• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 特許、登録しない。 G06F
審判 査定不服 5項独立特許用件 特許、登録しない。 G06F
管理番号 1294217
審判番号 不服2013-683  
総通号数 181 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2015-01-30 
種別 拒絶査定不服の審決 
審判請求日 2013-01-15 
確定日 2014-11-20 
事件の表示 特願2012-135372「認証コード発行システム、および認証システム」拒絶査定不服審判事件〔平成26年 1月 9日出願公開、特開2014- 2435〕について、次のとおり審決する。 
結論 本件審判の請求は、成り立たない。 
理由
第1 手続の経緯

本件審判請求に係る出願(以下,「本願」という。)は,平成24年6月15日を出願日とする出願であって,平成24年7月31日付けで審査請求がなされ,平成24年8月15日付けで拒絶理由通知(同年8月17日発送)がなされ,これに対して同年9月28日付けで意見書が提出されると共に同日付けで手続補正がなされたが,同年10月19日付けで拒絶査定(同年10月23日謄本送達)がなされたものである。
これに対して,「原査定を取り消す。本願の発明は特許すべきものとする,との審決を求める。」との請求の趣旨で,平成25年1月15日付けで審判請求がなされると共に同日付けで手続補正がなされ,平成25年2月12日付けで審査官により特許法第164条第3項に定める報告(前置報告)がなされ,平成25年10月4日付けで当審により特許法第134条第4項の規定に基づく審尋(同年10月7日発送)がなされ,同年12月5日付けで回答書の提出があった。

第2 平成25年1月15日付けの手続補正についての補正却下の決定

[補正却下の決定の結論]

平成25年1月15日付けの手続補正を却下する。

[理由]

1.補正の内容

平成25年1月15日付けの手続補正(以下,「本件補正」という。)の内容は,平成24年9月28日付けの手続補正により補正された特許請求の範囲の請求項1乃至7の記載

「【請求項1】
アクセス元端末からのWEBサイトへのアクセス要求を受け付けるアクセス要求受付手段と,
前記アクセス要求受付手段が前記アクセス元端末からのWEBサイトへのアクセス要求を受け付けたときに,前記アクセス元端末から受信した認証情報に基づいて,前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるか否かの認証を行う認証手段と,
前記認証手段によって前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるという認証結果が得られた場合に,前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードを発行する認証コード発行手段と,
前記認証コード発行手段によって発行された前記認証コードを含んだ前記WEBサイトへのアクセス用情報を生成するアクセス用情報生成手段と,
前記アクセス用情報生成手段によって生成された前記アクセス用情報を,ショートメッセージを用いて前記アクセス元端末へ送信するアクセス用情報送信手段と,
前記アクセス用情報を受信した前記アクセス元端末から,前記アクセス用情報を用いた前記WEBサイトへのアクセス要求がされたときに,前記アクセス用情報に含まれている前記認証コードと,前記認証コード発行手段が発行した前記認証コードとを照合する認証コード照合手段と,
前記認証コード照合手段によって,前記認証コードの照合結果が一致することが確認されたときに,前記アクセス元端末に対して,前記WEBサイトへのアクセスを許可するアクセス許可手段と,
前記アクセス元端末からの前記WEBサイトへのアクセス要求が,前記認証情報を用いたものであるか,前記アクセス用情報を用いたものであるかに応じて,前記認証手段による処理と前記認証コード照合手段による処理とを切り替える切替手段とを備えることを特徴とする認証システム。
【請求項2】
請求項1に記載の認証システムにおいて,
前記アクセス用情報生成手段は,前記アクセス用情報と前記ショートメッセージの送信先情報とを関連付けた送信用情報を送信キューに登録し,
前記アクセス用情報送信手段は,前記送信キューに登録されている前記送信用情報を順次読み出して,前記アクセス元端末へショートメッセージを送信することを特徴とする認証システム。
【請求項3】
請求項2に記載の認証システムにおいて,
前記アクセス用情報送信手段は,前記送信キューへの前記送信用情報の登録の有無を所定時間間隔で問い合わせ,前記送信用情報が登録されていることを検出したときに,前記送信キューから前記送信用情報を読み出すことを特徴とする認証システム。
【請求項4】
請求項1?3のいずれか一項に記載の認証システムにおいて,
前記認証情報は,前記アクセス元端末に対して一意に付された電話番号であって,
前記WEBサイトへのアクセスが許可された前記電話番号を記録した認証用データベースをさらに備え,
前記認証手段は,前記認証用データベースに記録されている情報と,前記認証情報とを照合することにより,前記アクセス元端末の認証を行うことを特徴とする認証システム。
【請求項5】
アクセス元端末からWEBサイトへのアクセス要求を受け付けるアクセス受付サーバーと,前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードを発行する認証コード発行サーバーと,前記認証コード発行サーバーで発行された前記認証コードを含んだ情報をショートメッセージを用いて前記アクセス元端末へ送信するショートメッセージ送信端末とを備えた認証システムであって,
前記アクセス受付サーバーは,
前記アクセス元端末からの前記WEBサイトへのアクセス要求とともに,前記アクセス元端末の認証情報を受信する認証情報受信手段と,
前記認証情報受信手段が前記アクセス元端末から前記認証情報を受信したときに,該認証情報に基づいて,前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるか否かの認証を行う認証手段と,
前記認証手段によって前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるという認証結果が得られた場合に,前記認証コード発行サーバーへ,前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードを発行するように指示する認証コード発行指示手段と,
前記アクセス元端末から,前記認証コードを含んだアクセス用情報を用いた前記WEBサイトへのアクセス要求がされたときに,前記アクセス用情報に含まれている前記認証コードと,前記認証コード発行手段が発行した前記認証コードとを照合する認証コード照合手段と,
前記認証コード照合手段によって,前記認証コードの照合結果が一致することが確認されたときに,前記アクセス元端末に対して,前記WEBサイトへのアクセスを許可するアクセス許可手段と,
前記アクセス元端末からの前記WEBサイトへのアクセス要求が,前記認証情報を用いたものであるか前記アクセス用情報を用いたものであるかに応じて,前記認証手段による処理と前記認証コード照合手段による処理とを切り替える切替手段とを備え,
前記認証コード発行サーバーは,
前記アクセス受付サーバーから前記認証コードの発行が指示されたことを検出したときに,前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードを発行する認証コード発行手段と,
前記認証コード発行手段によって発行された前記認証コードを含んだ前記WEBサイトへの前記アクセス用情報を生成するアクセス用情報生成手段と,
前記アクセス用情報生成手段によって生成された前記アクセス用情報と前記ショートメッセージの送信先情報とを関連付けた送信用情報を送信キューに登録する送信用情報登録手段とを備え,
前記ショートメッセージ送信端末は,
前記送信キューへの前記送信用情報の登録の有無を所定時間間隔で問い合わせる問い合わせ手段と,
前記送信キューに前記送信用情報が登録されていることを検出したときに,前記送信キューから前記送信用情報を読み出す送信用情報読み出し手段と,
前記送信用情報読み出し手段によって読み出された前記送信用情報に基づいて,前記アクセス元端末を送信先に設定するとともに,前記アクセス用情報を記載したショートメッセージを作成するショートメッセージ作成手段と,
前記ショートメッセージ作成手段によって作成された前記ショートメッセージを前記アクセス元端末へ送信するショートメッセージ送信手段とを備えることを特徴とする認証システム。
【請求項6】
請求項5に記載の認証システムにおいて,
前記認証コード発行サーバによって発行された前記認証コードを記録した照合用データベースをさらに備え,
前記認証コード照合手段は,前記照合用データベースに記録されている前記認証コードと,前記アクセス用情報に含まれている前記認証コードとを照合することを特徴とする認証システム。
【請求項7】
請求項5または6に記載の認証システムにおいて,
前記認証情報は,前記アクセス元端末に対して一意に付された電話番号であって,
前記WEBサイトへのアクセスが許可された前記電話番号を記録した認証用データベースをさらに備え,
前記認証手段は,前記認証用データベースに記録されている前記電話番号と,前記認証情報とを照合することにより,前記アクセス元端末の認証を行うことを特徴とする認証システム。」(以下,この特許請求の範囲に記載された請求項を「補正前の請求項」という。)

を,

「【請求項1】
アクセス元端末からのWEBサイトへのアクセス要求を受け付けるアクセス要求受付手段と,
前記アクセス要求受付手段が前記アクセス元端末からのWEBサイトへのアクセス要求を受け付けたときに,前記アクセス元端末から受信した前記アクセス元端末を一意に識別するための電話番号を認証情報とし,該認証情報に基づいて,前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるか否かの認証を行う認証手段と,
前記認証手段によって前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるという認証結果が得られた場合に,アルファベット,数字,記号の少なくとも1つをランダムに,または所定のアルゴリズムで組み合わせた認証コードを生成し,生成した前記認証コードを前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードとして発行する認証コード発行手段と,
前記認証コード発行手段によって発行された前記認証コードを含んだ前記WEBサイトへのアクセス用情報を生成するアクセス用情報生成手段と,
前記アクセス用情報生成手段によって生成された前記アクセス用情報を,前記認証情報を利用して宛先を設定してショートメッセージを用いて前記アクセス元端末へ送信するアクセス用情報送信手段と,
前記アクセス用情報を受信した前記アクセス元端末から,前記アクセス用情報を用いた前記WEBサイトへのアクセス要求がされたときに,前記アクセス用情報に含まれている前記認証コードと,前記認証コード発行手段が発行した前記認証コードとを照合する認証コード照合手段と,
前記認証コード照合手段によって,前記認証コードの照合結果が一致することが確認されたときに,前記アクセス元端末に対して,前記WEBサイトへのアクセスを許可するアクセス許可手段と,
前記アクセス元端末からの前記WEBサイトへのアクセス要求が,前記認証情報を用いたものであるか,前記アクセス用情報を用いたものであるかに応じて,前記認証手段による処理と前記認証コード照合手段による処理とを切り替える切替手段とを備えることを特徴とする認証システム。
【請求項2】
請求項1に記載の認証システムにおいて,
前記アクセス用情報生成手段は,前記アクセス用情報と前記ショートメッセージの送信先情報とを関連付けた送信用情報を送信キューに登録し,
前記アクセス用情報送信手段は,前記送信キューに登録されている前記送信用情報を順次読み出して,前記アクセス元端末へショートメッセージを送信することを特徴とする認証システム。
【請求項3】
請求項2に記載の認証システムにおいて,
前記アクセス用情報送信手段は,前記送信キューへの前記送信用情報の登録の有無を所定時間間隔で問い合わせ,前記送信用情報が登録されていることを検出したときに,前記送信キューから前記送信用情報を読み出すことを特徴とする認証システム。
【請求項4】
請求項1?3のいずれか一項に記載の認証システムにおいて,
前記WEBサイトへのアクセスが許可された前記電話番号を記録した認証用データベースをさらに備え,
前記認証手段は,前記認証用データベースに記録されている情報と,前記認証情報とを照合することにより,前記アクセス元端末の認証を行うことを特徴とする認証システム。
【請求項5】
アクセス元端末からWEBサイトへのアクセス要求を受け付けるアクセス受付サーバーと,前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードを発行する認証コード発行サーバーと,前記認証コード発行サーバーで発行された前記認証コードを含んだ情報をショートメッセージを用いて前記アクセス元端末へ送信するショートメッセージ送信端末とを備えた認証システムであって,
前記アクセス受付サーバーは,
前記アクセス元端末からの前記WEBサイトへのアクセス要求とともに,前記アクセス元端末を一意に識別するため電話番号を認証情報として受信する認証情報受信手段と,
前記認証情報受信手段が前記アクセス元端末から前記認証情報を受信したときに,該認証情報に基づいて,前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるか否かの認証を行う認証手段と,
前記認証手段によって前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるという認証結果が得られた場合に,前記認証コード発行サーバーへ前記ショートメッセージの送信先情報として前記認証情報を引き渡すとともに,前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードを発行するように指示する認証コード発行指示手段と,
前記アクセス元端末から,前記認証コードを含んだアクセス用情報を用いた前記WEBサイトへのアクセス要求がされたときに,前記アクセス用情報に含まれている前記認証コードと,前記認証コード発行手段が発行した前記認証コードとを照合する認証コード照合手段と,
前記認証コード照合手段によって,前記認証コードの照合結果が一致することが確認されたときに,前記アクセス元端末に対して,前記WEBサイトへのアクセスを許可するアクセス許可手段と,
前記アクセス元端末からの前記WEBサイトへのアクセス要求が,前記認証情報を用いたものであるか前記アクセス用情報を用いたものであるかに応じて,前記認証手段による処理と前記認証コード照合手段による処理とを切り替える切替手段とを備え,
前記認証コード発行サーバーは,
前記アクセス受付サーバーから前記認証コードの発行が指示されたことを検出したときに,アルファベット,数字,記号の少なくとも1つをランダムに,または所定のアルゴリズムで組み合わせた認証コードを生成し,生成した前記認証コードを前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードとして発行する認証コード発行手段と,
前記認証コード発行手段によって発行された前記認証コードを含んだ前記WEBサイトへの前記アクセス用情報を生成するアクセス用情報生成手段と,
前記アクセス用情報生成手段によって生成された前記アクセス用情報と前記ショートメッセージの送信先情報とを関連付けた送信用情報を送信キューに登録する送信用情報登録手段とを備え,
前記ショートメッセージ送信端末は,
前記送信キューへの前記送信用情報の登録の有無を所定時間間隔で問い合わせる問い合わせ手段と,
前記送信キューに前記送信用情報が登録されていることを検出したときに,前記送信キューから前記送信用情報を読み出す送信用情報読み出し手段と,
前記送信用情報読み出し手段によって読み出された前記送信用情報に基づいて,前記アクセス元端末を送信先に設定するとともに,前記アクセス用情報を記載したショートメッセージを作成するショートメッセージ作成手段と,
前記ショートメッセージ作成手段によって作成された前記ショートメッセージを前記アクセス元端末へ送信するショートメッセージ送信手段とを備えることを特徴とする認証システム。
【請求項6】
請求項5に記載の認証システムにおいて,
前記認証コード発行サーバによって発行された前記認証コードを記録した照合用データベースをさらに備え,
前記認証コード照合手段は,前記照合用データベースに記録されている前記認証コードと,前記アクセス用情報に含まれている前記認証コードとを照合することを特徴とする認証システム。
【請求項7】
請求項5または6に記載の認証システムにおいて,
前記WEBサイトへのアクセスが許可された前記電話番号を記録した認証用データベースをさらに備え,
前記認証手段は,前記認証用データベースに記録されている前記電話番号と,前記認証情報とを照合することにより,前記アクセス元端末の認証を行うことを特徴とする認証システム。」(以下,この特許請求の範囲に記載された請求項を「補正後の請求項」という。)

に補正するものである。

そして,本件補正は,願書に最初に添付した明細書,特許請求の範囲又は図面に記載した事項の範囲内においてなされており,特許法第17条の2第3項の規定に適合している。


2.目的要件

本件補正が,特許法17条の2第5項の規定を満たすものであるか否か,すなわち,本件補正が,特許法第17条の2第5項に規定する請求項の削除,特許請求の範囲の減縮(特許法第36条第5項の規定により請求項に記載した発明を特定するために必要な事項を限定するものであって,その補正前の当該請求項に記載された発明とその補正後の当該請求項に記載される発明の産業上の利用分野及び解決しようとする課題が同一であるものに限る),誤記の訂正,或いは,明りょうでない記載の釈明(拒絶理由通知に係る拒絶の理由に示す事項についてするものに限る)の何れかを目的としたものであるかについて,以下に検討する。

本件補正は,補正前の請求項1に係る発明における発明特定事項である「前記アクセス要求受付手段が前記アクセス元端末からのWEBサイトへのアクセス要求を受け付けたときに,前記アクセス元端末から受信した認証情報に基づいて,前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるか否かの認証を行う認証手段」について,補正前の請求項4に記載された内容で「前記アクセス要求受付手段が前記アクセス元端末からのWEBサイトへのアクセス要求を受け付けたときに,前記アクセス元端末から受信した前記アクセス元端末を一意に識別するための電話番号を認証情報とし,該認証情報に基づいて,前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるか否かの認証を行う認証手段」との限定を付加し,
同じく補正前の請求項1に係る発明における発明特定事項である「前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードを発行する認証コード発行手段」について,「アルファベット,数字,記号の少なくとも1つをランダムに,または所定のアルゴリズムで組み合わせた認証コードを生成し,生成した前記認証コードを前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードとして発行する認証コード発行手段」との限定を付加し,
同じく補正前の請求項1に係る発明における発明特定事項である「前記アクセス用情報生成手段によって生成された前記アクセス用情報を,ショートメッセージを用いて前記アクセス元端末へ送信するアクセス用情報送信手段」について,「前記アクセス用情報生成手段によって生成された前記アクセス用情報を,前記認証情報を利用して宛先を設定してショートメッセージを用いて前記アクセス元端末へ送信するアクセス用情報送信手段」との限定を付加して補正後の請求項1とし,それに伴い補正前の請求項4の記載を調整し,補正後の請求項4とするものである。
また,補正前の請求項5に係る発明における発明特定事項である「前記アクセス元端末からの前記WEBサイトへのアクセス要求とともに,前記アクセス元端末の認証情報を受信する認証情報受信手段」について,補正前の請求項7に記載された内容で「前記アクセス元端末からの前記WEBサイトへのアクセス要求とともに,前記アクセス元端末を一意に識別するため電話番号を認証情報として受信する認証情報受信手段」との限定を付加し,
同じく補正前の請求項5に係る発明における発明特定事項である「前記認証コード発行サーバーへ,前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードを発行するように指示する認証コード発行指示手段」について,「前記認証コード発行サーバーへ前記ショートメッセージの送信先情報として前記認証情報を引き渡すとともに,前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードを発行するように指示する認証コード発行指示手段」との限定を付加し,
同じく補正前の請求項5に係る発明における発明特定事項である「前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードを発行する認証コード発行手段」について,「アルファベット,数字,記号の少なくとも1つをランダムに,または所定のアルゴリズムで組み合わせた認証コードを生成し,生成した前記認証コードを前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードとして発行する認証コード発行手段」との限定を付加して補正後の請求項5とし,それに伴い補正前の請求項7の記載を調整し,補正後の請求項7とするものである。

なお,本件補正によっても,補正前の請求項に記載された発明とその補正後の請求項に記載される発明の産業上の利用分野及び解決しようとする課題は同一であることは明らかである。

したがって,本件補正は,特許法第17条の2第5項第2号に掲げる特許請求の範囲の減縮を目的とするものに該当することから,特許法17条の2第5項の規定を満たすものである。


3.独立特許要件

以上のように,本件補正後の請求項1に記載された発明(以下,「本件補正発明」という。)は,補正前の請求項1に対して,限定的減縮を行ったものと認められる。そこで,本件補正発明が特許出願の際独立して特許を受けることができるものであるか(特許法第17条の2第6項において準用する同法第126条第7項の規定に適合するか)以下に検討する。

(1)本件補正発明

本件補正発明は,上記平成25年1月15日付け手続補正書により補正された明細書及び図面の記載からみて,その特許請求の範囲の請求項1に記載された以下のとおりのものと認める。

「アクセス元端末からのWEBサイトへのアクセス要求を受け付けるアクセス要求受付手段と,
前記アクセス要求受付手段が前記アクセス元端末からのWEBサイトへのアクセス要求を受け付けたときに,前記アクセス元端末から受信した前記アクセス元端末を一意に識別するための電話番号を認証情報とし,該認証情報に基づいて,前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるか否かの認証を行う認証手段と,
前記認証手段によって前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるという認証結果が得られた場合に,アルファベット,数字,記号の少なくとも1つをランダムに,または所定のアルゴリズムで組み合わせた認証コードを生成し,生成した前記認証コードを前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードとして発行する認証コード発行手段と,
前記認証コード発行手段によって発行された前記認証コードを含んだ前記WEBサイトへのアクセス用情報を生成するアクセス用情報生成手段と,
前記アクセス用情報生成手段によって生成された前記アクセス用情報を,前記認証情報を利用して宛先を設定してショートメッセージを用いて前記アクセス元端末へ送信するアクセス用情報送信手段と,
前記アクセス用情報を受信した前記アクセス元端末から,前記アクセス用情報を用いた前記WEBサイトへのアクセス要求がされたときに,前記アクセス用情報に含まれている前記認証コードと,前記認証コード発行手段が発行した前記認証コードとを照合する認証コード照合手段と,
前記認証コード照合手段によって,前記認証コードの照合結果が一致することが確認されたときに,前記アクセス元端末に対して,前記WEBサイトへのアクセスを許可するアクセス許可手段と,
前記アクセス元端末からの前記WEBサイトへのアクセス要求が,前記認証情報を用いたものであるか,前記アクセス用情報を用いたものであるかに応じて,前記認証手段による処理と前記認証コード照合手段による処理とを切り替える切替手段とを備えることを特徴とする認証システム。」


(2)引用文献

(2-1)引用発明及び引用文献1に記載されている技術的事項

本願出願前に頒布され,原審の拒絶査定の理由である上記平成24年8月15日付けの拒絶理由通知において引用された,特開2007-109122号公報(平成19年4月26日出願公開,以下,「引用文献1」という。)には,関連する図面とともに,以下の技術的事項が記載されている。
(当審注:下線は,参考のために当審で付与したものである。)

A 「【0008】
以下,本発明の実施の形態について説明する。
【0009】
図1は,本発明の一実施形態が適用された認証システムの全体構成図である。図示する認証システムは,ユーザが携帯する携帯電話(第1の端末)1と,PC(Personal Computer)などの端末(第2の端末)2と,認証PL(presentation layer)サーバ3と,認証BL(business logic layer)サーバ4と,少なくとも1つの業務サーバ5とを有する。携帯電話1と認証PLサーバ3とは,携帯電話網6を介して接続され,端末2と認証PLサーバ3とは,インターネットなどのネットワーク7を介して接続されるものとする。また,認証PLサーバ3と認証BLサーバ4とは,専用線8を介して接続され,認証PLサーバ3と業務サーバ5とは,専用線またはインターネットなどのネットワーク9を介して接続されるものとする。
【0010】
本実施形態では,各業務サーバ5が,認証PLサーバ3および認証BLサーバ4を共同利用するものとする。すなわち,認証PLサーバ3および認証BLサーバ4は,ASP(Application Service Provider)であって,各業務サーバ5にユーザ認証機能を提供するものとする。なお,本実施形態では,認証PLサーバ3および認証BLサーバ4を有するが,これらのサーバを統合して1つの認証サーバ(認証装置)としてもよい。
【0011】
本認証システムのユーザは,少なくとも1つの業務サーバ5が提供するWebサイト(業務システム)のサービスを利用可能なユーザであって,あらかじめ所定の業務サーバ5のWebサイトに登録し,当該Webサイト内でユーザを識別するためのサイトユーザIDを取得しているものとする。
【0012】
また,ユーザは,携帯電話1を用いて,ワンタイムパスワードを認証PLサーバ3および認証BLサーバ4から取得する。図示する携帯電話1は,ユーザの指示を受け付ける指示受付部11と,認証PLサーバ3から取得した各種の情報・画面を表示する表示部12と,を有する。また,携帯電話1は,図示しないメモリ等の記憶装置に機体識別番号などの携帯電話ID(端末識別情報)が記憶されているものとする。なお,携帯電話IDが記憶されているメモリ等は,携帯電話1から着脱可能なICカードであってもよい。
【0013】
また,ユーザは,端末2を用いて認証PLサーバ3および認証BLサーバ4にアクセスし,認証BLサーバ4のユーザ認証後に所望の業務サーバ5のWebサイトにログインする。なお,ユーザは,認証PLサーバ3および認証BLサーバ4にアクセスする際に,携帯電話1を用いて取得したワンタイムパスワードを,端末2に入力するものとする。図示する端末2は,ユーザの各種指示を受け付ける指示受付部21と,出力装置に各種の情報・画面を表示する表示部22と,を有する。なお,指示受付部21および表示部22は,Webブラウザと同様の機能を有するものとする。
【0014】
認証PLサーバ3および認証BLサーバ4は,携帯電話1の要求を受け付けて,ワンタイムパスワードを生成するとともに,端末2から送信されたログイン要求の正当性を認証する。認証PLサーバ3は,図示するように,ユーザ登録受付部31と,パスワード要求受付部32と,ログイン要求受付部33とを有し,携帯電話1および端末2に対する入出力処理を行う。
【0015】
認証BLサーバ4は,ユーザ登録を行う登録部41と,ワンタイムパスワードを生成するパスワード生成部42と,ログイン要求の正当性を認証する認証部43と,認証テーブル44と,を有する。認証テーブル44には,後述するユーザ登録処理により,認証に必要な各種の情報がユーザ毎に登録される。なお,認証テーブル44については後述する。」

B 「【0017】
次に,認証BLサーバ4の認証テーブル44について説明する。
【0018】
図2は,認証テーブル44の一例を示した図である。図示する認証テーブル44は,第1のユーザID441と,PIN(Personl Identification Number)442と,携帯電話ID443,サイトコード446と,第2のユーザID(サイトユーザID)445と,ワンタイムパスワード444と,ワンタイムパスワードの有効期限445とを有する。なお,第1のユーザID441は,本実施形態での認証システム全体で,各ユーザを識別するための識別情報である。PIN442は,ユーザが設定する暗証番号である。携帯電話ID443には,携帯電話1の機体識別番号(または,携帯電話の電話番号)を用いることとする。なお,1人のユーザが,複数の携帯電話1を所有する場合は,1つの第1のユーザID441に対して複数のレコードが登録されるものとする。」

C 「【0048】
次に,ユーザ認証処理について説明する。ユーザ認証処理では,まず,携帯電話1を用いてワンタイムパスワード取得し,その後,端末2から所望のサイトにログインする。
【0049】
図10は,ワンタイムパスワード取得処理のシーケンス図である。また,図11は,携帯電話1の出力装置に表示される各種画面(画面遷移)の一例を示したものである。まず,携帯電話1の指示受付部11は,ユーザの指示を受け付けて,所定のURLを指定して認証PLサーバ3にアクセスし,OTP(ワンタイムパスワード)取得メニュー画面を要求する。そして,認証PLサーバ3のパスワード要求受付部32は,携帯電話1からの要求を受け付けて,OTP取得メニュー画面を携帯電話1に送信する(S71)。
…(中略)…
【0053】
認証PLサーバ3のパスワード要求受付部32は,PINおよび携帯電話IDを受け付ける。そして,パスワード要求受付部32は,S71で指定されたURL(または,S75の送信時に指定されたURL)から,サイトコードを特定する。なお,パスワード要求受付部32は,例えば,URLとサイトコードとを対応付けたURLテーブル(不図示)を参照し,サイトコードを特定するものとする。この場合,URLテーブルは,認証PLサーバ3のメモリまたは外部記憶装置に記憶されているものとする。
【0054】
そして,パスワード要求受付部32は,PIN,携帯電話IDおよびサイトコードとを含むワンタイムパスワード生成要求を,認証BLサーバ4に送信する(S76)。
【0055】
認証BLサーバ4のパスワード生成部42は,ワンタイムパスワード生成要求を受信し,当該要求で指定されたPIN,携帯電話IDおよびサイトコードを有するレコードが,認証テーブル44に存在するか否かを判別する(S77)。そして,認証テーブル44に存在する場合,パスワード生成部42は,所定のアルゴリズムにより,ワンタイムパスワードを生成する(S78)。なお,パスワード生成部42は,例えば,ワンタイムパスワード生成要求のタイムスタンプ,および当該要求に含まれる携帯電話IDを,認証文字列の「種」としてワンタイムパスワードを生成する。
【0056】
そして,パスワード生成部42は,生成したワンタイムパスワードおよび有効期限を,認証テーブル44の対応するレコードに記憶する。なお,パスワード生成部42は,ワンタイムパスワードを生成した時刻から所定の時間(例えば,1分)が経過した時刻を,有効期限として認証テーブル44に設定するものとする。
【0057】
そして,パスワード生成部42は,生成したワンタイムパスワードを認証PLサーバ3に送信する(S79)。そして,認証PLサーバ3のパスワード要求受付部32は,生成されたワンタイムパスワードを含むワンタイムパスワード表示画面を携帯電話1に送信する(S80)。そして,携帯電話1の表示部12は,例えば図11に示すようなワンタイムパスワード表示画面83を出力装置に表示する(S81)。ユーザは,携帯電話1に表示されたワンタイムパスワードを用いて,次に説明するログイン処理を行う。なお,S77において,対象となるレコードが認証テーブル44に存在しない場合,エラーメッセージが携帯電話1に送信される。」

D 「【0059】
図12は,第1のログイン処理のシーケンス図である。また,図13は,端末2の出力装置に表示される各種画面(画面遷移)の一例を示したものである。まず,端末2の指示受付部21は,ユーザの指示を受け付けて,所定のURLを指定して認証PLサーバ3にアクセスし,ログイン画面を出力装置に表示する(S91)。なお,認証PLサーバ3のログイン要求受付部33は,端末2が指定したURLに基づいてログイン先のサイト(サイトコード)を特定する。そして,ログイン要求受付部33は,特定したサイトのログイン画面(または共通のログイン画面)を端末2に送信する。
…(中略)…
【0062】
そして,認証PLサーバ3のログイン要求受付部33は,ログイン要求を受信し,ログイン要求で指定されたURLからサイトコードを特定する。なお,ログイン要求受付部33は,例えば,前述のURLテーブル(不図示)を参照し,サイトコードを特定するものとする。
【0063】
そして,ログイン要求受付部33は,ログイン要求に含まれるサイトユーザIDおよびワンタイムパスワードと,特定したサイトコードとを含む認証要求を,認証BLサーバ4に送信する(S93)。認証BLサーバ4の認証部43は,認証要求を受け付けて,ワンタイムパスワードの認証を行う(S94)。すなわち,認証部43は,サイトユーザIDおよびサイトコードをキーとして,対応するワンタイムパスワードおよび有効期限を,認証テーブル44から特定する。そして,認証部43は,認証要求のワンタイムパスワードと認証テーブル44に記憶されたワンタイムパスワードとが一致するか否かを判別する。また,認証部43は,当該認証BLサーバ4のタイマー機構(不図示)から現在の時刻を取得し,取得した現在の時刻が認証テーブル44に記憶された有効期限を経過していないかを判別する。
【0064】
ワンタイムパスワードが一致し,かつ,有効期限内の場合,認証部43は,正当なユーザからのログイン要求であると認証する。この場合,認証部43は,認証に成功した旨を示す認証成功通知を認証PLサーバ3に送信する(S95)。そして,認証PLサーバ3のログイン要求受付部33は,特定したサイトコードに対応する業務サーバ5に,ログイン要求に含まれるサイトユーザIDおよびパスワードを送信する(S96)。」

E 「【0073】
なお,本発明は上記の実施形態に限定されるものではなく,その要旨の範囲内で数々の変形が可能である。例えば,認証BLサーバ4の認証テーブル44は,携帯電話1のメールアドレスおよび携帯電話番号を,さらに記憶することとしてもよい。ユーザ登録処理において,認証PLサーバ3は,メールアドレスおよび携帯電話番号の入力画面を携帯電話1に送信し,ユーザがこれらの情報を入力するものとする。この場合,ワンタイムパスワード取得処理(図10参照)において,認証PLサーバ3は,携帯電話1がパスワード取得要求を送信した通信経路(セッション)とは異なる通信経路(電子メール,SMS:Short Message Service))で,生成したワンタイムパスワードを携帯電話1に送信することとしてもよい(S80)。これにより,不正な第三者がなりすましによりワンタイムパスワードを要求した場合であっても,正当なユーザの携帯電話1にワンタイムパスワードを送信することができる。」

ここで,上記引用文献1に記載されている事項を検討する。

(ア)上記Aの「図1は,本発明の一実施形態が適用された認証システムの全体構成図である。図示する認証システムは,ユーザが携帯する携帯電話(第1の端末)1と,PC(Personal Computer)などの端末(第2の端末)2と,認証PL(presentation layer)サーバ3と,認証BL(business logic layer)サーバ4と,少なくとも1つの業務サーバ5とを有する。携帯電話1と認証PLサーバ3とは,携帯電話網6を介して接続され,端末2と認証PLサーバ3とは,インターネットなどのネットワーク7を介して接続されるものとする。」との記載からすると,認証システムは携帯電話と,端末と,認証PLサーバと,認証BLサーバと,業務サーバからなると解され,上記Aの「本認証システムのユーザは,少なくとも1つの業務サーバ5が提供するWebサイト(業務システム)のサービスを利用可能なユーザ」との記載からすると,ユーザは業務サーバが提供するWebサイトのサービスを利用し,認証システムはWebサイトのサービスを利用するユーザを認証することが読みとれるから,引用文献1には,
「携帯電話と,端末と,認証PLサーバと,認証BLサーバと,業務サーバからなり,前記業務サーバが提供するWebサイトのサービスを利用するユーザを認証する認証システム」
が記載されていると解される。

(イ)上記Cの「図10は,ワンタイムパスワード取得処理のシーケンス図である。また,図11は,携帯電話1の出力装置に表示される各種画面(画面遷移)の一例を示したものである。まず,携帯電話1の指示受付部11は,ユーザの指示を受け付けて,所定のURLを指定して認証PLサーバ3にアクセスし,OTP(ワンタイムパスワード)取得メニュー画面を要求する。そして,認証PLサーバ3のパスワード要求受付部32は,携帯電話1からの要求を受け付けて,OTP取得メニュー画面を携帯電話1に送信する(S71)。」,「認証PLサーバ3のパスワード要求受付部32は,PINおよび携帯電話IDを受け付ける。そして,パスワード要求受付部32は,S71で指定されたURL(または,S75の送信時に指定されたURL)から,サイトコードを特定する。なお,パスワード要求受付部32は,例えば,URLとサイトコードとを対応付けたURLテーブル(不図示)を参照し,サイトコードを特定するものとする。」との記載からすると,認証PLサーバは業務サーバのWebサイトのURLを指定する携帯電話からアクセスされ,パスワード要求受付部で,携帯電話からワンタイムパスワードの生成要求と,PINおよび携帯電話IDを受け付け,指定されたURLからサイトコードを特定すると解され,また,上記Bの「PIN442は,ユーザが設定する暗証番号である。携帯電話ID443には,携帯電話1の機体識別番号(または,携帯電話の電話番号)を用いることとする。」との記載からすると,PINはユーザが設定する暗証番号であり,携帯電話IDは一態様として携帯電話の電話番号を含むことが読みとれるから,引用文献1には,
「携帯電話から,業務サーバのWebサイトのURLの指定と,ワンタイムパスワード生成要求と共にユーザが設定する暗証番号および前記携帯電話の電話番号を受け付け,指定された前記URLからサイトコードを特定するパスワード要求受付部」
が記載されていると解される。

(ウ)上記Cの「そして,パスワード要求受付部32は,PIN,携帯電話IDおよびサイトコードとを含むワンタイムパスワード生成要求を,認証BLサーバ4に送信する(S76)。」,「認証BLサーバ4のパスワード生成部42は,ワンタイムパスワード生成要求を受信し,当該要求で指定されたPIN,携帯電話IDおよびサイトコードを有するレコードが,認証テーブル44に存在するか否かを判別する(S77)。」との記載からすると,認証BLサーバは,認証PLサーバのパスワード要求受付部が携帯電話からワンタイムパスワード生成要求と共に受け付けたPIN,携帯電話ID,およびサイトコードが認証テーブルに存在するか否かを判別することにより,ユーザの認証を行う認証手段を実質的に有すると解され,また,上記(イ)での検討と同様,PINはユーザが設定する暗証番号であり,携帯電話IDは一態様として携帯電話の電話番号を含むことが読みとれるから,引用文献1には,
「認証PLサーバが携帯電話からワンタイムパスワード生成要求と共に受け付けた暗証番号,電話番号,およびサイトコードが認証テーブルに存在するか否かを判別して認証を行う認証手段」
が記載されていると解される。

(エ)上記Cの「認証BLサーバ4のパスワード生成部42は,ワンタイムパスワード生成要求を受信し,当該要求で指定されたPIN,携帯電話IDおよびサイトコードを有するレコードが,認証テーブル44に存在するか否かを判別する(S77)。そして,認証テーブル44に存在する場合,パスワード生成部42は,所定のアルゴリズムにより,ワンタイムパスワードを生成する(S78)。なお,パスワード生成部42は,例えば,ワンタイムパスワード生成要求のタイムスタンプ,および当該要求に含まれる携帯電話IDを,認証文字列の「種」としてワンタイムパスワードを生成する。」との記載からすると,認証BLサーバは,携帯電話からのワンタイムパスワード生成要求と共に受け付けたPIN,携帯電話IDおよびサイトコードを有するレコードが認証テーブルに存在する場合,ワンタイムパスワードを生成するワンタイムパスワード生成手段を実質的に有すると解され,また,ワンタイムパスワードは,ワンタイムパスワード生成要求を行う携帯電話に対するものとして,ワンタイムパスワード生成要求のタイムスタンプ,および当該要求に含まれる携帯電話IDの態様である電話番号から生成することが読みとれるから,引用文献1には,
「携帯電話から受け付けた暗証番号,電話番号,およびサイトコードを有するレコードが認証テーブルに存在する場合,所定のアルゴリズムにより,ワンタイムパスワード生成要求のタイムスタンプ,および前記ワンタイムパスワード生成要求に含まれる前記電話番号から前記ワンタイムパスワード生成要求を行う前記携帯電話に対するワンタイムパスワードを生成するワンタイムパスワード生成手段」
が記載されていると解される。

(オ)上記Cの「そして,パスワード生成部42は,生成したワンタイムパスワードを認証PLサーバ3に送信する(S79)。そして,認証PLサーバ3のパスワード要求受付部32は,生成されたワンタイムパスワードを含むワンタイムパスワード表示画面を携帯電話1に送信する(S80)。そして,携帯電話1の表示部12は,例えば図11に示すようなワンタイムパスワード表示画面83を出力装置に表示する(S81)。」との記載からすると,認証PLサーバは,生成されたワンタイムパスワードをワンタイムパスワード生成要求を行う携帯電話に送信するワンタイムパスワード送信手段を実質的に有すると解される。
また,上記Eの「なお,本発明は上記の実施形態に限定されるものではなく,その要旨の範囲内で数々の変形が可能である。例えば,認証BLサーバ4の認証テーブル44は,携帯電話1のメールアドレスおよび携帯電話番号を,さらに記憶することとしてもよい。ユーザ登録処理において,認証PLサーバ3は,メールアドレスおよび携帯電話番号の入力画面を携帯電話1に送信し,ユーザがこれらの情報を入力するものとする。この場合,ワンタイムパスワード取得処理(図10参照)において,認証PLサーバ3は,携帯電話1がパスワード取得要求を送信した通信経路(セッション)とは異なる通信経路(電子メール,SMS:Short Message Service))で,生成したワンタイムパスワードを携帯電話1に送信することとしてもよい(S80)。これにより,不正な第三者がなりすましによりワンタイムパスワードを要求した場合であっても,正当なユーザの携帯電話1にワンタイムパスワードを送信することができる。」との記載からすると,認証PLサーバのワンタイムパスワード送信手段は,携帯電話がパスワード取得要求を送信した通信経路とは異なる通信経路であるSMS(Short Message Service)を用いて,生成したワンタイムパスワードを携帯電話へ送信する態様を含むことが読みとれ,SMSは電話番号で宛先指定が可能であることは明らかであることから,引用文献1には,
「生成されたワンタイムパスワードを電話番号で宛先指定可能なSMSを用いて,ワンタイムパスワード生成要求を行う携帯電話へ送信するワンタイムパスワード送信手段」
が記載されていると解される。

(カ)上記Dの「まず,端末2の指示受付部21は,ユーザの指示を受け付けて,所定のURLを指定して認証PLサーバ3にアクセスし,ログイン画面を出力装置に表示する(S91)。なお,認証PLサーバ3のログイン要求受付部33は,端末2が指定したURLに基づいてログイン先のサイト(サイトコード)を特定する。そして,ログイン要求受付部33は,特定したサイトのログイン画面(または共通のログイン画面)を端末2に送信する。」,「そして,ログイン要求受付部33は,ログイン要求に含まれるサイトユーザIDおよびワンタイムパスワードと,特定したサイトコードとを含む認証要求を,認証BLサーバ4に送信する(S93)。認証BLサーバ4の認証部43は,認証要求を受け付けて,ワンタイムパスワードの認証を行う(S94)。すなわち,認証部43は,サイトユーザIDおよびサイトコードをキーとして,対応するワンタイムパスワードおよび有効期限を,認証テーブル44から特定する。そして,認証部43は,認証要求のワンタイムパスワードと認証テーブル44に記憶されたワンタイムパスワードとが一致するか否かを判別する。」との記載からすると,端末から業務サーバのWebサイトのURLを指定したログイン要求を認証PLサーバが受け付けると,認証BLサーバがログイン要求に含まれるワンタイムパスワードと認証テーブルに記憶されたワンタイムパスワードとの一致を判別することが読みとれ,認証BLサーバは,ログイン要求がされたときに,認証PLサーバを介してログイン要求に含まれるサイトユーザIDおよびワンタイムパスワードと,認証PLサーバがURLから特定したサイトコードとを含む認証要求を受け付けて,当該認証要求に含まれるワンタイムパスワードと認証テーブルに記憶されたワンタイムパスワードとが一致するか否かを判別する判別手段を実質的に有すると解されることから,引用文献1には,
「ユーザの指示で端末から業務サーバのWebサイトのURLを指定したログイン要求がされたときに,認証PLサーバを介して前記ログイン要求に含まれるサイトユーザIDおよびワンタイムパスワードと,前記認証PLサーバが指定された前記URLから特定したサイトコードとを含む認証要求を受け付けて,前記認証要求に含まれる前記ワンタイムパスワードと認証テーブルに記憶された前記ワンタイムパスワードとが一致するか否かを判別する判別手段」
が記載されていると解される。

(キ)上記(カ)の検討および上記Dの「ワンタイムパスワードが一致し,かつ,有効期限内の場合,認証部43は,正当なユーザからのログイン要求であると認証する。この場合,認証部43は,認証に成功した旨を示す認証成功通知を認証PLサーバ3に送信する(S95)。そして,認証PLサーバ3のログイン要求受付部33は,特定したサイトコードに対応する業務サーバ5に,ログイン要求に含まれるサイトユーザIDおよびパスワードを送信する(S96)。」との記載からすると,認証BLサーバにより,ログイン要求に含まれるワンタイムパスワードが認証テーブルに記憶されたワンタイムパスワードと一致することが判別され,かつ,有効期限内の場合,正当なユーザからのログイン要求であると認証され,認証されたログイン要求は認証PLサーバを介して業務サーバに送信されることが読みとれ,認証PLサーバは,業務サーバのWebサイトへのアクセスを認証するアクセス認証手段を実質的に有すると解されることから,引用文献1には,
「認証BLサーバにより,ログイン要求に含まれるワンタイムパスワードと認証テーブルに記憶された前記ワンタイムパスワードとが一致すると判別され,有効期限内の場合,端末のWebサイトへのアクセスを認証するアクセス認証手段」
が記載されていると解される。

(ク)上記(イ),(ウ)の検討および上記Aの「認証PLサーバ3および認証BLサーバ4は,携帯電話1の要求を受け付けて,ワンタイムパスワードを生成するとともに,端末2から送信されたログイン要求の正当性を認証する。認証PLサーバ3は,図示するように,ユーザ登録受付部31と,パスワード要求受付部32と,ログイン要求受付部33とを有し,携帯電話1および端末2に対する入出力処理を行う。」との記載からすると,認証PLサーバは,パスワード要求受付部で携帯電話から業務サーバのWebサイトへのワンタイムパスワードの生成要求のためのアクセスを受け付け,認証BLサーバの認証手段に認証処理を依頼することが読みとれる。
また,上記(カ)の検討から,認証PLサーバは,ログイン要求受付部で端末から業務サーバのWebサイトへのログイン要求のためのアクセスを受け付け,認証BLサーバの判別手段にワンタイムパスワードの判別処理を依頼することが読みとれる。
そうすると,パスワード要求受付部とログイン要求受付部とを有する認証PLサーバは,業務サーバのWebサイトへのアクセス要求が,携帯電話からのワンタイムパスワード生成要求であるか,端末からのログイン要求であるかに応じて,認証BLサーバの認証手段による処理と判別手段による処理とを切り替える切替手段を実質的に有すると解されるから,引用文献1には,
「業務サーバのWebサイトへのアクセス要求が,携帯電話からのワンタイムパスワード生成要求であるか,端末からのログイン要求であるかに応じて,認証手段による処理と判別手段による処理とを切り替える切替手段」
が記載されていると解される。

以上,(ア)乃至(ク)で指摘した事項から,引用文献1には,次の発明(以下,「引用発明」という。)が記載されているものと認める。

「携帯電話と,端末と,認証PLサーバと,認証BLサーバと,業務サーバからなり,前記業務サーバが提供するWebサイトのサービスを利用するユーザを認証する認証システムであって,
前記携帯電話から,前記業務サーバのWebサイトのURLの指定と,ワンタイムパスワード生成要求と共にユーザが設定する暗証番号および前記携帯電話の電話番号を受け付け,指定された前記URLからサイトコードを特定するパスワード要求受付部と,
前記認証PLサーバが前記携帯電話から前記ワンタイムパスワード生成要求と共に受け付けた前記暗証番号,前記電話番号,および前記サイトコードが認証テーブルに存在するか否かを判別して認証を行う認証手段と,
前記携帯電話から受け付けた前記暗証番号,前記電話番号,および前記サイトコードを有するレコードが前記認証テーブルに存在する場合,所定のアルゴリズムにより,前記ワンタイムパスワード生成要求のタイムスタンプ,および前記ワンタイムパスワード生成要求に含まれる前記電話番号から前記ワンタイムパスワード生成要求を行う前記携帯電話に対するワンタイムパスワードを生成するワンタイムパスワード生成手段と,
生成された前記ワンタイムパスワードを前記電話番号で宛先指定可能なSMSを用いて,前記ワンタイムパスワード生成要求を行う前記携帯電話へ送信するワンタイムパスワード送信手段と,
ユーザの指示で端末から前記業務サーバの前記Webサイトの前記URLを指定したログイン要求がされたときに,前記認証PLサーバを介して前記ログイン要求に含まれるサイトユーザIDおよび前記ワンタイムパスワードと,前記認証PLサーバが指定された前記URLから特定した前記サイトコードとを含む認証要求を受け付けて,前記認証要求に含まれる前記ワンタイムパスワードと前記認証テーブルに記憶された前記ワンタイムパスワードとが一致するか否かを判別する判別手段と,
前記認証BLサーバにより,前記ログイン要求に含まれる前記ワンタイムパスワードと前記認証テーブルに記憶された前記ワンタイムパスワードとが一致すると判別され,有効期限内の場合,前記端末の前記Webサイトへのアクセスを認証するアクセス認証手段と,
前記業務サーバのWebサイトへのアクセス要求が,前記携帯電話からの前記ワンタイムパスワード生成要求であるか,前記端末からの前記ログイン要求であるかに応じて,前記認証手段による処理と前記判別手段による処理とを切り替える切替手段と
を備えた認証システム。」


(2-2)引用発明2及び引用文献2に記載されている技術的事項

本願出願前に頒布され,原審の拒絶査定の理由である上記平成24年8月15日付けの拒絶理由通知において引用された,特開2006-128873号公報(平成18年5月18日出願公開,以下,「引用文献2」という。)には,関連する図面とともに,以下の技術的事項が記載されている。
(当審注:下線は,参考のために当審で付与したものである。)

F 「【0030】
(実施の形態1)
図1は,本発明の実施の形態1に係るURL認証システム100の構成を示すブロック図である。この図において,仲介サーバ101,クライアント102及びサービス提供サーバ103は,それぞれ一般的な公衆IPネットワークであるインターネット等の通信ネットワーク104に接続されている。
【0031】
仲介サーバ101は,サービス提供サーバ103と定期的に接続及び情報交換を行うことにより,サービス提供サーバ103への接続方法を把握し,把握した接続方法をOne Time URL(以下,「OTU」と省略する)にてクライアント102に通知する。
【0032】
クライアント102は,仲介サーバ101からOTUを取得し,取得したOTUを辿ることによりサービス提供サーバ103に接続し,HTTPプロトコルを介してサービス提供サーバ103からコンテンツを受信したり,サービス提供サーバ103に特定の処理を実行させたりする。
【0033】
サービス提供サーバ103は,例えば,HDDプレイヤ等の宅内機器であり,クライアント102から提示されたOTUの認証コード部分を検証することにより,OTUの正当性を確認し,クライアント102へのコンテンツの提供,あるいはクライアント102からの指示に応じた特定の処理を実行するなどのサービスを提供する。」

G 「【0037】
OTU生成部114は,クライアント102から受けた接続要求に従って,情報記憶部112に記憶されたサービス提供サーバのアドレス情報と,サービスメニュー等のサービス制約条件とからサービス提供サーバ接続用のURLを生成し,生成したURLをハッシュ演算部115に出力する。また,後述するハッシュ演算部115で生成された認証コードをサービス提供サーバ接続用のURLに付加することによりOTUを生成し,生成したOTUをHTTPサーバ機能部113に通知する。
…(中略)…
【0039】
次に,クライアント102について説明する。図2において,HTTPクライアント機能部121は,通信ネットワーク104を介して仲介サーバ101のHTTPサーバ機能部113及びサービス提供サーバ103のHTTPサーバ機能部133に接続し,仲介サーバ101にアクセスすると,クライアント102は仲介サーバ101からクライアント認証を受ける。クライアント認証は,HTMLメニューに従ってユーザID及びパスワードを入力することにより行われる。そして,クライアント102は接続先のサービス提供サーバ103及びサービスメニュー等の選択を行う。また,仲介サーバ101から通知されたサービス提供サーバ接続用のOTUを情報記憶部122に記憶させる。さらに,情報記憶部122に記憶したOTUを用いて,サービス提供サーバ103にアクセスする。」

H 「【0047】
ST143では,クライアント102が仲介サーバ101の固定アドレスにアクセスし,サービス提供サーバ103への接続要求を通知し,ST144では,仲介サーバ101がサービスメニュー又はユーザの要望に応じたアクセス制限情報をURLパラメータとして図5に示すA1部分のURLに付加し,共通鍵Kcを用いて認証コードを生成し,認証コードを図5に示すA3部分に付加する。
【0048】
ST145では,仲介サーバ101がパスワード等の所望のクライアント認証を行った後,OTUにてサービス提供サーバ103への接続方法をクライアント102に通知する。このとき,OTUの通知方法は,予め仲介サーバ101が把握するクライアント102のメールアドレス宛に電子メールで通知してもよいし,HTTPプロトコル上でHTMLページ上の情報として通知してもよい。
【0049】
ST146では,仲介サーバ101から通知されたOTUをクライアント102が辿ることにより,サービス提供サーバ103に接続する。通常,この接続はウェブブラウザ又はメーラ上でURLリンク部分をクリックするだけの簡便なユーザインタフェースにより実現される。
【0050】
ST147では,サービス提供サーバ103がクライアント102から提示されたOTUの認証コード部分を共通鍵Kcで検証することにより,OTUの正当性を確認し,ST148では,クライアント102が所望するサービス提供サーバ103へのHTTPアクセスを実現する。」

J 「【0052】
なお,本実施の形態では,OTUの発行方法をHTML上で直接通知することにより行っているが,本発明はこれに限らず,電子メールによる通知,携帯電話のショートメッセージサービスによる通知,PC端末のインスタントメッセージングによる通知,さらには,口頭伝達等のオフラインによる通知でもよい。
…(中略)…
【0055】
また,本実施の形態では,クライアントが仲介サーバに接続する際に,ユーザID及びパスワードによるライアント認証を行っているが,本発明はこれに限らず,クライアント認証を行うか否かを任意に選択可能であり,クライアント認証を行う場合にはその認証方法の種別は問わない。」

ここで,上記引用文献2に記載されている事項を検討する。

(ケ)上記Fの「図1は,本発明の実施の形態1に係るURL認証システム100の構成を示すブロック図である。この図において,仲介サーバ101,クライアント102及びサービス提供サーバ103は,それぞれ一般的な公衆IPネットワークであるインターネット等の通信ネットワーク104に接続されている。」との記載,上記Gの「次に,クライアント102について説明する。図2において,HTTPクライアント機能部121は,通信ネットワーク104を介して仲介サーバ101のHTTPサーバ機能部113及びサービス提供サーバ103のHTTPサーバ機能部133に接続し,仲介サーバ101にアクセスすると,クライアント102は仲介サーバ101からクライアント認証を受ける。クライアント認証は,HTMLメニューに従ってユーザID及びパスワードを入力することにより行われる。」との記載からすると,URL認証システムは,クライアントと,仲介サーバと,サービス提供サーバからなり,サービス提供サーバが提供するサービスを利用するクライアントを認証することが読みとれるから,引用文献2には,
「クライアントと,仲介サーバと,サービス提供サーバからなり,前記サービス提供サーバが提供するサービスを利用するクライアントを認証するURL認証システム」
が記載されていると解される。

(コ)上記Fの「仲介サーバ101は,サービス提供サーバ103と定期的に接続及び情報交換を行うことにより,サービス提供サーバ103への接続方法を把握し,把握した接続方法をOne Time URL(以下,「OTU」と省略する)にてクライアント102に通知する。」との記載,上記Gの「OTU生成部114は,クライアント102から受けた接続要求に従って,情報記憶部112に記憶されたサービス提供サーバのアドレス情報と,サービスメニュー等のサービス制約条件とからサービス提供サーバ接続用のURLを生成し,生成したURLをハッシュ演算部115に出力する。また,後述するハッシュ演算部115で生成された認証コードをサービス提供サーバ接続用のURLに付加することによりOTUを生成し,生成したOTUをHTTPサーバ機能部113に通知する。」との記載,上記Hの「ST143では,クライアント102が仲介サーバ101の固定アドレスにアクセスし,サービス提供サーバ103への接続要求を通知し,ST144では,仲介サーバ101がサービスメニュー又はユーザの要望に応じたアクセス制限情報をURLパラメータとして図5に示すA1部分のURLに付加し,共通鍵Kcを用いて認証コードを生成し,認証コードを図5に示すA3部分に付加する。」との記載,上記Jの「なお,本実施の形態では,OTUの発行方法をHTML上で直接通知することにより行っているが,本発明はこれに限らず,電子メールによる通知,携帯電話のショートメッセージサービスによる通知,PC端末のインスタントメッセージングによる通知,さらには,口頭伝達等のオフラインによる通知でもよい。」との記載からすると,認証コードを含んだURL情報であるサービス提供サーバ接続用のOTUが生成され,前記OTUがクライアントにショートメッセージサービスなどの方法で送信されると解されるから,引用文献2には,
「認証コードを含んだURL情報であるサービス提供サーバ接続用のOTUを生成し,前記OTUをクライアントに送信」すること
が記載されていると解される。

(サ)上記Fの「クライアント102は,仲介サーバ101からOTUを取得し,取得したOTUを辿ることによりサービス提供サーバ103に接続し,HTTPプロトコルを介してサービス提供サーバ103からコンテンツを受信したり,サービス提供サーバ103に特定の処理を実行させたりする。…(中略)…サービス提供サーバ103は,例えば,HDDプレイヤ等の宅内機器であり,クライアント102から提示されたOTUの認証コード部分を検証することにより,OTUの正当性を確認し,クライアント102へのコンテンツの提供,あるいはクライアント102からの指示に応じた特定の処理を実行するなどのサービスを提供する。」との記載,上記Hの「ST146では,仲介サーバ101から通知されたOTUをクライアント102が辿ることにより,サービス提供サーバ103に接続する。通常,この接続はウェブブラウザ又はメーラ上でURLリンク部分をクリックするだけの簡便なユーザインタフェースにより実現される。」,「ST147では,サービス提供サーバ103がクライアント102から提示されたOTUの認証コード部分を共通鍵Kcで検証することにより,OTUの正当性を確認し,ST148では,クライアント102が所望するサービス提供サーバ103へのHTTPアクセスを実現する。」との記載からすると,クライアントから認証コードを含むOTUを用いたサービス提供サーバへのアクセス要求がされると,OTUに含まれている認証コードの照合結果によりアクセスが許可されると解されるから,引用文献2には,
「クライアントから認証コードを含むOTUを用いたサービス提供サーバへのアクセス要求がされたときに,前記OTUに含まれている認証コードを照合し,照合結果により前記サービス提供サーバへのアクセスを許可する」こと
が記載されていると解される。

以上,(ケ)乃至(サ)で指摘した事項から,引用文献2には,次の発明(以下,「引用発明2」という。)が記載されているものと認める。

「クライアントと,仲介サーバと,サービス提供サーバからなり,前記サービス提供サーバが提供するサービスを利用する前記クライアントを認証するURL認証システムであって,
認証コードを含んだURL情報である前記サービス提供サーバ接続用のOTUを生成し,前記OTUを前記クライアントに送信し,
前記クライアントから前記認証コードを含む前記OTUを用いた前記サービス提供サーバへのアクセス要求がされたときに,前記OTUに含まれている前記認証コードを照合し,照合結果により前記サービス提供サーバへのアクセスを許可するURL認証システム。」


(3)参考文献

本願出願前に頒布された,再公表特許第2011/083867号(平成23年7月14日国際公開,以下,「参考文献1」という。)には,関連する図面とともに,以下の技術的事項が記載されている。
(当審注:下線は,参考のために当審で付与したものである。)

K 「【0043】
認証装置10の制御部13は,移動体通信網50を介して,接続要求SMを受信すると(ステップS102),接続要求SMの送信元アドレスに設定されている電話番号を用いて,携帯電話20機の認証を行う。即ち,まず,制御部13は,接続要求SMの送信元アドレスに設定されている電話番号が,認証DB121に登録されているか否かを判別する(ステップS103)。
【0044】
電話番号が認証DB121に登録されていない場合(ステップS103;No),その電話番号を有する携帯電話20は社員の携帯電話20ではないものと判断できる。従って,制御部13は,エラーとして処理を終了する。
【0045】
電話番号が認証DB121に登録されている場合(ステップS103;Yes),その電話番号を有する携帯電話20は社員の携帯電話20であると判断できる。続いて,制御部13は,その電話番号を有する認証DB121のレコードのステータスが非接続状態を示す「0」であるか否かを判別する(ステップS104)。ステータスが「0」以外である場合(ステップS104;No),制御部13は,エラーとして処理を終了する。
【0046】
ステータスが「0」である場合(ステップS104;Yes),制御部13は,ステータスを接続待ち状態であることを示す「1」に更新する(ステップS105)。
【0047】
続いて,制御部13は,乱数などを発生させるなどしてワンタイムパスワードを作成し,さきほどステータスを更新した認証DB121のレコードに記憶する(ステップS106)。また,制御部13は,そのときの時刻を,認証DB121の当該レコードの応答時刻に記録する(ステップS107)。
【0048】
続いて,制御部13は,インターネット60を介して認証装置10にアクセスするためのアドレス情報(例えば,URL(Uniform Resource Locator))を作成する(ステップS108)。なお,このURLには,認証装置10へのアクセス用のURL以外に,接続要求SMの送信元アドレスに設定されている電話番号と,ステップS106で作成したワンタイムパスワードとがパラメータとして付与される。例えば,ステップS108の処理により,「http://www.aaa.com?x1=0904567865x2=93445693」のようなURLが作成される。この例では,「http://www.aaa.com」は認証装置10へのアクセス用URL,パラメータx1に設定されている「0904567865」は電話番号,パラメータx2に設定されている「93445693」は発行されたワンタイムパスワードを示す。
【0049】
続いて,制御部13は,作成したURLをメッセージ内容としたショートメッセージ(以下,URL通知SMとする)を,移動体通信網50を介して,接続要求SMの送信元である携帯電話20に送信(返信)する(ステップS109)。
…(中略)…
【0052】
認証装置10の制御部13は,インターネット60介して,携帯電話20からのアクセスがあると,当該アクセスの際のURLを用いて,認証を行う。即ち,まず,制御部13は,このURLから,ワンタイムパスワードと電話番号とを取得する(図6,ステップS112)。なお,URLから電話番号とワンタイムパスワードとを取得できない場合にはエラーとして処理を終了する。
【0053】
続いて,制御部13は,ステップS112で取得した情報を用いて,接続要求SMを送信して認証を与えた携帯電話20からのアクセスであるか否かを判別する(ステップS113)。
具体的には,制御部13は,ステップS112で取得したワンタイムパスワードと電話番号とが対応付けられて記憶されているレコードが認証DB121に有り,且つ,そのレコードのステータスが接続待ち状態を示す「1」である場合に,認証を与えた携帯電話20からのアクセスであると判別する。」

L 「【0063】
このように,本発明の認証装置10は,(1)携帯電話20から送信されるショートメッセージを利用した機器認証と,(2)端末認証後のインターネット60経由で認証装置10に接続時のURLに設定されている情報(電話番号,ワンタイムパスワード)や,認証DB121のステータスと応答時刻を用いたインターネット60接続時の認証(URL認証),及び,(3)ユーザからの暗証番号を用いたユーザ認証の三重の認証を実施して,社内システム40へのアクセスを許可する。従って,従来よりも強固なセキュリティを保つことができ,なりすましを防ぐことができる。
特に,上記(1)の機器認証では,パスワード等とは異なり人が改変できない情報であるショートメッセージの送信元アドレスに設定されている電話番号を用いて携帯電話20を認証する。従って,本実施形態に係る認証装置10は,認証DB121に未登録の携帯電話20からの接続を完全に防止することができる。
また,上記(2)のインターネット60接続時のURL認証では,まず,接続時のURLに含まれる電話番号とワンタイムパスワード(都度のワンタイム情報)とが対応付けられている認証DB121のレコードがあることが確認される。第三者が認証装置10にURLを指定してアクセスする際に,上記電話番号を不正に入手している可能性は考えられるが,それに対応するワンタイムパスワードはユーザの携帯電話20に対してのみ認証装置10から与えられるため,第三者が入手することはまずない。従って,第三者は,認証をパスする電話番号とワンタイムパスワードとの組を含んだURLで認証装置10にアクセスすることはほとんど不可能である。また,上記(2)のURL認証では,その後,確認したレコードの状態が「1」であることを確認する。ここで,認証DB121のステータスは,上記(1)の端末認証が完了した携帯電話20に対してのみ「1」に更新される。従って,接続要求(接続要求SMの送信)を受けた携帯電話20以外の第三者の携帯電話20等から,偶然正しいワンタイムパスワードを指定して,インターネット60接続をしても,そのステータスが「1」である可能性は極めて低く,認証をパスすることは基本的に不可能である。また,ワンタイムパスワードを発行してから所定時間を経過した場合は,正しいURLを用いたアクセスであっても,エラーとして処理されるため,より高いセキュリティを実現できる。
このように,本発明では,第三者からのなりすましによる社内システム40へのアクセスを防止することができる。」


(4)対比

本件補正発明と引用発明とを対比する。

(4-1)本件補正発明と引用発明とは,“認証システム”である点で共通している。

(4-2)引用発明の「携帯電話」は最初に業務サーバのWebサイトのURLを指定して,アクセス要求をすることから,引用発明の「携帯電話」と本件補正発明の「アクセス元端末」とは,WEBサイトへのアクセス要求をする“アクセス要求端末”である点で共通するといえる。そして,引用発明の「パスワード要求受付部」は,携帯電話から,業務サーバのWebサイトのURLの指定によるアクセス要求と,ワンタイムパスワードの生成要求と共にユーザが設定する暗証番号および前記携帯電話の電話番号を受け付けることから,引用発明の「前記携帯電話から,前記業務サーバのWebサイトのURLの指定と,ワンタイムパスワード生成要求と共にユーザが設定する暗証番号および前記携帯電話の電話番号を受け付け,指定された前記URLからサイトコードを特定するパスワード要求受付部」と本件補正発明の「アクセス元端末からのWEBサイトへのアクセス要求を受け付けるアクセス要求受付手段」とは,後記する点で相違するものの,“アクセス要求端末からのWEBサイトへのアクセス要求を受け付けるアクセス要求受付手段”である点で共通しているといえる。

(4-3)引用発明の「認証手段」は,携帯電話からワンタイムパスワード生成要求のための業務サーバのWebサイトへのアクセス要求と共に受け付けた暗証番号,電話番号,およびサイトコードが認証テーブルに存在するか否かを判別することから,携帯電話を一意に識別するための電話番号に基づいて,当該携帯電話が業務サーバのWebサイトへのアクセスが許可された端末であるか否かを認証するといえる。
そうすると,引用発明の「前記認証PLサーバが前記携帯電話から前記ワンタイムパスワード生成要求と共に受け付けた前記暗証番号,前記電話番号,および前記サイトコードが認証テーブルに存在するか否かを判別して認証を行う認証手段」と,本件補正発明の「前記アクセス要求受付手段が前記アクセス元端末からのWEBサイトへのアクセス要求を受け付けたときに,前記アクセス元端末から受信した前記アクセス元端末を一意に識別するための電話番号を認証情報とし,該認証情報に基づいて,前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるか否かの認証を行う認証手段」とは,後記する点で相違するものの,“アクセス要求受付手段がアクセス要求端末からのWEBサイトへのアクセス要求を受け付けたときに,前記アクセス要求端末から受信した前記アクセス要求端末を一意に識別するための電話番号を認証情報とし,前記認証情報に基づいて,前記アクセス要求端末が前記WEBサイトへのアクセスが許可された端末であるか否かの認証を行う認証手段”である点で共通しているといえる。

(4-4)引用発明の「ワンタイムパスワード」は,携帯電話に対して業務サーバのWebサイトへのアクセスを許可するために発行する情報であるといえるから,本件補正発明の「認証コード」に対応することは明らかである。
そして,引用発明の「ワンタイムパスワード」は,所定のアルゴリズムにより,ワンタイムパスワード生成要求のタイムスタンプ,および当該要求に含まれる電話番号から生成されることから,引用発明の「ワンタイムパスワード」と本件補正発明の「認証コード」とは,WEBサイトへのアクセスが許可された場合に,所定のアルゴリズムで生成される“キー情報”である点で共通するといえる。
そうすると,引用発明の「前記携帯電話から受け付けた前記暗証番号,前記電話番号,および前記サイトコードを有するレコードが前記認証テーブルに存在する場合,所定のアルゴリズムにより,前記ワンタイムパスワード生成要求のタイムスタンプ,および前記ワンタイムパスワード生成要求に含まれる前記電話番号から前記ワンタイムパスワード生成要求を行う前記携帯電話に対するワンタイムパスワードを生成するワンタイムパスワード生成手段」と,本件補正発明の「前記認証手段によって前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるという認証結果が得られた場合に,アルファベット,数字,記号の少なくとも1つをランダムに,または所定のアルゴリズムで組み合わせた認証コードを生成し,生成した前記認証コードを前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードとして発行する認証コード発行手段」とは,後記する点で相違するものの,“認証手段によってアクセス要求端末がWEBサイトへのアクセスが許可された端末であるという認証結果が得られた場合に,所定のアルゴリズムでキー情報を生成し,生成した前記キー情報を前記アクセス要求端末に対して前記WEBサイトへのアクセスを許可するための前記キー情報として発行するキー情報発行手段”である点で共通しているといえる。

(4-5)引用発明の「SMS」は,認証情報に含まれる電話番号により宛先指定が可能で,携帯電話への「ワンタイムパスワード」の送信に用いられることから,本件補正発明の「ショートメッセージ」に相当するといえる。
また,引用発明では,生成された「ワンタイムパスワード」を携帯電話に送信するところ,本件補正発明では,アクセス用情報生成手段によって生成された認証コードを含んだWEBサイトへの「アクセス用情報」をアクセス元端末へ送信するが,引用発明の「ワンタイムパスワード」と本件補正発明の「アクセス用情報」とは,“WEBサイトへのアクセスに必要な情報”である点で共通しているといえる。
そうすると,引用発明の「生成された前記ワンタイムパスワードを前記電話番号で宛先指定可能なSMSを用いて,前記ワンタイムパスワード生成要求を行う前記携帯電話へ送信するワンタイムパスワード送信手段」と,本件補正発明の「前記アクセス用情報生成手段によって生成された前記アクセス用情報を,前記認証情報を利用して宛先を設定してショートメッセージを用いて前記アクセス元端末へ送信するアクセス用情報送信手段」とは,後記する点で相違するものの,“生成されたキー情報を少なくとも含むWEBサイトへのアクセスに必要な情報を,認証情報を利用して宛先を設定してショートメッセージを用いてアクセス要求端末へ送信する送信手段”である点で共通しているといえる。

(4-6)引用発明では,業務サーバのWebサイトへのアクセスに必要な情報であるワンタイムパスワードを「携帯電話」で受信し,「携帯電話」とは異なる別の「端末」でワンタイムパスワードのほかサイトユーザIDやWebサイトのURLを指定して業務サーバのWebサイトへのログイン要求を行うところ,本件補正発明では,アクセス用情報を受信した「アクセス元端末」から,アクセス用情報を用いたWEBサイトへのアクセス要求を行うが,引用発明の「端末」と本件補正発明の「アクセス元端末」は共に“アクセス実行端末”といえることから,引用発明と本件補正発明とは,“アクセス実行端末から,アクセスに必要な情報を用いたWEBサイトへのアクセス要求”を行う点で共通しているといえる。
また,引用発明では,端末からのログイン要求に含まれるワンタイムパスワードと認証テーブルに記憶されたワンタイムパスワードとが一致するか否かを判別するが,認証テーブルは携帯電話に対して発行されたワンタイムパスワードを登録していることは自明であるから,引用発明と本件補正発明とは,“アクセスに必要な情報に含まれているキー情報と,キー情報発行手段が発行した前記キー情報とを照合する”点で共通しているといえる。
そうすると,引用発明の「ユーザの指示で端末から前記業務サーバの前記Webサイトの前記URLを指定したログイン要求がされたときに,前記認証PLサーバを介して前記ログイン要求に含まれるサイトユーザIDおよび前記ワンタイムパスワードと,前記認証PLサーバが指定された前記URLから特定した前記サイトコードとを含む認証要求を受け付けて,前記認証要求に含まれる前記ワンタイムパスワードと前記認証テーブルに記憶された前記ワンタイムパスワードとが一致するか否かを判別する判別手段」と,本件補正発明の「前記アクセス用情報を受信した前記アクセス元端末から,前記アクセス用情報を用いた前記WEBサイトへのアクセス要求がされたときに,前記アクセス用情報に含まれている前記認証コードと,前記認証コード発行手段が発行した前記認証コードとを照合する認証コード照合手段」とは,後記する点で相違するものの,“アクセス実行端末から,アクセスに必要な情報を用いたWEBサイトへのアクセス要求がされたときに,前記アクセスに必要な情報に含まれているキー情報と,キー情報発行手段が発行した前記キー情報とを照合するキー情報照合手段”である点で共通しているといえる。

(4-7)引用発明では,ログイン要求に含まれるワンタイムパスワードと認証テーブルに記憶されたワンタイムパスワードとが一致すると判別され,さらに,前記ワンタイムパスワードが有効期限内である場合に,端末のWebサイトへのアクセスを認証するところ,引用発明では,少なくともワンタイムパスワードの照合結果が一致することが確認されたときに,端末に対して業務サーバのWebサイトへのアクセスを許可しているといえる。
そうすると,引用発明の「前記認証BLサーバにより,前記ログイン要求に含まれる前記ワンタイムパスワードと前記認証テーブルに記憶された前記ワンタイムパスワードとが一致すると判別され,有効期限内の場合,前記端末の前記Webサイトへのアクセスを認証するアクセス認証手段」と,本件補正発明の「前記認証コード照合手段によって,前記認証コードの照合結果が一致することが確認されたときに,前記アクセス元端末に対して,前記WEBサイトへのアクセスを許可するアクセス許可手段」とは,後記する点で相違するものの,“少なくとも,キー情報照合手段によって,キー情報の照合結果が一致することが確認されたときに,アクセス実行端末に対して,WEBサイトへのアクセスを許可するアクセス許可手段”である点で共通しているといえる。

(4-8)引用発明では,Webサイトへのアクセス要求が,携帯電話からのワンタイムパスワード生成要求であるか,端末からのログイン要求であるかに応じて,認証手段による処理と判別手段による処理とを切り替えるところ,携帯電話からのワンタイムパスワード生成要求はユーザが設定する暗証番号と携帯電話の電話番号の送信と共に,また,端末からのログイン要求はワンタイムパスワードとサイトユーザIDの送信と共になされることから,業務サーバのWebサイトへのアクセス要求と共に送信される情報に応じて,認証手段による処理と判別手段による処理とを切り替えるといえる。
そうすると,引用発明の「前記業務サーバのWebサイトへのアクセス要求が,前記携帯電話からの前記ワンタイムパスワード生成要求であるか,前記端末からの前記ログイン要求であるかに応じて,前記認証手段による処理と前記判別手段による処理とを切り替える切替手段」と,本件補正発明の「前記アクセス元端末からの前記WEBサイトへのアクセス要求が,前記認証情報を用いたものであるか,前記アクセス用情報を用いたものであるかに応じて,前記認証手段による処理と前記認証コード照合手段による処理とを切り替える切替手段」とは,後記する点で相違するものの,“WEBサイトへのアクセス要求と共に送信される情報に応じて,認証手段による処理とキー情報照合手段による処理とを切り替える切替手段”である点で共通しているといえる。

以上から,本件補正発明と引用発明とは,以下の点で一致し,また,以下の点で相違する。

(一致点)

「アクセス要求端末からのWEBサイトへのアクセス要求を受け付けるアクセス要求受付手段と,
前記アクセス要求受付手段が前記アクセス要求端末からの前記WEBサイトへのアクセス要求を受け付けたときに,前記アクセス要求端末から受信した前記アクセス要求端末を一意に識別するための電話番号を認証情報とし,前記認証情報に基づいて,前記アクセス要求端末が前記WEBサイトへのアクセスが許可された端末であるか否かの認証を行う認証手段と,
前記認証手段によって前記アクセス要求端末が前記WEBサイトへのアクセスが許可された端末であるという認証結果が得られた場合に,所定のアルゴリズムでキー情報を生成し,生成した前記キー情報を前記アクセス要求端末に対して前記WEBサイトへのアクセスを許可するための前記キー情報として発行するキー情報発行手段と,
生成された前記キー情報を少なくとも含む前記WEBサイトへのアクセスに必要な情報を,前記認証情報を利用して宛先を設定してショートメッセージを用いて前記アクセス要求端末へ送信する送信手段と,
アクセス実行端末から,前記アクセスに必要な情報を用いた前記WEBサイトへのアクセス要求がされたときに,前記アクセスに必要な情報に含まれている前記キー情報と,前記キー情報発行手段が発行した前記キー情報とを照合するキー情報照合手段と,
少なくとも,前記キー情報照合手段によって,前記キー情報の照合結果が一致することが確認されたときに,前記アクセス実行端末に対して,前記WEBサイトへのアクセスを許可するアクセス許可手段と,
前記WEBサイトへのアクセス要求と共に送信される情報に応じて,前記認証手段による処理と前記キー情報照合手段による処理とを切り替える切替手段と,
を備える認証システム。」

(相違点1)

認証手段によるアクセス要求端末の認証に関し,本件補正発明は,アクセス元端末から受信した前記アクセス元端末を一意に識別するための電話番号を認証情報とし,前記認証情報に基づいて,アクセスが許可された端末であるか否かの認証を行う,すなわち,電話番号のみを認証情報とするのに対して,引用発明は,携帯電話からワンタイムパスワード生成要求と共に受け付けた暗証番号,電話番号,およびサイトコードが認証テーブルに存在するか否かを判別して認証を行う,すなわち,電話番号以外の情報も認証情報としている点。

(相違点2)

WEBサイトへのアクセスを許可するためのキー情報の生成に関し,本件補正発明は,アルファベット,数字,記号の少なくとも1つをランダムに,または所定のアルゴリズムで組み合わせて認証コードを生成するのに対して,引用発明は,所定のアルゴリズムにより,ワンタイムパスワード生成要求のタイムスタンプ,および前記ワンタイムパスワード生成要求に含まれる電話番号からワンタイムパスワードを生成する点。

(相違点3)

アクセス要求端末に対するショートメッセージを用いたWEBサイトへのアクセスに必要な情報の送信に関し,本件補正発明は,認証コードを含んだWEBサイトへのアクセス用情報をさらに生成し,前記アクセス用情報をアクセス元端末へ送信するのに対して,引用発明は,ワンタイムパスワードを含むアクセス用情報を生成することなく,ワンタイムパスワードのみを携帯電話へ送信する点。

(相違点4)

キー情報の照合とアクセス実行端末からWEBサイトへのアクセス許可に関し,本件補正発明は,アクセス用情報を受信したアクセス元端末から,前記アクセス用情報を用いたWEBサイトへのアクセス要求がされたときに,前記アクセス用情報に含まれている認証コードを照合し,照合結果によりWEBサイトへのアクセスを許可するのに対して,引用発明は,ワンタイムパスワードを受信した携帯電話とは異なる端末から業務サーバのWebサイトのURLを指定したログイン要求がされたときに,端末からのログイン要求に含まれるワンタイムパスワードを判別し,判別結果と有効期限内かどうかの判定から業務サーバのWebサイトへのアクセスを認証する点。

(相違点5)

WEBサイトへのアクセス要求と共に送信される情報に応じた,認証手段による処理と認証コード照合手段による処理との切り替えに関し,本件補正発明は,アクセス元端末からのアクセス要求が認証情報を用いたものであるか,アクセス用情報を用いたものであるかに応じて,処理を切り替えるのに対して,引用発明は,アクセス要求が携帯電話からのワンタイムパスワード生成要求であるか,端末からのログイン要求であるかに応じて,処理を切り替える点。


(5)当審の判断

上記相違点1乃至5について検討する。

(5-1)相違点1について

引用発明は,アクセス要求端末である携帯電話の認証のために,携帯電話の電話番号のほかに暗証番号も判別するところ,これは盗難された携帯電話からのアクセスを防止するために入力を要求しているのは自明である。また,携帯端末の認証を電話番号のみで行うことは当該技術分野における周知技術であるから(例えば,特開2009-134768号公報,特開2000-92236号公報 を参照),アクセス要求端末である携帯電話の認証を電話番号以外の情報も含めて行うか否かは,当業者であれば,認証の精度と携帯電話ユーザの負担に応じて適宜選択し得た設計的事項である。
そうすると,引用発明において,上記周知技術を適用し,アクセス要求端末である携帯電話の認証のために,携帯電話の電話番号のほかに暗証番号も判別することに代えて,適宜,携帯電話から受信した端末を一意に識別するための電話番号のみを認証情報とし,当該認証情報に基づいて認証を行うこと,すなわち,相違点1に係る構成とすることは,当業者が容易に想到し得たことである。

よって,相違点1は格別なものではない。

(5-2)相違点2について

引用発明は,Webサイトへのアクセスを許可するためのキー情報であるワンタイムパスワードを,所定のアルゴリズムにより,ワンタイムパスワード生成要求のタイムスタンプ,および当該要求に含まれる電話番号から生成するところ,認証システムにおいて,接続要求元の携帯電話を電話番号で認証し,ワンタイムパスワードを当該電話番号に基づき,数字や記号を組み合わせて生成することは,例えば参考文献1(上記K,Lを参照)に記載されているように,本願出願前には当該技術分野の周知技術であった。
そうすると,引用発明において,上記周知技術を適用し,Webサイトへのアクセスを許可するためのキー情報であるワンタイムパスワードを,電話番号などを用いて所定のアルゴリズムで生成することに代えて,適宜,数字や記号を所定のアルゴリズムで組み合わせた認証コードを生成すること,すなわち,相違点2に係る構成とすることは,当業者が容易に想到し得たことである。

よって,相違点2は格別なものではない。

(5-3)相違点3及び相違点4について

引用発明は,キー情報の照合とWebサイトへのアクセス許可に関し,ワンタイムパスワードを受信した携帯電話とは異なる端末から業務サーバのWebサイトのURLを指定したログイン要求がされたときに,端末からのログイン要求に含まれるワンタイムパスワードを判別し,判別結果と有効期限内かどうかの判定から業務サーバのWebサイトへのアクセスを認証するところ,ログイン要求を行う端末のアクセスの認証では,ワンタイムパスワードの判別は行うものの,端末を特定する情報について判別を行うことについての言及がないことから,ログイン要求を行う端末はインターネットに接続可能な任意の端末であると解される。
一方,引用発明2のような,「認証コードを含んだURL情報である前記サービス提供サーバ接続用のOTUを生成し,前記OTUをクライアントに送信し,該クライアントから前記認証コードを含む前記OTUを用いた前記サービス提供サーバへのアクセス要求がされたときに,前記OTUに含まれている前記認証コードを照合し,照合結果により前記サービス提供サーバへのアクセスを許可するURL認証システム」は本願出願前には公知であった。ここで,引用発明2の「クライアント」,「OTU」は,本件補正発明の「アクセス元端末」,「アクセス用情報」に相当するといえる。
そうすると,引用発明において,引用発明2を適用し,アクセス要求端末である携帯電話にワンタイムパスワードを送信し,携帯電話とは異なる端末から業務サーバのWebサイトのURLを指定したログイン要求を行うことに代えて,適宜,認証コードを含んだURL情報であるWebサイトへのアクセス用情報を生成し,前記アクセス用情報をアクセス要求端末である携帯電話に送信し,同じ前記携帯電話から前記アクセス用情報を用いたWebサイトへのログイン要求がされたときに,前記アクセス用情報に含まれている認証コードを照合し,照合結果によりWebサイトへのアクセスを許可すること,すなわち,相違点3及び相違点4に係る構成とすることは,当業者が容易に想到し得たことである。

よって,相違点3及び相違点4は格別なものではない。

(5-4)相違点5について

引用発明は,業務サーバのWebサイトへのアクセス要求を発する端末がワンタイムパスワード生成要求の場合と,ログイン要求の場合とで異なるものの,アクセス要求と共に送信される情報が電話番号かワンタイムパスワードかに応じて,認証手段による処理と認証コード照合手段による処理との切り替えを行っているといえる。
また,認証システムにおいて,特定の端末が所定のサーバへのアクセスが認証されると認証コードを含むURLが発行され,同じ認証された端末から前記URLを用いて所定のサーバへアクセス要求を行う旨の技術は,例えば引用文献2(上記F参照),参考文献1(上記K,L参照)に記載されているように本願出願前には周知技術であった。
そうすると,引用発明において,上記周知技術を適用し,アクセス要求が携帯電話からのワンタイムパスワード生成要求であるか,端末からのログイン要求であるかに応じて処理を切り替えることに代えて,適宜,アクセス元端末からのアクセス要求が認証情報である電話番号を用いたものであるか,アクセス用情報である認証コードを含むURLを用いたものであるかに応じて,処理を切り替えること,すなわち,相違点5に係る構成とすることは,当業者が容易に想到し得たことである。

よって,相違点5は格別なものではない。

(5-5)小括

上記で検討したごとく,相違点1乃至5は格別のものではなく,そして,本件補正発明の奏する作用効果は,上記引用発明及び引用発明2,当該技術分野の周知技術の奏する作用効果から予測される範囲内のものにすぎず,格別顕著なものということはできない。
したがって,本件補正発明は,上記引用発明及び引用発明2,当該技術分野の周知技術に基づいて,当業者が容易に発明をすることができたものであり,特許法第29条第2項の規定により,特許出願の際独立して特許を受けることができない。


4.むすび

以上のように,本件補正は,上記「3.独立特許要件」で指摘したとおり,補正後の請求項1に記載された発明は,特許出願の際独立して特許を受けることができるものではないから,特許法第17条の2第6項の規定において準用する同法第126条第7項の規定に違反するので,同法第159条第1項において読み替えて準用する同法第53条第1項の規定により却下すべきものである。

よって,上記補正却下の決定の結論のとおり決定する。


第3 本件審判請求の成否について

1.本願発明の認定

平成25年1月15日付けの手続補正は上記のとおり却下されたので,本件補正後の請求項1に対応する本件補正前の請求項に係る発明(以下,「本願発明」という。)は,平成24年9月28日付けの手続補正により補正された特許請求の範囲の請求項1に記載された事項により特定される,以下のとおりのものである。

「アクセス元端末からのWEBサイトへのアクセス要求を受け付けるアクセス要求受付手段と,
前記アクセス要求受付手段が前記アクセス元端末からのWEBサイトへのアクセス要求を受け付けたときに,前記アクセス元端末から受信した認証情報に基づいて,前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるか否かの認証を行う認証手段と,
前記認証手段によって前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるという認証結果が得られた場合に,前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードを発行する認証コード発行手段と,
前記認証コード発行手段によって発行された前記認証コードを含んだ前記WEBサイトへのアクセス用情報を生成するアクセス用情報生成手段と,
前記アクセス用情報生成手段によって生成された前記アクセス用情報を,ショートメッセージを用いて前記アクセス元端末へ送信するアクセス用情報送信手段と,
前記アクセス用情報を受信した前記アクセス元端末から,前記アクセス用情報を用いた前記WEBサイトへのアクセス要求がされたときに,前記アクセス用情報に含まれている前記認証コードと,前記認証コード発行手段が発行した前記認証コードとを照合する認証コード照合手段と,
前記認証コード照合手段によって,前記認証コードの照合結果が一致することが確認されたときに,前記アクセス元端末に対して,前記WEBサイトへのアクセスを許可するアクセス許可手段と,
前記アクセス元端末からの前記WEBサイトへのアクセス要求が,前記認証情報を用いたものであるか,前記アクセス用情報を用いたものであるかに応じて,前記認証手段による処理と前記認証コード照合手段による処理とを切り替える切替手段とを備えることを特徴とする認証システム。」

2.引用文献に記載されている技術的事項及び引用発明の認定

原査定の拒絶の理由に引用された,引用発明は,前記「第2 平成25年1月15日付けの手続補正についての補正却下の決定」の「3.独立特許要件」の「(2)引用文献」に記載したとおりである。

3.対比・判断

本願発明は,前記「第2 平成25年1月15日付けの手続補正についての補正却下の決定」の「3.独立特許要件」で検討した本件補正発明の「前記アクセス要求受付手段が前記アクセス元端末からのWEBサイトへのアクセス要求を受け付けたときに,前記アクセス元端末から受信した前記アクセス元端末を一意に識別するための電話番号を認証情報とし,該認証情報に基づいて,前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるか否かの認証を行う認証手段」から「前記アクセス元端末を一意に識別するための電話番号を認証情報とし,該」を削除し,「前記認証手段によって前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるという認証結果が得られた場合に,アルファベット,数字,記号の少なくとも1つをランダムに,または所定のアルゴリズムで組み合わせた認証コードを生成し,生成した前記認証コードを前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードとして発行する認証コード発行手段」を「前記認証手段によって前記アクセス元端末が前記WEBサイトへのアクセスが許可された端末であるという認証結果が得られた場合に,前記アクセス元端末に対して前記WEBサイトへのアクセスを許可するための認証コードを発行する認証コード発行手段」とし,「前記アクセス用情報生成手段によって生成された前記アクセス用情報を,前記認証情報を利用して宛先を設定してショートメッセージを用いて前記アクセス元端末へ送信するアクセス用情報送信手段」から「前記認証情報を利用して宛先を設定して」を削除したものである。
そうすると,本願発明の発明特定事項を全て含む本件補正発明が,前記「第2 平成25年1月15日付けの手続補正についての補正却下の決定」の「3.独立特許要件」の「(2)引用文献」乃至「(5)当審の判断」に記載したとおり,引用発明及び引用発明2,当該技術分野の周知技術に基づいて当業者が容易に発明をすることができたものであるから,上記特定の限定を省いた本願発明も同様の理由により,引用発明及び引用発明2,当該技術分野の周知技術に基づいて,当業者が容易に発明をすることができたものである。

4.むすび

以上のとおり,本願の請求項1に係る発明は,特許法第29条第2項の規定により特許を受けることができないものであるから,その余の請求項に係る発明について検討するまでもなく,本願は拒絶すべきものである。

よって,結論のとおり審決する。
 
審理終結日 2014-09-02 
結審通知日 2014-09-09 
審決日 2014-10-02 
出願番号 特願2012-135372(P2012-135372)
審決分類 P 1 8・ 121- Z (G06F)
P 1 8・ 575- Z (G06F)
最終処分 不成立  
前審関与審査官 戸島 弘詩  
特許庁審判長 山崎 達也
特許庁審判官 辻本 泰隆
石井 茂和
発明の名称 認証コード発行システム、および認証システム  
代理人 藤田 壮一郎  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