数据恢复装置、数据管理服务器、数据管理系统、数据恢复方法及程序与流程

1.本发明涉及数据恢复装置、数据管理服务器、数据管理系统、数据恢复方法以及程序，尤其涉及能够防止数据流出的数据恢复装置、数据管理服务器、数据管理系统、数据恢复方法以及程序。


背景技术：

2.公开了一种身份证明书公共认证系统，其使用多个团体的各构成人员持有的存储构成人员的身份证明书数据的身份证明书进行认证，其中，该身份证明书公共认证系统包括：身份证明书db，集成地预先存储多个团体的身份证明书数据；以及设置于多个团体的身份证明书查询终端，读取身份证明书的数据并经由网络查询身份证明书db(例如参照专利文献1)。另外，将专利文献1的说明书、权利要求书、整个附图作为参考并结合到本说明书中。
3.现有技术文献
4.专利文献
5.专利文献1：日本特开2011
‑
145857号公报


技术实现要素：

6.发明要解决的技术问题
7.然而，在专利文献1记载的身份证明书公共认证系统中，必须将身份证明书数据预先存储在身份证明书db中，并且必须将读取的身份证明书的数据经由网络发送到身份证明书db，因此被破解而导致数据流出的危险性较高。
8.本发明是为了解决上述课题而做出的，其目的在于提供能够防止数据流出的数据恢复装置、数据管理服务器、数据管理系统、数据恢复方法以及程序。
9.用于解决技术问题的方案
10.为了实现上述目的，本发明的第一方面涉及的数据恢复装置(4)，其特征在于，终端装置(2)一方面将通过分割二进制数据而得到的第一数据和第二数据中的该第一数据保存，另一方面将该第二数据经由网络(n)上传到数据管理服务器(5)，上述数据恢复装置(4)从上述终端装置(2)获取该第一数据，并经由上述网络(n)从上述数据管理服务器(5)获取与上述获取的第一数据对应的第二数据，根据上述获取到的第一数据和第二数据，恢复上述二进制数据。
11.本发明的第二方面涉及的数据管理服务器(5)经由网络(n)与终端装置(2)和数据恢复装置(4)连接，上述终端装置(2)一方面将通过分割二进制数据而得到的第一数据和第二数据中的该第一数据与能够确定该第一数据和第二数据的识别信息相关联地保存，另一方面经由网络(n)上传该第二数据和该识别信息，上述数据恢复装置(4)根据该第一数据和第二数据，恢复该二进制数据，上述数据管理服务器(5)具备：存储部(52)，将由上述终端装
置(2)上传的上述第二数据和上述识别信息相关联地保存；以及控制部(53)，响应于从已经自上述终端装置(2)获取了上述第一数据和上述识别信息的上述数据恢复装置(4)接收到经由上述网络(n)发送的该识别信息，从上述存储部(52)检测与该识别信息对应的上述第二数据，并经由该网络(n)将检测到的该第二数据发送到该数据恢复装置(4)，从而使该数据恢复装置(4)恢复上述二进制数据。
12.本发明的第三方面涉及的数据管理系统(1)，其特征在于，上述数据管理系统(1)具备：数据管理服务器(5)，经由网络(n)与终端装置(2)连接，上述终端装置(2)一方面将通过分割二进制数据而得到的第一数据和第二数据中的该第一数据与能够确定该第一数据和该第二数据的识别信息相关联地保存，另一方面经由网络(n)上传该第二数据和该识别信息；以及数据恢复装置(4)，经由上述网络(n)与上述数据管理服务器(5)连接，并根据上述第一数据和第二数据恢复上述二进制数据，上述数据管理服务器(5)具备：存储部(52)，将由上述终端装置(2)上传的上述第二数据和上述识别信息相关联地保存；以及控制部(53)，响应于从上述数据恢复装置(4)接收到经由上述网络(n)发送的上述识别信息，从上述存储部(52)检测与该识别信息对应的上述第二数据，并经由该网络(n)将检测到的该第二数据发送到该数据恢复装置(4)，上述数据恢复装置(4)响应于从上述终端装置(2)获取上述第一数据和上述识别信息，经由上述网络(n)将该识别信息发送到上述数据管理服务器(5)，并从该数据管理服务器(5)接收到与经由该网络(n)发送的该识别信息对应的上述第二数据，根据该接收到的第二数据和从该终端装置(2)获取到的第一数据，恢复上述二进制数据。
13.也可以是，在上述数据管理系统(1)中，上述终端装置(2)显示表示上述第一数据和上述识别信息的数据码(400)，上述数据恢复装置(4)获取上述终端装置(2)中显示的上述数据码(400)所表示的上述第一数据和上述识别信息。
14.也可以是，在上述数据管理系统(1)中，在上述数据码(400)中嵌入该数据码(400)的生成时刻，上述数据恢复装置(4)从上述终端装置(2)中显示的上述数据码(400)获取该数据码(400)的生成时刻，并经由上述网络(n)将上述识别信息和该数据码(400)的生成时刻发送到上述数据管理服务器(5)，上述控制部(53)响应于从上述数据恢复装置(4)接收到经由上述网络(n)发送的上述识别信息和上述数据码(400)的生成时刻，判别从该数据码(400)的生成时刻起是否在规定期间内，并以在该规定期间内为条件，将与该识别信息对应的上述第二数据经由该网络(n)发送到该数据恢复装置(4)。
