本発明は、生体認証の運用を管理する技術に関する。

生体認証システムは、指紋、静脈、虹彩、顔、音声、筆跡等の生体情報に基づき個人認証を行う。一般に、生体認証システムでは、まず利用者の生体情報を取得して予め登録しておき、認証時に取得した利用者の生体情報から生成された特徴量(以降、認証テンプレート)と予め登録しておいた特徴量(以降、登録テンプレート)との類似度が一定のしきい値を超えるか否かで本人認証を実現する。当該生体認証システムの種類としては、1:1認証システムと1:N認証システムがある。当該1:1認証システムは、利用者がIDを入力して照合するべき登録テンプレートを絞り込んだ上でテンプレート照合を行う。登録テンプレートの絞込みを行うため、誤って本人以外の他人を認証成功としてしまうリスクが少なく、安全性や認証速度を重視する場合に用いられる。一方、当該1:N認証システムは、利用者がIDを入力せずに、全件の登録テンプレートとの照合を行う。多数の登録テンプレートと照合するため、誤って本人以外の他人を認証成功としてしまうリスクが1:1認証システムよりも高く、利便性を重視する場合に用いられる。ここで、当該生体認証システムにおいて、登録テンプレートと本人から取得した認証テンプレートとの類似度が、しきい値より低い値となった場合、本人が認証されない事象(以降、本人拒否)が発生し、システムの利便性低下に繋がる。この本人拒否が発生する確率(以降、本人拒否率)は、利用者の生体情報に経年変化が起きた場合や、生体情報を取得する際の周辺環境(気温、湿度、照明環境等)が変化して生体情報の品質にばらつきが生じた場合等に高くなる。また、生体情報の登録時に、生成した登録テンプレートの品質が低く、認証テンプレートが低くなりやすい場合にも、同様に本人拒否率が高くなる。

この問題を解決するためには、生体認証システムの運用環境において、本人拒否率が高くなっていることを検知し、本人拒否率改善のための施策を実施する必要がある。本人拒否率改善のための施策としては、登録生体情報の更新や認証時に用いるしきい値の変更等が考えられる。

特許文献1では、利用者がIDを入力した上で認証を行う1:1認証システム、および利用者がIDを入力せずに認証を行う1:N認証システムにおいて、認証失敗が多い利用者へ再登録を促すための技術が開示されている。当該技術は、利用者毎に認証失敗回数をカウントしておき、一定期間内の認証失敗回数がしきい値を超えた時に、利用者へ再登録を促す通知を出す。

特開2006—99374号公報

通常の1:N認証では、利用者がIDを入力しないため、認証に失敗した場合は利用者IDが不明となる。特許文献1では、認証が行われた時刻を分析し、認証と認証の間の時間が一定未満であった場合、同一人物による認証とみなす。これにより、1:N認証において認証に失敗し、どの利用者が認証を試みたか不明であるケースでも、一定時間内に認証に成功した場合は認証失敗頻度を把握することが可能となる。この認証失敗頻度に基づき、特許文献1では再登録が必要か否かを判定し、再登録が必要な利用者には通知を出す。

この方式では、システム管理者は再登録が必要な利用者を知ることができるが、再登録による精度改善効果を事前に把握することはできない。テンプレート再登録を含めた精度改善施策には、多くの手間やコストがかかるため、事前に精度改善を見積もり、精度改善効果に基づき施策の実施要否を判定することで、効率的な対処を行うことが可能となる。特許文献1では、このような精度改善施策の効果推定は考慮されていない。

本発明の目的は、精度改善施策の効果を事前に推定し、管理者へ提示できる技術を提供することにある。

本発明の代表的な一例は、次の通りである。すなわち、本発明は、利用者の生体認証を行う生体認証サーバにおいて、出力装置と、利用者識別情報毎に、生体情報と、認証成功または認証失敗を示す認証結果を含むログデータを記憶する記憶装置と、前記認証結果から、前記利用者識別情報毎に認証成功回数と認証失敗回数を算出し、前記算出した認証成功回数と認証失敗回数、もしくは前記認証失敗回数を用いて、一部の利用者の生体情報の再登録、もしくは生体認証処理時に使用するしきい値の変更を受け付けた後の認証失敗率を推定し、前記出力装置に出力する演算装置を具備する、ことを特徴とする。

本発明によれば、精度改善施策の効果を事前に推定し、管理者へ提示できる。これにより、最小限の手間で効率よく精度改善を行うことができる。

本発明の第一の実施形態の、認証クライアント、認証サーバのシステム構成を示す図である。

本発明の第一の実施形態の、1:N認証の処理手順を示す図である。

本発明の第二の実施形態の、1:1認証の処理手順を示す図である。

本発明の第一の実施形態の、精度改善施策提案の処理手順を示す図である。

本発明の第一の実施形態の、ログデータに対するID推定の処理手順を示す図である。

本発明の第一の実施形態の、n番目のログデータに対するID推定の処理手順を示す図である。

本発明の第一の実施形態において、ログデータの認証結果を分析する処理手順を示した図である。

本発明の第一の実施形態において、利用者ID毎の認証回数カウントを行う処理手順を示す図である。

本発明の第一の実施形態において、テンプレート再登録後の認証失敗率推定を行う処理手順を示す図である。

本発明の第一の実施形態において、認証しきい値を変更した後の認証失敗率推定を行う処理手順を示す図である。

本発明の第一の実施形態において、精度改善施策の選択を行う処理手順を示す図である。

本発明の第一の実施形態において、認証ログデータを記録するテーブルを示す図である。

本発明の第一の実施形態において、利用者ID及び認証しきい値毎の認証失敗頻度を記録するテーブルを示す図である。

本発明の第一の実施形態において、利用者ID毎の認証失敗頻度を記録するテーブルを示す図である。

本発明の第一の実施形態において、認証しきい値毎の認証失敗頻度を記録するテーブルを示す図である。

本発明の第一の実施形態において、生体認証システムにおける認証クライアント、認証サーバのハードウェア構成を示すブロック図である。

本発明の第一の実施形態において、テンプレート再登録の処理手順を示す図である。

<第一の実施形態> 第一の実施形態は、利用者がIDを入力せず、生体情報のみを入力して認証を行う1:N認証システムにおいて、テンプレート再登録後の認証失敗率や認証しきい値変更後の認証失敗率を推定し、当該認証失敗率に基づき最適な精度改善施策を管理者へ提案するシステムである。

以下、図面を参照して詳細に説明する。

図1は、本発明の第一の実施形態の、認証クライアントおよび認証サーバのシステム構成を示す図である。

この図において、符号110は認証クライアント、符号111は認証情報取得部、符号112は特徴抽出部、符号113は認証結果表示部、符号120は認証サーバ、符号121はテンプレート照合部、符号122は利用者ID推定部、符号123は認証失敗頻度算出部、符号124は再登録後認証失敗率推定部、符号125は認証しきい値変更後認証失敗率推定部、符号126は精度改善施策選択部、符号127は精度改善施策表示部、符号128は登録テンプレート格納部、符号129はログデータ格納部である。

認証クライアント110は、入退室管理システムにおける端末、PCログインシステムにおけるPC、出入国管理システムにおける審査端末や自動化ゲート等に相当し、認証対象である利用者自身、または端末を担当しているオペレータが操作する端末である。認証クライアント110は、認証情報取得部111、特徴抽出部112、認証結果表示部113を含んで構成されており、認証サーバ120と接続されている。

認証情報取得部111は、利用者から利用者IDと生体情報を取得する。生体情報は、指紋、静脈、虹彩、顔、音声、筆跡等に代表される、個人を特定することが可能な情報である。

特徴抽出部112は、認証情報取得部111で取得した生体情報に対して特徴抽出を行い、照合に用いる特徴量(以降、テンプレート)を生成する。

認証結果表示部113は、認証サーバ120から受信した認証結果を利用者若しくは認証クライアント110のオペレータに対して表示する。

認証サーバ120は、例えば入退室管理システムやPCログインシステム、出入国管理システムにおいて、テンプレートの管理・照合を行うサーバである。認証サーバ120は、テンプレート照合部121、利用者ID推定部122、認証失敗頻度算出部123、再登録後認証失敗率推定部124、認証しきい値変更後認証失敗率推定部125、精度改善施策選択部126、精度改善施策表示部127、登録テンプレート格納部128、ログデータ格納部129を含んで構成されており、認証クライアント110と接続されている。

テンプレート照合部121は、二つのテンプレートを照合し、テンプレート間の類似度、または非類似度を算出する。類似度、または非類似度は、生体情報がどの程度類似しているかを表す指標であり、一定の範囲を持つ数値で表される。

利用者ID推定部122は、ログデータ格納部129に蓄積されたログデータのうち、利用者IDが付与されていないデータに関して、利用者IDを推定してログデータへ付与する。

認証失敗頻度算出部123は、ログデータ格納部129に蓄積されたログデータを分析し、利用者IDおよび認証しきい値毎に認証失敗頻度を算出する。

再登録後認証失敗率推定部124は、認証失敗頻度算出部123で得られた認証失敗頻度から、利用者の一部が登録テンプレートの再登録を実施した後の認証失敗率を推定する。

認証しきい値変更後認証失敗率推定部125は、認証失敗頻度算出部123で得られた認証失敗頻度から、認証しきい値を変更した後の認証失敗率を推定する。

精度改善施策選択部126は、再登録後認証失敗率推定部124および認証しきい値変更後認証失敗率推定部125にて算出した認証失敗率に基づき、効果が高い精度改善施策を選択する。

精度改善施策表示部127は、精度改善施策選択部126にて選択した精度改善施策を認証サーバ120の管理者へ提示する。

登録テンプレート格納部128は、利用者のID、およびテンプレートを格納する。

ログデータ格納部129は、認証時に得られるログデータを格納する。

本発明の第一の実施形態の処理手順を、図2、図4〜図11を参照しながら説明する。

図2は、本発明の第一の実施形態の、1:N認証時の処理手順を示した図である。1:N認証時には、まず認証サーバ120にて登録テンプレート読み込みを行う(手順221)。手順221では、登録テンプレート格納部128に格納されているN件の利用者IDと、利用者IDに紐づいたテンプレートを読み込む。

次に、認証クライアント110は生体情報入力を行う(手順211)。手順211では、利用者から生体情報のみを取得する。

次に認証クライアント110は、生体情報からの特徴抽出を行う(手順212)。手順212では、生体情報から特徴抽出を行い、認証テンプレートを生成する。例えば指紋認証の場合、生体情報は指紋画像、認証テンプレートは指紋画像から抽出されるマニューシャ等に代表される特徴点に相当する。

次に、認証クライアント110は手順212で得られた認証テンプレートを認証サーバ120へ送信する(手順213)。

次に、認証サーバ120は認証クライアント110から認証テンプレートを受信する(手順222)。

次に認証サーバ120は、手順222で受信した認証テンプレートと、手順221で読み込んだN件の登録テンプレートとを照合して、N件の類似度若しくは非類似度を算出する(手順223)。

次に、認証サーバ120は手順223で算出した類似度若しくは非類似度に対してしきい値処理を行い、認証しきい値を上回る類似度、若しくは認証しきい値を下回る非類似度が得られた登録テンプレートを求める(手順224)。手順224では、条件を満たす登録テンプレートが存在すれば認証成功となり、条件を満たす登録テンプレートが存在しなければ認証失敗となる。

次に、認証サーバ120は手順222、手順223、手順224で得られたデータをログとしてログデータ格納部129へ追加する(手順225)。ログデータの詳細については、図12を参照して後ほど説明する。

次に、認証サーバ120は手順224で得られた認証結果を認証クライアント110へ送信する(手順226)。

次に、認証クライアント110は認証サーバ120から認証結果を受信する(手順214)。

次に、認証クライアント110は手順214で受信した認証結果を、認証クライアント110を操作している利用者若しくはオペレータへ表示する。以上で、1:N認証が完了する。

ここで、手順225にて格納されるログデータの詳細について、図12を参照して説明する。ログデータ格納部129に格納されるログデータは、図12に示す認証ログテーブルの形で蓄積される。当該認証ログテーブルは、ログNo.1210、記録日時1220、端末ID1230、認証方式1240、類似度1250、利用者ID1260、認証結果1270、テンプレート1280、シーケンスID1290から構成される。

ログNo.1210は各ログデータに対して一意に振られる番号であり、ログデータを参照する際に、キーとして用いる。

記録日時1220は、ログデータを記録した際の年月日及び時刻である。

端末ID1230は、認証クライアント毎に一意に振られたIDであり、どのログデータが同一認証クライアントのものかを識別するために用いる。

認証方式1240は、ログデータが1:1認証の結果か、1:N認証の結果かを示している。本実施形態では、1:N認証を対象としているため、認証方式1240には1:N認証が入る。

類似度1250は、手順223の1:N照合の結果得られた各登録テンプレートに対する類似度または非類似度である。ただし、1:1認証の場合には入力したIDに対応する登録テンプレートのみと照合が行われるため、類似度は対応するIDの一か所のみに入る。ここで、類似度および非類似度は、照合した2つのテンプレートがどの程度類似しているかを表す指標であり、一定の範囲を持った整数若しくは小数で表される。

利用者ID1260は、認証時に利用者が入力したID、若しくは認証後に推定された利用者IDを示している。1:1認証の場合は必ず利用者IDを入力するため、利用者ID1260には利用者を一意に決めるIDが代入されている。ただし、1:N認証の場合には、利用者はIDを入力しないため、認証成功となった場合にのみテンプレートが一致した利用者IDが代入される。1:N認証において認証失敗となった場合には、利用者IDが決められないため利用者ID1260には値が代入されない。このような場合は、認証後の任意のタイミングで利用者ID推定を行い、ログデータに対する利用者IDを推定する必要がある。

認証結果1270は、認証の結果が成功であったか失敗であったかを示す。「OK」は認証成功、「NG」は認証失敗を示している。

テンプレート1280は、手順212で利用者の生体情報から生成した認証テンプレートである。

シーケンスID1290は、利用者の同一性を保証するIDであり、同一の利用者の認証には同一のIDが割り振られ、異なる利用者の認証には異なるIDが割り振られる。例えば、生体情報を取得するセンサ(指紋センサ、指静脈センサ、監視カメラ等)により同一人物が認証を繰り返していることが検知された場合は、同一のシーケンスIDを割り振る。また、入国審査における自動化ゲートのように、物理的に隔離された環境で認証を行っており、物理的に人物の入れ替わりが起きない運用が行われている場合は、同様に同一のシーケンスIDを割り振る。

本発明の第一の実施形態では、図2に示す1:N認証システムがある程度の期間運用された後、図4に示す手順を実施する。これにより、一定期間のログデータを分析し、精度改善施策の提案を行うことが可能となる。なお、図2に示す1:N認証システムを一定期間運用した後に図4の手順を実施するのではなく、図2における1:N認証が行われる度に、図4に示す処理手順を実施し、リアルタイムで精度改善施策の効果を見積もっても良い。

図4は、本発明の第一の実施形態において、精度改善施策の提案を行う処理手順を示した図である。図4の各手順の詳細は、図5〜図11の図面を参照して説明する。

精度改善施策の提案を行う際には、まずログデータに対するID推定を行う(手順410)。これにより、利用者IDが不明であったログデータに対して推定利用者IDを付与する。手順410の詳細な処理手順は、図5、図6を参照して後ほど説明する。

次に、ログデータにおける認証結果の分析を行う(手順420)。手順420ではログデータに含まれる認証結果の頻度をカウントし、その後の精度推定に必要なデータを準備する。この手順420の詳細な処理手順は、図7を参照して後ほど説明する。

次に、ID毎の認証回数カウントを実施する(手順430)。この手順430では、手順420で得られた認証結果頻度を基に、利用者ID毎の認証成功、認証失敗の回数をカウントする。この手順430の詳細な処理手順は、図8を参照して後ほど説明する。

次に、一部の利用者がテンプレートの再登録を実施した後の精度推定を行う(手順440)。手順440では、手順430で求めたID毎の認証回数に基づき、再登録を実施する必要がある利用者IDリストと、再登録実施後の認証失敗率を推定して出力する。手順440の詳細な処理手順は、図9を参照して後ほど説明する。ただし、再登録後の認証失敗率を推定せず、認証しきい値変更後の認証失敗率のみを推定する場合には、手順430と手順440は行わなくても良い。

次に、認証しきい値変更後の精度推定を行う(手順450)。この手順450では、認証しきい値の設定を変更し、現状と異なる認証しきい値を設定したときの認証失敗率を推定する。手順450の詳細な処理手順は、図10を参照して後ほど説明する。ただし、認証しきい値変更後の認証失敗率を推定せず、再登録後の認証失敗率のみを推定する場合には、手順450は行わなくても良い。

次に、手順440で得られた再登録後の認証失敗率と手順450で得られた認証しきい値変更後の認証失敗率に基づき、精度改善施策の選択を行う(手順460)。この手順460では、各精度改善施策の実施後の認証失敗率に基づき、現在の運用状況を改善するために最適な施策を選択する。ただし、精度改善施策の選択を行わず、各精度改善施策実施後の認証失敗率のみを管理者へ提示する場合は、手順460を行わなくても良い。手順460の詳細な処理手順は、図11を参照して後ほど説明する。

最後に、手順460で得られた精度改善施策と手順440、手順450で推定した認証失敗率を管理者へ出力する(手順470)。以上により、精度改善施策の提案が完了する。以降では、手順410〜手順460の具体的な処理手順について、図を参照して説明する。

まず、手順410におけるログデータに対するID推定の処理手順を、図5を参照して説明する。

ログデータのID推定では、まずログ番号nに初期値として1を代入する(手順510)。なお、図5では全ての認証ログデータを対象にID推定を実施しているため初期値を1としているが、一定期間内(例えば、過去3か月分など)に記録された認証ログデータのみを対象にID推定を行うこともできる。この場合、初期値は1ではなく、3ヶ月前に記録したログNo.となる。

次に、n番目のログデータの利用者IDを参照する(手順520)。利用者IDが既知であった場合は、n番目のログデータに対するID推定は不要であるため、nに1を足して再度手順520を行う。

利用者IDが不明であった場合は、n番目のログデータに対するID推定を実施する(手順530)。手順530におけるn番目のログデータに対するID推定の詳細は、図6を参照して後ほど説明する。

手順530で得られた推定利用者IDは、n番目のログデータの利用者IDとして記録される(手順540)。

最後にnに1を足し(手順550)、nとログの総数を比較する(手順560)。nがログの総数よりも多い場合は、全てのログデータに対するID推定が終了したとみなし、処理を終了する。nがログの総数以下の場合は、手順520に戻り、次のログデータに対するID推定を継続する。

なお、全ての認証ログデータではなく、ある一定期間の認証ログデータのみを対象とする場合は、手順560でn番目のログデータの記録日時が指定した期間外か否かを判定する。n番目のログデータの記録日時が指定した期間内であれば処理を終了し、期間外であれば手順520へ戻り処理を継続する。以上により、ログデータへのID推定が完了する。

ここで、手順530におけるn番目のログデータに対するID推定の処理手順を、図6を参照して説明する。n番目のログデータに対するID推定では、まず手順224における認証しきい値とは別に定義したID推定用しきい値にて認証を行う(手順610)。

手順224における認証では、誤って本人以外の人物を認証成功としてしまうリスクを低く抑える必要があるため、認証しきい値を高く設定している。ただし、このような高い認証しきい値を用いた場合は、本人を認証失敗としてしまう可能性が高くなる。一方で、手順610における認証では、目的はID毎の認証失敗率算出であるため、本人以外の人物を認証成功としてしまった場合でも求められる認証失敗率に誤差が生じるだけで大きな問題にならない。むしろ、しきい値を低く設定することで、手順224において認証失敗となったログの認証結果が成功に変わり、利用者IDが付与されることによるメリットの方が大きい。このため、手順610では、手順224の認証しきい値よりも低いID推定用の認証しきい値で認証を行う。

手順610における認証結果が成功であった場合は(手順620)、認証が成功した利用者IDを推定結果に代入し、n番目のログデータに対するID推定を終了する(手順621)。

次に、手順620において認証結果が失敗であった場合は、変数mにnを代入し(手順630)、mに1を足す処理を行う(手順640)。以降では、m番目のログデータを分析し、そのデータ内容に基づきn番目のログデータの利用者IDを推定する。

まず、n番目のログデータとm番目のログデータの記録日時を比較し、その差が一定時間内であることを確認する(手順650)。この手順は利用者が認証失敗した時には同一認証クライアントにて再度認証を試み、一定時間内に認証成功となるケースを想定している。以降の手順は、手順650のように適用範囲を一定時間に限らなくても実施可能であるが、全てのログデータを対象とした場合膨大な処理時間を要するため、本実施形態では適用範囲を一定時間に限った。

手順650において、m番目のログデータの記録日時がn番目のログデータの記録日時よりも一定時間離れていた場合は、n番目のログデータに対するID推定を終了する。

m番目のログデータの記録日時とn番目のログデータの記録日時との差が一定時間未満である場合は、n番目のログデータの端末IDとm番目のログデータの端末IDを比較する(手順660)。手順660において端末IDが異なる場合は、手順640に戻り、mに1を足した上でID推定処理を継続する。

手順660において端末IDが同一の場合は、m番目のログデータの利用者IDが既知であるか否かを判定する(手順670)。当該認証結果が認証失敗の場合は、手順640に戻り、mに1を足した上でID推定処理を継続する。

当該認証結果が認証成功の場合は、n番目のログデータのシーケンスIDとm番目のログデータのシーケンスIDを比較する(手順680)。手順680においてn番目のログデータのシーケンスIDとm番目のログデータのシーケンスIDが一致する場合は、m番目のログデータの利用者IDを推定結果に代入し、n番目のログデータに対するID推定を終了する(手順690)。シーケンスIDは、同一人物が連続して認証を行った際に同一のIDが代入されるため、利用者IDが未知のログデータと利用者IDが既知のログデータとのシーケンスIDが等しいとき、前者のログデータに対して後者の利用者IDを代入することが可能となる。

手順680においてn番目のログデータのシーケンスIDとm番目のログデータのシーケンスIDが異なる場合は、n番目のログデータのテンプレートと、m番目のログデータのテンプレートを照合する(手順681)。

この手順681の照合で得られた類似度とID推定用のしきい値を比較し、n番目のログデータとm番目のログデータが同一人物のものか否かを判定する(手順682)。手順682において類似度がしきい値を上回り、n番目のログデータとm番目のログデータが同一人物のものと判定された場合には、m番目のログデータの利用者IDを推定結果に代入してn番目のログデータに対するID推定を終了する。

手順682において、類似度がしきい値を下回り、n番目のログデータとm番目のログデータが異なる人物のものと判定された場合には、手順640に戻り、ID推定を継続する。以上の処理により、n番目のログデータの利用者IDが推定される。

次に、手順420の認証結果分析の詳細な処理手順を、図7を参照して説明する。まず、nに初期値として1を代入する(手順710)。なお、図7では全ての認証ログデータを対象にID推定を実施しているため初期値を1としているが、一定期間内(例えば、過去3か月分など)に記録された認証ログデータのみを対象に認証結果分析を行うこともできる。この場合、初期値は1ではなく、3ヶ月前に記録したログNo.となる。

次に、n番目のログデータの利用者ID1260とそれに対応する類似度1250を読み込む(手順720)。ただし、類似度に関しては、類似度1250全体を読み込むのではなく、利用者IDに対応する単一の値を読み込む。

次に、手順720で読み込んだ利用者IDと対応する類似度に該当する認証失敗頻度テーブル1300を更新する(手順730)。手順730では、まず類似度を認証しきい値へ変換する。この変換は、予め定義したいくつかの認証しきい値のうち、類似度を超える最小の認証しきい値を求めることで行う。認証失敗頻度テーブル1300は、当該認証しきい値と利用者IDに対応する認証失敗頻度を格納するテーブルであり、図13を参照して後ほど説明する。手順730では、認証失敗頻度テーブル1300のうち、利用者ID及び認証しきい値に対応するセルの値を1増加させる。

なお、本実施形態では、n番目のログの利用者IDが代入されている場合にのみ、手順730を実施して認証失敗頻度テーブルの値を1増やすという離散的な回数カウントを行っている。この方式は、頻度を確率的な連続値とし、認証失敗頻度の期待値を計算する方式に置き換えることもできる。この場合は、手順730のようにn番目の利用者IDを用いた処理を行わず、n番目の類似度からこのログデータが各利用者のものである確率値を算出する。この確率値の算出は、本人分布・他人分布に基づくベイズ推定により求められることが知られている。これにより、例えばID=1は0.01、ID=2は0.025というように、各利用者IDに対する確率値が算出可能となる。認証失敗頻度テーブル1300の更新は、ログデータに含まれる利用者ID1260の値に関係なく、全ての利用者に関して行う。具体的には、認証失敗頻度テーブル1300のうち、利用者IDと類似度1250に対応する認証しきい値に対応するセルの値に、各利用者IDに対して算出した確率値を加算する。これにより、利用者IDが付与されなかったログデータに関しても認証失敗頻度の算出に用い、高精度に認証失敗頻度を算出することが可能となる。

最後に、nに1を足し(手順740)、nがログデータの総数を超えているか判定する(手順750)。nがログデータの総数を超えていた場合には、認証結果分析を終了する。nがログデータの総数以下であった場合は、手順720に戻り、認証結果分析を継続する。なお、全ての認証ログデータではなく、ある一定期間の認証ログデータのみを対象とする場合は、手順750でn番目のログデータの記録日時が指定した期間外か否かを判定する。

n番目のログデータの記録日時が指定した期間内であれば処理を終了し、期間外であれば手順720へ戻り処理を継続する。以上により、認証結果分析を完了する。

ここで、図13を参照して、認証失敗頻度テーブル1300の内容について説明する。認証失敗頻度テーブルは、利用者IDと認証しきい値に対応する認証失敗回数をテーブルの形でカウントし、認証失敗率算出に活用するためのデータである。認証しきい値に関しては、最低、低、中、高、最高の5段階が定義されていることを例として挙げている。

符号1310は、認証しきい値を最高とした場合でも認証成功となる回数をID毎に記録している。

符号1320は、認証しきい値を高とした場合には認証成功となるが、最高とした場合には認証失敗となる回数をID毎に記録している。

符号1330は、認証しきい値を中とした場合には認証成功となるが、高とした場合には認証失敗となる回数をID毎に記録している。

符号1340は、認証しきい値を低とした場合には認証成功となるが、中とした場合には認証失敗となる回数をID毎に記録している。

符号1350は、認証しきい値を最低とした場合には認証成功となるが、低とした場合には認証失敗となる回数をID毎に記録している。

符号1360は、認証しきい値を最低とした場合でも認証失敗となる回数をID毎に記録している。

符号1370は、各列が利用者IDに対応しており、ID毎の認証失敗回数を記録している。ただし、ID=0に対応するセルには、利用者IDが未知であったログデータから算出した認証失敗回数を記録している。認証失敗頻度テーブル1300では、このような形でログデータの認証結果を整理することで、認証失敗率の推定に活用する。

次に、手順430のID毎の認証回数カウントの詳細な処理手順を、図8を参照して説明する。

まず、tに現在の認証しきい値を代入する(手順810)。

次に、iに1(利用者IDの初期値)を代入する(手順820)。

次に、認証失敗頻度テーブル1300を参照し、利用者ID=i、認証しきい値=tに対応する認証成功回数を算出する(手順830)。認証成功回数の算出は、利用者IDがiとなるデータのうち、認証しきい値がtを超える頻度の合計を求めることで実現する。例えば、図13の値を参照すると、利用者IDが1、現在の認証しきい値が中であるときの認証成功回数は、19となる。

次に、認証失敗頻度テーブル1300を参照し、利用者ID=i、認証しきい値=tに対応する認証失敗回数を算出する(手順840)。認証失敗回数の算出は、利用者IDがiとなるデータのうち、認証しきい値がt以下となる頻度の合計を求めることで実現する。例えば、図13の値を参照すると、利用者IDが1、現在の認証しきい値が中であるときの認証失敗回数は1となる。

次に、手順830、手順840で求めた認証成功回数と認証失敗回数から、認証失敗率を算出する(手順850)。当該認証失敗率は、(認証失敗回数)/(認証成功回数+認証失敗回数)で求められる。

次に、手順830で得られた認証成功回数、手順840で得られた認証失敗回数、手順850で得られた認証失敗率を、ID毎認証失敗頻度テーブル1400へ記録する(手順860)。ID毎認証失敗頻度テーブル1400の詳細な内容については、図14を参照して後ほど説明する。

最後に、iに1を足して(手順870)、iと利用者IDの総数を比較する(手順880)。iが利用者IDの総数を超えた場合は、ID毎の認証回数カウントを終了する。iが利用者IDの総数以下の場合は、手順830へ戻り、ID毎の認証回数カウントを継続する。以上により、ID毎の認証回数カウントが実現する。

ここで、図14を参照して、ID毎認証失敗頻度テーブル1400の内容について説明する。

符号1410は利用者ID毎の認証成功回数を格納する。

符号1420は利用者ID毎の認証失敗回数を格納する。

符号1430は利用者ID毎の認証失敗率を格納する。

符号1440の各列は利用者IDに対応しており、利用者ID毎の認証成功回数1410、認証失敗回数1420、認証失敗率1430を格納する。なお、ID=0に対応するセルには、利用者IDが未知であるログデータから算出した認証失敗回数が記録されている。

次に、手順440の再登録後の精度推定の詳細な処理手順を、図9を参照して説明する。まず、i、再登録後の認証成功回数、再登録後の認証失敗回数に、それぞれ初期値として1、0、0を代入する(手順910)。

次に、ID=iの認証失敗率1430を参照し、予め定めた認証失敗しきい値と比較する(手順920)。

手順920において、ID=iの認証失敗率1430が認証失敗しきい値を超えた場合は、該当する利用者の認証失敗率が高いため、利用者を再登録対象者リストへ追加し(手順921)、手順950へ進む。なお、ログデータに含まれる認証回数が一定未満である場合は、認証失敗率1430に十分な信頼性がないため、認証失敗率1430が認証失敗しきい値を超えた場合でも再登録対象者リストへ追加しないこともできる。

一方、手順920において、ID=iの認証失敗率1430が認証失敗しきい値未満の場合は、該当する利用者の認証失敗率が十分低いため、再登録対象者リストへの追加は行わない。

ただし、再登録後の認証失敗率推定のために、再登録後の認証成功回数にID=iの認証成功回数を加算し(手順930)、再登録後の認証失敗回数にID=iの認証失敗回数を加算する(手順940)。手順940終了後、手順950へ進む。

手順950では、iに1を足したあと、iと利用者IDの総数との比較を行う(手順960)。iが利用者IDの総数以下の場合には、手順920へ戻り、次の利用者IDの処理を継続する。

手順960においてiが利用者IDの総数を超えた場合は、全ての利用者IDの処理が完了したとみなし、再登録後の認証失敗率推定と、得られた認証失敗率及び再登録対象者リストの出力を行う(手順970)。手順970では、(再登録後の認証失敗回数)/(再登録後の認証成功回数+再登録後の認証失敗回数)を計算し、得られた値を再登録後の認証失敗率の推定値とする。ここで、得られた再登録後の認証失敗率は、再登録対象者を除いた利用者全員のログデータから得られる認証失敗率を表している。この再登録後の認証失敗率は、再登録対象者リストに追加された利用者がテンプレートの再登録を実施し、再登録対象者にならなかった利用者と同程度の認証精度を達成すると仮定すると、今後の運用時における認証失敗率の推定値とみなすことができる。この認証失敗率の推定値は、テンプレート再登録による精度改善効果を表しており、この値と再登録対象者リストを管理者へ提示することで、管理者がテンプレート再登録の実施や、再登録を実施する範囲を決定するサポートをすることが可能である。

次に、手順450の認証しきい値変更後の精度推定の詳細な処理手順を、図10を参照して説明する。

まず、iに0を代入する(手順1010)。

次に、利用者IDがiとなるデータに関して、認証しきい値毎認証失敗頻度テーブル1500を更新する(手順1020)。ここで、手順1020では、認証失敗頻度テーブル1300を参照し、利用者IDがiのときの各認証しきい値に対応する認証失敗回数を読み込み、当該認証失敗回数を認証しきい値毎認証失敗頻度テーブルの対応する認証しきい値の認証失敗回数に加算する。この処理を各利用者IDに関して行うことで、全ての利用者に関する認証しきい値毎の認証失敗回数を求めることができる。認証しきい値毎認証失敗頻度テーブル1500の詳細な内容については、図15を参照して後ほど説明する。

次に、iに1を足し(手順1030)、iと利用者IDの総数を比較する(手順1040)。手順1040において、iが利用者IDの総数以下となった場合は、手順1020に戻り、認証しきい値変更後の認証失敗率推定を継続する。

手順1040において、iが利用者IDの総数を超えた場合には、全ての利用者IDに対する処理が完了したとみなし、各認証しきい値における認証失敗率を算出し、それを管理者へ出力する(手順1050)。手順1050の各認証しきい値における認証失敗率は、計算対象の認証しきい値以下の認証しきい値における認証失敗回数の和を、全ての認証しきい値における認証失敗回数の和で除算することで求められる。例えば、認証しきい値が中のときの認証失敗率は、(認証しきい値が中、低、最低の3つのときの認証失敗回数の総和)/(認証しきい値が最高以上、最高、高、中、低、最低の6つのときの認証失敗回数の総和)で求められる。手順1050で得られた各認証しきい値における認証失敗率は、ある認証しきい値を設定し、ログデータに含まれる認証が行われた場合の認証失敗率を表している。よって、今後ログデータと同様の精度で運用が行われた場合、手順1050で得られた各認証しきい値における認証失敗率は、認証しきい値が変更された後の認証システムの認証失敗率の推定値となる。以上により、認証しきい値変更後の認証失敗率の推定が実現する。

ここで、図15を参照して、認証しきい値毎認証失敗頻度テーブル1500の内容について説明する。

符号1510は、認証しきい値を最高に設定しても認証失敗が発生しない程度の類似度を持つログデータの件数を示している。

符号1520は、認証しきい値を最高に設定したときに、認証失敗となるログデータの件数を示している。

符号1530〜1560についても同様に、各認証しきい値を設定したときに発生する認証失敗の件数を示している。

次に、手順460の精度改善施策選択の詳細な処理手順を、図11を参照して説明する。

まず、ログデータ格納部129に格納されているログデータの件数と、予め定義したログデータしきい値Lとを比較する(手順1120)。

ログデータの件数がL未満であった場合、精度の分析に十分なデータが揃っていないと判断し、精度改善施策にデータ不十分を示すフラグを代入し(手順1121)、精度改善施策の選択を終了する。

ログデータの件数がL以上であった場合、現状の認証失敗率(認証しきい値毎認証失敗頻度テーブル1500から、現状しきい値における認証失敗率を算出した値)と、予め定義した認証失敗率しきい値Aとを比較する(手順1130)。現状の認証失敗率がA未満であった場合、現状の認証失敗率が十分低いと判断し、精度改善施策に十分認証失敗率が低いことを示すフラグを代入し(手順1131)、精度改善施策の選択を終了する。

現状の認証失敗率がA以上であった場合は、再登録対象者割合と、予め定義した再登録割合しきい値Rとを比較する(手順1140)。ただし、再登録対象者割合は、登録されている全利用者に対する、手順970で出力された再登録対象者リストに含まれる人数の割合を示している。再登録対象者割合がR以下であった場合は、再登録対象の利用者の割合が十分少なく、テンプレート再登録が現実的であると判断し、精度改善施策にテンプレート再登録を示すフラグを代入し(手順1141)、精度改善施策の選択を終了する。

再登録対象者割合がRを超えた場合は、再登録対象の利用者の割合が多すぎ、テンプレート再登録が現実的でないと判断して、認証しきい値変更後の認証失敗率と、予め定義した認証失敗率に対するしきい値Pを比較する(手順1150)。ここで、認証しきい値変更後の認証失敗率は、各認証しきい値(例えば、最高、高、中、低、最低、の5つ)に対してそれぞれ定義される。手順1150で用いる認証しきい値としては、最も認証失敗率が小さくなるしきい値(本実施形態では最低)や、予め定義した許容可能な認証しきい値の範囲で最も小さいしきい値等を適用することが可能である。認証失敗率を最小化するためには認証しきい値を最小とするのが良いが、認証しきい値を下げた場合、本人以外の他人が認証に成功するリスクが高くなる。よって、認証しきい値をどこまで下げるかは、生体認証システムの適用先の安全性に対する要件次第で定義される。手順1150において、認証しきい値変更後の認証失敗率がP以下となった場合は、認証しきい値変更により十分な精度改善が実現可能と判断し、精度改善施策に認証しきい値変更を示すフラグを代入し(手順1151)、精度改善施策の選択を終了する。

手順1150において、認証しきい値変更後の認証失敗率がPを超えた場合は、認証しきい値を変更しても十分な精度改善が見込めないと判断し、精度改善施策に改善困難を示すフラグを代入し(手順1160)、精度改善施策の選択を終了する。この場合、今回精度改善施策の候補とした、テンプレート再登録と認証しきい値変更では大きな精度改善は見込めないので、生体認証システムのベンダが直接サポートを行い、原因を調査する必要がある。以上により、精度改善施策の選択が完了する。

次に、手順1141において精度改善施策としてテンプレート再登録が選択され、再登録対象者リストに含まれる利用者に対するテンプレート再登録を実施する際の手順を、図17を参照して説明する。

テンプレート再登録時には、まず利用者からIDを取得し(手順1710)、当該IDに対応するテンプレートをログデータから抽出する(手順1720)。ここで、テンプレート抽出は、ログデータ格納部129に格納されている認証ログテーブル1200から、利用者ID1260が利用者から取得したIDと等しいログをリストアップし、そのログに含まれるテンプレートを取得することで行う。

次に、利用者から再登録用の生体情報を取得し(手順1730)、当該生体情報に対して特徴抽出を行うことで、テンプレートを生成する(手順1740)。

次に、手順1740で生成した利用者のテンプレートと、手順1720で抽出したログデータ中のテンプレートとを、照合する(手順1750)。手順1750により、ログデータ中のテンプレートの数だけ、類似度が出力される。この類似度は、手順1740で生成したテンプレートを登録テンプレート、ログデータ中のテンプレートを認証テンプレートとみなしたときに、各認証時に算出される類似度に相当する。従って、当該類似度の頻度分布から、手順1740で生成したテンプレートを登録した場合どの程度の認証失敗率となるかが推定できる。

次に、手順1750で得られた類似度から、認証失敗率を推定する(手順1760)。手順1760における認証失敗率推定は、手順1750で得られた類似度に対して一定の認証しきい値を適用し、認証しきい値を下回る類似度の割合を求めることで行われる。なお、ログデータに含まれるテンプレートの数が十分でない場合には、類似度から類似度が従う確率分布を推定し、当該確率分布から認証失敗率を推定しても良い。

次に、手順1760で得られた認証失敗率と認証失敗しきい値Pを比較し(手順1770)、認証失敗率がP未満となったときに、手順1740で生成したテンプレートを登録テンプレート格納部128へ再登録して処理を終了する(手順1780)。手順1770において認証失敗率がP以上となった場合には、テンプレートの品質が十分ではないと判断し、テンプレート再登録を行わずに処理を終了する(手順1771)。これにより、ログデータに蓄積されたテンプレートに基づき再登録対象のテンプレートの品質を評価し、一定以上の品質を持つテンプレートのみを再登録することが可能となる。

図16は、第一の実施形態の生体認証システムにおける認証クライアント、認証サーバのハードウェア構成を示すブロック図である。

この図において、符号1601はCPU(Central Processing Unit)、符号1602はメモリ、符号1603はHDD(Hard Disk Drive)、符号1604は入力装置、符号1605は出力装置、符号1606は通信装置である。

CPU1601は認証クライアント110の特徴抽出部112、認証サーバ120のテンプレート照合部121、利用者ID推定部122、認証失敗頻度算出部123、再登録後認証失敗率推定部124、認証しきい値変更後認証失敗率推定部125、精度改善施策選択部126に対応するプログラムを実行する。メモリ1602は、認証クライアント110の特徴抽出部112、認証サーバ120のテンプレート照合部121、利用者ID推定部122、認証失敗頻度算出部123、再登録後認証失敗率推定部124、認証しきい値変更後認証失敗率推定部125、精度改善施策選択部126に対応するプログラムを格納する。これらのプログラムをCPU1601が実行することで、各々の処理が実現する。HDD1603は、認証サーバ120における登録テンプレート格納部128、ログデータ格納部129に相当する。各部が格納するデータは、HDD1603上のデータとして蓄積される。入力装置1604は、認証クライアント110における認証情報取得部111に相当する。認証情報取得部111では111では、利用者のID、および利用者の生体情報(指紋、静脈、虹彩、音声、筆跡等)を取得する。出力装置1605は、認証クライアント110における認証結果表示部113、認証サーバ120における精度改善施策表示部127に相当する。認証結果表示部113では、認証クライアントを操作する利用者またはオペレータに対して、認証が成功したか否かを、ディスプレイ等を通じて伝える。精度改善施策表示部127では、認証サーバ120の管理者に対して、サーバの管理画面を通じて精度改善施策に関する情報を提供する。通信装置1606は、認証クライアント110と認証サーバ120の間で、認証情報や認証結果を送受信する際に用いられる。 <第二の実施形態> 第二の実施形態は、1:1認証システムにおいて、テンプレート再登録後の認証失敗率や認証しきい値変更後の認証失敗率を求め、管理者へ提示するシステムである。第一の実施形態の1:N認証とは異なり、利用者は認証時に利用者IDを入力する。このため、認証結果に関わらず、全てのログデータには利用者IDが付与される。このため、第一の実施形態で行うID推定の処理は不要となる。

図3は、本発明の第二の実施形態の、1:1認証時の処理手順を示した図である。1:1認証時には、まず認証クライアント110で利用者から利用者IDを取得する(手順311)。

次に、利用者から生体情報を取得し(手順312)、当該生体情報に対して特徴抽出を行ってテンプレートを生成する(手順313)。

次に、手順311で取得した利用者IDと手順313で生成したテンプレートを、認証サーバ120へ送信する(手順314)。

認証サーバ120では、認証クライアント110から利用者IDとテンプレートを受信し(手順321)、当該利用者IDに対応する登録テンプレートを読み込む(手順322)。

次に、手順313で生成したテンプレートと手順322で読み込んだ登録テンプレートとを、1:1照合して類似度または非類似度を算出する(手順323)。

次に、当該類似度若しくは非類似度に対してしきい値処理を行い、類似度が認証しきい値を上回る、若しくは非類似度が認証しきい値を下回るとき、認証成功とする(手順324)。

次に、認証時に得られたデータをログデータとして、ログデータ格納部129へ追加する(手順325)。

次に、認証サーバ120から認証クライアント110へ、認証結果を送信する(手順326)。

認証クライアント110は、認証サーバ120より認証結果を受信し(手順315)、当該認証結果を、認証クライアントを操作している利用者若しくはオペレータへ表示する(手順316)。以上で、1:1認証が完了する。

本発明の第二の実施形態では、図3に示す1:1認証システムがある程度の期間運用された後、図4に示す手順を実施する。図4の詳細な処理手順は、第一の実施形態と同様である。本実施形態は1:1認証システムを対象としているため、ログデータ全件に利用者IDが付与されている。このため、手順410ID推定は不要となる。手順410ID推定以外の処理は、第一の実施形態と同様の処理を行うことで、一定期間のログデータを分析し、精度改善施策の提案を行うことが可能となる。

110・・・認証クライアント、111…認証情報取得部、112・・・特徴抽出部、113・・・認証結果表示部、120・・・認証サーバ120、121・・・テンプレート照合部、122・・・利用者ID推定部、123・・・認証失敗頻度算出部、124・・・再登録後認証失敗率推定部、125・・・認証しきい値変更後認証失敗率推定部、126・・・精度改善施策選択部、127・・・精度改善施策表示部、128・・・登録テンプレート格納部、129・・・ログデータ格納部。