JP6432321B2 - 情報処理システム、機密漏洩防止方法、及び機密漏洩防止プログラム - Google Patents
情報処理システム、機密漏洩防止方法、及び機密漏洩防止プログラム Download PDFInfo
- Publication number
- JP6432321B2 JP6432321B2 JP2014248185A JP2014248185A JP6432321B2 JP 6432321 B2 JP6432321 B2 JP 6432321B2 JP 2014248185 A JP2014248185 A JP 2014248185A JP 2014248185 A JP2014248185 A JP 2014248185A JP 6432321 B2 JP6432321 B2 JP 6432321B2
- Authority
- JP
- Japan
- Prior art keywords
- image
- server
- taken out
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Accessory Devices And Overall Control Thereof (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Facsimiles In General (AREA)
Description
本発明は、情報処理システム、機密漏洩防止方法、及び機密漏洩防止プログラムに関する。
印刷物における文書の情報が漏洩した際、セキュリティーソフトウェアにおいて、印刷日時、文書作成者、文書に含まれる文字列などの文字を検索キーにして、データベース中の保管情報を検索するものがあった。
しかし、検索キーによる検索では、文字・数字を含まない、画像のみのページが流出した場合は、漏洩文書の特定が困難であった。そして、文書に含まれる文字列を検索キーとして使えないため、漏洩文書の印刷日時や文書作成者を判定することが困難だった。
また、印刷物による文書の漏洩を防止するための別の対策として、非特許文献1では、文書を印刷する際、「誰がいつどこでこの文書を印刷したか」などの情報を文書に埋め込む「電子透かし」技術が既に知られている。この技術では、同一文書であっても、印刷日時、印刷者、プリンタなどが異なれば、埋め込む透かし情報も異なるものになっており、文書をスキャナーで読み取り、専用ソフトウェアで解析すると、埋め込まれた透かし情報を取り出せる。機密文書が万一外部に漏洩したときは、「誰がいつどこでこの文書を印刷したか」の情報を文書から取り出すことにより、文書の流出経路などを特定する。
しかし、電子透かし方法が複数存在しているとき、埋め込まれている透かし情報の読み取りに必要な処理コストと時間が大きくなる。この問題を解決するため、電子透かしに読み取りに必要な情報の一部を外部のデータベース(メタ情報データベース)に保管する技術が開示されている(特許文献1)。
ここで、電子透かしを用いると、コピーを繰り返すなどして印刷物における印刷画像が微妙に変わることで透かし情報が劣化し、埋め込んだ電子透かし情報を読み出せなくなることがあった。
そこで、本発明は上記事情に鑑み、文書に関連する属性情報が、印刷を繰り返しても劣化しない、情報処理システムを実現することを目的とする。
上記課題を解決するため、本発明の一態様においてサーバーと、印刷物が所定の領域から持ち出されることの可否を判定する可否判定装置と、を有する情報処理システムにおいて、
前記サーバーは、画像出力装置が前記印刷物を出力する際に使用する第1の画像と、前記印刷物の前記所定の領域の外への持ち出しの可否を含む属性情報とを対応付けて記憶する記憶手段と、前記印刷物の少なくとも一部である第2の画像を受信する画像受信部と、を有し、
前記可否判定装置は、前記印刷物を読み取り、前記第2の画像を取得する読取部と、前記読取部が取得した前記第2の画像を前記サーバーへ送信する送信部と、を有し、
前記サーバーは、前記第2の画像と一致する前記第1の画像を前記記憶手段から検索し、前記第2の画像に一致する前記第1の画像が存在しない場合、前記印刷物に書き込みがあると判断し前記印刷物の持ち出しを許可しない判断を行い、前記第2の画像と一致する前記第1の画像が存在し、前記第1の画像に対応する前記属性情報が、持ち出し不可である場合、前記印刷物の持ち出しを許可しない判断を行い、前記第2の画像と一致する前記第1の画像が存在し、前記第1の画像に対応する前記属性情報が、持ち出し可である場合、前記印刷物の持ち出しを許可する判断を行う。
前記サーバーは、画像出力装置が前記印刷物を出力する際に使用する第1の画像と、前記印刷物の前記所定の領域の外への持ち出しの可否を含む属性情報とを対応付けて記憶する記憶手段と、前記印刷物の少なくとも一部である第2の画像を受信する画像受信部と、を有し、
前記可否判定装置は、前記印刷物を読み取り、前記第2の画像を取得する読取部と、前記読取部が取得した前記第2の画像を前記サーバーへ送信する送信部と、を有し、
前記サーバーは、前記第2の画像と一致する前記第1の画像を前記記憶手段から検索し、前記第2の画像に一致する前記第1の画像が存在しない場合、前記印刷物に書き込みがあると判断し前記印刷物の持ち出しを許可しない判断を行い、前記第2の画像と一致する前記第1の画像が存在し、前記第1の画像に対応する前記属性情報が、持ち出し不可である場合、前記印刷物の持ち出しを許可しない判断を行い、前記第2の画像と一致する前記第1の画像が存在し、前記第1の画像に対応する前記属性情報が、持ち出し可である場合、前記印刷物の持ち出しを許可する判断を行う。
一態様によれば情報処理システムにおいて、文書に関連する属性情報が印刷を繰り返しても劣化しない。
以下、図面を参照して本発明を実施するための形態について説明する。
<<第1実施形態>>
図1は、本発明の第1実施形態の機密漏洩防止システム(情報処理システム)1を示すネットワーク構成の概略図である。本実施形態の情報処理システム1は、印刷する全ての文書を印刷履歴と共に登録し、情報漏洩時に検索できる、本発明における基本的な情報漏洩防止システムである。
図1は、本発明の第1実施形態の機密漏洩防止システム(情報処理システム)1を示すネットワーク構成の概略図である。本実施形態の情報処理システム1は、印刷する全ての文書を印刷履歴と共に登録し、情報漏洩時に検索できる、本発明における基本的な情報漏洩防止システムである。
機密漏洩防止システム1において、画像出力装置(出力プリンタ)20と接続されたクライアントPC10は、ネットワーク90を介して、サーバー30と接続されており、管理者PC(管理者用PC)40によって管理されている。
クライアントPC10は、クライアント機器であって、サーバー30が提供するプログラムやデータを活用するPCであって、例えば、企業内ネットワークで社員等が利用する情報処理装置(情報処理端末)である。クライアントPC10は、ユーザー(操作者、企業内メンバー)によって操作され、サーバー30に対し、印刷の対象となる印刷対象データから変換した印刷画像を、送信する。
サーバー30は、印刷物を画像として登録し、後で登録した画像から所定の画像を検索できる、イメージマッチング用サーバー38として機能する。サーバー(情報管理サーバー)30において、情報処理を行う処理部34は、文書データを保持する記憶手段(データベース:Data base DB)33と接続されている。
記憶手段33は、電源を切っても内部データを保持することができる不揮発性の半導体メモリ(ROM等)である。また、記憶容量を確保するため、記憶手段33はHDD(Hard Disk Drive)などの外付けメモリであってもよい。
画像出力装置20は、クライアントPC10からの情報を受け取る。本実施形態において、画像出力装置20は、少なくともプリンタ機能等を備えたプリンタである。さらに、画像出力装置20は、スキャナー機能、ファックス機能、プリンタ機能等を備えたデジタル複合機、これらの複数の機能を備える、複合機である多機能周辺装置(Multifunction Peripheral:MFP)であってもよい。
管理者PC40は、例えば、企業等におけるセキュリティー部門において、ネットワークに接続されたサーバー30及びクライアントPC10における情報を管理、情報漏洩を監視するための情報処理装置である。
図2は、図1に示したサーバー30、クライアントPC10、及び管理者PC40の機能構成の例の図である。クライアントPC10は、印刷ジョブ受付部11、プリンタドライバ12、印刷画像・印刷履歴抽出部13、及び印刷画像・印刷履歴送信部(通信部)14を有する。
印刷ジョブ受付部11は、ユーザーから入力された印刷ジョブを、受け取る。ここで、ユーザーから指示される印刷ジョブには、文書ファイルである印刷対象データとともに、属性情報としてファイル名が含まれる。また、情報処理装置であるクライアントPC10の機能により自動的に、パソコン名(クライアント機器の機器名)、ユーザー名(クライアントPCのログインID)、及び印刷時刻なども属性情報として含まれる。
