JP6729013B2 - 情報処理システム、情報処理装置及びプログラム - Google Patents

情報処理システム、情報処理装置及びプログラム Download PDF

Info

Publication number
JP6729013B2
JP6729013B2 JP2016113431A JP2016113431A JP6729013B2 JP 6729013 B2 JP6729013 B2 JP 6729013B2 JP 2016113431 A JP2016113431 A JP 2016113431A JP 2016113431 A JP2016113431 A JP 2016113431A JP 6729013 B2 JP6729013 B2 JP 6729013B2
Authority
JP
Japan
Prior art keywords
concealment
data
information
concealment target
concealed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2016113431A
Other languages
English (en)
Other versions
JP2017219997A (ja
Inventor
哲範 村上
哲範 村上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2016113431A priority Critical patent/JP6729013B2/ja
Priority to US15/347,008 priority patent/US20170351864A1/en
Publication of JP2017219997A publication Critical patent/JP2017219997A/ja
Application granted granted Critical
Publication of JP6729013B2 publication Critical patent/JP6729013B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Description

本発明は、情報処理システム、情報処理装置及びプログラムに関する。
企業等の組織が作成・保管するデータの中には、いわゆるマイナンバーのように厳格な管理が求められる情報(要管理情報と呼ぶ)が含まれる場合がある。このようなデータを保存する場合には、権限のない者がそのデータ中の要管理情報を参照できないようにすることが求められる。単純に要管理情報を削除したデータを保管すればその要件は満たされるが、保管したデータには要管理情報が欠けているので、後の業務監査等の調査において、保管したデータが証拠・証跡として機能しない場合が出てくる。
特許文献1に開示された個人情報・秘密情報管理装置は、個人情報・秘密情報の機密度に応じて設定した保護レベルに従い、保護レベル毎に異なる形態で個人情報・秘密情報を保管する。この保護レベルは、データ属性定義ファイルに記述され、コンピュータプログラムに読み込まれるものであるが、適宜変更が可能である。この装置は、高い保護レベルの個人情報・秘密情報は、複数に分割して別々の記憶媒体に保存することで機密性を高めている。
特許文献2に開示されたシステムでは、マスク対象となる文字列のマスク後の文字列を開示範囲ごとに複数パターン用意し、その中から対象プロジェクトや文書の開示範囲によりマスク後の文字列を決定することで、文字列に対する隠蔽の度合を決定する。ユーザが、システム内に保存されているマスク前文書を対象として指定し、開示範囲(例えば社内、社外等)を指定すると、システムは、そのマスク前文書のうち機密保護が必要な文字列を、指定された開示範囲に応じた別の文字列に置換することでマスク済み文書を作成する。
特許文献3に開示されたシステムでは、暗号化対象コンテンツをひとつ以上のブロックに分割し、個々のブロックに対して、共通鍵暗号技術におけるコンテンツ暗号化鍵をランダムに生成し、生成されたコンテンツ暗号化鍵を用いて各ブロックを暗号化する。さらに、ユーザ権限に応じて選択的に開示できるよう、ユーザに閲覧権限のあるデータのコンテンツ暗号化鍵を連結し、さらに全てのブロックの暗号文を連結して得られたハッシュ値と連結して、予め権限のあるユーザに割り当てられた公開鍵暗号技術の公開鍵を用いて暗号化し鍵暗号化データを作成する。
特開2008−004018号公報 特開2011−227536号公報 特開2009−049731号公報
データを保管する装置が隠蔽対象を含んだデータを保管し、保管したデータをユーザに提供する際に、参照権限(アクセス権)管理によりそのユーザに参照権限のない隠蔽対象は隠蔽することが考えられる。この方式では、保管されているデータは隠蔽対象を含んでいるので、後の調査における証拠としての能力を持つ。しかし、この方式では、その装置のシステム管理者には、その装置内に保管されているすべての情報が参照可能であり、隠蔽対象も参照できてしまう。
本発明は、データを保管する装置の管理者が隠蔽対象の参照権限を持たない場合には、保管されたデータ内の隠蔽対象を参照できないようにすることを目的とする。
請求項1に係る発明は、第1装置と第2装置とを含み、前記第1装置は、保管対象のデータの入力を受け付ける手段と、入力された前記データのうち隠蔽対象を隠蔽した隠蔽済みデータを保管する保管手段と、保管された隠蔽済みデータに対する参照をユーザから指示された場合に、そのユーザを示す情報を含む参照要求を前記第2装置に送る手段と、前記参照要求に応じて前記第2装置から復元情報を受け取った場合に、前記隠蔽済みデータ内の隠蔽されている前記隠蔽対象を前記復元情報により復元する手段と、入力された前記保管対象のデータを含む隠蔽依頼を前記第2装置に送信する送信手段と、前記隠蔽依頼に応じて前記第2装置から送られてくる前記隠蔽対象を特定する特定情報を用いて前記保管対象のデータ中のその隠蔽対象を隠蔽することにより前記隠蔽済みデータを生成する生成手段と、を含み、前記第2装置は、前記保管手段に保管された隠蔽済みデータ中で隠蔽されている前記隠蔽対象を復元するための前記復元情報を記憶する記憶手段と、前記記憶手段内の復元情報に対するユーザの参照権限を判定する判定手段と、前記第1装置からの前記参照要求の情報が示すユーザが前記隠蔽対象について参照権限を持つと前記判定手段で判定された場合は前記隠蔽対象に対応する前記復元情報を前記第1装置に応答し、参照権限を持たないと判定された場合は前記復元情報を提供しない応答手段と、前記第1装置からの前記隠蔽依頼に含まれる前記保管対象のデータから前記隠蔽対象を検出する隠蔽対象検出手段と、検出された前記隠蔽対象を特定する特定情報を前記第1装置に送る手段と、を含む情報処理システムである。
請求項に係る発明は、隠蔽対象のカテゴリごとに設けられた複数の前記第2装置を含み、前記第2装置の前記隠蔽対象検出手段は、当該第2装置に対応するカテゴリに属する隠蔽対象を前記データから検出し、前記第1装置の前記送信手段は、前記保管対象のデータを複数の前記第2装置に送信し、前記第1装置の前記生成手段は、複数の前記第2装置から送られてきた前記特定情報の各々を用いて、前記保管対象のデータ中の当該特定情報に対応する前記隠蔽対象を隠蔽する、ことを特徴とする請求項に記載の情報処理システムである。
請求項に係る発明は、保管対象のデータの入力を受け付ける手段と、入力された前記データのうち隠蔽対象を隠蔽した隠蔽済みデータを保管する保管手段と、保管された隠蔽済みデータに対する参照をユーザから指示された場合に、そのユーザを示す情報を含む参照要求を、前記隠蔽済みデータ中の前記隠蔽対象を記憶する第2装置であって前記ユーザが前記隠蔽対象について参照権限を持つ場合に前記隠蔽対象を復元するための復元情報を提供する第2装置、に送る手段と、前記参照要求に応じて前記第2装置から復元情報を受け取った場合に、前記隠蔽済みデータ内の隠蔽されている前記隠蔽対象を前記復元情報により復元する手段と、入力された前記保管対象のデータを含む隠蔽依頼を前記第2装置に送信する送信手段と、前記隠蔽依頼に応じて前記第2装置から送られてくる前記隠蔽対象を特定する特定情報を用いて前記保管対象のデータ中のその隠蔽対象を隠蔽することにより前記隠蔽済みデータを生成する生成手段と、を含む情報処理装置である。
請求項に係る発明は、コンピュータを、保管対象のデータの入力を受け付ける手段、入力された前記データのうち隠蔽対象を隠蔽した隠蔽済みデータを保管する保管手段、保管された隠蔽済みデータに対する参照をユーザから指示された場合に、そのユーザを示す情報を含む参照要求を、前記隠蔽済みデータ中の前記隠蔽対象を記憶する第2装置であって前記ユーザが前記隠蔽対象について参照権限を持つ場合に前記隠蔽対象を復元するための復元情報を提供する第2装置、に送る手段、前記参照要求に応じて前記第2装置から復元情報を受け取った場合に、前記隠蔽済みデータ内の隠蔽されている前記隠蔽対象を前記復元情報により復元する手段、入力された前記保管対象のデータを含む隠蔽依頼を前記第2装置に送信する送信手段、前記隠蔽依頼に応じて前記第2装置から送られてくる前記隠蔽対象を特定する特定情報を用いて前記保管対象のデータ中のその隠蔽対象を隠蔽することにより前記隠蔽済みデータを生成する生成手段、として機能させるためのプログラムである。
請求項に係る発明は、第1装置に保管されている隠蔽済みデータにおける、対応する元のデータから隠蔽されている隠蔽対象を復元するための復元情報を記憶する記憶手段と、前記記憶手段内の復元情報に対するユーザの参照権限を判定する判定手段と、前記第1装置からの隠蔽対象に対する参照要求の要求元のユーザが前記隠蔽対象について参照権限を持つと前記判定手段で判定された場合は前記隠蔽対象に対応する前記復元情報を前記第1装置に応答し、参照権限を持たないと判定された場合は前記復元情報を提供しない応答手段と、前記第1装置からの、前記元のデータを含む隠蔽依頼に応じて、前記元のデータから前記隠蔽対象を検出する隠蔽対象検出手段と、検出された前記隠蔽対象を特定する特定情報を前記第1装置に送る手段と、を含む情報処理装置である。
請求項に係る発明は、コンピュータを、第1装置に保管されている隠蔽済みデータにおける、対応する元のデータから隠蔽されている隠蔽対象を復元するための復元情報を記憶する記憶手段、前記記憶手段内の復元情報に対するユーザの参照権限を判定する判定手段、前記第1装置からの隠蔽対象に対する参照要求の要求元のユーザが前記隠蔽対象について参照権限を持つと前記判定手段で判定された場合は前記隠蔽対象に対応する前記復元情報を前記第1装置に応答し、参照権限を持たないと判定された場合は前記復元情報を提供しない応答手段、前記第1装置からの、前記元のデータを含む隠蔽依頼に応じて、前記元のデータから前記隠蔽対象を検出する隠蔽対象検出手段、検出された前記隠蔽対象を特定する特定情報を前記第1装置に送る手段、として機能させるためのプログラムである。
請求項1、3、4、5または6に係る発明によれば、隠蔽済みデータを保管する第1装置の管理者が隠蔽対象の参照権限を持たない場合には、保管された隠蔽済みデータ内の隠蔽対象を参照できないようにすることができる。
更に、第1装置が複数存在する場合でもそれら個々の第1装置に検出すべき隠蔽対象を設定したり設定変更したりする必要がなく、第2装置における設定や設定変更で対応できる。
請求項に係る発明によれば、隠蔽対象のカテゴリごとに当該カテゴリの隠蔽対象を参照できる者を制限する場合に、1つの第2装置のシステム管理者が複数のカテゴリの隠蔽対象を参照できてしまうということを防ぐことができる。
実施形態のシステムの例を示す図である。 隠蔽情報管理システム内の隠蔽判断部、隠蔽情報保管部及び参照判断部の内部構成の例を示す図である。 隠蔽判断部が行う処理を説明するための図である。 参照判断部が行う処理を説明するための図である。 通常業務システムと隠蔽情報管理システムがそれぞれ複数存在するシステム構成を示す図である。 通常業務システムが隠蔽対象情報のカテゴリごとに設けられた複数の隠蔽情報管理システムと協働してそれら複数のカテゴリの隠蔽対象情報を隠蔽する処理を説明するための図である。 通常業務システムが隠蔽対象情報のカテゴリごとに設けられた複数の隠蔽情報管理システムから復元情報を入手して隠蔽対象情報を復元する処理を説明するための図である。
図1を参照して、本実施形態のシステム構成を説明する。一例として、本実施形態のシステムは企業等の組織に設置され、その組織の業務のために用いられる文書その他のデータを保管するためのシステムであるとする。またこのシステムは、保管したデータを、参照や編集等のためにユーザに提供する。このシステムへの保管対象のデータには、組織が定めた隠蔽対象情報が含まれる場合がある。隠蔽対象情報は、法令や組織の規定・ポリシーに従って取り決められた、組織内の一般のユーザや組織外のユーザから隠蔽する情報のことである。隠蔽対象情報の一例として、いわゆるマイナンバー法により定められた各個人のマイナンバーがある。マイナンバーは、組織内のユーザのうち特定のマイナンバー業務担当者以外の者が入手できないよう管理することが法令で求められている。また、製品開発等の情報や財務管理上の情報は、担当部署以外の者の目に触れることは営業秘密管理の点で好ましくないので、隠蔽対象情報として取り扱ってもよい。また、放送禁止用語のようにデータ中に明示することが倫理上好ましくない用語を隠蔽対象情報として隠蔽するようにしてもよい。このように、隠蔽対象情報には様々なものが考えられ、組織は自身の業務目的に沿ってどのような情報を隠蔽対象情報として取り扱うかを決める。
本実施形態では、通常の業務のために保存するデータ中の隠蔽対象情報を隠蔽し、隠蔽した情報には特定の権限のあるユーザしかアクセスできないように制御する。
図1に示す通り、本実施形態のシステムは、通常業務システム10と隠蔽情報管理システム20とを含む。
通常業務システム10は、組織の業務のための情報処理を担うシステムであり、その業務のためのデータを保管したり、保管したデータをユーザに提供したりする。組織内には、目的ごとに構築された複数の通常業務システム10が存在する場合がある。例えば、文書管理システム、財務情報管理システム、開発情報管理システム、生産情報管理システム、顧客情報管理システム、販売情報管理システム、流通情報管理システム等が通常業務システム10の例である。通常業務システム10は、業務のためのデータをデータ保管部17に保管するが、保管するデータに含まれる隠蔽対象情報は隠蔽する。
