ユーザAと合意した契約書に関する事項と事業者の電子署名とを受け付ける。この契約書は、事業者とユーザとの間で締結される契約の一例であり、当該契約の契約内容を含むデータである。入力部102は、受け付けた当該事項と事業者の電子署名とを、情報生成部104に送信する。また、入力部102は、事業者の操作により、表示部103に表示された通知を確認した旨を受け付ける。
<表示部103>
表示部103は、入力部102が受け付けた情報入力を表示する。表示部103は、認証サーバ50から通知された情報を表示する。
<情報生成部104>
情報生成部104は、契約に関する第1情報を生成する。
本実施の形態では、情報生成部104は、入力部102が受け付けたユーザAと合意した契約書に関する事項と事業者の電子署名とに基づいて、この契約書に関する契約情報を生成する。このユーザAは、事業者からサービスの提供を受けるユーザの一例、つまり、ユーザである。
ここで、契約情報は、契約書のデータと、時間情報と、契約締結者IDと、契約情報の生成者の電子署名とを含む。さらに、契約情報には、契約が締結された順番を把握するためのシリアル番号を含んでいてもよい。契約書のデータは、契約の契約内容を示すデータであり、契約書の契約内容が暗号化されたデータであってもよいし、契約書の契約内容を特定するためのハッシュ値であってもよい。時間情報は、契約情報が生成された時間を示していてもよいし、契約が締結された時間を示してもよい。また、時間情報は、契約情報が通信部301で認証サーバ50に送信された時間を示していてもよい。なお、ここでの契約情報の生成者は、事業者である。契約締結者IDは、事業者との間の契約を合意したユーザ、すなわちユーザAのIDである。
<トランザクションデータ生成部105>
トランザクションデータ生成部105は、契約トランザクションデータを生成する。
本実施の形態では、トランザクションデータ生成部105は、端末30から受信した契約情報を含む契約トランザクションデータを生成する。
ここで、契約情報を含む契約トランザクションデータは、契約書のデータと、時間情報と、契約締結者IDと、契約情報の生成者の電子署名とを含む。さらに、契約情報を含む契約トランザクションデータには、契約が締結された順番を把握するためのシリアル番号を含んでいてもよい。
トランザクションデータ生成部105は、通信部101を介して、生成した契約トランザクションデータを認証サーバ50に送信する。
なお、事業者端末10は、トランザクションデータ生成部105を備えていなくても良い。事業者端末10は、トランザクションデータ生成部105を備えていない場合、情報生成部104が、通信部101を介して、生成した契約情報を認証サーバ50に送信する。これにより、認証サーバ50は、契約情報を事業者端末10から取得する。
続いて、生成装置20a~生成装置20xについて説明する。なお、生成装置20a~生成装置20xの構成は共通しているので、生成装置20と称して説明する。
[生成装置20]
生成装置20は、ユーザ毎のサービスの利用実績に関する実績情報を生成する装置の一例である。生成装置20のいずれかは、事業者との間で契約を合意した複数のユーザのうちの第1ユーザにより使用される装置である。また、生成装置20のいずれかは、事業者との間で契約を合意した複数のユーザのうちの第1ユーザとは異なる第2ユーザにより使用される装置である。
生成装置20は、例えば、事業者が電力事業を営む場合にはスマートメータである。生成装置20は、例えば、事業者が移動体のシェアリング事業を営む場合には移動体である。この場合の移動体は、例えば、自動車、自転車などの車両であってもよいし、船舶であってもよいし、航空機であってもよい。生成装置20は、例えば、事業者が移動体通信事業を営む場合には、スマートフォン及びタブレットなどの携帯端末であってもよく、この場合、生成装置20は、端末30であってもよい。
本実施の形態では、複数の生成装置20のうち、生成装置20aすなわち生成装置Aが、第1ユーザにより使用される装置であるとして説明する。また、複数の生成装置20のうち、生成装置20bすなわち生成装置Bが、第2ユーザにより使用される装置であるとして説明する。なお、第2ユーザは、例えば、第1ユーザと同じグループに属し、第1ユーザと共に共通するサービスの提供を事業者から受けるユーザである。第2ユーザは、第1ユーザとは別に、事業者との間で契約を合意している。つまり、事業者と第1ユーザとの間で締結された契約と、事業者と第2ユーザとの間で締結された契約とは異なる。
図3は、実施の形態1に係る生成装置20の構成の一例を示す図である。
本実施の形態に係る生成装置20は、通信部201と、計測部202と、判断部203と、情報生成部204と、トランザクションデータ生成部205とを備える。
<通信部201>
通信部201は、ネットワークNを介して情報を認証サーバ50に送信する。また、通信部201は、認証サーバ50から情報を受信したりまたは通知されたりしてもよい。また、通信部201は、ネットワークNを介して、事業者端末10に情報を送信してもよいし、事業者端末10からの情報を受信してもよい。
このように、通信部201は、ネットワークNを介して事業者端末10または認証サーバ50との間で通信を行う。なお、この通信は、TLS(Transport Layer Security)によりなされてもよく、TLS通信用の暗号鍵は通信部201で保持してもよい。
例えば、生成装置20が生成装置Aである場合、通信部201は、認証サーバ50から、第1情報を受信する。通信部201は、第2ユーザによる第1契約に対する同意または非同意を示す確認結果と、第2ユーザの電子署名とを第1情報に加えた第2情報を事業者端末10に送信する。
<計測部202>
計測部202は、事業者から提供されたサービスの、ユーザによる利用実績を計測する。計測部202は、例えば、事業者により提供されるサービスが電力である場合、ユーザによる電力の利用量を計測する。電力の利用量は、例えば、ユーザの住宅40により消費された消費電力量である。計測部202は、事業者により提供されるサービスが移動体通信である場合、ユーザによる通信の利用量を計測する。通信の利用量は、例えば、ユーザの端末30により通信に利用された通信データ量である。計測部202は、事業者により提供されるサービスが移動体のシェアリングサービスである場合、ユーザによる移動体の利用量を計測する。移動体の利用量は、例えば、移動体の走行距離、走行時間、消費燃料、および消費電力量のうちの少なくとも1つである。計測部202は、計測結果、つまり、計測したユーザによる利用実績を、情報生成部204に送信したり、通信部201に送信したりする。
<判断部203>
判断部203は、所定のタイミングが到来したか否かを判定する。判断部203は、例えば、計測部202により計測が開始されてから第1期間が経過したことで所定のタイミングが到来したと判定してもよいし、前回所定のタイミングが到来したと判定してから第1期間が経過したことで所定のタイミングが到来したと判定してもよい。第1期間は、例えば、12時間、1日、1週間、1ヶ月などであってもよい。判断部203は、所定のタイミングが到来したことを通信部201または情報生成部204に通知する。
<情報生成部204>
情報生成部204は、第1期間において計測部202により計測されることで得られた第1期間における第1ユーザによる第1利用実績と、第1ユーザの電子署名とを含む第1実績情報を生成する。情報生成部204は、判断部203により所定のタイミングが到来したと判定されたときに、計測部202により計測されたサービスの利用量に基づいて第1実績情報を生成する。情報生成部204は、計測部202が第1ユーザによるサービスの利用開始からの累積利用量を計測している場合には、前回のタイミングで第1実績情報を生成する基になった累積利用量を、今回のタイミングにおける計測部202により計測された累積利用量から減算することで、前回のタイミングから今回のタイミングまでの第1期間における第1ユーザによる第1利用実績を算出する。情報生成部204は、計測部202が前回のタイミングからの第1ユーザによる第1利用実績を計測している場合には、計測部202により今回のタイミングにおいて計測された利用量を、前回のタイミングから今回のタイミングまでの第1期間における第1ユーザによる第1利用実績として取得する。第1実績情報は、第1利用実績が計測された時間を含んでいてもよい。なお、第1実績情報は、単に実績情報とも称する。
<トランザクションデータ生成部205>
トランザクションデータ生成部205は、実績トランザクションデータを生成する。
本実施の形態では、トランザクションデータ生成部205は、情報生成部204により生成された第1実績情報を含む実績トランザクションデータを生成する。
ここで、第1実績情報を含む実績トランザクションデータは、第1実績情報と、時間情報と、第1ユーザの電子署名とを含む。時間情報は、第1実績情報が生成された時間を示す情報である。
トランザクションデータ生成部205は、通信部201を介して、生成した実績トランザクションデータを認証サーバ50に送信する。
なお、生成装置20は、トランザクションデータ生成部205を備えていなくてもよい。生成装置20は、トランザクションデータ生成部205を備えていない場合、情報生成部204が、通信部201を介して、生成した第1実績情報を認証サーバ50に送信する。これにより、認証サーバ50は、第1実績情報を生成装置20から取得する。
なお、生成装置20は、少なくとも計測部202を備える構成であってもよく、計測部202以外の処理部を備えていない構成であってもよい。この場合、生成装置20とは別体の装置が、通信部201、判断部203、情報生成部204およびトランザクションデータ生成部205を備えていてもよい。この別の装置と、生成装置20とは、通信可能に接続されている。当該別の装置では、生成装置20から計測部202による計測結果を通信部201が取得する。次に、情報生成部204は、取得した計測結果を用いて、判断部203が判断したタイミングまでの間の第1期間における第1利用実績に関する第1実績情報を生成する。次に、トランザクションデータ生成部205は、第1実績情報を含む実績トランザクションデータを生成し、通信部201を介して、実績トランザクションデータを認証サーバ50に送信する。生成装置20と別の装置とは、例えば、1対1の対の関係にある。別の装置が備える各処理部は、後述する端末30が備えていてもよい。
続いて、端末30a~端末30xについて説明する。なお、端末30a~端末30xの構成は共通しているので、端末30と称して説明する。
[端末30]
端末30は、ユーザにより使用される端末の一例である。端末30は、例えばパーソナルコンピュータであってもよいし、スマートフォン及びタブレットなどの携帯端末であってもよい。端末30のいずれかは、事業者との間で契約を合意した複数のユーザのうちの第1ユーザにより使用される端末である。また、端末30のいずれかは、事業者との間で契約を合意した複数のユーザのうちの第1ユーザとは異なる第2ユーザにより使用される端末である。
本実施の形態では、複数の端末30のうち、端末30aすなわち端末Aが、第1ユーザにより使用される端末であるとして説明する。また、複数の端末30のうち、端末30bすなわち端末Bが、第2ユーザにより使用される端末であるとして説明する。
図4は、実施の形態1に係る端末30の構成の一例を示す図である。
本実施の形態に係る端末30は、通信部301と、入力部302と、表示部303と、情報生成部304と、トランザクションデータ生成部305とを備える。
<通信部301>
通信部301は、ネットワークNを介して情報を認証サーバ50に送信したり、認証サーバ50から情報を受信したりまたは通知されたりする。また、通信部301は、ネットワークNを介して、事業者端末10に情報を送信したり、事業者端末10からの情報を受信したりする。
このように、通信部301は、ネットワークNを介して事業者端末10または認証サーバ50との間で通信を行う。なお、この通信は、TLS(Transport Layer Security)によりなされてもよく、TLS通信用の暗号鍵は通信部301で保持してもよい。
例えば、端末30が端末Aである場合、通信部301は、認証サーバ50から、後述する確認結果を受信する。また、例えば、端末30が端末Bである場合、通信部301は、認証サーバ50から、事業者および第1ユーザで締結された契約の契約内容と、第1ユーザによる第1期間における第1利用実績に関する第1実績情報とを受信する。
<入力部302>
入力部302は、ユーザの操作による情報入力を受け付ける。入力部302は、受け付けた情報入力を、表示部303に表示したり、情報生成部304に送信したり、通信部301に送信したりする。
例えば、端末30が端末Bである場合、入力部302は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを第2ユーザに確認するための表示(UI:User Interface)への入力を、第2ユーザの確認結果として受け付ける。この表示(UI)は、表示部303に表示される。入力部302は、第2ユーザの電子署名を受け付けてもよい。入力部302は、受け付けた確認結果と電子署名とを、情報生成部304に送信する。
<表示部303>
表示部303は、入力部302が受け付けた情報入力を表示する。表示部303は、認証サーバ50から送信された情報を表示する。
例えば、端末30が端末Bである場合、表示部303は、認証サーバ50から送信された契約内容および第1実績情報に基づいて、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを第2ユーザに確認するための表示(UI:User Interface)を表示する。
<情報生成部304>
情報生成部304は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かの第2ユーザによる確認結果と、第2ユーザの電子署名とを含む確認情報を生成する。
<トランザクションデータ生成部305>
トランザクションデータ生成部305は、確認トランザクションデータを生成する。
本実施の形態では、トランザクションデータ生成部305は、情報生成部304により生成された確認情報を含む確認トランザクションデータを生成する。
ここで、確認情報を含む確認トランザクションデータは、確認情報と、時間情報と、第2ユーザの電子署名とを含む。時間情報は、確認情報が生成された時間を示す情報である。なお、確認トランザクションデータは、時間情報の代わりに、確認情報により確認の対象となった第1利用実績を特定するための情報を含んでいてもよい。第1利用実績を特定するための情報とは、第1利用実績の第1実績情報が生成された時間、第1利用実績の第1実績情報を特定するためのID、シリアル番号などであってもよい。
トランザクションデータ生成部305は、通信部301を介して、生成した確認トランザクションデータを認証サーバ50に送信する。
続いて、認証サーバ50について説明する。
[認証サーバ50]
認証サーバ50は、第1サーバの一例である。
図5は、実施の形態1に係る認証サーバ50の構成の一例を示す図である。
認証サーバ50は、図5に示すように、通信部501と、判断部502と、トランザクションデータ検証部503と、記録部504と、分散台帳505とを備える。認証サーバ50は、プロセッサがメモリを用いて所定のプログラムを実行することで実現され得る。以下、各構成要素について説明する。
<通信部501>
通信部501は、事業者端末10から契約情報を含む契約トランザクションデータを受信する。通信部501は、事業者端末10から契約トランザクションデータを受信することで契約情報を取得する。通信部501は、事業者端末10から契約情報を直接受信してもよい。
また、通信部501は、生成装置20から第1実績情報を含む実績トランザクションデータを受信する。通信部501は、生成装置20から実績トランザクションデータを受信することで第1実績情報を取得する。通信部501は、生成装置20から第1実績情報を直接受信してもよい。
また、通信部501は、第1ユーザの契約情報および実績情報を第2ユーザの端末30bに送信してもよい。この場合、通信部501は、第2ユーザの端末30bから確認結果の確認情報を含む確認トランザクションデータを受信する。通信部501は、端末30bから確認トランザクションデータを受信することで確認情報を取得する。通信部501は、端末30bから確認情報を直接受信してもよい。
また、通信部501は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かの結果(監査結果)を事業者端末10または第1ユーザの端末30aに送信する。監査結果は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されることを示す情報、または、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されないことを示す情報を含む。
また、通信部501は、他の認証サーバ50との間で各トランザクションデータのやり取りを行う。具体的には、通信部501は、他の認証サーバ50へ各トランザクションデータを転送したり、他の認証サーバ50から転送された各トランザクションデータを受信する。なお、各トランザクションデータは、契約トランザクションデータ、実績トランザクションデータ、判定トランザクションデータ、および確認トランザクションデータのうちの1つを含む。
このように、通信部501は、ネットワークNを介して事業者端末10、生成装置20、または端末30との間で通信を行う。なお、この通信は、TLS(Transport Layer Security)によりなされてもよく、TLS通信用の暗号鍵は通信部501で保持してもよい。
<判断部502>
判断部502は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを判定する。契約内容のルールでは、第1実績情報が契約内容に含まれる閾値を超えることが許容されない。つまり、このルールでは、例えば、第1期間においてユーザにより利用されたサービスの利用量の上限が定められている。なお、第1実績情報は、ユーザによるサービスの利用量、または、サービスの利用時間が増加するにしたがって増加する実績値を含む。この実績値は、例えば、事業者により提供されるサービスが電力である場合、ユーザによる電力の利用量である。電力の利用量は、例えば、ユーザの住宅40により消費された消費電力量である。また、実績値は、事業者により提供されるサービスが移動体通信である場合、ユーザによる通信の利用量である。通信の利用量は、例えば、ユーザの端末30により通信に利用された通信データ量である。また、実績値は、事業者により提供されるサービスが移動体のシェアリングサービスである場合、ユーザによる移動体の利用量である。移動体の利用量は、例えば、移動体の走行距離、走行時間、消費燃料、および消費電力量のうちの少なくとも1つである。
例えば、判断部502は、第1期間においてユーザにより利用されたサービスの利用量が契約内容のルールで定められている上限を超える場合、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されないと判定する。判断部502は、第1期間においてユーザにより利用されたサービスの利用量が契約内容のルールで定められている上限以下の場合、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されると判定する。
判断部502は、確認のタイミングが到来したか否かを判定し、確認のタイミングが到来したと判定した場合、第1実績情報が許容されるか否かを判定してもよい。確認のタイミングは、具体的には、サービスの利用料をユーザに請求するタイミング、契約書に記載されているタイミングなどの予め定められたタイミングであってもよい。また、確認のタイミングは、前回確認のタイミングが到来したと判定してから利用されたサービスの利用量が所定の利用量を超えたタイミングであってもよい。所定の利用量は、第1期間における第1ユーザによるサービスの利用量よりも大きくてもよい。また、確認のタイミングは、前回確認のタイミングが到来したと判定してから第2期間が経過したことで確認のタイミングが到来したと判定してもよい。第2期間は、第1期間よりも長い期間であってもよいし、第1期間と同じ期間であってもよい。第1期間と第2期間とが同じ期間である場合には、判断部502は、生成装置20から第1実績情報を取得したときに、確認のタイミングが到来したと判定してもよい。第2期間は、例えば、12時間、1日、1週間、1ヶ月などであってもよい。判断部502は、確認のタイミングが到来したことを通信部501に通知する。なお、確認のタイミングは、第1のタイミングの一例である。
判断部502は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されないと判定した場合、つまり、この判定の結果が、第1実績情報がこのルールで許容されないことを示す場合、第1ユーザとは異なり、かつ、第1ユーザと同じグループに属する第2ユーザの端末30へ、契約内容および第1実績情報を送信してもよい。具体的には、判断部502は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されないと判定した場合、ユーザBの端末30bへ、第1ユーザの契約内容、および、第1期間における第1ユーザによるサービスの利用量を送信する。これにより、ユーザBは、端末30bを用いて、ユーザAの契約内容および第1実績情報に基づく監査を行うことができる。
判断部502は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かの判定結果を含む判定トランザクションデータを生成する。判断部502は、生成した判定トランザクションデータを通信部501に転送させる。
<トランザクションデータ検証部503>
トランザクションデータ検証部503は、通信部501がトランザクションデータを受信したとき、そのトランザクションデータの正当性を検証する。例えば、トランザクションデータ検証部503は、通信部501が受信したトランザクションデータに、正しい方法で生成された電子署名が付与されているかなどを検証する。なお、この検証はスキップされてもよい。ここで、通信部501が受信するトランザクションデータは、契約トランザクションデータ、実績トランザクションデータ、判定トランザクションデータ、および確認トランザクションデータのいずれかである。
また、トランザクションデータ検証部503は、他の認証サーバ50とともに、トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行する。
ここで、コンセンサスアルゴリズムには、PBFT(Practical Byzantine Fault Tolerance)が用いられてもよいし、その他の公知のコンセンサスアルゴリズムが用いられてもよい。公知のコンセンサスアルゴリズムとしては、例えばPoW(Proof of Work)またはPoS(Proof of Stake)などがある。コンセンサスアルゴリズムにPBFTが用いられる場合、トランザクションデータ検証部503は、他の認証サーバ50のそれぞれからトランザクションデータの検証が成功したか否かを示す報告を受け取り、当該報告の数が所定の数を超えたか否かを判定する。そして、トランザクションデータ検証部503は、当該報告の数が所定の数を超えたとき、コンセンサスアルゴリズムによってトランザクションデータの正当性が検証されたと判定すればよい。
トランザクションデータ検証部503は、トランザクションデータの正当性を確認した場合、記録部504にそのトランザクションデータを記録させる。
本実施の形態では、トランザクションデータ検証部503は、通信部501が受信した契約トランザクションデータ、実績トランザクションデータ、判定トランザクションデータ、および確認トランザクションデータの正当性を検証する。
<記録部504>
記録部504は、トランザクションデータ検証部503により正当性の検証がなされたトランザクションデータをブロックに含めて分散台帳505に格納することで、トランザクションデータを記録する。
なお、記録部504は、分散台帳505が内部に構成されていてもよい。
<分散台帳505>
分散台帳505は、契約情報を含む契約トランザクションデータ、実績情報を含む実績トランザクションデータ、判定結果を含む判定トランザクションデータ、および、確認情報を含む確認トランザクションデータを格納している。
[管理システムの動作等]
次に、以上のように構成された管理システムの動作について説明する。
図6及び図7は、実施の形態1に係る管理システムの監査処理を示すシーケンス図である。図7は、図6に示す処理の続きの処理を示す。
まず、事業者端末10を使用する事業者は、ユーザAとの間で契約について合意したとする。事業者端末10は、この契約を示す契約情報を含む契約トランザクションデータを認証サーバ50へ送信する(S101)。なお、事業者は、他のユーザBおよびユーザCとの間でも上記と同様に、個別に契約を締結し、締結した契約を示す契約情報を含む契約トランザクションデータを認証サーバ50へ送信する。なお、事業者端末10は、契約情報を含む契約トランザクションデータを、認証サーバA~Cにブロードキャスト送信してもよい。
次に、認証サーバAは、契約トランザクションデータを受信し、受信した契約トランザクションデータを他の認証サーバBおよび認証サーバCに転送する(S102)。
次に、認証サーバA、認証サーバB及び認証サーバCは、コンセンサスアルゴリズムを実行し、契約トランザクションデータを含むブロックを生成して、分散台帳505に格納する(S103)。
事業者とユーザAとの間で個別に契約が締結されると事業者によりユーザAへサービスが提供される。そして、ユーザAの住宅Aでは、住宅Aの生成装置20(つまり、生成装置A)が、事業者により提供されたサービスのユーザAによる利用量の実測値を計測する(S104)。事業者は、他のユーザBおよびユーザCとの間においても、上記と同様に、個別に契約が締結されると事業者によりユーザBおよびユーザCへサービスが提供される。そして、ユーザBの住宅Bでは、生成装置Bが、事業者により提供されたサービスのユーザBによる利用量の実測値を計測し、ユーザCの住宅Cでは、生成装置Cが、事業者により提供されたサービスのユーザCによる利用量の実測値を計測する。
次に、住宅Aの生成装置20は、所定のタイミングが到来したか否かを判定する(S105)。
次に、住宅Aの生成装置20は、所定のタイミングが到来したと判定されたときに、計測されたサービスの利用量に基づいて第1実績情報を生成し、生成した第1実績情報を含む実績トランザクションデータを生成する(S106)。
次に、住宅Aの生成装置20は、生成した実績トランザクションデータを認証サーバA~Cへ送信する(S107)。なお、生成装置20は、実績情報を含む実績トランザクションデータを、認証サーバA~Cにブロードキャスト送信してもよい。
ここで、図6では、図示されていないが、住宅Bの生成装置20および住宅Cの生成装置20でも、住宅Aの生成装置20と同様に、ステップS105~ステップS107の処理が行われる。このため、ユーザA~Cにより利用されたサービスの利用量に関する実績情報を含む実績トランザクションデータは、認証サーバA~Cに送信される。
次に、認証サーバAは、実績トランザクションデータを受信し、受信した実績トランザクションデータを他の認証サーバBおよび認証サーバCに転送する(S108)。
次に、認証サーバA、認証サーバB及び認証サーバCは、コンセンサスアルゴリズムを実行し、実績トランザクションデータを含むブロックを生成して、分散台帳505に格納する(S109)。
次に、認証サーバAは、確認のタイミングが到来したか否かを判定する(S110)。
認証サーバAは、確認のタイミングが到来したと判定した場合(S110でYes)、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを判定する(S111)。なお、認証サーバAは、確認のタイミングが到来していないと判定した場合(S110でNo)、ステップS110に戻る。
次に、認証サーバAは、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かの判定結果を含む判定トランザクションデータを生成する(S112)。
次に、認証サーバAは、生成した判定トランザクションデータを他の認証サーバBおよび認証サーバCに転送する(S113)。
次に、認証サーバA、認証サーバB及び認証サーバCは、コンセンサスアルゴリズムを実行し、判定トランザクションデータを含むブロックを生成して、分散台帳505に格納する(S114)。
次に、認証サーバAは、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かの判定の結果が否定的であるか否かを判定する(S115)。
認証サーバAは、判定の結果が否定的であると判定した場合(S115でYes)、否定的な判定結果を事業者端末10またはユーザAの端末A(つまり、端末30a)へ通知する(S116)。
認証サーバAは、ステップS116が終了する、または、判定結果が肯定的であると判定した場合(S115でNo)、監査処理を終了する。
[効果等]
以上のように、実施の形態1に係る管理システム等によれば、事業者により提供されたサービスのユーザによる利用実績に関する第1実績情報が、契約に基づくルールで許容されるか否かを判定することができるだけでなく、その判定結果を含む判定トランザクションデータを分散台帳に格納することができる。
これにより、事業者により提供されたサービスのユーザによる利用実績が契約に基づくルールで許容されるかを監査することができるので、事業者とユーザとが結託して契約することを抑制できる。また、判定結果が分散台帳に格納されるので、その判定結果が、後日に改ざんされることを防止することができる。よって、事業者とユーザとが結託して契約することをより確実に抑制できる。
(変形例1)
管理システムの監査処理のうち、図7を用いて説明したステップS110以降の処理について、図8に示すように一部の処理を置き換えてもよい。
図8は、実施の形態1の変形例1に係る管理システムの監査処理を示すシーケンス図である。なお、ステップS110以前の処理は、実施の形態1で説明した監査処理と同じである。
認証サーバAは、確認のタイミングが到来したか否かを判定する(S110)。
認証サーバAは、確認のタイミングが到来したと判定した場合(S110でYes)、ユーザA以外のユーザであって、ユーザAと同一のグループに属するユーザBおよびユーザCを含む複数のユーザの中から監査員を決定する(S121)。認証サーバAは、ユーザA以外のユーザであって、ユーザAと同一のグループに属するユーザBおよびユーザC複数のユーザの中から監査員を決定する場合、ランダムに決定してもよいし、図示しない住民台帳に基づいて決定してもよいし、この複数のユーザを含む予め定められたテーブルに基づいて決定してもよい。なお、認証サーバAは、確認のタイミングが到来していないと判定した場合(S110でNo)、ステップS110に戻る。
認証サーバAは、監査員を決定すると、決定した監査員のユーザが使用する端末30へ契約情報および実績情報を送信する(S122)。例えば、認証サーバAは、ユーザBを監査員として決定すると、ユーザBが使用する端末30bへ、ユーザAの契約情報および実績情報を送信する。このとき送信される実績情報は、分散台帳に格納されている実績情報のうちの最新の実績情報であってもよいし、最新の実績情報を含む実績情報であってもよいし、最新の実績情報を除く過去の実績情報であってもよい。
端末30bは、契約情報および実績情報を受信した場合、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かをユーザBに確認する(S123)。具体的には、端末30bは、契約情報および実績情報を受信した場合、認証サーバAから送信された契約情報および実績情報に基づいて、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを第2ユーザに確認するための表示(UI:User Interface)を表示部303に表示する。これにより、端末30bは、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを示す入力を、ユーザBに入力部302を用いて行うように促す。
端末30bは、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを示す入力が入力部302により受け付けられた場合、当該入力が示す確認結果を含む確認トランザクションデータを生成する(S124)。
端末30bは、生成した確認結果を含む確認トランザクションデータを認証サーバAへ送信する(S125)。
次に、認証サーバAは、確認トランザクションデータを受信し、受信した確認トランザクションデータを他の認証サーバBおよび認証サーバCに転送する(S126)。
次に、認証サーバA、認証サーバB及び認証サーバCは、コンセンサスアルゴリズムを実行し、確認トランザクションデータを含むブロックを生成して、分散台帳505に格納する(S127)。
以降のステップS115およびステップS116は、実施の形態1で説明した通りであるので説明を省略する。
(変形例2)
管理システムの監査処理のうち、図7を用いて説明したステップS110以降の処理について、図9に示すように一部の処理を置き換えてもよい。
図9は、実施の形態1の変形例2に係る管理システムの監査処理を示すシーケンス図である。なお、ステップS110以前の処理は、実施の形態1で説明した監査処理と同じである。
認証サーバAは、確認のタイミングが到来したか否かを判定する(S110)。
認証サーバAは、確認のタイミングが到来したと判定した場合(S110でYes)、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを判定する(S131)。ステップS131は、ステップS111と同じである。なお、認証サーバAは、確認のタイミングが到来していないと判定した場合(S110でNo)、ステップS110に戻る。
次に、認証サーバAは、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されると判定された場合(S132でYes)、監査処理を終了する。認証サーバAは、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されないと判定された場合(S132でNo)、ステップS121~ステップS127に進む。
ステップS121~ステップS127は、実施の形態1の変形例1で説明したステップS121~S127と同じであるので説明を省略する。
ステップS127が終了すると、ステップS115およびステップS116が行われる。ステップS115およびステップS116は、実施の形態1で説明した通りであるので説明を省略する。
(実施の形態2)
図10は、実施の形態2に係る管理システムの構成の一例を示す図である。
実施の形態2に係る管理システムは、図10に示すように、実施の形態1に係る管理システムと比較して、生成装置21および端末31a~31xの構成が異なる。具体的には、実施の形態2に係る管理システムは、実施の形態1に係る管理システムと比較して、生成装置21が端末31a~31xと1対1の関係にないことが異なる。実施の形態1では、各ユーザにより利用されたサービスの利用量は、各ユーザに個別に対応する生成装置20によって計測されるとしたが、実施の形態2では、各ユーザにより利用されたサービスの利用量は、複数のユーザで共通する生成装置21によって計測されてもよい。
なお、以下では、端末31a~端末31xのそれぞれを端末31とも称するが、端末31a~端末31xを端末A~端末Xと称する場合もある。
例えば、図11に示すように、事業者は、シェアリングサービス提供事業などの事業を営む者自身であってもよいし、それらの従業者であってもよい。シェアリングサービス提供事業は、例えば、1台の移動体利用サービスを複数のユーザからなるグループに提供する事業である。この場合の移動体は、例えば、自動車、自転車などの車両であってもよいし、船舶であってもよいし、航空機であってもよい。生成装置21は、例えば、移動体である。複数のユーザからなるグループは、当該複数のユーザで共通する1以上の移動体を利用するグループである。
[生成装置21]
図12は、実施の形態2に係る生成装置21の構成の一例を示す図である。図3と同様の要素には同一の符号を付しており、詳細な説明を省略する。
図12に示す生成装置21は、実施の形態1に係る生成装置20に対して、さらに認証部216を備える点で構成が異なる。
<認証部216>
認証部216は、端末31から認証情報を受信し、受信した認証情報に基づいて端末31を使用するユーザが、生成装置21を含む移動体の利用が許可されているユーザであるか否かを認証する。認証部216は、具体的には、受信した認証情報が予め記憶されている情報に含まれるか否かを判定する。認証部216は、端末31から受信した認証情報が当該情報に含まれる場合、端末31を使用するユーザが生成装置21を含む移動体の利用が許可されているユーザであると判定し、当該認証情報が当該情報に含まれない場合、端末31を使用するユーザが移動体の利用が許可されていないユーザであると判定する。
なお、計測部202は、認証部216により認証されたタイミングから次に、端末31を使用するユーザが移動体の利用を終了することを示す終了情報を生成装置21が受信するタイミングまでの期間において、認証部216により認証されたユーザによる移動体の利用量を計測する。このため、生成装置21は、次に他のユーザが使用する端末31からの認証情報を受信することで、他のユーザの移動体の利用を認証した場合、その認証を行ったタイミングから次に、端末31を使用するユーザが移動体の利用を終了することを示す終了情報を生成装置21が受信するタイミングまでの期間において、他のユーザによる移動体の利用量を計測する。移動体の利用量は、実施の形態1において説明した通りであるので説明を省略する。
[端末31]
図13は、実施の形態2に係る端末31の構成の一例を示す図である。図4と同様の要素には同一の符号を付しており、詳細な説明を省略する。
図13に示す端末31は、実施の形態1に係る端末30に対して、さらに記憶部316を備える点で構成が異なる。
<記憶部316>
記憶部316は、生成装置21を含む移動体の利用を認証するための認証情報を記憶している。記憶部316に記憶されている認証情報は、例えば、端末31のユーザによる認証のための入力が入力部302により受け付けられると、通信部301により生成装置21へ送信される。認証情報は、ユーザが端末31を操作することで、移動体の利用するための登録を外部サーバとの間で行うことにより、外部サーバから端末31が受信した情報であってもよい。
[管理システムの動作等]
次に、以上のように構成された管理システムの動作について説明する。
図14及び図15は、実施の形態2に係る管理システムの監査処理を示すシーケンス図である。図15は、図14に示す処理の続きの処理を示す。
まず、事業者端末10を使用する事業者は、ユーザAとの間で契約について合意したとする。事業者端末10は、この契約を示す契約情報を含む契約トランザクションデータを認証サーバ50へ送信する(S201)。なお、事業者は、他のユーザBおよびユーザCとの間でも上記と同様に、個別に契約を締結し、締結した契約を示す契約情報を含む契約トランザクションデータを認証サーバ50へ送信する。なお、事業者端末10は、契約情報を含む契約トランザクションデータを、認証サーバA~Cにブロードキャスト送信してもよい。
次に、認証サーバAは、契約トランザクションデータを受信し、受信した契約トランザクションデータを他の認証サーバBおよび認証サーバCに転送する(S202)。
次に、認証サーバA、認証サーバB及び認証サーバCは、コンセンサスアルゴリズムを実行し、契約トランザクションデータを含むブロックを生成して、分散台帳505に格納する(S203)。
次に、移動体を利用するユーザAにより、認証のための操作が端末Aで受け付けられることで、端末Aは、認証情報を移動体の生成装置21に送信する(S204)。
生成装置21は、端末Aから認証情報を受信し、受信した認証情報に基づいて端末Aを使用するユーザAが、生成装置21を含む移動体の利用が許可されているユーザであるか否かを認証する認証処理を行う(S205)。
次に、生成装置21は、認証成功である場合(S206でYes)、つまり、受信した認証情報に基づいて端末Aを使用するユーザAが、生成装置21を含む移動体の利用が許可されているユーザであると判定した場合、移動体を利用可能な状態に遷移させる(S207)。生成装置21は、認証失敗である場合(S206でNo)、移動体を利用不可能な状態のままとし、ステップS206に戻る。なお、生成装置21は、移動体の室内に入るためのドアのロックを解除することで移動体を利用可能な状態に遷移させてもよいし、移動体を駆動するスイッチをONにすることで移動体を利用可能な状態に遷移させてもよい。逆に言うと、生成装置21は、移動体の室内に入るためのドアをロックすることで移動体を利用不可能な状態としてもよいし、移動体を駆動するスイッチをOFFのままにすることで移動体を利用不可能な状態としてもよい。
次に、生成装置21は、所定のタイミングが到来したか否かを判定する(S208)。
次に、生成装置21は、所定のタイミングが到来したと判定されたときに、計測されたサービスの利用量に基づいて第1実績情報を生成し、生成した第1実績情報を含む実績トランザクションデータを生成する(S209)。第1実績情報は、ステップS205で認証されたユーザを特定するためのユーザ情報を含んでいてもよい。なお、生成装置21は、端末Aを使用するユーザAが移動体の利用を終了することを示す終了情報を生成装置21が受信したときに所定のタイミングが到来したと判定してもよい。
次に、生成装置21は、生成した実績トランザクションデータを認証サーバA~Cへ送信する(S210)。なお、生成装置21は、実績情報を含む実績トランザクションデータを、認証サーバA~Cにブロードキャスト送信してもよい。
ここで、図14では、図示されていないが、生成装置21は、端末A以外の端末(例えば端末B)から認証情報を受信することで、端末Aから認証情報を受信した場合と同様に、ステップS205~ステップS210の処理を行う。このため、ユーザA~Cにより利用されたサービスの利用量に関する実績情報を含む実績トランザクションデータは、認証サーバA~Cに送信される。
次に、認証サーバAは、実績トランザクションデータを受信し、受信した実績トランザクションデータに含まれる実績情報に基づいて、実績情報で示される利用量のサービスの利用料金を算出する(S211)。
次に、認証サーバAは、算出した利用料金を含む料金トランザクションデータを生成する(S212)。
次に、認証サーバAは、生成した料金トランザクションデータを他の認証サーバBおよび認証サーバCに転送する(S213)。
次に、認証サーバA、認証サーバB及び認証サーバCは、コンセンサスアルゴリズムを実行し、実績トランザクションデータを含むブロック、及び、料金トランザクションデータを含むブロックを生成して、分散台帳505に格納する(S214)。
次に、認証サーバA~Cのいずれかは、ステップS211で算出した利用料金の支払い請求を端末Aに送信する(S215)。
次に、端末Aは、ユーザAに利用料金の支払い請求を促す表示(UI)を表示することで、ユーザAから支払いのための入力を受け付けることで、支払いを行う(S216)。
次に、認証サーバAは、確認のタイミングが到来したか否かを判定する(S217)。
認証サーバAは、確認のタイミングが到来したと判定した場合(S217でYes)、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを判定する(S218)。なお、認証サーバAは、確認のタイミングが到来していないと判定した場合(S217でNo)、ステップS217に戻る。
次に、認証サーバAは、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かの判定結果を含む判定トランザクションデータを生成する(S219)。
次に、認証サーバAは、生成した判定トランザクションデータを他の認証サーバBおよび認証サーバCに転送する(S220)。
次に、認証サーバA、認証サーバB及び認証サーバCは、コンセンサスアルゴリズムを実行し、判定トランザクションデータを含むブロックを生成して、分散台帳505に格納する(S221)。
次に、認証サーバAは、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かの判定の結果が否定的であるか否かを判定する(S222)。
認証サーバAは、判定の結果が否定的であると判定した場合(S222でYes)、否定的な判定結果を事業者端末10またはユーザAの端末A(つまり、端末30a)へ通知する(S223)。
認証サーバAは、ステップS223が終了する、または、判定結果が肯定的であると判定した場合(S222でNo)、監査処理を終了する。
[効果等]
以上のように、実施の形態2に係る管理システム等によれば、1つの生成装置21が複数のユーザによるサービスの利用実績をユーザ毎に個別に計測する場合であっても、事業者により提供されたサービスのユーザによる利用実績に関する第1実績情報が、契約に基づくルールで許容されるか否かを判定することができるだけでなく、その判定結果を含む判定トランザクションデータを分散台帳に格納することができる。
これにより、事業者により提供されたサービスのユーザによる利用実績が契約に基づくルールで許容されるかを監査することができるので、事業者とユーザとが結託して契約することを抑制できる。また、判定結果が分散台帳に格納されるので、その判定結果が、後日に改ざんされることを防止することができる。よって、事業者とユーザとが結託して契約することをより確実に抑制できる。
(変形例1)
管理システムの監査処理のうち、図15を用いて説明したステップS217以降の処理について、図16に示すように一部の処理を置き換えてもよい。
図16は、実施の形態2の変形例1に係る管理システムの監査処理を示すシーケンス図である。なお、ステップS217以前の処理は、実施の形態2で説明した監査処理と同じである。
認証サーバAは、確認のタイミングが到来したか否かを判定する(S217)。
認証サーバAは、確認のタイミングが到来したと判定した場合(S217でYes)、ユーザA以外のユーザであって、ユーザAと同一のグループに属するユーザBおよびユーザCを含む複数のユーザの中から監査員を決定する(S231)。認証サーバAは、ユーザA以外のユーザであって、ユーザAと同一のグループに属するユーザBおよびユーザC複数のユーザの中から監査員を決定する場合、ランダムに決定してもよいし、図示しない住民台帳に基づいて決定してもよいし、この複数のユーザを含む予め定められたテーブルに基づいて決定してもよい。なお、認証サーバAは、確認のタイミングが到来していないと判定した場合(S217でNo)、ステップS217に戻る。
認証サーバAは、監査員を決定すると、決定した監査員のユーザが使用する端末30へ契約情報および実績情報を送信する(S232)。例えば、認証サーバAは、ユーザBを監査員として決定すると、ユーザBが使用する端末30bへ、ユーザAの契約情報および実績情報を送信する。このとき送信される実績情報は、分散台帳に格納されている実績情報のうちの最新の実績情報であってもよいし、最新の実績情報を含む実績情報であってもよいし、最新の実績情報を除く過去の実績情報であってもよい。
端末30bは、契約情報および実績情報を受信した場合、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かをユーザBに確認する(S233)。具体的には、端末30bは、契約情報および実績情報を受信した場合、認証サーバAから送信された契約情報および実績情報に基づいて、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを第2ユーザに確認するための表示(UI:User Interface)を表示部303に表示する。これにより、端末30bは、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを示す入力を、ユーザBに入力部302を用いて行うように促す。
端末30bは、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを示す入力が入力部302により受け付けられた場合、当該入力が示す確認結果を含む確認トランザクションデータを生成する(S234)。
端末30bは、生成した確認結果を含む確認トランザクションデータを認証サーバAへ送信する(S235)。
次に、認証サーバAは、確認トランザクションデータを受信し、受信した確認トランザクションデータを他の認証サーバBおよび認証サーバCに転送する(S236)。
次に、認証サーバA、認証サーバB及び認証サーバCは、コンセンサスアルゴリズムを実行し、確認トランザクションデータを含むブロックを生成して、分散台帳505に格納する(S237)。
以降のステップS222およびステップS223は、実施の形態2で説明した通りであるので説明を省略する。
(変形例2)
管理システムの監査処理のうち、図15を用いて説明したステップS217以降の処理について、図17に示すように一部の処理を置き換えてもよい。
図17は、実施の形態2の変形例2に係る管理システムの監査処理を示すシーケンス図である。なお、ステップS217以前の処理は、実施の形態2で説明した監査処理と同じである。
認証サーバAは、確認のタイミングが到来したか否かを判定する(S217)。
認証サーバAは、確認のタイミングが到来したと判定した場合(S217でYes)、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを判定する(S241)。ステップS241は、ステップS218と同じである。なお、認証サーバAは、確認のタイミングが到来していないと判定した場合(S217でNo)、ステップS217に戻る。
次に、認証サーバAは、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されると判定された場合(S242でYes)、監査処理を終了する。認証サーバAは、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されないと判定された場合(S242でNo)、ステップS231~ステップS237に進む。
ステップS231~ステップS237は、実施の形態2の変形例1で説明したステップS231~S237と同じであるので説明を省略する。
ステップS237が終了すると、ステップS222およびステップS223が行われる。ステップS222およびステップS223は、実施の形態2で説明した通りであるので説明を省略する。
(実施の形態3)
実施の形態2では、管理システムが備える複数の認証サーバ50の分散台帳に、各トランザクションデータに含まれる情報を格納するとして説明したが、これに限らない。管理システムは、認証サーバを備えず、それぞれが分散台帳を有する事業者端末及び複数の端末を備えてもよい。そして、このような場合に、事業者端末及び複数の端末の分散台帳に監査結果を受けて有効化された契約に格納してもよい。以下、実施の形態1及び実施の形態2と、異なる点を中心に説明する。
[管理システム]
図18は、実施の形態3に係る管理システムの構成の一例を示す図である。図1及び図10と同様の要素には同一の符号を付しており、詳細な説明を省略する。
図18に示す管理システムは、実施の形態2に係る管理システムに対して、複数の認証サーバ50を備えない点と、事業者端末11の構成及び端末32a~32xの構成とが異なる。なお、以下では、端末32a~端末32xのそれぞれを端末32とも称するが、端末32a~端末32xを端末A~端末Xと称する場合もある。
まず、事業者端末11について説明する。
[事業者端末11]
事業者端末11は、事業者端末10と同様に、事業者により使用される端末の一例である。事業者端末11は、例えばパーソナルコンピュータであってもよいし、スマートフォン及びタブレットなどの携帯端末であってもよい。
図19は、実施の形態3に係る事業者端末11の構成の一例を示す図である。図2と同様の要素には同一の符号を付しており、詳細な説明を省略する。
図19に示す事業者端末11は、実施の形態2に係る事業者端末10に対して、さらにトランザクションデータ検証部116と、記録部117と、分散台帳118とを備える点で構成が異なる。
<トランザクションデータ検証部116>
トランザクションデータ検証部116は、通信部101がトランザクションデータを受信したとき、そのトランザクションデータの正当性を検証する。なお、この検証はスキップされてもよい。
また、トランザクションデータ検証部116は、複数の端末32とともに、トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行する。トランザクションデータ検証部116は、トランザクションデータの正当性を確認した場合、記録部117にトランザクションデータを記録させる。
本実施の形態では、トランザクションデータ検証部116は、トランザクションデータ生成部105が生成した契約トランザクションデータまたは通信部101が受信した実績トランザクションデータ、判定トランザクションデータ、および確認トランザクションデータの正当性を検証する。
さらに、トランザクションデータ検証部116は、各トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行する。そして、トランザクションデータ検証部116は、各トランザクションデータの正当性を確認した場合、記録部117に各トランザクションデータを記録させる。
<記録部117>
記録部117は、トランザクションデータ検証部116により正当性の検証がなされたトランザクションデータをブロックに含めて分散台帳118に格納することで、そのトランザクションデータを記録する。
なお、記録部117は、分散台帳118が内部に構成されていてもよい。
<分散台帳118>
分散台帳118は、契約情報を含む契約トランザクションデータ、実績情報を含む実績トランザクションデータ、判定結果を含む判定トランザクションデータ、および、確認情報を含む確認トランザクションデータを格納している。
続いて、端末32a~端末32xについて説明する。なお、端末32a~端末32xの構成は共通しているので、端末32と称して説明する。
[端末32]
端末32は、端末30と同様に、ユーザにより使用される端末の一例である。端末32は、例えばパーソナルコンピュータであってもよいし、スマートフォン及びタブレットなどの携帯端末であってもよい。端末32のいずれかは、事業者との間で契約を合意した複数のユーザのうちの第1ユーザにより使用される端末である。また、端末32のいずれかは、事業者との間で契約を合意した複数のユーザのうちの第1ユーザとは異なる第2ユーザにより使用される端末である。
本実施の形態では、複数の端末32のうち、端末32aすなわち端末Aが、第1ユーザにより使用される端末であるとして説明する。また、複数の端末32のうち、端末32bすなわち端末Bが、第2ユーザにより使用される端末であるとして説明する。
図20は、実施の形態3に係る端末32の構成の一例を示す図である。図4と同様の要素には同一の符号を付しており、詳細な説明を省略する。
図20に示す端末32は、実施の形態1に係る端末30に対して、さらにトランザクションデータ検証部325と、記録部326と、分散台帳327とを備える点で構成が異なる。
<トランザクションデータ検証部325>
トランザクションデータ検証部325は、通信部301がトランザクションデータを受信したとき、そのトランザクションデータの正当性を検証する。なお、この検証はスキップされてもよい。
また、トランザクションデータ検証部325は、他の端末32及び事業者端末11とともに、トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行する。トランザクションデータ検証部325は、トランザクションデータの正当性を確認した場合、記録部326にトランザクションデータを記録させる。
本実施の形態では、トランザクションデータ検証部325は、通信部301が受信した契約トランザクションデータ、実績トランザクションデータ、判定トランザクションデータ、および確認トランザクションデータの正当性を検証する。
さらに、トランザクションデータ検証部325は、各トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行する。そして、トランザクションデータ検証部325は、各トランザクションデータの正当性を確認した場合、記録部326に各トランザクションデータを記録させる。
<記録部326>
記録部326は、トランザクションデータ検証部325により正当性の検証がなされたトランザクションデータをブロックに含めて分散台帳327に格納することで、そのトランザクションデータを記録する。
なお、記録部326は、分散台帳327が内部に構成されていてもよい。
<分散台帳327>
分散台帳327は、契約情報を含む契約トランザクションデータ、実績情報を含む実績トランザクションデータ、判定結果を含む判定トランザクションデータ、および、確認情報を含む確認トランザクションデータを格納している。
[管理システムの動作等]
次に、以上のように構成された管理システムの動作について説明する。
図21及び図22は、実施の形態3に係る管理システムの監査処理を示すシーケンス図である。図22は、図21で示す処理の続きの処理を示す。
まず、事業者端末11を使用する事業者は、ユーザAとの間で契約について合意したとする。事業者端末11は、この契約を示す契約情報を含む契約トランザクションデータを複数の端末32へ転送する(S301)。なお、事業者は、他のユーザBおよびユーザCとの間でも上記と同様に、個別に契約を締結し、締結した契約を示す契約情報を含む契約トランザクションデータを複数の端末32へ送信する。なお、事業者端末11は、契約情報を含む契約トランザクションデータを、複数の端末32にブロードキャスト送信してもよい。
次に、事業者端末11及び複数の端末32は、コンセンサスアルゴリズムを実行し、契約トランザクションデータを含むブロックを生成して、分散台帳118、327に格納する(S302)。
次に、移動体を利用するユーザAにより、認証のための操作が端末Aで受け付けられることで、端末Aは、認証情報を移動体の生成装置21に送信する(S303)。
生成装置21は、端末Aから認証情報を受信し、受信した認証情報に基づいて端末Aを使用するユーザAが、生成装置21を含む移動体の利用が許可されているユーザであるか否かを認証する認証処理を行う(S304)。
次に、生成装置21は、認証成功である場合(S305でYes)、つまり、受信した認証情報に基づいて端末Aを使用するユーザAが、生成装置21を含む移動体の利用が許可されているユーザであると判定した場合、移動体を利用可能な状態に遷移させる(S306)。生成装置21は、認証失敗である場合(S305でNo)、移動体を利用不可能な状態のままとし、ステップS305に戻る。なお、生成装置21は、移動体の室内に入るためのドアのロックを解除することで移動体を利用可能な状態に遷移させてもよいし、移動体を駆動するスイッチをONにすることで移動体を利用可能な状態に遷移させてもよい。逆に言うと、生成装置21は、移動体の室内に入るためのドアをロックすることで移動体を利用不可能な状態としてもよいし、移動体を駆動するスイッチをOFFのままにすることで移動体を利用不可能な状態としてもよい。
次に、生成装置21は、所定のタイミングが到来したか否かを判定する(S307)。
次に、生成装置21は、所定のタイミングが到来したと判定されたときに、計測されたサービスの利用量に基づいて第1実績情報を生成し、生成した第1実績情報を含む実績トランザクションデータを生成する(S308)。第1実績情報は、ステップS304で認証されたユーザを特定するためのユーザ情報を含んでいてもよい。なお、生成装置21は、端末Aを使用するユーザAが移動体の利用を終了することを示す終了情報を生成装置21が受信したときに所定のタイミングが到来したと判定してもよい。
次に、生成装置21は、生成した実績トランザクションデータを事業者端末11及び複数の端末32へ送信する(S309)。なお、生成装置21は、実績情報を含む実績トランザクションデータを、事業者端末11及び複数の端末32にブロードキャスト送信してもよい。
ここで、図21では、図示されていないが、生成装置21は、端末A以外の端末(例えば端末B)から認証情報を受信することで、端末Aから認証情報を受信した場合と同様に、ステップS304~ステップS309の処理を行う。このため、ユーザA~Cにより利用されたサービスの利用量に関する実績情報を含む実績トランザクションデータは、事業者端末11及び複数の端末32に送信される。以降では、事業者端末11において処理が行われるものとして説明するが、複数の端末32において事業者端末11における処理と同様の処理が行われてもよい。
次に、事業者端末11は、実績トランザクションデータを受信し、受信した実績トランザクションデータに含まれる実績情報に基づいて、実績情報で示される利用量のサービスの利用料金を算出する(S310)。
次に、事業者端末11は、算出した利用料金を含む料金トランザクションデータを生成する(S311)。
次に、事業者端末11は、生成した料金トランザクションデータを複数の端末32に転送する(S312)。なお、端末32がトランザクションデータを転送する場合、事業者端末11及び他の端末32にトランザクションデータを転送する。
次に、事業者端末11及び複数の端末32は、コンセンサスアルゴリズムを実行し、実績トランザクションデータを含むブロック、及び、料金トランザクションデータを含むブロックを生成して、分散台帳118、327に格納する(S313)。
次に、事業者端末11及び複数の端末32のいずれかは、ステップS310で算出した利用料金の支払い請求を端末Aに送信する(S314)。
次に、端末Aは、ユーザAに利用料金の支払い請求を促す表示(UI)を表示することで、ユーザAから支払いのための入力を受け付けることで、支払いを行う(S315)。
次に、事業者端末11は、確認のタイミングが到来したか否かを判定する(S316)。
事業者端末11は、確認のタイミングが到来したと判定した場合(S316でYes)、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを判定する(S317)。なお、事業者端末11は、確認のタイミングが到来していないと判定した場合(S316でNo)、ステップS316に戻る。
次に、事業者端末11は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かの判定結果を含む判定トランザクションデータを生成する(S318)。
次に、事業者端末11は、生成した判定トランザクションデータを複数の端末32に転送する(S319)。
次に、事業者端末11及び複数の端末32は、コンセンサスアルゴリズムを実行し、判定トランザクションデータを含むブロックを生成して、分散台帳118、327に格納する(S320)。
次に、事業者端末11は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かの判定の結果が否定的であるか否かを判定する(S321)。
事業者端末11は、判定の結果が否定的であると判定した場合(S321でYes)、否定的な判定結果をユーザAの端末A(つまり、端末32a)へ通知する(S322)。
事業者端末11は、ステップS322が終了する、または、判定結果が肯定的であると判定した場合(S321でNo)、監査処理を終了する。
[効果等]
以上のように、実施の形態3に係る管理システム等によれば、1つの生成装置21が複数のユーザによるサービスの利用実績をユーザ毎に個別に計測する場合であっても、事業者により提供されたサービスのユーザによる利用実績に関する第1実績情報が、契約に基づくルールで許容されるか否かを判定することができるだけでなく、その判定結果を含む判定トランザクションデータを分散台帳に格納することができる。
これにより、事業者により提供されたサービスのユーザによる利用実績が契約に基づくルールで許容されるかを監査することができるので、事業者とユーザとが結託して契約することを抑制できる。また、判定結果が分散台帳に格納されるので、その判定結果が、後日に改ざんされることを防止することができる。よって、事業者とユーザとが結託して契約することをより確実に抑制できる。
(変形例1)
上記の実施の形態3では、事業者端末11および端末Aなどの複数の端末32のいずれかが、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かの判定を行う場合について説明したが、これに限らない。エージェントサーバが事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かの判定を行ってもよい。
本変形例では、エージェントサーバが事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かの判定を行う場合について説明する。また、本変形例では、エージェントサーバと複数の端末32と事業者端末11とが同一内容の複数の台帳からなる分散台帳を有する場合について説明する。以下では、実施の形態2等と異なる点を中心に説明する。
[管理システム]
図23は、実施の形態3の変形例1に係る管理システムの構成の一例を示す図である。図18と同様の要素には同一の符号を付しており、詳細な説明を省略する。
図23に示す管理システムは、実施の形態3に係る管理システムに対して、さらにエージェントサーバ60を備える点で構成が異なる。なお、以下でも、端末32a~端末32xのそれぞれを端末32とも称するが、端末32a~端末32xを端末A~端末Xと称する場合もある。
以下、エージェントサーバ60について説明する。
[エージェントサーバ60]
エージェントサーバ60は、第1サーバの一例である。
図24は、実施の形態3の変形例1に係るエージェントサーバ60の構成の一例を示す図である。
エージェントサーバ60は、図24に示すように、通信部601と、判断部602と、トランザクションデータ検証部603と、記録部604と、分散台帳605とを備える。エージェントサーバ60は、プロセッサがメモリを用いて所定のプログラムを実行することで実現され得る。以下、各構成要素について説明する。
<通信部601>
通信部601は、事業者端末11から契約情報を含む契約トランザクションデータを受信する。通信部601は、事業者端末11から契約トランザクションデータを受信することで契約情報を取得する。通信部601は、事業者端末11から契約情報を直接受信してもよい。
また、通信部601は、生成装置21から第1実績情報を含む実績トランザクションデータを受信する。通信部601は、生成装置21から実績トランザクションデータを受信することで第1実績情報を取得する。通信部601は、生成装置21から第1実績情報を直接受信してもよい。
また、通信部601は、第1ユーザの契約情報および実績情報を第2ユーザの端末32bに送信してもよい。この場合、通信部601は、第2ユーザの端末32bから確認結果の確認情報を含む確認トランザクションデータを受信する。通信部601は、端末32bから確認トランザクションデータを受信することで確認情報を取得する。通信部601は、端末32bから確認情報を直接受信してもよい。
また、通信部601は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かの結果(監査結果)を事業者端末11または第1ユーザの端末32aに送信する。監査結果は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されることを示す情報、または、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されないことを示す情報を含む。
また、通信部601は、事業者端末11及び複数の端末32との間で各トランザクションデータのやり取りを行う。具体的には、通信部601は、事業者端末11及び複数の端末32へ各トランザクションデータを転送したり、事業者端末11及び複数の端末32から転送された各トランザクションデータを受信する。なお、各トランザクションデータは、契約トランザクションデータ、実績トランザクションデータ、判定トランザクションデータ、および確認トランザクションデータのうちの1つを含む。
このように、通信部601は、ネットワークNを介して事業者端末11、生成装置21、または複数の端末32との間で通信を行う。なお、この通信は、TLS(Transport Layer Security)によりなされてもよく、TLS通信用の暗号鍵は通信部601で保持してもよい。
<判断部602>
判断部602は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを判定する。契約内容のルールでは、第1実績情報が契約内容に含まれる閾値を超えることが許容されない。つまり、このルールでは、例えば、第1期間においてユーザにより利用されたサービスの利用量の上限が定められている。なお、第1実績情報は、ユーザによるサービスの利用量、または、サービスの利用時間が増加するにしたがって増加する実績値を含む。この実績値は、例えば、事業者により提供されるサービスが移動体のシェアリングサービスである場合、ユーザによる移動体の利用量である。移動体の利用量は、例えば、移動体の走行距離、走行時間、消費燃料、および消費電力量のうちの少なくとも1つである。
判断部602は、確認のタイミングが到来したか否かを判定し、確認のタイミングが到来したと判定した場合、第1実績情報が許容されるか否かを判定してもよい。確認のタイミングは、具体的には、サービスの利用料をユーザに請求するタイミング、契約書に記載されているタイミングなどの予め定められたタイミングであってもよい。また、確認のタイミングは、前回確認のタイミングが到来したと判定してから利用されたサービスの利用量が所定の利用量を超えたタイミングであってもよい。所定の利用量は、第1期間における第1ユーザによるサービスの利用量よりも大きくてもよい。また、確認のタイミングは、前回確認のタイミングが到来したと判定してから第2期間が経過したことで確認のタイミングが到来したと判定してもよい。第2期間は、第1期間よりも長い期間であってもよいし、第1期間と同じ期間であってもよい。第1期間と第2期間とが同じ期間である場合には、判断部602は、生成装置21から第1実績情報を取得したときに、確認のタイミングが到来したと判定してもよい。第2期間は、例えば、12時間、1日、1週間、1ヶ月などであってもよい。判断部602は、確認のタイミングが到来したことを通信部601に通知する。なお、確認のタイミングは、第1のタイミングの一例である。
判断部602は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されないと判定した場合、つまり、この判定の結果が、第1実績情報がこのルールで許容されないことを示す場合、第1ユーザとは異なり、かつ、第1ユーザと同じグループに属する第2ユーザの端末32bへ、契約内容および第1実績情報を送信してもよい。具体的には、判断部602は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されないと判定した場合、ユーザBの端末32bへ、第1ユーザの契約内容、および、第1期間における第1ユーザによるサービスの利用量を送信する。これにより、ユーザBは、端末32bを用いて、ユーザAの契約内容および第1実績情報に基づく監査を行うことができる。
判断部602は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かの判定結果を含む判定トランザクションデータを生成する。判断部602は、生成した判定トランザクションデータを通信部601に転送させる。
<トランザクションデータ検証部603>
トランザクションデータ検証部603は、通信部601がトランザクションデータを受信したとき、そのトランザクションデータの正当性を検証する。例えば、トランザクションデータ検証部603は、通信部601が受信したトランザクションデータに、正しい方法で生成された電子署名が付与されているかなどを検証する。なお、この検証はスキップされてもよい。ここで、通信部601が受信するトランザクションデータは、契約トランザクションデータ、実績トランザクションデータ、判定トランザクションデータ、および確認トランザクションデータのいずれかである。
また、トランザクションデータ検証部603は、事業者端末11及び複数の端末32とともに、トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行する。
ここで、コンセンサスアルゴリズムには、PBFT(Practical Byzantine Fault Tolerance)が用いられてもよいし、その他の公知のコンセンサスアルゴリズムが用いられてもよい。公知のコンセンサスアルゴリズムとしては、例えばPoW(Proof of Work)またはPoS(Proof of Stake)などがある。コンセンサスアルゴリズムにPBFTが用いられる場合、トランザクションデータ検証部603は、事業者端末11及び複数の端末32のそれぞれからトランザクションデータの検証が成功したか否かを示す報告を受け取り、当該報告の数が所定の数を超えたか否かを判定する。そして、トランザクションデータ検証部603は、当該報告の数が所定の数を超えたとき、コンセンサスアルゴリズムによってトランザクションデータの正当性が検証されたと判定すればよい。
トランザクションデータ検証部603は、トランザクションデータの正当性を確認した場合、記録部604にそのトランザクションデータを記録させる。
本実施の形態では、トランザクションデータ検証部603は、通信部601が受信した契約トランザクションデータ、実績トランザクションデータ、判定トランザクションデータ、および確認トランザクションデータの正当性を検証する。
<記録部604>
記録部604は、トランザクションデータ検証部603により正当性の検証がなされたトランザクションデータをブロックに含めて分散台帳605に格納することで、トランザクションデータを記録する。
なお、記録部604は、分散台帳605が内部に構成されていてもよい。
<分散台帳605>
分散台帳605は、契約情報を含む契約トランザクションデータ、実績情報を含む実績トランザクションデータ、判定結果を含む判定トランザクションデータ、および、確認情報を含む確認トランザクションデータを格納している。
[管理システムの動作等]
次に、以上のように構成された管理システムの動作について説明する。
図25及び図26は、実施の形態3の変形例1に係る管理システムの監査処理を示すシーケンス図である。図26は、図25で示す処理の続きの処理を示す。
まず、事業者端末11を使用する事業者は、ユーザAとの間で契約について合意したとする。事業者端末11は、この契約を示す契約情報を含む契約トランザクションデータを複数の端末32及びエージェントサーバ60へ転送する(S401)。なお、事業者は、他のユーザBおよびユーザCとの間でも上記と同様に、個別に契約を締結し、締結した契約を示す契約情報を含む契約トランザクションデータを複数の端末32及びエージェントサーバ60へ送信する。なお、事業者端末11は、契約情報を含む契約トランザクションデータを、複数の端末32及びエージェントサーバ60にブロードキャスト送信してもよい。
次に、事業者端末11、複数の端末32及びエージェントサーバ60は、コンセンサスアルゴリズムを実行し、契約トランザクションデータを含むブロックを生成して、分散台帳118、327、605に格納する(S402)。
次に、移動体を利用するユーザAにより、認証のための操作が端末Aで受け付けられることで、端末Aは、認証情報を移動体の生成装置21に送信する(S403)。
生成装置21は、端末Aから認証情報を受信し、受信した認証情報に基づいて端末Aを使用するユーザAが、生成装置21を含む移動体の利用が許可されているユーザであるか否かを認証する認証処理を行う(S404)。
次に、生成装置21は、認証成功である場合(S405でYes)、つまり、受信した認証情報に基づいて端末Aを使用するユーザAが、生成装置21を含む移動体の利用が許可されているユーザであると判定した場合、移動体を利用可能な状態に遷移させる(S406)。生成装置21は、認証失敗である場合(S405でNo)、移動体を利用不可能な状態のままとし、ステップS405に戻る。なお、生成装置21は、移動体の室内に入るためのドアのロックを解除することで移動体を利用可能な状態に遷移させてもよいし、移動体を駆動するスイッチをONにすることで移動体を利用可能な状態に遷移させてもよい。逆に言うと、生成装置21は、移動体の室内に入るためのドアをロックすることで移動体を利用不可能な状態としてもよいし、移動体を駆動するスイッチをOFFのままにすることで移動体を利用不可能な状態としてもよい。
次に、生成装置21は、所定のタイミングが到来したか否かを判定する(S407)。
次に、生成装置21は、所定のタイミングが到来したと判定されたときに、計測されたサービスの利用量に基づいて第1実績情報を生成し、生成した第1実績情報を含む実績トランザクションデータを生成する(S408)。第1実績情報は、ステップS404で認証されたユーザを特定するためのユーザ情報を含んでいてもよい。なお、生成装置21は、端末Aを使用するユーザAが移動体の利用を終了することを示す終了情報を生成装置21が受信したときに所定のタイミングが到来したと判定してもよい。
次に、生成装置21は、生成した実績トランザクションデータを事業者端末11、複数の端末32及びエージェントサーバ60へ送信する(S409)。なお、生成装置21は、実績情報を含む実績トランザクションデータを、事業者端末11、複数の端末32及びエージェントサーバ60にブロードキャスト送信してもよい。
ここで、図25では、図示されていないが、生成装置21は、端末A以外の端末(例えば端末B)から認証情報を受信することで、端末Aから認証情報を受信した場合と同様に、ステップS404~ステップS409の処理を行う。このため、ユーザA~Cにより利用されたサービスの利用量に関する実績情報を含む実績トランザクションデータは、エージェントサーバ60に送信される。
次に、エージェントサーバ60は、実績トランザクションデータを受信し、受信した実績トランザクションデータに含まれる実績情報に基づいて、実績情報で示される利用量のサービスの利用料金を算出する(S410)。
次に、エージェントサーバ60は、算出した利用料金を含む料金トランザクションデータを生成する(S411)。
次に、エージェントサーバ60は、生成した料金トランザクションデータを事業者端末11及び複数の端末32に転送する(S412)。
次に、事業者端末11、複数の端末32及びエージェントサーバ60は、コンセンサスアルゴリズムを実行し、実績トランザクションデータを含むブロック、及び、料金トランザクションデータを含むブロックを生成して、分散台帳118、327、605に格納する(S413)。
次に、エージェントサーバ60は、ステップS410で算出した利用料金の支払い請求を端末Aに送信する(S414)。
次に、端末Aは、ユーザAに利用料金の支払い請求を促す表示(UI)を表示することで、ユーザAから支払いのための入力を受け付けることで、支払いを行う(S415)。
次に、エージェントサーバ60は、確認のタイミングが到来したか否かを判定する(S416)。
エージェントサーバ60は、確認のタイミングが到来したと判定した場合(S416でYes)、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを判定する(S417)。なお、エージェントサーバ60は、確認のタイミングが到来していないと判定した場合(S416でNo)、ステップS416に戻る。
次に、エージェントサーバ60は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かの判定結果を含む判定トランザクションデータを生成する(S418)。
次に、エージェントサーバ60は、生成した判定トランザクションデータを事業者端末11及び複数の端末32に転送する(S419)。
次に、事業者端末11、複数の端末32及びエージェントサーバ60は、コンセンサスアルゴリズムを実行し、判定トランザクションデータを含むブロックを生成して、分散台帳118、327に格納する(S420)。
次に、エージェントサーバ60は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かの判定の結果が否定的であるか否かを判定する(S421)。
エージェントサーバ60は、判定の結果が否定的であると判定した場合(S421でYes)、否定的な判定結果をユーザAの端末A(つまり、端末32a)へ通知する(S422)。
エージェントサーバ60は、ステップS422が終了する、または、判定結果が肯定的であると判定した場合(S421でNo)、監査処理を終了する。
(変形例2)
上記の実施の形態3の変形例1では、エージェントサーバと複数の端末32と事業者端末11とが、同一内容の複数の台帳からなる分散台帳を有する場合について説明したが、これに限らない。エージェントサーバと複数の認証サーバが同一内容の複数の台帳からなる分散台帳を有し、複数の端末32と事業者端末11とは当該分散台帳を有さないとしてもよい。
本変形例では、エージェントサーバと複数の認証サーバが同一内容の複数の台帳からなる分散台帳を有する場合について説明する。また、本変形例では、エージェントサーバが新たに締結された契約の契約書を監査する先契約者を特定したり、特定した先契約者が当該契約書に同意したか否かを検証する場合について説明する。以下、上記で説明した変形例1等と異なる点を中心に説明する。
[管理システム]
図27は、実施の形態3の変形例2に係る管理システムの構成の一例を示す図である。図18及び図23と同様の要素には同一の符号を付しており、詳細な説明を省略する。
図27に示す管理システムは、図18に示す管理システムに対して、さらにエージェントサーバ60と、認証サーバ51a~認証サーバ51cとを備える点で構成が異なる。なお、図27に示すエージェントサーバ60は、実施の形態3の変形例1で説明した通りであるので、ここでの説明は省略する。また、以下でも、端末32a~端末32xのそれぞれを端末32とも称するが、端末32a~端末32xを端末A~端末Xと称する場合もある。同様に、認証サーバ51a~認証サーバ51cそれぞれを、認証サーバ51とも称するが、認証サーバ51a~51cを認証サーバA~認証サーバCと称する場合もある。
[認証サーバ51]
ここでは、認証サーバ51a~認証サーバ51cの構成は共通しているので、認証サーバ51と称して説明する。
認証サーバ51は、第1サーバの一例である。
図28は、実施の形態3の変形例2に係る認証サーバ51の構成の一例を示す図である。図5と同様の要素には同一の符号を付しており、詳細な説明を省略する。
図28に示す認証サーバ51は、図5に示す認証サーバ50に対して、判断部502の構成がない点で構成が異なる。認証サーバ51も、プロセッサがメモリを用いて所定のプログラムを実行することで実現され得る。
[管理システムの動作等]
次に、以上のように構成された管理システムの動作について説明する。
図29及び図30は、実施の形態3の変形例2に係る管理システムの監査処理を示すシーケンス図である。図30は、図29で示す処理の続きの処理を示す。
まず、事業者端末11を使用する事業者は、ユーザAとの間で契約について合意したとする。事業者端末11は、この契約を示す契約情報を含む契約トランザクションデータを複数の認証サーバ51及びエージェントサーバ60へ転送する(S501)。なお、事業者は、他のユーザBおよびユーザCとの間でも上記と同様に、個別に契約を締結し、締結した契約を示す契約情報を含む契約トランザクションデータを複数の認証サーバ51及びエージェントサーバ60へ送信する。なお、事業者端末11は、契約情報を含む契約トランザクションデータを、複数の認証サーバ51及びエージェントサーバ60にブロードキャスト送信してもよい。
次に、複数の認証サーバ51及びエージェントサーバ60は、コンセンサスアルゴリズムを実行し、契約トランザクションデータを含むブロックを生成して、分散台帳505、605に格納する(S502)。
次に、移動体を利用するユーザAにより、認証のための操作が端末Aで受け付けられることで、端末Aは、認証情報を移動体の生成装置21に送信する(S503)。
生成装置21は、端末Aから認証情報を受信し、受信した認証情報に基づいて端末Aを使用するユーザAが、生成装置21を含む移動体の利用が許可されているユーザであるか否かを認証する認証処理を行う(S504)。
次に、生成装置21は、認証成功である場合(S505でYes)、つまり、受信した認証情報に基づいて端末Aを使用するユーザAが、生成装置21を含む移動体の利用が許可されているユーザであると判定した場合、移動体を利用可能な状態に遷移させる(S506)。生成装置21は、認証失敗である場合(S505でNo)、移動体を利用不可能な状態のままとし、ステップS505に戻る。なお、生成装置21は、移動体の室内に入るためのドアのロックを解除することで移動体を利用可能な状態に遷移させてもよいし、移動体を駆動するスイッチをONにすることで移動体を利用可能な状態に遷移させてもよい。逆に言うと、生成装置21は、移動体の室内に入るためのドアをロックすることで移動体を利用不可能な状態としてもよいし、移動体を駆動するスイッチをOFFのままにすることで移動体を利用不可能な状態としてもよい。
次に、生成装置21は、所定のタイミングが到来したか否かを判定する(S507)。
次に、生成装置21は、所定のタイミングが到来したと判定されたときに、計測されたサービスの利用量に基づいて第1実績情報を生成し、生成した第1実績情報を含む実績トランザクションデータを生成する(S508)。第1実績情報は、ステップS504で認証されたユーザを特定するためのユーザ情報を含んでいてもよい。なお、生成装置21は、端末Aを使用するユーザAが移動体の利用を終了することを示す終了情報を生成装置21が受信したときに所定のタイミングが到来したと判定してもよい。
次に、生成装置21は、生成した実績トランザクションデータを複数の認証サーバ51及びエージェントサーバ60へ送信する(S509)。なお、生成装置21は、実績情報を含む実績トランザクションデータを、複数の認証サーバ51及びエージェントサーバ60にブロードキャスト送信してもよい。
ここで、図29では、図示されていないが、生成装置21は、端末A以外の端末(例えば端末B)から認証情報を受信することで、端末Aから認証情報を受信した場合と同様に、ステップS504~ステップS509の処理を行う。このため、ユーザA~Cにより利用されたサービスの利用量に関する実績情報を含む実績トランザクションデータは、エージェントサーバ60に送信される。
次に、エージェントサーバ60は、実績トランザクションデータを受信し、受信した実績トランザクションデータに含まれる実績情報に基づいて、実績情報で示される利用量のサービスの利用料金を算出する(S510)。
次に、エージェントサーバ60は、算出した利用料金を含む料金トランザクションデータを生成する(S511)。
次に、エージェントサーバ60は、生成した料金トランザクションデータを複数の認証サーバ51に転送する(S512)。
次に、複数の認証サーバ51及びエージェントサーバ60は、コンセンサスアルゴリズムを実行し、実績トランザクションデータを含むブロック、及び、料金トランザクションデータを含むブロックを生成して、分散台帳505、605に格納する(S513)。
次に、エージェントサーバ60は、ステップS510で算出した利用料金の支払い請求を端末Aに送信する(S514)。
次に、端末Aは、ユーザAに利用料金の支払い請求を促す表示(UI)を表示することで、ユーザAから支払いのための入力を受け付けることで、支払いを行う(S515)。
次に、エージェントサーバ60は、確認のタイミングが到来したか否かを判定する(S516)。
エージェントサーバ60は、確認のタイミングが到来したと判定した場合(S516でYes)、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを判定する(S517)。なお、エージェントサーバ60は、確認のタイミングが到来していないと判定した場合(S516でNo)、ステップS516に戻る。
次に、エージェントサーバ60は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かの判定結果を含む判定トランザクションデータを生成する(S518)。
次に、エージェントサーバ60は、生成した判定トランザクションデータを複数の認証サーバ51に転送する(S519)。
次に、複数の認証サーバ51及びエージェントサーバ60は、コンセンサスアルゴリズムを実行し、判定トランザクションデータを含むブロックを生成して、分散台帳118、327に格納する(S520)。
次に、エージェントサーバ60は、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かの判定の結果が否定的であるか否かを判定する(S521)。
エージェントサーバ60は、判定の結果が否定的であると判定した場合(S521でYes)、否定的な判定結果をユーザAの端末A(つまり、端末32a)へ通知する(S522)。
エージェントサーバ60は、ステップS522が終了する、または、判定結果が肯定的であると判定した場合(S521でNo)、監査処理を終了する。
[その他の実施の形態等]
以上のように、本開示について上記の実施の形態に基づいて説明してきたが、本開示は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。
(1)上記実施の形態では、認証サーバ及びエージェントサーバ等が、事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを判定することについて説明したが、これに限らない。認証サーバ及びエージェントサーバ等はさらに、AI(Artificial Intelligence)を搭載してもよい。この場合、認証サーバ及びエージェントサーバ等は、当該AIに事業者および第1ユーザで締結された契約の契約内容のルールで第1実績情報が許容されるか否かを判定させてもよい。
(2)上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記RAMまたはハードディスクユニットには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
(3)上記の実施の形態における各装置は、構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
また、上記の各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部またはすべてを含むように1チップ化されてもよい。
また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路または汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。
さらには、半導体技術の進歩または派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
(4)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。前記ICカードまたは前記モジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。前記ICカードまたは前記モジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカードまたは前記モジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
(5)本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。
また、本開示は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。
また、本開示は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。
また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を、前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(6)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。