プリンタドライバ12は、印刷用データ生成部121及び印刷用データ送信部122を備える。プリンタドライバ12は、印刷ジョブ受付部11から受け取った印刷ジョブの印刷対象データを、プリンタが解釈可能な印刷用データに変換し、該印刷用データを画像出力装置20へ送信して印刷物を出力させる。
詳しくは、印刷用データ生成部121は、指示された印刷対象データの電子ファイル(コマンド)のデータを、プリンタが解釈可能なページ記述言語(Page Description Language:PDL)で記述された印刷用データへ変換する。
印刷対象データは、ファイル形式としては、HPGL(Hewlett−Packard Graphics Language)、TIFF(Tagged Image File Format)、Calcomp、JPEG(Joint Photographic Experts Group)、DWG(登録商標)、ワード(登録商標)、エクセル(登録商標)などがありえる。
また、PDLの例として、PS(Post Script)形式のデータなどがありえる。印刷対象データからPDLを生成する際、印刷画像の中の文章や画像の大きさを印刷時のページに合わせて調整すること、及びプリントアウトする印刷物のフッター・ヘッダーなどにURL、日付、タイトル、ページ数、印刷者名などを付与すること、などを実施してもよい。
印刷用データは、例えば印刷制御コマンドと描画コマンドを有していてもよく、PDL生成後、あるいは作成時に、ラスタリングによるラスタ画像、或いはベクタ画像の生成などのプロセスが実施され、このプロセスが実施されたデータを印刷用データとしてもよい。
印刷用データ送信部122は、印刷用データ生成部121により得られた印刷用データを画像出力装置20へ出力する。そして、画像出力装置20において、印刷用データに基づいて画像を形成し、印刷物を出力する(プリントアウトする)。
印刷画像・印刷履歴抽出部13は、印刷用データ生成部121より得られた印刷用データから、出力される印刷物のページ毎の画像を、印刷画像(第1の画像)として抽出する。
同時に、本実施形態において、印刷画像・印刷履歴抽出部13は、ユーザーから入力されたファイル名と、クライアントPC10により付加される、パソコン名、及びユーザー名、印刷時刻などの属性情報を、「誰がいつどこで何を印刷したか」という印刷履歴として抽出する。なお、属性情報にはセキュリティーレベルを含むこともできる。
通信部である印刷画像・印刷履歴送信部14は、印刷画像・属性情報抽出部13から取得した印刷画像及び属性情報を、サーバー30へ転送する。
サーバー30は、ハードウエア構成として、処理部34と記憶手段33とを有する。処理部34は、クライアントPC10及び管理者PC40と通信する通信部31、及び印刷画像内の画像検索に関連する検索制御部32を有する。
通信部31は、印刷画像・属性情報受信部311、読取画像受信部312、及び属性情報送信部313を備える。
印刷画像・属性情報受信部311は、クライアントPC10の印刷画像・印刷履歴送信部14とネットワーク90を介して接続され、印刷画像・属性情報を受け取る。印刷画像・属性情報受信部311は、印刷画像及び印刷履歴を特徴検出・インデックス生成部35へ受け渡し、印刷履歴を含む属性情報は、印刷履歴アクセス部362へ受け渡す。
読取画像受信部312及び印刷履歴送信部313は、管理者PC40とネットワーク90により接続されており、情報漏洩時に、漏洩文書をスキャンした画像を受信し、特定した印刷履歴を送信する。
検索制御部32は、特徴検出・インデックス生成部(生成手段)35、データベースアクセス部(DBアクセス部)36、及びデータ検索部37を備える。
特徴検出・インデックス生成部35は、印刷画像から特徴量を抽出してインデックスを生成する。詳細は図3を用いて説明する。
DBアクセス部36は、印刷画像アクセス部361と、印刷履歴アクセス部362とを備えている。DBアクセス部36は、特徴検出・インデックス生成部35、及びデータ検索部37と、記憶手段33に含まれる印刷画像データベース(DB)331、インデックスDB332、及び印刷履歴DB333との送受信を行う。
データ検索部37は、情報漏洩時に属性情報を検索する際、イメージマッチングにより、データベース331,332,333の検索を行う。データ検索部37は、印刷画像検索指示部371、イメージマッチング部372、及び属性情報取得部373を備えて構成される。
印刷データ指示部371は、印刷画像の検索を指示するとともに、検索ポインター(図3参照)を受け取る。
イメージマッチング部372は、印刷画像アクセス部361を介して、印刷画像DB331とインデックスDB332を検索し、イメージマッチングを行う。イメージマッチングでは、受け取った画像の特徴量を抽出し、該特徴量を用いて、登録された印刷画像の中で受け取った画像(読取画像)を検索する。即ち、受け取った第2の画像の特徴量を抽出し、該特徴量を用いてイメージマッチングを実施することで、登録された第1の画像の中から、受け取った第2の画像に一致する画像を検索する。
例えば、イメージマッチングの例としてとして、RVS(Ricoh Visual Search)の概要は、以下のWebページ及び特開2010−140250号にて開示されている。
http://www.ricoh.co.jp/about/company/technology/tech/044.html
http://www.ricoh.co.jp/about/company/technology/tech/044.html
属性情報取得部373は、ポインターを用いて、印刷履歴DBアクセス部362を介して、印刷履歴DB333を検索し、印刷履歴を含む属性情報を取得する。
記憶手段33は印刷画像DB331、インデックスDB332、及び印刷履歴(属性情報)DB333を備える。印刷される際に、記憶手段33において、印刷画像(第1の画像)と属性情報を関連づけて登録することで、後の情報漏洩時にイメージマッチング要求を受けた際に、対応する画像を探索し属性情報を特定できるようになる。ここで、印刷される際とは、印刷指示から実際の印刷までのどこか(印刷と並列)であってもよいし、下記フローに示すように、実際の印刷が出力された後であってもよい。記憶手段33については、下記、図3とともに詳述する。
なお、本構成において、情報漏洩時には、管理者PC40の情報漏洩検索部、サーバー30における、データ検索部37、読取画像受取部312、属性情報送信部313が漏洩文書検索プログラムとなる。
管理者PC40は漏洩文書検索プログラムを実行する漏洩文書検索指示部(漏洩文書検索部)41を有している。漏洩文書検索指示部41は、読取画像送受信部411、属性情報受信部412、ユーザーインテーフェース413を備えている。
さらに管理者PC40は、セキュリティーレベルを、印刷画像を登録した後に変更可能な、セキュリティーレベル設定部42を備えていてもよい。例えば、未公開の製品が製品発表されたり、販売されたりして公知になった場合、登録された文書のセキュリティーレベルを、管理者がセキュリティーレベル設定部42を操作して、後から記憶手段33の印刷履歴DB333のデータを変更することも可能である。
図3はデータベースに記録されたデータの説明図である。印刷画像DB331には、印刷画像データ334と、ページデータ335と、が含まれている。
印刷画像データ334の印刷画像のデータ領域334aは、クライアントPC10において印刷物のページ毎に抽出された印刷画像(第1の画像)を、通信により、サーバー30の印刷画像・印刷履歴受信部311が取得した場合に記録される。
印刷画像データ334の印刷画像識別子のデータ領域334bは、特徴抽出・インデックス生成部35において、印刷画像から特徴量を抽出してインデックスを生成した場合に記録される。詳しくは、印刷画像識別子のデータ領域334bには、取得した印刷画像のページ(情報漏洩ページ)を特定するための識別子に関するデータが記録される。本発明の複数の実施形態においては、特徴抽出・インデックス生成部35が印刷画像の特徴量を抽出したデータが、印刷画像識別子として記録される。
ページデータ335は、ページ識別子、印刷画像識別子、予備領域を含んで構成される。このページデータ335は、特徴抽出・インデックス生成部35において、印刷画像から特徴量を抽出してインデックスを生成した場合に記録される。
ページ識別子のデータ領域335aには、各印刷画像の各ページに含まれる各要素(紙面を構成する文章、図面等)を特定するための識別子に関するデータが記録される。
印刷画像識別子のデータ領域335bには、上述の印刷画像データ334に対応付けられた、印刷画像のページを特定するための識別子に関するデータが記録される。
予備領域335cは、例えば、各ページにおいての要素(紙面を構成する文章、図面)が配置された領域を特定するための座標など、関連するデータを含んで構成されてもよく、あるいは次に送られてくる印刷画像の準備のための予備的な領域にもなる。
このように記録するので、印刷画像DB331に記録されるデータは、印刷画像334bと印刷画像識別子334a、335bとを対応づけることで、識別子付き印刷画像とみなすことができる。
インデックスDB332には、印刷画像のページを特定する索引となる、インデックスデータ336が含まれている。インデックスデータ336は、上位インデックス、下位インデックス、ページ識別子、印刷履歴ポインター(属性情報ポインター)他座標に関するデータなどを含んで構成される。インデックスデータ336は、属性インデックスを除き、特徴抽出・インデックス生成部35において、印刷画像から特徴量を抽出してインデックスを生成した場合に記録される。
上位インデックス、下位インデックスデータ領域336a、336bには、米国特許7,702,673号に開示されたミックスド・メディア・リアリティの技術を用いて算出された特徴量によって付与されたインデックスが記録される。
本実施形態では、ツリー構造を備えており、代表的な上位インデックスに関連付けられた詳細な下位インデックスに展開されている。
ページ識別子のデータ領域336cには、最下層の下位インデックスに対して、この特徴量が算出された紙面のページ特定するための識別子が記録される。また、その位置を特定するための座標に関するデータが記録される座標データ領域を含んでもよい。
図3に示すように、ページ識別子は、印刷画像DB331及びインデックスDB332の両方に含まれているため、印刷画像データ334とインデックスデータ336と対応付けることができる。即ち、印刷画像(第1の画像)に索引用のインデックスを付すことができる。
また、印刷履歴ポインターのデータ領域336dは、インデックスDB332と印刷履歴DB333との対応付けをするためのものであって、印刷履歴ポインターは所望の印刷履歴がインデックスDB332の中でどこにあるのかを指し示す索引となる。
印刷履歴DB333には、本実施形態ではユーザー名(ログイン名)を含む印刷履歴データ(属性情報データ)337が含まれている。
印刷履歴データ337の印刷履歴のデータ領域337aは、クライアントPC10において印刷ジョブから抽出された印刷履歴を、通信により、サーバー30の印刷画像・印刷履歴受信部311が取得した場合に記録される。本実施形態において、印刷履歴は、印刷を指示したユーザー名、印刷日時、ドキュメント名、プリンタ名、クライアントPCのコンピューター名を含む。本実施形態では、情報漏洩時に、漏洩文書のスキャン画像から印刷履歴を取得できる。
なお、属性情報は、本実施形態では印刷したユーザー名を含む印刷履歴であるが、第2実施形態では再印刷の可否のチェック状況、第3実施形態では、所定の機密管理領域外への持ち出しの可否、第4実施形態では印刷したユーザー名を、含みうる。
また、インデックスポインターのデータ領域337bは、インデックスDB332と印刷履歴DB333との対応付けをするものであって、インデックスポインターは所望のインデックスが印刷履歴DB333の中でどこにあるのかを指し示す索引となる。
このように、インデックスDB332の印刷履歴ポインター336d、印刷履歴DB333のインデックスポインター337bによって、インデックスDB332と印刷履歴DB333は相互に対応づけられる。これにより、印刷画像データ334と印刷履歴データ337とが対応づけられ、登録された印刷画像から印刷履歴が検索できるようになる。
図4Aは、本発明の第1実施形態における動作の例のシーケンス図である。図4Bはサーバーの図4Aにおける動作の例の詳細シーケンス図である。図4A及び図4Bを参照して、情報漏洩の登録時及び情報漏洩時の流れについて説明する。
((印刷開始時))
図4AのS101において、ユーザーがクライアントPC10上で、印刷ジョブを入力する。
図4AのS101において、ユーザーがクライアントPC10上で、印刷ジョブを入力する。
S102において、クライアントPC10は、印刷用データを生成する。より詳しくは、印刷用データ生成部121は、印刷対象データをPDL形式等の印刷用データへデータを変換する。
S103において、生成された印刷用データは印刷用データ送信部122にて画像出力装置20へ転送される。そして、画像出力装置20において、印刷用データに基づいて画像を形成し、印刷物を出力する(プリントアウトする)(S104)。
このプリントアウト動作と並行して又はプリントアウト動作後に、クライアントPC10内で、生成された印刷用データは印刷画像・印刷履歴抽出部13へと送られる。
S105において、印刷画像・印刷履歴抽出部13が、印刷用データから、ページ毎に印刷画像(第1の画像)を抽出するとともに、クライアントPC10の機能により属性情報を抽出する。
印刷画像は、抽出された属性情報(本実施形態では印刷履歴)と一緒に、印刷画像・属性情報送信部14により、サーバー30へ転送される(S106)。
より詳しくは、図4BのS1において、サーバー30はクライアントPC10と双方向通信を行い、通信部31の印刷画像・属性情報取得部311が、上記印刷画像と属性情報とを取得する(S1)。そして、印刷画像・属性情報取得部311は、該印刷画像と属性情報を特徴抽出・インデックス生成部35へ送信し(S2)、属性情報を検索制御部32の印刷履歴アクセス部362へと送信する(S3)。
S107(図4B、S4)において、特徴抽出・インデックス生成部35は、取得した印刷画像の特徴量を抽出し、この抽出した特徴量と取得した属性情報を基にして、夫々ファイル毎に索引用のインデックスを付する(図3参照)。これにより、識別子付き印刷画像、及びインデックス、及びページ識別子、ポインター(属性情報ポインター、インデックスポインター)が生成され、これらが記憶手段33へ送られる(図4B、S5)。
S108(図4B、S6)において、識別子付き印刷画像、インデックス、ページ識別子、及びポインターと、別途取得した属性情報(印刷履歴)が、印刷画像DB331、インデックスDB332、及び印刷履歴DB(属性情報DB)333へ登録される。このように、記憶手段33に保管することで、後のイメージマッチング要求を受けた際に、登録された印刷画像内で読取画像に対応する画像を探索できるようになる。
((情報漏洩時))
S200において、情報漏洩が発生したとする。S201において、管理者が、情報が漏洩した印刷物(ページ)をスキャナー50でスキャンする。スキャナー50は読取画像を管理者PC40へ送信する(S202)。
S200において、情報漏洩が発生したとする。S201において、管理者が、情報が漏洩した印刷物(ページ)をスキャナー50でスキャンする。スキャナー50は読取画像を管理者PC40へ送信する(S202)。
管理者は、管理者PC40上で、漏洩文書検索プログラムを起動する。なお、予め設定により、スキャナー50から読取画像の受信に応じて、管理者PC40において、漏洩文書検索プログラムが自動的に起動するように設定していてもよい。
S203(図4B、S7)において、管理者PC40はサーバー30と双方向通信を行い、管理者PC40の読取画像送受信部411は、サーバー30の通信部31の読取データ受信部312へ、スキャンされた画像(第2の画像)を送信する。また、登録された印刷画像から捜索するように、イメージマッチングの要求も一緒に送信する。
サーバー30において、スキャンした画像(読取画像、第2の画像)を受け取った読取画像受信部312は、データ検索部37へ、読取画像、及びイメージマッチングの要求を送信する(図4B、S8)。
上述のように印刷が指示され、印刷対象となる全ての文書(印刷対象データ)の印刷画像は、記憶手段33に、ページ毎、及び印刷ジョブ(文書)毎に、登録されている。
検索において、データ検索部37は、DBアクセス部36の印刷画像アクセス部361を介して、記憶手段33へ、印刷画像を読み出すように、要求する(図4B、S9)。そして、記憶手段33から、識別子付き印刷画像、インデックス、を取得する(S10)。
そして、イメージマッチング技術を用いて、スキャンされた画像に一致する印刷画像を印刷画像DB331内で探索して、印刷画像データ334を特定する(S204,S11)。
スキャンされたページの画像(情報が漏洩した画像)に一致する印刷画像を特定すると、データ検索部37は、図4B、S12,S13において記憶手段33を読み出して、属性情報(印刷履歴)を取得する。
そして、S205においては、データ検索部37は、特定した印刷画像データ(画像)334の属性情報(本実施形態では、ユーザー名、印刷日時「誰がいつ情報を印刷したか」)を、ページ識別子、ポインターを用いて特定する(S205,図4B、S14)。
その後、S206においてその判定した属性情報(ユーザー名、印刷日時)のデータを送信元である、管理者PC40の漏洩文書検索指示部(プログラム)41へ送信する(図4B、S15,S16)。
上述のS105〜S108、S202〜S206のプロセスは、機密漏洩防止プログラムによって実行される。
このように、本発明の実施形態による機密漏洩防止システム1を用いることにより、スキャンした画像を用いて、漏洩文書を特定することができる。
以上により、本発明の実施形態において、「誰がいつどこでこの文書を印刷したか」の情報と対応付けて印刷対象となる文書の印刷画像もサーバーに保管し、漏洩文書のスキャン画像から、イメージマッチング技術によってサーバー上の文書の印刷画像を特定する。よって、この文書に対応する「誰がいつどのプリンタでこの文書を印刷したか」の情報を取得できる。
なお、サーバー30に登録される印刷対象となる文書の印刷画像は必ずしも全ページでなくてもよい。例えば、記憶手段へ印刷画像を登録する際、機密のレベルが高い文書を選択的に記憶してもよい。詳しくは、汎用性のある公知のインターネット画面を印刷するときは、サーバーにおいて、印刷対象となる文書の印刷画像を記憶せず、社内ネットワーク内でのみ開示された社外秘情報を印刷する際には、印刷画像を記憶するように設定してもよい。このような選択的な登録は、例えば、第1実施形態、第2実施形態において適用できる。
さらに、本発明の実施形態では、スキャン画像をもとに、オリジナルの文書の印刷画像を自動的に見つけ出し、印刷履歴情報を取得できるので、文字列の検索キーを用いないので、画像のみのページが流出した場合にも漏洩文書を特定することができる。
<変形例1>
図5は、本発明の第1実施形態の第1の変形例に係る機密漏洩防止システムのネットワーク構成の概略図である。上述の実施形態において、プリンタドライバはクライアントPCに設けられていたが、プリンタドライバはサーバーに設けられていてもよい。
図5は、本発明の第1実施形態の第1の変形例に係る機密漏洩防止システムのネットワーク構成の概略図である。上述の実施形態において、プリンタドライバはクライアントPCに設けられていたが、プリンタドライバはサーバーに設けられていてもよい。
プリンタドライバ39Aがサーバー側に設置される場合、印刷画像・印刷履歴抽出部39Bもサーバー側へ設置されるので、図4AにおけるプロセスS102〜S105の動作は、サーバー30Aが指示する。
この場合、クライアントPC10Aの印刷ジョブ送受信部15は、印刷画像に変換する前の印刷ジョブをサーバー30Aへ送信する。
また管理者PC40Aは、撮影手段としてカメラ43を備える、例えば、スマートフォンやタブレット端末、ノートPC(Personal Computer)、及び事業用無線端末等の携帯端末(情報処理端末)40Aであってもよい。
なお、さらに別のシステムでは、プリンタドライバ39Aが設置されたサーバー30Aを、スキャナーを用いる第1実施形態の情報処理装置からなる管理者PC40と組み合わせてもよい。
その他の動作、構成は、上述の実施形態と同様であるので、説明は割愛する。
<変形例2>
図6は、本発明の第1実施形態の第2の変形例に係る機密漏洩防止システムのネットワーク構成の概略図である。
図6は、本発明の第1実施形態の第2の変形例に係る機密漏洩防止システムのネットワーク構成の概略図である。
上述の実施形態において、クライアントPC10Bに設けられたプリンタドライバは、印刷を実行する際に、サーバーに印刷文書を送信していたが、PDF作成部16においてPDFを作成する際にPDF化した文書をサーバーへ送信してもよい。
PDF作成部16はプリンタドライバ12の指示で動作する、あるいは、プリンタドライバ12内に設置されている、例えば、ダウンロード又はパッケージにより設定される各種PDFクリエイター(PDF作成ソフト)、等である。
この構成では、各種ワード、エクセル、パワーポイント(登録商標)などの文書をPDFする際に、PDF画像がサーバー30に送信され、PDFにより機密文書が流出することを防止する。
なお、このようなPDFによる操作者の特定を、上述のようにプリントアウトによる印刷による印刷者との特定を組み合わせて、情報漏洩時に検索できるようにしてもよい。
本実施形態においても、情報漏洩時はイメージマッチングにより、スキャンした画像と、PDF化した画像、又は/及び印刷画像の中から、読取画像に一致する画像を特定することができる。
<<第2実施形態>>
図7は、第2実施形態に係る機密漏洩防止システム(情報処理システム)2のネットワーク構成の概略図である。
図7は、第2実施形態に係る機密漏洩防止システム(情報処理システム)2のネットワーク構成の概略図である。
本実施形態において、情報処理システム2は一度印刷した文書の再印刷、複写、スキャンを禁止するシステムである。管理者PC40Cは、再印刷可否設定部44を備える。なお、管理者PC40Cは、上記第1実施形態のように、漏洩文書検索指示部41を備えていてもよい。
本実施形態において、属性情報に、さらに再印刷の可否の情報を含む。具体的に、プリンタドライバの設定項目に、以下のチェックボックスが追加する。
□ この文書の再印刷、コピー、スキャンを禁止する ・・・(A)
図8は、図7のサーバー30C、クライアントPC10C、及び管理者PC40Cの機能構成の例の図である。第1実施形態と異なる点のみ説明する。
□ この文書の再印刷、コピー、スキャンを禁止する ・・・(A)
図8は、図7のサーバー30C、クライアントPC10C、及び管理者PC40Cの機能構成の例の図である。第1実施形態と異なる点のみ説明する。
クライアントPC10Cは、チェックボックスの選択を行うためにユーザーインターフェース18を備えており、ユーザーインターフェースで選択されたチェック状況と、印刷ジョブは印刷ジョブ送受信部15によりサーバー30Cへ送信される。
本実施形態では、図5の変形例のように、サーバー30C側にプリンタドライバ39Aと印刷画像・印刷履歴抽出部39Bとが設けられている。よって、クライアントPC10Cは、印刷時に、印刷データを作成する前に、通信を行い、印刷ジョブ送受信部15によりサーバー30Cへ印刷ジョブを送信する。
サーバー30Cに設けられたプリンタドライバ39Aは、印刷用データ生成部391、印刷用データ送信部392の他に、印刷用データ一時記憶領域393を備えている。本実施形態においては、印刷用データが生成されても、印刷が許可されないこともあるため、印刷用データ生成部391で生成された印刷用データは作成後、一時的に印刷用データ一時記憶領域393へ保存される。下記フローにより、プリントアウトが許可される場合は、印刷用データ一時記憶領域393は印刷用データ送信部392へ印刷用データを送信して、画像出力装置20により印刷が実行される。
また、クライアントPC10Cは、印刷が不可の場合に印刷不可指示を受け取る印刷不可受信部17を備えており、印刷不可の旨はユーザーインターフェース18に表示する。
図9は、第2実施形態における動作の例のシーケンス図である。
まず、ユーザーがクライアントPC10Cで文書の印刷操作を行ったとする(S301)。
ユーザーは通常の印刷の指示を行う際に、上記(A)の「この文書の再印刷、コピー、スキャンを禁止する」のチェックボックスにチェックを入れるかどうか選択する(S302)。
まず、ユーザーがクライアントPC10Cで文書の印刷操作を行ったとする(S301)。
ユーザーは通常の印刷の指示を行う際に、上記(A)の「この文書の再印刷、コピー、スキャンを禁止する」のチェックボックスにチェックを入れるかどうか選択する(S302)。
印刷ジョブ、チェックボックスの選択状況はS303でクライアントPC10Cとサーバー30Cとが通信することで転送される。その後、サーバー30Cにおいて、印刷用データの生成(S304)、印刷画像・属性情報抽出部39Bにより、印刷画像の抽出が行われる(S305)。
なお、本実施形態では、印刷用データの生成、印刷画像の抽出は、プリントアウト前にチェックさせる必要があるので、サーバー30C側にあることが通信回数を多くしないのでより好ましい。しかし、印刷用データを送信する機能がイメージマッチングを行うデータ検索部37と接続されていれば、クライアントPC10C内に、印刷用データの生成機能および印刷画像の抽出機能を設けてもよい。
なお、プリンタドライバ39Aにおいて、印刷用データ生成部391で生成された印刷用データを、印刷用データ一時記憶領域393内で一時的に保存しておく(S304)。
そして、データ検索部37において、今回印刷対象となる画像(第2の画像)と、前回以前に印刷され、データベースに登録されている印刷画像(第1の画像)内で一致を検索する、イメージマッチングを実施する(S306)。
イメージマッチングにおいて、サーバー30Cの印刷画像DB331に登録された過去の印刷画像に、今回印刷の対象となる画像と、一致する印刷画像がなければ(S307)、即ち今回印刷を希望する文書を過去に印刷したことがなければ、印刷は許可される。よって印刷画像は画像出力装置20へ送信される(S308)。
記憶手段33に登録された過去の印刷画像に一致する文書の印刷画像が少なくとも1つ存在する場合であって、S309へ進む。その印刷画像に対応する履歴が、上記(A)のチェックボックスがオンであるような印刷履歴情報が1つでも存在していたら、印刷は許可されない。印刷が許可されない再印刷不可の場合は、サーバー30Cは、印刷が許可されない旨(再をクライアントPC10Cへ通知する(S310)。
クライアントPC10Cは、ユーザーインターフェース部において、「この文書の印刷は禁止されています」と表示する(S311)。
