JP3814655B1 - ファイル管理システム,情報処理装置およびファイル管理プログラム - Google Patents

ファイル管理システム,情報処理装置およびファイル管理プログラム Download PDF

Info

Publication number
JP3814655B1
JP3814655B1 JP2005216668A JP2005216668A JP3814655B1 JP 3814655 B1 JP3814655 B1 JP 3814655B1 JP 2005216668 A JP2005216668 A JP 2005216668A JP 2005216668 A JP2005216668 A JP 2005216668A JP 3814655 B1 JP3814655 B1 JP 3814655B1
Authority
JP
Japan
Prior art keywords
file
personal information
character
determination
electronic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005216668A
Other languages
English (en)
Other versions
JP2007034651A (ja
Inventor
邦夫 飯島
Original Assignee
クオリティ株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by クオリティ株式会社 filed Critical クオリティ株式会社
Priority to JP2005216668A priority Critical patent/JP3814655B1/ja
Application granted granted Critical
Publication of JP3814655B1 publication Critical patent/JP3814655B1/ja
Publication of JP2007034651A publication Critical patent/JP2007034651A/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】個人情報や機密情報を含むファイルが、万人が参照可能な状態で各端末から外部へ持ち出されたり送信されたりするのを抑止できるようにして、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止する。
【解決手段】書出/送信手段11,12によって書出/送信されるべき電子ファイルが管理対象ファイルであるか否かを判定する判定手段13と、当該電子ファイルが管理対象ファイルであると判定された場合に当該電子ファイルを書出/送信するのを禁止する禁止手段14と、当該電子ファイルが管理対象ファイルであり書出/送信できない旨を利用者端末10に通知する利用者通知手段15とをそなえて構成する。
【選択図】図1

Description

本発明は、パーソナルコンピュータ等の情報処理装置(利用者端末,サーバ等)に保有される、個人情報や機密情報などを含むファイルを管理する技術に関し、特に、そのファイルの、情報処理装置から外部媒体(例えばフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスク,メモリカード,USBメモリ,外付けハードディスク等の記録媒体や、他の情報処理装置における記憶部)への書出/送信を管理する技術に関する。
近年、個人情報の保護の意識の高まりに伴い、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することが望まれている。特に、個人情報保護法の施行に伴って、個人情報取扱事業者は、個人情報の流出・漏洩や不正利用をより確実に防止する必要が生じている。ここで、個人情報とは、単体もしくは組合せによって特定の個人を識別することのできる情報で、例えば氏名,生年月日,連絡先(住所,居所,電話番号,電子メールアドレス等)などが含まれる。各種企業内で保存されて取り扱われる顧客情報,取引先情報などが個人情報に該当する場合が多い。
このような個人情報は、当然、企業にとっては秘匿性の高い機密情報に該当するが、企業にとっての機密情報としては、個人情報のほかにも、発表前の新製品,特許出願前の技術,経営戦略などに係る情報が該当する。なお、システム監査学会によれば、機密情報とは、情報資産の中で、許可した者以外に開示したり、目的外に利用された場合、経営資源としての価値を損なうおそれのある情報と定義されている。
上述のような個人情報や機密情報の流出・漏洩や不正利用を確実に防止するためには、集中管理システムを導入し、これらの個人情報や機密情報を一元的に管理することが望ましい。しかしながら、現実には、企業内において、顧客情報,取引先情報などの個人情報は、社員個人によって利用される複数の利用者端末〔パーソナルコンピュータ(以下、PCと略記する場合がある)〕や各部署のサーバに、ばらばらに分散して保存されている場合が多い。より具体的には、個々の社員が各自の業務都合で自分のPCに個人情報(顧客情報等)を保存していたり、中央データベース、あるいは、各社員によって独自に収集された個人情報のサブセットがPCにまちまちに存在していたりする。
このため、上記集中管理システムを構築する場合、管理者は、まず最初に、企業内にばらばらに存在する個人情報や機密情報の洗い出しを行ない、企業内のどこにどのような個人情報や機密情報が存在しているかを把握する必要があるが、個人情報や機密情報の洗い出しは、管理者が各社員に指示し人間対人間で全社・全部門の人的な協力を得て行なわれることになる。
なお、例えば下記特許文献1においては、個人情報保護法の施行に伴い、個人情報の流出・漏洩や不正利用を防止する個人情報保護サービスを提供するための技術「個人情報保護サービス事業の処理方法および装置」が提案・開示されている。この特許文献1では、個人情報を不適切に取得した企業を特定して警告することができ、且つ、適正に取得した企業から個人情報が不正に流出することを防止できるようにするための技術が開示されているが、上述のごとく企業内で個人情報が分散して存在している場合の対処については開示されていない。
特開2002−183367号公報
上述のごとく各社員からの申告といった人的な協力のもとで個人情報や機密情報の洗い出しを行なうと、手間がかかるだけでなく全ての個人情報や機密情報を確実に漏れなく洗い出すのは困難になる。特に、個人情報や機密情報の分散化が進んでいると、個人情報や機密情報の洗い出しは極めて困難になる。また、個人情報や機密情報の洗い出しに漏れがあると、その個人情報や機密情報の状態を管理できず、不用意な流出・漏洩や不正利用を招くおそれもある。
本発明は、このような状況に鑑み創案されたもので、個人情報や機密情報が企業内の複数のPCやサーバに分散して保存されていても、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、個人情報や機密情報を含むファイルが、万人が参照可能な状態で各端末から外部へ持ち出されたり送信されたりするのを抑止できるようにして、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止することを目的としている。
上記目的を達成するために、本発明のファイル管理システム(請求項1)は、少なくとも、電子ファイルを含むデータを保持する記憶部、および、該記憶部に保持されている電子ファイルを外部媒体へ書出もしくは送信する書出/送信手段を有する利用者端末と、該書出/送信手段によって書出もしくは送信されるべき電子ファイルが、特定の個人を識別可能な個人情報要素を所定数以上保有しているという条件を満たす個人情報ファイルであるか否かを判定する判定手段と、該判定手段により当該電子ファイルが個人情報ファイルであると判定された場合に、当該電子ファイルを書出もしくは送信するのを禁止する禁止手段と、該判定手段により当該電子ファイルが個人情報ファイルであると判定された場合に、当該電子ファイルが個人情報ファイルであり書出もしくは送信できない旨を該利用者端末に通知する利用者通知手段とをそなえて構成され、該判定手段が、当該電子ファイルに含まれるテキストデータを抽出する抽出手段と、該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該電子ファイルが個人情報ファイルであるか否かを判定する第2判定手段とをそなえて構成されていることを特徴としている。
このようなファイル管理システムにおいて、該判定手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該利用者端末が、個人情報ファイルである当該電子ファイルを書出もしくは送信しようとしたことを管理者に通知する管理者通知手段をそなえてもよい(請求項2)。
また、該判定手段,該禁止手段,該利用者通知手段および該管理者通知手段としての機能は、該利用者端末にそなえてもよく(請求項3)、その際、該利用者端末と通信可能に接続されたファイル管理サーバをそなえ、該ファイル管理サーバが、該判定手段としてコンピュータを機能させるプログラムを該利用者端末にインストールするインストール手段
をそなえて構成されるとともに、該利用者端末における該判定手段としての機能を、該ファイル管理サーバによって該利用者端末にインストールされた該プログラムを実行することで実現するように構成してもよい(請求項4)。さらに、該ファイル管理サーバのインストール手段が、該ファイル管理サーバを含むネットワークに該プログラムをインストールされていない利用者端末が接続されたことを検知すると、当該利用者端末に該プログラムをインストールし、該プログラムを当該利用者端末に実行させて個人情報ファイルの有無を判定させるように構成してもよい(請求項5)。
さらに、該利用者端末において、該判定手段により予め該記憶部の全ての電子ファイルについて個人情報ファイルであるか否かの判定を行なって個人情報ファイルのファイル名を保持しておき、該書出/送信手段によって書出もしくは送信されるべき電子ファイルが個人情報ファイルであるか否かを該判定手段が判定する際、判定対象の電子ファイルのファイル名が既に保持されている場合には、該判定手段による判定を行なうことなく該禁止手段により当該電子ファイルを書出もしくは送信するのを禁止する一方、判定対象の電子ファイルのファイル名が保持されていない場合には、該判定手段による判定を行なうように構成してもよい(請求項9)。
一方、本発明の情報処理装置(請求項)は、上述したファイル管理システムにおいて利用者端末として用いられるもので、上述した記憶部,書出/送信手段,判定手段,禁止手段および利用者通知手段をそなえて構成されており、また上述した管理者通知手段をそなえて構成されていてもよいし(請求項)、さらに、該判定手段によって個人情報ファイルであると判定された電子ファイルを、コンテナ機能を有する完成文書ファイルに変換し、該コンテナ機能を用いて当該完成文書ファイルに当該電子ファイルを格納してから、当該完成文書ファイルを、ファイルアクセス管理サーバによって管理される所定の暗号鍵で暗号化して暗号化ファイルを作成する暗号化手段をそなえて構成されていてもよい(請求項10)。また、該判定手段により予め該記憶部の全ての電子ファイルについて個人情報ファイルであるか否かの判定を行なって個人情報ファイルのファイル名を保持しておき、該書出/送信手段によって書出もしくは送信されるべき電子ファイルが個人情報ファイルであるか否かを該判定手段が判定する際、判定対象の電子ファイルのファイル名が既に保持されている場合には、該判定手段による判定を行なうことなく該禁止手段により当該電子ファイルを書出もしくは送信するのを禁止する一方、判定対象の電子ファイルのファイル名が保持されていない場合には、該判定手段による判定を行なうように構成されていてもよい(請求項1)。
そして、本発明のファイル管理プログラム(請求項1〜15)は、いずれも、利用者によって指定された電子ファイルを外部媒体へ書出もしくは送信する書出/送信手段書を有する情報処理装置としてのコンピュータにファイル管理機能を実現させるものであって、それぞれ、上述した情報処理装置(請求項〜1)としての機能を実現させるものである。
上述した本発明によれば、書出/送信手段によって外部媒体へ書出もしくは送信されるべき電子ファイルが個人情報ファイルであると判定されると、その電子ファイルの書出/送信が禁止されるとともに、その電子ファイルが個人情報ファイルであって書出/送信できない旨が利用者端末(利用者)に通知されるほか、その利用者端末が個人情報ファイルである電子ファイルを書出/送信しようとしたことが管理者に通知される。これにより、個人情報が複数の利用者端末に分散して保存されていても、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、各端末において個人情報を含む電子ファイルが外部媒体に書出/送信されるのを禁止でき、その電子ファイルが外部へ持ち出されたり送信されたりするのを抑止でき、個人情報の不用意な流出・漏洩や不正利用などを確実に防止することができる。
このとき、個人情報ファイルの書出/送信を禁止するだけでなく個人情報ファイルの書出/送信について利用者や管理者に対し通知されるため、利用者に警告を発し個人情報ファイルの書出/送信が禁止行為であることを認識させることができるほか、利用者端末において利用者が禁止行為である個人情報ファイルの書出/送信を実行しようとして禁止されたことを管理者に認識させることができる。これにより、利用者による禁止行為を確実に管理できるとともに、禁止行為について利用者を教育することができる。
また、個人情報ファイルの判定を行なう判定手段としての機能をもたない利用者端末が
ネットワークに接続されると、ファイル管理サーバにより、上記判定手段としての機能を実現するためのプログラムがインストールされ、上記判定手段としての機能が強制的に利用者端末に導入され、さらに、その判定手段により利用者端末における個人情報ファイルの有無が判定されるので、新たな利用者端末等がネットワークに接続された場合でも、その利用者端末における個人情報ファイルを確実に探査して洗い出して管理可能な状態に置くことが可能になり、個人情報の不用意な流出・漏洩や、個人情報の不正利用などを確実に防止することができる。
本発明のファイル管理システムにおいては、判定手段,禁止手段,利用者通知手段および管理者通知手段としての機能を、利用者端末と通信可能に接続されたファイル管理サーバにそなえて構成してもよく、この場合、利用者端末から書出/送信されるべき電子ファイルが、一旦、ファイル管理サーバに吸い上げられ、その電子ファイルについて各手段による処理が施されることになる。これにより、利用者が、利用者端末における、メモリ容量や、他プログラムとの相性の問題などの理由で、上記の各手段を実現するためのプログラムの非常駐を要望する場合、その要望に対応することができ、利便性が高められる。
また、特定の個人を識別可能な個人情報要素を所定数以上保有している電子ファイルを個人情報ファイルとする場合、本発明の判定手段では、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。
従って、電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についてのみ不適切文字/不適切文字列との照合処理が行なわれ、さらに、不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探査処理を高速に行なうことが可能になる。
また、不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まない電子ファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高い電子ファイルを確実に探査することが可能になる。つまり、本発明の判定手段により個人情報ファイルであると判定される電子ファイルの数が多くなり、個人情報ファイルである可能性の高い電子ファイル(疑わしい電子ファイル)を確実に洗い出すことができる。
さらに、文字区間の文字数が所定範囲内であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合対象としているので、照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が所定範囲を超える長い文字区間が、照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探査処理のさらなる高速化に寄与することになる。
本発明の判定手段による上述のごとき判定手法によって、電子ファイルの書出や送信が行なわれる都度、リアルタイムで、個人情報ファイルを自動的に特定して探査することができるので、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイル(個人情報ファイルである可能性の高い電子ファイル)を確実に探査して洗い出し、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
そして、ファイル管理サーバの管理手段により、第2判定手段で得られた計数結果(判定値レベル)に応じて、個人情報ファイルであると判定された電子ファイルの管理を行なうことにより、個人情報ファイル毎に、判定値レベル(個人情報ファイルである可能性の高さ/個人情報要素数の多さ)に応じた管理手法を選択して実行することができるほか、企業内などにおいて多数の端末が存在し個人情報ファイルが分散して保存されていても、これらの個人情報ファイルを一元的に管理することができ、個人情報ファイルを集中管理するシステムを容易に構築して導入することが可能になる。
一方、本発明では、個人情報ファイルを、利用者端末もしくはファイルアクセス管理サーバにおいて暗号化ファイル(個人情報ファイルを完成文書ファイルに変換しこの完成文書ファイルに当該個人情報ファイルを格納してから当該完成文書ファイルを所定の暗号鍵で暗号化したもの)に変換し、このような暗号化ファイルについては、禁止手段による禁止動作を抑止し、外部媒体への書出/送信を可能にすることにより、各端末において個人情報を含む電子ファイルについては暗号化ファイルに変換された上で外部媒体へ書出/送信されるので、そのファイルが、万人が参照可能な状態で各端末から外部へ持ち出されるのを抑止でき、個人情報の不用意な流出・漏洩や不正利用などを確実に防止することができる。
このとき、暗号化ファイルの正当な利用者については、ファイルアクセス管理サーバにより正当な利用者であることを認証されれば、ファイルアクセス管理サーバから受信した復号鍵で暗号化ファイルを復号し、暗号化ファイルの内容に対するアクセスが可能になるが、その他の利用者は、暗号化ファイルを復号することができず、その内容に対するアクセスを行なうことは不可能になっている。つまり、個人情報ファイルは、正当な利用者のみがアクセス可能な暗号化ファイルに変換された上で外部媒体に書出/送信されるので、上述のごとく個人情報の不用意な流出・漏洩や不正利用などを確実に防止しながら、正当
な利用者のアクセスは可能になるので、正当な利用者についての利便性を損なうことがない。
なお、このとき、個人情報ファイルのオリジナルは完全文書ファイルに格納されて暗号化されることになるので、その個人情報ファイルのオリジナルは、そのままの状態、即ち利用者端末において万人が参照可能な状態で残ることがないので、個人情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
また、利用者端末において、判定手段により予め記憶部の全ての電子ファイルについて個人情報ファイルであるか否かの判定を行なって個人情報ファイルのファイル名を保持しておき、書出/送信対象の電子ファイルが個人情報ファイルであるか否かを判定する際には、まず対象電子ファイルのファイル名が既に保持されているか否かを判断し、保持されていれば、その電子ファイルは個人情報ファイルであると判断し判定手段による判定を行なうことなく当該電子ファイルの書出/送信を禁止する一方、保持されていなければ、判定手段による判定を行なう。
これにより、既に個人情報ファイルであると判定された電子ファイルについては、無駄な判定処理を行なうことなく書出/送信の禁止を直ちに行なえる。また、個人情報ファイルであるか否かの判定を行なっていない電子ファイル(新規作成ファイルや外部から取り込んだファイル)のみを対象にして判定が行なわれるので、各端末において新たに作成・追加された個人情報ファイルを、極めて効率よく確実に探査することができる。
以下、図面を参照して本発明の実施の形態を説明する。
〔1〕本実施形態の個人情報管理システムの構成
図1は本発明の第1実施形態としての個人情報管理システム(ファイル管理システム)の構成を示すブロック図であり、この図1に示すように、本実施形態の個人情報管理システム(ファイル管理システム)1は、複数の利用者端末10のほかに個人情報管理サーバ20,ファイルアクセス管理サーバ30および管理者端末40をそなえて構成され、これらの端末10,40およびサーバ20,30がネットワーク〔例えば、社内LAN(Local Area Network)〕50を介して相互に通信可能に接続されている。
各利用者端末10は、企業等の社内において各社員(利用者)によって使用されるパーソナルコンピュータ(PC)等の端末装置によって構成され、図2(もしくは図10)および図3を参照しながら後述するような機能構成を有している。なお、本実施形態における各利用者端末10は、個人情報ファイルの判定を含む各種機能(後述)を実現するためのプログラム(後述)を、後述するごとく個人情報管理サーバ20からインストールされて常駐させているものとする。
個人情報管理サーバ(ファイル管理サーバ)20は、複数の利用者端末10,ファイルアクセス管理サーバ30および管理者端末40とネットワーク50を介して相互に通信可能に接続され、各利用者端末10における個人情報ファイルを管理対象ファイルとして管理するもので、図4を参照しながら後述するような機能構成を有している。
本実施形態における管理対象ファイルとしての個人情報ファイルは、特定の個人を識別可能な個人情報要素を所定数以上保有していることを所定条件として、図2および図3を参照しながら後述するごとく判定手段13によって判定・探査されるものであり、個人情報は、前述した通り、単体もしくは組合せによって特定の個人を識別することのできる情報(各種個人情報要素)、例えば氏名,生年月日,連絡先(住所,居所,電話番号,メールアドレス)などを含むものである。なお、個人情報としては、これら以外に、役職名,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号なども挙げられる。
ファイルアクセス管理サーバ30は、複数の利用者端末10,個人情報管理サーバ20および管理者端末40とネットワーク50を介して相互に通信可能に接続され、管理対象ファイルである電子ファイル(本実施形態では個人情報ファイル)に対するアクセスを管理するもので、図5(もしくは図11)を参照しながら後述するような機能構成を有している。
なお、管理者端末40は、ネットワーク50に複数の利用者端末10,個人情報管理サーバ20およびファイルアクセス管理サーバ30を接続することによって構成されるシステム全体(個人情報管理システム1の全体)を管理するシステム管理者が使用する端末である。
〔1−1〕本実施形態の利用者端末の機能構成
図2は本実施形態の利用者端末10の機能構成を示すブロック図で、この図2に示すように、本実施形態の利用者端末10は、各種処理を実行するCPU(Central Processin Unit)10aと、個人情報ファイル等の電子ファイルを含むデータを保持しうる記憶部10bとをそなえるほか、個人情報管理サーバ20から提供される検疫テーブル10cや、記憶部10bに保持される電子ファイルのPマーク(プライバシレベルマーク;個人情報ファイルである可能性の高さを示すレベルで、後述する判定値によって決定されるレベル)を保持するPマークテーブル10dをそなえて構成され、CPU10aを後述する各種手段13〜18として機能させるためのプログラム(ファイル管理プログラム)を、個人情報管理サーバ20からインストールされている。
ここで、記憶部10bは、利用者端末10に内蔵されるハードディスクや、利用者端末10に接続・外付けされる記憶装置、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど),磁気ディスク,光ディスク,光磁気ディスクのほかICカード,ROMカートリッジ,磁気テープなどの記録媒体を用いる記憶装置である。なお、上述した検疫テーブル10cおよびPマークテーブル10dは、利用者端末10を構成するRAM(Random Access Memory)やハードディスク等に保持されてもよいし、記憶部10bに保持されてもよい。
CPU10aは、書出手段11,送受信手段12,判定手段13,禁止手段14,利用者通知手段15,管理者通知手段16,管理手段17および暗号化手段18としての機能を果たすもので、これらの機能のうち書出手段11および送受信手段12としての機能はPC等の端末等に元々そなえられたものであり、手段13〜18としての機能は、CPU10aが、後述するごとく個人情報管理サーバ20からインストールされたプログラムを実行することによって実現されるものとする。
書出手段(書出/送信手段)11は、利用者によって指定された電子ファイルを記憶部10bから読み出して外部媒体60へ書き出すものである。本実施形態における外部媒体60としては、例えば、フレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスク,メモリカード,USBメモリ,外付けハードディスク等の各種記憶媒体が挙げられる。
送受信手段(書出/送信手段)12は、ネットワーク50を介して個人情報管理サーバ20,ファイルアクセス管理サーバ30,管理者端末40や他の利用者端末10との間で各種情報を送受信するもので、利用者によって指定された電子ファイルを記憶部10bから読み出しメールに添付するなどして他の端末10,40(外部媒体)へ送信する送信手段として機能するほか、判定手段13による判定結果を個人情報管理サーバ20や管理者端末40へ送信する機能も果たすものである。
判定手段13は、書出手段11によって書き出されるべき電子ファイル、もしくは、送受信手段12によって送信されるべき電子ファイルが、上記所定条件を満たす個人情報ファイル(管理対象ファイル)であるか否かを判定するもので、上述のごとく書出/送信されるべき電子ファイル(判定対象電子ファイル)をテキストファイルにするテキスト抽出エンジンとして機能するとともに、検疫テーブル10cを用いて記憶部10bにおける判定対象電子ファイルが個人情報ファイルであるか否かを判定する判定エンジンとして機能するものである。
つまり、判定手段13は、個人情報管理サーバ20から指示された条件(検疫テーブル10c)に従って判定対象電子ファイルを参照して個人情報ファイルの判定を行ない、個人情報ファイルであると判定されたファイルをログ(ローカルキャッシュデータベース)に書き出すようになっている。また、本実施形態では、この判定手段13で得られた判定結果(判定値/計数値)に基づいて決定されたPマークがPマークテーブル10dに登録される。この判定手段13の機能構成の詳細については、図3を参照しながら後述する。なお、判定手段13による判定結果(判定値/計数値)やPマークは、送受信手段12およびネットワーク50を通じて個人情報管理サーバ20や管理者端末40に通知されるようになっている。
禁止手段14は、判定手段13により判定対象電子ファイルが個人情報ファイルであると判定された場合に、その判定対象電子ファイルが、外部媒体60に書き出されたり他端末へ送信されるのを禁止するものである。なお、書出/送信されるべき電子ファイルが、判定手段13により個人情報ファイルであると判定されたものであるが、後述するごとく暗号化手段18によって暗号化ファイルに変換された場合には、禁止手段14による禁止動作は抑止され、書出手段11や送受信手段12が判定対象ファイル(暗号化ファイル)を外部媒体60へ書き出したり他端末へ送信することができるようになっている。
利用者通知手段15は、判定手段13により判定対象電子ファイルが個人情報ファイルであると判定された場合に、判定対象ファイルが個人情報ファイルであり書出もしくは送信することができない旨を利用者に通知するもので、利用者端末10を成すディスプレイ(図示省略)上でポップアップ表示を行なったり、ブザー音や音声メッセージをスピーカから発したりすることによって、アラート(警告)通知を利用者に対して行なうようになっている。
管理者通知手段16は、判定手段13により判定対象電子ファイルが個人情報ファイルであると判定された場合に、利用者端末10が、個人情報ファイルである電子ファイルを書出もしくは送信しようとしたことを、電子メール等により、送受信手段12およびネットワーク50を通じて管理者端末40に通知するものである。
管理手段17は、判定手段13による判定結果(判定値/計数値)やPマークに応じて、図4を参照しながら後述する、個人情報管理サーバ20の管理手段25と同様の機能を果たすもので、その機能については管理手段25の機能として後述する。
暗号化手段18は、判定手段13によって個人情報ファイルであると判定された電子ファイルを、コンテナ機能を有する完成文書ファイル〔ここでは、改竄操作の困難なPDF(Portable Document Format)ファイル〕に変換し、さらに、前記コンテナ機能を用いて当該PDFファイルに当該電子ファイルのオリジナルファイルを格納してから、当該PDFファイルを、後述するファイルアクセス管理サーバ30によって管理される所定の暗号鍵(実際にはファイルアクセス管理サーバ30から受信したもの)で暗号化して暗号化ファイルを作成するものである。なお、PDFファイルへの変換は例えばPDFドライバによって行なわれ、このPDFドライバを起動することにより、電子ファイルがPDF化され、PDFファイルファイルが生成されるようになっている。
また、暗号化動作と併せて、当該暗号化ファイルにアクセスする利用者(ユーザ)について、当該暗号化ファイルへのアクセス権限(例えば、閲覧,注釈,印刷,コピーのほか、格納されたオリジナルファイルの取出しや、取り出されたファイルの編集,添付などのアクセスの中から選択されたものを実行する権限)の設定が、暗号化手段18からファイルアクセス管理サーバ30に対して自動的に行なわれるものとする。ここでは、例えば、必要最小限のアクセス権限(例えば閲覧権)のみを設定するようにする。
〔1−2〕本実施形態の判定手段の詳細な機能構成
図3は本実施形態の利用者端末10における判定手段13の詳細な機能構成を示すブロック図で、この図3に示すように、本実施形態の判定手段13は、抽出手段131,切出手段132,第1判定手段133,文字判定手段134,照合手段135および第2判定手段136としての機能を有しており、これらの機能も、CPU10aが、後述するごとく個人情報管理サーバ20からインストールされたプログラムを実行することによって実現される。
抽出手段131は、書出/送信されるべき電子ファイル(判定対象電子ファイル)のテキストデータ〔例えばCSV(Comma Separated Value)形式のデータ〕を抽出するもので、前記テキスト抽出エンジンとして機能するものである。
切出手段132は、抽出手段131によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出して、判定対象/照合対象としてバッファ(図示省略)に順次書き出すものである。ここで、区切り文字は、例えば半角スペース,半角カンマ(半角カンマ+半角スペースも半角カンマと見なす),タブ文字(半角),CR(Carrige Return),LF(Line Feed)である。
また、切出手段132によって切り出される文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。本実施形態では、切出手段132が、上述のような記号文字を除去する機能を有しているものとする。
第1判定手段133は、切出手段132によって切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、氏名以外の個人情報要素(具体的に本実施形態では電話番号,電子メールアドレス,住所のうちのいずれか一つ)に該当するか否かを判定すべく、電話番号判定手段133a,電子メールアドレス判定手段133bおよび住所判定手段133cとしての機能をそなえている。なお、本実施形態の第1判定手段133では、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で、上記文字列の判定処理を行なっている。
電話番号判定手段133aは、上記文字列が電話番号に該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている電話番号判定条件を満たす場合、上記文字列が電話番号に該当するものと判定し、その旨を第2判定手段136に通知し、上記文字列に対する第1判定手段133による判定処理を終了させるものである。本実施形態において、電話番号判定条件は、上記文字列中に9〜15桁の数字が含まれていることとする。
電子メールアドレス判定手段133bは、電話番号判定手段133aによって上記文字列が電話番号に該当しないと判定された場合に、上記文字列が電話メールアドレスに該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている電子メールアドレス判定条件を満たす場合、上記文字列が電子メールアドレスに該当するものと判定し、その旨を第2判定手段136に通知し、上記文字列に対する第1判定手段133による判定処理を終了させるものである。本実施形態において、電子メールアドレス判定条件は、上記文字列中に「一文字以上のASCII(American Standard Code for Information Interchange)」+「@(アットマーク)」+「一文字以上のASCII」+「.(ドット)」+「一文字以上のASCII」となる文字列が含まれていることとする。この場合、最短の電子メールアドレスは例えば「a@a.a」となる。
住所判定手段133cは、電子メールアドレス判定手段133bによって上記文字列が電子メールアドレスに該当しないと判定された場合に、上記文字列が住所(居所)に該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている住所判定条件を満たす場合、上記文字列が住所に該当するものと判定し、その旨を第2判定手段136に通知するものである。本実施形態において、住所判定条件は、上記文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていることとする。このとき、CPU10aの演算処理能力が十分に高い場合には、上記文字列に加え、郵便番号に対応する7桁の数字が含まれていることを住所判定条件に加えてもよい。また、住所判定条件は、上述した条件に代え、上記文字列中に、郵便番号に対応する7桁ちょうどの数字列が含まれていること、あるいは、「3桁の数字列」+「−(ハイフン)」+「4桁の数字列」となる数字列が含まれていることとしてもよい。
文字判定手段134は、第1判定手段133によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合に、その文字列が、検疫テーブル10cに設定されている文字判定条件を満たすか否か、具体的には、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であるか否かを判定するものである。本実施形態において、文字判定条件は、上述したように、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であることであるが、ここで、上記所定範囲は、氏名(苗字だけの場合や名前だけの場合を含む)の文字数として一般的(適切)な数の範囲、例えば1以上6以下に設定される。
照合手段135は、第1判定手段133によって電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された文字区間であって、さらに文字判定手段134によって上記所定範囲内であり且つ全ての文字が漢字であると判定された文字区間について、当該文字区間に含まれる文字/文字列と氏名において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列とを照合することにより、当該文字区間が不適切文字/不適切文字列を含むか否かを判定し、その照合判定結果を第2判定手段136に通知するものである。
ここで、不適切文字/不適切文字列は、検疫テーブル10cに予め設定されており、例えば、東京,大阪,横浜,九州,北海道,京都,首都,個人,学園,店,株,県,大学,学院,東証,研究,管理,総務,経理,営業,統括,製薬,販売,学校,教育,専門,建築,機械,法人,工場,製,技術,商,図書,不明,次長,公開,出版,広告,放送,対象,卸売,小売,企画,人事,情報,部門,社長,取締,部長,課長,係長,役員,本社,支社,事業,業務,教務,精密,石油,運輸,経営,戦略,資材,技師,電気,生産,税務,広報,運送,主任,電算,財務,事務,開発,政策,制作,経済,産業,金融,銀行,調査,英語,品質,保証,設備,担当,***,主事,監査,支援,設計,保険,金庫,事業,代表,交通,第一,第二,第三,第四,第五,第六,第七,第八,第九,特販,施設,氏名,郵便,名前,名称,市役,所属,特色,幼稚,基督,協会,教会,組合,教団,商工,全国,支部,連絡,議会,生活,消費,推進,市役所,区役所,総合,修正,機能,概要,構成,企業,組織,関連,削除,文書,期限,有効といった、一般的な氏名において出現し得ない文字/文字列、つまり氏名としては不適切な文字/文字列である。
第2判定手段136は、第1判定手段133における電話番号判定手段113a,電子メールアドレス判定手段133bおよび住所判定手段133cによる判定結果と照合手段135による照合判定結果とに基づいて、判定対象電子ファイルが個人情報ファイルであるか否かを判定するものである。
より具体的に説明すると、第2判定手段136は、電話番号判定手段133a,電子メールアドレス判定手段133bおよび住所判定手段133cからの判定結果の通知を受け電話番号,電子メールアドレス,住所のそれぞれに該当すると見なされた文字区間の数を計数するとともに、照合手段135からの照合判定結果を受け、照合手段135によって不適切文字/不適切文字列を含まないと判定された文字区間を氏名に該当するものと見なし、その数を計数する。
そして、第2判定手段136は、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数結果(4つの計数値;電話番号数,電子メールアドレス数,住所数,氏名数)に基づいて、これらの計数値が大きくなるほど大きくなる判定値を算出する。例えば、第2判定手段136は、4つの計数値の総和を上記判定値として算出してもよいし、電話番号,電子メールアドレス,住所,氏名のそれぞれについて重み係数を予め設定しておき、各個人情報要素についての重み係数と計数値との乗算結果の総和を上記判定値として算出してもよく、上記判定値の算出手法は種々考えられる。
上述のような判定値が算出されると、第2判定手段136は、その判定値に基づいて、判定対象ファイルが個人情報ファイルであるか否かを判定する。具体的には、前記判定値が所定閾値を超えた場合に判定対象ファイルが個人情報ファイルであると判定する。このような判定を行なう際に、第2判定手段136は、さらに、判定値の大きさに応じたPマーク(プライベートレベルマーク)を、判定対象ファイルに付与して、Pマークテーブル10dに設定・登録し、ランク付けを行なう。このPマークは、前述した通り、判定対象ファイルが個人情報ファイルである可能性の高さを示すレベルであり、判定値が大きいほどPマークは高いランクに設定される。
例えば、前記判定値が10以上となった場合、判定対象ファイルが個人情報ファイルであると判定する。また、前記判定値が10以上100未満である場合、Pマークとして“P1”を付与し、前記判定値が100以上1000未満である場合、Pマークとして“P2”を付与し、前記判定値が1000以上10000未満である場合、Pマークとして“P3”を付与し、前記判定値が10000以上である場合、Pマークとして“P4”を付与する。なお、個人情報ファイルを判定するための所定閾値やPマークを決定するための基準値は、個人情報管理サーバ20(後述する管理コンソール24)から適宜設定される。また、ここではPマークを“P1”〜“P4”の4つにランク分けしているが、ランク分けの数はこれに限定されるものではない。さらに、上記の所定閾値や基準値としては、全ての利用者端末10に対し共通(同一)のものを設定してもよいし、利用者端末10毎や、本システム1を導入する施設(会社)毎に異なるものを設定してもよい。
上述のように判定対象ファイルに付与されたPマーク(Pマークテーブル10d)は、送受信手段12およびネットワーク50を介して個人情報管理サーバ20へ送信され、図4を参照しながら後述するごとく、収集手段23によりデータベース20bに保存される。そして、Pマークを付与された電子ファイル(個人情報ファイル)は、そのPマークのランクに応じて、管理手段17や個人情報管理サーバ20(後述する管理手段25)により管理対象ファイルとして後述するごとく管理される。
〔1−3〕本実施形態の個人情報管理サーバの機能構成
図4は本実施形態の個人情報管理サーバの機能構成を示すブロック図で、この図4に示すように、個人情報管理サーバ(ファイル管理サーバ)20は、各種処理を実行するCPU20aと、各利用者端末10からのログ情報や個人情報ファイルなどを格納・保存するデータベース(RDB:Relational DataBase)20bと、このデータベース20bに保存されたログ情報や個人情報を含む各種情報を表示する表示部20cとをそなえて構成されている。
CPU20aは、利用者情報収集手段21,インストール手段22,収集手段23,管理コンソール24,管理手段25,表示制御手段26および送受信手段27としての機能を果たすもので、これらの機能は、CPU20aが、個人情報管理サーバ用プログラム(利用者端末10にインストールすべきファイル管理プログラムを含む)を実行することによって実現される。
利用者情報収集手段21は、利用者端末10がネットワーク50に接続されたことを検知した時に、ネットワーク50および送受信手段27を介して通信可能に接続された利用者端末10からMACアドレス等の利用者情報(ホスト情報)を収集し、当該利用者端末10に上記ファイル管理プログラムがインストールされているか否かを認識するものである。
インストール手段22は、ネットワーク50に上記ファイル管理プログラムをインストールされていない利用者端末10が接続されたことを利用者情報収集手段21によって収集された情報に基づいて検知すると、送受信手段27およびネットワーク50を介して当該利用者端末10に上記ファイル管理プログラムをインストールし、上記ファイル管理プログラムを当該利用者端末10に実行させて管理対象ファイルの有無を判定させるものである。
収集手段23は、ネットワーク50および送受信手段27を介して、利用者端末10で実行された個人情報ファイルの判定結果(個人情報ファイルのリンク先情報,判定値,Pマークなど)を受信・収集し、データベース20bに格納する機能を果たすものである。
管理コンソール24は、個人情報ファイルの判定条件(上記検疫テーブル10cや、個人情報ファイルやPマークを判定するために必要になる所定閾値など)を設定して管理するものである。検疫テーブル10cには、上述した電話番号判定条件,電子メールアドレス判定条件,住所判定条件,文字判定条件(上記所定範囲)や不適切文字/不適切文字列が設定される。
管理手段25は、収集手段23によって収集されデータベース20bに格納された探査結果(第2判定手段で得られた計数結果)に応じて、各利用者端末10における個人情報ファイルを管理するもので、判定手段13で個人情報ファイルであると判定された電子ファイル(Pマークの付与された電子ファイル;以下、個人情報ファイルという)を管理対象としている。
この管理手段25は、データベース20bに保存されているPマークテーブルに登録されている個人情報ファイルの判定値(またはPマーク)に応じて、個人情報ファイルの利用者(保有者)に注意情報/警告情報を通知したり、個人情報ファイルを、その個人情報ファイルを保存している利用者端末10から強制的に捕獲・回収したり、その個人情報ファイルが利用者端末10から外部へ出力されるのを強制的に禁止したり、その個人情報ファイルを管理者のみがアクセス可能なフォルダ(図示略)に格納したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させたりするものである。
例えば、Pマークのランクが“P1”である場合、警告情報によるリコメンドは行なわないが“P1”の個人情報ファイルが存在することをログとして記録する。Pマークのランクが“P2”である場合、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報を通知する。Pマークのランクが“P3”である場合、その個人情報ファイルを保管している利用者が存在する旨を、システム管理者(管理者端末40)に対し警告情報としてメール等により通知するとともに、その個人情報ファイルの返却を利用者に指示する。Pマークのランクが“P4”である場合、その個人情報ファイルを利用者端末10から強制的に捕獲・回収したり、個人情報ファイルが利用者端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させたりする。なお、Pマークのランクが“P4”でなくても、“P3”の個人情報ファイルが所定日数放置された場合には、その個人情報ファイルに対して、Pマークのランクが“P4”である場合と同様の処置を実行するようにしてもよい。
また、管理手段25は、各利用者端末10もしくはデータベース20bに格納された個人情報ファイルを種々の確度で探査する機能や、表示制御手段26によってその探査結果等を表示部20cに表示させる機能を有している。
表示制御手段26は、表示部20cに各種情報を表示させるべく表示部20cの表示状態を制御するものであり、送受信手段27は、ネットワーク50を介して各利用者端末10,ファイルアクセス管理サーバ30や管理者端末40との間で各種情報を送受信するものである。
〔1−4〕本実施形態のファイルアクセス管理サーバの機能構成
図5は本実施形態のファイルアクセス管理サーバの機能構成を示すブロック図で、この図5に示すように、ファイルアクセス管理サーバ30は、例えば、各利用者端末10で暗号化された管理対象ファイル(書出/送信されるべき電子ファイルであって、判定手段13により個人情報ファイルであると判定された電子ファイル)や、個人情報管理サーバ20(管理手段25)から指示された個人情報ファイル(Pマークのランクが“P4”の個人情報ファイル)を管理対象とするもので、各種処理を実行するCPU30aと、後述するごとく暗号鍵や復号鍵などを保存する記憶部30bとをそなえて構成されている。なお、ここでは、Pマークのランクが“P4”の個人情報ファイルを管理対象としているが、Pマークのランクに関係なく、判定手段13によって個人情報ファイルであると判定された全ての電子ファイルをファイルアクセス管理サーバ30の管理対象としてもよい。
CPU30aは、後述する送受信手段31,変換手段32,暗号化手段33および判定手段34としての機能を果たすもので、これらの機能は、CPU30aが、ファイルアクセス管理サーバ用のプログラムを実行することによって実現される。また、記憶部30bは、後述するごとく、個人情報ファイルを暗号化するための暗号鍵や、暗号化された個人情報ファイルを復号化するための復号鍵や、暗号化された個人情報ファイルに対するアクセス権限(後述)や、予め登録されている利用者〔暗号化ファイルの閲覧を許可された登録者(社員)〕のユーザID/パスワードなどを保存するもので、例えばハードディスクやRAMによって構成されている。
送受信手段31は、ファイルアクセス管理サーバ30が本来有している通信機能によって実現されるものであって、後述する個人情報ファイル受信手段31a,暗号化ファイル送信手段31b,認証情報受信手段31cおよび復号鍵送信手段31dとしての機能を果たす。また、本実施形態の送受信手段31は、各利用者端末10からの要求に応じて、暗号化手段18での暗号化処理に用いられる所定の暗号鍵を、ネットワーク50を通じて各利用者端末10に送信する機能も果たすようになっている。
個人情報ファイル受信手段31aは、個人情報管理サーバ20からネットワーク50経由で管理対象の個人情報ファイル(Pマークのランクが“P4”の個人情報ファイル)を受信するものである。
暗号化手段33は、各利用者端末10における暗号化手段18とほぼ同様に、個人情報ファイル受信手段31aによって個人情報管理サーバ20から受信した管理対象の個人情報ファイルを改竄操作の困難なPDFファイル等の完成文書ファイルに変換し、さらに、そのPDFファイルを、所定の暗号鍵を用いて暗号化するものである。PDFファイルへの変換は例えばPDFドライバによって実現され、このPDFドライバを起動することにより、個人情報ファイルがPDF化され、完成文書ファイルとしてのPDFファイルが生成されるようになっている。
暗号化ファイル送信手段31bは、暗号化手段33によって暗号化(鍵掛け)されたファイル(以下、暗号化ファイルという)を、ネットワーク40経由で個人情報管理サーバ20に送信するものである。
なお、ファイルアクセス管理サーバ30による管理に際しては、上述のような暗号化手段33による暗号化時に、ポリシー設定によって、各暗号化ファイルに対する各種アクセス権限(閲覧,印刷,コピー等の権限)が利用者毎や暗号化ファイル毎に設定される。その際、システム運用を簡易化すべく1種類のポリシを設定し、そのポリシ設定によって、全ての暗号化ファイルに対する各利用者端末10でのアクセス権限〔例えば、本システム1を導入している社内の全社員/全利用者(ファイルアクセス管理サーバ30に登録されている全登録者)のアクセス権限〕として、閲覧権限のみを自動的(強制的)に設定・付与し、閲覧以外のアクセス、例えば印刷,コピー,別名保存,画面キャプチャ(スクリーンショット)などのアクセスを一切行なえないようにしてもよい。
認証情報受信手段31cは、利用者端末10,個人情報管理サーバ20や管理者端末40での暗号化ファイルに対するアクセス時に利用者端末10,個人情報管理サーバ20や管理者端末40からネットワーク50経由で送信されてくる認証情報を受信するものである。ここで、認証情報は、暗号化ファイルを開こうとしている利用者端末10,個人情報管理サーバ20や管理者端末40の利用者がその暗号化ファイルの正当な送信先(利用者/登録者)であることをファイルアクセス管理サーバ30で判定・認証するために必要な情報であり、ファイルアクセス管理サーバ30によるサービスの利用者についてこのファイルアクセス管理サーバ30(記憶部30b)に予め登録されたユーザIDおよびパスワードを含んでいる。これらのユーザIDおよびパスワードは、暗号化ファイルを開く際に利用者がキーボードやマウスを操作することにより入力される。
判定手段34は、認証情報受信手段31cによって受信された認証情報に基づいて、認証情報を送信した利用者端末10,個人情報管理サーバ20や管理者端末40が暗号化ファイルの正当な送信先であるか否かを判定するもので、実際には、利用者によって入力されたユーザIDおよびパスワードが、ファイルアクセス管理サーバ30の記憶部30bに予め登録・保存されているユーザIDおよびパスワードと一致するか否かを判定することにより、その利用者が正当な登録者であるか否かを判定・認証するものである。
復号鍵送信手段31dは、判定手段34によって利用者が正当な登録者であることが認証された場合に、暗号化ファイルを復号化するための復号鍵を記憶部30bから読み出して利用者端末10,個人情報管理サーバ20や管理者端末40にネットワーク50経由で送信するものである。
そして、利用者端末10,個人情報管理サーバ20や管理者端末40においては、ファイルアクセス管理サーバ30から復号鍵を受信すると、その復号鍵を用いて暗号化ファイルの復号化を行ない元の個人情報ファイルを復元し、復元された個人情報ファイルに対し、与えられたアクセス権限に応じたアクセス(例えば閲覧)が行なわれるようになる。
〔2〕本実施形態の個人情報管理システムの動作
次に、図6〜図10を参照しながら、上述のごとく構成された本実施形態の個人情報管理システム1の動作について説明する。
〔2−1〕利用者端末の動作
本システム1においては、個人情報管理サーバ20により、ネットワーク50に接続された利用者端末10に上記ファイル管理プログラムがインストールされているか否かが認識され、インストールされていない場合、その利用者端末10に上記ファイル管理プログラムがインストールされる。
そして、上記ファイル管理プログラムをインストールされた利用者端末10では、そのファイル管理プログラムを実行することにより、以下のような処理が行なわれる。図6に示すフローチャート(ステップS01〜S12)に従って、本実施形態の利用者端末10の動作について説明する。
利用者端末10において、書出手段11による電子ファイルの書出要求、もしくは、送受信手段12による電子ファイルの添付・送信要求が監視され(ステップS01)、書出要求もしくは添付・送信要求が発生すると(ステップS01のYESルート)、判定手段13により、書出要求/添付・送信要求のあった電子ファイルが個人情報ファイル(管理対象ファイル)であるか否かを判定する(ステップS02;その詳細な判定手順については図6を参照しながら後述)。
個人情報ファイルではないと判定された場合(ステップS03のNOルート)、その電子ファイルは、そのまま、書出手段11により外部媒体60へ書き出されるか、送受信手段12により他端末へ送信される(ステップS04)。
個人情報ファイルであると判定された場合(ステップS03のYESルート)、禁止手段14により、その電子ファイルが外部媒体60に書き出されたり他端末へ送信されるのが禁止され(ステップS05)、利用者通知手段15により、その電子ファイルを個人情報ファイルであり書出もしくは送信することができない旨が、ポップアップ表示や音声メッセージ等により利用者に通知されるとともに(ステップS06)、管理者通知手段16により、利用者端末10が、個人情報ファイルである電子ファイルを書出もしくは送信しようとしたことが、電子メール等により、送受信手段12およびネットワーク50を通じて管理者端末40に通知される(ステップS07)。
この後、利用者端末10の利用者に対し、その電子ファイルを暗号化して(ファイルアクセス管理サーバ30の管理下に置いて)書出/送信するか否かを、ディスプレイ上のポップアップ表示等により問い合せ(ステップS08)、利用者が暗号化を行なわないことを選択した場合には(ステップS08のNOルート)、処理を終了してステップS01に戻る。
利用者が暗号化を行なうことを選択した場合には、暗号化手段18により、電子ファイルは、コンテナ機能を有するPDFファイルに変換され(ステップS09)、そのコンテナ機能を用いて当該PDFファイルに当該管理対象ファイルのオリジナルファイルが格納されてから(ステップS10)、そのPDFファイルは、ファイルアクセス管理サーバ30によって管理される所定の暗号鍵で暗号化され、暗号化ファイルが作成される(ステップS11)。このとき、当該暗号化ファイルにアクセスする利用者について、当該暗号化ファイルに対するアクセス権限(例えば閲覧権限)も、暗号化手段18からファイルアクセス管理サーバ30に対して自動的に設定される(ステップS11)。
このように暗号化された電子ファイル(暗号化ファイル)については、禁止手段14による禁止動作が抑止され、書出手段11により外部媒体60へ書き出されるか、送受信手段12により他端末へ送信される(ステップS12)。
〔2−2〕判定手段の動作
本実施形態の判定手段13では、以下のように、電話番号,電子メールアドレス,住所および氏名の出現頻度をそれぞれ数値化し、個人情報ファイルの判定(特定・探査)を行なっている。その際、切出手段132によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれている場合、その文字区間は、個人情報要素(本実施形態では氏名)には該当しないものと見なされて除外される一方、切出手段132によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれていない場合、その文字区間は、個人情報をなす個人情報要素に該当するものと見なされて、つまり個人情報要素が出現したものと見なされ、出現回数のカウントアップを行なっている。
本実施形態の利用者端末10において、上述した判定手段13(ファイル管理プログラム)によって実行される、個人情報ファイルの判定動作の手順を、図7に示すフローチャート(ステップS101〜S115)に従って説明する。
利用者端末10において、書出手段11による電子ファイルの書出要求、もしくは、送受信手段12による電子ファイルの添付・送信要求が検知されると、その判定対象の電子ファイルから抽出手段(テキスト抽出エンジン)131によりテキストデータが抽出される(ステップS101)。
このように抽出されたテキストからは、切出手段132により、上述した区切り文字で区切られる文字区間が切り出され、判定対象/照合対象としてバッファ(図示略)に順次書き出される(ステップS102)。文字区間の切り出しに際し、前述したように、切出手段132により、文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。
そして、切出手段132によって切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当するか否かを、電話番号判定手段133a,電子メールアドレス判定手段133bおよび住所判定手段133cによって順次判定する(ステップS103,S105,S107)。
まず、電話番号判定手段133aにより、上記文字列が電話番号に該当するか否かが判定される(ステップS103)。その際、上記文字列が検疫テーブル10cに設定されている電話番号判定条件を満たしていれば、つまり上記文字列中に9〜15桁の数字が含まれていれば、上記文字列が電話番号に該当するものと判定され(ステップS103のYESルート)、その旨が第2判定手段136に通知され、この第2判定手段136において、電話番号の出現回数に対応する計数値が1だけカウントアップされ(ステップS104)、ステップS112の処理へ移行する。
上記文字列が電話番号に該当しないと判定された場合(ステップS103のNOルート)、電子メールアドレス判定手段133bにより、上記文字列が電話メールアドレスに該当するか否かが判定される(ステップS105)。その際、上記文字列が検疫テーブル10cに設定されている電子メールアドレス判定条件を満たしていれば、つまり上記文字列中に「一文字以上のASCII」+「@」+「一文字以上のASCII」+「.」+「一文字以上のASCII」となる文字列が含まれていれば、上記文字列が電子メールアドレスに該当するものと判定され(ステップS105のYESルート)、その旨が第2判定手段136に通知され、この第2判定手段136において、電子メールアドレスの出現回数に対応する計数値が1だけカウントアップされ(ステップS106)、ステップS112の処理へ移行する。
上記文字列が電子メールアドレスに該当しないと判定された場合(ステップS105のNOルート)、住所判定手段133cにより、上記文字列が住所(居所)に該当するか否かが判定される(ステップS107)。その際、上記文字列が検疫テーブル10cに設定されている住所判定条件を満たしていれば、つまり上記文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていれば、上記文字列が住所に該当するものと判定され(ステップS107のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段136において、住所(居所)の出現回数に対応する計数値が1だけカウントアップされ(ステップS108)、ステップS112の処理へ移行する。
上記文字列が住所に該当しないと判定された場合(ステップS107のNOルート)、つまり第1判定手段133によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合、文字判定手段134により、その文字列が、検疫テーブル10cに設定されている文字判定条件(文字数が1以上6以下であり全ての文字が漢字であること)を満たすか否かが判定される(ステップS109)。この文字判定条件を満たさない場合(ステップS109のNOルート)、ステップS112の処理へ移行する。
一方、この文字判定条件を満たす場合(ステップS109のYESルート)、照合手段135により、当該文字区間(上記文字列)に含まれる文字/文字列と検疫テーブル10cに設定されている氏名についての不適切文字/不適切文字列とが照合され、当該文字区間に不適切文字/不適切文字列が含まれるか否かが判定される(ステップS110)。当該文字区間に、一つでも不適切文字/不適切文字列と一致する文字/文字列が存在した場合(ステップS110のYESルート)には、その時点不適切文字/不適切文字列との照合処理を直ちに終了し、ステップS112の処理へ移行する。
また、当該文字区間に不適切文字/不適切文字列が含まれていない場合(ステップS110のNOルート)、その照合判定結果が第2判定手段136に通知され、この第2判定手段136において、当該文字区間が氏名に該当するものと見なされ、氏名の出現回数に対応する計数値が1だけカウントアップされ(ステップS111)、ステップS112の処理へ移行する。
ステップS112では、判定対象ファイルから抽出されたテキストデータから未だ切り出されていない文字区間の有無が判定され、有る場合(YESルート)には、ステップS104に戻り、上述と同様の処理(ステップS102〜S111)を繰り返し実行する。このようにして全ての文字区間がテキストデータから切り出され全ての文字区間に対する判定処理,照合処理,計数処理等を終了すると(ステップS112のNOルート)、第2判定手段136において、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数値に基づいて、上述した判定値が算出される(ステップS113)。
そして、第2判定手段136においては、ステップS113で算出された判定値に基づいて、上述したように、判定対象ファイルが個人情報ファイルであるか否かが判定されるとともに、Pマークのランク付け(本実施形態では“P1”〜“P4”の4つ)が行なわれ(ステップS114)、これらの個人情報ファイルの判定結果やPマークのランク付けの結果は、Pマークテーブル10dに登録され、送受信手段12およびネットワーク50を介して個人情報管理サーバ20に送信され、個人情報管理サーバ20において、収集手段203によりデータベース20bに登録・保存される(ステップS115)。このようなステップS115の処理完了後、個人情報ファイルの探査動作を終了する。
〔2−3〕個人情報管理サーバの動作
次に、個人情報管理サーバ20(管理手段25)の管理動作について、図8に示すフローチャート(ステップS20〜S29)に従って説明する。なお、各利用者端末10における管理手段17も、この管理手段25と同様に動作するように構成されている。ただし、利用者端末10に管理手段17としての機能をそなえた場合には、管理手段25による管理動作を行なわなくてもよいし、管理手段25による管理動作を行なう場合には、利用者端末10に管理手段17としての機能をそなえなくてもよい。
管理手段25では、データベース20bにおける個人情報ファイルの判定結果(Pマークテーブル)を参照し、個人情報ファイル(Pマークを付与されたファイル)の有無を判定する(ステップS20)。個人情報ファイルが存在する場合(ステップS21のYESルート)、個人情報ファイルの探査結果〔ここではPマークレベル(ランク)〕に応じて、管理手段25により、各個人情報ファイルに対する管理・操作が以下のように行なわれる(ステップS21〜S29)。
まず、Pマークレベル“P1”の個人情報ファイルの有無が判定され(ステップS21)、Pマークレベル“P1”の個人情報ファイルがある場合(ステップS21のYESルート)、その個人情報ファイルをアクセス監視対象(アクセスログの記録対象)として設定・登録する(ステップS22)。
Pマークレベル“P1”の個人情報ファイルがない場合(ステップS21のNOルート)、もしくは、ステップS22での登録後、Pマークレベル“P2”の個人情報ファイルの有無が判定され(ステップS23)、Pマークレベル“P2”の個人情報ファイルがある場合(ステップS23のYESルート)、その個人情報ファイルをアクセス監視対象として設定・登録するとともに、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報が通知される(ステップS24)。
Pマークレベル“P2”の個人情報ファイルがない場合(ステップS23のNOルート)、もしくは、ステップS24での注意情報通知後、Pマークレベル“P3”の個人情報ファイルの有無が判定され(ステップS25)、Pマークレベル“P3”の個人情報ファイルがある場合(ステップS25のYESルート)、その個人情報ファイルをアクセス監視対象として設定・登録するとともに、その個人情報ファイルを保管している利用者が存在する旨が、システム管理者に対し警告情報としてメール等により通知されるとともに、その個人情報ファイルの返却が利用者に指示される(ステップS26)。
Pマークレベル“P3”の個人情報ファイルがない場合(ステップS25のNOルート)、もしくは、ステップS26で警報情報通知および返却指示を行なった後、Pマークレベル“P4”の個人情報ファイルの有無が判定され(ステップS27)、Pマークレベル“P4”の個人情報ファイルがある場合(ステップS27のYESルート)、その個人情報ファイルがクライアント端末10から強制的に捕獲・回収され(ステップS28)、さらに、その個人情報ファイルをファイルアクセス管理サーバ30の管理下に置き、その個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させる(ステップS29)。Pマークレベル“P4”の個人情報ファイルがない場合(ステップS27のNOルート)、もしくは、ステップS29での処理終了後、管理動作を終了する。
なお、前述した通り、Pマークレベル“P4”の個人情報ファイルについては、その個人情報ファイルが利用者端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したりしてもよい。また、Pマークレベル“P3”の個人情報ファイルが所定日数放置された場合、Pマークレベル“P4”の個人情報ファイルと同様の処置を実行してもよい。さらに、Pマークレベル“P1”〜“P4”の個人情報ファイルの全てをファイルアクセス管理サーバ30の管理下に置くようにしてもよい。
〔2−5〕ファイルアクセス管理サーバの動作
次に、図9および図10を参照しながら、ファイルアクセス管理サーバ30の動作について説明する。
まず、図9に示すフローチャート(ステップS31〜S34)に従って、本実施形態のファイルアクセス管理サーバ30によるファイル変換動作を説明する。
ファイルアクセス管理サーバ30において、ファイルアクセス管理サーバ30の管理下に置くように個人情報管理サーバ20の管理手段25(もしくは利用者端末10の管理手段17)から指示された個人情報ファイル(管理対象の電子ファイル)が、個人情報管理サーバ20からネットワーク50経由で個人情報ファイル受信手段31aにより受信されると(ステップS31のYESルート)、その個人情報ファイルが、暗号化手段18により、PDFファイルに変換され(ステップS32)、さらに、所定の暗号鍵を用いて暗号化処理(鍵掛け処理)が行なわれる(ステップS33)。そして、暗号化ファイルは、暗号化ファイル送信手段31bによりネットワーク50経由で個人情報管理サーバ20に送信される(ステップS34)。
ついで、図10に示すフローチャート(ステップS41〜S45)に従って、本実施形態のファイルアクセス管理サーバ30による認証動作について説明する。
利用者端末10の利用者や個人情報管理サーバ20の利用者(管理者)が、暗号化ファイルの内容を閲覧しようとする場合、その利用者によって認証情報が入力されファイルアクセス管理サーバ30へ送信される。そして、その認証情報がネットワーク50経由で認証情報受信手段31cにより受信されると(ステップS41のYESルート)、判定手段34は、認証情報に含まれるユーザIDによって記憶部30bを検索し、そのユーザIDに対応する登録パスワードを記憶部30bから読み出し、認証情報に含まれるパスワードと、記憶部30bから読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定(利用者認証;ステップS42)を行なう。
これらのパスワードが一致し、利用者端末10もしくは個人情報管理サーバ20の利用者が正当な登録者(正当な送信先)であることが認証されると(ステップS43のYESルート)、復号鍵送信手段31dにより、暗号化ファイルを復号化するための復号鍵が記憶部30bから読み出され、その利用者端末10,個人情報管理サーバ20や管理者端末40にネットワーク50経由で送信される(ステップS44)。
そして、利用者端末10,個人情報管理サーバ20や管理者端末40において、復号鍵が受信されると、その復号鍵を用いて暗号化ファイルが復号化されて元の個人情報ファイルが復元され、その個人情報ファイルに対し、予め与えられたアクセス権限に応じたアクセスが実行される。例えば、前述したようにアクセス権限として閲覧権限のみが与えられている場合、利用者は、復元された個人情報ファイルの内容を閲覧することはできるが、閲覧以外のアクセス、例えばプリンタによる印刷出力や他の記録媒体へのコピーや画面コピー(画面キャプチャ)や別名保存などのアクセスは一切行なうことができない。
一方、ファイルアクセス管理サーバ30の判定手段34によりパスワードが不一致であると判定された場合、もしくは、ユーザIDに対応する登録パスワードが記憶部30bに登録されていなかった場合には、利用者が正当な登録者(正当な送信先)ではないと判定され(ステップS43のNOルート)、ファイルアクセス管理サーバ30からクライアント端末10,個人情報管理サーバ20や管理者端末40にネットワーク50経由でエラー通知が行なわれる(ステップS45)。
〔3〕本実施形態の個人情報管理システムの効果
このように本発明の一実施形態としてのファイル管理システム1や利用者端末(情報処理装置)によれば、書出手段11や送受信手段12によって外部媒体60(他端末)へ書出もしくは送信されるべき電子ファイルが個人情報ファイルであると判定されると、その電子ファイルの書出/送信が禁止されるとともに、その電子ファイルが管理対象ファイルであって書出/送信できない旨が利用者端末10の利用者に通知されるほか、その利用者端末10が個人情報ファイルである電子ファイルを書出/送信しようとしたことが管理者端末40にも通知される。これにより、個人情報が複数の利用者端末10に分散して保存されていても、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、各端末10において個人情報ファイルが外部媒体60に書出/送信されるのを禁止でき、その個人情報ファイルが外部へ持ち出されたり送信されたりするのを抑止でき、個人情報の不用意な流出・漏洩や不正利用などを確実に防止することができる。
このとき、個人情報ファイルの書出/送信を禁止するだけでなく個人情報ファイルの書出/送信について利用者や管理者に対し通知されるため、利用者に警告を発し個人情報ファイルの書出/送信が禁止行為であることを認識させることができるほか、利用者端末10において利用者が禁止行為である個人情報ファイルの書出/送信を実行しようとして禁止されたことを管理者に認識させることができる。これにより、利用者による禁止行為を確実に管理できるとともに、禁止行為について利用者を教育することができる。
また、個人情報ファイルの判定を行なう判定手段13ほか各種手段14〜18としての機能をもたない利用者端末10がネットワーク50に接続されると、個人情報管理サーバ20により、その機能を実現するためのファイル管理プログラムがインストールされ、その機能が強制的に利用者端末10に導入され、さらに、その判定手段13により利用者端末10における個人情報ファイルの有無が判定されるので、新たな利用者端末10がネットワーク50に接続された場合でも、その利用者端末10における個人情報ファイルを確実に探査して洗い出して管理可能な状態に置くことが可能になり、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
さらに、本実施形態では、特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルを管理対象ファイルとし、判定手段13において、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。
従って、第1判定手段133で電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についてのみ、照合手段135により不適切文字/不適切文字列との照合処理が行なわれ、さらに、不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探査処理を高速に行なうことが可能になる。
また、不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まない電子ファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高い電子ファイルを確実に探査することが可能になる。つまり、本実施形態の判定手段13により個人情報ファイルであると判定される電子ファイルの数が多くなり、個人情報ファイルである可能性の高い電子ファイル(疑わしい電子ファイル)を確実に洗い出すことができる。
さらに、文字判定手段134により文字区間の文字数が所定範囲内であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合対象としているので、照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が所定範囲を超える長い文字区間が、照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探査処理のさらなる高速化に寄与することになる。
本実施形態の判定手段13による判定手法によって、電子ファイルの書出や送信が行なわれる都度、リアルタイムで、個人情報ファイルを自動的に特定して探査することができるので、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイル(個人情報ファイルである可能性の高い電子ファイル)を確実に探査して洗い出し、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
そして、個人情報管理サーバ20の管理手段25(もしくは利用者端末10の管理手段17)により、第2判定手段136で得られた計数結果(判定値レベル)に応じて、個人情報ファイルであると判定された電子ファイルの管理を行なうことにより、個人情報ファイル毎に、判定値レベル(個人情報ファイルである可能性の高さ/個人情報要素数の多さ)に応じた管理手法を選択して実行することができるほか、企業内などにおいて多数の端末が存在し個人情報ファイルが分散して保存されていても、これらの個人情報ファイルを一元的に管理することができ、個人情報ファイルを集中管理するシステムを容易に構築して導入することが可能になる。
一方、個人情報ファイルを、利用者端末10もしくはファイルアクセス管理サーバ30において暗号化ファイルに変換し、このような暗号化ファイルについては、禁止手段14による禁止動作を抑止し、外部媒体60(他端末)への書出/送信を可能することで、各端末10において個人情報ファイルについては暗号化ファイルに変換された上で外部媒体60(他端末)へ書出/送信されるので、その個人情報ファイルが、万人が参照可能な状態で各端末10から外部へ持ち出されるのを抑止でき、個人情報の不用意な流出・漏洩や不正利用などを確実に防止することができる。
このとき、暗号化ファイルの正当な利用者については、ファイルアクセス管理サーバ30により正当な利用者であることを認証されれば、ファイルアクセス管理サーバ30から受信した復号鍵で暗号化ファイルを復号し、暗号化ファイルの内容に対するアクセスが可能になるが、その他の利用者は、暗号化ファイルを復号することができず、その内容に対するアクセスを行なうことは不可能になっている。つまり、個人情報ファイルは、正当な利用者のみがアクセス可能な暗号化ファイルに変換された上で外部媒体60(他端末)に書出/送信されるので、上述のごとく個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止しながら、正当な利用者のアクセスは可能になるので、正当な利用者についての利便性を損なうことがない。
なお、このとき、個人情報ファイルのオリジナルは完全文書ファイルに格納されて暗号化されることになるので、その個人情報ファイルのオリジナルは、そのままの状態、即ち利用者端末10において万人が参照可能な状態で残ることがないので、個人情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
〔4〕本実施形態の変形例
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
例えば、上述した実施形態では、管理対象ファイルが個人情報ファイルである場合について説明したが、本発明は、これに限定されるものではなく、個人情報以外の機密情報を含む機密情報ファイルを管理対象ファイルとしてもよい。この場合、機密情報ファイルを判定するための所定条件は、機密情報を含むレコード(機密情報要素)を所定数以上保有していることであり、機密情報要素は、例えば、発表前の新製品,特許出願前の技術,経営戦略などで使用される文字列である。なお、このような機密情報ファイルについても、個人情報ファイルと同様にして、判定手段13によって判定することができ、上述した実施形態と同様の作用効果を得ることができる。
また、上述した実施形態では、利用者端末10に暗号化手段18をそなえた場合について説明したが、利用者端末10に暗号化手段18をそなえず、ファイルアクセス管理サーバ30の暗号化手段33を用いて暗号化処理を行なうように構成してもよい。この場合、図11に示すように、利用者端末10Aには、暗号化手段18に代えて登録手段19がそなえられている。
この登録手段19は、判定手段13によって個人情報ファイルであると判定された電子ファイルを、ファイルアクセス管理サーバ30の管理下に置くべく、ファイルアクセス管理サーバ30に登録するもので、登録時には、その管理対象ファイルをファイルアクセス管理サーバ20Bに送信するとともに、登録処理に応じて、ファイルアクセス管理サーバ30の暗号化手段33によって後述するごとく作成された暗号化ファイルを受信する機能を果たすものである。なお、登録手段19としての機能も、個人情報管理サーバ20によってインストールされたファイル管理プログラムを実行することによって実現される。
そして、ファイルアクセス管理サーバ30では、登録手段19によって登録されるべき個人情報ファイルを利用者端末10Aからネットワーク50を介し個人情報ファイル受信手段31aで受信すると、その個人情報ファイルは、暗号化手段33によって上述と同様にして暗号化ファイルに変換されるとともに所定のアクセス権限の設定が行なわれてから利用者端末10Aに返送され、利用者端末10Aにおいては、禁止手段14による禁止動作が抑止され、その暗号化ファイルを外部媒体60(他端末)へ書出/送信することができるようになっている。このような構成によっても、上述した実施形態と同様の作用効果を得ることができる。
また、上述した実施形態では、電子ファイルが書出/送信対象となると、そのタイミングで当該電子ファイルが個人情報ファイルであるか否かの判定を判定手段13によって行なっているが、以下のような手法で個人情報ファイルの判定を行なってもよい。
すなわち、利用者端末10,10Aにおいて、最初(本個人情報管理システム1の立ち上げ時/ファイル管理プログラムのインストール時/利用者端末10,10Aの接続時)に、判定手段13により予め記憶部10bの全ての電子ファイルについて個人情報ファイル(管理対象ファイル)であるか否かの判定を行なって個人情報ファイルのファイル名を保持しておき、書出手段11や送受信手段12によって書出/送信されるべき電子ファイルが個人情報ファイルであるか否かを判定手段13が判定する際、判定対象の電子ファイルのファイル名が既に保持されている場合には、判定手段13による判定を行なうことなく禁止手段14により当該電子ファイルを書出/送信するのを禁止する一方、判定対象の電子ファイルのファイル名が保持されていない場合には、判定手段13による判定を行なう。
このような判定手法を採用することにより、既に個人情報ファイルであると判定された電子ファイルについては、無駄な判定処理を行なうことなく書出/送信の禁止を直ちに行なえる。また、個人情報ファイルであるか否かの判定を行なっていない電子ファイル(新規作成ファイルや外部から取り込んだファイル)のみを対象にして判定が行なわれるので、各利用者端末10,10Aにおいて新たに作成・追加された管理対象ファイル(個人情報ファイルや機密情報ファイル)を、極めて効率よく確実に探査することができる。
さらに、上述した実施形態では、判定手段13,禁止手段14,利用者通知手段15,管理者通知手段16,管理手段17,暗号化手段18や登録手段19としての機能が、利用者端末10,10Aにそなえられている場合について説明したが、これらの機能は、利用者端末10,10Aに代えて、利用者端末10,10Aと通信可能に接続された個人情報管理サーバ(ファイル管理サーバ)20にそなえてもよい。
ただし、この場合、利用者端末10,10Aから書出/送信されるべき電子ファイルが、一旦、個人情報管理サーバ20に吸い上げられ、その電子ファイルについて各手段13〜19としての機能による処理が施されることになる。これにより、利用者が、利用者端末10,10Aにおける、メモリ容量や、他プログラムとの相性の問題などの理由で、上記の各手段13〜19を実現するためのプログラムの非常駐を要望する場合、その要望に対応することができ、利便性が高められる。
〔5〕その他
上述した判定手段13,禁止手段14,利用者通知手段15,管理者通知手段16,管理手段17,暗号化手段18および登録手段19としての機能(各手段の全部もしくは一部の機能)は、コンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラム(ファイル管理プログラム)を実行することによって実現される。
そのプログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体からファイル管理プログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。
ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたプログラムを読み取るための手段とをそなえている。上記分散型ストレージシステム用制御プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、判定手段13,禁止手段14,利用者通知手段15,管理者通知手段16,管理手段17,暗号化手段18および登録手段19としての機能を実現させるプログラムコードを含んでいる。また、その機能の一部は、アプリケーションプログラムではなくOSによって実現されてもよい。
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROMなどのメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。
〔6〕付記
(付記1)
少なくとも、電子ファイルを含むデータを保持する記憶部、および、該記憶部に保持されている電子ファイルを外部媒体へ書出もしくは送信する書出/送信手段を有する利用者端末と、
該書出/送信手段によって書出もしくは送信されるべき電子ファイルが、所定条件を満たす管理対象ファイルであるか否かを判定する判定手段と、
該判定手段により当該電子ファイルが管理対象ファイルであると判定された場合に、当該電子ファイルを書出もしくは送信するのを禁止する禁止手段と、
該判定手段により当該電子ファイルが管理対象ファイルであると判定された場合に、当該電子ファイルが管理対象ファイルであり書出もしくは送信できない旨を該利用者端末に通知する利用者通知手段とをそなえて構成されていることを特徴とする、ファイル管理システム。
(付記2)
該判定手段により当該電子ファイルが管理対象ファイルであると判定された場合に、該利用者端末が、管理対象ファイルである当該電子ファイルを書出もしくは送信しようとしたことを管理者に通知する管理者通知手段をそなえて構成されていることを特徴とする、付記1記載のファイル管理システム。
(付記3)
該判定手段,該禁止手段,該利用者通知手段および該管理者通知手段としての機能が、該利用者端末にそなえられていることを特徴とする、付記2記載のファイル管理システム。
(付記4)
該利用者端末と通信可能に接続されたファイル管理サーバをそなえ、
該ファイル管理サーバが、該判定手段としてコンピュータを機能させるプログラムを該利用者端末にインストールするインストール手段をそなえて構成されるとともに、
該利用者端末における該判定手段としての機能が、該ファイル管理サーバによって該利用者端末にインストールされた該プログラムを実行することで実現されることを特徴とする、付記3記載のファイル管理システム。
(付記5)
該ファイル管理サーバのインストール手段が、該ファイル管理サーバを含むネットワークに該プログラムをインストールされていない利用者端末が接続されたことを検知すると、当該利用者端末に該プログラムをインストールし、該プログラムを当該利用者端末に実行させて管理対象ファイルの有無を判定させることを特徴とする、付記4記載のファイル管理システム。
(付記6)
該判定手段,該禁止手段,該利用者通知手段および該管理者通知手段としての機能が、該利用者端末と通信可能に接続されたファイル管理サーバにそなえられていることを特徴とする、付記2記載のファイル管理システム。
(付記7)
前記所定条件が、特定の個人を識別可能な個人情報要素を所定数以上保有していることであり、該判定手段が、当該電子ファイルが当該所定条件を満たす管理対象ファイルつまり個人情報ファイルであるか否かを判定することを特徴とする、付記1〜付記6のいずれか一項に記載のファイル管理システム。
(付記8)
該判定手段が、
当該電子ファイルに含まれるテキストデータを抽出する抽出手段と、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該電子ファイルが個人情報ファイルであるか否かを判定する第2判定手段とをそなえて構成されていることを特徴とする、付記7記載のファイル管理システム。
(付記9)
該第2判定手段で得られた前記計数結果に応じて、個人情報ファイルであると判定された当該電子ファイルの管理を行なう管理手段としての機能が、該利用者端末と通信可能に接続されたファイル管理サーバにそなえられていることを特徴とする、付記8記載のファイル管理システム。
(付記10)
該利用者端末と通信可能に接続され、管理対象ファイルに対するアクセスを管理するファイルアクセス管理サーバをそなえ、
該利用者端末が、
該判定手段によって管理対象ファイルであると判定された電子ファイルを、コンテナ機能を有する完成文書ファイルに変換し、該コンテナ機能を用いて当該完成文書ファイルに当該電子ファイルを格納してから、当該完成文書ファイルを、ファイルアクセス管理サーバによって管理される所定の暗号鍵で暗号化して暗号化ファイルを作成する暗号化手段をそなえて構成されるとともに、
該ファイルアクセス管理サーバが、
該暗号化ファイルに対するアクセスを行なう端末から該暗号化ファイルについての認証情報を受信する受信手段と、
該受信手段によって受信された該認証情報に基づいて当該端末の利用者が該暗号化ファイルの正当な利用者であるか否かの認証判定を行なう認証手段と、
該認証手段によって当該端末の利用者が正当な利用者であることを認証した場合、該暗号化ファイルを復号化する復号鍵を当該端末に送信する送信手段とをそなえて構成されていることを特徴とする、付記1〜付記9のいずれか一項に記載のファイル管理システム。
(付記11)
該利用者端末において、該書出/送信手段によって該外部媒体へ書出もしくは送信される電子ファイルが、該暗号化手段によって作成された暗号化ファイルである場合、該禁止手段による禁止動作が抑止され、該書出/送信手段が、当該電子ファイルを該外部媒体へ書出もしくは送信するように構成されていることを特徴とする、付記10記載のファイル管理システム。
(付記12)
該利用者端末と通信可能に接続され、管理対象ファイルに対するアクセスを管理するファイルアクセス管理サーバをそなえ、
該利用者端末が、
該判定手段によって管理対象ファイルであると判定された電子ファイルを、該ファイルアクセス管理サーバの管理下に置くべく、該ファイルアクセス管理サーバに登録する登録手段をそなえて構成されるとともに、
該ファイルアクセス管理サーバが、
該登録手段によって登録される管理対象ファイルを、コンテナ機能を有する完成文書ファイルに変換し、該コンテナ機能を用いて当該完成文書ファイルに当該管理対象ファイルを格納してから、当該完成文書ファイルを、所定の暗号鍵で暗号化して暗号化ファイルを作成する暗号化手段と、
該暗号化ファイルに対するアクセスを行なう端末から該暗号化ファイルについての認証情報を受信する受信手段と、
該受信手段によって受信された該認証情報に基づいて当該端末の利用者が該暗号化ファイルの正当な利用者であるか否かの認証判定を行なう認証手段と、
該認証手段によって当該端末の利用者が正当な利用者であることを認証した場合、該暗号化ファイルを復号化する復号鍵を当該端末に送信する送信手段とをそなえて構成されていることを特徴とする、付記1〜付記9のいずれか一項に記載のファイル管理システム。
(付記13)
該利用者端末において、該書出/送信手段によって該外部媒体へ書出もしくは送信される電子ファイルが、該ファイルアクセス管理サーバによって作成された暗号化ファイルである場合、該禁止手段による禁止動作が抑止され、該書出/送信手段が、当該電子ファイルを該外部媒体へ書出もしくは送信するように構成されていることを特徴とする、付記14記載のファイル管理システム。
(付記14)
該利用者端末において、該判定手段により予め該記憶部の全ての電子ファイルについて管理対象ファイルであるか否かの判定を行なって管理対象ファイルのファイル名を保持しておき、該書出/送信手段によって書出もしくは送信されるべき電子ファイルが管理対象ファイルであるか否かを該判定手段が判定する際、判定対象の電子ファイルのファイル名が既に保持されている場合には、該判定手段による判定を行なうことなく該禁止手段により当該電子ファイルを書出もしくは送信するのを禁止する一方、判定対象の電子ファイルのファイル名が保持されていない場合には、該判定手段による判定を行なうことを特徴とする、付記1〜付記13のいずれか一項に記載のファイル管理システム。
(付記15)
電子ファイルを含むデータを保持する記憶部と、
該記憶部に保持されている電子ファイルを外部媒体へ書出もしくは送信する書出/送信手段と、
該書出/送信手段によって書出もしくは送信されるべき電子ファイルが、所定条件を満たす管理対象ファイルであるか否かを判定する判定手段と、
該判定手段により当該電子ファイルが管理対象ファイルであると判定された場合に、当該電子ファイルを書出もしくは送信するのを禁止する禁止手段と、
該判定手段により当該電子ファイルが管理対象ファイルであると判定された場合に、当該電子ファイルが管理対象ファイルであり書出もしくは送信できない旨を利用者に通知する利用者通知手段とをそなえて構成されていることを特徴とする、情報処理装置。
(付記16)
該判定手段により当該電子ファイルが管理対象ファイルであると判定された場合に、前記利用者が、管理対象ファイルである当該電子ファイルを書出もしくは送信しようとしたことを管理者に通知する管理者通知手段をそなえて構成されていることを特徴とする、付記15記載の情報処理装置。
(付記17)
前記所定条件が、特定の個人を識別可能な個人情報要素を所定数以上保有していることであり、該判定手段が、当該電子ファイルが当該所定条件を満たす管理対象ファイルつまり個人情報ファイルであるか否かを判定することを特徴とする、付記15または付記16に記載の情報処理装置。
(付記18)
該判定手段が、
当該電子ファイルに含まれるテキストデータを抽出する抽出手段と、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該電子ファイルが個人情報ファイルであるか否かを判定する第2判定手段とをそなえて構成されていることを特徴とする、付記17記載の情報処理装置。
(付記19)
該判定手段によって管理対象ファイルであると判定された電子ファイルを、コンテナ機能を有する完成文書ファイルに変換し、該コンテナ機能を用いて当該完成文書ファイルに当該電子ファイルを格納してから、当該完成文書ファイルを、ファイルアクセス管理サーバによって管理される所定の暗号鍵で暗号化して暗号化ファイルを作成する暗号化手段をそなえて構成されていることを特徴とする、付記15〜付記18のいずれか一項に記載の情報処理装置。
(付記20)
該書出/送信手段によって該外部媒体へ書出もしくは送信される電子ファイルが、該暗号化手段によって作成された暗号化ファイルである場合、該禁止手段による禁止動作が抑止され、該書出/送信手段が、当該電子ファイルを該外部媒体へ書出もしくは送信するように構成されていることを特徴とする、付記19記載の情報処理装置。
(付記21)
該判定手段によって管理対象ファイルであると判定された電子ファイルを、電子ファイルに対するアクセスを管理するファイルアクセス管理サーバの管理下に置くべく、該ファイルアクセス管理サーバに登録する登録手段をさらにそなえて構成され、
該登録手段が、該電子ファイルを該ファイルアクセス管理サーバに登録することによって、該ファイルアクセス管理サーバにおいて、当該電子ファイルを、コンテナ機能を有する完成文書ファイルに変換させ、該コンテナ機能を用いて当該完成文書ファイルに当該電子ファイルを格納させてから、当該完成文書ファイルを所定の暗号鍵で暗号化して暗号化ファイルを作成させることを特徴とする、付記15〜付記18のいずれか一項に記載の情報処理装置。
(付記22)
該書出/送信手段によって該外部媒体へ書出もしくは送信される電子ファイルが、該ファイルアクセス管理サーバによって作成された暗号化ファイルである場合、該禁止手段による禁止動作が抑止され、該書出/送信手段が、当該電子ファイルを該外部媒体へ書出もしくは送信するように構成されていることを特徴とする、付記21記載の情報処理装置。
(付記23)
該判定手段により予め該記憶部の全ての電子ファイルについて管理対象ファイルであるか否かの判定を行なって管理対象ファイルのファイル名を保持しておき、該書出/送信手段によって書出もしくは送信されるべき電子ファイルが管理対象ファイルであるか否かを該判定手段が判定する際、判定対象の電子ファイルのファイル名が既に保持されている場合には、該判定手段による判定を行なうことなく該禁止手段により当該電子ファイルを書出もしくは送信するのを禁止する一方、判定対象の電子ファイルのファイル名が保持されていない場合には、該判定手段による判定を行なうことを特徴とする、付記15〜付記22のいずれか一項に記載の情報処理装置。
(付記24)
利用者によって指定された電子ファイルを外部媒体へ書出もしくは送信する書出/送信手段書を有する情報処理装置としてのコンピュータにファイル管理機能を実現させるファイル管理プログラムであって、
該書出/送信手段によって書出もしくは送信されるべき電子ファイルが、所定条件を満たす管理対象ファイルであるか否かを判定する判定手段、
該判定手段により当該電子ファイルが管理対象ファイルであると判定された場合に、当該電子ファイルを書出もしくは送信するのを禁止する禁止手段、および、
該判定手段により当該電子ファイルが管理対象ファイルであると判定された場合に、当該電子ファイルが管理対象ファイルであり書出もしくは送信できない旨を利用者に通知する利用者通知手段として、該コンピュータを機能させることを特徴とする、ファイル管理プログラム。
(付記25)
該判定手段により当該電子ファイルが管理対象ファイルであると判定された場合に、前記利用者が、管理対象ファイルである当該電子ファイルを書出もしくは送信しようとしたことを管理者に通知する管理者通知手段として、該コンピュータを機能させることを特徴とする、付記24記載のファイル管理プログラム。
(付記26)
前記所定条件が、特定の個人を識別可能な個人情報要素を所定数以上保有していることであり、該判定手段が、当該電子ファイルが当該所定条件を満たす管理対象ファイルつまり個人情報ファイルであるか否かを判定するように、該コンピュータを機能させることを特徴とする、付記24または付記25に記載のファイル管理プログラム。
(付記27)
該コンピュータを該判定手段として機能させる際に、
当該電子ファイルに含まれるテキストデータを抽出する抽出手段、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段、および、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該電子ファイルが個人情報ファイルであるか否かを判定する第2判定手段として、該コンピュータを機能させることを特徴とする、付記26記載のファイル管理プログラム。
(付記28)
該判定手段によって管理対象ファイルであると判定された電子ファイルを、コンテナ機能を有する完成文書ファイルに変換し、該コンテナ機能を用いて当該完成文書ファイルに当該電子ファイルを格納してから、当該完成文書ファイルを、ファイルアクセス管理サーバによって管理される所定の暗号鍵で暗号化して暗号化ファイルを作成する暗号化手段として、該コンピュータを機能させることを特徴とする、付記24〜付記27のいずれか一項に記載のファイル管理プログラム。
(付記29)
該書出/送信手段によって該外部媒体へ書出もしくは送信される電子ファイルが、該暗号化手段によって作成された暗号化ファイルである場合、該禁止手段による禁止動作が抑止され、該書出/送信手段が、当該電子ファイルを該外部媒体へ書出もしくは送信するように、該コンピュータを機能させることを特徴とする、付記28記載のファイル管理プログラム。
(付記30)
該判定手段によって管理対象ファイルであると判定された電子ファイルを、電子ファイルに対するアクセスを管理するファイルアクセス管理サーバの管理下に置くべく、該ファイルアクセス管理サーバに登録する登録手段として、該コンピュータを機能させ、
該登録手段が、該電子ファイルを該ファイルアクセス管理サーバに登録することによって、該ファイルアクセス管理サーバにおいて、当該電子ファイルを、コンテナ機能を有する完成文書ファイルに変換させ、該コンテナ機能を用いて当該完成文書ファイルに当該電子ファイルを格納させてから、当該完成文書ファイルを所定の暗号鍵で暗号化して暗号化ファイルを作成させるように、該コンピュータを機能させることを特徴とする、付記24〜付記27のいずれか一項に記載のファイル管理プログラム。
(付記31)
該書出/送信手段によって該外部媒体へ書出もしくは送信される電子ファイルが、該ファイルアクセス管理サーバによって作成された暗号化ファイルである場合、該禁止手段による禁止動作が抑止され、該書出/送信手段が、当該電子ファイルを該外部媒体へ書出もしくは送信するように、該コンピュータを機能させることを特徴とする、付記30記載のファイル管理プログラム。
(付記32)
該判定手段により予め記憶部の全ての電子ファイルについて管理対象ファイルであるか否かの判定を行なって管理対象ファイルのファイル名を保持しておき、該書出/送信手段によって書出もしくは送信されるべき電子ファイルが管理対象ファイルであるか否かを該判定手段が判定する際、判定対象の電子ファイルのファイル名が既に保持されている場合には、該判定手段による判定を行なうことなく該禁止手段により当該電子ファイルを書出もしくは送信するのを禁止する一方、判定対象の電子ファイルのファイル名が保持されていない場合には、該判定手段による判定を行なうように、該コンピュータを機能させることを特徴とする、付記24〜付記31のいずれか一項に記載のファイル管理プログラム。
本発明の一実施形態としての個人情報管理システム(ファイル管理システム)の構成を示すブロック図である。 本実施形態の利用者端末の機能構成を示すブロック図である。 本実施形態の利用者端末における判定手段の詳細な機能構成を示すブロック図である。 本実施形態の個人情報管理サーバ(ファイル管理サーバ)の機能構成を示すブロック図である。 本実施形態のファイルアクセス管理サーバの機能構成を示すブロック図である。 本実施形態の利用者端末の動作を説明するためのフローチャートである。 本実施形態の判定手段の動作を説明するためのフローチャートである。 本実施形態の個人情報管理サーバの管理動作を説明するためのフローチャートである。 本実施形態のファイルアクセス管理サーバによる認証動作を説明するためのフローチャートである。 本実施形態のファイルアクセス管理サーバによるファイル変換動作を説明するためのフローチャートである。 本実施形態の利用者端末の機能構成の変形例を示すブロック図である。
符号の説明
1 個人情報管理システム(ファイル管理システム)
10,10A 利用者端末
10a CPU
10b 記憶部
10c 検疫テーブル
10d Pマークテーブル
11 書出手段(書出/送信手段)
12 送受信手段(書出/送信手段)
13 判定手段
131 抽出手段
132 切出手段
133 第1判定手段
133a 電話番号判定手段
133b 電子メールアドレス判定手段
133c 住所判定手段
134 文字判定手段
135 照合手段
136 第2判定手段
14 禁止手段
15 利用者通知手段
16 管理者通知手段
17 管理手段
18 暗号化手段
19 登録手段
20 個人情報管理サーバ(ファイル管理サーバ)
20a CPU
20b データベース
20c 表示部
21 利用者情報収集手段
22 インストール手段
23 収集手段
24 管理コンソール
25 管理手段
26 表示制御手段
27 送受信手段
30 ファイルアクセス管理サーバ
30a CPU
30b 記憶部
31 送受信手段
31a 個人情報ファイル受信手段
31b 暗号化ファイル送信手段
31c 認証情報受信手段
31d 復号鍵送信手段
33 暗号化手段
34 判定手段
40 管理者端末
50 ネットワーク(社内LAN)
60 外部媒体

Claims (15)

  1. 少なくとも、電子ファイルを含むデータを保持する記憶部、および、該記憶部に保持されている電子ファイルを外部媒体へ書出もしくは送信する書出/送信手段を有する利用者端末と、
    該書出/送信手段によって書出もしくは送信されるべき電子ファイルが、特定の個人を識別可能な個人情報要素を所定数以上保有しているという条件を満たす個人情報ファイルであるか否かを判定する判定手段と、
    該判定手段により当該電子ファイルが個人情報ファイルであると判定された場合に、当該電子ファイルを書出もしくは送信するのを禁止する禁止手段と、
    該判定手段により当該電子ファイルが個人情報ファイルであると判定された場合に、当該電子ファイルが個人情報ファイルであり書出もしくは送信できない旨を該利用者端末に通知する利用者通知手段とをそなえて構成され
    該判定手段が、
    当該電子ファイルに含まれるテキストデータを抽出する抽出手段と、
    該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、
    該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、
    該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、
    該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、
    該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該電子ファイルが個人情報ファイルであるか否かを判定する第2判定手段とをそなえて構成されていることを特徴とする、ファイル管理システム。
  2. 該判定手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該利用者端末が、個人情報ファイルである当該電子ファイルを書出もしくは送信しようとしたことを管理者に通知する管理者通知手段をそなえて構成されていることを特徴とする、請求項1記載のファイル管理システム。
  3. 該判定手段,該禁止手段,該利用者通知手段および該管理者通知手段としての機能が、該利用者端末にそなえられていることを特徴とする、請求項2記載のファイル管理システム。
  4. 該利用者端末と通信可能に接続されたファイル管理サーバをそなえ、
    該ファイル管理サーバが、該判定手段としてコンピュータを機能させるプログラムを該利用者端末にインストールするインストール手段をそなえて構成されるとともに、
    該利用者端末における該判定手段としての機能が、該ファイル管理サーバによって該利用者端末にインストールされた該プログラムを実行することで実現されることを特徴とする、請求項3記載のファイル管理システム。
  5. 該ファイル管理サーバのインストール手段が、該ファイル管理サーバを含むネットワークに該プログラムをインストールされていない利用者端末が接続されたことを検知すると、当該利用者端末に該プログラムをインストールし、該プログラムを当該利用者端末に実行させて個人情報ファイルの有無を判定させることを特徴とする、請求項4記載のファイル管理システム。
  6. 該第2判定手段で得られた前記計数結果に応じて、個人情報ファイルであると判定された当該電子ファイルの管理を行なう管理手段としての機能が、該利用者端末と通信可能に接続されたファイル管理サーバにそなえられていることを特徴とする、請求項1〜請求項5のいずれか一項に記載のファイル管理システム。
  7. 該利用者端末において、該判定手段により予め該記憶部の全ての電子ファイルについて個人情報ファイルであるか否かの判定を行なって個人情報ファイルのファイル名を保持しておき、該書出/送信手段によって書出もしくは送信されるべき電子ファイルが個人情報ファイルであるか否かを該判定手段が判定する際、判定対象の電子ファイルのファイル名が既に保持されている場合には、該判定手段による判定を行なうことなく該禁止手段により当該電子ファイルを書出もしくは送信するのを禁止する一方、判定対象の電子ファイルのファイル名が保持されていない場合には、該判定手段による判定を行なうことを特徴とする、請求項1〜請求項のいずれか一項に記載のファイル管理システム。
  8. 電子ファイルを含むデータを保持する記憶部と、
    該記憶部に保持されている電子ファイルを外部媒体へ書出もしくは送信する書出/送信手段と、
    該書出/送信手段によって書出もしくは送信されるべき電子ファイルが、特定の個人を識別可能な個人情報要素を所定数以上保有しているという条件を満たす個人情報ファイルであるか否かを判定する判定手段と、
    該判定手段により当該電子ファイルが個人情報ファイルであると判定された場合に、当該電子ファイルを書出もしくは送信するのを禁止する禁止手段と、
    該判定手段により当該電子ファイルが個人情報ファイルであると判定された場合に、当該電子ファイルが個人情報ファイルであり書出もしくは送信できない旨を利用者に通知する利用者通知手段とをそなえて構成され
    該判定手段が、
    当該電子ファイルに含まれるテキストデータを抽出する抽出手段と、
    該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文
    字区間を切り出す切出手段と、
    該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、
    該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、
    該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、
    該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該電子ファイルが個人情報ファイルであるか否かを判定する第2判定手段とをそなえて構成されていることを特徴とする、情報処理装置。
  9. 該判定手段により当該電子ファイルが個人情報ファイルであると判定された場合に、前記利用者が、個人情報ファイルである当該電子ファイルを書出もしくは送信しようとしたことを管理者に通知する管理者通知手段をそなえて構成されていることを特徴とする、請求項記載の情報処理装置。
  10. 該判定手段によって個人情報ファイルであると判定された電子ファイルを、コンテナ機能を有する完成文書ファイルに変換し、該コンテナ機能を用いて当該完成文書ファイルに当該電子ファイルを格納してから、当該完成文書ファイルを、ファイルアクセス管理サーバによって管理される所定の暗号鍵で暗号化して暗号化ファイルを作成する暗号化手段をそなえて構成されていることを特徴とする、請求項8または請求項9に記載の情報処理装置。
  11. 該判定手段により予め該記憶部の全ての電子ファイルについて個人情報ファイルであるか否かの判定を行なって個人情報ファイルのファイル名を保持しておき、該書出/送信手段によって書出もしくは送信されるべき電子ファイルが個人情報ファイルであるか否かを該判定手段が判定する際、判定対象の電子ファイルのファイル名が既に保持されている場合には、該判定手段による判定を行なうことなく該禁止手段により当該電子ファイルを書出もしくは送信するのを禁止する一方、判定対象の電子ファイルのファイル名が保持されていない場合には、該判定手段による判定を行なうことを特徴とする、請求項8〜請求項10のいずれか一項に記載の情報処理装置。
  12. 利用者によって指定された電子ファイルを外部媒体へ書出もしくは送信する書出/送信手段書を有する情報処理装置としてのコンピュータにファイル管理機能を実現させるファイル管理プログラムであって、
    該書出/送信手段によって書出もしくは送信されるべき電子ファイルが、特定の個人を識別可能な個人情報要素を所定数以上保有しているという条件を満たす個人情報ファイルであるか否かを判定する判定手段、
    該判定手段により当該電子ファイルが個人情報ファイルであると判定された場合に、当該電子ファイルを書出もしくは送信するのを禁止する禁止手段、および、
    該判定手段により当該電子ファイルが個人情報ファイルであると判定された場合に、当該電子ファイルが個人情報ファイルであり書出もしくは送信できない旨を利用者に通知す
    る利用者通知手段として、該コンピュータを機能させ
    該コンピュータを該判定手段として機能させる際に、
    当該電子ファイルに含まれるテキストデータを抽出する抽出手段、
    該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段、
    該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段、
    該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段、
    該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段、および、
    該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該電子ファイルが個人情報ファイルであるか否かを判定する第2判定手段として、該コンピュータを機能させることを特徴とする、ファイル管理プログラム。
  13. 該判定手段により当該電子ファイルが個人情報ファイルであると判定された場合に、前記利用者が、個人情報ファイルである当該電子ファイルを書出もしくは送信しようとしたことを管理者に通知する管理者通知手段として、該コンピュータを機能させることを特徴とする、請求項1記載のファイル管理プログラム。
  14. 該判定手段によって個人情報ファイルであると判定された電子ファイルを、コンテナ機能を有する完成文書ファイルに変換し、該コンテナ機能を用いて当該完成文書ファイルに当該電子ファイルを格納してから、当該完成文書ファイルを、ファイルアクセス管理サーバによって管理される所定の暗号鍵で暗号化して暗号化ファイルを作成する暗号化手段として、該コンピュータを機能させることを特徴とする、請求項12または請求項13に記載のファイル管理プログラム。
  15. 該判定手段により予め記憶部の全ての電子ファイルについて個人情報ファイルであるか否かの判定を行なって個人情報ファイルのファイル名を保持しておき、該書出/送信手段によって書出もしくは送信されるべき電子ファイルが個人情報ファイルであるか否かを該判定手段が判定する際、判定対象の電子ファイルのファイル名が既に保持されている場合には、該判定手段による判定を行なうことなく該禁止手段により当該電子ファイルを書出もしくは送信するのを禁止する一方、判定対象の電子ファイルのファイル名が保持されていない場合には、該判定手段による判定を行なうように、該コンピュータを機能させることを特徴とする、請求項12〜請求項14のいずれか一項に記載のファイル管理プログラム。
JP2005216668A 2005-07-27 2005-07-27 ファイル管理システム,情報処理装置およびファイル管理プログラム Expired - Fee Related JP3814655B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005216668A JP3814655B1 (ja) 2005-07-27 2005-07-27 ファイル管理システム,情報処理装置およびファイル管理プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005216668A JP3814655B1 (ja) 2005-07-27 2005-07-27 ファイル管理システム,情報処理装置およびファイル管理プログラム

Publications (2)

Publication Number Publication Date
JP3814655B1 true JP3814655B1 (ja) 2006-08-30
JP2007034651A JP2007034651A (ja) 2007-02-08

Family

ID=36991053

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005216668A Expired - Fee Related JP3814655B1 (ja) 2005-07-27 2005-07-27 ファイル管理システム,情報処理装置およびファイル管理プログラム

Country Status (1)

Country Link
JP (1) JP3814655B1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008097420A (ja) * 2006-10-13 2008-04-24 Chugoku Electric Power Co Inc:The 情報管理システムおよび情報管理方法
JP2008102827A (ja) * 2006-10-20 2008-05-01 Hitachi Capital Corp 個人情報ファイルの監視システムおよび監視方法
JP2012504920A (ja) * 2008-10-03 2012-02-23 アビニシオ テクノロジー エルエルシー 秘密情報の検出
JP2015099466A (ja) * 2013-11-19 2015-05-28 日本電信電話株式会社 データ送出制限方法、データ送出制限装置及びデータ送出制限プログラム

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4983921B2 (ja) 2007-07-06 2012-07-25 富士通株式会社 ファイル管理システム,装置およびプログラム
KR101042944B1 (ko) * 2009-01-20 2011-06-20 한국모바일인증 주식회사 데이터 통신 중인 프로그램을 검출하는 데이터 보호 시스템및 그 데이터 보호 방법
JP5086481B1 (ja) * 2012-01-10 2012-11-28 春佳 西守 サーバからネットワークを介して携帯電話のウェブブラウザに送信されるコンピュータプログラム
JP5131884B1 (ja) * 2012-08-11 2013-01-30 春佳 西守 インターネット上のダウンロードサイトから携帯端末にダウンロードされるコンピュータプログラム
CN107646189B (zh) * 2015-04-10 2021-03-26 Pcms控股公司 用于云计算过程的委托的***和方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008097420A (ja) * 2006-10-13 2008-04-24 Chugoku Electric Power Co Inc:The 情報管理システムおよび情報管理方法
JP2008102827A (ja) * 2006-10-20 2008-05-01 Hitachi Capital Corp 個人情報ファイルの監視システムおよび監視方法
JP2012504920A (ja) * 2008-10-03 2012-02-23 アビニシオ テクノロジー エルエルシー 秘密情報の検出
JP2015099466A (ja) * 2013-11-19 2015-05-28 日本電信電話株式会社 データ送出制限方法、データ送出制限装置及びデータ送出制限プログラム

Also Published As

Publication number Publication date
JP2007034651A (ja) 2007-02-08

Similar Documents

Publication Publication Date Title
JP3814655B1 (ja) ファイル管理システム,情報処理装置およびファイル管理プログラム
JP3918023B2 (ja) 個人情報管理システム
JP3762935B1 (ja) 情報処理装置,ファイル管理システムおよびファイル管理プログラム
JP3705439B1 (ja) 個人情報探索プログラム,個人情報管理システムおよび個人情報管理機能付き情報処理装置
JP3878975B1 (ja) 管理サーバおよび管理プログラム
JP3909362B1 (ja) 個人情報管理システム,個人情報管理サーバおよび個人情報管理プログラム
JP4206459B2 (ja) 個人情報管理端末および個人情報管理システムならびに個人情報管理プログラム
JP4082520B2 (ja) 個人情報探索プログラム
JP4175578B1 (ja) 管理システムおよび管理プログラム
JP4168188B2 (ja) 管理システムおよび管理サーバならびに管理プログラム
JP2009230763A (ja) 情報管理システム、情報処理端末装置、および情報管理システムプログラム
JP3840529B1 (ja) 個人情報管理システム、個人情報管理サーバ、および個人情報管理サーバ用プログラム
JP3799479B1 (ja) 個人情報管理システム,個人情報管理サーバおよび個人情報管理プログラム
JP3799379B1 (ja) 情報処理システム
JP3890367B1 (ja) 管理システムおよび管理プログラム
JP4251369B2 (ja) 個人情報管理システムおよび個人情報管理プログラム
JP3855022B1 (ja) 電子メールシステム,電子メール送受信プログラムおよび電子メールシステム用プログラム
JP3928006B2 (ja) 顧客情報管理システム
JP2007128387A (ja) 電子回覧システム
JP4139919B2 (ja) 個人情報探索プログラム
JP3823168B1 (ja) 管理サーバおよび管理プログラム
JP4206466B2 (ja) 個人情報探索プログラム
JP4175575B2 (ja) 個人情報探索プログラム
JP3978525B1 (ja) 電子メールシステムおよび電子メール送受信プログラム
JP4370536B2 (ja) 管理システムおよび管理プログラム

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060509

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100616

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100616

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees