• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 特17条の2、3項新規事項追加の補正 特許、登録しない。 G06F
審判 査定不服 2項進歩性 特許、登録しない。 G06F
審判 査定不服 1項3号刊行物記載 特許、登録しない。 G06F
管理番号 1306822
審判番号 不服2013-7860  
総通号数 192 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2015-12-25 
種別 拒絶査定不服の審決 
審判請求日 2013-04-26 
確定日 2015-10-14 
事件の表示 特願2009-501014「システム間シングルサインオン」拒絶査定不服審判事件〔平成19年 9月27日国際公開,WO2007/107969,平成21年11月26日国内公表,特表2009-541817〕について,次のとおり審決する。 
結論 本件審判の請求は,成り立たない。 
理由 第1.手続の経緯
本願は,2007年3月22日(パリ条約による優先権主張外国庁受理2006年3月22日 中華人民共和国)を国際出願日とする出願であって,
平成20年11月19日付けで特許法第184条の4第1項の規定による明細書,請求の範囲,及び,図面(図面の中の説明に限る)の日本語による翻訳文が提出され,平成22年3月23日付けで審査請求がなされ,平成24年3月22日付けで審査官により拒絶理由が通知され,これに対して平成24年6月21日付けで意見書が提出されると共に手続補正がなされたが,平成24年12月25日付けで審査官により拒絶査定がなされ(発送;平成24年12月28日),これに対して平成25年4月26日付けで審判請求がなされると共に手続補正がなされ,平成25年7月25日付けで審査官により特許法第164条第3項の規定に基づく報告がなされ,平成25年10月4日付けで当審により特許法第134条第4項の規定に基づく審尋がなされ,平成26年1月8日付けで回答書の提出があったものである。

第2.平成25年4月26日付けの手続補正の却下の決定

[補正却下の決定の結論]

平成25年4月26日付け手続補正を却下する。

[理由]

1.補正の内容
平成25年4月26日付けの手続補正(以下,「本件手続補正」という)により,平成24年6月21日付けの手続補正により補正された特許請求の範囲,
「 【請求項1】
システム間シングルサインオン(SSO)のための方法であって,
第1のシステムに関するユーザのID情報を取得するステップと,
前記第1のシステムにおいて,前記第1のシステムと第2のシステムとの間のユーザIDマッピング関係に従って,前記第1のシステムに関するユーザのID情報から前記第2のシステムに関する前記ユーザのID情報を取得するステップであって,前記ユーザIDマッピング関係には,システム間で異なる追加属性,または,ユーザIDの認証,及びユーザ権限の制御ならびに制限に使用される追加情報も含まれる,ステップと,
前記第2のシステムに関する前記ユーザのID情報を前記第2のシステムに送信するステップと
を含むことを特徴とする方法。
【請求項2】
前記第1のシステムにおいて,前記第2のシステムに関する前記ユーザのID情報に添付される署名を作成し,前記第2のシステムに関する前記ユーザのID情報と共に,前記署名を前記第2のシステムに送信するステップと,
前記第2のシステムにおいて,受信した前記署名を審査することによって,前記ユーザのID情報を認証するステップと
をさらに含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記ユーザは,最初に前記第1のシステムにサインオンする方法であって,
前記第2のシステムにおいて,前記ユーザのID情報が認証された場合,前記ユーザが前記第2のシステムにサインオンすることを許可するステップをさらに含むことを特徴とする請求項2に記載の方法。
【請求項4】
前記署名を作成するステップは,前記ユーザが前記第2のシステムにサインオンしようとする知らせを受けた上で行われることを特徴とする請求項2に記載の方法。
【請求項5】
前記署名を作成するステップは,前記第2のシステムによって前記第1のシステムにリダイレクトされるログオン要求を受けた上で行われることを特徴とする請求項2に記載の方法。
【請求項6】
前記署名が作成された上で,前記第2のシステムへ前記ログオン要求をリダイレクトするステップをさらに含むことを特徴とする請求項5に記載の方法。
【請求項7】
前記ユーザは,最初に前記第1のシステムにサインオンする方法であって,
前記第2のシステムにおいて,前記第2のシステムに関する前記ユーザのID情報を受信後,前記ユーザが前記第2のシステムにサインオンすることを許可するステップをさらに含むことを特徴とする請求項1に記載の方法。
【請求項8】
前記ユーザが前記第1のシステムにまだサインオンしていない場合,前記ユーザのIDを認証するために,前記ユーザにサインオンすることを要求するステップをさらに含むことを特徴とする請求項1に記載の方法。
【請求項9】
前記第2のシステムに,前記第1のシステムから前記ユーザがリダイレクトされたことを示すステップをさらに含むことを特徴とする請求項1に記載の方法。
【請求項10】
システム間シングルサインオン(SSO)のための方法であって,
第1のシステムにおいて,第1のシステムに関するユーザのID情報を取得するステップと,
前記第1のシステムにおいて,前記第1のシステムと第2のシステムとの間のユーザIDマッピング関係に従って,前記第1のシステムに関するユーザのID情報から前記第2のシステムに関する前記ユーザのID情報を取得するステップであって,前記ユーザIDマッピング関係には,システム間で異なる追加属性,または,ユーザIDの認証,及びユーザ権限の制御ならびに制限に使用される追加情報も含まれる,ステップと,
前記第1のシステムにおいて,前記第2のシステムに関する前記ユーザのID情報に添付される署名を作成するステップと,
前記第2のシステムに関する前記ユーザのID情報と共に,前記署名を前記第2のシステムに送信するステップと
を含むことを特徴とする方法。
【請求項11】
前記第1のシステムにおいて,前記署名または前記ユーザのID情報を前記第2のシステムに送信する前に,前記署名または前記第2のシステムに関する前記ユーザのID情報にタイムスタンプを押すステップと,
前記第2のシステムにおいて,タイムスタンプ情報を確認することによって,前記署名または前記ユーザのID情報を認証するステップと
をさらに含むことを特徴とする請求項10に記載の方法。
【請求項12】
前記第2のシステムにおいて,受信した前記署名を審査することによって,前記第2のシステムに関する前記ユーザのID情報を認証するステップと,
前記ユーザのID情報が認証された場合,前記ユーザが前記第2のシステムにサインオンすることを許可するステップと,前記第2のシステムにサインオンした前記ユーザの権限を制限するステップと
をさらに備えることを特徴とする請求項10に記載の方法。
【請求項13】
システム間シングルサインオン(SSO)手順を有効にするためのコンピュータ実行可能指示を含む,1つ以上のコンピュータ可読媒体であって,前記手順は,
第1のシステムにおいて,第1のシステムに関するユーザのID情報を取得するステップと,
前記第1のシステムにおいて,前記第1のシステムと第2のシステムとの間のユーザIDマッピング関係に従って,前記第1のシステムに関する前記ユーザのID情報から前記第2のシステムに関する前記ユーザのID情報を取得するステップであって,前記ユーザIDマッピング関係には,システム間で異なる追加属性,または,ユーザIDの認証,及びユーザ権限の制御ならびに制限に使用される追加情報も含まれる,ステップと,
前記第1のシステムにおいて,前記第2のシステムに関する前記ユーザのID情報に添付される署名を作成するステップと,
前記署名を前記第2のシステムに関する前記ユーザのID情報と共に,前記第2のシステムに送信するステップと
を含むことを特徴とするコンピュータ可読媒体。
【請求項14】
システム間ユーザサインオンを認証するためのシステムであって,
ユーザIDライブラリおよびユーザIDマッピングデータを含む,データストレージであって,ユーザIDマッピングデータは,前記システムに関するユーザID情報とパートナーシステムに関するユーザID情報との間のマッピング関係を定義するデータストレージであって,前記ユーザIDマッピング関係には,システム間で異なる追加属性,または,ユーザIDの認証,及びユーザ権限の制御ならびに制限に使用される追加情報も含まれる,データストレージと,
前記データストレージと通信しているID認証デバイスであって,前記データストレージに保存される前記ユーザIDライブラリを使用して,ログオンを要求しているユーザのIDを認証し,前記システムに関する前記ユーザのID情報を判断するID認証デバイスとを備え,
前記システムは,前記システムに関する前記ユーザのID情報から,前記ユーザIDマッピングデータを使用して,前記パートナーシステムに関する前記ユーザのID情報を判断することを特徴とするシステム。
【請求項15】
システム間ユーザサインオンを認証するためのシステムであって,
前記システムに関するユーザID情報を保存する,データストレージと,
パートナーシステムから受信するユーザのID情報に添付される署名を復号化する署名認証デバイスと,
前記データストレージに保存された前記ユーザID情報を使用して,前記パートナーシステムから受信した前記ユーザのID情報を認証するID認証デバイスであって,前記ユーザIDマッピング関係には,システム間で異なる追加属性,または,ユーザIDの認証,及びユーザ権限の制御ならびに制限に使用される追加情報も含まれる,ID認証デバイスと
を備えることを特徴とするシステム。」(以下,上記引用の請求項各項を,「補正前の請求項」という)は,
「 【請求項1】
