JP2022157951A - 画像形成装置 - Google Patents

画像形成装置 Download PDF

Info

Publication number
JP2022157951A
JP2022157951A JP2021062503A JP2021062503A JP2022157951A JP 2022157951 A JP2022157951 A JP 2022157951A JP 2021062503 A JP2021062503 A JP 2021062503A JP 2021062503 A JP2021062503 A JP 2021062503A JP 2022157951 A JP2022157951 A JP 2022157951A
Authority
JP
Japan
Prior art keywords
data
image forming
forming apparatus
area
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021062503A
Other languages
English (en)
Inventor
幸義 端山
Yukiyoshi Hayama
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Brother Industries Ltd
Original Assignee
Brother Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Brother Industries Ltd filed Critical Brother Industries Ltd
Priority to JP2021062503A priority Critical patent/JP2022157951A/ja
Publication of JP2022157951A publication Critical patent/JP2022157951A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Accessory Devices And Overall Control Thereof (AREA)
  • Control Or Security For Electrophotography (AREA)
  • Facsimiles In General (AREA)

Abstract

【課題】不揮発性メモリに記憶されるデータを安全に消去すること。【解決手段】MFP1の第2不揮発性メモリ22にはAドライブ73とBドライブ75とが設けられている。鍵管理アプリ46は、セキュリティが施されており、鍵情報にアクセス可能である。Bドライブ75には、鍵管理アプリ46を用いて暗号化されたシステムデータファイルが記憶され、Aドライブ73には、暗号化されていないユーザデータファイルが記憶されている。MFP1は、第1消去指示を受け付けた場合、Aドライブ73を完全消去してユーザデータを全て使用不能にする。一方、MFP1は、第2消去指示を受け付けた場合、システムデータファイルをファイルシステムによって消去する。【選択図】図2

