以下に本発明の上位概念、中位概念および下位概念の理解に役立つ一実施形態を示す。なお、以下の実施形態に含まれる概念について、そのすべてが特許請求の範囲に記載されているとは限らない。ただし、これは特許発明の技術的範囲から意識的に除外したのではなく、特許発明と均等の関係にあるため特許請求の範囲には記載していない場合があることを理解していただきたい。
図1は、実施形態における情報処理システムの概略構成を示す図である。ディレクトリサーバ101は、ファイルに対する操作権限の情報を管理するコンピュータである。操作権限とは、例えば、電子文書を表示する権限、編集する権限および印刷する権限などの総称である。操作権限は、アクセス権と呼ばれることもある。ディレクトリサーバ101は、操作権限管理サーバ、アクセス権管理サーバ、またはポリシーサーバなどと呼ばれることもあろう。なお、ディレクトリサーバ101としては、例えば、アドビ社のライブサイクル・ポリシーサーバなどを使用してもよい。
ユーザ認証サーバ102は、ホストコンピュータを利用するユーザや画像形成装置を利用するユーザを認証するコンピュータである。ホストコンピュータ103は、パーソナルコンピュータ(PC)などの情報処理装置である。画像形成装置104は、プリンタ、複写機、複合機などである。なお、画像形成装置も情報処理装置の一種であることはいうまでもない。これらの装置はネットワークを介して接続されている。
図1では、ホストコンピュータと画像形成装置とが1つずつ示されているが、これらは複数あってもよい。また、システム構成によっては、ディレクトリサーバにユーザ認証機能を持たせてもよい。
また、ホストコンピュータ103は、文書作成アプリケーションソフトウエアを用いて、電子文書を作成したり、編集したり、電子文書に対する操作権限を設定したりすることができる。電子文書は、文書ファイルや画像ファイルなどである。電子文書としては、例えば、PDFファイルなどが有名である。ホストコンピュータ103は、作成した電子文書から印刷ジョブデータを生成して、画像形成装置104へ送信することもある。文書作成アプリケーションソフトウエアとしては、例えば、アドビ社のアクロバット(Acrobat)などがある。
画像形成装置104は、原稿のコピー機能、プリント機能、ファクシミリ機能、スキャン機能、ボックス機能等を具備している。コピー機能とは、原稿を読み取って、原稿の複写物を生成する機能をいう。プリント機能とは、ホストコンピュータ103から受信した印刷ジョブデータに基づいて文書を印刷する機能をいう。ファクシミリ機能とは、原稿を読み取って、原稿の画像データを相手方のファクシミリ装置に送信する機能をいう。スキャン機能とは、原稿を読み取って、画像データを生成する機能をいう。ボックス機能とは、画像データなどの電子文書を格納するボックスを作成し、電子文書をボックスへ格納したり、ボックスに格納された電子文書を印刷、送信したり、所定のユーザだけに電子文書へのアクセスを制限する機能をいう。ボックスは、例えば、フォルダやディレクトリなどとして実現できる。ボックス機能は、文書ボックス機能と呼ばれることもある。なお、各機能の名称は便宜上の名称にすぎない。
画像形成装置104は、ホストコンピュータ103から出力された印刷ジョブデータを自装置が具備する記憶ユニットを介して、自装置が具備するプリンタエンジンで印刷処理を行なうことができる。印刷ジョブデータは、一般に、印刷に必要なデータを意味する。印刷ジョブデータとしては、例えば、PDL(ページ記述原語)により記述されたページデータなどがある。
ユーザ認証サーバ102は、ユーザ情報(IDおよびパスワードなど)を保持するデータベースを有している。そして、ユーザ認証サーバ102は、ホストコンピュータ103もしくは画像形成装置104においてログインを試みるユーザの正当性を確認する。例えば、ホストコンピュータ103においてユーザのログイン要求があれば、ホストコンピュータ103はユーザ認証サーバ102にユーザ情報を送信し、ユーザの認証を要求する。ユーザ認証サーバ102において、当該ユーザ情報の正当性が確認されれば、ユーザはホストコンピュータ103にログオンが可能となる。なお、ユーザは、機器を操作する操作者のことである。
図2は、実施形態に係る操作権限データベースの一例を示す図である。操作権限データベース(ポリシーデータベースと呼ばれることもある。)は、ディレクトリサーバ101が保持している。当該データベースには、例えば、文書IDと、ユーザ名と、操作権限の情報とが対応付けて記憶されている。ここで、文書IDは、電子文書を識別するための識別情報である。ユーザ名は、ユーザのIDまたは名称である。操作権限の情報は、電子文書に対する操作についての権限の有無を表している。操作としては、例えば、閲覧(表示)、変更(編集)、削除、コピーおよび印刷などがある。なお、文書IDは、ライセンス情報を識別するためのライセンスIDであってもよい。ライセンス情報は、電子文書に対する操作権限を特定するために使用される情報である。なお、電子文書自体には、操作権限の情報が保持されてはない。その代わり、電子文書にはライセンス情報が保持される。ライセンス情報は、電子文書の内部に保持されてもよいし、外部に保持されてもよい。
図3は、実施形態に係るライセンス情報の一例を示す図である。ライセンス情報には、上述の文書ID、電子文書に関するファイル名、タイトル、作成者名、作成日時および最終更新日時などが含まれている。文書IDは、ライセンス情報と操作権限データベースとで共有されているため、文書IDに基づいて操作権限の情報を取得できる。
図4は、実施形態に係る情報処理装置の例示的なブロック図である。とりわけ、図4は、ディレクトリサーバ101、ユーザ認証サーバ102およびホストコンピュータ103のハードウエア構成を例示している。一般には、これらのコンピュータのハードウエア構成は必ずしも一致しないが、説明の便宜上、共通のハードウエア構成とする。
CPU401は、コンピュータプログラムに基づいて、コンピュータの各ユニットを統括的に制御する制御ユニットである。ROM402は、ファームウエアなどの制御プログラムを記憶する不揮発性の記憶ユニットである。RAM403は、ワークエリアとして機能する揮発性の記憶ユニットである。ハードディスクドライブ(HDD)404は、大容量の記憶ユニットである。表示装置405は、ユーザに対して各種情報を表示するための表示ユニットである。操作部406は、ポインティングデバイスやキーボードなどの入力ユニットである。通信インタフェース407は、ネットワーク通信カードなどの通信ユニットである。
図5は、実施形態に係る情報処理装置(画像形成装置)の例示的なブロック図である。図5において、CPU501は、画像形成装置104の各ユニットを統括的に制御したり、各種の計算を実行したりする制御ユニットである。ROM502は、制御プログラムを格納する記憶ユニットである。RAM503は、CPU501のワークエリアやバッファとして使われる記憶ユニットである。スキャナ部504は、原稿の画像の読み取る装置である。画像メモリ部505は、原稿の画像データを蓄積するための記憶装置である。プリンタ部506は、画像メモリ部505に記憶されている画像データを記録媒体に印刷するプリンタエンジンである。
外部インタフェース507は、ネットワークを介して外部の機器と接続するための通信インタフェースである。例えば、外部IF507は、ホストコンピュータ103から出力された印刷ジョブデータを受信する。CPU501は、印刷ジョブデータをビットマップ画像に展開し、画像データを生成する。この画像データは、JPEGやJBIGなどの画像データである。なお、画像データは、ファイルとして生成されてもよい。生成された画像データは画像メモリ部505に記憶される。操作パネル508は、ユーザへの情報を出力したり、ユーザからの指示を入力したりする入出力装置である。例えば、操作パネル508は、タッチパネルセンサ、液晶表示装置や各種キーなどを備えている。
図6は、実施形態に係る画像メモリ部の例示的なブロック図である。画像メモリ部505は、ページメモリ601、メモリコントローラ602、圧縮部603、ハードディスクドライブ(HDD)604で構成されている。メモリコントローラ602は、外部IF507またはスキャナ部504から送られてきた画像データをページメモリ601へ書き込む。また、メモリコントローラ602は、ページメモリ601から画像データを読み出してプリンタ部506に出力する。また、メモリコントローラ602は、ハードディスクドライブ604に確保されたボックスに画像データを書き込んだり、ボックスから画像データを読み出したりする。なお、これらのメモリコントローラ602による制御は、CPU501からの命令に応じて実行される。
図7は、実施形態に係る画像形成装置の操作パネルの一例を示す図である。操作パネル508は、コピー機能キー701、ボックス機能キー702、送信/FAX機能キー703、拡張機能キー704、タッチパネルつき液晶表示部705、テンキー706、スタートキー707、ストップキー708などを有する。コピー機能キー701が押し下げられると、CPU501は、コピー処理を実行する。ボックス機能キー702が押し下されると、CPU501は、ボックス機能を呼び出す。なお、上述のボックスには、ジョブごとに電子文書(例:文書ファイルや画像ファイルなど)が保存される。ボックスに保存されている電子文書をジョブ文書と呼ぶ。また、ユーザは、ボックス機能を用いることで、任意のタイミングでジョブ文書を読み出して印刷したり、ジョブ文書を削除したりすることができる。
送信/FAX機能キー703は、原稿やジョブ文書などのデータをホストコンピュータ103や他の装置に送信する際に使用される。拡張機能キー704は、印刷ジョブデータやジョブ文書に対して操作を行なう際に使用される。テンキー706は、数値の入力を行なう際に使用される。スタートキー707は、コピーの開始、スキャンの開始を指示するときに使用される。ストップキー708は、操作の停止を指示するために使用される。
図8は、実施形態に係るボックスを説明するための図である。HDD604は、テンポラリ領域801とボックス領域802とを含んでいる。テンポラリ領域801は、例えば、画像データの出力順序を変えるために使用されたり、1度のスキャンで複数枚のプリントを実行する際に使用されたりもする。また、テンポラリ領域801は、画像データや電子文書をボックス領域802などに保存する前に一時的に使用されたり、印刷ジョブデータを展開して得られた画像データやスキャナからの画像データを一時的に保存したりするために使用される。なお、各処理が終了した後は、テンポラリ領域801に保存されていた画像データは自動的に消去される。
ボックス領域802は、さらに小さな複数の記憶領域803a〜803dに分割されている。これらの小さな記憶領域をボックスと呼ぶ。ボックス803a〜803dは、個人や部署ごとに割り当てられている。操作者は、操作パネル508を通じて画像データが保存されるボックスを予め指定する。CPU501は、印刷ジョブのデータやスキャンジョブのデータを、操作者により指定されたボックスに格納する。
図9は、実施形態に係るボックス機能のユーザインタフェースの一例を示す図である。この例は、ボックス機能キー702が押下された後に液晶表示部705に表示される基本画面である。この画面は、ユーザに利用するボックスを選択させるための画面である。表示エリア902には、ボックス番号を表示したボタン901a〜901d、ボックス名称、および使用容量が表示される。この使用容量は、ボックス領域の全記憶容量に対するそのボックスの使用割合をパーセンテージで表したものである。また、スクロールボタン903は、複数のボックスを表示するために、画面を上下にスクロールするためのボタンである。戻るキー904は、初期画面に戻るときに押し下される。
図10は、実施形態に係るボックス機能のユーザインタフェースの一例を示す図である。図9に示した画面で、ひとつのボックスが操作者によって選択されると、CPU501は、タッチパネルセンサにより選択されたボックスを検知する。さらに、CPU501は、図10に示すような画面を液晶表示部705に表示する。
1001は、ボックス内に記憶されているジョブ文書のリストである。各ジョブ文書の保存日時、ジョブ文書の名称などがリスト表示される。何れかのジョブ文書名の表示エリアが押し下げされると、CPU501は、当該ジョブ文書の行を反転表示させる。例えば、図10では、ジョブ文書2が選択されている。
スキャンキー1002が押し下げられると、CPU501は、原稿のスキャンを実行し、得られた画像データをジョブ文書として、選択されたボックスに追加する。プリントキー1003が押し下げられると、CPU501は、反転表示されているジョブ文書の印刷を実行する。設定変更キー1004が押し下げられると、CPU501は、選択されたジョブ文書に関する印刷設定を変更する。例えば、印刷する部数やプリント機能に関する追加や変更などである。
消去キー1005が押し下げられると、CPU501は、選択されたジョブ文書を消去する。上下スクロールキー1006は、画面をスクロールさせるために利用される。例えば、複数のジョブ文書がボックスに格納されているため、液晶表示部705に一度に表示できないときに利用される。戻るキー1007は、図9の画面に戻るときに押し下される。
図11は、実施形態に係る宛先表の一例を示す図である。宛先表は、送信ボタン1010が押し下げられると液晶表示部705に表示される。1101は、宛先の情報を示している。宛先の情報1101には、宛先ごとに、送信方法の種類、宛先の名称、宛先情報などが含まれている。宛先情報は、電子メールアドレス、ファクシミリ電話番号、ネットワークアドレスなどである。
宛先の名称が表示された行が押し下されると、CPU501は、当該宛先の行を反転表示させる。例えば、図11ではユーザ1が選択されていることを示している。上下スクロールキー1102は、一度に全ての宛先を表示できないときに、画面をスクロールさせるために利用される。1103は戻るキーである。決定ボタン1104が押し下げられると、CPU501は、選択されている宛先にジョブ文書を送信する。
図12Aは、実施形態に係る文書管理テーブルの一例を示す図である。この管理テーブルは、ボックス内に記憶されている画像データ(文書データ)とライセンス情報との対応関係を管理するために使用される。管理テーブルは、例えば、ハードディスクドライブ604に記憶される。
文書管理テーブル1201は、ボックス番号1202、文書名1203、日付1204、時間1205、文書のファイル名1206、ライセンス情報のファイル名1207を含む。ボックス番号1202は、文書ボックスを一意に表す識別子である。文書名1203、日付1204、時間1205は、それぞれ図10で表示されている文書名、日付、時間を表している。なお、画像データとライセンス情報は、ボックス領域に保存されているものとする。
ライセンス情報1207が空欄の文書に関しては、画像データとライセンス情報との対応が取れていないことを表している。すなわち、ある文書に含まれる画像データについてライセンス情報が存在すれば、当該画像データは、操作権限が設定されたセキュアなデータである。一方、ある文書に含まれる画像データについてライセンス情報が存在しなければ、当該画像データは、誰でも自由に操作できるデータとなる。
図12Bは、実施形態に係る文書管理テーブルの他の一例を示す図である。文書管理テーブル1210は、画像形成装置104のデバイス固有フォーマットの画像データに関する管理情報のテーブルである。デバイス固有のフォーマットについては後述する。文書管理テーブル1210の各項目のうち、ボックス番号1212、文書名1213、日付1214、時間1215、文書のファイル名1216は、文書管理テーブル1201における同一名称の項目と同一である。すなわち、これらは、ボックス番号1202、文書名1203、日付1204、時間1205、文書のファイル名1206に対応している。パスワード1217はボックス内の文書に設定されるパスワードを示す。このパスワードは、ボックス内の文書が暗号化された場合の暗号化及び復号化のための鍵として用いられる。デバイス固有の文書のフォーマットを変換することによって、デバイス固有でない、汎用的なフォーマットが生成されボックスに記憶されている場合がある。このような場合に、関連する汎用フォーマット1218には、その汎用フォーマットの文書を特定する情報(ここではファイル名)が設定される。なお、ボックス内に汎用フォーマットの文書が先に存在し、後から当該文書のデバイス固有フォーマット文書が生成される場合もありうる。この場合にも、同様に文書管理テーブル1210にその情報が設定される。属性情報1219には、デバイス固有フォーマットの画像データに対する操作権限を示す情報として、許可されている操作の種類が記述されている。例えば、文書名6に対しては当該文書に対する操作として文書の参照と文書の印刷が許可されている。属性情報1219には、より細かい操作権限情報として、例えば、ユーザごとの操作権限を記述するようにしてもよい。
<紙原稿をスキャンして暗号化された文書を生成し蓄積する方法>
図13は、実施形態に係るファイル操作制限方法の一例を示すフローチャートである。この例では、スキャナを用いて入力した原稿の画像ファイル(画像データ)から汎用の文書ファイル(文書データ)(例:PDFファイルなど)が生成される。すなわち、文書ファイルは画像ファイルから派生したものである。文書ファイルは暗号化によりファイル操作が制限される。さらに、文書ファイルに関連する画像ファイルについてもファイル操作が制限される。
PDFファイル(第1のファイル)を生成するのに先立って、CPU501は、ステップS1301において、原稿画像から第2のファイルを生成する。なお、第2のファイルは、例えば、デバイス固有のフォーマット(例:JPEGやJBIGやTIFFなど)の画像データである。具体的に、CPU501は、操作パネル508からのスキャン指示に応じて、スキャナ部504を駆動して、紙原稿の画像を読み取る。読み取られた画像は、一旦、デバイス固有のファーマットに従った画像データまたは画像ファイルに変換され、画像メモリ505に記憶される。なお、デバイス固有のフォーマットとは、例えば、画像形成装置内での処理に適したデータ形式(例:JPEG、JBIGやTIFFなど、あるいは独自フォーマットでもよい)のことである。原稿の画像ファイルから汎用の文書ファイルとデバイス固有のフォーマットの画像ファイルとを生成することによって、画像ファイルを外部へ送信する場合は、送信宛先でも扱える形式である汎用の文書ファイルを用いてもよい。また、画像ファイルを印刷する場合は、画像形成装置内での処理に適したデバイス固有フォーマットの文書ファイルを用いてもよい。このようにすれば、用途に応じて、最適なフォーマットを使い分けることが可能になろう。
ステップS1302において、CPU501は、文書ファイルである第1のファイルに対して所定の操作の制限が要求されているかどうかを判別する。例えば、CPU501は、当該第1のファイルに対して暗号化の要求があるか否かを判定してもよい。暗号化をすれば、ファイルに対する操作を制限できるからである。なお、暗号化の要求については、例えば、予め操作パネル508から入力されているものとする。暗号化の要求が無ければ、ステップS1310に進み、CPU501は、操作の制限がない文書ファイルを生成する。
一方、操作の制限の要求があった場合は、ステップS1303に進み、CPU501は、操作パネル508を通じて、パスワードの入力を操作者に促す。パスワードは、例えば、暗号化の鍵として利用される。さらに、CPU501は、操作パネル508を通じて入力されたパスワードをRAM503に書き込む。
ステップS1304において、CPU501は、デバイス固有フォーマットである画像データを変換して汎用フォーマットである文書ファイルを生成する。さらに、CPU501は、入力されたパスワードを用いて、文書ファイルを暗号化する。これにより、この文書ファイルについては、パスワードを知っているユーザのみが操作できることになる。
ステップS1305において、CPU501は、第2のファイルについても所定の操作を制限する。例えば、固有フォーマットの画像ファイルである第2のファイルに対しても、上記パスワードを用いて暗号化を実行する。これにより、暗号化された画像ファイルが生成される。このように、画像ファイルは、所定の操作が制限されている文書ファイルに関連するファイルであるため、画像ファイルについても所定の操作が制限される。
なお、文書ファイルを暗号化するための鍵と、画像ファイルを暗号化するための鍵とは、必ずしも共通である必要はない。また、双方のファイルに対して、共通の暗号化アルゴリズムを適用する必要もない。要するに、関連する一方のファイルについて操作が制限される場合に、関連する他方のファイルについても同様に操作が制限されればよいのである。
例えば、暗号化されたPDFファイルを生成するための鍵は、ユーザに入力させたパスワードを用いる。さらに、このPDFファイルに対して、アドビ社のアクロバットの仕様に準拠した暗号化が適用される。固有フォーマットの画像ファイルに対して暗号化を行なう際は、画像形成装置に予め登録されている少なくとも一つ以上の鍵と、汎用的な暗号化アルゴリズム(例:3DESなど)とが使用されてもよい。これらは、単なる一例に過ぎない。
ステップS1306において、CPU501は、生成した文書ファイルと、関連する画像ファイルとを関連付けてHDD604に蓄積する。これら関連付けられた複数のファイルを見た目上1つの文書としてグループ化してもよい。
なお、これらのファイルは、上述のボックスに格納されてもよいし、ボックス以外の記憶領域に格納されてもよい。ボックスに格納される場合、CPU501は、これらのフィルについて文書管理テーブル1210を更新する。なお、これらのファイルは暗号化によって所定の操作が制限されているため、CPU501は、上述のライセンス情報を作成して、作成したライセンス情報もボックスに格納してもよい。
文書管理テーブル1210において、文書名9の文書が図13のフローチャートの結果生成された文書に対する管理情報に相当する。文書名9のデバイス固有フォーマットは文書名9.jpgであり、汎用フォーマットは文書名9.imgであるそして両者はパスワード「JJKKL」を鍵として暗号化されていることがわかる。
以上説明したように、本実施形態では、スキャンされた原稿画像から関連する複数のファイルが生成される場合に、一方のファイルについて操作が制限されるときは、他方のファイルについても同様に操作が制限されるようにしている。そのため、関連する一連のファイルを好適に漏洩等から保護することができる。
図13の例では、操作パネル508から暗号化のパスワードが入力されていた。しかしながら、操作パネル508の一部としてICカードのリーダ装置を追加してもよい。この場合、CPU501は、リーダ装置に挿入されたICカードから所定の情報を読み出して、鍵を生成してもよい。
<画像形成装置に蓄積済みの文書に対して操作の制限を行なう方法>
図14は、実施形態に係るファイル操作制限方法の他の例を示すフローチャートである。こでは、予め画像形成装置のHDD604などに蓄積されている文書について、操作を制限する例について説明する。
CPU501は、操作パネル508から文書一覧の表示が指示されると、HDD604に記憶されている文書管理情報に基づいて、文書の一覧を作成し、例えば図10のような一覧を操作パネル508に表示する。文書管理情報によって、CPU501は、1文書として管理されている1以上のファイルを認識できる。例えば、文書のID、文書のタイトル、文書を構成する各ファイルのファイル名、および操作制限(例:暗号化)の有無などの情報が文書管理情報によって管理される。なお、文書管理情報は、上述の文書管理テーブル1201、1210であってもよいし、別のものであってもよい。なお、図12に示した文書管理テーブル1201、1210は、一文書を管理できるように構成されていない。よって、文書IDの格納欄と、文書タイトルの格納欄が、文書管理テーブル1201に格納されることになろう。
CPU501は、操作パネル508に表示されている一覧から、暗号化の対象となる文書が選択され、暗号化の指示が入力されたことを検出すると、本フローチャートを実行する。
ステップS1401において、CPU501は、パスワードの入力を促すためのメッセージを操作パネル508に表示する。さらに、CPU501は、操作パネル508を通じて入力されたパスワードをRAM503に書き込む。
ステップS1402において、CPU501は、操作パネル508において選択された文書に関する固有フォーマットのファイルをHDD604から読み出し、暗号化を実行する。暗号化の際には、入力されたパスワードが使用される。
ステップS1403において、CPU501は、文書管理情報に基づいて、関連する他のフォーマットのファイルが存在するかどうかを判定する。関連する全てのファイルについて暗号化を実行すると、ステップS1405に進み、CPU501は、暗号化されたファイルについての文書管理情報を更新する。すなわち、CPU501は、当該ファイルについての暗号化の有無を表す情報を、「暗号化あり」に変更する。
一方、他のファイルが残存していれば、ステップS1404に進み、CPU501は、他のファイルについても同様に暗号化を実行する。この暗号化については、暗号化対象の文書に関連する全てのファイルについて暗号化が終了するまで繰り返される。なお、暗号化処理が終了したオリジナルのファイルに関しては、HDD604から削除されるものとする。その後、ステップS1405において、CPU501は、暗号化されたファイルについての文書管理情報を更新する。
以上説明したように本実施形態によれば、予め画像形成装置内に蓄積されている、複数の関連ファイルについても操作を制限することが可能となる。すなわち、一つのファイルについて所定の操作が制限されるときは、他の関連するファイルについても同様に所定の操作が制限されることになる。
<画像形成装置に蓄積済みの文書に対してポリシーの設定を行なう方法1>
上述の実施形態では、暗号化によりファイルへの操作を好適に制限するものであった。しかしながら、暗号化だけでは、ファイルに対する複数の異なる操作(例:表示、編集、印刷など)を個別に制限することが難しい。そこで、以下では、ファイルに対する操作権限を示すポリシーを設定することで、当該ファイルへの操作を制限する例を説明する。
図15は、実施形態に係るファイル操作制限方法の他の例を示すフローチャートである。CPU501は、操作パネル508に表示されている文書の一覧から何れかの文書が選択され(図10)、ポリシーの設定が指示されたことを検出すると、以下の処理を実行する。ポリシーの設定の指示は、例えば、設定変更キー1004の押し下げによって実現される。
ステップS1501において、CPU501は、ディレクトリサーバ101へのログイン情報の入力処理を実行する。例えば、CPU501は、ログイン情報の入力を操作者に促すための画面を操作パネル508に表示する。ディレクトリサーバ101は、いわゆるポリシーサーバとして機能する。ポリシーサーバは、文書ID、ユーザIDとの組み合わせごとのポリシー(ファイル操作権限)を管理するサーバである。
ステップS1502において、CPU501は、入力されたログイン情報が正当なものか否かを判定する。例えば、CPU501は、ログイン情報とともに認証要求をディレクトリサーバ101に送信する。ディレクトリサーバ101から正当を表す応答が返信されれば、CPU501は、ログイン成功と判定し、ステップS1503に進む。一方、CPU501は、ログイン情報が正当でないことを表す情報をディレクトリサーバ101から受信すると、ポリシーの設定処理を終了する。なお、ディレクトリサーバ101に代えて、上述のユーザ認証サーバ102がログイン処理を実行してもよい。以下の認証処理に関しても、ユーザ認証サーバ102が実行してもよい。
ステップS1503において、CPU501は、「ポリシーの選択処理」、または「ポリシー付きの汎用フォーマット文書をインポートする処理」のうち、どちらの処理を実行するかを、ユーザからの指示に基づいて選択する。ポリシーの選択処理を選択した場合にはステップS1504へ進む。
ステップS1504において、CPU501は、複数のポリシーのうち適用したいポリシーを選択するための画面を操作パネル508に表示する。これらのポリシーは、何れもディレクトリサーバ101により管理されているものとする。また、選択画面については、ディレクトリサーバ101から受信した複数のポリシーに関する情報に基づいて、CPU501が作成してもよい。
ステップS1505において、CPU501は、選択されたポリシーが付与された汎用の文書ファイル(例えばPDFファイルなど)を生成する。例えば、CPU501は、選択されたポリシーの識別情報などをディレクトリサーバ101に送信する。ディレクトリサーバ101は、受信した文書ID、ユーザID、および選択されたポリシーの識別情報などを対応付けて記憶する。そして、CPU501はディレクトリサーバ101から受信したライセンス情報を汎用の文書ファイルに付加する。これによりポリシーの付与が行われる。これにより、ポリシーが付与された文書ファイルをホストコンピュータ103などが操作しようとすると、ホストコンピュータ103がディレクトリサーバ101から文書IDとユーザのIDとの組み合わせに対応する操作権限の情報を取得する。これにより、文書ファイルへの操作を好適に制限できる。
一方、「ポリシー付きの汎用フォーマット文書をインポートする処理」が選択された場合(S1503)、ステップS1509で、CPU501は、画像形成装置104の外部からポリシー付きの汎用フォーマットの文書ファイルを受信してボックスに格納する。そして、ステップS1510で、CPU501は、インポートした汎用フォーマットの文書ファイルからデバイス固有フォーマットの画像データを生成する。そしてステップS1506へ進む。
ステップS1506において、CPU501は、文書管理情報に基づいて、選択された文書を構成する他のフォーマットのファイルが存在するか否かを判定する。他のファイルが存在しない場合、ステップS1508に進み、CPU501は、文書管理情報を更新して処理を終了する。他のフォーマットのファイルとは、例えば、PDFファイル以外の画像ファイル、デバイス固有のフォーマットの画像データなどである。なお、本実施形態において、PDFファイルに対してはポリシーを付与することが可能であるが、他のフォーマットのファイルに対してはポリシーの設定はできないものとする。
一方、他のファイルが存在した場合は、ステップS1507に進み、他のフォーマットのファイルに対して暗号化処理を実行する。なお、暗号化の鍵は、ディレクトリサーバ101へログインする際に入力されたログイン情報を利用できる。あるいは、上述したように、CPU501が、操作パネル508を通じて、パスワード等の入力を操作者に要求してもよい。あるいは、予めHDD604等に記憶されている一以上の鍵を、CPU501が利用してもよい。さらに、上述したようにICカードを利用してもよい。その後、ステップS1507において、CPU501は、文書管理テーブルの更新を行なう。
以上説明したように、本実施形態によれば、1文書として管理されている全てのファイルに対してポリシーを付与するか、あるいは暗号化を施すことで、好適にファイルへの操作を制限できるようになる。
<デバイスに蓄積済みの文書に対してポリシー設定を行なう方法2>
上述の実施形態では、PDFファイルなどのポリシーの設定が可能な文書ファイルについてはポリシーを付与し、他の関連ファイルについては暗号化により操作を制限していた。本実施形態では、他の関連ファイルについて保護属性を付与することで、操作を好適に制限する。なお、既に説明した処理については、同一の参照符号を付すことで、説明を簡潔にする。
図16は、実施形態に係るファイル操作制限方法の他の例を示すフローチャートである。図15と比較すると、図16では、ステップS1507が、ステップS1607に置き換えられていることを理解できよう。ステップS1607において、CPU501は、他のフォーマットのファイルに関する文書管理テーブル1210中の属性情報を更新する。例えば、CPU501は、選択されたポリシーの内容(例:表示の可否、編集の可否、印刷の可否など)を解析し、同内容の属性情報を生成し、ファイルに付与する。さらに、ステップS1508に進み、CPU501は、文書IDと、属性情報とを対応付けるよう、文書管理テーブルを更新する。
更新された文書管理テーブルの例を図12Bに基づいて説明する。文書管理テーブル1210において、汎用フォーマットの「文書名8.img」に参照、印刷、編集の権限が与えられたポリシーが付与されたとする。この場合、関連するデバイス固有フォーマットである「文書名8.jpg」に対して同じ権限を示す情報が属性情報1219に設定される。
以上説明したように、文書ファイルについて所定の操作が制限される場合、CPU501は、制限の内容を取得して、取得した内容に応じた属性を他の関連ファイルに付与する。例えば、ポリシー付きのPDFファイルが生成される場合、関連する他のファイルについては、ポリシーの内容を反映した属性情報が生成され、他のファイルに付与される。これによって、1文書として管理される複数のファイルについて、操作を好適に制限できるようになる。
なお、画像形成装置104は、ファイルの識別情報である文書IDをディレクトリサーバ101に送信することで、当該ファイルについて付与されているポリシーの内容を取得できる。この場合、ポリシーデータベースにおけるポリシーの内容を変更すれば、ファイル自体を変更せずに、操作の制限内容を変更できる利点がある。画像形成装置104のボックスに格納された汎用フォーマット文書ファイルの操作権限がディレクトリサーバ101のポリシーデータベース上で変更された場合、その変更に応じて文書管理テーブル1210の属性情報1219を更新すればよい。
<ポリシーが付与されている文書を出力する方法>
図17は、実施形態に係るポリシーが付与されている文書を出力する方法の一例を示すシーケンス図である。図中のデバイスは、クライアントとなるデバイスであり、ホストコンピュータ103や画像形成装置104などである。ここでは、画像形成装置104をデバイスとして説明する。
ステップS1701において、CPU501は、操作パネル508を通じて操作者による画像形成装置104へのログインを実行する。このログイン処理は、ICカードを用いた認証処理であってもよい。ステップS1701において、CPU501は、操作パネル508を通じて、HDD604に記憶されている文書へのログイン要求を検出する。
ステップS1703において、CPU501は、ディレクトリサーバ101に対して操作者のログイン情報を送信する。このログイン情報、操作パネル508を通じて入力されたものである。なお、シングルサインオンサービスの有効な環境であれば、画像形成装置104へのログイン情報をそのままディレクトリサーバ101へのログインに適用してもよい。なお、シングルサインオンサービスとは、あるネットワークにおいて認証処理に成功すれば、他のネットワークにおいて認証処理を省略するサービスをいう。
ステップS1704において、ディレクトリサーバ101のCPU401は、受信したログイン情報が正当なものであるかどうかをチェックする。ステップS1705において、CPU401は、ログイン処理の結果を画像形成装置104に送信する。ログインに失敗した場合、ステップS1730に進み、画像形成装置104のCPU501は、操作パネル508にエラーメッセージを表示し、処理を終了する。
一方、ログインに成功すると、ステップS1706において、ディレクトリサーバ101のCPU401は、ログインした操作者が、文書の出力権限を持っているかどうかを検証する。例えば、CPU401は、画像形成装置104から受信した文書IDと、ユーザIDとに基づいて、ポリシーデータベースを検索する。ポリシーデータベース(図2)には、文書IDと、ユーザID(ユーザ名)と、操作権限の情報とが対応づけて記憶されている。ステップS1707において、CPU401は、データベースから抽出された操作権限の情報を検証結果通知として、画像形成装置104に送信する。
画像形成装置104のCPU501は、受信した検証結果通知が「操作不可」を表すものであれば、操作パネル508にエラーメッセージを表示して処理を終了する(S1730)。
一方、検証結果がOKの場合(操作権限ありの場合)、ステップS1708において、ディレクトリサーバ101のCPU401は、復号化のための鍵を画像形成装置に送信する。復号化の鍵も、予め画像形成装置104からディレクトリサーバ101に送信され、ポリシーデータベースに登録されているものとする。
ステップS1709において、画像形成装置104のCPU501は、受信した鍵を用いて、PDFファイルを復号する。文書の送信が指示されている場合、ステップS1710において、CPU501は、復号化されたPDFファイルを電子メールに添付して、他のデバイスに送信する。なお、他のファクシミリ装置に文書が送信されてもよい。但し、文書の秘匿性を保ったまま送信をしたい場合、CPU501は、暗号化されたままのポリシー付きPDFファイルを送信する。
一方、文書の印刷が指示されているときは、ステップS1711において、CPU501は、固有フォーマットの画像ファイルを復号化する。なお、ディレクトリサーバ101から、「印刷権限あり」の情報をCPU501は受信しているものとする。ステップS1712において、CPU501は、復号化した画像ファイルをプリンタ部506に送出して、印刷を実行する。なお、この場合、PDFファイルに対しては復号化の処理を行なう必要はない。
このとき、固有フォーマットのファイルを復号化するための鍵は、暗号化処理に依存する。例えば、ディレクトリサーバ101から受信した鍵を用いる場合がある。また、画像形成装置104に予め登録されている鍵を用いる場合もある。さらに、PDFファイル以外を復号化するために、別の鍵を用いる場合もある。さらに、ユーザが設定したパスワードを用いる場合もある。
以上説明したように、本実施形態によれば、一の文書として管理されている複数のファイルについて、それぞれ出力の目的に応じて復号処理と出力処理とが実行される。なお、電子メールなど他の装置にファイルが送信される場合は、暗号化したまま送信することで、ファイルの機密性を保持できる。また、印刷する場合は、PDFファイルを復号せずに、印刷用の画像ファイルだけを復号することで、効率よく印刷を実行できる。
<文書の内容をプレビューする方法>
上述の実施形態では、出力処理の一例として、送信処理と、印刷処理について説明した。以下では、プレビュー処理について説明する。まず、ディレクトリサーバ101と連携してプレビューする場合は、図17の手順をほとんど採用できる。すなわち、CPU501は、図17で説明した手順で固有フォーマットのファイルを復号化し、さらにプレビュー用の画像を生成して、操作パネル508に表示する。なお、プレビュー処理を行なう場合には、汎用フォーマット文書ファイルを用いずに、関連するデバイス固有フォーマットの画像データからプレビュー用の画像を生成する。
図18は、実施形態に係る出力処理の一例を示すフローチャートである。この図を用いて、ディレクトリサーバ101と連携せずに、暗号化されている文書をプレビューする処理を説明する。
ステップS1801において、CPU501は、操作パネル508を通じて、プレビューを要求された文書について、操作権限の制限された暗号化文書であるか否かを判定する。例えば、CPU501は、文書のIDに基づいて文書管理テーブルを参照し、操作制限の有無を判定する。暗号化による操作権限の制限が付与されていない通常文書であれば、ステップS1803に進み、CPU501は、固有フォーマットファイルからプレビュー用の画像を生成して、操作パネル508に表示する。
一方、操作制限のある文書であれば、ステップS1802に進み、CPU501は、操作者が閲覧権限を有しているか否かを判定する。例えば、CPU501は、操作パネルを通じて、認証情報(暗号化時に設定したパスワードなど)の入力を操作者に促す。そして、CPU501は、入力された認証情報が正当なものであるかどうかを検証する。
正当な認証情報でなかった場合、CPU501は、操作パネル508にエラーメッセージを表示し、プレビュー表示を行なうことなく、処理を終了する。一方、正当な認証情報である場合、ステップS1803に進む。CPU501は、入力された認証情報を基に、デバイス固有フォーマットのファイルを復号し、さらに、プレビュー用の画像を生成する。さらに、CPU501は、プレビュー用の画像を操作パネル508に表示する。
以上説明したように、本実施形態によれば、ディレクトリサーバ101と連携することで好適にプレビュー処理を実行できる。さらに、ディレクトリサーバ101と連携しない場合も、画像形成装置104が保持している文書管理情報に応じて好適にプレビュー処理を実行できる。
<セキュア文書が含まれる場合のサムネイルによる文書一覧表示の禁止方法>
従来のように、PDFファイルについてはポリシーを付与することで、当該ファイルの機密性を保持できる。しかしながら、画像形成装置内の固有フォーマットのファイルについて機密性を保持することは難しい。例えば、文書の内容について、固有フォーマットのファイルからサムネイル画像を表示する場合、文書が閲覧されてしまうおそれがある。そこで、サムネイル表示などでも、好適に文書の機密性を保持する方法を説明する。
図19は、実施形態に係るサムネイル表示の一例を示すフローチャートである。本実施形態では、蓄積されている複数の文書の何れかがセキュア文書であれば、一覧を禁止することで、文書の機密性を保持するものである。セキュア文書とは、本実施形態において操作権限の制限された文書を意味する。操作パネル508において、一覧表示が指示されると、本フローチャートに係る処理が開始される。
ステップS1901において、CPU501は、文書管理情報に基づいて、セキュア文書がHDD604に蓄積されている否かを判定する。ここで、セキュア文書が一つも含まれていない場合、ステップS1902に進み、CPU501は、蓄積されている文書についてのサムネイル画像を作成し、文書の一覧表示を実行する。一方、セキュア文書が1つでも含まれていた場合、ステップS1903に進み、CPU501は、蓄積されている文書の文書名からなる一覧を作成し、操作パネル508に表示する。
本実施形態によれば、いつでもセキュアな文書が含まれている場合は、強制的に文書名による一覧(リスト)を表示することで、文書の機密性を保持することができる。
<セキュア文書が含まれる場合のサムネイルによる文書一覧の表示方法>
図19で説明した方法では、1つでもセキュアな文書が蓄積されていると、全ての文書についてサムネイル表示が制限されてしまう。すなわち、操作の制限されていない一般文書までもサムネイル表示が禁止されてしまう。これでは、融通を欠いてしまうおそれもある。そこで、表示が禁止されている文書についてのみサムネイル表示を禁止する例を説明する。
図20は、実施形態に係るサムネイル表示の他の例を示すフローチャートである。なお、既に説明した個所には同一の参照符号を付すことで、説明を簡略化する。
セキュア文書が含まれていない場合、ステップS2020に進み、CPU501は、サムネイル画像を生成する。ステップS2006において、CPU501は、サムネイル画像を用いて操作パネル508に一覧表示を実行する。
一方、セキュア文書が含まれている場合、ステップS2002に進む。ステップS2002において、CPU501は、処理対象の文書に対して、操作者が閲覧権限を有しているか否かを判定する。閲覧権限の有無は、例えば、文書管理情報に基づいて判定される。例えば、CPU501は、認証情報の入力画面を操作パネル508に表示する。さらに、CPU501は、入力された認証情報と、文書管理情報に登録されている認証情報とが一致するか否かを判定する。あるいは、入力された認証情報を復号化の鍵として使用することで、閲覧権限の有無を判定してもよい。もちろん、上述したように、ディレクトリサーバ101に問い合わせてもよい。あるいは、シングルサインオンサービスが適用されてもよい。
閲覧権限があれば、ステップS2004に進み、CPU501は、処理対象文書についてのサムネイル画像を生成する。一方、閲覧権限がない場合、ステップS2003に進み、CPU501は、そのセキュア文書を一覧表示の対象から除外する。
ステップS2005において、CPU501は、蓄積されている全ての文書について、サムネイル処理(S2002〜S2004)が終了したか否かを判定する。終了していなければ、次の文書について処理すべく、ステップS2002に戻る。ステップS2006において、CPU501は、操作者が閲覧権限を有している文書についてのみ一覧表示を実行する。
以上説明したように、本実施形態によれば、操作者が閲覧権限を有している文書については一覧表示を行なうため、操作者は、閲覧権限を有している文書を視覚的に確認できる。また、閲覧権限のない文書については一覧表示から除外されるため、操作者は、そのような文書の存在すら知ることはできない。そのため、文書の機密性を保持しやすいといえる。
上述の実施形態では、サムネイル画像による一覧表示について説明した。しかしながら本発明はこれに限定されることはない。文書名により一覧表示など、他の形式の一覧表示が採用されてもよい。
なお、予めサムネイル用の画像ファイルを生成しておき、1文書として管理してもよい。この場合、サムネイル画像をその都度生成する処理を省略できて便利であろう。
<ホストコンピュータからのボックスへのファイルの格納>
以下では、ホストコンピュータ103が、画像形成装置104のボックスへ電子文書を格納する処理について説明する。
図21は、実施形態に係るボックス格納処理の例示的なフローチャートである。図において、枠Aはホストコンピュータ103の処理を示している。また、枠Bは、画像形成装置104の処理を示している。
ステップS2101において、ホストコンピュータ103のCPU401は、操作部406を通じて、電子文書の利用要求を受け付ける。ステップS2102において、CPU401は、ディレクトリサーバ101へのログイン画面を表示装置405に表示する。CPU401は、操作部406を通じて、ユーザ名とパスワードの入力を受け付ける。
ステップS2103において、CPU401は、入力された認証情報をユーザ認証サーバ102に送信することで、ユーザの正当性の確認を問い合わせる。ステップS2104において、CPU401は、ユーザのログインが成功したか否かを判定する。例えば、ユーザ認証サーバ102によって、正当性が確認されれば、ログインが成功したと判定される。ログインに成功しなければ、ステップS2105に進み、CPU401は、ログインできない旨のエラーメッセージを表示装置405に表示する。
一方、ログインに成功すると、ステップS2106に進み、CPU401は、文書ファイルに付随するライセンス情報(図3)と、ユーザ名の情報とをディレクトリサーバ101に送信する。ディレクトリサーバ101のCPU401は、ライセンス情報とユーザ名の情報とを受信すると、ポリシーデータベース(図2)からファイルへの操作権限の情報(制限情報)を読み出し、ホストコンピュータ103に送信する。ステップS2107において、ホストコンピュータ103のCPU401は、操作権限の情報を受信する。
ステップS2108において、ホストコンピュータ103のCPU401は、画像形成装置104のボックスに対する電子文書の格納要求を操作部406から受け付ける。ステップS2109において、CPU401は、取得した操作権限の情報から、印刷権限の有無を判定する。
ボックスへの格納処理は、通常の印刷処理と類似した処理である。すなわち、何れの処理でも、印刷ジョブデータ(例:PDLデータなど)がホストコンピュータ103から画像形成装置104へと送信されるからである。但し、操作者が、対象となっている電子文書について印刷権限を有していなければ、印刷を実行できないため、ボックスへの格納も実行されない。
ホストコンピュータ103の操作者が印刷権限を有していなければ、ステップS2110に進み、CPU401は、その旨をエラーメッセージとして表示装置405に表示する。一方、印刷権限を有していれば、ステップS2111に進み、CPU401は、電子文書から印刷ジョブのデータを生成する。ステップS2112に進み、CPU401は、印刷ジョブのデータとともに、電子文書に付随していたライセンス情報を画像形成装置104に送信する。
ステップS2120において、画像形成装置104のCPUは、受信した印刷ジョブがボックスへの格納ジョブであることを認識すると、印刷ジョブデータを画像データに変換する。例えば、CPU401は、PDLデータをビットマップ展開することで画像データのファイル(画像ファイル)を生成する。この画像ファイルは、上述の固有フォーマットが適用されるものとする。さらに、CPU501は、画像ファイルとライセンス情報との対応を文書管理テーブル1201に記録する。また。CPU501は、画像ファイルとライセンス情報とを文書ボックスに格納する。なお、ステップS2120において、固有フォーマットのファイルとともにPDFなどの汎用の文書ファイルを生成しても良い。
ステップS2121において、CPU401は、画像ファイルに受信したライセンス情報を添付してボックスに格納する。なお、複数のボックスが存在する場合は、ホストコンピュータ103から何れかのボックスを指定できるようにしてもよい。なお、デバイス固有フォーマットの画像データとライセンス情報とを関連付けて管理したものが図12の文書管理テーブル1201になる。
以上説明したように、本実施形態によれば、操作の制限されているセキュアな電子文書をホストコンピュータ103から画像形成装置104のボックスに、好適に格納することができる。もちろん、セキュアな電子文書から派生したジョブ文書(印刷用の画像ファイル)についても、オリジナルの電子文書と同等の操作制限を施すことができる利点もある。
<ボックスに格納された画像ファイルの印刷処理>
図22は、実施形態に係るボックスに保存された画像ファイルを印刷する方法を示す例示的なフローチャートである。なお、この例では、操作者が画像形成装置104の操作パネルを通じて印刷を指示するものとする。
ステップS2201において、CPU501は、操作パネル508を通じて、画像形成装置104の利用要求を検出する。ステップS22022において、CPU501は、操作パネル508と通じて、ユーザ名とパスワードの入力を受け付ける。ステップS2203において、CPU501は、入力されたユーザ名とパスワードとをユーザ認証サーバ102に送信する。
ステップS2203において、CPU501は、入力された認証情報をユーザ認証サーバ102に送信することで、操作者の正当性を問い合わせる。ステップS2204において、CPU401は、操作者のログインが成功したか否かを判定する。例えば、ユーザ認証サーバ102によって、正当性が確認されれば、ログインが成功したと判定される。ログインに成功しなければ、ステップS2205に進み、CPU501は、ログインできない旨のエラーメッセージを操作パネル508に表示する。
一方、ログインに成功すると、ステップS2206に進み、CPU501は、操作パネル508に初期画面を表示する。操作パネル508のボックス機能キー702が押し下げられると、CPU501は、ボックス選択画面(図9)を操作パネル508に表示する。さらに、何れかのボックスが選択されると、CPU501は、文書の選択画面(図10)を操作パネル508に表示する。CPU501は、印刷対象の電子文書(ジョブ文書)の選択を受け付ける。
ステップS2207において、CPU501は、ジョブ文書とともに保持されたライセンス情報をディレクトリサーバ101に送信する。この際には、操作者のユーザ名なども送信される。ステップS2208において、CPU501は、ディレクトリサーバ101から操作権限の情報を取得する。
ステップS2209において、CPU501は、操作パネル508に表示されたプリントキー1003の押下を検出すると、ステップS2210に進む。ステップS2210において、CPU501は、操作権限の情報のうち、印刷権限の有無を判定する。ログインしている操作者が印刷権限を持たない場合、ステップS2211に進む。CPU501は、印刷が許可されていない旨をエラーメッセージとして操作パネル508に表示する。一方、印刷が許可されている場合、ステップS2212に進み、CPU501は、ジョブ文書をボックスから読み出し、プリンタ部506に送出する。これにより所望のジョブ文書が印刷される。
本実施形態によれば、画像形成装置104において印刷時に生成されたジョブ文書について、正当権限を有する操作者のみが再利用できる利点がある。もちろん、オリジナルの電子文書について、正当な権限を有しない操作者は、ジョブ文書についても同様に操作することができない。
<印刷に関するバリエーション>
上述の実施形態によれば、ボックスに格納されたジョブ文書について、印刷の許可/禁止を好適に制御する例を説明した。しかしながら、スタンプ印刷の実行権限や、ヘッダ・フッタへのユーザ名等の付加といった実行権限を操作権限として追加してもよい。
図23は、実施形態に係る操作権限データベースの他の例を示す図である。図2のデータベースと比較すると、印刷設定に関する操作権限の情報が追加されていることを理解できよう。
図24は、実施形態に係るボックスに保存された画像ファイルを印刷する方法を示す他の例示的なフローチャートである。既に説明した個所には、同一の参照符号を付すことで説明を簡潔にする。
なお、ステップS2208では、印刷設定に関する情報もディレクトリサーバ101から取得される。印刷権限がある場合、ステップS2210からステップS2412に進む。CPU501は、ボックスに格納されている印刷対象のジョブ文書を、操作権限に応じて再構成する。ここで、操作権限に従った画像の再構成が行なえない場合は、印刷処理をキャンセルしてもよい。
例えば、ユーザBが、図3のライセンス情報を保持しているジョブ文書について印刷を要求したとする。ユーザBは、印刷の実行権限を有しているため、印刷を実行できる。ただし、印刷設定として、コピー不可のスタンプを付加することが操作権限によって義務付けられている。よって、CPU501は、ジョブ文書の背景にコピー不可を意味する画像を合成する。ステップS2212において、CPU501は、再構成されたジョブ文書を印刷する。
本実施形態によれば、操作者の操作権限に応じてジョブ文書を再構成することで、操作権限に応じた画像形成を実現できる。例えば、ジョブ文書の背景にコピー不可などの画像が追加された画像を記録媒体上に形成できる。
<ボックスに格納されているジョブ文書の送信>
図25は、実施形態に係るボックスに格納されているジョブ文書の送信を示す例示的なフローチャートである。操作者が操作パネル508のボックス機能キー702を押し下げると、CPU501は、ボックス機能の基本画面(図9)を操作パネル508に表示する。続いて、ボックス機能の基本画面からボタン901bが選択されると、CPU501は、ジョブ文書のリスト表示画面(図10)を操作パネル508に表示する。
ステップS2501において、CPU501は、操作パネル508を通じて送信対象の電子文書の選択を受け付ける。CPU501は、選択された電子文書を反転表示する。送信ボタン1010の押し下げを検出すると、CPU501は、ステップS2502において、宛先の選択処理を実行する。例えば、CPU501は、宛先表(図11)を操作パネル508に表示することで、宛先の選択を待つ。ここでは、複数の宛先が選択されてもよい。何れかの宛先が選択された後で、決定ボタン1104が押し下げられると、ステップS2503に進む。
ステップS2503において、CPU501は、選択された電子文書を、選択された宛先に送信してよいか否かを判定する。例えば、CPU501は、選択された電子文書についての操作制限が、選択された宛先においても守れるのであれば、送信可と判定する。一方、守れないのであれば、送信不可と判定する。例えば、汎用フォーマットに付加されたライセンス情報を宛先となる受信側の機器で解釈可能であれば送信可能と判断し、解釈不可能であれば送信不可と判断する。宛先の機器がライセンス情報を解釈可能であるか否かは、例えば、画像形成装置104が保持するアドレス帳にそのような情報を保持しておくことによってその判断が可能になる。
操作の制限が守られないと判断した場合、ステップS2504に進み、CPU501は、送信処理を中止し、操作パネル508に送信しない旨のエラーメッセージを表示する。一方、操作の制限が守られると判断した場合、ステップS2505に進み、CPU501は、電子文書を宛先に送信する。また、CPU501は、送信が成功した旨のメッセージを操作パネル508に表示する。
図26は、実施形態に係る送信判定処理の一例を示すフローチャートである。本フローチャートは、図25のステップS2503をサブルーチンとして示したものである。
ステップS2601において、画像形成装置104のCPU501は、選択された電子文書がセキュアな文書か否かを判定する。例えば、CPU501は、文書管理テーブル1201において、選択された電子文書についてライセンス情報が対応づけられているか否かを判定する。
電子文書とライセンス情報とが対応づけられていなかった場合、送信処理を中止するためにステップS2504に進む。一方、電子文書とライセンス情報とが対応づけられていれば、ステップS2602に進み、CPU501は、選択された宛先についての宛先情報を取得する。本実施形態において、宛先情報とは、例えば、送信方法の種類、宛先名称、宛先情報(図11)である。もちろん、本発明は、これらの例示された情報に限定されるわけではない。
ステップS2603において、CPU501は、取得した宛先情報のうち、送信方法の種類を参照し、電子文書に付属するライセンス情報が宛先で利用されるか否かを判定する。例えば、送信方法が、電子メール、FTP(File Transfer Protocol)、SMB(Service Message Block)、ボックス文書送信などであれば、ライセンス情報も宛先で利用されると判定される。よって、ステップS2505に進む。
一方、FAX送信などは、宛先でライセンス情報を利用できない送信方法である。すなわち、このような送信方法では、電子文書が、画像データとして宛先に送信され、記録媒体上に印刷されてしまう。よって、ライセンス情報による操作制限が無効となってしまう。よって、CPU501は、送信方法がFAX送信であれば、ライセンス情報が利用されないと判定し、ステップS2504に進む。
図27は、実施形態に係る電子文書の送信処理(S2505)の一例を示すフローチャートである。ここでは、説明の便宜上、送信処理(S2505)をサブルーチンとして示す。
ステップS2701において、CPU501は、宛先情報に含まれる送信方法の種類を参照し、他の画像形成装置へのボックス文書送信であるか否かを判定する。ボックス文書送信であれば、ステップS2703に進み、電子文書とライセンス情報とをそのまま送信する。宛先が画像形成装置であれば、ライセンス情報に基づく操作権限の制御が機能するからである。
なお、電子メール送信など、ボックス文書送信以外の送信方法であれば、ステップS2702進む。ステップS2702において、CPU501は、電子文書とライセンス情報とを結合する。その後、ステップS2703に進み、CPU501は、ライセンス情報の結合された電子文書を宛先に送信する。
以上説明したように本実施形態によれば、宛先において、電子文書に付与されている操作権限の情報が利用される場合に限り、電子文書の送信を許可している。例えば、ファクシミリ送信など、操作を制限できないような宛先への送信は禁止される。よって、宛先に応じて、電子文書の機密性を好適に保持することができる。
[他の実施形態]
以上、様々な実施形態を詳述したが、本発明は、複数の機器から構成されるシステムに適用してもよいし、また、一つの機器からなる装置に適用してもよい。例えば、スキャナ、プリンタ、PC、複写機、複合機及びファクシミリ装置の如くである。
本発明は、前述した実施形態の各機能を実現するソフトウェアプログラムを、システム若しくは装置に対して直接または遠隔から供給し、そのシステム等に含まれるコンピュータが該供給されたプログラムコードを読み出して実行することによっても達成される。
従って、本発明の機能・処理をコンピュータで実現するために、該コンピュータにインストールされるプログラムコード自体も本発明を実現するものである。つまり、上記機能・処理を実現するためのコンピュータプログラム自体も本発明の一つである。
その場合、プログラムの機能を有していれば、オブジェクトコード、インタプリタにより実行されるプログラム、OSに供給するスクリプトデータ等、プログラムの形態を問わない。
プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、MO、CD−ROM、CD−R、CD−RWなどがある。また、記録媒体としては、磁気テープ、不揮発性のメモリカード、ROM、DVD(DVD−ROM,DVD−R)などもある。
また、プログラムは、クライアントコンピュータのブラウザを用いてインターネットのホームページからダウンロードしてもよい。すなわち、該ホームページから本発明のコンピュータプログラムそのもの、もしくは圧縮され自動インストール機能を含むファイルをハードディスク等の記録媒体にダウンロードしてもよいのである。また、本発明のプログラムを構成するプログラムコードを複数のファイルに分割し、それぞれのファイルを異なるホームページからダウンロードすることによっても実現可能である。つまり、本発明の機能処理をコンピュータで実現するためのプログラムファイルを複数のユーザに対してダウンロードさせるWWWサーバも、本発明の構成要件となる場合がある。
また、本発明のプログラムを暗号化してCD−ROM等の記憶媒体に格納してユーザに配布してもよい。この場合、所定条件をクリアしたユーザにのみ、インターネットを介してホームページから暗号化を解く鍵情報をダウンロードさせ、その鍵情報で暗号化されたプログラムを復号して実行し、プログラムをコンピュータにインストールしてもよい。
また、コンピュータが、読み出したプログラムを実行することによって、前述した実施形態の機能が実現されてもよい。なお、そのプログラムの指示に基づき、コンピュータ上で稼動しているOSなどが、実際の処理の一部または全部を行ってもよい。もちろん、この場合も、前述した実施形態の機能が実現され得る。
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれてもよい。そのプログラムの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部または全部を行ってもよい。このようにして、前述した実施形態の機能が実現されることもある。