S309において、その印刷画像に対応する履歴が、印刷履歴データベース333における過去のすべての印刷履歴内で、上記(A)のチェックボックスがオフであれば、再印刷は許可される。よって印刷画像は画像出力装置20へ送信される(S312)。
S308,S312において、印刷(再印刷)が許可されたときは、一時保存領域393上に保管された印刷用データを画像出力装置20へ送信し、プリントアウトを実行する(S313)。
なお、管理者PC40Cの再印刷可否設定部44からの操作により、記憶手段33において、文書が印刷後に機密になったときに、記憶手段33に登録された機密文書に後からチェックを入れたり、所定期間経過後などにチェックを外したりすることもできる。
また、S308又はS312を経てプリントアウトした場合(S313)は、特徴抽出・インデックス生成部35は、取得した印刷画像の特徴量を抽出し、この抽出した特徴量と取得した属性情報を基にして、夫々ファイル毎に索引用のインデックスを付する。そして、記憶手段33は、識別子付き印刷画像、インデックス、ページ識別子、及びポインターと、別途取得した属性情報(印刷履歴)を登録する(S314,S315)。
このように、印刷を実際に印刷したときに、記憶手段33に保管することで、後にイメージマッチング要求を受けた際に、登録された印刷画像内で今回印刷を希望する画像に対応する画像を探索できるようになる。
なお、この再印刷の禁止は、同じユーザーによる再印刷、複数のユーザーにまたがる印刷の双方を抑止することができる。
従って、機密文書のプリントアウト後の再印刷を規制することにより、機密文書の漏洩を防止することができるとともに、機密文書が漏洩した場合は、最初に漏洩した人がより特定しやすくなる。
このように再印刷禁止にする本実施形態の制御は、下記の変形例にも応用することができる。
<変形例1>
図10は、第2実施形態の第1の変形例に係る機密漏洩防止システム2−1のネットワーク構成の概略図である。
図10は、第2実施形態の第1の変形例に係る機密漏洩防止システム2−1のネットワーク構成の概略図である。
本変形例において、第2実施形態に加えて、ネットワーク90は複写機60に接続されている。複写機60は、複写機能を有しているものであればよく、他の機能(プリンタ、スキャナ、FAX等)も備えるMFP等の複合機において複写機として動作させてもよい。他の構成は同様である。
本変形例において、第2実施形態と同様に、情報漏洩の目的で、属性情報に、さらに再印刷(再スキャン)の可否の情報を含む。具体的に、上述のようにプリンタドライバの設定項目に、以下のチェックボックスが追加されている。
□ この文書の再印刷、コピー、スキャンを禁止する ・・・(A)
本変形例において、同一の又は別のユーザーが、複写機60で,本発明における第2実施形態の方法で、サーバーに登録しながらプリントアウトした印刷物のコピーを試みたとする。
□ この文書の再印刷、コピー、スキャンを禁止する ・・・(A)
本変形例において、同一の又は別のユーザーが、複写機60で,本発明における第2実施形態の方法で、サーバーに登録しながらプリントアウトした印刷物のコピーを試みたとする。
複写機60は、原稿読取部61において、いったん原稿をスキャン後、原稿画像(第2の画像)をサーバー30Dに送信して、イメージマッチングの要求を出す。
ここからは、図9のフローのS307からS312と同様に、同一文書を過去にプリントアウトしたことがある場合であって、かつ印刷履歴情報中で(A)のチェックボックスがオンであれば、サーバー30Dは複写機60の通信部62に「コピー禁止」と送信する。
このとき、複写機60は、操作パネル(表示部)64に「この文書のコピーは禁止されています」と表示して、画像を形成する出力部63での出力を行わず、コピーを中止する。
このように、機密文書の印刷物の複製を規制することにより、機密文書の漏洩を防ぐことができる。
<変形例2>
図11は、第2実施形態の第2の変形例に係る機密漏洩防止システム2−2のネットワーク構成の概略図である。
図11は、第2実施形態の第2の変形例に係る機密漏洩防止システム2−2のネットワーク構成の概略図である。
本変形例において、第2の実施形態に加えて、ネットワーク90は別の第2のクライアントPC10Dに接続されている。
別のユーザーが第2のクライアントPC10Dにおける、PDFクリエイター等のPDF作成部16において文書のPDF化を試みたとする。
PDF作成部16は、いったん文書をPDF化した後、文書のPDF化画像(第2の画像)をサーバーに送信して、イメージマッチングの要求を出す。
ここからは、図9のフローのS307からS312と同様に、同一文書を過去にプリントアウトしたことがある場合であって、かつ印刷履歴情報中で(A)のチェックボックスがオンであれば、サーバー30Dは第2のクライアントPC10Dの通信部に「PDF化禁止」と送信する。
このとき、第2のクライアントPC2は、ディスプレイ(表示部)に「この文書のPDF化は禁止されています」と表示して、PDF作成部16での出力を行わず、PDF化を中止する。
このように、機密文書のPDF化を規制することにより、機密文書の漏洩を防ぐことができる。
なお、本変形例において、パソコン内部の文書をPDF化する例を示したが、クライアントPC2と接続されたスキャナーにおいて、すでにプリントアウトされた文書をスキャンする場合も同様の制御を行う。この例では、機密文書の印刷物のスキャンによる読み取りを規制することにより、機密文書の漏洩を防ぐことができる。
なお、第2実施形態とその変形例1,2における、プリントアウトによる再印刷、印刷物のコピーによる複製、PC内におけるデータのPDF化、プリントアウト後のスキャン、による情報漏洩防止策について、任意に組み合わせて対応してもよい。
<<第3実施形態>>
図12は、第3実施形態に係る情報漏洩防止システム(情報処理システム)3が利用されるエリアについての概略説明図である。本実施形態の情報処理システム3は、印刷物の所定の機密管理領域からの持ち出しの可否を判定するシステムである。
図12は、第3実施形態に係る情報漏洩防止システム(情報処理システム)3が利用されるエリアについての概略説明図である。本実施形態の情報処理システム3は、印刷物の所定の機密管理領域からの持ち出しの可否を判定するシステムである。
本実施形態の機密漏洩防止システム3は、キュリティーレベルが高い、例えば銀行などの会議エリア(所定の機密管理領域)を想定している。一例として、個人情報や金額などの機密情報の漏洩を防止するため、会議エリア80の入口81において、会議の参加者は、鞄(鞄を含む全ての所持物等)を開催者に預け、出口82を出た後に預けた鞄を受け取る。
また、会議エリア出口において、会議時に配られた配布物も機密として没収される傾向にあるが、配布物の機密レベル(セキュリティーレベル)は、さまざまであり、中には持ち帰ってかまわないものもあり、一律で持ち帰れないのは支障をきたすことも想定できる。
そこで、本実施形態では、セキュリティーレベルによって、印刷物の持ち出し可否を自動判定することが可能な機密漏洩防止システムを提供する。
図13は、第3実施形態に係る機密漏洩防止システム3のネットワーク構成の概略図である。構成は上述の図1に係る第1実施形態と類似するが、クライアントPC10が開催者PC10Eであり、管理者PC40が出口側PC40Eである点が異なる。図1の管理者PC40の漏洩文書検索部41が、図13においては、出口側PC40Eの持ち出し可否検索部45として機能し、持ち出し可否検索部45が検索する属性情報は領域外持ち出し可否情報である。
また、出口側PC40Eは少なくともスキャナー50に接続されており、文書振り分け器71にも接続されていると好ましい。これらを合わせて持ち出し可否判定装置(領域外持ち出し可否判定装置)70とする。例えば、ADF機能を持ち、複数の排紙トレイを備えるMFPを、上記スキャナー50と文書振り分け器71として機能させてもよい。
さらに、出口側PC40E付近において、文書振り分け器71で、機密と分別された文書をその場でシュレッダにかけてもよい。あるいは、出口82付近に開催者の警備担当者を配置し、機密と判断された文書を手動で振り分け、回収してもよい。
さらに、出口側PC40E付近において、文書振り分け器71で、機密と分別された文書をその場でシュレッダにかけてもよい。あるいは、出口82付近に開催者の警備担当者を配置し、機密と判断された文書を手動で振り分け、回収してもよい。
図14は、第3実施形態における動作の例のシーケンス図である。
((開催者資料作成時))
まず、開催側の資料作成者が開催者PC10Eで文書の印刷操作を行ったとする(S401)。なお、一例として、開催者PC10Eのプリンタドライバ12の設定項目に、以下のチェックボックスが追加されているものとする。
□ この文書の領域外持ち出しを許可する ・・・(B)
開催者である資料作成者は、印刷操作と同時に、上記のチェックボックス(B)にチェックを入れること及び入れないことを選択することで、この文書が会議エリア80外への持ち出しの可否の情報を付与する(S402)。
まず、開催側の資料作成者が開催者PC10Eで文書の印刷操作を行ったとする(S401)。なお、一例として、開催者PC10Eのプリンタドライバ12の設定項目に、以下のチェックボックスが追加されているものとする。
□ この文書の領域外持ち出しを許可する ・・・(B)
開催者である資料作成者は、印刷操作と同時に、上記のチェックボックス(B)にチェックを入れること及び入れないことを選択することで、この文書が会議エリア80外への持ち出しの可否の情報を付与する(S402)。
開催者PC10Eのプリンタドライバ12では印刷ジョブから印刷用データを作成し、画像出力装置20へ送信してプリントアウトさせる。(S403,S404,S405)
このプリントアウト動作と同時に、印刷用データから印刷画像(第1の画像)と領域外持ち出し可否情報を含む属性情報を抽出して、サーバー30Eへ送信する(S406,S407)。なお、本実施形態において、図13でプリンタドライバ12は開催者PC10E側に設けられているが、図5に示すように、プリンタドライバは、サーバー30E側に設けられていてもよい。
このプリントアウト動作と同時に、印刷用データから印刷画像(第1の画像)と領域外持ち出し可否情報を含む属性情報を抽出して、サーバー30Eへ送信する(S406,S407)。なお、本実施形態において、図13でプリンタドライバ12は開催者PC10E側に設けられているが、図5に示すように、プリンタドライバは、サーバー30E側に設けられていてもよい。
サーバー30Eにおいて、取得した印刷画像の特徴量を抽出し、この抽出した特徴量と取得した属性情報を基にして、夫々ファイル毎に索引用のインデックスを付する(図3参照)(S408)。
識別子付き印刷画像、インデックス、ページ識別子、及びポインターと、別途取得した属性情報の一部として、領域外持ち出し可否情報が、記憶手段33へ登録(保管)される(S409)。
((エリア出口))
図12を参照して、会議の参加者が出口82から会議エリア80の外へ出るとき、プリントアウトされた配布物を、必ず持ち出し可否判定装置70で配布物をスキャンさせるように、出口82付近に警備員が立っている。あるいは、自動改札のように、配布物をスキャンさせないと、参加者が出口を通れないような専用ゲートが設置されていてもよい。
図12を参照して、会議の参加者が出口82から会議エリア80の外へ出るとき、プリントアウトされた配布物を、必ず持ち出し可否判定装置70で配布物をスキャンさせるように、出口82付近に警備員が立っている。あるいは、自動改札のように、配布物をスキャンさせないと、参加者が出口を通れないような専用ゲートが設置されていてもよい。
図14において、会議エリア80の出口82において、会議の参加者が、あるいは、参加者から配布物を受け取った警備員が、配布物の全てのページをスキャナーで読み取る。なお、スキャナーの一例として、ADFにより、自動的に全ページ読み取らせてもよい(S501)。
持ち出し可否判定装置70において、スキャンした画像を受け取った出口側PC40Eは、サーバー30Eへスキャンした画像を送るとともに、イメージマッチングを要求する(S502,S503)。
そして、サーバー30Eにおいて、イメージマッチング技術を用いて、スキャンされた画像(第2の画像)に一致する印刷画像(第1の画像)を印刷画像DB331内で探索する(S504)。
ここで、検索の結果、サーバー30Eの印刷画像DB331内に、スキャンした画像(と、一致する印刷画像がないとき(S505)、印刷物のそのページの会議エリア80外の持ち出しの禁止を送信する(S506)。このとき、今回スキャンした画像が、登録された印刷物の印刷画像とは一致しないときは、何等かの書き込みがあると判断される。会議中の書き込みは会議で知り得た内容であることが多く、機密の内容であることが考えられるからである。
さらに、イメージマッチングにおいて、サーバー30Eの印刷画像DB331内に、スキャンした画像と、一致する印刷画像がある場合(S505でYes)、属性情報を読み出して(S507)、領域外の持ち出しの可否を確認する。
登録された印刷画像の中で、スキャンした画像と一致するものが存在し、かつその印刷画像に対応付けられた領域外持ち出し情報(属性情報)が不可の場合は(S507でNo)、領域外の持ち出しを禁止するように送信する(S508)。
登録された印刷画像の中で、スキャンした画像と一致するものが存在し、かつその印刷画像に対応付けられた領域外持ち出し情報が可の場合は(S507でYes)、領域外の持ち出しを許可するように送信する(S509)。
S506,S508,S509で領域外の持ち出しの禁止・許可が送信され、指示を受けた文書振り分け器71は、配布物をページ毎に持ち出しの可否を振り分けるように、を持ち出し許可と不可とで違うトレイへ振り分ける(S510)。なお、サーバー30Eから文書振り分け器71へ直接振り分けを指示しているが、出口側PC40Eを介して、情報をまとめてから、文書振り分け器71へ指示してもよい。
持ち出し許可トレイにある配布物を参加者が受け取る。あるいは、警備員が持ち出し可の配布物を受け取り、参加者へ渡してもよい。
本実施形態において、プリントアウトされた配布物において、セキュリティーレベルに応じて、文書の持ち出しを判別できる。即ち、セキュリティーレベルが基準以上(機密である)か、または保管済み印刷画像を探し出せないときは、持ち出しが許可されず、セキュリティーレベルが問題ないと判断されたもののみ、持ち出しが許可される。従って、予め登録されたセキュリティーレベルの判別をするとともに、書き込みによる文書の漏洩が防止できる。
<<第4実施形態>>
図15は、第4実施形態に係る機密漏洩防止システム(情報処理システム)4のネットワーク構成の概略図である。
図15は、第4実施形態に係る機密漏洩防止システム(情報処理システム)4のネットワーク構成の概略図である。
本実施形態の情報処理システム4は、プリントアウトの置き忘れ、取り違えに対処する文書管理システムであって、ネットワーク構成は第1実施形態と類似する。
本実施形態において、情報漏洩時ではなく、プリントアウトした印刷物を印刷者が置き忘れ、あるいは取り違えることで、取得した文書発見者が、本来の印刷者に返却するために管理者に渡して、管理者が検索をする点が異なる。図1の漏洩文書検索部41は、図15においては、置き忘れ文書検索部46として機能する。
図16は、第4実施形態における動作の例のシーケンス図である。印刷時のフローS101〜S108は第1実施形態の図3と同様であるため、説明は割愛する。
S600において、ユーザーAが画像出力装置20であるプリンタ上に置き忘れ(プリントアウトされ放置された印刷物)を発見した、或いは、間違って他人のプリントアウトした印刷物を取ってきてしまったとする。しかし、文書発見者であるユーザーAは、取得した印刷物が誰のものかわからないので誰に渡せばよいのかわからない。
そこで、本来の印刷者を探すため、文書発見者であるユーザーAは、置き忘れた印刷物をセキュリティー管理者へ持っていく。
セキュリティー管理者は、放置されていた印刷物をスキャンする(S601)。あるいは、文書発見者(ユーザーA)がセキュリティー管理者から離れている場合は、文書発見者が、プリントアウトされた印刷物をスキャンして、該スキャンした画像をセキュリティー管理者へ送付する。
セキュリティー管理者は、管理者PC40Fから指示し(S603)、サーバー30F上で、イメージマッチング技術により、登録された印刷画像(第1の画像)の中で、スキャンされた画像(第2の画像)の検索を実施する(S604)。なお、本実施形態のシステムにおいては、文書漏洩防止の観点から、セキュリティー管理者用の管理者PC40Fのみでイメージマッチングにおける検索が実行可能であり、ユーザーである文書発見者自身はイメージマッチングによる検索を実行できないものとする。
そして、イメージマッチング技術を用いて、スキャンされた画像に一致する印刷画像を印刷画像DB331内で探索して、データ(画像)334を特定する(S604)。
スキャンされたページの画像(置き忘れ文書)に一致する印刷画像を特定すると、検索制御部32内のデータ検索部37は、記憶手段33を読み出して、印刷画像を取得する。
そして、S605においては、データ検索部37は、特定した印刷画像データ(画像)(334)の属性情報(本実施形態では、ユーザー名)を、ページ識別子を用いて判定する。
その後、S606においてその判定した属性情報(本実施形態においては、ユーザー名)のデータを送信元である、管理者PC40Fの漏洩文書検索指示部(プログラム)41へ送信する。
このように、管理者PC40Fは、スキャンした画像を用いて、プリンタ上に文書を置き忘れた人(例えば、ユーザーB)を特定することができる。なお、同じプリンタに出力したことから、文書発見者(ユーザーA)と印刷者(ユーザーB)は近くの席である可能性が高い。
この検索結果を基に、セキュリティー管理者は、本来の印刷者であるユーザーBへプリントアウトした印刷物を返却する。あるいは、管理者がユーザーA、Bから遠い場合などは、管理者は、文書発見者(ユーザーA)に「その文書はユーザーBが印刷した」ことを通知し、文書発見者(ユーザーA)が、印刷者であるユーザーBへプリントアウトした印刷物を返却する。
