数据删除装置及数据删除方法

技术领域

本发明涉及执行登记于被操作体的密钥数据的删除的数据删除装置及数据删除方法。

背景技术

以往，已知一种在对电子钥匙进行校验的车载ECU(Electronic Control Unit：电子控制单元)能登记多个电子钥匙的电子钥匙登记系统(参照日本特开2016-188500号公报)。在该电子钥匙登记系统中，除了主钥匙之外，还能将副钥匙登记于车载ECU。

发明内容

在用户丢失了电子钥匙的情况下，仍将该电子钥匙的信息原样地残留于车载ECU在安全的方面不优选。电子钥匙的信息删除例如用经销商的专用装置实施。因此，为了从车载ECU删除电子钥匙的信息，需要将车辆拿到经销商处。因此，在不马上将车辆拿到经销商处的情况下，在此期间，捡到丢失的电子钥匙的第三者有可能非法使用车辆，所以需要一些对策。

本发明的一方面的数据删除装置，使用于将电子钥匙、移动终端以及认证卡的至少一个作为被操作体的钥匙使用的钥匙系统，所述电子钥匙主要具有钥匙功能并且通过无线执行钥匙校验，所述移动终端通过从外部登记数字钥匙从而能作为钥匙使用，所述认证卡通过近场无线通信执行钥匙校验，所述数据删除装置具备：确认部，在丢失了所述电子钥匙、所述移动终端以及所述认证卡的至少一个的情况下，确认用与丢失钥匙的认证不同的另外的认证方法执行用户认证时的认证结果；和删除部，在所述确认部得到认证成立的意思的确认结果的情况下，将所述丢失钥匙的密钥数据从存储器删除。

本发明的另一方面的数据删除方法，使用于将电子钥匙、移动终端以及认证卡的至少一个作为被操作体的钥匙使用的钥匙系统，所述电子钥匙主要具有钥匙功能并且通过无线执行钥匙校验，所述移动终端通过从外部登记数字钥匙从而能作为钥匙使用，所述认证卡通过近场无线通信执行钥匙校验，所述数据删除方法使能删除存储器的数据的数据删除装置执行如下步骤：在丢失了所述电子钥匙、所述移动终端以及所述认证卡的至少一个的情况下，确认用与丢失钥匙的认证不同的另外的认证方法执行用户认证时的认证结果；在得到认证成立的意思的确认结果的情况下，将所述丢失钥匙的密钥数据从所述存储器删除。

发明效果

根据本发明，能提高针对被操作体的非法使用的安全性。

附图说明

图1是一实施方式的钥匙系统的构成图。

图2是驾驶座的立体图。

图3是发动机开关的立体图。

图4是在丢失钥匙后用另外的钥匙与车辆通信时的示意图。

图5是密钥数据删除画面的画面图。

图6是选择要删除的密钥数据时的画面图。

图7是引导生物认证时的画面图。

图8是密钥数据被删除时的动作图。

图9是选择要删除的密钥数据时的画面图。

图10是密钥数据被删除时的动作图。

图11是另一例的外部服务器的示意图。

图12是密钥数据被删除时的动作图。

具体实施方式

以下说明数据删除装置的一实施方式。

[钥匙系统1(电子钥匙系统4)的构成]

如图1所示，钥匙系统1包括电子钥匙系统4，电子钥匙系统4通过无线通信对电子钥匙3进行认证而使被操作体2进行动作。被操作体2例如是车辆2a。电子钥匙系统4包括以来自被操作体2的通信为契机执行认证的智能系统、和以来自电子钥匙3的通信为契机执行认证的无线钥匙系统的至少一方。电子钥匙系统4的无线通信也可以在来自被操作体2的通信中使用LF(Low Frequency：低频)带的电波，在来自电子钥匙3的通信中使用UHF(UltraHigh Frequency：超高频)带的电波。

电子钥匙系统4具备执行电子钥匙3的认证的校验ECU5。在校验ECU5的存储器6(以后记载为“6a”)写入保存有登记于被操作体2的电子钥匙3的密钥数据D。密钥数据D也写入保存到电子钥匙3的存储器(省略图示)。作为电子钥匙3的密钥数据D的“电子钥匙信息Da”例如包括电子钥匙3各自具有的ID代码等。

校验ECU5借助通信部7与电子钥匙3执行无线通信。通信部7例如包括执行来自校验ECU5的电波发送的发送部、和接收来自电子钥匙3的电波的接收部。发送部可以发生LF带的电波。接收部可以发送UHF带的电波。校验ECU5通过借助无线通信与电子钥匙3执行通信以确认密钥数据D的成功与否，从而对电子钥匙3进行认证。

校验ECU5借助设置于被操作体2的通信线8连接到被操作体2的搭载装置9。搭载装置9例如具有门锁控制装置、方向盘锁装置、发动机控制装置等。通信线8例如是CAN(Controller Area Network：控制器局域网)、LIN(Local Interconnect Network：局域互联网)。

电子钥匙3例如包括主钥匙及副钥匙。主钥匙例如是万能密钥的定位，是能使用被操作体2的全部功能的没有被附加功能限制的钥匙。副钥匙例如是被附加功能限制的钥匙。副钥匙也可以设置有多个。

在智能系统的情况下，校验ECU5从通信部7周期性地发送LF带的电波，监视电子钥匙3的存在。电子钥匙3当接收从校验ECU5发送的电波时，用UHF带的电波发送其响应。这样，当电子钥匙3及校验ECU5的通信确立时，通过对登记于电子钥匙3的密钥数据D的成功与否进行确认，从而执行电子钥匙3的认证。校验ECU5当密钥数据D被认证时，则许可被操作体2的动作。

在被操作体2是车辆2a的情况下，校验ECU5当确认与位于车外的电子钥匙之间的认证成立时，则许可或者执行车门的上锁或解锁。由此，能进行车门的门上锁或门开锁。另外，校验ECU5当确认与位于车内的电子钥匙3之间的认证成立时，则许可车辆电源的切换操作。由此，发动机的启动操作被许可。

在校验ECU5的存储器6登记有多个密钥数据D的情况下，校验ECU5对密钥数据D依次进行认证。例如在存储器6登记有第1电子钥匙信息Da1及第2电子钥匙信息Da2的情况下，校验ECU5当与电子钥匙3开始认证时，以首先用第1电子钥匙信息Da1执行认证，如果认证未完成，则接着用第2电子钥匙信息Da2执行认证的方式，对存储器6内的密钥数据D依次进行认证。

在无线钥匙系统的情况下，当用电子钥匙3执行操作按钮(省略图示)的操作时，则电子钥匙3用UHF带的电波发送与按钮操作相应的动作要求。该动作要求包括电子钥匙3的密钥数据D(电子钥匙信息Da)。校验ECU5当从电子钥匙3接收动作要求时，则对密钥数据D进行认证，并且使被操作体2执行与动作要求相应的动作。因此，当用电子钥匙3操作锁定按钮时，则车门上锁，当用电子钥匙3操作开锁按钮时，则车门解锁。

[数字钥匙系统12的构成]

如图1所示，钥匙系统1包括通过近距离无线通信对移动终端13进行认证而使被操作体2进行动作的数字钥匙系统12。数字钥匙系统12例如是通过从外部(例如服务器等)向移动终端13登记密钥数据D，从而将移动终端13作为被操作体2的钥匙使用的系统。移动终端13例如是多功能终端(高性能移动电话)。

作为移动终端13的密钥数据D的“数字钥匙Db”例如可以是仅被许可使用一次、或者仅在一定期间被许可使用的一次性钥匙。密钥数据D例如可以通过从服务器下载、从主钥匙通过无线取得、代码信息的图像读取等各种方式下载到移动终端13。密钥数据D既可以在市场上从外部下载到移动终端13，也可以在发货时被预先写入。

近距离无线通信可以是PAN(Personal Area Network：个人局域网)通信或者近场无线通信的任一个。个人局域网通信例如具有蓝牙(Bluetooth：注册商标)通信、UWB(UltraWide Band：超宽带)通信、Wi-Fi(注册商标)通信等。另外，蓝牙通信可以是BLE(BluetoothLow Energy：低功耗蓝牙)。近场无线通信作为RFID的一种，例如具有NFC(Near FieldCommunication：近场通信)等。

数字钥匙系统12具备执行移动终端13的认证的数字钥匙ECU14。数字钥匙ECU14通过无线模块15执行个人局域通信，并且通过读写器16执行近场无线通信。在数字钥匙ECU14的存储器6(以后记载为“6b”)写入保存有登记于被操作体2的移动终端13的密钥数据D(数字钥匙Db)。密钥数据D(数字钥匙Db)与电子钥匙系统4同样能登记多个。此外，登记于数字钥匙ECU14的密钥数据D(数字钥匙Db)不限于下载到电子钥匙3的信息本身，也可以设为通过对该下载信息进行加工(例如解码等)而得到的信息。

数字钥匙ECU14从无线模块15通过近距离无线通信周期性地发送广播。广播例如是为了监视周围是否存在能进行近距离无线通信的移动终端13而周期性地发送的电波。移动终端13当接收从数字钥匙ECU14发送的广播时，则执行扫描处理，并且将连接要求向数字钥匙ECU14发送。由此，数字钥匙ECU14及移动终端13的近距离无线通信向通信连接的状态转移。

数字钥匙ECU14当向与移动终端13通信连接的状态转移时，则执行移动终端13的认证。此时，移动终端13将登记于自身的密钥数据D(数字钥匙Db)通过近距离无线通信向数字钥匙ECU14发送。数字钥匙ECU14当从移动终端13接收密钥数据D时，则对该密钥数据D进行认证。数字钥匙ECU14在能正确解码密钥数据D等、密钥数据D的认证成功的情况下，例如在密钥数据D的有效期间取得在以后的近距离无线通信中使用的对话密钥、移动终端13的ID等。这些信息作为数字钥匙ECU14的密钥数据D写入保存到数字钥匙ECU14的存储器6b。

移动终端13及数字钥匙ECU14在密钥数据D被认证的情况下，变成已识别出认证成立的认证完成状态。认证完成状态是指移动终端13及数字钥匙ECU14双方相互知道共用的对话密钥、移动终端13的ID的状态。由此，能进行被操作体2的利用，具体地，在车辆2a的情况下，能进行车门的上锁或解锁操作、方向盘锁装置的解锁、发动机的启动操作等。

[读写器16的构成的一例]

如图2所示，读写器16在设置于车内的情况下，例如也可以配置于驾驶座的仪表板17。另外，作为除此以外的配置场所，例如可列举中央控制台、中央仪表群、发动机开关27的侧面、转向盘等。此外，虽然未图示，但是读写器16在设置于车外的情况下，例如可以配置于车门的玻璃、车门后视镜、车身的立柱等。

在移动终端13的电池剩余量降低到移动终端13不能进行近距离无线通信的程度的情况下，通过使移动终端13对准读写器16，从而通过近场无线通信执行移动终端13的认证。读写器16例如当制动踏板被踩下时开始发送驱动电波。驱动电波优选是例如能成为移动终端13的电源的电波。

移动终端13当在被读写器16对准时接收从读写器16发送的驱动电波时，以该电波为电源执行近场无线通信。并且，数字钥匙ECU14通过近场无线通信执行移动终端13的认证。此时，在认证转移到成立的情况下，作为被操作体2的车辆2a的利用被许可。因此，在车辆2a的情况下，能进行车门的上锁或解锁操作、方向盘锁装置的解锁、电源切换操作(发动机启动操作)等。

[卡认证系统20的构成]

如图1所示，钥匙系统1包括通过近场无线通信对认证卡21进行认证而使被操作体2进行动作的卡认证系统20。认证卡21例如是搭载有执行近场无线通信的IC芯片的卡构件(IC卡)。近场无线通信例如是NFC(Near Field Communication：近场通信)。在认证卡21写入保存有仅认证卡21各自具有的固有的密钥数据D。作为认证卡21的密钥数据D的“卡信息Dc”例如包括认证卡21各自具有的ID代码等。

卡认证系统20具备执行认证卡21的认证的卡ECU22。卡ECU22通过读写器16执行近场无线通信。在卡ECU22的存储器6(以后记载为“6c”)写入保存有登记于被操作体2的认证卡21的密钥数据D(卡信息Dc)。密钥数据D(卡信息Dc)与电子钥匙系统4、数字钥匙系统12同样能登记多个。

在用认证卡21与被操作体2执行认证的情况下，使认证卡21对准读写器16。此外，变成使用认证卡21的情况除了用户想要用认证卡21实施认证的情况以外，例如可列举移动终端13的电池完全变为“0”、用移动终端13不能实施认证时。这样，认证卡21能在无电源的情况下进行动作。因此，在移动终端13的电池完全变为“0”时，用认证卡21与被操作体2执行认证。

认证卡21当在对准读写器16时接收从读写器16发送的驱动电波时，以该电波为电源执行近场无线通信。此外，也可以从读写器16交替地反复发送移动终端13用的驱动电波和认证卡21用的驱动电波。因此，认证卡21当从读写器16接收自身用的驱动电波时，开始近场无线通信。

卡ECU22当从启动的认证卡21接收密钥数据D(卡信息Dc)时，执行认证卡21的认证。并且，在认证转移到成立的情况下，作为被操作体2的车辆2a的利用被许可。因此，在车辆2a的情况下，能进行车门的上锁或解锁操作、方向盘锁装置的解锁、电源切换操作(发动机启动操作)等。

[生物认证装置24的构成]

如图1所示，被操作体2具备对用户进行生物认证的生物认证装置24。生物认证例如可列举由用户的手指的指纹对用户进行认证的指纹认证、用拍摄部拍摄用户的脸并根据图像数据对用户进行认证的脸认证(图像认证)等。生物认证装置24具备检测用户的身体特征的传感器部25、和基于从传感器部25输出的生物信息S1执行认证的认证部26。被操作体2可以不仅根据密钥数据D的认证结果，也根据生物认证装置24的认证结果来设定搭载装置9的利用可否。

如图3所示，在生物认证是指纹认证的情况下，作为传感器部25的指纹传感器25a例如可以设定于驾驶座的发动机开关27的开关旋钮28。在该情况下，在为了电源切换而按下发动机开关27的操作过程中，能与开关操作同时用传感器部25取得生物信息S1(具体为指纹信息)。认证部26根据从传感器部25取得的生物信息S1执行生物认证，判定是否为正规的用户。

在将电子钥匙3作为被操作体2的钥匙使用的情况下，当电子钥匙3的认证成立并且生物认证也成立时，则电源切换操作(发动机启动操作)被许可。在将移动终端13作为被操作体2的钥匙使用的情况下，当移动终端13的认证成立并且生物认证也成立时，则能进行电源切换操作(发动机启动操作)。在将认证卡21作为被操作体2的钥匙使用的情况下，当认证卡21的认证成立并且生物认证也成立时，则能进行电源切换操作(发动机启动操作)。

[数据删除装置31的构成]

如图1所示，被操作体2具备数据删除装置31，数据删除装置31能将用户丢失的钥匙(以后记载为丢失钥匙32)的密钥数据D选择性地删除。在本例的情况下，数据删除装置31使用于将电子钥匙3、移动终端13以及认证卡21的至少一个作为被操作体2的钥匙使用的钥匙系统1。并且，数据删除装置31将这些钥匙中的丢失钥匙32的密钥数据D从存储器6删除。

数据删除装置31具备确认部33，在丢失了电子钥匙3、移动终端13以及认证卡21的至少一个的情况下，确认部33确认用与丢失钥匙32的认证不同的另外的认证方法执行用户认证时的认证结果。确认部33例如可以使用车内的显示部34，引导用于将丢失钥匙32的密钥数据D删除的另外的认证的步骤。另外的认证方法例如可以是基于从用户取得的生物信息S1执行认证的生物认证。该生物认证的一例可以是前述的使用发动机开关27的指纹认证。显示部34例如是汽车导航装置的显示器。

数据删除装置31具备删除部35，删除部35在确认部33得到认证成立的意思的确认结果的情况下，将丢失钥匙32的密钥数据D从存储器6删除。删除部35通过针对校验ECU5、数字钥匙ECU14以及卡ECU22中、将丢失钥匙32的密钥数据D保持于存储器的设备，经由通信线8输出数据删除要求S2，从而将由用户指定的密钥数据D从存储器6删除。

[作用]

接着，对本实施方式的数据删除装置31的作用进行说明。

[丢失了电子钥匙3的副钥匙的情况]

如图4所示，假设用户从衣服或包等掉了钥匙而丢失了钥匙的情况。在此，例如将丢失钥匙32设为电子钥匙3的“副钥匙”，将在删除其密钥数据D时使用户执行的另外的认证方法设为生物认证。另外，生物认证例如设为使用在发动机开关27的开关旋钮28(旋钮表面)设置的指纹传感器25a的指纹认证。

首先，用户使用手头剩余的其他钥匙，使与车辆2a之间的用户认证转移到成立。在此，作为一例，作为没有丢失的电子钥匙3使用“主钥匙”。当电子钥匙系统4用主钥匙转移到认证成立时，则许可或者执行车门的上锁或解锁。因此，用户能对车门进行解锁及打开操作而乘坐到车内。

如图5所示，用户在乘上车辆2a后进行密钥数据D的删除的情况下，使用车内的显示部34执行密钥数据D的删除作业。在本例的情况下，当通过显示部34的触摸面板操作而选择“密钥数据删除”时，在显示部34显示密钥数据删除画面38。并且，当显示于密钥数据删除画面38的删除作业开始钮39被选择时，则开始密钥数据删除作业。

如图6所示，确认部33在用户用手头剩余的钥匙乘车并进行密钥数据D的删除的情况下，使用车内的显示部34引导用于将丢失钥匙32的密钥数据D删除的作业步骤。在本例的情况下，将登记于车辆2a的存储器6的全部密钥数据D一维显示于显示部34，使用户从其中选择想要设为删除对象的密钥数据D。

在图6的例子的情况下，在显示部34，在将电子钥匙3的密钥数据D删除的情况下，作为选择要删除的电子钥匙信息Da的栏，显示第1电子钥匙信息Da1的选择栏41a和第2电子钥匙信息Da2的选择栏42b。另外，在显示部34，在将移动终端13的密钥数据D删除的情况下，作为选择要删除的数字钥匙Db的栏，显示第1数字钥匙Db1的选择栏42a和第2数字钥匙Db2的选择栏42b。这些选择栏41a、41b、42a、42b中被标注校验的被选作删除对象的密钥数据D。

如图7所示，在选择设为删除对象的密钥数据D后，确认部33使用显示部34，对用户引导在将密钥数据D删除的情况下分配给用户的另外的认证的实施。在本例的情况下，在显示部34显示“请实施生物认证”的消息画面43。例如在指纹认证的情况下，引导可以用消息或图像来引导使手指触摸的部位。

生物认证装置24用指纹传感器25a(传感器部25)取得用户的生物信息S1，用认证部26对该生物信息S1进行认证。认证部26对用指纹传感器25a取得的生物信息S1和预先登记的生物信息S1进行比较，当这些一致时，则将生物认证设为成立。此时，确认部33得到生物认证成立的意思的确认结果。另一方面，在这些生物信息S1不一致的情况下，生物认证设为不成立。此时，确认部33得到生物认证不成立的意思的确认结果。在几个例子中，认证部26能够对通过传感器部25取得的生物信息S1是否是登记于被操作体2的生物信息S1进行认证。在几个例子中，在通过传感器部25取得的生物信息S1是登记于被操作体2的生物信息S1的情况下，确认部33能够取得表示认证部26的认证已成立的确认结果。在几个例子中，在通过传感器部25取得的生物信息S1不是登记于被操作体2的生物信息S1的情况下，确认部33能够取得表示认证部26的认证不成立的确认结果。

如图8所示，删除部35当得到生物认证成立的意思的确认结果时，针对校验ECU5、数字钥匙ECU14以及卡ECU22中、保存有成为删除对象的密钥数据D的设备，经由通信线8输出由用户指定的密钥数据D的数据删除要求S2。在此，因为选择第2电子钥匙信息Da2的删除，所以数据删除要求S2向校验ECU5输出。另外，数据删除要求S2包括将第2电子钥匙信息Da2从存储器6删除的意思的指令。

校验ECU5当从数据删除装置31输入数据删除要求S2时，基于该数据删除要求S2，执行写入到存储器6的密钥数据D的删除。即，校验ECU5执行用数据删除要求S2的指令指定的密钥数据D(在此为第2电子钥匙信息Da2)的删除。通过以上，能够预先将丢失钥匙32的密钥数据D从存储器6删除。

此外，为了删除密钥数据D而分配给用户的另外的认证不限定于生物认证，例如可以是与丢失的电子钥匙3不同的另外的电子钥匙3(例如主钥匙)的认证、移动终端13的认证、或者认证卡21的认证。进一步地，另外的认证也可以设为使用户执行多个认证的作业。

[丢失了移动终端13的情况]

如图9所示，假设丢失了登记有第1数字钥匙Db1的移动终端13的情况。选择指定在显示部34一维显示的密钥数据D中第1数字钥匙Db1。并且，使用户执行用于删除第1数字钥匙Db1的另外的认证。在该情况下，另外的认证如上所述，是生物认证、电子钥匙3的认证、其他的移动终端13的认证、认证卡21的认证的哪个都可以。

如图10所示，删除部35当在确认部33中得到生物认证成立的意思的确认结果时，则针对校验ECU5、数字钥匙ECU14以及卡ECU22中、保存有成为删除对象的密钥数据D的设备，经由通信线8输出由用户指定的密钥数据D的数据删除要求S2。在此，因为选择第1数字钥匙Db1的删除，所以数据删除要求S2向数字钥匙ECU14输出。另外，数据删除要求S2包括将第1数字钥匙Db1从存储器6删除的意思的指令。

数字钥匙ECU14当从数据删除装置31输入数据删除要求S2时，则基于该数据删除要求S2，执行写入到存储器6的密钥数据D的删除。即，数字钥匙ECU14执行用数据删除要求S2的指令指定的密钥数据D(在此为第1数字钥匙Db1)的删除。通过以上，能预先将丢失钥匙32的密钥数据D从存储器6删除。

此外，在丢失了认证卡21的情况下，认证卡21的密钥数据D的删除作业也用与丢失了前述的电子钥匙3或移动终端13时同样的步骤执行认证卡21的密钥数据D的删除。因此，用丢失了电子钥匙3或移动终端13时的说明，省略认证卡21的密钥数据D的删除作业的说明。

[效果]

根据上述实施方式的数据删除装置31(数据删除方法)，能得到如下效果。

(1)数据删除装置31使用于将电子钥匙3、移动终端13以及认证卡21的至少一个作为被操作体2的钥匙使用的钥匙系统1，电子钥匙3主要具有钥匙功能并且通过无线执行钥匙校验，移动终端13通过从外部登记数字钥匙Db，从而能作为钥匙使用，认证卡21通过近场无线通信执行钥匙校验。数据删除装置31具备确认部33，在丢失了电子钥匙3、移动终端13、认证卡21的至少一个的情况下，确认部33确认用与丢失钥匙32的认证不同的另外的认证方法执行用户认证时的认证结果。数据删除装置31具备删除部35，删除部35在确认部33得到认证成立的意思的确认结果的情况下，将丢失钥匙32的密钥数据D从存储器6删除。

根据本结构，例如在丢失了电子钥匙3、移动终端13以及认证卡21中的任一个钥匙的情况下，用与使用丢失钥匙32的认证不同的另外的认证方法执行用户认证。并且，当该用户认证成立时，则从存储器6删除丢失钥匙32的密钥数据D。由此，在丢失了钥匙的情况下，用户能亲自将丢失钥匙32的密钥数据D马上从存储器6删除。因此，能提高针对被操作体2的非法使用的安全性。

(2)另外的认证方法是基于从用户取得的生物信息S1执行认证的生物认证。根据该构成，通过生物认证能够精度良好地对是否为正规用户进行认证。

(3)被操作体2是车辆2a。确认部33在用户用手头剩余的钥匙乘车并进行密钥数据D的删除的情况下，使用车内的显示部34引导用于将丢失钥匙32的密钥数据D删除的作业步骤。根据该构成，在丢失了车辆2a的钥匙的情况下，按照用车内的显示部34引导的作业步骤，能够将丢失钥匙32的密钥数据D从存储器6删除。因此，在将丢失钥匙32的密钥数据D从存储器6删除的情况下，能够难以发生不明白删除的方法而困惑的情况。

(4)确认部33将登记于存储器6的全部密钥数据D一维登记于显示部34。删除部35将从其中选作删除对象的密钥数据D从存储器6删除。根据该构成，容易掌握登记于存储器6的全部密钥数据D，且能容易找到想要删除的密钥数据D。

[另一例]

此外，本实施方式能够按如下变更而实施。本实施方式及以下变更例能够在技术上不矛盾的范围内相互组合而实施。

·如图11所示，密钥数据D的删除不限定于从被操作体2(车辆2a)的存储器6删除密钥数据D的动作，例如，在密钥数据D保存于外部服务器51的存储器6(6d)的情况下，也可以设为将该密钥数据D删除的动作。外部服务器51的存储器6d例如可以是管理个人信息等重要信息的外部存储器。

在该构成的情况下，如图12所示，删除部35在将外部服务器51的存储器6d的密钥数据D删除的情况下，例如经由设置于被操作体2的网络通信器52网络发送数据删除要求S2’。外部服务器51当输入从数据删除装置31网络发送的数据删除要求S2’时，则基于该数据删除要求S2’，执行写入到存储器6d的密钥数据D的删除。这样，能够将保持于外部服务器51的密钥数据D也预先删除。

·丢失钥匙32不限定于丢失的钥匙，例如也包括不使用的钥匙或者打算不使用的钥匙等。

·在密钥数据删除时分配给用户的另外的认证不限于一个，也可以设为多个。

·在密钥数据删除时分配给用户的另外的认证不限定于车内的作业，也可以设为车外的作业。作为一例，例如在门锁被上锁的状态的车辆2a中，将车门的窗玻璃等用作显示器，执行开始密钥数据删除的操作。并且，执行生物认证等另外的认证，当该认证成立时，删除被指定的密钥数据D。

·也可以将移动终端13的画面用作输入界面，执行密钥数据删除的操作。

·数据删除装置31也可以设为与校验ECU5、数字钥匙ECU14、或者卡ECU22装成一体的结构。

·被操作体2不限定于车辆2a，也可以变更为其他的机器、装置。

·确认部33及删除部35既可以通过[1]按照计算机程序(软件)工作的一个以上处理器构成，也可以通过[2]那样的处理器和执行各种处理中至少一部分处理的特定用途集成电路(ASIC)等一个以上专用硬件电路的组合构成。处理器包括CPU和RAM及ROM等存储器，存储器存储有构成为使CPU执行处理的程序代码或者指令。存储器(计算机可读介质)包括能由通用或者专用的计算机存取的所有能利用的介质。或者，也可以取代包括上述处理器的计算机，而使用通过执行各种处理的全部的一个以上专用硬件电路构成的处理电路。

·确认部33及删除部35既可以由独立的处理器构成，也可以由功能的一部分共用的处理器构建。这样，确认部33及删除部35不限于独立的功能块，既可以由一个功能块构成，也可以由一部分共用的功能块构成。

·本公开按照实施例进行了记述，但是应理解为本公开并不限定于该实施例、结构。本公开也包括各种各样的变形例、等同范围内的变形。此外，各种各样的组合或方式、以及那些包括仅一要素、一要素以上或者一要素以下的其他的组合或方式也落入本公开的范畴或思想范围。