15.本发明的第四方面涉及的数据恢复方法，其特征在于，终端装置(2)一方面将通过分割二进制数据而得到的第一数据和第二数据中的该第一数据保存，另一方面将该第二数据经由网络(n)上传到数据管理服务器(5)，在上述数据恢复方法中从上述终端装置(2)获取该第一数据，并且该数据恢复方法经由上述网络(n)从上述数据管理服务器(5)获取与上述获取到的第一数据对应的第二数据，并且根据上述获取到的第一数据和第二数据，恢复上述二进制数据。
16.本发明的第五方面涉及的数据恢复方法，其特征在于，通过数据管理服务器(5)来执行，上述数据管理服务器(5)经由网络(n)与终端装置(2)和数据恢复装置(4)连接，上述终端装置(2)一方面将通过分割二进制数据而得到的第一数据和第二数据中的该第一数据与能够确定该第一数据和第二数据的识别信息相关联地保存，另一方面经由该网络(n)上
传该第二数据和该识别信息，上述数据恢复装置(4)根据该第一数据和第二数据，恢复该二进制数据，上述数据管理服务器(5)具备将由上述终端装置(2)上传的上述第二数据和上述识别信息相关联地保存的存储部(52)，上述数据恢复方法响应于从已经自上述终端装置(2)获取了上述第一数据和上述识别信息的上述数据恢复装置(4)接收到经由上述网络(n)发送的该识别信息，从上述存储部(52)检测与该识别信息对应的上述第二数据，并经由该网络(n)将检测到的该第二数据发送到该数据恢复装置(4)，从而使该数据恢复装置(4)恢复上述二进制数据。
17.本发明的第六方面涉及的数据恢复方法，其特征在于，通过数据管理系统(1)来执行，上述数据管理系统(1)具备：数据管理服务器(5)，经由网络(n)与终端装置(2)连接，上述终端装置(2)一方面将通过分割二进制数据而得到的第一数据和第二数据中的该第一数据与能够确定该第一数据和第二数据的识别信息相关联地保存，另一方面经由该网络(n)上传该第二数据和该识别信息，上述数据管理服务器(5)具备将由上述终端装置(2)上传的上述第二数据和上述识别信息相关联地保存的存储部(52)；以及数据恢复装置(4)，经由上述网络(n)与上述数据管理服务器(5)连接，并根据上述第一数据和第二数据恢复上述二进制数据，上述数据管理服务器(5)响应于从上述数据恢复装置(4)接收到经由上述网络(n)发送的上述识别信息，从上述存储部(52)检测与该识别信息对应的上述第二数据，上述数据管理服务器(5)经由该网络(n)将检测到的该第二数据发送到该数据恢复装置(4)，上述数据恢复装置(4)从上述终端装置(2)获取上述第一数据和上述识别信息，并经由上述网络(n)将该识别信息发送到上述数据管理服务器(5)，上述数据恢复装置(4)响应于从该数据管理服务器(5)接收到与经由该网络(n)发送的该识别信息对应的上述第二数据，根据该接收到的第二数据和从该终端装置(2)获取的第一数据，恢复上述二进制数据。
18.本发明的第七方面涉及的程序使计算机执行以下操作：终端装置(2)一方面将通过分割二进制数据而得到的第一数据和第二数据中的该第一数据保存，另一方面将该第二数据经由网络(n)上传到数据管理服务器(5)，从上述终端装置(2)获取该第一数据；以及经由上述网络(n)从上述数据管理服务器(5)获取与上述获取的第一数据对应的第二数据，根据上述获取到的第一数据和第二数据恢复上述二进制数据。
19.本发明的第八方面涉及的程序使数据管理服务器(5)的计算机进行以下操作：响应于从已经自终端装置(2)获取了第一数据和识别信息的数据恢复装置(4)接收到经由网络(n)发送的该识别信息，从存储部(52)检测与该识别信息对应的第二数据，并经由该网络(n)将检测到的该第二数据发送到该数据恢复装置(4)，从而使该数据恢复装置(4)恢复二进制数据，其中，上述数据管理服务器(5)经由上述网络(n)与上述终端装置(2)和上述数据恢复装置(4)连接，上述终端装置(2)一方面将通过分割上述二进制数据而得到的上述第一数据和上述第二数据中的该第一数据与能够确定该第一数据和该第二数据的上述识别信息相关联地保存，另一方面经由该网络(n)上传该第二数据和该识别信息，上述数据恢复装置(4)根据该第一数据和该第二数据恢复该二进制数据，上述数据管理服务器(5)具备将由上述终端装置(2)上传的上述第二数据和上述识别信息相关联地保存的上述存储部(52)。
20.发明效果
21.根据本发明，可以提供能够防止数据流出的数据恢复装置、数据管理服务器、数据管理系统、数据恢复方法以及程序。
附图说明
22.图1是示出数据管理系统的构成例的图。
23.图2是示出终端装置的构成例的框图。
24.图3是示出首页画面的显示例的图。
25.图4是例示数据码的图。
26.图5是示出数据码生成服务器的构成例的框图。
27.图6是示出qr码(注册商标)的构成例的图。
28.图7是用于说明数据码的生成时刻的嵌入步骤的示意图。
29.图8是示出数据恢复装置的构成例的框图。
30.图9是示出数据管理服务器的构成例的框图。
31.图10是示出图像数据分散处理的细节的流程图。
32.图11是示出数据码生成处理的细节的流程图。
33.图12是示出图像数据恢复处理的细节的流程图。
具体实施方式
34.下面，说明用于实现本发明的优选的实施方式。
35.首先，参照附图说明本发明的实施方式涉及的数据管理系统的结构。
36.本实施方式涉及的数据管理系统使得例如职员能够在银行等金融机构的窗口适当地进行使用者的本人确认。
37.图1是示出数据管理系统的构成例的图。
38.如图1所示，数据管理系统1具备终端装置2、数据码生成服务器3、数据恢复装置4以及数据管理服务器5，它们经由因特网等网络n彼此能够通信地连接。
39.终端装置2例如由通用智能手机等构成。终端装置2由利用金融机构的服务的使用者持有。
40.图2是示出终端装置的构成例的框图。
41.如图2所示，终端装置2包括拍摄部21、存储部22、触摸面板23、通信部24以及控制部25，它们经由总线等而连接。
42.拍摄部21包括ccd(charge coupled device：电荷耦合器件)等受光元件而构成。拍摄部21拍摄例如附有使用者的面部照片的驾驶证等身份证明书。
43.存储部22例如由通用闪存等非易失性存储器等构成。在存储部22中预先安装有用于将由拍摄部21拍摄得到的身份证明书的图像数据(二进制数据)中的一部分数据(以下称为“不完整数据”。)上传到数据管理服务器5的专用应用程序(以下称为“专用应用”)。另外，存储部22将身份证明书的图像数据中的不完整数据以外的剩余数据(第一数据)与身份证明书的拍摄日期和时间以及拍摄地点的位置信息相关联地保存。
44.图2所示的触摸面板23例如由将液晶显示装置和定位设备组合而成的通用触摸面板等构成。触摸面板23显示各种画面，并且受理使用者的各种操作。在触摸面板23上，显示专用应用的首页画面、用于拍摄身份证明书的拍摄画面、表示剩余数据的数据码等。
45.图3的(a)是示出首页画面的显示例的图，图3的(b)是示出拍摄画面的显示例的图。
46.如图3的(a)所示，在首页画面300上，显示用于指示显示拍摄画面的拍摄画面显示指示图标(在图3的(a)所示的示例中示为“拍摄照片”的图标)301和指示显示数据码的数据码显示指示图标(在图3的(a)所示的示例中示为“qr显示”的图标)302。
47.在首页画面300中使用者点击拍摄画面显示指示图标301时，在触摸面板23上显示如图3的(b)所示的拍摄画面310。如图3的(b)所示，在拍摄画面310上显示使用者的身份证明书200的直通图像等。另一方面，在图3的(a)所示的首页画面300中使用者点击数据码显示指示图标302时，在触摸面板23上显示表示剩余数据的数据码。
48.图4是例示数据码的图。
49.如图4所示，数据码400由在能够视觉识别的标识图像上重叠例如qr(quick response：快速反应)码(注册商标)等二维码而得到的带标识二维码(例如，参照日本特开2007
‑
287004号以及日本特开2008
‑
15642号日本公开专利公报、wo2011/118540号国际公开公报)构成。此外，将日本特开2007
‑
287004号和日本特开2008
‑
15642号日本公开专利公报以及wo2011/118540号国际公开公报的说明书、权利要求书、整个附图作为参考并结合到本说明书中。
50.图2中所示的通信部24例如由具有gps(global positioning system：全球定位系统)功能的无线通信装置等构成。通信部24经由网络n从未图示的ntp(network time protocol：网络时间协议)服务器获取当前的时刻。此外，当前时刻的获取方法不限于从ntp服务器获取，可以是从gnss(global navigation satellite system：全球导航卫星系统)获取、从运营商获取等，是任意的。另外，通信部24经由未图示的gps天线从未图示的gps卫星获取终端装置2的当前位置信息。
51.在本实施方式中，从未图示的ntp服务器获取的当前时刻(例如，y1y2y3y4年m1m2月d1d2日h1h2时m1m2分s1s2秒)由14位数字串(y1y2y3y4m1m2d1d2h1h2m1m2s1s2)表示。此外，当前的时刻可以是在上述14位数字串中添加表示日本标准时间(japan standard time；jst)的5位数字串(+0900)之后得到的19位数字串。另外，从未图示的gps卫星获取的终端装置2的当前位置信息由表示gps坐标的18位数字串表示。例如，gps坐标(35.666561，139.770631)由“035666561139770631”表示，gps坐标(
‑
83.592081，40.320575)由
“‑
83592081040320575”表示。
52.进而，通信部24将作为拍摄日期和时间的从未图示的ntp服务器获取的当前时刻以及作为拍摄地点的位置信息的从未图示的gps卫星获取的终端装置2的当前位置信息，与身份证明书200的不完整数据(第二数据)一起经由网络n发送到数据管理服务器5。另外，通信部24经由网络n将请求生成数据码400的数据码生成请求发送到数据码生成服务器3。然后，通信部24接收经由网络n从数据码生成服务器3发送的数据码400。
53.控制部25例如由cpu(central processing unit：中央处理单元)、rom(read only memory：只读存储器)及ram(random access memory：随机存取存储器)等构成。cpu使用ram作为工作存储器，并适当地执行存储在rom和存储部22中的程序等，从而控制终端装置2的各种操作。
54.在本实施方式中，控制部25通过执行存储在存储部22中的专用应用，从而在触摸面板23上显示图3的(a)所示的首页画面300。控制部25响应于使用者在首页画面300中点击拍摄画面显示指示图标301而在触摸面板23上显示图3的(b)所示的拍摄画面310。
55.响应于使用者指示拍摄在拍摄画面310中显示为直通图像的使用者的身份证明书200，控制部25利用拍摄部21拍摄使用者的身份证明书200，以获取身份证明书200的图像数据(二进制数据)。另外，控制部25经由网络n从未图示的ntp服务器获取当前时刻，作为身份证明书200的拍摄日期和时间。进而，控制部25利用通信部24经由未图示的gps天线从未图示的gps卫星获取终端装置2的当前位置信息，作为拍摄地点的位置信息。
56.接着，控制部25将身份证明书200的图像数据分割成上传到数据管理服务器5的不完整数据以及保存在存储部22中的剩余数据。具体而言，控制部25将身份证明书200的图像数据分割成每个字节，并且将1个字节的分割数据作为一个片段。随后，控制部25从构成身份证明书200的图像数据的约百万个片段中选择例如残留在终端装置2中的四个片段。然后，控制部25从选择的四个片段中生成身份证明书200的剩余数据，并且从残留在终端装置2中的四个片段以外的片段中生成不完整数据。
57.控制部25将身份证明书200的剩余数据与获取到的拍摄日期和时间以及拍摄地点的位置信息相关联地保存在存储部22中。另一方面，控制部25经由网络n将身份证明书200的不完整数据与获取到的拍摄日期和时间以及拍摄地点的位置信息一起从通信部24发送并上传到数据管理服务器5。
58.之后，响应于使用者在图3的(a)所示的首页画面300中点击数据码显示指示图标302，控制部25将包括存储在存储部22中的身份证明书200的剩余数据、拍摄日期和时间以及拍摄地点的位置信息的数据码生成请求经由网络n从通信部24发送到数据码生成服务器3。然后，控制部25利用通信部24接收从数据码生成服务器3经由网络n发送的数据码400，并将其显示在触摸面板23上。
59.图1所示的数据码生成服务器3例如由通用服务器计算机等构成。数据码生成服务器3生成表示剩余数据的数据码400。
60.图5是示出数据码生成服务器的构成例的框图。
61.如图5所示，数据码生成服务器3包括通信部31和控制部32，它们经由总线等而连接。
62.通信部31例如由nic(network interface card：网络接口卡)等构成。通信部31接收从终端装置2经由网络n发送的数据码生成请求。另外，通信部31经由网络n从未图示的ntp服务器获取当前时刻。进而，通信部31经由网络n将数据码400发送到终端装置2。
63.控制部32例如由cpu、rom以及ram等构成。cpu使用ram作为工作存储器，并适当地执行存储在rom、未图示的存储部中的程序等，从而控制数据码生成服务器3的各种操作。
64.在本实施方式中，响应于通过通信部31接收到从终端装置2经由网络n发送的数据码生成请求，控制部32获取当前时刻作为数据码400的生成时刻。具体而言，控制部32经由网络n从未图示的ntp服务器获取当前时刻。需要注意的是，当前时刻的获取方法不限于从ntp服务器获取，也可以是从gnss获取、从运营商获取等，是任意的。然后，控制部32从获取的当前时刻(例如y1y2y3y4年m1m2月d1d2日h1h2时m1m2分s1s2秒)中获取4位数字串(h1h2m1m2)，作为数据码400的生成时刻。
65.随后，控制部32生成表示数据码生成请求中包括的身份证明书200的剩余数据、拍摄日期和时间以及拍摄地点的位置信息的qr码(注册商标)。然后，控制部32在表示身份证明书200的剩余数据、拍摄日期和时间以及拍摄地点的位置信息的qr码(注册商标)的校正
区域中嵌入数据码400的生成时刻，由此生成数据码400。关于在qr码(注册商标)的校正区域中嵌入数据码400的生成时刻的技术，在日本特开2013
‑
058965号和日本特开2014
‑
029659号的日本公开专利公报、日本专利第6488434号的日本专利公报以及wo2014/027424号和wo2015/001637号的国际公开公报等中，对其进行了详细的记载。此外，将日本特开2013
‑
058965号和日本特开2014
‑
029659号的日本公开专利公报、日本专利第6488434号的日本专利公报以及wo2014/027424号和wo2015/001637号的国际公开公报的说明书、权利要求书、整个附图作为参考并结合到本说明书中。
66.具体而言，控制部32如下所述在qr码(注册商标)的校正区域中嵌入数据码400的生成时刻。
67.图6是示出qr码(注册商标)的构成例的图。
68.如图6所示，qr码(注册商标)100包括三个定位用码元104a、104b、104c、信息码记录区域106、定时单元108以及格式码109等。信息码记录区域106包括信息码(信息区域)cd和与其对应的rs(里德
‑
所罗门)码(校正区域)ce的码对。信息码cd是对身份证明书200的剩余数据、拍摄日期和时间以及拍摄地点的位置信息进行编码而得到的，因此根据信息码cd中包括的单元的分布模式(单元模式)，表现身份证明书200的剩余数据、拍摄日期和时间以及拍摄地点的位置信息。另外，rs码ce是对校正用信息进行编码而得到的，校正用信息通过使用rs(里德
‑
所罗门)对身份证明书200的剩余数据、拍摄日期和时间以及拍摄地点的位置信息进行编码而得到，因此根据rs码ce中包括的单元模式，表现用于校正错误的校正用信息。信息码记录区域106例如由构成信息码cd的44个信息码元和构成rs码ce的90个rs码元共计134个码元构成。信息码记录区域106被分成四个块，其中两个块由11个信息码元以及与之对应的22个rs码元共计33个码元构成，其余的两个块由11个信息码元以及与之对应的23个rs码元共计34个码元构成。
69.图5所示的控制器32通过根据规定的码配置规则对具有这种结构的qr码(注册商标)的各块进行解码，从而从各块获取由11个信息码元构成的信息位串和由22个或23个rs码元构成的rs位串。接着，控制器32从各块的rs位串的预定位置提取两个rs码元，并从各块中分别获取由两个rs码元构成的位长为16的位串(嵌入位串)mi(i＝1～4)。随后，控制部32分别计算位串mi(i＝1～4)与表示构成数据码400的生成时刻的4位各数字的位长16的位串(认证位串)ni(i＝1～4)之间的异或，生成位串m’i(i＝1～4)(第一异或)。
70.图7是用于说明数据码的生成时刻的嵌入步骤的示意图。
71.如图7的(a)和图7的(b)所示，控制部32通过将位串mi(i＝1～4)分别替换成位串m’i(i＝1～4)，从而嵌入位串ni(i＝1～4)作为数据码400的生成时刻。
72.图5所示的控制部32根据qr码(注册商标)的码配置规则来配置信息位串和嵌入有生成时刻的rs位串，从而生成在校正区域嵌入有认证信息的qr码(注册商标)。随后，控制部32通过将在校正区域中嵌入了生成时刻的qr码(注册商标)叠加到能够视觉识别的标识图像上，生成数据码(带标识的二维码)400。然后，控制部32经由网络n将生成的数据码400从通信部31发送到终端装置2。
73.图1所示的数据恢复装置4例如由具有通信功能的qr码(注册商标)读取器、或者具有qr码(注册商标)读取功能的智能手机、平板计算机等构成。例如，在金融机构的职员读取在终端装置2的触摸面板23上显示的数据码400时，使用数据恢复装置4。此外，数据恢复装
置4可以设置在金融机构中。在这种情况下，使用者可以将在终端装置2的触摸面板23上显示的数据码400保存在数据恢复装置4上而进行读取。
74.图8是示出数据恢复装置的构成例的框图。
75.如图8所示，数据恢复装置4具备拍摄部41、通信部42、显示部43和控制部44，它们经由总线等而连接。
76.拍摄部41包括ccd等受光元件而构成。拍摄部41拍摄在终端装置2的触摸面板23上显示的数据码400。
77.通信部42例如由通用的无线通信装置等构成。通信部42经由网络n将请求发送不完整数据的不完整数据发送请求发送到数据管理服务器5。另外，通信部42接收从数据管理服务器5经由网络n发送的不完整数据。
78.显示部43例如由通用的液晶显示器等构成。显示部43显示各种画面。在显示部43上显示使用者的身份证明书200的图像数据。
79.控制部44例如由cpu、rom以及ram等构成。cpu使用ram作为工作存储器，并适当地执行存储在rom、未图示的存储部中的程序等，从而控制数据恢复装置4的各种操作。
80.在本实施方式中，控制部44响应于金融机构的职员指示读取数据码400，通过拍摄部41拍摄在终端装置2的触摸面板23上显示的数据码400。控制部44根据上述码配置规则对由拍摄部41拍摄数据码400而得到的拍摄位串进行解码，从而从qr码(注册商标)的各块获取由11个信息码元构成的信息位串和由22或23个rs码元构成的rs位串。接着，控制部44通过求得拍摄位串与信息位串和rs位串之间的异或(第二异或)，从而将由两个rs码元构成的四个位串m’i(i＝1～4)(第一异或)检测为错误。随后，控制部44计算rs位串中包括的四个位串mi(i＝1～4)与被检测为错误的四个位串m’i(i＝1～4)之间的异或，从而获取嵌入作为数据码400的生成时刻的四个位串ni(i＝1～4)。
81.控制部44经由网络n将不完整数据发送请求从通信部42发送到数据管理服务器5，该不完整数据发送请求包括由从数据码400的校正区域获取的四个位串ni(i＝1～4)构成的数据码400的生成时刻和数据码400表示的身份证明书200的拍摄日期和时间以及拍摄地点的位置信息。
82.响应于通过通信部42接收到从数据管理服务器5经由网络n发送的不完整数据，控制部44根据接收到的不完整数据和数据码400表示的剩余数据，恢复使用者的身份证明书200的图像数据。然后，控制部44基于所恢复的图像数据，在显示部43上显示使用者的身份证明书200。
83.与此相对，响应于通过通信部42接收到从数据管理服务器5经由网络n发送的不完整数据无法发送通知，控制部44将表示无法恢复使用者的身份证明书200的图像数据的无法恢复画面显示在显示部43上。
84.图1所示的数据管理服务器5例如由通用的服务器计算机和通用的数据库等构成。数据管理服务器5进行不完整数据的保存、发送。
85.图9是示出数据管理服务器的构成例的框图。
86.如图9所示，数据管理服务器5具备通信部51、存储部52以及控制部53，它们经由总线等而连接。
87.通信部51例如由nic等构成。通信部51接收从终端装置2经由网络n发送的身份证
明书200的不完整数据、拍摄日期和时间以及拍摄地点的位置信息。另外，通信部51接收从数据恢复装置4经由网络n发送的不完整数据发送请求。然后，通信部51经由网络n将身份证明书200的不完整数据发送到数据恢复装置4。
88.存储部52例如由硬盘驱动器等构成。存储部52将身份证明书200的不完整数据、拍摄日期和时间以及拍摄地点的位置信息相关联地保存。
89.控制部53例如由cpu、rom以及ram等构成。cpu使用ram作为工作存储器，并适当地执行存储在rom以及存储部52中的程序等，从而控制数据管理服务器5的各种操作。
90.在本实施方式中，控制部53通过通信部51接收从终端装置2经由网络n发送的身份证明书200的不完整数据、拍摄日期和时间以及拍摄地点的位置信息，并将其与存储部52相关联地保存。
91.然后，响应于通过通信部51接收到从数据恢复装置4经由网络n发送的不完整数据发送请求，控制部53判别从不完整数据发送请求包括的数据码400的生成时刻起是否在规定期间(例如10分钟)内。
92.当从数据码400的生成时刻起在规定期间内时，控制部53判别与不完整数据发送请求中包括的身份证明书200的拍摄日期和时间以及拍摄地点的位置信息相对应的不完整数据是否保存在存储部52中。
93.当不完整数据保存在存储部42中时，控制部53经由网络n将该不完整数据从通信部51发送到数据恢复装置4。
94.与此相对，当从数据码400的生成时刻起经过了规定期间以上时、当不完整数据未保存在存储部52中时，控制部53视为认证失败，将表示无法发送不完整数据的无法发送通知经由网络n从通信部51发送到数据恢复装置4。
95.接着，参照附图说明具备上述结构的数据管理系统1所执行的各种处理。
96.响应于使用者指示拍摄在图3的(b)所示的拍摄画面310中显示为直通图像的使用者的身份证明书200，数据管理系统1开始图像数据分散处理。
97.图10是示出图像数据分散处理的细节的流程图。
98.在图10所示的图像数据分散处理中，终端装置2的控制部25首先通过拍摄部21拍摄使用者的身份证明书200，获取身份证明书200的图像数据(二进制数据)(步骤s101)。
99.另外，控制部25通过通信部24经由网络n从未图示的ntp服务器获取当前时刻，作为身份证明书200的拍摄日期和时间(步骤s102)。
100.进而，控制部25利用通信部24经由未图示的gps天线从未图示的gps卫星获取终端装置2的当前位置信息，作为拍摄地点的位置信息(步骤s103)。
101.接着，控制部25将在步骤s101中获取到的身份证明书200的图像数据分割成上传到数据管理服务器5的不完整数据以及保存在存储部22中的剩余数据(步骤s104)。
102.控制部25将在步骤s104中获得的身份证明书200的剩余数据与在步骤s102和s103中获取到的拍摄日期和时间以及拍摄地点的位置信息相关联地保存在存储部22中(步骤s105)。
103.另一方面，控制部25经由网络n将在步骤s104中获得的身份证明书200的不完整数据与在步骤s102和s103中获取到的拍摄日期和时间以及拍摄地点的位置信息一起从通信部24发送并上传到数据管理服务器5(步骤s106)。
104.数据管理服务器5的控制部53通过通信部51接收从终端装置2经由网络n发送的身份证明书200的不完整数据、拍摄日期和时间以及拍摄地点的位置信息(步骤s107)。
105.然后，控制部53将在步骤s107中接收到的身份证明书200的不完整数据、拍摄日期和时间以及拍摄地点的位置信息相关联地保存在存储部52中(步骤s108)，之后结束图像数据分散处理。
106.然后，响应于使用者在图3的(a)所示的首页画面300上点击数据码显示指示图标302，数据管理系统1开始数据码生成处理。
107.图11是示出数据码生成处理的细节的流程图。
108.在图11所示的数据码生成处理中，终端装置2的控制部25首先经由网络n将数据码生成请求从通信部24发送到数据码生成服务器3，该数据码生成请求包括存储在存储部22中的身份证明书200的剩余数据、拍摄日期和时间以及拍摄地点的位置信息(步骤s111)。
109.数据码生成服务器3的控制部32响应于通过通信部31接收到从终端装置2经由网络n发送的数据码生成请求(步骤s112)，获取当前时刻作为数据码400的生成时刻(步骤s113)。
110.接着，控制部32生成表示数据码生成请求中包括的身份证明书200的剩余数据、拍摄日期和时间以及拍摄地点的位置信息的qr码(注册商标)(步骤s114)。
111.接着，控制部32将在步骤s113中获取到的生成时刻嵌入在步骤s114中生成的qr码(注册商标)的校正区域中(步骤s115)。
112.随后，控制部32通过将在校正区域中嵌入了生成时刻的qr码(注册商标)叠加到能够视觉识别的标识图像上，从而生成数据码(带标识的二维码)400(步骤s116)。
113.然后，控制部32经由网络n将在步骤s116中生成的数据码400从通信部31发送到终端装置2(步骤s117)。
114.终端装置2的控制部25通过通信部24接收从数据码生成服务器3经由网络n发送的数据码400(步骤s118)。
115.然后，控制部25在触摸面板23上显示在步骤s118中接收到的数据码400(步骤s119)，之后结束数据码生成处理。
116.然后，使用者在金融机构的窗口等向金融机构的职员提示在触摸面板23上显示有数据码400的终端装置2。然后，响应于金融机构的职员将数据恢复装置4的拍摄部41保持在终端装置2的触摸面板23所显示的数据码400上并指示读取数据码400，数据管理系统1执行图像数据恢复处理。
117.图12是示出图像数据恢复处理的细节的流程图。
118.在图12所示的图像数据恢复处理中，数据恢复装置4的控制部44首先通过拍摄部41拍摄在终端装置2的触摸面板23上显示的数据码400(步骤s121)。
119.接着，控制部44获取在步骤s121拍摄到的数据码400的校正区域中嵌入的生成时刻(步骤s122)。
120.随后，控制部44经由网络n将不完整数据发送请求从通信部42发送到数据管理服务器5，该不完整数据发送请求包括在步骤s122获取到的数据码400的生成时刻和数据码400表示的身份证明书200的拍摄日期和时间以及拍摄地点的位置信息(步骤s123)。
121.数据管理服务器5的控制部53响应于通过通信部51接收到从数据恢复装置4经由
网络n发送的不完整数据发送请求(步骤s124)，判别从不完整数据发送请求中包括的数据码400的生成时刻起是否在规定期间(例如10分钟)内(步骤s125)。
122.当从数据码400的生成时刻起在规定期间内时(步骤s125；是)，控制部53判别与不完整数据发送请求中包括的身份证明书200的拍摄日期和时间以及拍摄地点的位置信息对应的不完整数据是否保存在存储部52中(步骤s126)。
123.当不完整数据保存在存储部42中时(步骤s126；是)，控制部53经由网络n将该不完整数据从通信部51发送到数据恢复装置4(步骤s127)。
124.数据恢复装置4的控制部44响应于通过通信部42接收到从数据管理服务器5经由网络n发送的不完整数据(步骤s128)，根据在步骤s128中接收到的不完整数据和数据码400表示的剩余数据，恢复使用者的身份证明书200的图像数据(步骤s129)。
125.然后，控制部44基于在步骤s129中恢复的图像数据，在显示部43上显示使用者的身份证明书200(步骤s130)，然后结束图像数据恢复处理。
126.金融机构的职员基于被附于显示部43所显示的身份证明书200的面部图像，能够进行使用者的本人确认。
127.与此相对，当从数据码400的生成时刻起经过了规定期间以上时(步骤s125；否)、不完整数据未保存在存储部52中时(步骤s126；否)，数据管理服务器5的控制部53视为认证失败，将表示无法发送不完整数据的无法发送通知经由网络n从通信部51发送到数据恢复装置4(步骤s131)。
128.数据恢复装置4的控制部44响应于通过通信部42接收到从数据管理服务器5经由网络n发送的无法发送通知(步骤s132)，将表示无法恢复使用者的身份证明书200的图像数据的无法恢复画面显示在显示部43上(步骤s133)，然后结束图像数据恢复处理。
129.如上所述，本实施方式涉及的数据管理系统1具备终端装置2、数据恢复装置4以及数据管理服务器5，它们经由网络n连接。
130.终端装置2将通过分割使用者的身份证明书的图像数据(二进制数据)而得到的剩余数据和不完整数据中的剩余数据与能够确定剩余数据和不完整数据的识别信息、即身份证明书的拍摄日期和时间以及拍摄地点的位置信息相关联地保存在存储部22中。另一方面，终端装置2经由网络n将身份证明书的不完整数据、拍摄日期和时间以及拍摄地点的位置信息上传到数据管理服务器5。终端装置2显示表示身份证明书的剩余数据、拍摄日期和时间以及拍摄地点的位置信息的数据码400。此外，在数据码400中嵌入有其生成时刻。
131.数据恢复装置4获取在终端装置2上显示的数据码400表示的身份证明书的剩余数据、拍摄日期和时间以及拍摄地点的位置信息。另外，数据恢复装置4从数据码400获取其生成时刻。然后，数据恢复装置4经由网络n将包括身份证明书的拍摄日期和时间以及拍摄地点的位置信息和数据码400的生成时刻的不完整数据发送请求发送到数据管理服务器5。
132.数据管理服务器5的控制部53响应于接收到从数据恢复装置4经由网络n发送的不完整数据发送请求，判别从不完整数据发送请求中包括的数据码400的生成时刻起是否在规定期间内。然后，控制部53以在规定期间内为条件，从存储部52检测与不完整数据发送请求中包括的身份证明书的拍摄日期和时间以及拍摄地点的位置信息相对应的不完整数据，并将检测到的不完整数据经由网络n发送到数据恢复装置4。
133.数据恢复装置4响应于接收到从数据管理服务器5经由网络n发送的不完整数据，
根据接收到的不完整数据和从终端装置2获取到的剩余数据，恢复身份证明书的图像数据。
134.这样，在本实施方式涉及的数据管理系统1中，一方面仅将身份证明书的图像数据(二进制数据)中的不完整数据经由网络n上传到数据管理服务器5，另一方面剩余数据未被上传而是保持在终端装置2中。而且，在恢复身份证明书的图像数据时，数据恢复装置4不将剩余数据经由网络n发送到数据管理服务器5，而仅发送身份证明书的拍摄日期和时间以及拍摄地点的位置信息，由此能够从数据管理服务器5获取不完整数据。即，在数据管理系统1中，不经由网络n收发身份证明书的所有图像数据，并且也不将身份证明书的所有图像数据保存在数据管理服务器5中。因此，即使对本实施方式涉及的数据管理系统1进行破解，也仅剩余数据丢失的不完整数据流出，因此不能仅根据不完整数据来恢复身份证明书的图像数据。由此，数据管理系统1能够防止数据的流出。其结果，使用者能够利用终端装置2在金融机构的窗口等进行本人确认，而无需担心身份证明书中记载的个人信息的流出。
135.另外，数据恢复装置4如果从数据码400的生成时刻起在规定期间内未向数据管理服务器5发送不完整数据发送请求，则不能从数据管理服务器5获取不完整数据。因此，即使在终端装置2上显示的数据码400被偷拍，也可以通过经过规定期间来尽可能地防止被不正当使用。
136.进而，在数据管理系统1中，由于能够在不对数据进行加密的情况下防止数据的流出，因此无需设想用于解密的解密密钥的流出并为此采取措施。另外，由于不进行加密，因此也不会因数据长度增加而对数据管理服务器5造成过大的负担。
137.需要注意的是，本发明不限于上述实施方式，可以进行各种变形、应用。下面，说明可应用于本发明的上述实施方式的变形方式。
138.在上述实施方式中，说明了二进制数据是驾驶证等身份证明书的图像数据。然而，本发明并不限于此，二进制数据是任意的，只要是计算机能处理的数据，可以是文本数据、音频数据、视频数据等。另外，图像数据也不限于表示驾驶证，还可以表示我的编号卡等其它身份证明书。进而，也可以表示印章、使用者的面部照片、票据、支票、区域货币、设计图、著作、防犯影像等身份证明书以外的事物。
139.在上述实施方式中，说明了数据码400由数据码生成服务器3生成。然而，本发明并不限于此，数据码400也可以由终端装置2生成。
140.在上述实施方式中，说明了数据码400是在能够视觉识别的标识图像上叠加qr码(注册商标)而形成的带标识二维码。然而，本发明并不限于此，数据码400也可以是未叠加标识图像的由白色单元和黑色单元构成的通用qr码(注册商标)。另外，数据码400可以是qr码(注册商标)以外的码，例如可以是data matrix、aztec code、code one码、arraytag、方框(box)图形编码、maxi code、veri code、soft strip、cp code、karuracode以及ultra code等其它矩阵式的二维码。或者，也可以是pdf417、码49、码16k、编码器块等一维条形码纵向堆叠而成的堆叠式二维码。另外，数据码400可以是条形码等一维码。
141.在上述实施方式中，说明了数据恢复装置4通过拍摄部41拍摄在终端装置2的触摸面板23上显示的数据码400，从而获取数据码400表示的剩余数据。然而，本发明并不限于此，数据恢复装置4获取剩余数据的方法是任意的，例如可以使用蓝牙(bluetooth)(注册商标)功能，将剩余数据从终端装置2发送到数据恢复装置4。
142.在上述实施方式中，说明了将身份证明书的剩余数据和不完整数据未经加密而分
别保存在存储部22和52中。另外，说明了数据码400表示的剩余数据也未经加密。然而，本发明并不限于此，可以将身份证明书的剩余数据和不完整数据加密并分别保存在存储部22和52中，并且也可以将数据码400表示的剩余数据加密。
143.在上述实施方式中，作为能够确定身份证明书的剩余数据和不完整数据的识别信息，例示了身份证明书的拍摄日期和时间以及拍摄地点的位置信息。然而，本发明并不限于此，能够确定身份证明书的剩余数据和不完整数据的识别信息是任意的，例如既可以是拍摄身份证明书的终端装置2、使用者的识别信息，也可以包括终端装置2的型号名称等。
144.另外，在上述实施方式中，说明了控制部25、32、44及53的cpu执行的程序预先存储在rom以及存储部22和52等中，但本发明并不限于此，也可以将用于执行上述处理的程序通过应用于现有的通用计算机中而用作上述实施方式涉及的终端装置2、数据码生成服务器3、数据恢复装置4以及数据管理服务器5。
145.提供这种程序的方法是任意的，例如既可以将程序存储在计算机可读记录介质(软盘、cd(compact disc：光盘)
‑
rom、dvd(digital versatile disc：数字通用光盘)
‑
rom等)中并分发，也可以将程序存储在因特网等网络上的存储器中，通过下载该程序来提供。
146.进而，在通过os(operating system：操作系统)与应用程序的分担或者os与应用程序的协同来执行上述处理的情况下，也可以仅将应用程序存储在记录介质、存储器中。另外，还可以将程序叠加在载波上并经由网络分发。例如，也可以在网络上的公告板(bbs：bulletin board system：电子公告板)上公布上述程序，并经由网络分发程序。而且，可以构成为通过启动该程序并在os的控制下与其它应用程序一样地执行该程序，从而能够执行上述处理。
147.需要注意的是，本发明在不脱离本发明的广泛精神和范围的情况下，能够进行各种实施方式和变形。另外，上述实施方式用于说明本发明的一个实施方式，并不限定本发明的范围。
148.附图标记说明
149.1数据管理系统；2终端装置；3数据码生成服务器；4数据恢复装置；5数据管理服务器；21拍摄部；22存储部；23触摸面板；24通信部；25控制部；31通信部；32控制部；41拍摄部；42通信部；43显示部；44控制部；51通信部；52存储部；53控制部；100qr码(注册商标)；104定位用码元；106信息码记录区域；108定时单元；109格式码；200身份证明书；300首页画面；301拍摄画面显示指示图标；302数据码显示指示图标；310拍摄画面；400数据码。