隠蔽情報管理システム20は、通常業務システム10が保管するデータからの隠蔽対象情報についての削除処理 を管理し、削除された隠蔽対象情報を保管する。また隠蔽情報管理システム20は、保管した隠蔽対象情報を、適切な権限を持つユーザに対して提供するための制御を行う。隠蔽情報管理システム20は、通常業務システム10からの要求に応じて処理を実行するシステムであり、一般のユーザ(通常業務を担当する者)からのアクセスは受け付けない。隠蔽情報管理システム20にアクセス可能なユーザは、この隠蔽対象情報の管理を担当する担当者乃至管理者に限られる。
以下、これら各システムの詳細を説明する。
通常業務システム10は、内部の機能として、認証部11、アクセスI/F(インタフェース)13、データ隠蔽部15、データ保管部17、参照情報作成部19を含む。
認証部11は、通常業務システム10を利用しようとするユーザのログイン認証を行う。ユーザは、例えば自分のPC(パーソナルコンピュータ)から通常業務システム10にアクセスすると、まず認証部11による認証を受ける。認証に成功したユーザは、通常業務システム10が提供する情報処理機能を利用することが可能になる。提供される情報処理機能には、ユーザが編集した文書等のデータを通常業務システム10に登録する機能や、通常業務システム10が保管しているデータを閲覧や編集等のためにユーザに提供する機能等が含まれる。
データ保管部17は、ユーザが登録した保管対象のデータを保管する。データ保管部17は、例えばHDD(ハードディスクドライブ)やSSD(ソリッドステートドライブ)等の固定記憶装置を含む。
アクセスI/F13は、ユーザからのデータ保管部17へアクセスのためのインタフェース処理を実行する。ここでのデータ保管部17へのアクセスの例には、データ保管部17へデータを登録するためのアクセスと、データ保管部17に保管されたデータを参照(例えば取得)するためのアクセスが含まれる。
またアクセスI/F13は、データ保管部17に保管されたデータに対するアクセス制御を実行する。このために、アクセスI/F13は、データ保管部17内の各データに対するユーザのアクセス権(参照権限)を判定するための情報(例えばアクセス制御リスト)等を有している。アクセスI/F13は、この情報に基づき、データ保管部17内のデータに対する参照(アクセス)を要求したユーザがそのデータに対する参照権限を持っているかどうかを判定する。そして、そのユーザがそのデータにアクセス権を持っている場合はそのデータをそのユーザに提供し、そうでない場合はそのユーザへのそのデータの提供を拒絶する。
ここで、アクセスI/F13によるアクセス権管理は、後述する隠蔽情報管理システム20の参照判断部28による隠蔽対象情報に対するアクセス権管理とは独立している。すなわち、後で詳しく説明するように、データ保管部17に保管されるデータは、ユーザから登録されたデータ内の隠蔽対象情報を隠蔽した隠蔽済みデータであり、アクセスI/F13のアクセス権管理では、ユーザがこの隠蔽済みデータを参照可能かどうかを判定する。ユーザが隠蔽済みデータを参照可能であっても、それだけでは隠蔽対象情報が隠蔽された状態の隠蔽済みデータを入手しているに過ぎない。隠蔽済みデータ内の隠蔽対象情報まで入手するには、ユーザは、隠蔽情報管理システム20の参照判断部28によりその隠蔽対象情報に参照権限ありと判定される必要がある。
データ隠蔽部15は、データ保管部17へ保管しようとするデータから隠蔽対象情報を隠蔽する処理を実行する。データ隠蔽部15は、隠蔽情報管理システム20の管理下でこの隠蔽処理を実行する。すなわち、データ隠蔽部15は、保管対象のデータ中に含まれる隠蔽対象情報を自分で検出するのではなく、そのデータを隠蔽情報管理システム20に渡し、隠蔽情報管理システム20にそのデータ中の隠蔽対象情報を検出してもらう。そして、例えば、隠蔽情報管理システム20から、検出された隠蔽対象情報が保管対象のデータ中のどの情報なのかを特定する特定情報を受け取り、その特定情報に従って、保管対象のデータ中の隠蔽対象情報を隠蔽する。データ隠蔽部15は、データ中のすべての隠蔽対象情報を隠蔽することで得られた隠蔽済みデータをデータ保管部17に保存する。なお、隠蔽情報管理システム20からの情報に基づきデータ隠蔽部15がデータ中の隠蔽対象情報を隠蔽する代わりに、隠蔽情報管理システム20が、受け取った保管対象のデータから隠蔽対象情報を隠蔽した隠蔽済みデータを作成し、データ隠蔽部15に返すようにしてもよい。この場合、データ隠蔽部15は、受け取った隠蔽済みデータを、ユーザから保管を指示されたデータの代わりに、データ保管部17に登録する。
隠蔽対象情報の隠蔽は、データ中のその隠蔽対象情報がいかなるユーザからも参照できないようにする。例えば、データ隠蔽部15は、保管対象のデータに含まれる隠蔽対象情報を代替情報に置き換える。この例ではデータ中の隠蔽対象情報は削除され、代替情報に取って代わられるので、 データ中には隠蔽対象情報は存在しなくなる。隠蔽対象情報に置き換えられる代替情報は、例えば黒塗り矩形や予め定めた特定の文字コード(例えば「*」や空白文字)等である。隠蔽は、代替情報への置換えに限らず、保管対象のデータ中から隠蔽対象情報を単に削除することで行ってもよい。これら代替情報への置換及び単なる削除は、いずれもデータ中から隠蔽対象情報そのものをなくしてしまう方法であるが、隠蔽はこのような方法に限らない。この代わりに例えば、隠蔽対象情報の隠蔽として、隠蔽対象情報を暗号化する方法を用いてもよい。この場合、隠蔽済みデータ内には、暗号化された隠蔽対象情報が含まれる。隠蔽済みデータ内の隠蔽対象情報は、復号しない限り、ユーザには無意味なデータに見える。以上に例示した隠蔽の方法はあくまで一例に過ぎず、本実施形態では他の隠蔽方法を用いてもよい。
ユーザから入力された保管対象のデータは、すべてデータ隠蔽部15による隠蔽処理を経てデータ保管部17に保管される。したがって、データ保管部17内に保管されるすべてのデータは、隠蔽対象情報が隠蔽されている隠蔽済みデータである。このため、通常業務システム10のシステム管理者のように通常業務システム10内のすべてのデータにアクセス権を持つユーザであっても、そのアクセス権だけで参照できるのは隠蔽済みデータであり、その中の隠蔽対象情報についてはそのアクセス権では参照できない。仮に通常業務システム10のシステム管理者が隠蔽済みデータ内の隠蔽対象情報を参照しようとするならば、その隠蔽対象情報についてのアクセス権を入手する必要がある。
参照情報作成部19は、データ保管部17内のデータに対するユーザからの参照指示に応じて、ユーザに提供する参照用のデータを作成する。ユーザに提供する参照用のデータは、データ保管部17内のデータ(隠蔽済みデータ、すなわち元々のデータ中の隠蔽対象情報を隠蔽したもの)に対して、そのユーザの権限に応じた隠蔽対象情報の復元処理を施して得られるものである。例えば、参照を要求したユーザが隠蔽済みデータ内の隠蔽対象情報に対して参照権限を持つユーザ(例えば通常業務システム10に関する業務監査を行う監査人)である場合、参照情報作成部19は、隠蔽情報管理システム20からその隠蔽対象情報を入手し、参照対象の隠蔽済みデータにその隠蔽対象情報を組み込んだデータを生成し、そのユーザに提供する。一方、参照要求元のユーザが隠蔽済みデータ中の隠蔽対象情報に対する参照権限を持たない場合、参照情報作成部19は、その隠蔽対象情報を隠蔽状態としたままの隠蔽済みデータをそのユーザに提供する。
本実施形態のシステムでは、参照を要求したユーザが要求対象のデータ内の各隠蔽対象情報に対して参照権限を持つか否かの判断は、参照情報作成部19ではなく、隠蔽情報管理システム20が行う。すなわち、参照情報作成部19は、参照要求元のユーザを特定する情報(例えばユーザID(識別情報))と参照対象の隠蔽対象情報を特定する情報とを含む参照判断依頼を隠蔽情報管理システム20に送る。参照判断依頼を受け取った隠蔽情報管理システム20は、参照対象の隠蔽対象情報に対して参照要求元のユーザが参照権限を持っているかどうかを判定し、判定結果を参照情報作成部19に返す。その判定結果には、そのユーザに参照権限がある隠蔽対象情報が含まれる。
隠蔽情報管理システム20は、隠蔽判断部22、隠蔽情報保管部24、隠蔽情報操作部26、及び参照判断部28を含む。
隠蔽判断部22は、通常業務システム10(データ隠蔽部15)からの隠蔽判断の依頼を受けた保管対象のデータを解析し、このデータ中に隠蔽対象情報が含まれているかどうかを解析する。この解析手法は従来ある手法、又はこれから開発されるどのような手法であってもよいので、説明を省略する。そして、隠蔽判断部22は、保管対象のデータから検出した隠蔽対象情報を特定する情報(例えばそのデータ中ので隠蔽対象情報の存在範囲を示す情報)を通常業務システム10に返す。隠蔽対象情報を代替情報に置き換えるという隠蔽方法を用いる例では、隠蔽判断部22は、隠蔽対象情報を特定する情報に加え、代替情報を通常業務システム10に提供してもよい。また、隠蔽判断部22が、検出した隠蔽対象情報を隠蔽(例えば代替情報へ置換)して隠蔽済みデータを生成し、通常業務システム10に返してもよい。
また隠蔽判断部22は、検出した隠蔽対象情報を隠蔽情報保管部24に登録する。
隠蔽情報保管部24は、隠蔽判断部22がデータ中から検出した隠蔽対象情報を、そのデータのIDに対応付けて保存する。隠蔽情報保管部24は、保管した隠蔽対象情報に対するアクセス管理機能を有する。
隠蔽情報操作部26は、隠蔽情報管理システム20内の設定その他の情報を当該システムの管理者が操作するために用いる機能モジュールである。例えば管理者は、隠蔽情報操作部26を用いて、隠蔽情報保管部24に保管された隠蔽対象情報に対するユーザのアクセス権の設定や変更等の操作を行う。例えば、業務監査の実施日に、業務監査を担当する監査者に対して、隠蔽情報保管部24内の隠蔽対象情報に対する参照権限を付与する等の操作を行う。
参照判断部28は、通常業務システム10(参照情報作成部19)からの参照判断依頼に示される要求元のユーザが、参照要求の対象のデータ内の各隠蔽対象情報に対して参照権限を持つか否かを判定する。この判定は、隠蔽情報保管部24のアクセス管理機能に対する問合せにより行えばよい。また、参照判断部28は、要求元のユーザが参照権限を持つと判定した隠蔽対象情報を通常業務システム10に提供する。
次に、通常業務システム10の隠蔽判断部22、隠蔽情報保管部24、参照判断部28について、図2を参照して更に詳しく説明する。
隠蔽情報保管部24は、隠蔽情報テーブル、参照テーブル、ユーザ役割テーブル、
及びアクセス管理テーブルを保持している。
隠蔽情報テーブルは、保管対象のデータから隠蔽した隠蔽対象情報を保持するテーブルである。隠蔽情報テーブルには、保管対象のデータから隠蔽した隠蔽対象情報そのもの(例えばテキストデータ、画像データ、マルチメディアデータ等)が、隠蔽情報保管部24がその隠蔽対象情報に付与した識別情報である隠蔽IDと対応づけて登録されている。
参照テーブルは、隠蔽情報テーブルに登録した隠蔽対象情報の隠蔽IDと、参照IDとの対応関係を保持するテーブルである。参照IDは、隠蔽した隠蔽対象情報を指し示すIDとして通常業務システム10側に提供する識別情報であり、隠蔽対象情報ごとに異なる一意な値である。なお、隠蔽ID自体を参照IDとして通常業務システム10に提供してもよく、この場合は参照テーブルは不要である。
ユーザ役割テーブルは、各ユーザのユーザIDに対応づけてそのユーザの役割を保持したテーブルである。図示例では、役割の例として、個人情報管理者、システム管理者、一般社員等が挙げられている。
アクセス管理テーブルは、隠蔽情報テーブル内に保管された各隠蔽対象情報に対するアクセス管理情報を保持したテーブルである。図示例では、このテーブルには、保管された隠蔽対象情報ごとに、その隠蔽対象情報の隠蔽IDと、その隠蔽対象情報に対する参照権限を持つ役割が登録される。図示例では、隠蔽情報テーブルに保管された3つの隠蔽対象情報のいずれも、「個人情報管理者」という役割を持つユーザ(図示例ではユーザ「User0001」がこれに該当)のみ参照できる。隠蔽対象情報に参照権限を持つユーザを示す情報として、役割の他に、個々人のユーザIDを登録できるようにしてももちろんよい。
隠蔽判断部22は、通常業務システム10から受け取った保管対象のデータから隠蔽対象情報を検出し、検出した隠蔽対象情報を示す情報を通常業務システム10に返す。隠蔽判断部22は、内部機能として、受付部222、隠蔽情報抽出部224、参照テーブル編集部226及び返送部228を有する。以下図3も参照して、これら内部機能の働きを説明する。
受付部222は、通常業務システム10のデータ隠蔽部15から、判断対象となるデータ(すなわちユーザが保管を指示したデータ)を含んだ隠蔽判断依頼を受け付ける。判断対象のデータは、例えばデータファイルの形で受付部222に入力される。このデータは、隠蔽情報抽出部224に渡される。
隠蔽情報抽出部224は、受付部222から受け取った判断対象のデータを解析し、そのデータから隠蔽対象の条件に該当する部分を隠蔽対象情報として抽出する。このとき隠蔽情報抽出部224は、抽出した隠蔽対象情報のそのデータ中での存在範囲を示す範囲情報も求める。例えば判断対象のデータが複数ページからなる文書である場合、範囲情報は当該隠蔽対象情報が存在するページの番号と、そのページ中でのその隠蔽対象情報の存在範囲を表す情報(例えば存在範囲が長方形ならば、その長方形の向かい合う2頂点の座標)との組み合わせで表現される。また判断対象のデータがテキストデータであれば、範囲情報は、隠蔽対象情報が当該テキストデータの何文字目から何文字目まで(あるいは何バイト目から何バイト目まで)であるかを示すものであってもよい。また保管対象のデータが動画データである場合、範囲情報は、当該隠蔽対象情報が含まれるフレームを特定する情報(例えば動画の先頭からの経過時間)と、そのフレーム内でのその隠蔽対象情報の存在範囲の情報との組み合わせで表される。なお、ここに示した隠蔽対象情報の範囲情報の表現形式はあくまで一例に過ぎない。
また隠蔽情報抽出部224は、抽出した隠蔽対象情報に対して一意な隠蔽IDを付与し、その隠蔽対象情報を隠蔽IDと対応付けて隠蔽情報テーブルに格納する。また隠蔽情報抽出部224は、その隠蔽対象情報に対して一意な参照IDを生成する。そして、隠蔽情報抽出部224は、抽出した隠蔽対象情報ごとに、参照ID、範囲情報、及び隠蔽IDの組を参照テーブル編集部226に渡す。
参照テーブル編集部226は、隠蔽情報抽出部224から受け取った情報(参照ID、範囲情報、及び隠蔽ID)のうち、参照IDと隠蔽IDのペアを参照テーブルに登録する。そして、参照テーブル編集部226は、参照IDと範囲情報のペアを返送部228に渡す。参照テーブル編集部226は、抽出された隠蔽対象情報ごとに以上の処理を行う。
返送部228は、抽出された隠蔽対象情報ごとに、参照テーブル編集部226から受け取った参照ID及び範囲情報を通常業務システム10のデータ隠蔽部15に返送する。
なお、返送部228から隠蔽対象情報ごとに参照IDと範囲情報のペアを受け取ったデータ隠蔽部15は、そのペアごとに、保管対象のデータの中の当該ペアの範囲情報が示す範囲を隠蔽(例えば予め定めた代替情報へ置換)する。そして、すべてのペアについてその隠蔽を行った結果得られたデータを隠蔽済みデータとしてデータ保管部17に登録する。またデータ隠蔽部15は、隠蔽済みデータ中の各隠蔽部分(例えば代替情報、または隠蔽対象情報が削除された位置)を、参照IDと対応付ける。この対応付けは、例えば、隠蔽済みデータ中の各隠蔽部分に対して参照IDを例えばメタデータの形で含めることで行えばよい。また、別の例として、返送部228から受け取った隠蔽対象情報ごとの参照IDと範囲情報のペア群そのものを隠蔽済みデータと対応付けてデータ保管部17に登録してもよい。どのような方式を採るにせよ、ユーザが隠蔽済みデータの参照を要求した場合に、その隠蔽済みデータに含まれる個々の隠蔽部分とその隠蔽部分に対応する参照IDが特定できればよい。
次に図2及び図4を参照して、参照判断部28について説明する。参照判断部28は、通常業務システム10からの要求に応じて、ユーザが隠蔽対象情報に対する参照権限を持つかを判定し、判定結果を応答する。また、ユーザが隠蔽対象情報に対する参照権限を持つ場合は、隠蔽済みデータ内のその隠蔽対象情報に対応する隠蔽部分を復元する(すなわち隠蔽状態を解除して元の隠蔽対象情報に戻す)ための復元情報を通常業務システム10に応答する。復元情報は、例えば隠蔽済みデータから削除されている隠蔽対象情報そのものである。参照判断部28は、内部機能として、受付部282、参照可否判断部284、隠蔽データ取得部286及び返送部288を有する。
図4では、一例として、通常業務システム10の参照情報作成部19が隠蔽済みデータ内の隠蔽部分ごとに参照要求を参照判断部28に送る場合の例を説明する。この例では、参照情報作成部19は、ユーザからデータ保管部17内の隠蔽済みデータに対する参照の指示を受け取ると、その隠蔽済みデータを解析し、隠蔽部分を見つけるごとに、その隠蔽部分についての参照要求を参照判断部28に送る。この参照要求には、そのユーザのユーザIDと、その隠蔽部分に対応付けられた参照IDと、が含まれる。
受付部282は、通常業務システム10の参照情報作成部19から参照要求を受け付ける。そして、受け付けた参照要求の情報、すなわちユーザIDと参照IDのペアを参照可否判断部284に渡す。
参照可否判断部284は、受け取った参照要求中のユーザIDが、その参照要求中の参照IDに対応する隠蔽対象情報に対する参照権限を持つか否かを判断する。この判断は、隠蔽情報保管部24内の参照テーブル、アクセス管理テーブル及びユーザ役割テーブルを参照して行う。すなわち、参照可否判断部284は、参照要求中の参照IDに対応する隠蔽IDを参照テーブルから求め、更に、求めた隠蔽IDに対応する隠蔽対象情報に対して参照権限を持つ役割をアクセス管理テーブルから求める。また、参照要求中のユーザIDに対応する役割をユーザ役割テーブルから求める。そして、求めた役割が、先に求めた隠蔽IDに対して参照権限を持つ役割に該当するかを調べ、該当する場合は、要求元のユーザは要求対象の隠蔽対象情報を参照可能(参照権限あり)であると判定する。該当しない場合は参照不可と判定する。参照可否判断部284は、この判定の結果である参照可否の情報と隠蔽IDとのペアを隠蔽データ取得部286に渡す。例えば通常業務システム10のシステム管理者であっても、参照判断部28により隠蔽対象情報に参照権限があると判断されない限り、隠蔽済みデータ中の隠蔽対象情報を見ることはできない。
隠蔽データ取得部286は、受け取ったペアのうち参照可否の情報が参照可能であることを示す場合、隠蔽情報保管部24内の隠蔽情報テーブルから、そのペア内の隠蔽IDに対応する隠蔽対象情報を取得する。そして、参照可能の旨を示す情報と、取得した隠蔽対象情報とを返送部288に渡す。
返送部288は、参照可否の判断結果と、隠蔽データ取得部286が取得した隠蔽対象情報(参照可能と判断した場合のみ)と、を含む応答(判断結果)を通常業務システム10の参照情報作成部19に返す。
参照要求に対する応答を隠蔽情報管理システム20から受け取った参照情報作成部19は、その応答が「参照可能」であることを示す場合には、その応答に含まれる隠蔽対象情報を、隠蔽済みデータ中の対応する隠蔽部分に置き換える。一方、その応答が「参照不可」の旨を示す場合には、参照要求に対応する隠蔽部分は隠蔽されたままとする。
ユーザが参照を要求した隠蔽済みデータ中のすべての隠蔽部分について以上の処理を行うことで、隠蔽済みデータのうちそのユーザが参照権限を持つ隠蔽対象情報は表示され、参照権限を持たない隠蔽対象情報は隠蔽されたままのデータが生成される。
図4の例では、隠蔽済みデータ内の埋込部分ごとに、当該埋込部分に対応する参照IDについての参照要求を参照情報作成部19から参照判断部28に送る場合を想定した。ただし、これは一例に過ぎず、 参照情報作成部19は、1つの隠蔽済みデータに含まれる各隠蔽部分に対応する各参照IDを一括して含んだ参照要求を参照判断部28に送ってもよい。この場合、参照判断部28は、その参照要求に含まれる各参照IDについてそれぞれ上述と同様の方法で参照可否を判断する。そして、参照IDごとの判断の結果(参照可否の情報と、可の場合は隠蔽対象情報)を参照IDと対応付けて参照情報作成部19に返す。
図2〜図4を参照して説明した以上の例では、保管対象のデータから隠蔽対象情報を削除し(ある例では削除した隠蔽対象情報を代替情報に置換え)、その隠蔽対象情報を隠蔽情報管理システム20が保管した。別の例として、隠蔽対象情報を暗号化により隠蔽する例もある。
この例では、隠蔽判断部22は、保管対象のデータ中から検出した隠蔽対象情報ごとに、その隠蔽対象情報に対応する暗号鍵及び復号鍵(これら両者が共通であってもよい)を生成し、隠蔽対象情報の代わりに復号鍵を、その隠蔽対象情報の隠蔽IDと対応付けて、隠蔽情報テーブル(図2参照)に保管する。そして、隠蔽判断部22は、検出した隠蔽対象情報を特定する範囲情報と参照IDとその暗号鍵とを通常業務システム10のデータ隠蔽部15に返し、データ隠蔽部15は、保管対象のデータ中のその隠蔽対象情報をその暗号鍵で暗号化して隠蔽する。あるいは、隠蔽判断部22がその隠蔽対象情報をその暗号鍵で暗号化し、暗号化済みの隠蔽対象情報と範囲情報と参照IDをデータ隠蔽部15に返し、データ隠蔽部15はその範囲情報が示す隠蔽対象情報をその暗号化済みの隠蔽対象情報に置き換えてもよい。隠蔽済みデータの参照時には、参照判断部28は、参照情報作成部19からの参照要求の対象である隠蔽対象情報に対応する復号鍵を隠蔽情報テーブルから読み出し、参照情報作成部19に返す。参照情報作成部19は、その復号鍵を用いてその暗号済みの隠蔽対象情報を復号することで、元の隠蔽対象情報を復元する。この例では、復号鍵が、隠蔽された隠蔽対象情報を復元(すなわち隠蔽状態の解除)するための復元情報である。