Description

本発明は、不揮発性メモリを備える画像形成装置に関する。さらに詳細には、不揮発性メモリに記憶されるデータを消去する技術に関するものである。
従来、不揮発性メモリを備える画像形成装置において、その不揮発性メモリに記憶されたデータを消去する技術が知られている。例えば特許文献1には、画像形成装置が備える不揮発性メモリの初期化方法が開示されている。
特開2017-027244号公報
近年、不揮発性メモリへのデータの読み書きを簡便にするため、ファイルシステムが構築されている画像形成装置がある。ファイルシステムを利用することで、画像形成装置に組み込まれたアプリケーションプログラムは、不揮発性メモリにおけるデータの記憶場所となる物理的なアドレスを特定することなく、不揮発性メモリへのデータの読み書きを行うことができる。
このファイルシステムにおいてデータの削除を行った場合、その削除対象のデータはファイルシステムの管理から外れてファイルシステムを介して読み出すことができなくなるものの、データは不揮発性メモリに残ることがある。そのため、不揮発性メモリに記憶されるデータを消去する場合、安全性を重視すると、不揮発性メモリの記憶領域全体をダミーデータで上書きする等、データを復元困難にすることが望まれる。一方で、不揮発性メモリには、消去したくないデータが混在することもある。そこで、特許文献1に開示されているように、そのようなデータを一時的に別のメモリに退避する方法が採用されることもあるが、別のメモリに一時的に退避する方法の場合、退避するデータを記憶可能な別のメモリが必要になる。
本明細書は、ファイルシステムが構築された画像形成装置において、不揮発性メモリに記憶されるデータを安全に消去することが可能な技術を開示する。
上述した課題の解決を目的としてなされた画像形成装置は、不揮発性メモリと、画像形成ユニットと、を備える画像形成装置であって、前記画像形成装置は、前記不揮発性メモリへのアクセスに用いるファイルシステムを有し、前記画像形成装置に組み込まれているアプリケーションプログラムは、前記ファイルシステムを介して前記不揮発性メモリへのデータの読み書きが可能であり、前記アプリケーションプログラムには、前記不揮発性メモリに記憶されるデータを用いて、前記画像形成ユニットを動作させるジョブを処理するアプリケーションプログラムが含まれ、前記不揮発性メモリには、前記ファイルシステムによって、パーティションで仕切られた複数の領域が設けられ、前記複数の領域には、第1のデータを記憶可能な第1の領域と、第2のデータを記憶可能な第2の領域と、が含まれ、さらに前記画像形成装置は、セキュリティが施された特定のモジュールを備え、前記特定のモジュールは鍵情報にアクセスしてデータの暗号化が可能であり、さらに前記画像形成装置は、前記第2の領域に前記第2のデータを書き込む指示を受け付けた場合、前記特定のモジュールを用いて前記第2のデータを暗号化し、暗号化した前記第2のデータを、前記第2の領域に書き込むデータ書込み処理を実行し、さらに前記画像形成装置は、前記第1の領域の消去指示を受け付けた場合、前記不揮発性メモリのうち前記第1の領域の記憶領域を完全消去して前記第1の領域に記憶される前記第1のデータ全てを使用不能にする第1の消去処理を実行し、前記第2の領域に記憶される前記第2のデータの消去指示を受け付けた場合、前記第2のデータを前記ファイルシステムによって削除する第2の消去処理を実行する、ことを特徴とする。
上記画像形成装置は、1つの不揮発性メモリをファイルシステムによって複数の領域に分け、第1のデータと第2のデータとを別々の領域に記憶し、領域ごとに異なる消去方法によってデータを消去することで、一方の領域に記憶されたデータを残しつつ、別の領域に記憶されたデータを消去することができる。そして、第1の領域に記憶された第1のデータを完全消去するため、第1のデータの安全性が担保される。第2の領域に記憶された第2のデータを消去する場合は、ファイルシステム上で第2のデータを削除するため、第2のデータが第2の領域に残ることがある。しかし、第2のデータ自体が暗号化されており、さらに、セキュリティが施された特定のモジュールを用いて鍵情報にアクセス可能であることから、第2のデータを復号化して入手することが極めて困難であり、第2のデータそのものを消去した場合と同等に安全性が担保される。
上記装置の機能を実現するための制御方法、コンピュータプログラム、および当該コンピュータプログラムを格納するコンピュータにて読取可能な記憶媒体も、新規で有用である。
本明細書に開示される技術によれば、ファイルシステムが構築された画像形成装置において、不揮発性メモリに記憶されるデータを安全に消去することが可能な技術が実現される。
本発明の一実施形態に係るMFPの構成を示すブロック図である。 ファイルシステムを説明する図である。 通常画面とカスタム画面の一例を示す図である。 画面の表示例を示す図である。 データ書込み処理の制御手順の一例を示すフローチャートである。 認証処理の制御手順の一例を示すフローチャートである。 画面の表示例を示す図である。 データ読み出し処理の制御手順の一例を示すフローチャートである。 表示処理の制御手順の一例を示すフローチャートである。 データ消去処理の制御手順の一例を示すフローチャートである。 ユーザデータの消去の一例を示す概念図である。 システムデータの消去の一例を示す概念図である。
以下、本実施形態にかかる装置について、添付図面を参照しつつ詳細に説明する。本形態では、ファイルシステムを用いてデータを管理する画像形成装置を開示する。
図1は、本発明の一実施形態に係るMFP1の構成を示すブロック図である。MFP(Multifunction Printerの略)1は、印刷機能、コピー機能、FAX機能、スキャナ機能を備える装置である。MFP1は「画像形成装置」の一例である。MFP1は、操作表示部11と、印刷部12と、読取部13と、FAXモデム14と、通信インタフェース(以下「通信IF」とする)15と、ASIC(application specific integrated circuitの略)16と、メモリ20とを備え、これらがバス19を介して接続されている。
操作表示部11は、ユーザによる操作を受け付けるハードウェアと、ユーザに情報を報知するための画面を表示するハードウェアと、を含む。操作表示部11は、例えば、キーボードやマウス等と、情報を表示可能なディスプレイとの組であってもよいし、表示機能と入力受付機能とを備えるタッチパネルであってもよい。操作表示部11は「ユーザインタフェース」の一例である。印刷部12は、印刷媒体に画像を印刷する。印刷部12の印刷方式は、電子写真方式でもインクジェット方式でもよい。画像はカラーでもモノクロでもよい。印刷部12は「画像形成ユニット」の一例である。
読取部13は、原稿の画像を読み取り、画像データを生成する。FAXモデム14は、電話回線を介して、外部装置との間でFAXデータの送受信を行う。通信IF15は、ユーザが使用する通信端末(以下「ユーザ端末」とする)2や、MFP1に関するサービスを提供するシステムベンダのサービスマンなど特別なアクセス権限を有する者(以下「システムベンダ等」とする)が使用する通信端末(以下「管理端末」とする)3などの外部装置と通信を行うためのハードウェアを含む。通信IF15の通信規格は、例えば、イーサネット(登録商標)、Wi-Fi(登録商標)、USBなどである。通信IF15は「通信インタフェース」の一例である。
なお、システムベンダ等には、MFP1のメーカのサービスマンや、MFP1を含む業務機材システムを販売するシステムベンダのサービスマン、MFP1を販売する販売会社のサービスマン、MFP1、または、MFP1を含む業務機材を搬入した会社のシステム管理者、なども該当する。サービスマンは、例えば、サービスマン、サービスやシステムの管理者、なども該当する。
ASIC16は、CPU31を備えている。CPU31は、メモリから読み出したプログラムに従って各種処理を実行する。メモリ20は、例えば、HDD、E2PROM、フラッシュメモリであり、各種のプログラム、画像データや文書データ等のデータ、各種設定を記憶する領域として利用される。
メモリ20の一例は、コンピュータが読み取り可能なストレージ媒体であってもよい。コンピュータが読み取り可能なストレージ媒体とは、non-transitoryな媒体である。non-transitoryな媒体には、上記の例の他に、CD-ROM、DVD-ROM等の記録媒体も含まれる。また、non-transitoryな媒体は、tangibleな媒体でもある。一方、インターネット上のサーバなどからダウンロードされるプログラムを搬送する電気信号は、コンピュータが読み取り可能な媒体の一種であるコンピュータが読み取り可能な信号媒体であるが、non-transitoryなコンピュータが読み取り可能なストレージ媒体には含まれない。
本形態のメモリ20は、第1不揮発性メモリ21と、第2不揮発性メモリ22と、揮発性メモリ24と、を備えている。揮発性メモリ24は、各種処理が実行される際の作業領域としても使用される。
第1不揮発性メモリ21には、オペレーティングシステム(以下「OS」とする)41や、各種のアプリケーションプログラム(以下「アプリ」とする)45が記憶されている。アプリ45は、MFP1の機能を実行するためのプログラムである。アプリ45には、例えば保存されている画像データに基づく印刷を所定の認証後に行わせるプログラムが該当する。また例えば、アプリ45には、図3,4,6,8などを参照して説明する画面や、印刷指示や印刷指示やスキャン指示などを受け付ける画面(以下「操作画面」とする)などの各種画面を操作表示部11に表示するプログラム(以下「表示アプリ」とする)や、操作画面を設定するプログラムや、表示画面に基づく操作に対する各処理を行うプログラムが、該当する。MFP1には、ファイルシステムが構築されており、アプリ45は使用するデータのファイル名を指定することによって、データにアクセスする。アプリ45は、「アプリケーションプログラム」の一例である。
また例えば、第1不揮発性メモリ21には、鍵管理アプリ46が記憶されている。鍵管理アプリ46は、セキュリティが施され、鍵情報にアクセス可能である。鍵情報へのアクセスは、鍵管理アプリ46のみ可能であるよう、セキュリティが施されている。そのため鍵情報にアプリ45等からアクセスすることはできない。鍵情報は、後述するように第2不揮発性メモリ22に記憶されるデータの暗号化に用いられる暗号鍵に基づく情報である。鍵管理アプリ46は、鍵情報に基づく暗号鍵を用いてデータの暗号化あるいは復号化を行うプログラムである。
鍵情報は、暗号化するデータごと或いはデータの種別ごとに設けられた複数種類の鍵情報で構成されてもよいし、一種類の鍵情報で構成されてもよい。鍵情報は、暗号鍵そのものであってもよいし、暗号鍵を生成するための情報(例えば暗号鍵の一部)であってもよい。鍵情報が暗号鍵の一部である場合、暗号鍵の残部は、対応する暗号鍵の一部と異なる別の不揮発性の記憶領域に記憶されてもよい。鍵情報は、暗号鍵で暗号化したデータを復号化するための鍵として作成された復号鍵であってもよい。
図2は、ファイルシステムを説明する図である。鍵管理アプリ46は、起動したMFP1でなければ使用できないよう、暗号化されていることで、セキュリティが施されている。MFP1は、鍵管理アプリ46に変わるモジュールとして、TPM(trusted platform moduleの略)を備えていてもよい。TPMはセキュアコーティングされている。鍵管理アプリ46またはTPMは「特定のモジュール」の一例である。
なお、第1不揮発性メモリ21は、OS41やアプリ45や鍵管理アプリ46を記憶するための記憶領域を簡易的に示しているものであり、OS41とアプリ45と鍵管理アプリ46は、物理的に別の不揮発性メモリに記憶されてもよい。OS41が、図示しないROMに記憶されていてもよい。鍵管理アプリ46は、第2不揮発性メモリ22のAドライブ73ともBドライブ75とも異なる不揮発性の記憶領域に記憶されてもよい。
第2不揮発性メモリ22は、データないしプログラムの読み書きが可能なメモリである。第2不揮発性メモリ22は、アプリ45等がファイルシステムを介して用いるデータが記憶されている。第2不揮発性メモリ22は「不揮発性メモリ」の一例である。
ファイルシステム管理部91は、第2不揮発性メモリ22を複数の領域に分けている。ファイルシステム管理部91は、アプリ45等からの指示に応じて、各領域のデータを読み書きする。ファイルシステム管理部91は、指示部と、管理部と、を備えている。
指示部は、第2不揮発性メモリ22へデータを書き込んだり、読み出したり、消去したりするための処理(例えば、後述する図5(A)(B)、図6、図8、図10(A)(B)に示す処理)を実行するプログラムにより構成される。指示部は、例えば、後述する図5(A)(B)、図8、図10(A)(B)に示す処理を開始するトリガとなる、各種の指示を受け付ける。指示部は、ファイル名によって、アプリ45等からファイルの指定を受け付ける。指示部は、アプリ45等からの指示に応じて、第2不揮発性メモリ22にデータを書き込む書込み指示や、第2不揮発性メモリ22からデータを読み出す読み出し指示を、管理部に渡す。指示部は、書込み指示や読み出し指示を管理部に渡す際に、「パーティション名」や「ファイル名」でパーティションやファイルを指定する。指示部は、アプリ45等と管理部との間を受け持つ、ミドルウェアだととらえることもできる。指示部は、アプリの一つであってもよい。
管理部は、パーティション情報や、ファイル情報を管理するプログラムにより構成されている。パーティション情報は、領域に関する情報であり、例えば、領域の名称(パーティション名)やアドレスを含む。ファイル情報は、領域に記憶されたデータに関する情報であり、例えば、ファイル名やアドレスを含む。つまり、管理部は、パーティション名およびファイル名と、第2不揮発性メモリ22のメモリアドレスと、の関係を示す関係情報を管理している。管理部は、指示部から「パーティション名」や「ファイル名」で領域やファイルを指定した指示を受け取る。管理部は、指示部から受け取った指示に従って、第2不揮発性メモリ22へデータの書き込み、読みだし、消去を行う。管理部は、OSの一部に含まれていてもよい。パーティション情報およびファイル情報のうち、アドレスは、アプリ45に対してブラックボックス化されている。
なお、以下の説明では、指示部および管理部が行う各種の処理を、ファイルシステム管理部91が行う処理として説明する。また、ファイルシステム管理部91が一つのプログラムで構成されていてもよい。
本形態では、ファイルシステム管理部91は、第2不揮発性メモリ22を第1の領域(以下「Aドライブ」とする)73と第2の領域(以下「Bドライブ」とする)75とに分け、Aドライブ73とBドライブ75のパーティション情報を管理している。Aドライブ73には、暗号化されておらず、一般ユーザの操作によって消去できるユーザデータが、記憶されている。また、Bドライブ75には、一般ユーザの操作によって消去できない暗号化されたシステムデータが、記憶されている。ファイルシステム管理部91は、ユーザデータとシステムデータのファイル情報を管理している。Aドライブ73は「第1の領域」の一例であり、ユーザデータは「第1のデータ」の一例である。Bドライブ75は「第2の領域」の一例であり、システムデータは「第2のデータ」の一例である。
ユーザデータには、アドレス帳に登録されるアドレス帳情報(名前、名称、グループ名、電話番号、FAX番号など)が該当する。アドレス帳情報は、例えば、第2ユーザデータファイル84bとしてAドライブ73に記憶されている。ユーザデータは、アドレス帳情報に限定されず、FAXモデム14を介して受信したFAXデータなどであってもよい。
システムデータには、例えば図3(B)に示すように、背景やアイコンの表示がカスタマイズされたカスタム画面D22を表示するためのカスタムデータが該当する。カスタム画面D22は、例えば背景B22が図3(A)に示す通常画面D21の背景B21から変更されている。例えば、カスタムデータは、暗号化され、第1システムデータファイル86aとしてBドライブ75に書き込まれている。なお、システムデータは、カスタムデータに限定されない。例えば、システムデータは、カスタムデータにアクセスするためのカスタムプログラムであってもよい。カスタムプログラムは、Bドライブ75に第2システムデータファイル86bとして記憶されている。カスタムプログラムは、カスタムデータの有効あるいは無効を示すカスタムデータフラグを含む。
続いて、MFP1の動作について図面を参照して説明する。以下の説明において、CPU31による、情報Aは事柄Bであることを示しているか否かを判断する処理を、「情報Aから、事柄Bであるか否かを判断する」のように概念的に記載することがある。CPU31による、情報Aが事柄Bであることを示しているか、事柄Cであるかを示しているかを判断する処理を、「情報Aから、事柄Bであるか事柄Cであるかを判断する」のように概念的に記載することがある。また、以下の説明において説明するCPU31の処理は、ASIC16が行ってもよい。また、処理を実行する主体を、アプリやファイルシステム管理部91とすることがある。この場合、アプリやファイルシステム管理部91が行う処理は、実質的に、CPU31あるいはASIC16が行う。
まず、ユーザデータをAドライブ73に書き込む制御手順について説明する。例えば、MFP1は、図4(A)の各種設定画面D11にて、操作表示部11を介してアドレス帳ボタンA11が操作されると、アドレス情報を管理するアドレス帳アプリを起動させる。アドレス帳アプリは、アドレス帳情報の入力操作を受け付けると、ファイルシステム管理部91にアドレス帳情報を第2不揮発性メモリ22に書き込むことを指示する。
当該指示を受け付けたファイルシステム管理部91は、第1データ書込み指示を受け付けたと判断し、図5(A)に示す第1データ書込み処理を実行する。すなわち、ファイルシステム管理部91は、アドレス帳情報を暗号化せずに、第2ユーザデータファイル84bとして第2不揮発性メモリ22のAドライブ73に書き込み(S1)、処理を終了する。このとき、ファイルシステム管理部91は、第2ユーザデータファイル84bのファイル情報を、所定の領域に記憶する。これにより、第2ユーザデータファイル84bがファイルシステムの管理対象となり、アプリ45等がファイルシステムを介して第2ユーザデータファイル84bにアクセスできるようになる。
本形態では、第1データ書込み指示が一般公開されている。そのため、一般ユーザでもシステムベンダ等でも、第1データ書込み指示をMFP1に入力し、ユーザデータを第2不揮発性メモリ22に書き込むことができる。なお、後述する第1消去指示の入力方法も第1データ書込み指示と同様、一般公開されている。第1データ書込み指示と第1消去指示を操作表示部11を介して入力する操作は、「第1のユーザ操作」の一例である。
次に、システムデータをBドライブ75に書き込む手順について説明する。本形態では、第2データ書込み指示の入力方法が一般公開されず、システムベンダ等だけに公開されている。そのため、システムベンダ等だけが、システムデータを第2不揮発性メモリ22に書き込むことができる。よって、第2データ書込み指示は、第1データ書込み指示と異なる方法でMFP1に入力される。なお、後述する第2消去指示の入力方法も第2データ書込み指示と同様、一般公開されず、システムベンダ等のみに公開されている。
例えば、管理端末3には、一般公開されておらず、システムベンダ等だけに公開されているPCアプリが組み込まれている。PCアプリは、例えば、システムデータを作成するプログラムである。PCアプリがMFP1にシステムデータを送信するコマンドは、公開されていない。そのため、システムデータをMFP1に書き込めるのは、システムベンダ等に限られる。
例えば、管理端末3は、自端末に組み込まれたPCアプリでカスタム画面D22のカスタムデータを生成し、そのカスタムデータをMFP1に入力する指示を受け付けると、第2不揮発性メモリ22にカスタムデータを書き込むことを指示するコマンドをMFP1に送信する。管理端末3は「外部デバイス」の一例である。コマンドの受信は「特定の入力方法」の一例である。
MFP1は、通信IF15を介してそのコマンドを受信すると、第2データ書込み指示を受け付けたと判断し、図5(B)に示す第2データ書込み処理を実行する。
ファイルシステム管理部91は、カスタムデータの暗号化を鍵管理アプリ46に依頼する(S12)。鍵管理アプリ46は、カスタムデータに対応する鍵情報にアクセスし、その鍵情報に基づく暗号鍵を用いて、管理端末3からPC1に入力されたカスタムデータを暗号化する。鍵情報が暗号鍵そのものであれば、鍵管理アプリ46は、その鍵情報を暗号鍵として使用する。鍵情報が暗号鍵の一部であれば、鍵管理アプリ46は、その暗号鍵の一部に基づいて暗号鍵の残部を取得し、暗号鍵を再現する。鍵情報は、暗号鍵を作成するためのデータであって、鍵管理アプリ46は、このデータを元に暗号鍵を作成してもよい。
ファイルシステム管理部91は、鍵管理アプリ46によって暗号化されたカスタムデータを、第1システムデータファイル86aとしてBドライブ75に書き込む(S13)。これに対応して、ファイルシステム管理部91は、第1システムデータファイル86aのファイル情報を所定の領域に書き込む。これにより、第1システムデータファイル86aがファイルシステムの管理対象となる。S12、S13の処理は「データ書込み処理」の一例である。さらに、ファイルシステム管理部91は、カスタムプログラムのカスタムデータフラグを無効から有効に切り替えて更新する。カスタムデータフラグは、システムベンダ等のみに公開された操作により、カスタムデータ書き込み後に有効と無効を任意に切り替えられてもよい。なお、カスタムデータフラグは、システムデータとしてBドライブ75に記憶してもよい。その後、ファイルシステム管理部91は処理を終了する。
なお、システムデータをBドライブ75に書き込むコマンドは、例えば、PJLコマンドであってもよい。MFP1は、PJLコマンドを受信した場合、あるいは、装着された外部メモリ(例えばUSBメモリ)にPJLコマンドが記憶されている場合に、PJLコマンドを解析し、システムデータをBドライブ75へ書き込むコマンドであれば、図5(B)に示す第2データ書込み処理を実行し、そのシステムデータをBドライブ75に書き込む。
MFP1は、管理端末3からコマンドを受信することでBドライブ75にシステムデータを書き込むのではなく、システムベンダ等が操作表示部11を介して入力した第2データ書込み指示を受け付けて、Bドライブ75にシステムデータを書き込んでもよい。
例えば、システムベンダ等は、作成済みのカスタムデータを記憶したUSBメモリをMFP1に装着する。そして、システムベンダ等は、図4(A)に示す各種設定画面D11に表示されるシステム管理ボタンA14を操作する。すると、CPU31は、認証指示を受け付け、図6に示す認証処理を実行する。システム管理ボタンA14の操作は「特定のユーザ操作」の一例である。
CPU31は、図7(A)に示す認証情報入力画面D3を操作表示部11に表示させ(S20)、認証情報を受け付けたか否かを判断する(S21)。システムベンダ等が認証情報入力画面D3の入力欄SAに認証情報を入力し、OKボタンA3を操作すると、CPU31は、認証情報を受け付けたと判断し(S21:YES)、入力された認証情報に基づいて特定のアクセス権限を有するか否かを判断するユーザ認証を行う(S22)。S21、S22の処理は「認証処理」の一例である。
CPU31は、認証に成功した場合(S23:YES)、図7(B)に示すようなシステム管理画面D5を操作表示部11に表示させる(S24)。つまり、システム管理画面D5は、認証に成功した特定のユーザのみが操作可能な画面であり、一般ユーザが操作できない画面である。システム管理画面D5は、システムデータの入力を指示するデータ入力ボタンA5と、システムデータの削除を指示するリセットボタンA6と、その他の処理を指示するその他ボタンA7と、を含む。ボタンA5、A6の操作は、「第2のユーザ操作」の一例である。
CPU31は、データ入力ボタンA5又はリセットボタンA6の操作を受け付けたか否かを判断する(S25)。CPU31は、データ入力ボタンA5の操作を受け付けた場合(S25:データ入力ボタン)、第2データ書込み指示をファイルシステム管理部91に渡し(S29)、処理を終了する。ファイルシステム管理部91は、第2データ書込み指示を受け付けると、上述した図5(B)に示す第2データ書込み処理を実行する。これにより、MFP1に装着されたUSBメモリに記憶されているカスタムデータは、PC1に入力された後、鍵管理アプリ46を用いて暗号化され、ファイル管理システム91によってBドライブ75に書き込まれる。
次に、システムデータをBドライブ75から読み出す際の制御手順について説明する。ファイルシステム管理部91は、例えば、アプリ45等から第1システムデータファイル86aのファイル名を指定した読み出し指示を受け付けると、図8に示すデータ読み出し処理を実行する。
ファイルシステム管理部91は、読み出し指示で指定されたファイル名に基づいて、第1システムデータファイル86aを第2不揮発性メモリ22のBドライブ75から取得する(S51)。
そして、ファイルシステム管理部91は、S51にて取得した第1システムデータファイル86aの復号化を鍵管理アプリ46に依頼する(S53)。S53の処理は、「第2のデータを復号化する処理」の一例である。
例えば、鍵管理アプリ46は、第1システムデータファイル86aに対応する鍵情報にアクセスする。アクセス先の鍵情報が暗号鍵そのものであれば、鍵管理アプリ46は、その鍵情報を暗号鍵として用い、第1システムデータファイルを復号化する。また例えば、アクセス先の鍵情報が暗号鍵の一部である場合、鍵管理アプリ46は、その暗号鍵の残部にアクセスして、暗号鍵そのものを再現し、再現した暗号鍵を用いて第1システムデータファイル86aを復号化する。また、アクセス先の鍵情報が、第1システムデータファイル86aを暗号化した暗号鍵に対応する復号鍵である場合、鍵管理アプリ46は、その鍵情報を用いて第1システムデータファイル86aを復号化する。
ファイルシステム管理部91は、鍵管理アプリ46によって復号化された第1システムデータファイル86aをアプリ45等に渡し(S54)、処理を終了する。
鍵管理アプリ46にはセキュリティが施されており、鍵情報には鍵管理アプリ46のみがアクセス可能である。そのため、鍵情報が漏洩しにくく、システムデータは安全に使用される。また、鍵管理アプリ46がシステムデータの復号化を一括管理するので、アプリ45等は、各自でデータを復号化する場合と比較して、システムデータの読み出しが容易になる。
このデータ読み出し処理は、例えば、表示アプリを用いて操作表示部11に画面表示する場合に実行される。例えば、MFP1は、OS41が起動されると、CPU31が表示アプリを第1不揮発性メモリ21から読み出し、図9に示す表示処理を実行する。
表示アプリは、例えばファイルシステムを介して、カスタムデータフラグが有効か否かを判断する(S61)。具体的に、表示アプリは、第2システムデータファイル86bのファイル名を指定した読み出し指示を、ファイルシステム管理部91に渡す。ファイルシステム管理部91は、上述したデータ読み出し処理を実行し、鍵管理アプリ46によって復号化された第2システムデータファイル86bを表示アプリに渡す。表示アプリは、復号化された第2システムデータファイル86bに基づいて、カスタムプログラムのカスタムデータフラグが有効か否かを判断する(S61)。表示アプリは、カスタムデータフラグが無効である場合(S61:NO)、図3(A)に示す通常画面D21を表示し(S65)、処理を終了する。
一方、表示アプリは、カスタムデータフラグが有効である場合(S61:YES)、カスタムデータが検出されたか否かを判断する(S62)。具体的に、表示アプリには、カスタムデータファイルとしてのファイル名が予め規則化されている。表示アプリは、その規則に則ったファイル名の検索をファイルシステム管理部91に指示する。表示アプリは、例えば第1システムデータファイル86aのファイル名をファイルシステム管理部91に渡し、ファイルシステム管理部91がそのファイルを検出しなかった場合(S62:NO)、通常画面D21を表示して(S65)、処理を終了する。
これに対して、表示アプリは、ファイルシステム管理部91が第1システムデータファイル86aのファイル名を検出した場合(S62:YES)、ファイルシステム管理部91を介してカスタムデータを取得する(S63)。すなわち、ファイルシステム管理部91は、上述したデータ読み出し処理を実行し、鍵管理アプリ46によって復号化された第1システムデータファイル86aを表示アプリに渡す。表示アプリは、復号化された第1システムデータファイル86aに格納されたカスタムデータを用いて、例えば図3(B)に示すカスタム画面D22を表示し(S64)、処理を終了する。
次に、MFP1が第2不揮発性メモリ22からユーザデータを消去する制御手順について説明する。ユーザデータは、工場出荷後にユーザの操作により入力されているので、ユーザが任意に消去できることが好ましい。MFP1は、例えば、ファイルシステム管理部91が管理しているファイル情報を削除することにより、ユーザデータをファイルシステム上で削除できる。しかし、この方法では、Aドライブ73に第1ユーザデータファイル84aや第2ユーザデータファイル84bが残る。そのため、第2不揮発性メモリ22を廃棄したり、リサイクルしたりする場合、暗号化されていない第1ユーザデータファイル84aと第2ユーザデータファイル84bがファイル復元ツール(サルベージツール、リカバリーツールとも呼ばれる)を用いて読み出され、流出する可能性がある。そこで、本形態では、Aドライブ73に記憶されるユーザデータを、完全消去する。
例えば、MFP1は、図4(A)に示す各種設定画面D11において、リセットボタンA13が操作された場合、図4(B)に示すリセット画面D1を操作表示部11に表示する。リセット画面D1は、認証を行わずに表示可能な画面であり、一般ユーザでも、システムベンダ等の特定のユーザでも操作可能な画面である。
ファイルシステム管理部91は、リセット画面D1の全データボタンA1が操作表示部11を介して操作された場合、第1消去指示を受け付けたと判断し、図10(A)に示す第1データ消去処理を実行する。第1消去指示では、Aドライブ73のパーティション名が指定されている。第1消去指示は「第1の領域の消去指示」の一例である。
なお、ボタンA1の表示は、「ファクトリーリセット」としてもよい。ファクトリーリセットを表示するボタンA1が操作された場合、後述するAドライブ73の完全消去以外に、工場出荷時に戻す必要があるデータを、工場出荷状態に戻してもよい。ユーザデータ全てを消去することを指示する全データボタンと、データを工場出荷状態に戻すことを指示するファクトリーリセットボタンは、別個に設けてもよい。
図10(A)に示す第1データ消去処理において、ファイルシステム管理部91が第2不揮発性メモリ22に順番に処理を実行するために、ファイルシステム管理部91は、アプリ45等からファイルシステムへのアクセスを停止させる(S41)。これにより、ファイルシステム管理部91が順番通りに第2不揮発性メモリ22に対して処理を行う最中に、アプリ45等からファイルシステム管理部91に余計な指示が入力されることを排他する。
ファイルシステム管理部91は、第2不揮発性メモリ22に対して順番に処理を行うことで、図11(A)に示すように、第2不揮発性メモリ22からAドライブ73を完全消去する(S42)。S42の処理は「完全消去処理」の一例である。また、ファイルシステム管理部91は、第1ユーザデータファイル84aと第2ユーザデータファイル84bのファイル情報を所定の領域から削除する。さらに、ファイルシステム管理部91は、所定の領域に記憶されているAドライブ73のパーティション情報を削除する。これにより、Aドライブ73がファイルシステムとして使えなくなる。つまり、アプリ45等がファイルシステム管理部91を介してユーザデータを利用できなくなる。
ここで、本明細書では、「削除」と、「消去」と、「完全消去」とを以下の意味で使用する。「削除」は、ファイルシステム上、ファイルを存在させなくすることを意味する。つまり、アプリ45等がファイル名を用いて第2不揮発性メモリ22にデータを読み書きできないようにすることを意味する。例えば、Aドライブ73に記憶されている第1ユーザデータファイル84aについて、第1ユーザデータファイル84aがAドライブ73に記憶されている状態で、ファイルシステム管理部91から第1ユーザデータファイル84aのファイル情報を削除することは、「削除」に該当する。この場合、アプリ45等は、ファイルシステム管理部91を介して第1ユーザデータファイル84aにアクセスできないが、第1ユーザデータファイル84aはAドライブ73に残っている。
「消去」は、消去対象となるデータそのものを第2不揮発性メモリ22から読み出せないようにすることを意味する。例えば、第1ユーザデータファイル84aがAドライブ73を占める領域、および、第1ユーザデータファイル84aのファイル情報を記憶している領域に、0xffなどの別のデータを書き込むことは、「消去」に該当する。この場合、第1ユーザデータファイル84aは、ファイルシステムにもAドライブ73にも残らない。なお、第2ユーザデータファイル84bは、ファイルシステム上にもAドライブ73にも残っているため、アプリ45等は第2ユーザデータファイル84bにはアクセスできる。
「完全消去」は、消去対象となるデータが記憶されている領域を消去し、消去対象となるデータを含め、当該領域に記憶されているデータ全てを第2不揮発性メモリ22から読み出せないようにすることを意味する。例えば、Aドライブ73の領域全体、Aドライブ73のパーティション情報が記憶されている領域全体、さらに、第1ユーザデータファイル84aおよび第2ユーザデータファイル84bのファイル情報が記憶されている領域全体に、0xffなどの別のデータを書き込むことは、「完全消去」に該当する。この場合、Aドライブ73に記憶されていた全データが、ファイルシステム上にも第2不揮発性メモリ22にも残らず、アプリ45等は、第1ユーザデータファイル84aにも第2ユーザデータファイル84bにもアクセスできなくなる。
図10(A)に示すように、ファイルシステム管理部91は、Aドライブ73を完全消去した後、図11(B)に示すように、初期化処理あるいはフォーマット処理などにより、第2不揮発性メモリ22にAドライブ73xを再構築する(S43)。例えば、ファイルシステム管理部91は、ファイルシステム管理部91が管理しているパーティション情報から、第2不揮発性メモリ22の空き領域を把握する。そして、ファイルシステム管理部91は、その空き領域の状態をチェックし、異常がない領域を再構築用の領域として確保する。そして、ファイルシステム管理部91は、再構築用の領域を示すパーティション情報を所定の領域に記憶させる。よって、Aドライブ73xは、第2不揮発性メモリ22の状態に応じて、完全消去前のAドライブ73と異なる場所に再構築され得る。Aドライブ73xを再構築したファイルシステム管理部91は、図10(A)に示すようにリブートを行い(S44)、処理を終了する。
このように、Aドライブ73を完全消去する処理と、再構築によりAドライブ73をメンテナンスする処理をまとめて行うことで、ユーザがMFP1の機能を利用する時間を圧迫せずに、Aドライブ73に記憶されていたユーザデータ全ての安全性を担保できる。
MFP1は、例えば廃棄やリサイクルする場合、ユーザ認証を行わずに第1消去指示が入力されることで、ユーザデータ全てを完全消去し、ユーザデータの流出を防ぐことができる。また、システムデータがBドライブ75に残っているので、特定の機能は維持される。
なお、例えば、図4(B)のリセット画面D1にてアドレス帳ボタンA2が操作された場合、ファイルシステム管理部91は、第2ユーザデータファイル84bのファイル名を指定した削除指示を受け付ける。この場合、ファイルシステム管理部91が、第2ユーザデータファイル84bのファイル情報を所定の領域から削除することにより、第2ユーザデータファイル84bがファイルシステム上で個別に削除され、アプリ45等がアドレス帳情報を読み出せなくなる。
次に、MFP1が第2不揮発性メモリ22からシステムデータを消去する制御手順について説明する。例えば、システムベンダ等は、図4(A)の各種設定画面D11においてシステム管理ボタンA14を操作する。すると、CPU31は、図6に示す認証処理を実行する。CPU31は、認証情報に基づく認証に成功した後、図7(B)のシステム管理画面D5に表示されるリセットボタンA6の操作を操作表示部11を介して受け付けると(S25:リセットボタン)、ファイルの指定を受け付けたか否かを判断する(S26)。CPU31は、例えば、Bドライブ75に記憶されているファイルのファイル名をファイルシステム管理部91から取得し、一覧表示する。CPU31は、ファイル名が指定されるまで待機する(S26:NO)。
CPU31は、一覧表示されるファイル名の中から、例えば第1システムデータファイル86aのファイル名が指定されると(S26:YES)、指定された第1システムデータファイル86aのファイル名をファイルシステム管理部91に渡す(S27)。そして、CPU31は、第2消去指示をファイルシステム管理部91に渡し(S28)、処理を終了する。第2消去指示は「第2の領域に記憶される第2のデータの消去指示」の一例である。よって、第2消去指示は、第1消去処理と異なる方法でMFP1に入力される。なお、CPU31は、システム管理画面D5のその他ボタンA7が操作された場合(S25:NO)、その他の処理を行い(S30)、処理を終了する。
なお、システムベンダ等によるシステムデータの削除は、操作表示部11からの操作だけでなく、削除用のPCアプリや削除用のPJLコマンドを使って行ってもよい。すなわち、削除用のPCアプリや削除用のPJLコマンドがシステムベンダ等だけに公開されており、MFP1が、削除用のPCアプリからコマンドを受信した場合や、削除用のPJLコマンドを受信した場合に、第2消去指示を受け付けたと判断し、第2データ消去処理を実行してもよい。
図10(B)に示すように、ファイルシステム管理部91は、第1システムデータファイル86aを指定した第2消去指示を受け付けると、第1システムデータファイル86aのファイル情報を所定の領域から削除することで、第1システムデータファイル86aを削除する(S32)。S32の処理は「第2の消去処理」の一例である。
この状態では、第1システムデータファイル86aがBドライブ75に残っている。もし、第1システムデータファイル86aが漏洩してしまうと、暗号化されているとはいえ、例えば、将来の超高性能なコンピュータで解読されるなど、何らかの手段で復号化される虞がある。
そこで、図10(B)に示すように、ファイルシステム管理部91は、Bドライブ75にダミーデータを書き込む(S33)。これにより、第1システムデータファイル86aがダミーデータXで上書きされ、断片化される。S33の処理は「ダミー書込み処理」の一例である。
具体的に、ファイルシステム管理部91は、Bドライブ75のパーティション情報と第2システムデータファイル86bのファイル情報が所定の領域に残っているため、図12に示すように、第2システムデータファイル86bを避けてダミーデータXをBドライブ75に書き込む。このとき、第1システムデータファイル86aのファイル情報が所定の領域から削除されているので、ファイルシステム管理部91は、第1システムデータファイル86aをダミーデータXで上書きできる。これにより、第1システムデータファイル86aは、断片化され、完全に再現することが困難になる。ファイルシステム管理部91は、ダミーデータXのファイル情報を所定の領域に書き込む。ファイルシステム管理部91は、Bドライブ75がメモリフルになるまでBドライブ75にダミーデータXを書き込む。
図10(B)に示すように、ファイルシステム管理部91は、Bドライブ75に書き込まれたダミーデータXのファイル情報を所定の領域から削除することで、ダミーデータXをファイルシステム上で削除し(S34)、処理を終了する。S34の処理は「ダミー削除処理」の一例である。これにより、第2不揮発性メモリ22は、Bドライブ75に書き込まれたダミーデータXを別のデータで上書きできるようになり、Bドライブ75を利用し易くなる。
なお、S33の処理では、1つのダミーデータXをメモリフルになるサイズまでBドライブ75に書き込んだが、ある程度のサイズのダミーデータを、メモリフルになるまでいくつもBドライブ75に書き込んでもよい。この場合、S34の処理では、Bドライブ75に書き込んだいくつものダミーデータについて、ファイル情報を所定の領域から削除する。
以上説明したように、本形態のMFP1は、第2不揮発性メモリ22をファイルシステムによってAドライブ73、Bドライブ75に分け、ユーザデータとシステムデータとをAドライブ73とBドライブ75に別々に記憶し、Aドライブ73とBドライブ75ごとに異なる消去方法によってユーザデータとシステムデータを消去する。これにより、例えば、Bドライブ75に記憶されたシステムデータを残しつつ、Aドライブ73に記憶されたユーザデータを消去することができる。そして、Aドライブ73に記憶されたユーザデータを完全消去するため、ユーザデータの安全性は担保される。
Bドライブ75に記憶された第1システムデータファイル86aを消去する場合は、ファイルシステム上で第1システムデータファイル86aを削除するため、第1システムデータファイル86aがBドライブ75に残ることがある。しかし、第1システムデータファイル86a自体が暗号化されており、さらに、鍵管理アプリ46のみが鍵情報にアクセス可能である。すなわち、第1システムデータファイル86aが漏洩したとしても、第1システムデータファイル86aが復号化される可能性が低い。つまり、MFP1は、第1システムデータファイル86aそのものを消去した場合と同様に、第1システムデータファイル86aの安全性が担保される。このように、本形態のMFP1によれば、第2不揮発性メモリ22に記憶されるデータを安全に消去することが可能である。
また、ユーザデータは、システムデータに比べて、頻繁にアクセスされるデータ、漏洩しても危険性の少ないデータ、であることが多い。そのため、ユーザデータは、暗号化されることなくAドライブ73に書き込まれることで、アプリ45等がファイルシステムを介して第2不揮発性メモリ22にユーザデータを高速で読み書きできるようになる。一方、システムデータは、暗号化されてBドライブ75に書き込まれているため、暗号化されていないユーザデータと比べ、第2不揮発性メモリ22に読み書きするのに時間がかかる。
しかし、本形態では、例えば、第1システムデータファイル86aを削除する第2消去指示を受け付けた場合、第1システムデータファイル86aのファイル情報をファイルシステム上で削除することで、第1システムデータファイル86aをアプリ45等から使用不能に消去する。鍵管理アプリ46のみが鍵情報にアクセス可能であるため、第1システムデータファイル86aが復号化される可能性が低い。このような第1システムデータファイル86aの削除方法は、例えば、消去対象でない第2システムデータファイル86bをBドライブ75から退避させた後、Bドライブ75を完全消去し、その後、第2システムデータファイル86bをBドライブ75に戻すことで、第1システムデータファイル86aそのものを消去する場合と比べ、第1システムデータファイル86aの個別消去する処理時間を短縮できる。また、MFP1は、第2不揮発性メモリ22にシステムデータを読み書きする頻度を減らし、第2不揮発性メモリ22の劣化を軽減できる。
なお、本実施の形態は単なる例示にすぎず、本発明を何ら限定するものではない。したがって本発明は当然に、その要旨を逸脱しない範囲内で種々の改良、変形が可能である。例えば、MFP1は、印刷機能のみを備えるプリンタでもよい。
図10(B)のS33、S34の処理は省略してもよい。但し、消去対象となるシステムデータをファイルシステム上で削除した後、メモリフルになるまでダミーデータXをBドライブ75にメモリフルになるまで書き込むことで、システムデータの断片化が進み、システムデータを完全に再現することを困難にすることができる。また、ダミーデータをファイルシステムから削除することで、Bドライブ75のファイルシステム上の空きメモリが確保され、その後にBドライブ75を利用し易くなる。
Bドライブ75には、暗号化されていないデータも記憶してよい。ただし、Bドライブ75に暗号化されたデータのみを記憶することで、消去対象となるデータのファイル情報を削除するだけで、Bドライブ75に記憶される他のデータの安全性を確保できる。
図6のS20~S23の処理を省略し、第1データ書込み指示あるいは第1消去指示と同様、認証に成功しない場合でも、第2データ書込み指示あるいは第2消去指示を受け付けるようにしてもよい。ただし、認証成功後の入力操作によって、第2データ書込み指示と第2消去指示を受け付けることで、一般ユーザがBドライブにデータを書き込んだり、システムベンダ等がMFP1に書き込んだシステムデータを、一般ユーザが消去したりすることを回避できる。
図10(A)のS43の処理を省略してもよい。ただし、Aドライブ73を完全消去してユーザデータを消去した後、Aドライブ73xを再構築ないし初期化することで、Aドライブ73xを利用し易くなる。
リセット画面D1に全データボタンA1あるいはファクトリーリセットボタンがある場合には、ファクトリーリセットボタンが操作された場合、Bドライブ75も完全消去する仕様にしてもよい。あるいは、図10(B)に示す処理を、Bドライブ75に記憶されているシステムデータ全てを対象に行ってもよい。また、全データボタンA1を操作された場合には、Aドライブ73のみを完全消去し、ファクトリーリセットボタンが操作された場合には、Aドライブ73とBドライブ75の両方を完全消去する仕様にしてもよい。
第2消去指示を受け付けた場合のみ、Bドライブ75に記憶されているシステムデータを消去できる仕様において、データを工場出荷状態に戻すファクトリーリセットボタンが操作された場合、消去できないデータがあり、システムベンダ等に消去してもらう必要があることをユーザに知らせる報知を行ってもよい。そして、MFP1は、その報知を確認したユーザにデータ消去を続行するか否かを問い合わせ、続行する指示を受け付けた場合には、図10(A)に示す第1データ消去処理を行い、Aドライブ73を消去し、続行する指示を受け付けない場合には、第1データ消去処理を行わないようにしてもよい。これによれば、報知を確認したユーザは、MFP1が工場出荷状態に戻ったと誤認して、Bドライブ75にデータを残したままMFP1を廃棄したり、リサイクルしたりすることを回避できる。
カスタムデータは、ユーザデータとしてAドライブ73に書き込んでもよい。この場合、カスタムデータは、カスタム材料データの配置などを示すデータである。カスタム材料データは、例えば、カスタム画面D22に使用する背景やアイコンの画像データであり、システムデータとしてBドライブ75に記憶される。MFP1は、Bドライブ75からカスタム材料データを読み出し、操作表示部11を介してカスタム材料データの選択を受け付け、カスタムデータを作成してもよい。この場合、カスタムデータは、ユーザデータとしてAドライブ73に書き込まれる。MFP1は、カスタムデータとカスタム材料データをAドライブ73とBドライブ75からそれぞれ読み出し、カスタムデータに従ってカスタム材料データが示す画像データを配置した画面を操作表示部11に表示してもよい。
ユーザデータを暗号化した場合、Bドライブ75に記憶してもよい。この場合、暗号化されたユーザデータは「第2のデータ」の一例となる。
実施の形態に開示されている任意のフローチャートにおいて、任意の複数のステップにおける複数の処理は、処理内容に矛盾が生じない範囲で、任意に実行順序を変更できる、または並列に実行できる。
実施の形態に開示されている処理は、単一のCPU、複数のCPU、ASICなどのハードウェア、またはそれらの組み合わせで実行されてもよい。また、実施の形態に開示されている処理は、その処理を実行するためのプログラムを記録した記録媒体、または方法等の種々の態様で実現することができる。
1 MFP
13 印刷部
22 第2不揮発性メモリ
45 アプリ
46 鍵管理アプリ
73 Aドライブ
75 Bドライブ

Claims (12)

  1. 不揮発性メモリと、
    画像形成ユニットと、
    を備える画像形成装置であって、
    前記画像形成装置は、
    前記不揮発性メモリへのアクセスに用いるファイルシステムを有し、前記画像形成装置に組み込まれているアプリケーションプログラムは、前記ファイルシステムを介して前記不揮発性メモリへのデータの読み書きが可能であり、前記アプリケーションプログラムには、前記不揮発性メモリに記憶されるデータを用いて、前記画像形成ユニットを動作させるジョブを処理するアプリケーションプログラムが含まれ、
    前記不揮発性メモリには、前記ファイルシステムによって、パーティションで仕切られた複数の領域が設けられ、前記複数の領域には、第1のデータを記憶可能な第1の領域と、第2のデータを記憶可能な第2の領域と、が含まれ、
    さらに前記画像形成装置は、
    セキュリティが施された特定のモジュールを備え、前記特定のモジュールは鍵情報にアクセスしてデータの暗号化が可能であり、
    さらに前記画像形成装置は、
    前記第2の領域に前記第2のデータを書き込む指示を受け付けた場合、前記特定のモジュールを用いて前記第2のデータを暗号化し、暗号化した前記第2のデータを、前記第2の領域に書き込むデータ書込み処理を実行し、
    さらに前記画像形成装置は、
    前記第1の領域の消去指示を受け付けた場合、前記不揮発性メモリのうち前記第1の領域の記憶領域を完全消去して前記第1の領域に記憶される前記第1のデータ全てを使用不能にする第1の消去処理を実行し、
    前記第2の領域に記憶される前記第2のデータの消去指示を受け付けた場合、前記第2のデータを前記ファイルシステムによって削除する第2の消去処理を実行する、
    ことを特徴とする画像形成装置。
  2. 請求項1に記載する画像形成装置において、
    前記画像形成装置は、
    前記第2の領域に記憶される前記第2のデータの消去指示を受け付けた場合、前記第2の消去処理を実行した後、ダミーデータをメモリフルとなるまで前記ファイルシステムによって前記第2の領域に書き込むダミー書込み処理を実行する、
    ことを特徴とする画像形成装置。
  3. 請求項2に記載する画像形成装置において、
    前記画像形成装置は、
    前記第2の領域に記憶される前記第2のデータの消去指示を受け付けた場合、前記第2の消去処理および前記ダミー書込み処理を実行した後、前記ダミー書込み処理にて前記第2の領域に書き込まれた前記ダミーデータを、前記ファイルシステムによって削除するダミー削除処理を実行する、
    ことを特徴とする画像形成装置。
  4. 請求項1から請求項3のいずれか1つに記載する画像形成装置において、
    前記第2の領域には、暗号化された前記第2のデータが記憶され、暗号化されていないデータが記憶されていない、
    ことを特徴とする画像形成装置。
  5. 請求項1から請求項3のいずれか1つに記載する画像形成装置において、
    前記特定のモジュールは、前記鍵情報にアクセスしてデータの復号化が可能であり、
    前記画像形成装置は、
    前記第2の領域から前記第2のデータを読み出す指示を受け付けた場合、前記特定のモジュールを用いて前記第2のデータを復号化する処理を実行する、
    ことを特徴とする画像形成装置。
  6. 請求項1から請求項5のいずれか1つに記載する画像形成装置において、
    ユーザインタフェースを備え、
    前記画像形成装置は、
    前記ユーザインタフェースを介する第1のユーザ操作によって前記第1の領域の前記消去指示を受け付けた場合、前記第1の消去処理を実行し、
    前記第1のユーザ操作と異なる特定の入力方法によって前記第2のデータの前記消去指示を受け付けた場合、前記第2の消去処理を実行する、
    ことを特徴とする画像形成装置。
  7. 請求項6に記載する画像形成装置において、
    通信インタフェースを備え、
    前記画像形成装置は、
    前記ユーザインタフェースを介する前記第1のユーザ操作によって前記第1の領域の前記消去指示を受け付けた場合、前記第1の消去処理を実行し、
    前記特定の入力方法として前記通信インタフェースを介して外部デバイスからコマンドを受信することによって前記第2のデータの前記消去指示を受け付けた場合、前記第2の消去処理を実行する、
    ことを特徴とする画像形成装置。
  8. 請求項6に記載する画像形成装置において、
    前記画像形成装置は、
    前記ユーザインタフェースを介する特定のユーザ操作によって認証指示を受け付けた場合、認証情報の入力を要求し、入力された前記認証情報に基づくユーザ認証を行う認証処理を実行し、
    前記ユーザインタフェースを介する前記第1のユーザ操作によって前記第1の領域の前記消去指示を受け付けた場合、前記第1の消去処理を実行し、
    前記特定の入力方法として前記ユーザインタフェースを介する前記第1のユーザ操作とは異なる第2のユーザ操作を受け付けることによって前記第2のデータの前記消去指示を受け付けた場合、前記第2の消去処理を実行し、前記第2のユーザ操作は、前記認証処理によって認証が成功した後に入力可能な操作であり、前記第1のユーザ操作は、前記認証処理による認証が成功していなくても入力可能な操作である、
    ことを特徴とする画像形成装置。
  9. 請求項1から請求項5のいずれか1つに記載する画像形成装置において、
    ユーザインタフェースと、
    を備え、
    前記画像形成装置は、
    前記ユーザインタフェースを介する第1のユーザ操作によって入力された前記第1のデータを、前記第1の領域に記憶し、
    前記第1のユーザ操作と異なる特定の入力方法によって入力された前記第2のデータを、前記第2の領域に記憶する、
    ことを特徴とする画像形成装置。
  10. 請求項9に記載する画像形成装置において、
    通信インタフェースを備え、
    前記画像形成装置は、
    前記ユーザインタフェースを介する前記第1のユーザ操作によって入力された前記第1のデータを、前記第1の領域に記憶し、
    前記特定の入力方法として前記通信インタフェースを介して外部デバイスから受信することによって入力された前記第2のデータを、前記第2の領域に記憶する、
    ことを特徴とする画像形成装置。
  11. 請求項9に記載する画像形成装置において、
    前記画像形成装置は、
    前記ユーザインタフェースを介する特定のユーザ操作によって認証指示を受け付けた場合、認証情報の入力を要求し、入力された前記認証情報に基づくユーザ認証を行う認証処理を実行し、
    前記ユーザインタフェースを介する前記第1のユーザ操作によって入力された前記第1のデータを、前記第1の領域に記憶し、
    前記特定の入力方法として前記ユーザインタフェースを介する前記第1のユーザ操作とは異なる第2のユーザ操作によって入力された前記第2のデータを、前記第2の領域に記憶し、前記第2のユーザ操作は、前記認証処理によって認証が成功した後に入力可能な操作であり、前記第1のユーザ操作は、前記認証処理による認証が成功していなくても入力可能な操作である、
    ことを特徴とする画像形成装置。
  12. 請求項1から請求項11のいずれか1つに記載する画像形成装置において、
    前記画像形成装置は、
    前記第1の領域の消去指示を受け付けた場合、前記第1の消去処理を実行した後、前記第1の領域を再構築する、
    ことを特徴とする画像形成装置。
JP2021062503A 2021-04-01 2021-04-01 画像形成装置 Pending JP2022157951A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021062503A JP2022157951A (ja) 2021-04-01 2021-04-01 画像形成装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021062503A JP2022157951A (ja) 2021-04-01 2021-04-01 画像形成装置

Publications (1)

Publication Number Publication Date
JP2022157951A true JP2022157951A (ja) 2022-10-14

Family

ID=83559442

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021062503A Pending JP2022157951A (ja) 2021-04-01 2021-04-01 画像形成装置

Country Status (1)

Country Link
JP (1) JP2022157951A (ja)

Similar Documents

Publication Publication Date Title
US8301908B2 (en) Data security in an information processing device
JP4991592B2 (ja) ソフトウェア改ざん検知方法、ソフトウェア改ざん検知プログラム及び機器
US7502944B2 (en) Job processing device and data management for the device
JP6399763B2 (ja) 情報処理装置、情報処理方法
US20070106902A1 (en) Image processing apparatus, image managing method, document managing apparatus, and document managing method
JP2012018501A (ja) 情報処理装置、情報処理装置の制御方法、プログラム
KR20100059450A (ko) 화상형성장치, 호스트 장치 및 작업대상 문서 암호화 방법
US20070055895A1 (en) Image processing device, recording medium, and program
JP4276183B2 (ja) 事務機器のセキュリティ管理装置、事務機器のセキュリティ管理方法および事務機器のセキュリティ管理プログラム
JP2019114028A (ja) アプリ開発用環境プログラムおよび装置
US20050201558A1 (en) Encryption apparatus and image forming apparatus
JP3766014B2 (ja) 画像形成装置のセキュリティシステム、画像形成装置のセキュリティ方法及び該方法を実行するためのプログラムを格納したコンピュータ読み取り可能な記憶媒体
JP2022157951A (ja) 画像形成装置
JP5387724B2 (ja) ソフトウェア改ざん検知方法、ソフトウェア改ざん検知プログラム及び機器
JP2022157950A (ja) 画像形成装置
JP2006293833A (ja) 画像処理装置及び画像処理方法並びにプログラム
JP2005092608A (ja) データ保護装置およびデータ保護方法
JP2009026038A (ja) 情報処理装置、プログラムおよび記録媒体
JP2009064168A (ja) 情報処理装置、情報処理装置の制御方法、記憶媒体及びプログラム
JP2012066508A (ja) プリンタ装置
JP4483996B2 (ja) ジョブ処理装置及び該装置の制御方法及び制御プログラム
JP2018097888A (ja) 画像形成装置、及び画像形成装置の制御方法
JP4434310B2 (ja) ジョブ処理装置及び該装置の制御方法及び制御プログラム
JP6188469B2 (ja) プリントシステム及びその制御方法
JP2007166387A (ja) 印刷データファイル生成装置及び印刷装置