システム間シングルサインオン(SSO)のための方法であって,
第1のシステムに関するユーザのID情報を取得するステップと,
前記第1のシステムにおいて,前記第1のシステムと第2のシステムとの間のユーザIDマッピング関係に従って,前記第1のシステムに関するユーザのID情報から前記第2のシステムに関する前記ユーザのID情報を取得するステップであって,前記ユーザIDマッピング関係には,システム間で異なる追加属性,または,ユーザIDの認証,及びユーザ権限の制御ならびに制限に使用される追加情報も含まれ,前記追加情報には,追加の署名情報が含まれる,ステップと,
前記第2のシステムに関する前記ユーザのID情報を前記第2のシステムに送信するステップと
を含むことを特徴とする方法。
【請求項2】
前記第1のシステムにおいて,前記第2のシステムに関する前記ユーザのID情報に添付される署名を作成し,前記第2のシステムに関する前記ユーザのID情報と共に,前記署名を前記第2のシステムに送信するステップと,
前記第2のシステムにおいて,受信した前記署名を審査することによって,前記ユーザのID情報を認証するステップと
をさらに含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記ユーザは,最初に前記第1のシステムにサインオンする方法であって,
前記第2のシステムにおいて,前記ユーザのID情報が認証された場合,前記ユーザが前記第2のシステムにサインオンすることを許可するステップをさらに含むことを特徴とする請求項2に記載の方法。
【請求項4】
前記署名を作成するステップは,前記ユーザが前記第2のシステムにサインオンしようとする知らせを受けた上で行われることを特徴とする請求項2に記載の方法。
【請求項5】
前記署名を作成するステップは,前記第2のシステムによって前記第1のシステムにリダイレクトされるログオン要求を受けた上で行われることを特徴とする請求項2に記載の方法。
【請求項6】
前記署名が作成された上で,前記第2のシステムへ前記ログオン要求をリダイレクトするステップをさらに含むことを特徴とする請求項5に記載の方法。
【請求項7】
前記ユーザは,最初に前記第1のシステムにサインオンする方法であって,
前記第2のシステムにおいて,前記第2のシステムに関する前記ユーザのID情報を受信後,前記ユーザが前記第2のシステムにサインオンすることを許可するステップをさらに含むことを特徴とする請求項1に記載の方法。
【請求項8】
前記ユーザが前記第1のシステムにまだサインオンしていない場合,前記ユーザのIDを認証するために,前記ユーザにサインオンすることを要求するステップをさらに含むことを特徴とする請求項1に記載の方法。
【請求項9】
前記第2のシステムに,前記第1のシステムから前記ユーザがリダイレクトされたことを示すステップをさらに含むことを特徴とする請求項1に記載の方法。
【請求項10】
システム間シングルサインオン(SSO)のための方法であって,
第1のシステムにおいて,第1のシステムに関するユーザのID情報を取得するステップと,
前記第1のシステムにおいて,前記第1のシステムと第2のシステムとの間のユーザIDマッピング関係に従って,前記第1のシステムに関するユーザのID情報から前記第2のシステムに関する前記ユーザのID情報を取得するステップであって,前記ユーザIDマッピング関係には,システム間で異なる追加属性,または,ユーザIDの認証,及びユーザ権限の制御ならびに制限に使用される追加情報も含まれる,前記追加情報には,追加の署名情報が含まれる,ステップと,
前記第1のシステムにおいて,前記第2のシステムに関する前記ユーザのID情報に添付される署名を作成するステップと,
前記第2のシステムに関する前記ユーザのID情報と共に,前記署名を前記第2のシステムに送信するステップと
を含むことを特徴とする方法。
【請求項11】
前記第1のシステムにおいて,前記署名または前記ユーザのID情報を前記第2のシステムに送信する前に,前記署名または前記第2のシステムに関する前記ユーザのID情報にタイムスタンプを押すステップと,
前記第2のシステムにおいて,タイムスタンプ情報を確認することによって,前記署名または前記ユーザのID情報を認証するステップと
をさらに含むことを特徴とする請求項10に記載の方法。
【請求項12】
前記第2のシステムにおいて,受信した前記署名を審査することによって,前記第2のシステムに関する前記ユーザのID情報を認証するステップと,
前記ユーザのID情報が認証された場合,前記ユーザが前記第2のシステムにサインオンすることを許可するステップと,前記第2のシステムにサインオンした前記ユーザの権限を制限するステップと
をさらに備えることを特徴とする請求項10に記載の方法。
【請求項13】
システム間シングルサインオン(SSO)手順を有効にするためのコンピュータ実行可能指示を含む,1つ以上のコンピュータ可読媒体であって,前記手順は,
第1のシステムにおいて,第1のシステムに関するユーザのID情報を取得するステップと,
前記第1のシステムにおいて,前記第1のシステムと第2のシステムとの間のユーザIDマッピング関係に従って,前記第1のシステムに関する前記ユーザのID情報から前記第2のシステムに関する前記ユーザのID情報を取得するステップであって,前記ユーザIDマッピング関係には,システム間で異なる追加属性,または,ユーザIDの認証,及びユーザ権限の制御ならびに制限に使用される追加情報も含まれる,前記追加情報には,追加の署名情報が含まれる,ステップと,
前記第1のシステムにおいて,前記第2のシステムに関する前記ユーザのID情報に添付される署名を作成するステップと,
前記署名を前記第2のシステムに関する前記ユーザのID情報と共に,前記第2のシステムに送信するステップと
を含むことを特徴とするコンピュータ可読媒体。
【請求項14】
システム間ユーザサインオンを認証するためのシステムであって,
ユーザIDライブラリおよびユーザIDマッピングデータを含む,データストレージであって,ユーザIDマッピングデータは,前記システムに関するユーザID情報とパートナーシステムに関するユーザID情報との間のマッピング関係を定義するデータストレージであって,前記ユーザIDマッピング関係には,システム間で異なる追加属性,または,ユーザIDの認証,及びユーザ権限の制御ならびに制限に使用される追加情報も含まれる,前記追加情報には,追加の署名情報が含まれる,データストレージと,
前記データストレージと通信しているID認証デバイスであって,前記データストレージに保存される前記ユーザIDライブラリを使用して,ログオンを要求しているユーザのIDを認証し,前記システムに関する前記ユーザのID情報を判断するID認証デバイスとを備え,
前記システムは,前記システムに関する前記ユーザのID情報から,前記ユーザIDマッピングデータを使用して,前記パートナーシステムに関する前記ユーザのID情報を判断することを特徴とするシステム。
【請求項15】
システム間ユーザサインオンを認証するためのシステムであって,
前記システムに関するユーザID情報を保存する,データストレージと,
パートナーシステムから受信するユーザのID情報に添付される署名を復号化する署名認証デバイスと,
前記データストレージに保存された前記ユーザID情報を使用して,前記パートナーシステムから受信した前記ユーザのID情報を認証するID認証デバイスであって,前記ユーザIDマッピング関係には,システム間で異なる追加属性,または,ユーザIDの認証,及びユーザ権限の制御ならびに制限に使用される追加情報も含まれる,前記追加情報には,追加の署名情報が含まれる,ID認証デバイスと
を備えることを特徴とするシステム。」(以下,上記引用の請求項各項を,「補正後の請求項」という)に補正された。

2.補正の適否
本件手続補正が,平成18年法律第55号改正附則第3条第1項によりなお従前の例によるとされる同法による改正前の特許法第184条の12第2項により読み替える同法第17条の2第3項の規定を満たすものであるか否か,即ち,本件手続補正が,平成20年11月19日付けで提出された明細書,請求の範囲,及び,図面(図面の中の説明に限る)の日本語による翻訳文(以下,これを「当初明細書等」という)に記載した事項の範囲内でなされたものであるかについて,以下に検討する。

本件手続補正によって,補正前の請求項1,請求項10,請求項13,請求項14,及び,請求項15に,
「追加情報は,追加の署名情報が含まれる」
という記載が加えられたが,当初明細書等には,「追加情報は,追加の署名情報が含まれる」と同一の記載は存在しない。
そこで,当初明細書等に記載された内容から,「追加情報は,追加の署名情報が含まれる」という記載内容は読み取れるかについて,以下に検討する。

当初明細書等には,「追加の署名情報」に類似する記載として,段落【0044】に,
「(1)情報(ウェブサイトBに関するユーザID情報に署名される署名,およびその他の追加署名情報を含む)が確かにウェブサイトAから送信されたものであることを証明するための信頼性。」(下線は,当審にて,説明の都合上,付加したものである。以下,別途断りが無い限り同じ。)
という記載が存在するが,上記引用の段落【0044】に記載された内容からでは,「追加署名情報」が,「追加情報」に含まれるものであるとは言えない。
次に,「追加情報」に関して,当初明細書等の記載内容を見ていくと,当初明細書等に,
「【0036】
一致したID情報は,ログオンユーザ名およびパスワードなどの属性を含む場合があるが,システム間で異なる追加属性を含む場合がある。さらに,ユーザIDの認証,およびユーザ権限の制御ならびに制限に使用される追加情報もユーザID情報に添付される場合がある。」
「【0049】
ユーザCが初めてウェブサイトBを訪問している場合,タイムスタンプは,以前のタイムスタンプと比較することなく承認される必要がある場合があるが,署名およびユーザID情報が初めて適用されるため,この特別な状況において,リプレイのリスクは無い。ユーザCが正真正銘の正当な繰り返し訪問を行っている場合,異なる,唯一の継続的なタイムスタンプを有する,現行の署名および以前の署名が別々に作成される。この技術を使用し,ユーザCが特定の署名で正真正銘の訪問を行った場合,同一署名は,事実上失効する。この技術では,ウェブサイトBが,タイムスタンプなどの追加添付情報を含む,すべてのログオン要求のログ記録を保持する必要がある。」
「【0060】
ウェブサイトBに関するユーザCのID情報は,データストレージ220に保存されるIDマッピングデータ226を使用して,ウェブサイトAで判断される。例えば,ユーザIDマッピングデータ226がウェブサイトA/ウェブサイトB(A/B)マッピングテーブルを含む場合,ID署名ジェネレータ222は,ウェブサイトBに関するユーザCのID情報を,マッピングテーブルを読み込むことによって取得してもよい。そしてID署名ジェネレータ222は,取り決められた署名アルゴリズムを使用して,ウェブサイトBに関するユーザCのID情報,およびその他の追加情報(タイムスタンプ情報など)に署名する。ID署名ジェネレータ222は,ウェブサイトBへのログオン要求にID署名をさらに添付する。
【0061】
ブロック304では,ウェブサイトAは,ユーザID署名を含むログオン要求をウェブサイトBに誘導する。ログオン要求では,ウェブサイトAはさらに,ユーザCにウェブサイトAから来ているというラベルを付けてもよい。そのようなラベリングは,異なるサブドメイン名または追加添付パラメータのような形であってもよい。」
「【0069】
ブロック400では,ユーザCがウェブサイトBにログオンし,特定のリソースにアクセスすることを要求する。これは,ユーザCにより,ウェブサイトBで直接開始されてもよいが,ウェブサイトAがC2Cサイトである一方,ウェブサイトBは,支払いサイトである,示される実施例においては,サインオンするための要求は,ウェブサイトAからウェブサイトBに向けられる可能性が高い。この場合,ログオン要求は,ウェブサイトAから来ているものとして,ユーザCを識別してもよい。そのような識別表示は,ログオン要求情報内に,異なるサブドメイン名,または追加添付パラメータのいずれかを含んでもよい。」
「【0072】
ブロック403では,ウェブサイトAのID署名ジェネレータ222がユーザIDマッピングデータ226からユーザCのウェブサイトBに関するユーザID情報を読み出し,ウェブサイトAおよびウェブサイトBに取り決められた署名アルゴリズムを使用してユーザID情報からユーザID署名を生成する。またユーザID署名は,タイムスタンプ情報などの追加情報もカバーする。好ましくは,ウェブサイトAは,ステップ403の最初の時点で,ユーザCがすでにウェブサイトAにサインオンしているかを確認してもよい。ユーザCがウェブサイトAにまだサインオンしていない場合,ウェブサイトAは,通常,ステップ403を実行する前に,最初にユーザCにウェブサイトAにサインオンするよう要求するべきである。この場合,通常のログオンプロセスは,ID認証デバイス221によりユーザ名およびパスワードが確認され,認証されてから行われる場合がある。」
と,「追加情報」に類似する記載内容も含めて,上記引用の記載が存在している。
しかしながら,何れの記載内容からも,「追加情報」が,「追加の署名情報」を含むことは読み取れず,特に,上記引用の段落【0060】の,
「ウェブサイトBに関するユーザCのID情報,およびその他の追加情報(タイムスタンプ情報など)に署名する」,
という記載,及び,同じく,上記引用の段落【0072】の,
「またユーザID署名は,タイムスタンプ情報などの追加情報もカバーする」,
という記載から,「タイムスタンプ」などの「他の追加情報」に「署名」されているので,「署名情報」が,「追加情報」に含まれるものでないことは明らかである。
以上検討したとおりであるから,当初明細書等には,本件手続補正によって,上記指摘の請求項に付加された「追加情報は,追加の署名情報が含まれる」という記載は存在しておらず,更に,上記において指摘したとおり,当初明細書等に記載された内容から,「追加情報は,追加の署名情報が含まれる」という構成を読み取ることもできない。
よって,本件手続補正は,当初明細書等に記載された範囲内でなされたものではない。

3.補正却下むすび
したがって,本件手続補正は,平成18年法律第55号改正附則第3条第1項によりなお従前の例によるとされる同法による改正前の特許法第184条の12第2項により読み替える同法第17条の2第3項の規定に違反するので,同法第159条第1項において読み替えて準用する同法第53条第1項の規定により却下すべきものである。

よって,補正却下の決定の結論のとおり決定する。

第3.本願発明について
平成25年4月26日付けの手続補正は,上記のとおり却下されたので,本願の請求項1に係る発明(以下,これを「本願発明」という)は,平成24年6月21日付けの手続補正により補正された,上記「第2.平成25年4月26日付けの手続補正の却下の決定」の「1.補正の内容」において,補正前の請求項1として引用した,次の記載のとおりのものである。

「システム間シングルサインオン(SSO)のための方法であって,
第1のシステムに関するユーザのID情報を取得するステップと,
前記第1のシステムにおいて,前記第1のシステムと第2のシステムとの間のユーザIDマッピング関係に従って,前記第1のシステムに関するユーザのID情報から前記第2のシステムに関する前記ユーザのID情報を取得するステップであって,前記ユーザIDマッピング関係には,システム間で異なる追加属性,または,ユーザIDの認証,及びユーザ権限の制御ならびに制限に使用される追加情報も含まれる,ステップと,
前記第2のシステムに関する前記ユーザのID情報を前記第2のシステムに送信するステップと
を含むことを特徴とする方法。」

第4.引用刊行物に記載の発明
原審における平成24年3月22日付けの拒絶理由(以下,これを「原審拒絶理由」という)において引用された,本願の第1国出願前に既に公知である,特開2002-324051号公報(2002年11月8日公開,以下,これを「引用刊行物1」という)には,関連する図面と共に,次の事項が記載されている。

A.「【0004】さて,複数のシステムが稼働している環境では,全てのシステムに対して同一のユーザアカウントで接続(ログイン)できること,すなわち,あるユーザは,1回だけログイン名とパスワードを入力するだけで全てのシステムが利用可能となる(以下,シングルサインオンと称する)ことが,ユーザにとって理想的である。
・・・・・(中略)・・・・・
【0006】ディレクトリサービスを利用するためには,対象となるシステム側にディレクトリサービスに接続するための機能が備わっていなければならない。しかしながら,「レガシーシステム」と呼ばれるような旧いシステムでは,ディレクトリサービスに接続するための機能が備わっていないことが多い。
【0007】このため,シングルサインオンの実現には,ディレクトリサービス上のユーザに対応するエントリに,予めレガシーシステムに対するアカウント情報を関連付け,これを参照することでユーザに意識させることなくログイン処理を行うといった方法がとられることが多い。このような方法は,例えば,特開2000-207362号公報に記載されている。」

B.「【0034】図3は,管理情報31の木構造の例を示した図である。同図に示すように,管理情報31は,節を表現する「top」ディレクトリ32,「jp」ディレクトリ33,「FX」ディレクトリ34,「Development」ディレクトリ35,「mapping#001」ディレクトリ36-1,「mapping#002」ディレクトリ36-2,「storageZ」ディレクトリ36-3,「storageY」ディレクトリ36-4,「storageX」ディレクトリ36-5の階層構造により構成される。また,ディレクトリ36-1?36-5の直下には,それぞれ属性ファイル37-1?37-5がおかれている。
【0035】「storageX」ディレクトリ36-5,「storageY」ディレクトリ36-4,「storageZ」ディレクトリ36-3は,それぞれ文書管理システム(X)40,文書管理システム(Y)50,文書管理システム(Z)60に関する情報を表している。つまり,属性ファイル37-5,37-4,37-3に,文書管理システム(X)40,文書管理システム(Y)50,文書管理システム(Z)60に関する情報が記述されている。
【0036】図3に示した例では,属性ファイル37-5と属性ファイル37-4には,それぞれ「userMappingName=mapping#001」といった記述が含まれている。この記述は,「mapping#001」という節であるディレクトリ36-1の属性ファイル37-1に記述されている情報を利用して文書管理システム(X)40,文書管理システム(Y)50に接続する際のログイン処理を行うことを意味している。つまり,この例においては,文書管理システム(X)40と文書管理システム(Y)50は,同一のユーザ管理システムの下で稼働していることとなる。
【0037】同様に,属性ファイル37-3には,「userMappingName=mapping#002」といった記述が含まれており,「mapping#002」という節であるディレクトリ36-2の属性ファイル37-2に記述されている情報を利用して文書管理システム(Z)60に接続する際のログイン処理を行うことになる。文書管理システム(Z)60のユーザ管理システムは,文書管理システム(X)40,文書管理システム(Y)50のものとは異なる。」

C.「【0038】ここで,属性ファイル37-1および属性ファイル37-2の記述について説明する。属性ファイル37-1,37-2には,自システム(文書統合システム30)でのアカウント情報と他システム(文書管理システム(X)40等)でのアカウント情報の対応が記述されている。
【0039】図4は,属性ファイルの記述例を示した図であり,同図(a)は属性ファイル37-1の記述例を,同図(b)は属性ファイル37-2の記述例を示している。
【0040】属性ファイル37-1,37-2は,自システムでのアカウント情報を「ユーザ名」として記述し,他システムでのアカウント情報を「他システムユーザ名」と「パスワード」として記述している。例えば,自システムでのユーザ名が「suzuki」のユーザは,属性ファイル37-1では他システムユーザ名が「taro.suzuki」,属性ファイル37-2では他システムユーザ名が「suzuki.taro」と記述されている。つまり,文書統合システム30にユーザ名「suzuki」でログインするユーザが文書管理システム(X)40若しくは文書管理システム(Y)50に接続する際には,ユーザ名「taro.suzuki」で自動的にログイン処理されることになる。また,同ユーザが文書管理システム(Z)60に接続する際には,ユーザ名「suzuki.taro」で自動的にログイン処理されることになる。
【0041】なお,属性ファイル37-1,37-2において,自システムでのアカウント情報と他システムでのアカウント情報の対応は,必ずしもテーブル形式で記述されているとは限らず,両者の対応が記述できるならばどのような記述方法をとってもよい。」

D.「【0043】まず,ユーザがWebブラウザ10を操作し,Webサーバ20を介して文書統合システム30へアクセスすると,文書統合システム30は,ユーザを認証する認証処理を実行する(ステップ101)。この認証処理は,ユーザにユーザ名とパスワードを入力させることで行う。
【0044】認証処理の結果,ユーザの認証に失敗した場合には(ステップ102でNO),エラーを通知する等のエラー処理を行って(ステップ103),処理を終了する。」

E.「【0065】このため,属性情報に変更箇所のみの差分情報を記述し,文書統合システム30が,この差分情報に基づいた処理を行うようにしてもよい。
【0066】図8は,属性ファイルへの差分情報の記述例を示した図である。同図においては,ユーザ名「suzuki」のユーザが文書管理システム(Y)50へ接続する際のアカウント情報に変更があった場合を示しており,文書管理システム(X)40へは,従来通り「taro.suzuki」のユーザ名で接続できるが,文書管理システム(Y)50へは,「taro2.suzuki」のユーザ名で接続する場合である。ただし,パスワードは,両者で同一であるとする。
【0067】この場合には,属性情報として「ユーザ名」,「他システムユーザ名」,「パスワード」の他に,「差分情報」として「taro2.suzuki(userID@storageY)」を記述している。文書統合システム30は,この差分情報に基づいて,文書管理システム(Y)50へ接続する場合には,ユーザ名を「taro2.suzuki」としてログイン処理を行う。」

1.上記Aの「あるユーザは,1回だけログイン名とパスワードを入力するだけで全てのシステムが利用可能となる(以下,シングルサインオンと称する)」という記載から,引用刊行物1は,“シングルサインオンを実現するための方法”に関するものであることは明らかである。

2.上記Dの「ユーザが・・・文書統合システム30へアクセスすると,文書統合システム30は,ユーザを認証する認証処理を実行する(ステップ101)。この認証処理は,ユーザにユーザ名とパスワードを入力させることで行う」という記載から,引用刊行物1においては,“ユーザが,文書統合システムへアクセスすると,文書統合システムは,ユーザにユーザ名とパスワードを入力させる”ものであることが読み取れる。

3.上記Bの「属性ファイル37-5と属性ファイル37-4には,それぞれ「userMappingName=mapping#001」といった記述が含まれている。この記述は,「mapping#001」という節であるディレクトリ36-1の属性ファイル37-1に記述されている情報を利用して文書管理システム(X)40,文書管理システム(Y)50に接続する際のログイン処理を行うことを意味している」という記載,及び,同じく,上記Bの「属性ファイル37-3には,「userMappingName=mapping#002」といった記述が含まれており,「mapping#002」という節であるディレクトリ36-2の属性ファイル37-2に記述されている情報を利用して文書管理システム(Z)60に接続する際のログイン処理を行うことになる」という記載から,引用刊行物1においては,“属性ファイルに記述されている情報を利用して,文書管理システムに接続する際のログイン処理を行う”ものであることが読み取れる。

4.上記3.において検討した事項と,上記Cの「属性ファイル37-1および属性ファイル37-2の記述について説明する。属性ファイル37-1,37-2には,自システム(文書統合システム30)でのアカウント情報と他システム(文書管理システム(X)40等)でのアカウント情報の対応が記述されている」という記載,同じく,上記Cの「属性ファイル37-1,37-2は,自システムでのアカウント情報を「ユーザ名」として記述し,他システムでのアカウント情報を「他システムユーザ名」と「パスワード」として記述している」という記載,及び,同じく,上記Cの「文書統合システム30にユーザ名「suzuki」でログインするユーザが文書管理システム(X)40若しくは文書管理システム(Y)50に接続する際には,ユーザ名「taro.suzuki」で自動的にログイン処理されることになる」という記載から,引用刊行物1においては,“文書統合システムへログインしたユーザが,更に,文書管理システムにログインする際に,属性ファイルに記述された,文書統合システムのアカウント情報に対応する,文書管理システムのアカウント情報を用いて,前記文書管理システムに自動的にログイン処理がなされる”ものであることが読み取れる。
そして,4.の上記において検討した事項と,上記Aの「シングルサインオンの実現には,ディレクトリサービス上のユーザに対応するエントリに,予めレガシーシステムに対するアカウント情報を関連付け,これを参照することでユーザに意識させることなくログイン処理を行うといった方法がとられる」という記載から,引用刊行物1においては,“文書統合システムにログインした後に,レガシーシステムである,属性ファイルに記述された,レガシーシステムである,文書管理システムのアカウント情報を取得して,該アカウント情報を文書管理システムに入力することで,文書管理システムへのログインを行っている”ことは明らかである。
即ち,引用刊行物1の上記引用の記載内容から,引用刊行物1においては,
“文書統合システムログインしたユーザが,更に文書管理システムにログインする際に,属性ファイルに記述された,文書統合システムのアカウント情報に対応する,文書管理システムのアカウント情報が取得され,前記取得された文書管理システムのアカウント情報を,前記文書管理システムに入力することで,前記文書管理システムに自動的にログイン処理がなされる”ものであることが読み取れる。

5.上記4.においても引用した,上記Cの「属性ファイル37-1,37-2は,自システムでのアカウント情報を「ユーザ名」として記述し,他システムでのアカウント情報を「他システムユーザ名」と「パスワード」として記述している」という記載から,引用発明においては,“他システムのアカウント情報として,「他システムのユーザ名」に加えて,「パスワード」も記述している”ことが読み取れる。

6.上記Eの「属性情報に変更箇所のみの差分情報を記述」という記載,及び,同じく,上記Eの「属性情報として「ユーザ名」,「他システムユーザ名」,「パスワード」の他に,「差分情報」として「taro2.suzuki(userID@storageY)」を記述している」という記載から,「差分情報」は,「ユーザ」が,「文書管理システム」にログインする際に,当該「ユーザ」の「認証」に用いられる情報であることは明らかであるから,上記5.において検討した事項と併せると,引用刊行物1においては,“属性ファイルに記述される情報として,アカウント情報,他のシステムのアカウント情報に加えて,ユーザの認証に用いられる差分情報が含まれる”ことが読み取れ,同じく,上記Eの「文書管理システム(X)40へは,従来通り「taro.suzuki」のユーザ名で接続できるが,文書管理システム(Y)50へは,「taro2.suzuki」のユーザ名で接続する場合である。ただし,パスワードは,両者で同一であるとする」という記載から,「文書管理システム(X)40」と,「文書管理システム(Y)50」とでは,「差分情報」は異なるものであるから,引用刊行物1においては,
“属性ファイルに記述される情報として,アカウント情報,他のシステムのアカウント情報に加えて,ユーザの認証に用いられる差分情報が含まれ,前記差分情報は,システムによって異なるものである”ことが読み取れる。

以上1.?6.において検討した事項から,引用刊行物1には,次の発明(以下,これを「引用発明」という)が記載されているものと認める。

シングルサインオンを実現するための方法であって,
ユーザが,文書統合システムへアクセスすると,前記文書統合システムは,ユーザにユーザ名とパスワードを入力させ,
前記文書統合システムログインしたユーザが,更に文書管理システムにログインする際に,属性ファイルに記述された,前記文書統合システムのアカウント情報に対応する,前記文書管理システムのアカウント情報が取得され,前記取得された文書管理システムのアカウント情報を,前記文書管理システムに入力することで,前記文書管理システムに自動的にログイン処理がなされ,
前記属性ファイルに記述される情報として,アカウント情報,他のシステムのアカウント情報に加えて,ユーザの認証に用いられる差分情報が含まれ,前記差分情報は,システムによって異なるものである,方法。

第5.本願発明と引用発明との対比,及び,判断
1.引用発明は,「文書統合システム」と,「文書管理システム」との間の「シングルサインオン」を実現するものであるから,
引用発明における「シングルサインオンを実現するための方法」は,
本願発明における「システム間シングルサインオン(SSO)のための方法」に相当する。

2.引用発明における「文書統合システム」が,本願発明における「第1のシステム」に相当し,引用発明において,「文書統合システムは,ユーザにユーザ名とパスワードを入力させ」ることは,「文書統合システム」についての「アカウント情報」を取得することに他ならず,引用発明における「アカウント情報」が,本願発明における「ID情報」に相当するものであるから,
引用発明における「ユーザが,文書統合システムへアクセスすると,前記文書統合システムは,ユーザにユーザ名とパスワードを入力させ」が,
本願発明における「第1のシステムに関するユーザのID情報を取得するステップ」に相当する。

3.引用発明における「文書管理システム」が,本願発明における「第2のシステム」に相当し,引用発明において,「属性ファイルに記述された」,「文書統合システムのアカウント情報」と,「文書管理システムのアカウント情報」との対応関係が,本願発明における「第1のシステムと第2のシステムとの間のユーザIDマッピング関係」に相当するので,
引用発明における「属性ファイルに記述された,前記文書統合システムのアカウント情報に対応する,前記文書管理システムのアカウント情報が取得され」が,
本願発明における「前記第1のシステムと第2のシステムとの間のユーザIDマッピング関係に従って,前記第1のシステムに関するユーザのID情報から前記第2のシステムに関する前記ユーザのID情報を取得するステップ」に相当する。

4.上記3.において検討したとおり,引用発明における「属性ファイル」は,「文書統合システム」の「ユーザ名」と,「文書統合システム」における「他のシステムのユーザ名」である「文書管理システム」の「ユーザ名」との対応関係が記載されると共に,前記「文書管理システム」の「ユーザ名」で,「文書管理システム」に「ログイン」する場合の,「パスワード」並びに,「差分情報」が記述されており,当該「差分情報」は,前記「文書管理システム」の「ユーザ名」を認証するために用いられる“追加的な情報”であることは明らかである。
そして,本願発明においては,「ユーザIDマッピング関係」は,「システム間で異なる追加属性,または,ユーザIDの認証,及びユーザ権限の制御ならびに制限に使用される追加情報も含まれる」ものであるが,「システム間で異なる追加属性」か,「ユーザIDの認証,及びユーザ権限の制御ならびに制限に使用される追加情報」の何れかを含むものであって,後者,即ち,「ユーザIDの認証,及びユーザ権限の制御ならびに制限に使用される追加情報」を採用すれば,引用発明における「差分情報」は,上記において検討したとおり,「ユーザ名」を認証するための情報であり,当該「差分情報」によって認証されなければ,“ユーザの権限”が制限されることは明らかであるから,本願発明における「ユーザIDの認証,及びユーザ権限の制御ならびに制限に使用される追加情報」に相当するものと言い得るものである。
また,「システム間で異なる追加属性」という構成を採用したとしても,引用発明における「差分情報」は,「文書管理システム」毎に異なるものとなり得るので,本願発明における「システム間で異なる追加属性」と言い得るものである。
よって,引用発明における「属性ファイルに記述される情報として,アカウント情報,他のシステムのアカウント情報に加えて,ユーザの認証に用いられる差分情報が含まれ,前記差分情報は,システムによって異なるものである」ことが,
本願発明における「ユーザIDマッピング関係には,システム間で異なる追加属性,または,ユーザIDの認証,及びユーザ権限の制御ならびに制限に使用される追加情報も含まれる」に相当する。

5.引用発明において,「取得された文書管理システムのアカウント情報を,前記文書管理システムに入力することで,前記文書管理システムに自動的にログイン処理がなされ」ということは,「文書統合システム」から,「文書管理システム」へ,「取得された文書管理システムのアカウント情報」が送信されることは明らかであるから,
引用発明における「取得された文書管理システムのアカウント情報を,前記文書管理システムに入力することで,前記文書管理システムに自動的にログイン処理がなされ」ることが,
本願発明における「第2のシステムに関する前記ユーザのID情報を前記第2のシステムに送信するステップ」に相当するので,
本願発明と引用発明とは,表現上の相違は存在するものの,本願発明と引用発明は,実質的には相違しない。
そして,引用発明が,本願発明と同一の構成を有する以上,本願発明は,引用発明に基づいて当業者が容易に発明をすることができたものである。
そして,本願発明の構成によってもたらされる効果も,引用発明から当業者ならば容易に予測することができる程度のものであって,格別のものとはいえない。

第6.むすび
したがって,本願発明は引用刊行物1に記載された発明であるから,特許法第29条第1項第3号の規定により特許を受けることができない。
加えて,本願発明は,引用発明に基づいて当業者が容易に発明をすることができたものであるから,特許法第29条第2項の規定により特許を受けることができない。

よって,結論のとおり審決する。
 
審理終結日 2015-04-20 
結審通知日 2015-04-21 
審決日 2015-06-04 
出願番号 特願2009-501014(P2009-501014)
審決分類 P 1 8・ 113- Z (G06F)
P 1 8・ 121- Z (G06F)
P 1 8・ 561- Z (G06F)
最終処分 不成立  
前審関与審査官 田中 慎太郎  
特許庁審判長 辻本 泰隆
特許庁審判官 石井 茂和
木村 貴俊
発明の名称 システム間シングルサインオン  
復代理人 出川 貴之  
復代理人 濱中 淳宏  
代理人 特許業務法人 谷・阿部特許事務所  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