以上では、通常業務システム10と隠蔽情報管理システム20をそれぞれ1つずつ含むシステムを例示した。しかし、本実施形態のシステムは、通常業務システム10を複数含んでいてもよいし、隠蔽情報管理システム20を複数含んでいてもよい。
例えば、組織内の文書管理システム、経理情報システム、生産管理システム等の目的ごとに設けられた複数の通常業務システム10が、それぞれ隠蔽対象情報の管理のために共通の隠蔽情報管理システム20と上述のように連携するシステムが考えられる。
また、複数の隠蔽情報管理システム20を用いる例としては、隠蔽対象情報のカテゴリごとに別々の隠蔽情報管理システム20を用いる例がある。
例えば、マイナンバーと経理情報とは別の理由(法令や社内ルール)から隠蔽対象となっており、それらを取り扱う部署や担当者が一般に異なる。マイナンバー業務の担当者が経理情報にアクセスできたり、経理担当者が隠蔽後のマイナンバーにアクセスできたりすることは、情報管理上防止しなければならない。もちろん、マイナンバーと経理情報を1つの隠蔽情報管理システム20で管理する場合でも、アクセス権管理によりそのような担当外の隠蔽情報へのアクセスを禁じる制御を行うことでおおよその目的は達成できる。しかし、この隠蔽情報管理システム20のシステム管理者はそれら両方の情報にアクセスできてしまうため、情報管理上の問題となる。これに対し、マイナンバー用の隠蔽情報管理システム20、経理情報用の隠蔽情報管理システム20というように、隠蔽対象情報のカテゴリごとに別々の隠蔽情報管理システム20を設ければ、そのような問題は解消乃至低減される。
もちろん、図5に示すように複数の通常業務システム10−1〜通常業務システム10−mのそれぞれが、カテゴリごとに設けられた複数の隠蔽情報管理システム20−1〜隠蔽情報管理システム20−n(m、nは2以上の整数)を利用するというシステム構成もあり得る。
次に図6を参照して、隠蔽情報管理システム20が複数存在する場合の、データの登録処理の例を説明する。
ユーザ端末からある通常業務システム10に対してデータの登録を指示(S10)した場合、その通常業務システム10のデータ隠蔽部15は、問い合わせ先として予め設定されている複数の隠蔽情報管理システム20−1から20−nに対して、そのデータを含んだ隠蔽判断依頼を送る(S12)。
隠蔽判断依頼を受けた隠蔽情報管理システム20−1〜20−nの隠蔽判断部22−1〜22−nは、それぞれ、その依頼が含まれる対象のデータから、当該システム20−1〜20−nが担当するカテゴリの隠蔽対象情報を抽出し、保存する(S14)。そして隠蔽判断部22−1〜22−nは、抽出した各隠蔽対象情報に付与した参照IDと、各隠蔽対象情報の存在範囲を示す範囲情報とを、データ隠蔽部15に返す(S16)。
データ隠蔽部15は、各隠蔽判断部22−1〜22−nから受け取った参照IDと範囲情報のペアごとに、対象のデータ中でその範囲情報が示す部分(すなわち隠蔽対象情報)を隠蔽する(S18)。すべてのペアについて隠蔽処理を終えると、予め設定されたすべてのカテゴリ群の隠蔽対象情報が隠蔽された隠蔽済みデータが得られる。データ隠蔽部15は、その隠蔽済みデータを、一意なID(文書ID)と対応付けてデータ保管部17に保管する(S19)。またデータ隠蔽部15は、保管した隠蔽済みデータの文書IDと対応付けて、隠蔽した各隠蔽対象情報の参照IDと範囲情報のペア群の情報100をデータ保管部17に保管する。この情報100には、各ペアに対応付けて、そのペアの情報を隠蔽判断依頼に対する応答として提供した隠蔽情報管理システム20−1〜20−nの識別情報(隠蔽システムID)を記録する。
次に図7を参照して、隠蔽情報管理システム20が複数存在する場合の、隠蔽済みデータの参照処理の例を説明する。
ユーザはユーザ端末を操作して通常業務システム10にログインし、通常業務システム10から提示された文書(隠蔽済みデータ)の一覧の中から、参照する文書を指定する。すると、ユーザ端末から通常業務システム10の参照情報作成部19に対して、指定された文書の文書IDと、そのユーザのユーザIDとを含む参照要求が送られる(S20)。参照情報作成部19は、参照要求の対象の文書IDに対応する隠蔽済みデータをデータ保管部17から取得する(S22)。取得した隠蔽済みデータには、その中の各隠蔽部分に対応する参照ID及び範囲IDのペアと、そのペアの提供元の隠蔽情報管理システム20の隠蔽システムIDとを含むエントリ群からなる情報100が関連付けられている。参照情報作成部19は、その情報100内のエントリごとに、そのエントリ内の隠蔽システムIDに対応する隠蔽情報管理システム20−1〜20−nに対し、そのエントリ内の参照IDと要求元のユーザIDとを含んだ参照要求を送る(S24)。
参照要求を受け取った各隠蔽情報管理システム20−1〜20−nの参照判断部28−1〜28−nは、それぞれ参照要求中の参照IDに対応する隠蔽対象情報が、参照要求中のユーザIDから参照可能か否か判断し、判断結果を参照情報作成部19に返す(S26)。図示例では、参照判断部28−nは、要求された参照ID「FA321-AU03D」の隠蔽対象情報がそのユーザから参照可能と判断し、その隠蔽対象情報を含んだ判断結果を参照情報作成部19に返す。一方、参照判断部28−1は、要求された参照ID「A0001-BF04D」の隠蔽対象情報がそのユーザから参照不可と判断し、その不可の旨の判断結果(隠蔽対象情報は含まない)を参照情報作成部19に返す。
参照情報作成部19は、各参照判断部28−1〜28−nから受け取った判断結果に含まれる隠蔽対象情報を、隠蔽済みデータ中のそれぞれ対応する隠蔽部分の場所に復元する(S28)。これにより、そのユーザが参照権限を持つ隠蔽対象情報のみが復元されたデータが生成され、このデータがユーザ端末に提供される(S30)。
以上に説明した通常業務システム10及び隠蔽情報管理システム20は、コンピュータにそれら各システムについての上述の機能を表すプログラムを実行させることにより実現される。ここで、コンピュータは、例えば、ハードウエアとして、CPU等のマイクロプロセッサ、ランダムアクセスメモリ(RAM)およびリードオンリメモリ(ROM)等のメモリ(一次記憶)、フラッシュメモリやSSD(ソリッドステートドライブ)、HDD(ハードディスクドライブ)や等の固定記憶装置を制御するコントローラ、各種I/O(入出力)インタフェース、ローカルエリアネットワークなどのネットワークとの接続のための制御を行うネットワークインタフェース等が、たとえばバス等を介して接続された回路構成を有する。それら各機能の処理内容が記述されたプログラムがネットワーク等の経由でフラッシュメモリ等の固定記憶装置に保存され、コンピュータにインストールされる。固定記憶装置に記憶されたプログラムがRAMに読み出されCPU等のマイクロプロセッサにより実行されることにより、上に例示した機能モジュール群が実現される。また、通常業務システム10及び隠蔽情報管理システム20のうちの少なくとも一方が、通信を介して互いに協働する2以上のコンピュータから構成されていてもよい。
10 通常業務システム、11 認証部、13 アクセスI/F、15 データ隠蔽部、17 データ保管部、19 参照情報作成部、20 隠蔽情報管理システム、22 隠蔽判断部、24 隠蔽情報保管部、26 隠蔽情報操作部、28 参照判断部。

Claims (6)

  1. 第1装置と第2装置とを含み、
    前記第1装置は、
    保管対象のデータの入力を受け付ける手段と、
    入力された前記データのうち隠蔽対象を隠蔽した隠蔽済みデータを保管する保管手段と、
    保管された隠蔽済みデータに対する参照をユーザから指示された場合に、そのユーザを示す情報を含む参照要求を前記第2装置に送る手段と、
    前記参照要求に応じて前記第2装置から復元情報を受け取った場合に、前記隠蔽済みデータ内の隠蔽されている前記隠蔽対象を前記復元情報により復元する手段と、
    入力された前記保管対象のデータを含む隠蔽依頼を前記第2装置に送信する送信手段と、
    前記隠蔽依頼に応じて前記第2装置から送られてくる前記隠蔽対象を特定する特定情報を用いて前記保管対象のデータ中のその隠蔽対象を隠蔽することにより前記隠蔽済みデータを生成する生成手段と、
    を含み、
    前記第2装置は、
    前記保管手段に保管された隠蔽済みデータ中で隠蔽されている前記隠蔽対象を復元するための前記復元情報を記憶する記憶手段と、
    前記記憶手段内の復元情報に対するユーザの参照権限を判定する判定手段と、
    前記第1装置からの前記参照要求の情報が示すユーザが前記隠蔽対象について参照権限を持つと前記判定手段で判定された場合は前記隠蔽対象に対応する前記復元情報を前記第1装置に応答し、参照権限を持たないと判定された場合は前記復元情報を提供しない応答手段と、
    前記第1装置からの前記隠蔽依頼に含まれる前記保管対象のデータから前記隠蔽対象を検出する隠蔽対象検出手段と、
    検出された前記隠蔽対象を特定する特定情報を前記第1装置に送る手段と、
    を含む情報処理システム。
  2. 隠蔽対象のカテゴリごとに設けられた複数の前記第2装置を含み、
    前記第2装置の前記隠蔽対象検出手段は、当該第2装置に対応するカテゴリに属する隠蔽対象を前記データから検出し、
    前記第1装置の前記送信手段は、前記保管対象のデータを複数の前記第2装置に送信し、
    前記第1装置の前記生成手段は、複数の前記第2装置から送られてきた前記特定情報の各々を用いて、前記保管対象のデータ中の当該特定情報に対応する前記隠蔽対象を隠蔽する、
    ことを特徴とする請求項に記載の情報処理システム。
  3. 保管対象のデータの入力を受け付ける手段と、
    入力された前記データのうち隠蔽対象を隠蔽した隠蔽済みデータを保管する保管手段と、
    保管された隠蔽済みデータに対する参照をユーザから指示された場合に、そのユーザを示す情報を含む参照要求を、前記隠蔽済みデータ中の前記隠蔽対象を記憶する第2装置であって前記ユーザが前記隠蔽対象について参照権限を持つ場合に前記隠蔽対象を復元するための復元情報を提供する第2装置、に送る手段と、
    前記参照要求に応じて前記第2装置から復元情報を受け取った場合に、前記隠蔽済みデータ内の隠蔽されている前記隠蔽対象を前記復元情報により復元する手段と、
    入力された前記保管対象のデータを含む隠蔽依頼を前記第2装置に送信する送信手段と、
    前記隠蔽依頼に応じて前記第2装置から送られてくる前記隠蔽対象を特定する特定情報を用いて前記保管対象のデータ中のその隠蔽対象を隠蔽することにより前記隠蔽済みデータを生成する生成手段と、
    を含む情報処理装置。
  4. コンピュータを、
    保管対象のデータの入力を受け付ける手段、
    入力された前記データのうち隠蔽対象を隠蔽した隠蔽済みデータを保管する保管手段、
    保管された隠蔽済みデータに対する参照をユーザから指示された場合に、そのユーザを示す情報を含む参照要求を、前記隠蔽済みデータ中の前記隠蔽対象を記憶する第2装置であって前記ユーザが前記隠蔽対象について参照権限を持つ場合に前記隠蔽対象を復元するための復元情報を提供する第2装置、に送る手段、
    前記参照要求に応じて前記第2装置から復元情報を受け取った場合に、前記隠蔽済みデータ内の隠蔽されている前記隠蔽対象を前記復元情報により復元する手段、
    入力された前記保管対象のデータを含む隠蔽依頼を前記第2装置に送信する送信手段、
    前記隠蔽依頼に応じて前記第2装置から送られてくる前記隠蔽対象を特定する特定情報を用いて前記保管対象のデータ中のその隠蔽対象を隠蔽することにより前記隠蔽済みデータを生成する生成手段、
    として機能させるためのプログラム。
  5. 第1装置に保管されている隠蔽済みデータにおける、対応する元のデータから隠蔽されている隠蔽対象を復元するための復元情報を記憶する記憶手段と、
    前記記憶手段内の復元情報に対するユーザの参照権限を判定する判定手段と、
    前記第1装置からの隠蔽対象に対する参照要求の要求元のユーザが前記隠蔽対象について参照権限を持つと前記判定手段で判定された場合は前記隠蔽対象に対応する前記復元情報を前記第1装置に応答し、参照権限を持たないと判定された場合は前記復元情報を提供しない応答手段と、
    前記第1装置からの、前記元のデータを含む隠蔽依頼に応じて、前記元のデータから前記隠蔽対象を検出する隠蔽対象検出手段と、
    検出された前記隠蔽対象を特定する特定情報を前記第1装置に送る手段と、
    を含む情報処理装置。
  6. コンピュータを、
    第1装置に保管されている隠蔽済みデータにおける、対応する元のデータから隠蔽されている隠蔽対象を復元するための復元情報を記憶する記憶手段、
    前記記憶手段内の復元情報に対するユーザの参照権限を判定する判定手段、
    前記第1装置からの隠蔽対象に対する参照要求の要求元のユーザが前記隠蔽対象について参照権限を持つと前記判定手段で判定された場合は前記隠蔽対象に対応する前記復元情報を前記第1装置に応答し、参照権限を持たないと判定された場合は前記復元情報を提供しない応答手段、
    前記第1装置からの、前記元のデータを含む隠蔽依頼に応じて、前記元のデータから前記隠蔽対象を検出する隠蔽対象検出手段、
    検出された前記隠蔽対象を特定する特定情報を前記第1装置に送る手段、
    として機能させるためのプログラム。
JP2016113431A 2016-06-07 2016-06-07 情報処理システム、情報処理装置及びプログラム Expired - Fee Related JP6729013B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016113431A JP6729013B2 (ja) 2016-06-07 2016-06-07 情報処理システム、情報処理装置及びプログラム
US15/347,008 US20170351864A1 (en) 2016-06-07 2016-11-09 Information processing system, information processing apparatus, non-transitory computer readable medium, and information processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016113431A JP6729013B2 (ja) 2016-06-07 2016-06-07 情報処理システム、情報処理装置及びプログラム

Publications (2)

Publication Number Publication Date
JP2017219997A JP2017219997A (ja) 2017-12-14
JP6729013B2 true JP6729013B2 (ja) 2020-07-22

Family

ID=60483237

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016113431A Expired - Fee Related JP6729013B2 (ja) 2016-06-07 2016-06-07 情報処理システム、情報処理装置及びプログラム

Country Status (2)

Country Link
US (1) US20170351864A1 (ja)
JP (1) JP6729013B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB201612509D0 (en) * 2016-07-19 2016-08-31 Loughran Nick Messaging application
CN109472153B (zh) * 2018-09-30 2022-12-20 中国农业大学烟台研究院 一种权限审核方法
JP7403306B2 (ja) * 2019-12-16 2023-12-22 株式会社日立製作所 サーバ、データ処理方法、計算機システム及び計算機

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60301782T2 (de) * 2002-08-01 2006-05-24 Matsushita Electric Industrial Co., Ltd., Kadoma Apparate und verfahren zum entschüsseln von verschlüsselten datenblöcken und zum lokalisieren der verschlüsselten datenblöcke im für die ausführung verwendeten speicherbereich
JP2005055999A (ja) * 2003-08-07 2005-03-03 Fuji Xerox Co Ltd アクセス権管理装置、アクセス権管理方法、及びそのプログラム
JP4861754B2 (ja) * 2006-06-20 2012-01-25 株式会社リコー サーバ、クライアントおよびプログラム
JP5471065B2 (ja) * 2009-06-24 2014-04-16 富士ゼロックス株式会社 文書情報生成装置、文書登録システム、及びプログラム
JP2011133991A (ja) * 2009-12-22 2011-07-07 Nec Corp 機密データ保護システム、機密データ保護方法、機密データ保護プログラム
US9311418B2 (en) * 2012-12-13 2016-04-12 Sony Corporation Information processing apparatus, information processing method , information management apparatus, information management method, recording medium, and information processing system
CN103294961A (zh) * 2013-06-07 2013-09-11 北京奇虎科技有限公司 一种文件加/解密方法以及文件加/解密装置
KR102356549B1 (ko) * 2014-03-12 2022-01-28 삼성전자주식회사 디바이스 내의 폴더를 암호화하는 시스템 및 방법

Also Published As

Publication number Publication date
JP2017219997A (ja) 2017-12-14
US20170351864A1 (en) 2017-12-07

Similar Documents

Publication Publication Date Title
US7140044B2 (en) Data security system and method for separation of user communities
US7146644B2 (en) Data security system and method responsive to electronic attacks
US7721345B2 (en) Data security system and method
US9348984B2 (en) Method and system for protecting confidential information
US6289450B1 (en) Information security architecture for encrypting documents for remote access while maintaining access control
JP5833146B2 (ja) 機密データ漏えい防止装置および方法
CN109923548A (zh) 通过监管进程访问加密数据实现数据保护的方法、***及计算机程序产品
JP6932175B2 (ja) 個人番号管理装置、個人番号管理方法、および個人番号管理プログラム
US9118617B1 (en) Methods and apparatus for adapting the protection level for protected content
Viega Building security requirements with CLASP
US20140108755A1 (en) Mobile data loss prevention system and method using file system virtualization
AU2017283544A1 (en) Systems and methods for secure storage of user information in a user profile
KR100440037B1 (ko) 문서보안 시스템
US7412603B2 (en) Methods and systems for enabling secure storage of sensitive data
JP6729013B2 (ja) 情報処理システム、情報処理装置及びプログラム
US8132261B1 (en) Distributed dynamic security capabilities with access controls
CN115935390A (zh) 一种基于属性的安全沙盒内文件动态访问控制和加密方法
JP5443236B2 (ja) 分散型データベースシステム
GB2535579A (en) Preventing unauthorized access to an application server
CN105205403B (zh) 基于文件过滤的管控局域网文件数据的方法、***
De Oliveira et al. Monitoring personal data transfers in the cloud
US20220092193A1 (en) Encrypted file control
Kadebu et al. A security requirements perspective towards a secured nosql database environment
TWI444849B (zh) 透過伺服器驗證並授權解密以監控個資檔案之系統及方法
KR100523843B1 (ko) 디지털 저작권 관리 클라이언트에서의 접근권한 제어를위한 접근 제어 목록 기반의 제어 장치

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190423

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200310

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200424

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200602

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200615

R150 Certificate of patent or registration of utility model

Ref document number: 6729013

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees