WO2024257601A1 - 端末装置及び方法 - Google Patents

Abstract

本開示の端末装置は、認証部と、通信部と、検出部と、停止処理部と、を備える。認証部は、他の装置との通信を行うための認証処理を実行する。通信部は、認証に成功した場合に他の装置と通信を行う。検出部は、体内へ挿入された自装置の体外への抜出を検出する。停止処理部は、体外への抜出が検出された場合に、認証部による認証処理を停止させる。

Description

端末装置及び方法

　本開示は、端末装置及び方法に関する。

　近年、体内に医療器具やマイクロチップ等を埋め込んで、治療や個人の識別等を行う技術が知られている。また、例えば、体内に埋め込まれたＲＦＩＤタグを用いて、電子決済等を行う技術が広がりつつある。

特開２０２３－１８６８３号公報 特開２０１４－１７９１０５号公報

　ＲＦＩＤタグを用いた電子決済や個人識別では、ＲＦＩＤタグが記憶する識別情報を用いた認証が行われることで、なりすましが防止される。

　従来技術では、ＲＦＩＤタグが本人の体内に挿入されて使用されることが前提となっており、ＲＦＩＤタグが本人の体外に抜き出された場合について考慮されていない。体内に挿入されて使用される端末装置（例えば、ＲＦＩＤタグ）が本人の体内から抜き出された場合でも、不正に使用されないようにすることが望まれる。

　そこで、本開示では、体内に挿入されて使用される端末装置の不正使用を防止しうる仕組みを提供する。

　なお、上記課題又は目的は、本明細書に開示される複数の実施形態が解決しえ、又は達成しうる複数の課題又は目的の１つに過ぎない。

　本開示の端末装置は、認証部と、通信部と、検出部と、停止処理部と、を備える。認証部は、他の装置との通信を行うための認証処理を実行する。通信部は、前記認証処理に成功した場合に前記他の装置と通信を行う。検出部は、体内へ挿入された自装置の体外への抜出を検出する。停止処理部は、前記体外への前記抜出が検出された場合に、前記認証部による前記認証処理を停止させる。

端末装置の使用方法の一例について説明する図である。 本開示の提案技術に係る停止処理の一例を説明するための図である。 本開示の提案技術に係る再開処理の一例を説明するための図である。 本開示の実施形態に係る端末装置の機能構成例を示すブロック図である。 本開示の実施形態に係るＰＰＧセンサの一例を示す図である。 本開示の実施形態に係るＥＣＧセンサの一例を示す図である。 本開示の実施形態に係る通信装置の機能構成例を示すブロック図である。 本開示の実施形態に係る認証処理の流れの一例を示すシーケンス図である。 本開示の実施形態に係る第１の処理の流れの一例を示すフローチャートである。 本開示の実施形態に係る本人認証処理の流れの一例について示すフローチャートである。 本開示の実施形態に係る通信処理の流れの一例について示すフローチャートである。 本開示の実施形態に係るセンシング処理の流れの一例について示すフローチャートである。 本開示の実施形態に係る第２の処理の流れの一例を示すフローチャートである。

　以下に添付図面を参照しながら、本開示の実施形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。

　また、本明細書及び図面において、実施形態の類似する構成要素については、同一の符号の後に異なるアルファベット及び数字の少なくとも一方を付して区別する場合がある。ただし、類似する構成要素の各々を特に区別する必要がない場合、同一符号のみを付する。

　以下に説明される１又は複数の実施形態（実施例、変形例、適用例を含む）は、各々が独立に実施されることが可能である。一方で、以下に説明される複数の実施形態は少なくとも一部が他の実施形態の少なくとも一部と適宜組み合わせて実施されてもよい。これら複数の実施形態は、互いに異なる新規な特徴を含み得る。したがって、これら複数の実施形態は、互いに異なる目的又は課題を解決することに寄与し得、互いに異なる効果を奏し得る。

＜＜１．はじめに＞＞
＜１．１．課題＞
　上述したように、体内に挿入されたマイクロチップを用いて、個人識別や電子決済等を行う技術がある。このマイクロチップを本人の体内から抜き出し、例えば、他人の体内に再挿入することで、不正が行われる恐れがある。

　図１は、端末装置１０ａの使用方法の一例について説明する図である。図１の左図に示すように、端末装置１０ａは、ユーザＵ＿Ａの体内（図１では、腕や手の甲等）に挿入される。端末装置１０ａは、ユーザＵ＿Ａの体外に位置する通信装置２０ａと通信を行う。これにより、ユーザＵ＿Ａは、端末装置１０ａを用いた電子決済や個人識別等を行う。

　ここで、図１の中図に示すように、端末装置１０ａがユーザＵ＿Ａの体内から抜き出されたとする。端末装置１０ａは、抜き出されたことを検知しない。そのため、その後、図１の右図に示すように、ユーザＵ＿Ａとは異なるユーザＵ＿Ｂに端末装置１０ａが挿入されたとしても、端末装置１０ａは、通信装置２０ａと通信を行うことができる。

　このように、端末装置１０ａを体内から抜き出し、ユーザＵ＿Ｂに挿入することで、ユーザＵ＿ＢはユーザＵ＿Ａになりすますことができてしまう。このような端末装置１０ａの不正使用を防止することが望まれる。

＜１．２．提案技術の概要＞
　そこで、本開示の提案技術に係る端末装置は、自身が体内に挿入されたこと、及び、体内から抜き出されたことを検出し、体内から抜き出された場合は、自身が使用されないようにする。例えば、端末装置は、通信装置と通信を行うための認証処理を行う場合、この認証処理を行えないようにすることで、端末装置自身を使用できない状態とする。

　図２は、本開示の提案技術に係る停止処理の一例を説明するための図である。停止処理は、端末装置１０によって実行される。端末装置１０は、例えば、ユーザＵ＿Ａの体内に挿入された状態で通信装置２０と通信を行うインプランタブルデバイスである。

　図２の左図に示すように、端末装置１０は、通信装置２０と無線通信を行う。端末装置１０が、ＲＦＩＤ（Radio　Frequency　Identifier）タグを搭載している場合、通信装置２０は、例えば、ＩＣチップリーダ又はＲＦＩＤリーダ等の機能を有する。

　端末装置１０は、通信装置２０との無線通信に先立って、まず認証処理を実行する（ステップＳ１）。例えば、端末装置１０は、公開鍵暗号方式に基づく認証処理を実行する。あるいは、端末装置１０が、自身を識別するＩＤ（装置識別情報）を用いて通信装置２０との間で認証処理を実行してもよい。自身を識別するＩＤは、例えば、端末装置１０ごとに割り振られた装置固有のＩＤである。

　通信装置２０との認証処理が完了後、端末装置１０は、通信装置２０との間で通信処理を実行する（ステップＳ２）。この通信処理によって、例えば、端末装置１０は、通信装置２０との間で、電子決済やユーザ識別、センシングデータの送受信等の処理を行う。

　ここで、図２の中図に示すように、端末装置１０がユーザＵ＿Ａから抜き出されたとする。この場合、端末装置１０は、自身の抜出を検出する（ステップＳ３）。端末装置１０は、例えば、自身に搭載されるセンサのセンシング結果に応じて抜出を検出する。

　自身の抜出を検出した端末装置１０は、認証停止処理を実行する（ステップＳ４）。認証停止処理は、ステップＳ１の認証処理を行わないようにする処理である。例えば、端末装置１０は、ＣＰＵを停止したり、通信処理を停止したりすることで認証処理が行えないようにしうる。あるいは、端末装置１０は、自身が搭載する回路等を破壊することで、認証処理が行えないようにしてもよい。

　図２の右図に示すように、ユーザＵ＿Ａとは異なるユーザＵ＿Ｂに挿入されたとする。この場合、ユーザＵ＿Ｂに挿入された端末装置１０は、認証停止処理を実行しているため、通信装置２０との間で認証処理を実行できず、通信装置２０と通信を行うことができない。

　これにより、端末装置１０は、ユーザＵ＿Ｂによる不正使用を防止することができる。

　ここで、認証停止処理において、ＣＰＵを停止したり、通信処理を停止したりすることで認証処理が行えないようにした場合、端末装置１０は、ＣＰＵや通信処理の動作を再開することで、認証処理を再開することができる。

　図３は、本開示の提案技術に係る再開処理の一例を説明するための図である。再開処理は、停止処理を実行した後に、端末装置１０によって実行される。なお、図３の左図及び中図に示す処理は、図２の停止処理と同じであるため、説明を省略する。

　図３の右図に示すように、再び体内に挿入された端末装置１０は、本人認証処理を実行する（ステップＳ５）。例えば、端末装置１０は、所定の操作が行われたか否かに応じて、本人（ここではユーザＵ＿Ａ）に再挿入されたか否かを確認する。

　所定の操作として、例えば、ユーザＵ＿Ａからのパスワード入力や、ユーザＵ＿Ａの生体情報（指紋、脈拍等）による本人認証が挙げられる。あるいは、例えば、特殊なジグを用いて端末装置１０の環境状態（電磁界、温度、圧力等）を規定の状態にすることで、端末装置１０が認証処理を再開するようにしてもよい。

　本人認証処理によって、本人に再挿入されたことが確認されると、端末装置１０は、認証再開処理を実行する（ステップＳ６）。これにより、端末装置１０は、認証処理を再開する。

　このように、所定の操作が行われることで、端末装置１０は、正しいユーザＵ＿Ａに再挿入されたと判断し、認証処理を再開するようにしてもよい。認証処理を再開できるように行う認証停止処理は、復帰可停止処理、あるいは、可逆停止処理とも記載される。

　一方、例えば、端末装置１０が搭載する回路等を破壊することで、認証処理を行えないようにした場合、端末装置１０は、認証処理を再開することはできない。このように、認証処理を再開することができない、すなわち、一度抜き出すと端末装置１０の機能が無効になる（ワンタイム性）認証停止処理は、復帰不可停止処理、あるいは、不可逆停止処理とも記載される。

　復帰不可停止処理には、ソフトウェア的に認証を停止する処理と、ハードウェア的に認証を停止する処理とが含まれる。例えば、ソフトウェア的に復帰不可となるよう認証を停止する場合、端末装置１０は、プログラムやデータを消去する。また、例えば、ハードウェア的に復帰不可となるよう認証を停止する場合、端末装置１０は、例えば大電流を流すことで、回路の少なくとも一部を破壊する。あるいは、端末装置１０は、認証処理を行うハードウェアロジックのステートを、ステートマシンの遷移できないステートに移動させることで認証処理を停止してもよい。

　なお、上述した認証停止処理は一例である。端末装置１０は、体内からの抜出を検出した場合、自身の機能が無効になるよう動作すればよい。例えば、端末装置１０は、OneTimePROM（Programmable　Read　Only　Memory）等を用いて認証停止処理を実行してもよい。

　また、端末装置１０は、復帰可停止処理と復帰不可停止処理とを切り替えて動作してもよい。例えば、端末装置１０は、外部装置（ユーザＵ＿Ａや端末装置１０の管理者）からの指示や所定の条件（例えば、使用回数、使用時間、用途等）に応じて復帰可停止処理と復帰不可停止処理とを切り替えてもよい。

　抜出の検出時に復帰不可停止処理を実施することで、端末装置１０は、ユーザＵ＿Ａになりすます不正使用をより確実に防止することができる。これにより、端末装置１０は、インプラント時のワンタイム性を持つことができる。

　抜出の検出時に復帰可停止処理を実施することで、端末装置１０は、再度、ユーザＵ＿Ａに挿入されたときに、機能を再開させることができる。

＜＜２．装置構成例＞＞
＜２．１．端末装置の構成例＞
　図４は、本開示の実施形態に係る端末装置１０の機能構成例を示すブロック図である。なお、図４は、端末装置１０の機能を概念的に示すものであり、実施形態によって様々な態様をとりうる。

　図４の端末装置１０は、センサ部１１０と、通信部１２０と、バッテリー部１３０と、電源管理部１４０と、記憶部１５０と、制御部１６０と、を備える。

（センサ部１１０）
　センサ部１１０は、端末装置１０の周囲の状態をセンシングする。センサ部１１０は、制御部１６０からの制御に従ってセンシングを行う。

　センサ部１１０は、例えば、端末装置１０がユーザＵ＿Ａの体内に挿入された状態で、ユーザＵ＿Ａの生体情報をセンシングしうる。

　センサ部１１０は、例えばＰＰＧ（PhotoPlethysmoGraphy）センサ（拍動センサ）、ＥＣＧ（ElectroCardioGram）センサ、温度センサ、血糖センサ、及び、血圧センサ等、生体情報センサを含みうる。

　本実施形態に係る端末装置１０は、体内に挿入される。そのため、センサ部１１０の生体情報センサは、体内でセンシングを行うため、ノイズの影響を受けにくく、より高精度にセンシングを行うことができる。センサ部１１０の生体情報センサは、精度が高い、すなわちセンシング効率が高いため、消費電力を低く抑えることができる。

（ＰＰＧセンサ）
　ＰＰＧセンサは、ユーザＵ＿Ａの脈波信号を検出する生体情報センサである。ここで、脈波信号は、心臓の筋肉が一定のリズムで収縮すること（拍動、なお、単位時間の心臓における拍動回数を心拍数と呼ぶ）により、動脈を通じ全身に血液が送られて、動脈内壁に圧力の変化が生じ、体表面等に現れる動脈の拍動による波形のことである。

　ＰＰＧセンサは、脈波信号を取得するために、ユーザの測定部位内の血管に光を照射し、対象ユーザの血管中を移動する物質や静止している生体組織で散乱された光を検出する。

　照射した光は血管中の赤血球により吸収されることから、光の吸収量は、測定部位内の血管に流れる血液量に比例する。従って、ＰＰＧセンサは、散乱された光の強度を検出することにより流れる血液量の変化を知ることができる。さらに、ＰＰＧセンサは、この血流量の変化から、拍動の波形、すなわち、脈波信号を検出することができる。なお、このような方法は、光電容積脈波（ＰＰＧ）法と呼ばれる。

　図５は、本開示の実施形態に係るＰＰＧセンサの一例を示す図である。ＰＰＧセンサは、血管ＢＶに光を照射する光源部１１１（第１のセンサの一例）と、血管で散乱された光を受光する受光部１１２（第２のセンサの一例）を備える。図５の例では、ＰＰＧセンサは、赤色光を照射する赤色光源部１１１＿Ｒと、赤外光を照射する赤外光源部１１１＿Ｉと、を含む。

　また、図５に示すように、光源部１１１は、端末装置１０の一端部１１に配置される。受光部１１２は、端末装置１０の他端部１２に配置される。端末装置１０の一端部１１及び他端部１２は、互いに対向する端部である。

　端末装置１０は、皮膚下等の体内に挿入されて使用されるため、小型であると考えられる。例えば、端末装置１０は、筒状や平板状等の形状を有しうる。このように、インプランタブルデバイスである端末装置１０の形状は、制限される可能性がある。

　このように、例えば筒状や平板状等、端末装置１０の形状が制限される場合でも、光源部１１１及び受光部１１２を端末装置１０の両端に配置することで、センサ部１１０のＰＰＧセンサは、光源部１１１及び受光部１１２のクロストークを抑えることができる。これにより、センサ部１１０のＰＰＧセンサは、より高精度に生体情報をセンシングすることができる。

（ＥＣＧセンサ）
　ＥＣＧセンサは、ユーザＵ＿Ａの心電図を検出するセンサである。ＥＣＧセンサは、複数の電極を介してユーザＵ＿Ａの心電図を検出する。ＥＣＧセンサは、複数の電極の電位差によって心拍を示す信号を検出する。

　図６は、本開示の実施形態に係るＥＣＧセンサの一例を示す図である。図６に示すＥＣＧセンサは、電極１１３、１１４（第３のセンサ、第４のセンサの一例）を備える。図６のＥＣＧセンサは２つの電極１１３、１１４を備えるが、ＥＣＧセンサが備える電極の数は２つに限定されず３つ以上であってもよい。

　電極１１３は、例えば、電位電極であり、電極１１４は、グランド（ＧＮＤ）電極である。ＥＣＧセンサは、電極１１３、１１４の電位差に応じてユーザＵ＿Ａの心電図を検出する。

　また、図６に示すように、電極１１３は、端末装置１０の第１の面１３に配置される。電極１１４は、端末装置１０の第２の面１４に配置される。端末装置１０の第１の面１３及び第２の面１４は、互いに対向する。また、電極１１３、１１４は、それぞれ端末装置１０の両端部に配置される。

　このように、電極１１３、１１４を端末装置１０の対向する第１の面１３、第２の面１４それぞれに配置することで、ＥＣＧセンサは、電極１１３、１１４を離して配置することができる。これにより、例えば筒状や平板状等、端末装置１０の形状が制限される場合でも、ＥＣＧセンサは、心電図の検出精度をより向上させることができる。

　また、センサ部１１０は、上述した生体情報センサに加え、端末装置１０の挿入及び抜出の少なくとも一方を検出する検出センサを含む。検出センサとして、例えば、静電容量センサ、インピーダンスセンサ、温度センサ、湿度センサ、圧力センサ、超音波センサ、及び、歪みセンサ等が挙げられる。

　センサ部１１０は、センシング結果（生体情報センサのセンシング結果及び検出センサのセンシング結果）を、制御部１６０に出力する。

（通信部１２０）
　通信部１２０は、通信装置２０と通信を行う無線通信処理部である。通信部１２０は、通信装置２０から電力供給を受けて動作してもよく（パッシブタイプ）、あるいは、バッテリー部１３０から電力供給を受けて動作してもよい（アクティブタイプ）。通信部１２０は、例えば整流器等の回路を有しうる。

　通信部１２０は、アンテナ１２１を備える。通信部１２０は、例えば、ＮＦＣ（Near　Field　Communication）やBluetooth（登録商標）等の近距離無線通信を行いうる。通信部１２０が複数の無線アクセス方式に対応する場合には、通信部１２０を構成する各部は、無線アクセス方式毎に個別に構成されてもよい。

（バッテリー部１３０）
　バッテリー部１３０は、端末装置１０の各部に電力を供給する。バッテリー部１３０は、電源管理部１４０の制御に従って、充電又は放電を行う。なお、端末装置１０は、自身が駆動するための電源を備えていればよく、バッテリー部１３０の代わりにコンデンサ等を備えていてもよい。

（電源管理部１４０）
　電源管理部１４０は、バッテリー部１３０への充電又はバッテリー部１３０からの放電を管理する。例えば、電源管理部１４０は、アンテナ１４１を介して外部装置（図示省略）から電力の供給を受けると、当該電力を用いてバッテリー部１３０を充電する。また、電源管理部１４０は、バッテリー部１３０の電力を端末装置１０の各部に供給する。

　なお、図４では、通信を行うアンテナ１２１と、ワイヤレス充電を行うアンテナ１４１と、が異なる場合を示しているが、端末装置１０は、１つのアンテナで通信及びワイヤレス充電の両方を行うようにしてもよい。

（記憶部１５０）
　記憶部１５０は、ＤＲＡＭ（Dynamic　Random　Access　Memory）、ＳＲＡＭ（Static　Random　Access　Memory）、フラッシュメモリ等のデータ読み書き可能な記憶装置である。記憶部１５０は、例えば、センサ部１１０によるセンシング結果等を記憶する。

（制御部１６０）
　制御部１６０は、端末装置１０の各部を制御するコントローラ（controller）である。制御部１６０は、例えば、ＣＰＵ（Central　Processing　Unit）またはＭＰＵ（Micro　Processing　Unit）等のプロセッサによって実現されてもよい。詳細には、制御部１６０は、端末装置１０の内部の記憶装置に記憶されている各種プログラムを、プロセッサがＲＡＭ（Random　Access　Memory）等を作業領域として実行することによって実現されてもよい。

　制御部１６０は、ＡＳＩＣ（Application　Specific　Integrated　Circuit）、またはＦＰＧＡ（Field　Programmable　Gate　Array）等の集積回路によって実現されてもよい。また、制御部１６０は、ＧＰＵ（Graphics　Processing　Unit）により実現されてもよい。ＣＰＵ、ＭＰＵ、ＡＳＩＣ、ＦＰＧＡ、及びＧＰＵは何れもコントローラとみなすことができる。なお、制御部１６０は、複数の物理的に分離された物体により構成されていてもよい。例えば、制御部１６０は、複数の半導体チップにより構成されていてもよい。

　制御部１６０は、センサ制御部１６１と、検出部１６２と、ＩＤ認証部１６３と、通信制御部１６４と、停止処理部１６５と、本人認証部１６６と、再開処理部１６７と、管理部１６８と、を備える。

　制御部１６０を構成する各ブロック（センサ制御部１６１～管理部１６８）はそれぞれ制御部１６０の機能を示す機能ブロックである。これら機能ブロックはソフトウェアブロックであってもよいし、ハードウェアブロックであってもよい。

　例えば、上述の機能ブロックが、それぞれ、ソフトウェア（マイクロプログラムを含む）で実現される１つのソフトウェアモジュールであってもよいし、半導体チップ（ダイ）上の１つの回路ブロックであってもよい。勿論、各機能ブロックがそれぞれ１つのプロセッサ又は１つの集積回路であってもよい。制御部１６０は上述の機能ブロックとは異なる機能単位で構成されていてもよい。機能ブロックの構成方法は任意である。

（センサ制御部１６１）
　センサ制御部１６１は、センサ部１１０を制御してセンシング結果を取得する。例えば、センサ制御部１６１は、端末装置１０が通信装置２０から管理設定を受信した後に、挿入検出条件を満たす場合、例えば、センサ部１１０の検出センサを制御して、センシング結果を取得する。センサ制御部１６１は、取得したセンシング結果を検出部１６２に出力する。

　通信装置２０は、例えば、端末装置１０をユーザＵ＿Ａの体内に挿入する準備として管理設定を送信する。したがって、端末装置１０は、管理設定を受信すると、ユーザＵ＿Ａの体内に挿入されるとして、体内への挿入を待機する。具体的に、センサ制御部１６１は、挿入検出条件を満たす場合に、端末装置１０の体内への挿入を検出するためのセンシングを行うようにセンサ部１１０を制御する。

　ここで、挿入検出条件は、管理設定を受信後に経過した時間や端末装置１０が動いたか否か等を含みうる。センサ制御部１６１は、管理設定を受信してから所定時間経過後、又は、端末装置１０が動いた場合に、端末装置１０の体内への挿入を検出するためのセンシングを行うようにセンサ部１１０を制御する。

　また、端末装置１０が体内に挿入されると、センサ制御部１６１は、所定周期で、センサ部１１０の生体情報センサを制御して、センシング結果を取得する。センサ制御部１６１は、取得したセンシング結果を記憶部１５０に記憶させる。

　また、検出部１６２が体内への挿入を検出した場合、センサ制御部１６１は、センサ部１１０の生体情報センサを制御して、センシング結果を取得する。センサ制御部１６１は、取得したセンシング結果を本人認証部１６６に出力する。

（検出部１６２）
　検出部１６２は、センサ部１１０のセンシング結果に応じて、端末装置１０の体内への挿入、及び、体外への抜出の少なくとも一方を検出する。例えば、センサ部１１０の温度センサのセンシング結果を用いる場合、検出部１６２は、温度センサが検出した温度（体温／環境温度）の変化に応じて、挿入／抜出を検出する。このように、検出部１６２は、センサ部１１０のセンシング結果の変化に応じて挿入／抜出を検出する。

（ＩＤ認証部１６３）
　ＩＤ認証部１６３は、通信部１２０を用いた通信処理に先立って、通信装置２０との間で認証処理を行う。ＩＤ認証部１６３は、例えば、公開鍵暗号技術を用いた認証処理を通信部１２０との間で行う。あるいは、ＩＤ認証部１６３は、予め記憶する端末装置１０の識別情報（装置ＩＤ）を用いて通信装置２０との間で認証処理を実行してもよい。認証処理の一例については、図８を用いて後述する。

　ＩＤ認証部１６３は、認証処理の結果（認証成功／失敗）を通信装置２０から取得し、通信制御部１６４に出力する。

（通信制御部１６４）
　通信制御部１６４は、例えば、通信部１２０を制御して無線通信を行う。通信制御部１６４は、例えば、ＩＤ認証部１６３による認証処理の結果、認証に成功した場合、通信相手（例えば通信装置２０）と通信を行う。

　通信制御部１６４は、例えば、センサ部１１０のセンシング結果（例えば、生体情報など）を通信装置２０に送信する。また、通信制御部１６４は、通信装置２０との間で電子決済処理等を実行しうる。また、通信制御部１６４は、管理設定等の制御情報を通信装置２０から取得する。

（停止処理部１６５）
　停止処理部１６５は、検出部１６２が端末装置１０の抜出を検出した場合、認証停止処理を実行する。上述したように、認証停止処理には、端末装置１０の機能を復帰させることができる復帰可停止処理と、端末装置１０の機能の復帰ができない（認証の再開ができない）復帰不可停止処理とがある。

（復帰可停止処理）
　復帰可停止処理の一例として、制御部１６０の動作停止が挙げられる。例えば、停止処理部１６５は、電源管理部１４０に対して、制御部１６０への電力供給を停止させる。あるいは、停止処理部１６５は、制御部１６０に対して動作停止を指示する。なお、停止処理部１６５は、復帰に使用する制御部１６０の一部の機能（後述する検出部１６２、本人認証部１６６及び再開処理部１６７）が停止しないようにしてもよい。

　復帰可停止処理の他の例として、通信部１２０（又は通信制御部１６４）の動作停止が挙げられる。例えば、停止処理部１６５は、電源管理部１４０に対して、通信部１２０（又は通信制御部１６４）への電力供給を停止させる。あるいは、停止処理部１６５は、通信部１２０（又は通信制御部１６４）に対して動作停止を指示する。

　復帰可停止処理の他の例として、例えば、記憶部１５０からのプログラムやデータ等の読み出しを禁止する処理が挙げられる。例えば、停止処理部１６５は、認証処理を行うプログラムや端末装置１０の識別情報を記憶する記憶部１５０からこれらのプログラムや識別情報等を読み出しできないようにする。あるいは、停止処理部１６５は、記憶部１５０に対して読み出しを停止するよう指示するようにしてもよい。

（復帰不可停止処理）
　復帰不可停止処理の一例として、ソフトウェア的に認証処理を停止させる処理が挙げられる。ソフトウェア的に認証処理を停止させるために、停止処理部１６５は、例えば、認証処理に関するプログラムや通信処理のプログラムなどの端末装置１０を動作させるプログラムを削除する。あるいは、停止処理部１６５は、端末装置１０の識別情報など認証処理に使用するデータや通信処理に使用するデータなどの端末装置１０をどうさせるために使用するデータを削除してもよい。

　復帰不可停止処理の一例として、ハードウェア的に認証処理を停止させる処理が挙げられる。ハードウェア的に認証処理を停止させるために、停止処理部１６５は、例えば、回路等を物理的に破壊する。停止処理部１６５は、高電圧をかけて回路の配線を焼き切ることで回路を破壊する。あるいは、停止処理部１６５は、高電圧をかけて回路の絶縁膜を破壊するようにしてもよい。

　また、停止処理部１６５は、ハードウェアロジックにより、ステートマシンの遷移できないステートに移動させることで、その後の動作（例えば、認証処理や通信処理等の動作）を行えないようにしうる。

　また、停止処理部１６５は、OneTimePROMに対してDisableフラグを書き込むことにより、その後、OneTimePROMを変更できないようにすることで、ハードウェア的に認証処理を停止させうる。Disableのフラグを書く方法として、例えば、高電圧により配線を焼き切る方法と絶縁膜を破壊する方法とが挙げられる。

　あるいは、ＲＯＭ（Read　Only　Memory）に電気的にデータを書き込むことができるＥＥＰＲＯＭ（Electrically　Erasable　Programmable　Read　Only　Memory）を記憶部１５０として用いるようにしてもよい。この場合、停止処理部１６５は、通常では使用しない高電圧を使用しDisableフラグを解除することで、認証処理を停止させる。

　このように、停止処理部１６５が、復帰不可停止処理を実行することで、端末装置１０は一度体外に抜出されると、再使用ができなくなる。端末装置１０は体内に挿入されて使用されるので、衛生面を考慮し、使用回数を１回に制限するようにしてもよい。

　端末装置１０の筐体をガラスなど殺菌可能な材料を用いて構成することで、端末装置１０は、再度、ユーザＵ＿Ａの体内に挿入されて使用されてもよい。このような場合、停止処理部１６５は、復帰可停止処理を行う。

　あるいは、後述するように、端末装置１０の状態を完全にリセットすることで、端末装置１０がユーザＵ＿Ａとは異なるユーザＵ＿Ｂに挿入されて使用されるようにしてもよい。このように、端末装置１０を異なるユーザＵ＿Ｂに再利用する場合、例えば専門の処理会社等が端末装置１０に対して専用の再利用処理を行うなど、再利用のための処理（例えば殺菌処理やリセット処理等）を確実に行うことが求められる。

　また、停止処理部１６５は、記憶部１５０が記憶するユーザＵ＿Ａに関する個人情報が記憶部１５０から読み出されないようにする。個人情報として、例えば、センサ部１１０によるセンシング結果、決済履歴など通信装置２０との通信履歴などが挙げられる。

　このように、停止処理部１６５が、記憶部１５０にアクセスできないようにすることで、個人情報の不正利用を防止することができる。

　端末装置１０の抜出を検出すると、停止処理部１６５が認証停止処理等を実行することで、端末装置１０のセキュリティをより強化することができる。

（本人認証部１６６）
　本人認証部１６６（装着認証部の一例）は、端末装置１０の挿入先がユーザＵ＿Ａであることを認証する本人認証処理を実行する。本人認証部１６６は、検出部１６２が端末装置１０の挿入を検出した場合に、本人認証処理を実行する。あるいは、本人認証部１６６は、ＩＤ認証部１６３による認証処理が実行された場合に、本人認証処理を実行するようにしてもよい。

　本人認証部１６６は、本人を識別するための識別情報（以下、本人情報又は本人ＩＤとも記載する）と、判定情報と、を比較することで本人認証処理を実行する。

　本人情報は、例えばパスワードなど、予めユーザＵ＿Ａ等が決定した情報や、ユーザＵ＿Ａの特徴情報である。ユーザＵ＿Ａの特徴情報は、例えば、ユーザＵ＿Ａの生体情報から抽出した特徴量に関する情報を含みうる。あるいは、本人情報は、特定の環境状態を指定した情報であってもよい。

　ユーザＵ＿Ａの特徴情報は、通信装置２０から取得されてもよく、センサ部１１０によるセンシング結果に基づき本人認証部１６６によって生成されてもよい。

　本人認証部１６６は、本人認証処理を行うための判定情報を通信装置２０から取得する。あるいは、本人認証部１６６は、センサ部１１０によるセンシング結果に応じて判定情報を生成することで、判定情報を取得してもよい。

　例えば、本人情報がパスワードである場合、本人認証部１６６は、通信装置２０から判定情報としてパスワードを取得する。

　本人情報が通信装置２０のセンサを使用した生体情報（例えば指紋、虹彩、顔等）から抽出した特徴情報であるとする。この場合、本人認証部１６６は、ユーザＵ＿Ａの生体情報、又は、この生体情報から抽出した情報を判定情報として通信装置２０から取得する。

　このように、外部装置（例えば、通信装置２０）のセンサ等を使用して特徴情報を取得する場合、本人認証処理が実行される場所が、特徴情報を取得可能な外部装置がある場所に限定される。そのため、端末装置１０は、本人認証処理のセキュリティ性をより向上させることができる。

　本人情報がセンサ部１１０によるセンシング結果である生体情報（脈拍、心拍、血圧、血糖等）に基づき本人認証部１６６によって生成された特徴情報であるとする。この場合、本人認証部１６６は、センサ部１１０からセンシング結果を取得し、センシング結果から判定情報（特徴情報）を生成する。脈拍や心拍は、例えば、ＰＰＧやＥＣＧセンサ等から取得されうる。血圧は、圧力センサや血流速センサから取得されうる。血糖は、体液をチェックしうるセンサから取得されうる。

　このように、センサ部１１０から本人情報を生成することで、本人認証部１６６は、外部装置（例えば、通信装置２０）との通信を行わずに、本人認証処理を実行することができる。これにより、本人認証部１６６は、生体認証時の情報漏洩をより防止することができる。

　なお、脈拍、心拍、血圧、血糖などセンサ部１１０によるセンシング結果から取得できる生体情報から生成される本人情報であっても、端末装置１０は、当該本人情報を通信装置２０から取得してもよい。この場合、端末装置１０は、通信装置２０又は外部装置等が取得した生成情報、又は、この生成情報から抽出された特徴情報を、本人情報として通信装置２０を介して取得する。

　このように、生体情報から生成される本人情報を通信装置２０から取得することで、本人認証部１６６は、センサ部１１０のセンシング結果から本人情報を生成しなくてもよい。そのため、例えば、端末装置１０が初めて体内に挿入されたタイミングなど、本人認証部１６６が本人情報を生成できない場合でも本人認証処理を実行することができる。

　通信装置２０を介して本人情報及び判定情報の少なくとも一方を取得する場合、端末装置１０と通信装置２０との間で通信が行われる。この通信には、暗号化されたセキュアなプロトコルが用いられることが望ましい。これにより、本人認証処理のセキュリティ性をより向上させることができる。

　なお、ここでは、本人認証部１６６が、本人情報及び判定情報の比較を行うとしたが、この比較を外部装置（例えば、通信装置２０）が行うようにしてもよい。この場合、通信装置２０は、本人情報を予め保持しており、ユーザＵ＿Ａから取得した判定情報に基づき、これらの比較を行う。本人認証部１６６は、通信装置２０から比較結果を取得し、この比較結果に応じて本人認証を行ってもよい。このように、本人認証処理の少なくとも一部が外部装置（例えば、通信装置２０）によって実行されてもよい。

　本人情報が特定の環境状態を指定した情報（電磁界、温度、圧力等に関する情報）であるとする。この場合、本人認証部１６６は、センサ部１１０から取得したセンシング結果に基づき、判定情報を生成する。なお、特定の環境状態は、例えば、特殊なジグを用いて設定されうる。このように、ユーザＵ＿Ａは、専用機器を使用して本人認証を行いうる。

（再開処理部１６７）
　再開処理部１６７は、認証処理が停止されている状態で、検出部１６２が端末装置１０の挿入を検出した場合に、本人認証部１６６による本人認証の結果に応じて認証処理を再開させる認証再開処理を実行する。

　あるいは、再開処理部１６７は、通信装置２０（外部装置の一例）から再開処理を実行するよう指示を受けた場合に、本人認証部１６６による本人認証の結果に応じて認証処理を再開させる認証再開処理を実行する。

　このように、再開処理部１６７は、端末装置１０の機能の一部（例えば、ＩＤ認証機能）が制限されている場合に、制限されている機能を復帰させる処理を実行する。

　再開処理部１６７は、本人認証に成功した場合、正しいユーザＵ＿Ａに再挿入されたとして、認証処理を再開する認証再開処理を実行する。本人認証に失敗した場合、再開処理部１６７は、認証再開処理を実行しない。あるいは、本人認証に失敗した場合、不正ユーザＵ＿Ｂに挿入されたとして、再開処理部１６７が停止処理部１６５に復帰不可停止処理を実行するよう要求するようにしてもよい。

　再開処理部１６７は、認証再開処理として、例えば、制御部１６０や通信部１２０に電力を供給するよう電源管理部１４０に通知する。あるいは、再開処理部１６７は、記憶部１５０に対して読み出しを許可するように通知する。

（管理部１６８）
　管理部１６８は、制御部１６０の動作を管理する。例えば、管理部１６８は、所定の条件に応じて、停止処理部１６５が行う認証停止処理が、復帰可停止処理であるか復帰不可停止処理であるかを切り替える。例えば、管理部１６８は、通信装置２０からの指示、端末装置１０の使用時間、使用回数、用途等に応じて復帰可停止処理及び復帰不可停止処理を切り替える。

　また、管理部１６８は、端末装置１０のリセットを行うリセット処理を実行しうる。このリセット処理は、復帰不可停止処理と同時に行われてもよく、復帰不可停止処理とは別に行われてもよい。リセット処理には、端末装置１０の識別情報、本人情報、及び、個人情報等の削除処理が含まれる。あるいは、リセット処理に、端末装置１０が実行するプログラム等の削除処理が含まれていてもよい。

　管理部１６８は、通信装置２０からの指示に従いリセット処理を実行する。このとき、管理部１６８は、通信装置２０に対してパスワードの入力など、リセット処理を実行するための認証を行うよう要求しうる。このパスワードは、管理者権限を有するユーザのマスターパスワードであってもよい。

＜２．２．通信装置の構成例＞
　通信装置２０（他の装置の一例）は、端末装置１０と通信を行う情報処理装置である。通信装置２０は、ＲＦＩＤタグの読み取り装置であってもよく、スマートフォンやタブレット端末などの携帯端末、ＰＣ等であってもよい。

　図７は、本開示の実施形態に係る通信装置２０の機能構成例を示すブロック図である。なお、図７は、通信装置２０の機能を概念的に示すものであり、実施形態によって様々な態様をとりうる。

　図７の通信装置２０は、通信部２１０と、電源管理部２２０と、記憶部２３０と、制御部２４０と、を備える。

（通信部２１０）
　通信部２１０は、端末装置１０と通信を行う無線通信処理部である。通信部２１０は、アンテナ２１１を備える。通信部２１０は、例えば、ＮＦＣ（Near　Field　Communication）やBluetooth（登録商標）等の近距離無線通信を行いうる。通信部２１０が複数の無線アクセス方式に対応する場合には、通信部２１０を構成する各部は、無線アクセス方式毎に個別に構成されてもよい。

（電源管理部２２０）
　電源管理部２２０は、端末装置１０に電力を供給する。電源管理部２２０は、端末装置１０のバッテリー部１３０を充電するための電力をアンテナ２２１を介して送信する。

　なお、図７では、通信を行うアンテナ２１１と、ワイヤレス充電を行うアンテナ２２１と、が異なる場合を示しているが、通信装置２０は、１つのアンテナで通信及びワイヤレス充電の両方を行うようにしてもよい。

（記憶部２３０）
　記憶部２３０は、ＤＲＡＭ、ＳＲＡＭ、フラッシュメモリ、ハードディスク等のデータ読み書き可能な記憶装置である。記憶部２３０は、例えば、端末装置１０から取得したセンシング結果等を記憶する。

（制御部２４０）
　制御部２４０は、通信装置２０の各部を制御するコントローラ（controller）である。制御部２４０は、例えば、ＣＰＵまたはＭＰＵ等のプロセッサによって実現されてもよい。詳細には、制御部２４０は、通信装置２０の内部の記憶装置に記憶されている各種プログラムを、プロセッサがＲＡＭ（Random　Access　Memory）等を作業領域として実行することによって実現されてもよい。

　制御部２４０は、ＡＳＩＣ、またはＦＰＧＡ等の集積回路によって実現されてもよい。また、制御部２４０は、ＧＰＵにより実現されてもよい。ＣＰＵ、ＭＰＵ、ＡＳＩＣ、ＦＰＧＡ、及びＧＰＵは何れもコントローラとみなすことができる。なお、制御部２４０は、複数の物理的に分離された物体により構成されていてもよい。例えば、制御部２４０は、複数の半導体チップにより構成されていてもよい。

　制御部２４０は、管理設定部２４１と、ＩＤ認証部２４２と、送受信部２４３と、切替指示部２４４と、リセット指示部２４５と、再開指示部２４６と、を備える。

　制御部２４０を構成する各ブロック（管理設定部２４１～再開指示部２４６）はそれぞれ制御部２４０の機能を示す機能ブロックである。これら機能ブロックはソフトウェアブロックであってもよいし、ハードウェアブロックであってもよい。

　例えば、上述の機能ブロックが、それぞれ、ソフトウェア（マイクロプログラムを含む）で実現される１つのソフトウェアモジュールであってもよいし、半導体チップ（ダイ）上の１つの回路ブロックであってもよい。勿論、各機能ブロックがそれぞれ１つのプロセッサ又は１つの集積回路であってもよい。制御部１６０は上述の機能ブロックとは異なる機能単位で構成されていてもよい。機能ブロックの構成方法は任意である。

（管理設定部２４１）
　管理設定部２４１は、端末装置１０に管理設定を送信することで、端末装置１０の設定を行う。管理設定部２４１は、端末装置１０がユーザＵ＿Ａの体内に挿入される前に管理設定を送信することで、端末装置１０の初期設定を行う。管理設定は、例えば、端末装置１０とのペアリングを行うための情報やパスワード等の本人情報を含みうる。

　これにより、必要に応じて、端末装置１０と通信装置２０との間でペアリング処理が実行されたり、本人情報が設定されたりする。

（ＩＤ認証部２４２）
　ＩＤ認証部２４２は、通信部２１０を用いた通信処理に先立って、端末装置１０が正しい通信相手であるか否かの認証を行う。ＩＤ認証部２４２は、例えば、予め記憶する端末装置１０の識別情報（装置ＩＤ）を用いて端末装置１０との間で認証処理を実行する。

（送受信部２４３）
　送受信部２４３は、通信部２１０を介して端末装置１０トの間でデータの送受信を行う。送受信部２４３は、例えば、端末装置１０からセンサ部１１０によるセンシング結果を取得する。また、送受信部２４３は、例えば、電子決済に必要な情報など、端末装置１０との間で行われる処理に用いられるデータを取得する。

　また、送受信部２４３は、残高情報や決済履歴など、端末装置１０との間で行われた処理の結果に関する情報を端末装置１０に送信しうる。このように、送受信部２４３は、端末装置１０との間でデータのやり取りを行う。

（切替指示部２４４）
　切替指示部２４４は、復帰可停止処理及び復帰不可停止処理の切り替えを端末装置１０に指示する。切替指示部２４４は、管理者又はユーザＵ＿Ａからの指示、端末装置１０の使用時間、使用回数、用途等に応じて復帰可停止処理及び復帰不可停止処理を切り替える。

　切替指示部２４４は、例えば、使用時間が一定時間を超えた場合、又は、使用回数が一定回数を超えた場合、復帰不可停止処理を実行するよう端末装置１０に指示する。また、切替指示部２４４は、実験や試用の場合は復帰可停止処理を実行し、実使用の場合は復帰不可停止処理に切り替えるよう、端末装置１０に指示する。

（リセット指示部２４５）
　リセット指示部２４５は、端末装置１０に対してリセット処理の実行を指示する。リセット指示部２４５は、例えば管理者やユーザＵ＿Ａからの指示に従って、リセット処理の実行を端末装置１０に通知する。

（再開指示部２４６）
　再開指示部２４６は、端末装置１０に対して、認証再開処理の実行を指示する。再開指示部２４６は、例えば、管理者やユーザＵ＿Ａからの指示に従い、認証再開処理の実行要求を端末装置１０に通知する。

＜＜３．情報処理例＞＞
＜３．１．認証処理例＞
　端末装置１０と通信装置２０とが通信を行う際に、この通信に先立って実行される認証処理について説明する。認証処理は、端末装置１０と通信装置２０とが通信を行うために実行される。

　図８は、本開示の実施形態に係る認証処理の流れの一例を示すシーケンス図である。ここでは、公開鍵暗号技術を用いた認証処理の概要について説明する。

　図８に示すように、通信装置２０は、認証処理に使用する乱数を生成する（ステップＳ１１）。通信装置２０は、生成した乱数を含む乱数データを端末装置１０に送信する（ステップＳ１２）。

　乱数データを受信した端末装置１０は、この乱数データ及び秘密鍵を用いて署名データを生成する署名処理を実行する（ステップＳ１３）。秘密鍵は、例えば、端末装置１０の識別情報（装置ＩＤ）に関連する情報である。端末装置１０は、例えば、乱数データを、秘密鍵を用いて暗号化して署名データを生成する。

　端末装置１０は生成した署名データを通信装置２０に送信する（ステップＳ１４）。署名データを受信した通信装置２０は、公開鍵に関する公開鍵情報を含む証明書を端末装置１０に対して要求する（ステップＳ１５）。

　端末装置１０は要求に応じて公開鍵情報を含む証明書を通信装置２０に送信する（ステップＳ１６）。証明書を受け取った通信装置２０は、署名データを検証する（ステップＳ１７）。例えば、通信装置２０は、証明書に含まれる公開鍵情報を用いて署名データを復号する。通信装置２０は、例えば、署名データの復号データに基づき、端末装置１０が、割り当てられた秘密鍵を保持しているか否かを検証する。

　端末装置１０が割り当てられた秘密鍵を保持している、換言すると、端末装置１０が正しい通信相手であると検証された場合、通信装置２０は、認証に成功したと判定する。一方、端末装置１０が割り当てられた秘密鍵を保持していない、換言すると、端末装置１０が正しい通信相手でないと検証された場合、通信装置２０は、認証に失敗したと判定する。

　認証処理の結果は、例えば通信装置２０から端末装置１０に通知される。認証処理後、例えば、通信装置２０と端末装置１０との間で通信（図示省略）が実行される。

＜３．２．第１の処理例＞
　認証停止処理が復帰不可停止処理である場合に端末装置１０によって実行される第１の処理について説明する。

　図９は、本開示の実施形態に係る第１の処理の流れの一例を示すフローチャートである。

　端末装置１０は、通信装置２０から管理設定を受信する（ステップＳ１０１）。管理設定に基づき、端末装置１０は、通信装置２０とペアリング処理を行ったり、パスワードや特徴情報等を含む本人情報の設定を行ったりしうる。

　次に、端末装置１０は、挿入検出条件を満たすか否かを判定する（ステップＳ１０２）。挿入検出条件は、管理設定を受信してからの経過時間や、端末装置１０の動きを含む。すなわち、端末装置１０は、管理設定を受信してから所定の時間が経過した場合や、端末装置１０が所定値以上動いた場合に、挿入検出条件を満たすと判定する。

　挿入検出条件を満たさない場合（ステップＳ１０２；Ｎｏ）、端末装置１０は、ステップＳ１０２に戻る。

　一方、挿入検出条件を満たす場合（ステップＳ１０２；Ｙｅｓ）、端末装置１０は、体内挿入を検出したか否かを判定する（ステップＳ１０３）。端末装置１０は、センサ部１１０のセンシング結果に基づき、自身がユーザＵ＿Ａ内に挿入されたか否かを判定する。

　体内挿入を検出しなかった場合（ステップＳ１０３；Ｎｏ）、端末装置１０は、ステップＳ１０２に戻る。なお、ここでは、端末装置１０はステップＳ１０２に戻るが、ステップＳ１０３に戻ることも可能である。あるいは、端末装置１０が、一定期間の経過を待って、再度体内挿入を検出するようにしてもよい。

　体内挿入を検出した場合（ステップＳ１０３；Ｙｅｓ）、端末装置１０は、本人認証処理を実行する（ステップＳ１０４）。

　ここで、図１０を用いて本人認証処理について説明する。図１０は、本開示の実施形態に係る本人認証処理の流れの一例について示すフローチャートである。

　端末装置１０は、判定情報を取得する（ステップＳ２０１）。端末装置１０は、通信装置２０から、又は、センサ部１１０によるセンシング結果から判定情報を取得する。

　端末装置１０は、取得した判定情報が、予め保持する（あるいは、通信装置２０から取得した）本人情報と一致するか否かを判定する（ステップＳ２０２）。

　判定情報と本人情報とが一致する場合（ステップＳ２０２；Ｙｅｓ）、端末装置１０は、ユーザＵ＿Ａに挿入されたと判定する（ステップＳ２０３）。すなわち、端末装置１０は、本人認証に成功したと判定する。

　一方、判定情報と本人情報とが一致しない場合（ステップＳ２０２；Ｎｏ）、端末装置１０は、ユーザＵ＿Ａではない他人に挿入されたと判定する（ステップＳ２０４）。すなわち、端末装置１０は、本人認証に失敗したと判定する。

　なお、判定情報及び本人情報が生体情報の特徴量を含む場合、端末装置１０は、所定数以上の特徴点（又は特徴量）が一致するか否かに応じて、判定情報と本人情報とが一致するか否かを判定する。

　図９に戻り、端末装置１０は、本人認証処理の結果に応じて、ユーザＵ＿Ａ本人に挿入されたか否かを判定する（ステップＳ１０５）。

　本人認証に失敗し、ユーザＵ＿Ａに挿入されていない、すなわちユーザＵ＿Ａ以外のユーザＵ＿Ｂに挿入されたと判定した場合（ステップＳ１０５；Ｎｏ）、端末装置１０は、ステップＳ１１０に進む。

　一方、本人認証に成功し、ユーザＵ＿Ａ本人に挿入されたと判定した場合（ステップＳ１０５；Ｙｅｓ）、端末装置１０は、通信処理を開始し（ステップＳ１０６）、センシング処理を開始する（ステップＳ１０７）。

　ここで、図１１を用いて通信処理について説明する。図１１は、本開示の実施形態に係る通信処理の流れの一例について示すフローチャートである。

　図１１の通信処理は、例えば、通信装置２０からの要求に従って、端末装置１０により実行される。あるいは、通信処理は、通信装置２０から電力供給を受けた場合に実行されてもよい。また、通信処理は、一定の周期で実行されてもよい。

　端末装置１０は、ＩＤ認証を実行する（ステップＳ３０１）。例えば、端末装置１０は、装置ＩＤを用いた認証処理を実行することで、ＩＤ認証を実行する。

　端末装置１０は、ＩＤ認証に成功すると、通信装置２０と通信を行う（ステップＳ３０２）。

　ここで、図１２を用いてセンシング処理について説明する。図１２は、本開示の実施形態に係るセンシング処理の流れの一例について示すフローチャートである。

　図１２のセンシング処理は、例えば、一定の周期で端末装置１０により実行される。あるいは、センシング処理は、通信装置２０からの要求時に実行されてもよい。

　端末装置１０は、センサ部１１０からセンシング結果を取得する（ステップＳ４０１）。端末装置１０は、取得したセンシング結果を記録する（ステップＳ４０２）。例えば、端末装置１０は、取得したセンシング結果を記憶部１５０に記憶させる。あるいは、端末装置１０は、取得したセンシング結果を通信装置２０に通知するようにしてもよい。

　端末装置１０が、例えば一定の周期又は通信装置２０からの要求に基づいてセンシング処理を実行する。これにより、端末装置１０は、低消費電力でセンシングを行うことができる。

　図９に戻り、端末装置１０は、抜出検出条件を満たすか否かを判定する（ステップＳ１０８）。例えば、抜出検出条件は、前回の抜出検出からの経過時間である。例えば、前回の抜出検出から一定時間が経過した場合、端末装置１０は、抜出検出条件を満たすと判定する。

　抜出検出条件を満たさない場合（ステップＳ１０８；Ｎｏ）、端末装置１０は、ステップＳ１０８に戻る。

　一方、検出条件を満たす場合（ステップＳ１０８；Ｙｅｓ）、端末装置１０は、体外抜出を検出したか否かを判定する（ステップＳ１０９）。端末装置１０は、センサ部１１０によるセンシング結果に基づき、自身が体外に抜出されたか否かを判定する。

　体外抜出を検出しなかった場合（ステップＳ１０９；Ｎｏ）、端末装置１０は、ステップＳ１０８に戻る。

　一方、体外抜出を検出した場合（ステップＳ１０９；Ｙｅｓ）、端末装置１０は、認証機能を停止し（ステップＳ１１０）、処理を終了する。ここでは、端末装置１０は、復帰不可停止処理を実行することで、認証機能を停止する。

　端末装置１０は、体外抜出の検出を、例えば一定周期で実行する。これにより、端末装置１０は、体外抜出の検出による電力消費をより低減することができる。

＜３．３．第２の処理例＞
　次に、認証停止処理が復帰可停止処理である場合に、端末装置１０によって実行される第２の処理について説明する。

　図１３は、本開示の実施形態に係る第２の処理の流れの一例を示すフローチャートである。なお、ステップＳ１０９までの処理は、図１２に示す第１の処理と同じであるため、説明を省略する。

　ステップＳ１０９で体外抜出が検出されると、端末装置１０は、認証機能を停止する（ステップＳ５０１）。端末装置１０は、復帰可停止処理を実行することで認証機能を停止する。

　端末装置１０は、通信装置２０からリセット指示を受信したか否かを判定する（ステップＳ５０２）。

　リセット指示を受信した場合（ステップＳ５０２；Ｙｅｓ）、端末装置１０は、リセット処理を実行し、自身の設定をリセットする（ステップＳ５０３）。端末装置１０は、例えば、装置ＩＤや本人情報、センシング結果等を削除する。なお、端末装置１０は、リセット処理の実行前に、リセット処理実行のための認証（例えば、マスターパスワードの入力等）を通信装置２０に対して要求してもよい。

　一方、リセット指示を受信していない場合（ステップＳ５０２；Ｎｏ）、端末装置１０は、再開条件を満たすか否かを判定する（ステップＳ５０４）。端末装置１０は、例えば、自身の体内挿入を検出した場合、再開条件を満たすと判定する。

　再開条件を満たさない場合（ステップＳ５０４；Ｎｏ）、端末装置１０は、ステップＳ５０２に戻る。

　一方、再開条件を満たす場合（ステップＳ５０４；Ｙｅｓ）、端末装置１０は、本人認証処理を実行する（ステップＳ５０５）。例えば、端末装置１０は、図１０に示す本人認証処理を実行する。

　端末装置１０は、本人認証処理の結果に応じて、ユーザＵ＿Ａ本人に挿入されたか否かを判定する（ステップＳ５０６）。

　本人認証に失敗し、ユーザＵ＿Ａに挿入されていない、すなわちユーザＵ＿Ａ以外のユーザＵ＿Ｂに挿入されたと判定した場合（ステップＳ５０６；Ｎｏ）、端末装置１０は、ステップＳ５０２に戻る。あるいは、端末装置１０は、復帰不可停止処理を実行し、処理を終了してもよい。

　一方、本人認証に成功し、ユーザＵ＿Ａ本人に挿入されたと判定した場合（ステップＳ５０６；Ｙｅｓ）、端末装置１０は、再開処理を実行し（ステップＳ５０７）、ステップＳ１０６に戻る。

　以上のように、本実施形態に係る端末装置１０は、ＩＤ認証部１６３と、通信制御部１６４と、検出部１６２と、停止処理部１６５と、を備える。ＩＤ認証部１６３は、端末装置１０を識別する識別情報（装置ＩＤ）を用いた認証を行う。通信制御部１６４は、ＩＤ認証部１６３による認証に成功した場合に、通信装置２０と通信を行う。

　検出部１６２は、体内へ挿入された端末装置１０の体外への抜出を検出する。停止処理部１６５は、体外への抜出が検出された場合に、ＩＤ認証部１６３による認証を停止させる。

　これにより、端末装置１０は、ユーザＵ＿Ａ以外の他人による不正使用を防止することができる。

＜＜４．その他の実施形態＞＞
　上述した実施形態に係る処理は、上記実施形態以外にも種々の異なる形態にて実施されてよい。

　例えば、上記実施形態では、端末装置１０が体内から抜出されると、認証停止処理が実行されるとしたが、抜出されても認証停止処理が行われないようにしてもよい。例えば、予め決められた信号を通信装置２０から受信した場合、あるいは、特定の環境状態（電磁界、温度、圧力等）下で抜出された場合など、規定の手順に従って抜出された場合、端末装置１０が認証停止処理を行わないようにしてもよい。

　これにより、正しい（規定の）手順で抜出されることで、端末装置１０が体外でも動作することができるようになる。

　また、端末装置１０がリアルタイムクロックを有していてもよい。端末装置１０は、例えば、リアルタイムクロックの時刻とともに記憶部１５０に動作履歴等のデータを記録し、過去のデータを削除できないようにしてもよい。これにより、端末装置１０のセキュリティ性をより向上させることができる。

　また、上記実施形態では、端末装置１０が定期的に生体情報のセンシング（センシング処理）を行うとしたが、端末装置１０が本人認証以外で生体情報のセンシングを行わないようにしてもよい。この場合、端末装置１０は、電子決済や本人識別等、通信装置２０とのやり取りを含む処理に使用されうる。

　また、上記実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。例えば、各図に示した各種情報は、図示した情報に限られない。

　また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、本開示の通信装置２０の各機能部（電源管理部２２０、制御部２４０）が実行する処理は、充電装置等の専用装置が実行してもよい。

　また、上述してきた実施形態は、処理内容を矛盾させない範囲で適宜組み合わせることが可能である。

　また、本明細書に記載された効果はあくまで例示であって限定されるものでは無く、他の効果があってもよい。

＜＜５．　補足＞＞
　なお、本技術は以下のような構成も取ることができる。
（１）
　他の装置との通信を行うための認証処理を実行する認証部と、
　前記認証処理に成功した場合に前記他の装置と通信を行う通信部と、
　体内へ挿入された自装置の体外への抜出を検出する検出部と、
　前記体外への前記抜出が検出された場合に、前記認証部による前記認証処理を停止させる停止処理部と、
　を備える端末装置。
（２）
　前記認証処理が停止された後に、前記認証部による前記認証処理を再開させる再開処理部をさらに備える、（１）に記載の端末装置。
（３）
　前記再開処理部は、外部装置からの指示に従って、前記認証処理を再開させる、（２）に記載の端末装置。
（４）
　前記再開処理部は、パスワードが入力されたこと、及び、特定の環境条件が満たされたことの少なくとも一方を前記外部装置からの前記指示として、前記認証処理を再開させる、（３）に記載の端末装置。
（５）
　前記停止処理部は、前記通信部による通信、及び、制御部による制御の少なくとも一方を停止させることで前記認証処理を停止させる、（１）～（４）のいずれか１つに記載の端末装置。
（６）
　前記停止処理部は、前記認証処理が再開されないように、前記認証処理を停止させる、（１）～（５）のいずれか１つに記載の端末装置。
（７）
　前記停止処理部は、所定の条件に応じて、前記認証処理が再開されるように、又は、再開されないように、前記認証処理を停止させる、（６）に記載の端末装置。
（８）
　前記所定の条件は、前記端末装置の使用時間、使用回数、用途、及び、前記他の装置からの指示の少なくとも１つである、（７）に記載の端末装置。
（９）
　前記停止処理部は、プログラム及びデータの少なくとも一方を消去することで前記認証処理を停止させる、（６）～（８）のいずれか１つに記載の端末装置。
（１０）
　前記停止処理部は、回路の少なくとも一部を破壊することで前記認証処理を停止させる、（６）～（９）のいずれか１つに記載の端末装置。
（１１）
　前記停止処理部は、前記認証処理を行うハードウェアロジックのステートを、ステートマシンの遷移できないステートに移動させることで、前記認証処理を停止させる、（６）～（１０）のいずれか１つに記載の端末装置。
（１２）
　前記端末装置を装着する装着者の認証を行う装着認証部をさらに備える、（１）～（１１）のいずれか１つに記載の端末装置。
（１３）
　前記装着認証部は、パスワード及び前記装着者の生体情報の少なくとも一方を用いて前記装着者の前記認証を行う、（１２）に記載の端末装置。
（１４）
　前記装着者の前記生体情報をセンシングするセンシング部をさらに備え、
　前記装着認証部は、予めセンシングされたセンシング情報と、前記センシング部がセンシングした前記生体情報と、を用いて前記装着者の前記認証を行う、
　（１３）に記載の端末装置。
（１５）
　前記装着認証部は、前記検出部が初めて前記挿入を検出した場合、及び、前記停止処理部が前記認証を停止した後に前記検出部が前記挿入を検出した場合の少なくとも一方の場合に、前記装着者の前記認証を行う、（１３）又は（１４）に記載の端末装置。
（１６）
　前記検出部は、前記端末装置に対して所定の操作が行われた後、一定期間の経過、及び、前記端末装置の動きの少なくとも一方に応じて、前記挿入の検出を行う、（１）～（１５）のいずれか１つに記載の端末装置。
（１７）
　前記端末装置を装着する装着者の生体情報をセンシングするセンサ部をさらに備え、
　前記センサ部は、所定の周期で前記生体情報をセンシングする、（１）～（１６）のいずれか１つに記載の端末装置。
（１８）
　第１のセンサ及び第２のセンサを用いて前記端末装置を装着する装着者の生体情報をセンシングするセンサ部をさらに備え、
　前記第１のセンサは、前記端末装置の第１の端部に配置され、
　前記第２のセンサは、前記端末装置の、前記第１の端部と対向する第２の端部に配置される、
　（１）～（１７）のいずれか１つに記載の端末装置。
（１９）
　第３のセンサ及び第４のセンサを用いて前記端末装置を装着する装着者の生体情報をセンシングするセンサ部をさらに備え、
　前記第３のセンサは、前記端末装置の第１の面に配置され、
　前記第４のセンサは、前記端末装置の、前記第１の面と対向する第２の面に配置される、
　（１）～（１８）のいずれか１つに記載の端末装置。
（２０）
　他の装置との通信を行うための認証処理を実行することと、
　前記認証処理に成功した場合に前記他の装置と通信を行うことと、
　体内へ挿入された自装置の体外への抜出を検出することと、
　前記体外への前記抜出が検出された場合に、前記認証処理を停止させることと、
　を含む方法。

　１０　端末装置
　２０　通信装置
　１１０　センサ部
　１２０，２１０　通信部
　１２１，１４１，２１１，２２１　アンテナ
　１３０　バッテリー部
　１４０，２２０　電源管理部
　１５０，２３０　記憶部
　１６０，２４０　制御部
　１６１　センサ制御部
　１６２　検出部
　１６４　通信制御部
　１６５　停止処理部
　１６６　本人認証部
　１６７　再開処理部
　１６８　管理部
　２４１　管理設定部
　２４３　送受信部
　２４４　切替指示部
　２４５　リセット指示部
　２４６　再開指示部

Claims (20)

1. 　他の装置との通信を行うための認証処理を実行する認証部と、
   　前記認証処理に成功した場合に前記他の装置と通信を行う通信部と、
   　体内へ挿入された自装置の体外への抜出を検出する検出部と、
   　前記体外への前記抜出が検出された場合に、前記認証部による前記認証処理を停止させる停止処理部と、
   　を備える端末装置。
2. 　前記認証処理が停止された後に、前記認証部による前記認証処理を再開させる再開処理部をさらに備える、請求項１に記載の端末装置。
3. 　前記再開処理部は、外部装置からの指示に従って、前記認証処理を再開させる、請求項２に記載の端末装置。
4. 　前記再開処理部は、パスワードが入力されたこと、及び、特定の環境条件が満たされたことの少なくとも一方を前記外部装置からの前記指示として、前記認証処理を再開させる、請求項３に記載の端末装置。
5. 　前記停止処理部は、前記通信部による通信、及び、制御部による制御の少なくとも一方を停止させることで前記認証処理を停止させる、請求項１に記載の端末装置。
6. 　前記停止処理部は、前記認証処理が再開されないように、前記認証処理を停止させる、請求項１に記載の端末装置。
7. 　前記停止処理部は、所定の条件に応じて、前記認証処理が再開されるように、又は、再開されないように、前記認証処理を停止させる、請求項６に記載の端末装置。
8. 　前記所定の条件は、前記端末装置の使用時間、使用回数、用途、及び、前記他の装置からの指示の少なくとも１つである、請求項７に記載の端末装置。
9. 　前記停止処理部は、プログラム及びデータの少なくとも一方を消去することで前記認証処理を停止させる、請求項６に記載の端末装置。
10. 　前記停止処理部は、回路の少なくとも一部を破壊することで前記認証処理を停止させる、請求項６に記載の端末装置。
11. 　前記停止処理部は、前記認証処理を行うハードウェアロジックのステートを、ステートマシンの遷移できないステートに移動させることで、前記認証処理を停止させる、請求項６に記載の端末装置。
12. 　前記端末装置を装着する装着者の認証を行う装着認証部をさらに備える、請求項１に記載の端末装置。
13. 　前記装着認証部は、パスワード及び前記装着者の生体情報の少なくとも一方を用いて前記装着者の前記認証を行う、請求項１２に記載の端末装置。
14. 　前記装着者の前記生体情報をセンシングするセンシング部をさらに備え、
    　前記装着認証部は、予めセンシングされたセンシング情報と、前記センシング部がセンシングした前記生体情報と、を用いて前記装着者の前記認証を行う、
    　請求項１３に記載の端末装置。
15. 　前記装着認証部は、前記検出部が初めて前記挿入を検出した場合、及び、前記停止処理部が前記認証を停止した後に前記検出部が前記挿入を検出した場合の少なくとも一方の場合に、前記装着者の前記認証を行う、請求項１３に記載の端末装置。
16. 　前記検出部は、前記端末装置に対して所定の操作が行われた後、一定期間の経過、及び、前記端末装置の動きの少なくとも一方に応じて、前記挿入の検出を行う、請求項１に記載の端末装置。
17. 　前記端末装置を装着する装着者の生体情報をセンシングするセンサ部をさらに備え、
    　前記センサ部は、所定の周期で前記生体情報をセンシングする、請求項１に記載の端末装置。
18. 　第１のセンサ及び第２のセンサを用いて前記端末装置を装着する装着者の生体情報をセンシングするセンサ部をさらに備え、
    　前記第１のセンサは、前記端末装置の第１の端部に配置され、
    　前記第２のセンサは、前記端末装置の、前記第１の端部と対向する第２の端部に配置される、
    　請求項１に記載の端末装置。
19. 　第３のセンサ及び第４のセンサを用いて前記端末装置を装着する装着者の生体情報をセンシングするセンサ部をさらに備え、
    　前記第３のセンサは、前記端末装置の第１の面に配置され、
    　前記第４のセンサは、前記端末装置の、前記第１の面と対向する第２の面に配置される、
    　請求項１に記載の端末装置。
20. 　他の装置との通信を行うための認証処理を実行することと、
    　前記認証処理に成功した場合に前記他の装置と通信を行うことと、
    　体内へ挿入された自装置の体外への抜出を検出することと、
    　前記体外への前記抜出が検出された場合に、前記認証処理を停止させることと、
    　を含む方法。

Images