本実施形態において、スキャナーを用いて、置き忘れ、取り違えのプリントアウトされた印刷物が行方不明になる事態を防げるとともに、印刷を実行した印刷者(ユーザーB)へ前記印刷物を返却可能となる。
よって、プリンタ上に機密文書を含む文書が放置されることを防ぐことにより、文書による機密情報の漏洩を防ぐことができる。
このように、第1実施形態の情報漏洩システムの技術を適用することで、第2〜第4実施形態などに展開できる。いずれの実施形態においても、サーバー内に記憶手段を設け、イメージマッチングを実施でき、透かしのための追加のハードウエア等が不要なので、システム全体として安価に導入することができる。さらに、文書に関連する属性情報が印刷を繰り返しても劣化せず、印刷物自体に情報を埋め込まないので、文書に関連付ける情報の量に制限をなくすことができる。
また、サーバーが情報を記憶するため、製品発表などにより、機密文書が機密であることが必要とされる期間を経過すると、機密指定の解除を行うことができる。
以上、各実施形態に基づき本発明の説明を行ってきたが、上記実施形態に示した要件に本発明が限定されるものではない。これらの点に関しては、本発明の主旨をそこなわない範囲で変更することができ、その応用形態に応じて適切に定めることができる。
1,1−1,1−2,2,2−1,2−2,3,4 機密漏洩防止システム
10,10A,10B,10C,10F クライアントPC(メンバーPC)
20 画像出力装置
30,30A,30B,30C,30F サーバー(印刷サーバー)
40,40A,40B,40C,40F 管理者PC
50 スキャナー
11 印刷ジョブ受付部
12 プリンタドライバ
13 印刷画像・印刷履歴抽出部(印刷画像・属性情報抽出部)
14 印刷画像・印刷履歴送信部(通信部)
31 通信部
32 検索制御部
33 記憶手段
34 管理部
38 イメージマッチング用サーバー
41 漏洩文書検索指示部(漏洩文書検索部)
42 セキュリティーレベル設定部
311 印刷画像・印刷履歴受信部
312 読取画像受信部(受付手段)
313 印刷履歴送信部
35 特徴抽出・インデックス生成部
36 データベースアクセス部(DBアクセス部)
361 印刷画像アクセス部
362 印刷履歴アクセス部(属性情報アクセス部)
37 データ検索部
371 印刷画像検索指示部
372 イメージマッチング部
373 印刷履歴取得部
331 印刷画像データベース
332 インデックスデータベース
333 属性情報データベース(印刷履歴データベース)
334 印刷画像データ(画像)
15 印刷ジョブ送受信部
17 印刷不可受信部
18 ユーザーインターフェース
39A プリンタドライバ
393 印刷用データ一時記憶領域
39B 印刷画像・印刷履歴生成部
60 複写機
61 原稿読取部
62 通信部
63 出力部
64 表示部
10D 第2のクライアントPC
11A PDFジョブ受付部
16 PDF作成部
80 会議エリア(所定の機密管理領域)
81 入口
82 出口
10E 開催者PC
30E 開催者サーバー
70 持ち出し可否判定装置(領域外持ち出し可否判定装置)
40E 出口側PC
45 持ち出し可否検索部
71 文書振り分け器
90 ネットワーク
10,10A,10B,10C,10F クライアントPC(メンバーPC)
20 画像出力装置
30,30A,30B,30C,30F サーバー(印刷サーバー)
40,40A,40B,40C,40F 管理者PC
50 スキャナー
11 印刷ジョブ受付部
12 プリンタドライバ
13 印刷画像・印刷履歴抽出部(印刷画像・属性情報抽出部)
14 印刷画像・印刷履歴送信部(通信部)
31 通信部
32 検索制御部
33 記憶手段
34 管理部
38 イメージマッチング用サーバー
41 漏洩文書検索指示部(漏洩文書検索部)
42 セキュリティーレベル設定部
311 印刷画像・印刷履歴受信部
312 読取画像受信部(受付手段)
313 印刷履歴送信部
35 特徴抽出・インデックス生成部
36 データベースアクセス部(DBアクセス部)
361 印刷画像アクセス部
362 印刷履歴アクセス部(属性情報アクセス部)
37 データ検索部
371 印刷画像検索指示部
372 イメージマッチング部
373 印刷履歴取得部
331 印刷画像データベース
332 インデックスデータベース
333 属性情報データベース(印刷履歴データベース)
334 印刷画像データ(画像)
15 印刷ジョブ送受信部
17 印刷不可受信部
18 ユーザーインターフェース
39A プリンタドライバ
393 印刷用データ一時記憶領域
39B 印刷画像・印刷履歴生成部
60 複写機
61 原稿読取部
62 通信部
63 出力部
64 表示部
10D 第2のクライアントPC
11A PDFジョブ受付部
16 PDF作成部
80 会議エリア(所定の機密管理領域)
81 入口
82 出口
10E 開催者PC
30E 開催者サーバー
70 持ち出し可否判定装置(領域外持ち出し可否判定装置)
40E 出口側PC
45 持ち出し可否検索部
71 文書振り分け器
90 ネットワーク
http://www.hitachi.co.jp/products/it/portal/info/magazine/uvalere/uvalue_seed/seed02/index03.html
Claims (4)
- サーバーと、印刷物が所定の領域から持ち出されることの可否を判定する可否判定装置と、を有する情報処理システムにおいて、
前記サーバーは、
画像出力装置が前記印刷物を出力する際に使用する第1の画像と、前記印刷物の前記所定の領域の外への持ち出しの可否を含む属性情報とを対応付けて記憶する記憶手段と、
前記印刷物の少なくとも一部である第2の画像を受信する画像受信部と、
を有し、
前記可否判定装置は、
前記印刷物を読み取り、前記第2の画像を取得する読取部と、
前記読取部が取得した前記第2の画像を前記サーバーへ送信する送信部と、
を有し、
前記サーバーは、
前記第2の画像と一致する前記第1の画像を前記記憶手段から検索し、
前記第2の画像に一致する前記第1の画像が存在しない場合、前記印刷物に書き込みがあると判断し前記印刷物の持ち出しを許可しない判断を行い、
前記第2の画像と一致する前記第1の画像が存在し、前記第1の画像に対応する前記属性情報が、持ち出し不可である場合、前記印刷物の持ち出しを許可しない判断を行い、
前記第2の画像と一致する前記第1の画像が存在し、前記第1の画像に対応する前記属性情報が、持ち出し可である場合、前記印刷物の持ち出しを許可する判断を行う
ことを特徴とする情報処理システム。 - 前記読取部は、前記印刷物のページごとに前記第2の画像を取得する
ことを特徴とする請求項1に記載の情報処理システム。 - サーバーと、印刷物が所定の領域から持ち出されることの可否を判定する可否判定装置と、を有する情報処理システムの機密漏洩防止方法であって、
画像出力装置によって前記印刷物を出力する際に、前記サーバーにおいて、当該印刷物の印刷対象となる第1の画像を登録するとともに、前記印刷物の前記所定の領域の外への持ち出しの可否を含む属性情報を前記第1の画像に対応付けて、記憶手段に登録するステップと、
前記可否判定装置の読取部によって、前記印刷物を読み取ることで、前記印刷物の少なくとも一部である第2の画像を取得し、該第2の画像を前記サーバーへ送信することで、前記サーバーにおいて前記第2の画像を受け取るステップと、
前記サーバーにおいて、前記第2の画像と一致する前記第1の画像を前記記憶手段から検索するステップと、
前記第2の画像に一致する前記第1の画像が存在しない場合、前記印刷物に書き込みがあると判断し前記印刷物の持ち出しを許可しない判断を行うステップと、
前記第2の画像と一致する前記第1の画像が存在し、前記第1の画像に対応する前記属性情報が、持ち出し不可である場合、前記印刷物の持ち出しを許可しない判断を行うステップと、
前記第2の画像と一致する前記第1の画像が存在し、前記第1の画像に対応する前記属性情報が、持ち出し可である場合、前記印刷物の持ち出しを許可する判断を行うステップと、を有する
機密漏洩防止方法。 - サーバーと、印刷物が所定の領域から持ち出されることの可否を判定する可否判定装置と、を有する情報処理システムの機密漏洩防止プログラムであって、
画像出力装置によって前記印刷物を出力する際に、前記サーバーにおいて、当該印刷物の印刷対象となる第1の画像を登録するとともに、前記印刷物の前記所定の領域の外への持ち出しの可否を含む属性情報を前記第1の画像に対応付けて、記憶手段に登録する処理と、
前記可否判定装置の読取部によって、前記印刷物を読み取ることで、前記印刷物の少なくとも一部である第2の画像を取得し、該第2の画像を前記サーバーへ送信することで、前記サーバーにおいて前記第2の画像を受け取る処理と、
前記サーバーにおいて、前記第2の画像と一致する前記第1の画像を前記記憶手段から検索する処理と、
前記第2の画像に一致する前記第1の画像が存在しない場合、前記印刷物に書き込みがあると判断し前記印刷物の持ち出しを許可しない判断を行う処理と、
前記第2の画像と一致する前記第1の画像が存在し、前記第1の画像に対応する前記属性情報が、持ち出し不可である場合、前記印刷物の持ち出しを許可しない判断を行う処理と、
前記第2の画像と一致する前記第1の画像が存在し、前記第1の画像に対応する前記属性情報が、持ち出し可である場合、前記印刷物の持ち出しを許可する判断を行う処理と、を有する
機密漏洩防止プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014248185A JP6432321B2 (ja) | 2014-12-08 | 2014-12-08 | 情報処理システム、機密漏洩防止方法、及び機密漏洩防止プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014248185A JP6432321B2 (ja) | 2014-12-08 | 2014-12-08 | 情報処理システム、機密漏洩防止方法、及び機密漏洩防止プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016111555A JP2016111555A (ja) | 2016-06-20 |
| JP6432321B2 true JP6432321B2 (ja) | 2018-12-05 |
Family
ID=56124910
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014248185A Active JP6432321B2 (ja) | 2014-12-08 | 2014-12-08 | 情報処理システム、機密漏洩防止方法、及び機密漏洩防止プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6432321B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7508911B2 (ja) | 2020-07-15 | 2024-07-02 | 株式会社リコー | 情報処理システム、画像形成装置、及び方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4514213B2 (ja) * | 2005-03-31 | 2010-07-28 | キヤノン株式会社 | 画像処理装置およびその制御方法 |
| US20070030523A1 (en) * | 2005-08-02 | 2007-02-08 | Kabushiki Kaisha Toshiba | System and method for identifying a submitter of a printed or scanned document |
| JP4706508B2 (ja) * | 2006-03-06 | 2011-06-22 | 富士ゼロックス株式会社 | 印刷システム、印刷装置、プリンタドライバ、および印刷制御方法 |
| JP2008123446A (ja) * | 2006-11-15 | 2008-05-29 | Ricoh Co Ltd | ログ情報管理システム、ログ情報管理装置、ログ情報管理方法及びログ情報管理プログラム |
| JP2011123578A (ja) * | 2009-12-09 | 2011-06-23 | Hitachi Ltd | 印刷物の持ち出し管理方法 |
-
2014
- 2014-12-08 JP JP2014248185A patent/JP6432321B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016111555A (ja) | 2016-06-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8068244B2 (en) | Document disposal management system, document disposal management device, document disposal management method and recording medium storing document disposal management program | |
| AU2009200757B2 (en) | Image processing system, image processing apparatus, authorized person information management apparatus, image processing method, authorized person information processing program and authorized person information management program | |
| JP4704010B2 (ja) | 画像形成装置、画像形成システム、セキュリティ管理装置およびセキュリティ管理方法 | |
| JP4159583B2 (ja) | 複合機、及び該複合機を複数備えた情報取得システム | |
| JP5239170B2 (ja) | 画像処理システム及びプログラム | |
| JP5939847B2 (ja) | 情報処理装置、情報処理システム、制御方法およびコンピュータプログラム | |
| JP2007006036A (ja) | 画像形成装置、画像形成装置におけるログ記録方法 | |
| US20060170953A1 (en) | Information processing method, information processing system, information processing device and recording medium | |
| US20080144103A1 (en) | Image processing apparatus and control method | |
| JP2008234203A (ja) | 画像処理装置 | |
| JP2007257552A (ja) | 印刷ログ及び印刷データ保存によるセキュリティ管理システム | |
| JP2006333388A (ja) | 画像形成装置 | |
| JP4506597B2 (ja) | 印刷システムおよびサーバ装置 | |
| JP4809198B2 (ja) | 画像処理機器,記事画像選択方法,プログラム,および記録媒体 | |
| JP2008217715A (ja) | 検索装置、検索システム、検索装置の制御方法、検索装置の制御プログラム、コンピュータ読み取り可能な記録媒体 | |
| JP6432321B2 (ja) | 情報処理システム、機密漏洩防止方法、及び機密漏洩防止プログラム | |
| JP2008158858A (ja) | 画像処理装置、画像処理システム及び画像処理プログラム | |
| US7508536B2 (en) | Image processing system and method | |
| JP4407436B2 (ja) | 画像出力装置および画像出力方法 | |
| US7532769B2 (en) | Image processing device, image processing method and image processing program | |
| JP2011130306A (ja) | 画像形成装置、画像形成システムおよび画像形成方法 | |
| JP6132958B2 (ja) | 情報処理システムおよびその制御方法 | |
| JP6767651B2 (ja) | 情報処理システムとその処理方法及びプログラム | |
| US9679150B2 (en) | Document managing apparatus and document managing method | |
| JP2008060717A (ja) | 履歴情報処理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171117 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180709 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180724 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180921 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181009 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181022 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6432321 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |