WO2021176680A1

WO2021176680A1 - 情報管理装置、情報管理システム、情報管理方法および非一時的なコンピュータ可読媒体

Info

Publication number: WO2021176680A1
Application number: PCT/JP2020/009585
Authority: WO
Inventors: 恭久上藤
Original assignee: 日本電気株式会社
Priority date: 2020-03-06
Filing date: 2020-03-06
Publication date: 2021-09-10
Also published as: US20230074366A1; JPWO2021176680A1; JP7347649B2

Abstract

情報管理装置（１０）は、対象情報の原所有者または原作成者の所属組織を示す所属組織情報を取得する取得部（１００）と、対象情報に対する操作であって、対象情報または対象情報の複製のパスに設定される対象情報または前記複製の公開範囲の変更を伴う操作の要求を受信したことに応じて、所属組織との業務の関連性に基づいて、対象情報または前記複製が公開される可能性がある組織群を示す公開可能性範囲を特定する特定部（１２０）と、操作後の操作先パスの公開範囲の少なくとも一部が公開可能性範囲に含まれない場合に、操作の実行を制限する制限部（１４０）と、を備える。

Description

情報管理装置、情報管理システム、情報管理方法および非一時的なコンピュータ可読媒体

　本開示は、情報管理装置、情報管理システム、情報管理方法および非一時的なコンピュータ可読媒体に関する。

　情報漏洩等に対する情報セキュリティ向上のために、ファイルサーバに格納されるデータの公開範囲を制限してデータを管理することが知られている。特許文献１では、業務遂行を円滑化するために予め文書データの公開先組織とその関連組織を公開対象組織として登録し、ユーザの所属組織が公開対象組織として登録されている場合にのみ当該文書データを送信する文書管理システムが開示されている。

特開２０１２－１８５７８０号公報

　しかし上述の特許文献１に記載の文書管理システムでは、管理対象の文書データまたはその複製が、転々と流通し、業務内容が異なる組織がアクセス可能な場所に置かれることを防止することができないという問題がある。

　本開示の目的は、上述した課題を鑑み、業務遂行を円滑化しつつ機密性を向上させることができる情報管理装置、情報管理システム、情報管理方法および非一時的なコンピュータ可読媒体を提供することにある。

　本開示の一態様における情報管理装置は、対象情報の原所有者または原作成者の所属組織を示す所属組織情報を取得する取得部と、前記対象情報に対する操作であって、前記対象情報または前記対象情報の複製のパスに設定される前記対象情報または前記複製の公開範囲の変更を伴う前記操作の要求を受信したことに応じて、前記所属組織との業務の関連性に基づいて、前記対象情報または前記複製が公開される可能性がある組織群を示す公開可能性範囲を特定する特定部と、前記操作後の操作先パスの公開範囲の少なくとも一部が前記公開可能性範囲に含まれない場合に、前記操作の実行を制限する制限部と、を備える。

　本開示の一態様における情報管理システムは、操作対象の対象情報を記憶するファイルサーバと、操作を指定するユーザ端末と、ユーザと前記ユーザの所属組織とを関連付けて記憶する組織ユーザ管理装置と、前記対象情報の原所有者または原作成者の所属組織を示す所属組織情報を取得する取得部と、前記対象情報に対する操作であって、前記対象情報または前記対象情報の複製のパスに設定される前記対象情報または前記複製の公開範囲の変更を伴う前記操作の要求を受信したことに応じて、前記所属組織との業務の関連性に基づいて、前記対象情報または前記複製が公開される可能性がある組織群を示す公開可能性範囲を特定する特定部と、前記操作後の操作先パスの公開範囲の少なくとも一部が前記公開可能性範囲に含まれない場合に、前記操作の実行を制限する制限部と、を有する情報管理装置と、を備える。

　本開示の一態様における情報管理方法は、対象情報の原所有者または原作成者の所属組織を示す所属組織情報を取得する段階と、前記対象情報に対する操作であって、前記対象情報または前記対象情報の複製のパスに設定される前記対象情報または前記複製の公開範囲の変更を伴う前記操作の要求を受信したことに応じて、前記所属組織との業務の関連性に基づいて、前記対象情報または前記複製が公開される可能性がある組織群を示す公開可能性範囲を特定する段階と、前記操作後の操作先パスの公開範囲の少なくとも一部が前記公開可能性範囲に含まれない場合に、前記操作の実行を制限する段階と、を備える。

　本開示の一態様における非一時的なコンピュータ可読媒体は、対象情報の原所有者または原作成者の所属組織を示す所属組織情報を取得する取得機能と、前記対象情報に対する操作であって、前記対象情報または前記対象情報の複製のパスに設定される前記対象情報または前記複製の公開範囲の変更を伴う前記操作の要求を受信したことに応じて、前記所属組織との業務の関連性に基づいて、前記対象情報または前記複製が公開される可能性がある組織群を示す公開可能性範囲を特定する特定機能と、前記操作後の操作先パスの公開範囲の少なくとも一部が前記公開可能性範囲に含まれない場合に、前記操作の実行を制限する制限機能と、をコンピュータに実現させる情報管理プログラムが格納されている。

　本開示により、業務遂行を円滑化しつつ機密性を向上させることができる情報管理装置、情報管理システム、情報管理方法および非一時的なコンピュータ可読媒体を提供することができる。

実施形態１にかかる情報管理装置の構成を示すブロック図である。実施形態２にかかる情報管理システムの一例を示す概略構成図である。実施形態２にかかる管理テーブルのデータ構造の一例を示す図である。実施形態２にかかる公開範囲テーブルのデータ構造の一例を示す図である。実施形態２にかかる組織階層テーブルのデータ構造の一例を示す図である。実施形態２にかかる操作先管理ログのデータ構造の一例を示す図である。実施形態２にかかる情報管理装置の処理を示すフローチャートである。実施形態２にかかる制限部の操作制限処理時の表示の一例を示す図である。実施形態２にかかる特定部の公開可能性範囲特定処理を示すフローチャートである。実施形態２にかかる公開可能性範囲特定処理を説明するための図である。実施形態３にかかる特定部の公開可能性範囲特定処理を示すフローチャートである。実施形態４にかかる情報管理システムの一例を示す概略構成図である。実施形態４にかかる公開上限階層テーブルのデータ構造の一例を示す図である。実施形態４にかかる取得部の公開上限階層情報取得時の表示の一例を示す図である。実施形態４にかかる特定部の公開可能性範囲特定処理を示すフローチャートである。実施形態５にかかる情報管理装置の処理を示すフローチャートである。実施形態６にかかる操作先管理ログのデータ構造の一例を示す図である。実施形態７にかかる操作先管理ログのデータ構造の一例を示す図である。本実施形態のコンピュータの概略構成図である。

　（実施形態１）
　以下、図面を参照して本開示の実施形態１について説明する。各図面において、同一又は対応する要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略される。

　図１は、実施形態１にかかる情報管理装置１０の構成を示すブロック図である。情報管理装置１０は、取得部１００と、特定部１２０と、制限部１４０とを備える。
　取得部１００は、対象情報の原所有者または原作成者の所属組織を示す所属組織情報を取得する。

　特定部１２０は、対象操作の要求を受信したことに応じて、原所有者または原作成者の所属組織との業務の関連性に基づいて、対象情報またはその複製が公開される可能性がある組織群を示す公開可能性範囲を特定する。ここで対象操作は、対象情報に対する操作であって、対象情報またはその複製のパスに設定される対象情報またはその複製の公開範囲の変更を伴う操作である。
　制限部１４０は、対象操作後の操作先パスの公開範囲の少なくとも一部が公開可能性範囲に含まれない場合に、操作の実行を制限する。

　このように実施形態１の構成によれば、情報管理装置１０は、操作後の公開範囲が原所有者または原作成者の所属組織の業務の関連性に基づく公開可能性範囲に含まれない場合に操作を制限する。これにより対象情報またはその複製が転々と流通して、元々の関連組織とは業務内容の異なる組織がアクセス可能な場所に対象情報またはその複製が置かれることを防止し、機密性を向上させることができる。また一方で、操作後の公開範囲が公開可能性範囲に含まれる場合は、操作前の公開範囲に含まれない組織のメンバーに対しても対象情報の共有が可能となり、業務遂行をより円滑にすることができる。

　（実施形態２）
　次に図２～１０を用いて、本開示の実施形態２について説明する。図２は、実施形態２にかかる情報管理装置２０が適用されることができる情報管理システム１の一例を示す概略構成図である。

　情報管理システム１は、ユーザの組織の業務に関連する情報（業務関連情報）を記憶し、管理する。業務関連情報は、機密情報を含む。たとえば情報管理システム１のユーザは、会社の役員および従業員等であり、組織は、会社全体並びに会社内の部、課および業務グループ等を含む。各組織には、１または複数のユーザが直接または間接的に所属している。各組織は、上位および下位の少なくとも一方に、直系の関連組織を有する。また各組織は、上位および下位の少なくとも一方に、傍系の関連組織を有してよい。

　情報管理システム１は、ファイルサーバ４と、組織ユーザ管理装置５と、１または複数のユーザ端末６と、情報管理装置２０とを備え、これらがネットワーク８を介して通信可能に接続される構成をとる。

　ネットワーク８は、インターネット、広域ネットワーク（ＷＡＮ）、ローカルエリアネットワーク等の各種ネットワークまたはその組み合わせを含んで構成される。またネットワーク８は、インターネットと分離された専用回線を含んでもよい。

　ファイルサーバ４は、サーバ・コンピュータ等のコンピュータであり、業務関連情報を格納する。ここでファイルサーバ４は、ファイルを用いて業務関連情報を格納する。ファイルサーバ４は、情報管理装置２０を介してユーザ端末６から業務関連情報の登録、変更、削除、閲覧、移動、複製およびアクセス権変更等の操作の要求を受信したことに応じて、情報管理装置２０からの制御を受け、当該制御に従った操作を実行する。

　組織ユーザ管理装置５は、ユーザとユーザの所属組織等のユーザ属性情報とを関連付けて記憶するサーバ・コンピュータ等のコンピュータである。組織ユーザ管理装置５はまた、組織間のつながりおよび階層を示す組織階層情報を記憶する。組織ユーザ管理装置５は一例として、Active Directory（登録商標）等のドメインサービスを提供するドメインコントローラが利用するディレクトリサーバの一部であってよい。組織ユーザ管理装置５は、情報管理装置２０からの要求を受信したことに応じて、情報管理装置２０に対してユーザに関連付けられたユーザ属性情報および組織階層情報を送信する。

　ユーザ端末６は、ユーザが利用するパーソナルコンピュータ、ノート型コンピュータ、携帯電話、スマートフォン、またはデータ入出力可能なその他の端末装置等である。ユーザ端末６は、ファイルサーバ４の業務関連情報の登録、変更、削除、閲覧、移動、複製およびアクセス権変更等の操作を指定し、情報管理装置２０を介してファイルサーバ４に操作の要求を送信する。

　情報管理装置２０は、ファイルサーバ４に格納される業務関連情報のうち、管理対象の業務関連情報を管理するサーバ・コンピュータ等のコンピュータである。情報管理装置２０は、ネットワーク８を介して、ファイルサーバ４、組織ユーザ管理装置５およびユーザ端末６との間で各種情報の送受信を行う。情報管理装置２０は、ファイルサーバ４に格納される管理対象の業務関連情報と、その業務関連情報を含むファイルのファイル属性情報とを関連付けて管理する。ここでファイル属性情報は、そのファイルのパス（ファイルパス）、ファイルパスのアクセス権および所有者を示す情報を含んでよい。また情報管理装置２０は、業務関連情報の操作の要求をユーザ端末６から受信したことに応じて、ファイルサーバ４に対して当該操作の実行を許可または制限する等の制御を行う。

　情報管理装置２０は、取得部２００と、検出部２１０と、特定部２２０と、制限部２４０と、更新部２６０と、データベース２８０とを有する。

　取得部２００は、ファイルサーバ４に格納される管理対象の業務関連情報の各種ファイル属性情報を取得する。また取得部２００は、管理対象の業務関連情報のうちユーザ端末６の操作の対象となる業務関連情報（対象情報）の原所有者の所属組織を示す所属組織情報を含むユーザ属性情報を取得する。原所有者は、オリジナルの業務関連情報を含むファイルの作成時点での所有者、またはオリジナルの業務関連情報を含むファイルの現時点での所有者であってよい。オリジナルとは、複製物ではないことを示してよい。取得部２００は、取得した各種情報をデータベース２８０に格納する。また取得部２００は、データベース２８０を参照し、データベース２８０に格納される各種情報を特定部２２０および制限部２４０等に出力する。

　検出部２１０は、ユーザ端末６が指定した対象情報に対する操作（ユーザ指定操作）の要求を受信したことに応じて、当該ユーザ指定操作のうち制限対象となる対象操作を検出する。ここでユーザ指定操作は、対象情報の登録、削除、変更、閲覧、移動、複製およびアクセス権変更等であってよい。また対象操作は、対象情報または対象情報の複製のパスに設定される対象情報またはその複製の公開範囲の変更を伴う操作である。ここで公開範囲は、対象情報またはその複製を含むファイルのファイルパスに対するアクセス権が付与された組織群を示す。したがって対象情報またはその複製の公開範囲に含まれる組織は、実際に対象情報またはその複製にアクセスし、閲覧等することができる。なお、対象情報の移動、対象情報の複製および複製物の移動、並びにアクセス権の変更等は、対象操作である可能性がある操作である。ここで対象操作は、当該対象操作である可能性がある操作のうち、操作先のファイルパス（操作先パス）の公開範囲が操作元のファイルパス（操作元パス）である対象情報またはその複製のファイルパスの公開範囲と異なる操作である。一例として対象操作は、当該対象操作である可能性がある操作のうち、操作先パスの公開範囲の少なくとも一部が操作元パスの公開範囲に含まれない操作であってよい。

　特定部２２０は、対象操作が検出されたことに応じて、原所有者の所属組織との業務の関連性に基づいて、対象情報またはその複製が公開される可能性がある組織群を示す公開可能性範囲を特定する。公開可能性範囲は、アクセス権とは独立して対象情報またはその複製に対して設定される、対象情報またはその複製にアクセスできる可能性がある組織群を示す。すなわち公開可能性範囲は、対象情報またはその複製に対する仮想的なアクセス権が付与された組織群であってよい。したがって対象情報またはその複製の公開可能性範囲に含まれるが対象情報のファイルパスの公開範囲に含まれない組織は、実際に対象情報にアクセスすることができない。具体的には特定部２２０は、原所有者の所属組織の組織階層に基づいて、対象情報またはその複製の公開可能性範囲を特定する。特定部２２０は、特定した公開可能性範囲を示す情報を制限部２４０に出力する。

　制限部２４０は、対象操作後の操作先パスの公開範囲の少なくとも一部が対象情報またはその複製の公開可能性範囲に含まれない場合に、対象操作の実行を制限するようにファイルサーバ４を制御する。一方制限部２４０は、ユーザ指定操作が対象操作でない場合、またはユーザ指定操作が対象操作であり、かつ対象操作後の操作先パスの公開範囲が対象情報またはその複製の公開可能性範囲に含まれる場合に、ユーザ指定操作の実行を許可するようにファイルサーバ４を制御する。

　更新部２６０は、ユーザ指定操作が実行されたことに応じて、データベース２８０の操作先管理ログ２８４を更新する。

　データベース２８０は、ファイルサーバ４の管理対象の業務関連情報の管理のために必要な各種情報を格納する。データベース２８０は、情報管理装置２０の取得部２００、検出部２１０、特定部２２０、制限部２４０および更新部２６０との間で各種情報の入出力を行う。データベース２８０は、管理テーブル２８１と、公開範囲テーブル２８２と、組織階層テーブル２８３と、操作先管理ログ２８４とを含む。これらのテーブルまたはログの詳細については、図３～６を用いて説明する。

　図３は、実施形態２にかかる管理テーブル２８１のデータ構造の一例を示す図である。
　管理テーブル２８１は、取得部２００がファイルサーバ４から取得した、管理対象の業務関連情報を含むファイルのファイルパスおよび所有者等のファイル属性情報を記憶する。たとえば管理テーブル２８１は、ファイル識別情報と、ファイルパスと、所有者を示す情報とを関連付けて記憶する。

　ファイル識別情報は、管理対象の業務関連情報を含むファイルを識別する情報である。すなわち、ファイル識別情報は、ファイルのファイルパスを識別する識別情報である。ファイル識別情報は一例として、通し番号であってよい。
　ファイルパスは、ファイル識別情報に対応するファイルのファイルパスを示す。
　所有者を示す情報は、ファイルパスが示す場所に置かれるファイルの所有者を示す。

　なお情報管理の利便性向上のために、管理テーブル２８１は、ファイル名を含んでもよい。

　図４は、実施形態２にかかる公開範囲テーブル２８２のデータ構造の一例を示す図である。
　公開範囲テーブル２８２は、取得部２００がファイルサーバ４および組織ユーザ管理装置５から取得した、ファイルパスに設定されているアクセス権に基づく公開範囲情報を記憶する。たとえば公開範囲テーブル２８２は、ファイル識別情報と、公開範囲に含まれる組織を示す情報とを関連付けて記憶する。

　ファイル識別情報は、管理テーブル２８１のファイル識別情報と同様であり、説明を省略する。
　公開範囲に含まれる組織を示す情報は、ファイルパスに対してアクセス権が付与されている組織を示す。
　本図に示すように、１つのファイルに対して１または複数の組織がアクセス可能であってよい。すなわち、１つのファイルパスに対して１または複数の組織がアクセス権を有してよい。

　図５は、実施形態２にかかる組織階層テーブル２８３のデータ構造の一例を示す図である。
　組織階層テーブル２８３は、組織ユーザ管理装置５から取得した組織階層情報を記憶する。たとえば組織階層テーブル２８３は、階層識別情報と、組織とを関連付けて記憶する。組織階層情報は、組織の業務の関連性に基づいて予め定められてよい。

　階層識別情報は、組織全体における階層の階級を識別する情報である。たとえば階層識別情報は、番号であってよい。本図に示すように、たとえば全社組織の階層識別情報は「１」であり、全社組織の下位組織である営業部および経理部の階層識別情報は「２」であり、営業部の下位組織である第１営業課および第２営業課の階層識別情報は「３」であってよい。

　図６は、実施形態２にかかる操作先管理ログ２８４のデータ構造の一例を示す図である。操作先管理ログ２８４は、ファイルサーバ４により実行された操作に関連する属性情報を記憶する。本実施形態２では操作先管理ログ２８４は、ファイルサーバ４により実行された操作のうち、対象操作である可能性がある操作に関連する属性情報を記憶する。たとえば操作先管理ログ２８４は、操作先パスを識別する操作先ファイル識別情報と、操作元の対象情報の原所有者とを関連付けて記憶する。本図に示すように操作先管理ログ２８４は、操作識別情報と、操作種別と、操作先ファイル識別情報と、原所有者情報と、操作元起点組織情報とを関連付けて記憶してよい。

　操作識別情報は、実行された操作を識別する情報である。一例として操作識別情報は、番号であってよい。一例として操作識別情報は、操作が実行された時刻に基づく時系列の識別番号であってよい。

　操作種別は、実行された操作の種別を示す。本実施形態２では操作種別は、対象操作である可能性がある操作の種別、たとえば「移動」、「複製」、「複製および移動」並びに「アクセス権変更」等であってよい。

　操作先ファイル識別情報は、実行された操作の操作先のファイルのファイル識別情報である。すなわち、操作先ファイル識別情報は、操作先パスの識別情報を示す。本実施形態２では操作先ファイル識別情報は、対象操作である可能性がある操作の操作先のファイルのファイル識別情報である。なお対象操作である可能性がある操作の操作種別が「アクセス権変更」である場合は、操作先ファイル識別情報は、変更に係る対象情報を含むファイルのファイル識別情報であってよい。操作先ファイル識別情報は一例として、番号であってよい。

　原所有者情報は、操作元のファイルのオリジナルの情報の原所有者を示す情報である。
　操作元起点組織情報は、原所有者の所属組織である操作元起点組織を示す情報である。操作元起点組織情報は、取得部２００を介して組織ユーザ管理装置５から取得されてよい。

　たとえば本図に示すように、操作識別情報が「１」である操作は、操作元のファイルをファイル識別情報が「２０８６５」であるファイルに「複製」する操作である。当該操作に係る操作元のオリジナルの情報の原所有者は「ユーザ１」であって、その所属組織は「Ａ社営業グループ」である。
　なお操作先管理ログ２８４において、原所有者情報および操作元起点組織情報のいずれか一方は、省略されてもよい。

　図７は、実施形態２にかかる情報管理装置２０の処理を示すフローチャートである。
　まずＳ１０において、情報管理装置２０の検出部２１０は、ユーザ指定操作の要求を受信したことに応じて、当該ユーザ指定操作から対象操作を検出したか否かを判定する。具体的には、検出部２１０は、ユーザ指定操作が対象操作である可能性がある操作を含み、かつユーザ指定操作が対象操作を含むか否かを判定する。検出部２１０は、対象操作を検出した場合（Ｓ１０でＹＥＳ）処理をＳ１１に進め、検出しなかった場合（Ｓ１０でＮＯ）処理をＳ１５に進める。

　Ｓ１１において、取得部２００は、データベース２８０の公開範囲テーブル２８２を参照し、対象操作の操作先パスに設定される公開範囲情報を取得する。取得部２００は、公開範囲情報を特定部２２０に出力する。

　次にＳ１２において、特定部２２０は、公開可能性範囲特定処理を行い、対象情報またはその複製の公開可能性範囲を特定する。特定部２２０は公開可能性範囲を示す情報を制限部２４０に出力する。

　次にＳ１３において、制限部２４０は、操作先パスの公開範囲が公開可能性範囲に包含される否かを判定する。制限部２４０は、公開範囲が公開可能性範囲に完全に包含される場合は（Ｓ１３でＹＥＳ）処理をＳ１５に進め、公開範囲の少なくとも一部が公開可能性範囲に含まれない場合は（Ｓ１３でＮＯ）処理をＳ１４に進める。

　Ｓ１４において、制限部２４０は、対象操作の実行を制限するようにファイルサーバ４を制御する。そして制限部２４０は処理を終了する。

　Ｓ１５において、制限部２４０は、Ｓ１０でユーザ指定操作から対象操作を検出しなかったことに応じて、またはＳ１３で操作先パスの公開範囲が公開可能性範囲に完全に包含されると判定したことに応じて、ユーザ指定操作の実行を許可する。

　次にＳ１６において、更新部２６０は、ユーザ指定操作の実行が許可され、実行されたことに応じて、データベース２８０の操作先管理ログ２８４を更新する。なお更新部２６０は、ユーザ指定操作が対象操作である可能性がある操作または対象操作である場合にのみ、操作先管理ログ２８４を更新してよい。ここで、対象操作である可能性がある操作または対象操作を、対象関連操作と呼ぶ。

　ここで更新部２６０は、操作先管理ログ２８４に記憶されたレコードのうち、実行された対象関連操作の操作元のファイル識別情報と一致する操作先ファイル識別情報を含むレコードがあるか否かを判定する。ここで、対象関連操作の操作元のファイル識別情報は、操作元パスの識別情報を示す。すなわち、更新部２６０は、実行された対象関連操作が、２回目以降の対象関連操作であるか否かを判定する。そして更新部２６０は、あると判定した場合、対象関連操作の操作先のファイル識別情報と、当該一致する操作先ファイル識別情報に関連付けられた原所有者情報および原所有者の所属組織の所属組織情報（すなわち、操作元起点組織情報）とを新たに関連付ける。このとき更新部２６０は、対象関連操作に係る新たなレコードを追加してよい。更新部２６０は、そうでない場合、操作先管理ログ２８４に、管理テーブル２８１の所有者が原所有者であるため、対象関連操作に関連する属性情報として、当該原所有者を示す情報と、その所属組織を示す所属組織情報とを含むレコードを追加する。そして更新部２６０は、処理を終了する。

　なお操作先管理ログ２８４において操作に関連する属性情報が更新されたことを示すフラグが、管理テーブル２８１の対応するファイルのレコードに追加されてもよい。この場合、Ｓ１６において更新部２６０は、管理テーブル２８１の対象関連操作のファイル識別情報に対応するレコードにフラグがあるか否かを判定することで、実行された対象関連操作が、２回目以降の対象関連操作であるか否かを判定してよい。

　図８は、実施形態２にかかる制限部２４０の操作の実行制限処理（図７のＳ１４に示す処理）時の表示の一例を示す図である。
　制限部２４０は、ユーザ端末６にユーザ指定操作の操作先の公開範囲が公開可能性範囲に含まれないため、ユーザ指定操作の実行が制限される旨のデータを送信する。ユーザ端末６は、当該データを受信したことに応じて、本図に示すように、ユーザ端末６の表示装置（不図示）に受信したデータを表示させてユーザに報知する。このとき制限部２４０は、同様のユーザ指定操作の実行を希望する場合は、管理者に連絡するようにユーザに促してよい。

　次に実施形態２にかかる特定部２２０の公開可能性範囲特定処理（図７のＳ１２に示す処理）を、図１０を参照しながら図９を用いて説明する。
　図９は、実施形態２にかかる特定部２２０の公開可能性範囲特定処理を示すフローチャートである。また図１０は、実施形態２にかかる公開可能性範囲特定処理を説明するための図である。

　まずＳ２０において、特定部２２０は、対象操作の操作元ファイルに含まれる業務関連情報が、オリジナルであるか否かを判定する。具体的には特定部２２０は、操作先管理ログ２８４に記憶されたレコードのうち、操作先ファイル識別情報が対象操作の操作元のファイル識別情報と一致するレコードがないか否かを判定する。すなわち特定部２２０は、対象操作が、２回目以降の対象関連操作であるか否かを判定する。特定部２２０は、操作元ファイルの情報がオリジナルであれば（Ｓ２０でＹＥＳ）処理をＳ２１に進め、そうでなければ（Ｓ２０でＮＯ）処理をＳ２２に進める。

　Ｓ２１において、特定部２２０は、Ｓ２０で操作元ファイルに含まれる業務関連情報がオリジナルであると判定したことに応じて、管理テーブル２８１を参照し、当該操作元ファイルの所有者を原所有者として、原所有者情報を取得する。そして特定部２２０は、処理をＳ２３に進める。

　Ｓ２２において、特定部２２０は、操作先管理ログ２８４を参照し、対象操作の操作元のファイル識別情報と一致する操作先ファイル識別情報に関連付けられた原所有者を原所有者情報として取得する。そして特定部２２０は、処理をＳ２３に進める。

　次にＳ２３において、特定部２２０は、組織階層テーブル２８３から組織階層情報を取得する。

　Ｓ２４において、特定部２２０は、取得部２００を介して組織ユーザ管理装置５から原所有者の所属組織情報を取得する。特定部２２０は、原所有者の所属組織を起点組織Ｙとする。なお原所有者の所属組織が複数ある場合、特定部２２０は、取得部２００を介して公開範囲テーブル２８２から対象操作の操作元パスの公開範囲を示す情報を取得し、操作元パスの公開範囲に基づいて起点組織Ｙを決定してよい。

　ここで図１０に示すように、たとえばＳ２２において取得した原所有者情報の原所有者が、「Ａ社営業グループ」（Ｂ１）の下位組織である「正社員」の「営業担当」（Ｂ２）と、「課横断プロジェクト」（Ｂ４）とに所属しているとする。なお、「Ａ社営業グループ」（Ｂ１）および「課横断プロジェクト」（Ｂ４）は、いずれも上位組織が「第二営業課」（Ｂ３）である。ここで対象操作の操作元パスの公開範囲に「Ａ社営業グループ」（Ｂ１）およびその配下の「営業担当」（Ｂ２）は含まれているが、「課横断プロジェクト」（Ｂ４）は含まれていないものとする。この場合、特定部２２０は、起点組織Ｙを「Ａ社営業グループ」（Ｂ１）の配下の「営業担当」（Ｂ２）に決定する。そして特定部２２０は、処理をＳ２５に進める。

　なお、Ｓ２０で特定部２２０は操作元ファイルに含まれる業務関連情報がオリジナルでないと判定した場合は、Ｓ２２～Ｓ２４の処理を省略してよい。この場合特定部２２０は、操作先管理ログ２８４を参照し、操作元のファイル識別情報と一致する操作先ファイル識別情報に関連付けられた操作元起点組織情報を取得し、当該組織を起点組織Ｙとしてよい。そして特定部２２０は、組織階層テーブル２８３から組織階層情報を取得し、処理をＳ２５に進めてよい。

　そしてＳ２５において、特定部２２０は、組織階層情報を用いて起点組織Ｙを起点として、組織階層の上位階層を辿り、所属組織の直系の上位組織を特定する。特定部２２０は、この上位組織を上位組織Ｗとする。

　図１０に示すように、起点組織Ｙである「営業担当」（Ｂ２）の直系の上位組織は、「正社員」、「Ａ社営業グループ」（Ｂ１）、「第二営業課」（Ｂ３）および「営業部」等である。したがって特定部２２０は、「正社員」、「Ａ社営業グループ」（Ｂ１）、「第二営業課」（Ｂ３）および「営業部」を上位組織Ｗとして特定してよい。

　次にＳ２６において、特定部２２０は、起点組織Ｙと上位組織Ｗとを含む組織群を公開可能性範囲と特定する。

　図１０に示すように、原所有者が兼務する「課横断プロジェクト」（Ｂ４）は、公開可能性範囲に含まれない。「課横断プロジェクト」（Ｂ４）は、対象情報の操作元パスの公開範囲を考慮すると、「Ａ社営業グループ」（Ｂ１）の配下の「営業担当」（Ｂ２）と業務内容が異なる可能性があるからである。

　このように特定部２２０は、原所有者の所属組織を起点とし、業務の関連性に基づいた組織階層および操作元パスの公開範囲に基づいて、対象情報またはその複製の公開可能性範囲を特定する。なお公開可能性範囲は、原所有者の所属組織と、その直系の組織のみを含み、原所有者の所属組織の直系以外の組織を含まなくてよい。

　このように本実施形態２によれば、情報管理装置２０は、操作後の公開範囲が原所有者の所属組織の業務の関連性に基づいて特定される公開可能性範囲に含まれない場合に操作の実行を制限する。これにより対象情報またはその複製が転々と流通して、元々の公開範囲に含まれる組織とは業務内容が異なる組織がアクセス可能な場所に対象情報またはその複製が置かれることを防止し、機密性を向上させることができる。また一方で、操作後の公開範囲が公開可能性範囲に含まれる場合は、操作前の公開範囲に含まれない組織のメンバーに対しても対象情報の共有が可能となり、業務遂行をより円滑にすることができる。

　なお組織階層上で近い組織であっても傍系の組織は業務の関連性が低い可能性があることを考慮し、特定部２２０は、原所有者の所属組織とその直系の組織のみを公開可能性範囲として特定する。これにより、原所有者の意図しない場所に対象情報が置かれ、閲覧されることを防止することができる。

　また更新部２６０が、対象関連操作が実行されたことに応じて操作先管理ログ２８４に原所有者情報およびその所属組織情報を含む最新の属性情報を記憶させる。これによりオリジナルの業務関連情報からみて２回目以降の対象関連操作が行われても、当該対象関連操作に関するレコードに起点組織Ｙの特定に用いるオリジナルの属性情報を引き継ぐことが可能となる。

　また特定部２２０が、対象関連操作が行われるたびに組織階層情報および操作元パスの公開範囲等を用いて公開可能性範囲を特定するため、管理者が対象情報またはその複製の公開可能性範囲を登録する必要はない。またこれにより特定部２２０は、組織の再編またはアクセス権の変更等が生じた場合にも、管理者の負担を抑えつつ、最新の公開可能性範囲を特定することができる。

　（実施形態３）
　実施形態３は、公開可能性範囲が起点組織Ｙの下位組織を含むことに特徴を有する。実施形態３にかかる情報管理システム１および情報管理装置２０は、実施形態２にかかる情報管理システム１および情報管理装置２０と同様であるため、説明を省略する。

　図１１は、実施形態３にかかる特定部２２０の公開可能性範囲特定処理を示すフローチャートである。図１１に示すステップは、実施形態２の図９に示すＳ２６に代えて、Ｓ３０～３２を有する。なお、図９に示すステップと同様のステップについては、同一の記号を付して説明を省略する。

　Ｓ３０において、特定部２２０はＳ２５で上位組織Ｗを特定したことに応じて、組織階層情報を用いて起点組織Ｙを起点として、組織階層の下位階層を辿り、所属組織の直系の下位組織を特定する。特定部２２０は、この下位組織を下位組織Ｖとする。
　次にＳ３２において、特定部２２０は、起点組織Ｙと上位組織Ｗと下位組織Ｖとを含む組織群を公開可能性範囲と特定する。

　このように本実施形態３によれば、公開可能性範囲が起点組織Ｙの下位組織も含むため、情報共有が促進し、業務遂行をより円滑にすることができる。

　（実施形態４）
　次に本開示の実施形態４について、図１２～１５を用いて説明する。実施形態４は、公開可能性範囲が公開上限階層に基づいて特定されることに特徴を有する。
　図１２は、実施形態４にかかる情報管理システム２の一例を示す概略構成図である。情報管理システム２は、実施形態２の情報管理システム１と基本的に同様の構成および機能を有する。ただし情報管理システム２は、情報管理装置２０に代えて情報管理装置３０を備える点で情報管理システム１と相違する。

　情報管理装置３０は、情報管理装置２０と基本的に同様の構成および機能を有するコンピュータである。ただし情報管理装置３０は、取得部２００、特定部２２０およびデータベース２８０に代えて、取得部３００、特定部３２０およびデータベース３８０を有する。

　取得部３００は、取得部２００の構成および機能に加えて、ユーザ端末６または情報管理装置３０の入力装置（不図示）を介して管理者から、ファイルサーバ４に格納される管理対象の業務関連情報の公開上限階層を示す情報である公開上限階層情報を取得する。公開上限階層は、公開可能性範囲の上限の組織階層を示す。本実施形態４では公開上限階層は、公開可能性範囲の上限の組織階層の階級であってよい。取得部３００は取得した公開上限階層情報をデータベース３８０の公開上限階層テーブル３８５に格納する。

　特定部３２０は、特定部２２０の構成および機能に加えて、原所有者の所属組織の組織階層と、公開上限階層とに基づいて、対象情報またはその複製の公開可能性範囲を特定する。
　データベース３８０は、データベース２８０の構成および機能に加えて、公開上限階層テーブル３８５を記憶する。公開上限階層テーブル３８５の詳細について、図１３を用いて説明する。

　図１３は、実施形態４にかかる公開上限階層テーブル３８５のデータ構造の一例を示す図である。
　公開上限階層テーブル３８５は、取得部３００が管理者から取得した公開上限階層情報を記憶する。たとえば公開上限階層テーブル３８５は、管理識別情報と、公開上限階層識別情報と、公開種別と、ファイルパスとを関連付けて記憶する。

　管理識別情報は、公開上限階層情報の管理に関する識別情報である。
　公開上限階層識別情報は、公開上限の組織階層、特に組織階層の階級を識別する情報である。公開上限階層識別情報は、一例として番号であってよい。
　公開種別は、公開上限の組織階層の階級の種別を示す。公開種別は、一例として「全社公開」、「部公開」、「課公開」および「業務グループ公開」等であってよい。
　なお、公開上限階層識別情報は、公開種別と予め対応づけられていてよい。たとえば公開種別が「全社公開」の場合は、公開上限階層識別情報は「１」であり、公開種別が「部公開」の場合は、公開上限階層識別情報は「２」であってよい。
　ファイルパスは、図３に示すファイルパスと同様であるため、説明を省略する。

　なお、情報管理の利便性の向上のため、管理テーブル２８１に公開上限階層識別情報を追加的に記憶させてもよい。

　図１４は、実施形態４にかかる取得部３００の公開上限階層情報取得時の表示の一例を示す図である。
　取得部３００は、管理者からの要求に応じて、要求元（管理者のユーザ端末６または情報管理装置３０）の表示装置（不図示）に、公開種別と対象ファイルのパスとを入力する入力画面を表示させる。取得部３００は、取得した公開種別および対象ファイルのパスに基づいて、公開上限階層テーブル３８５に公開上限階層情報を登録する。

　なお取得部３００は、管理者からの要求に応じて、要求元（管理者のユーザ端末６または情報管理装置３０）の表示装置（不図示）に、本図に示すように公開上限組織を入力する入力画面を表示させてもよい。この場合取得部３００は、公開種別が入力されたことに応じて、公開種別に応じた公開上限階層識別情報に対応する組織名を一覧表示させ、当該一覧の中から公開上限組織を管理者が選択することで、公開上限組織を示す情報を取得してよい。そして取得部３００は、公開上限階層テーブル３８５の対象となるレコードに公開上限組織を示す情報を登録してもよい。

　次に、特定部３２０の公開可能性範囲特定処理を、図１０を参照しながら図１５を用いて説明する。図１５は、実施形態４にかかる特定部３２０の公開可能性範囲特定処理を示すフローチャートである。図１５に示すステップは、実施形態３の図１１に示すステップに加えて、Ｓ４０～４２を有する。なお、図１１に示すステップと同様のステップについては、同一の記号を付して説明を省略する。

　Ｓ４０において、特定部３２０は、Ｓ２４で原所有者の所属組織を起点組織Ｙと特定したことに応じて、公開上限階層テーブル３８５を参照し、対象操作の操作元パスに関連付けられた公開上限階層識別情報または公開種別等の公開上限階層情報を取得する。

　そしてＳ４２において、特定部３２０は、組織階層情報および公開上限階層情報を用いて、起点組織Ｙの直系であって、かつ公開上限階層識別情報に対応する公開上限階層までの上位組織Ｗを特定する。
　たとえば公開上限階層識別情報が「３」であり、公開種別が「課公開」である場合について説明する。図１０に示すように、起点組織Ｙが「営業担当」（Ｂ２）であるとき、公開上限組織は、「営業担当」（Ｂ２）の直系の上位組織であって、課の階級を有する「第二営業課」（Ｂ３）となる。したがって特定部３２０は、「正社員」、「Ａ社営業グループ」（Ｂ１）および「第二営業課」（Ｂ３）を上位組織Ｗとして特定する。

　このように実施形態４によれば、情報管理装置３０は、管理者によって予め登録された公開上限階層情報に従って、公開可能性範囲を特定する。したがって対象情報の機密度等に応じて公開可能性範囲を限定することができるため、情報管理の利便性が向上する。なお、管理者はファイルサーバ４に格納される管理対象の情報に対して公開上限階層情報を設定登録するだけでよいため、管理者の負担を最小限に抑えることができる。

　（実施形態５）
　実施形態５は、操作先の公開範囲が公開可能性範囲に含まれない場合でも情報管理装置４０が所定条件下で対象操作の実行を許可することに特徴を有する。
　実施形態５にかかる情報管理装置４０は、実施形態４にかかる情報管理装置３０と基本的に同様の構成および機能を有するコンピュータである。ただし情報管理装置４０は、制限部２４０に代えて、制限部４４０を有する。

　制限部４４０は、制限部２４０の機能および構成に加えて、所定条件下で対象操作を許可するようにファイルサーバ４を制御する。たとえば制限部４４０は、操作後の操作先パスの公開範囲に属する組織のうち、公開可能性範囲に含まれる組織の人数と公開可能性範囲に含まれない組織の人数との比に応じて、対象操作を許可するようにファイルサーバ４を制御する。

　図１６は、実施形態５にかかる情報管理装置４０の処理を示すフローチャートである。図１６に示すステップは、実施形態２の図７に示すステップに加えて、Ｓ５０を有する。なお、図７に示すステップと同様のステップについては、同一の記号を付して説明を省略する。

　Ｓ５０において、制限部４４０は、Ｓ１３で公開範囲の少なくとも一部が公開可能性範囲に含まれないと判定したことに応じて（Ｓ１３でＮＯ）、公開可能性範囲に含まれる組織の人数が、公開可能性範囲に含まれない組織の人数よりも多いか否かを判定する。制限部４４０は、多い場合（Ｓ５０でＹＥＳ）処理をＳ１５に進め、そうでない場合（Ｓ５０でＮＯ）処理をＳ１４に進める。
　なお制限部４４０は、これに代えて、公開範囲のうち公開可能性範囲に含まれる人数と含まれない人数の比が所定閾値以上であるか否かを判定してもよい。

　たとえば操作先の公開範囲のうち公開可能性範囲に含まれる人数が含まれない人数よりも多い場合は、操作先の公開範囲に含まれる組織全体が対象情報の原所有者の所属組織と業務上の関連性が高い可能性がある。実施形態５によれば、情報管理装置４０は操作先の公開範囲が公開可能性範囲に含まれない場合であっても、公開範囲のうち公開可能性範囲に含まれる人数と含まれない人数との比に応じて、対象操作の実行の許可を行う。これにより、情報共有が促進され、業務遂行がより円滑になる。
　一方で操作先の公開範囲のうち公開可能性範囲に含まれる人数が含まれない人数よりも少ない場合は、操作先の公開範囲に含まれる組織全体が対象情報の原所有者の所属組織と業務上の関連性が低い可能性がある。このような場合には、情報管理装置４０は対象操作の実行の制限を行うため、機密性は確保される。

　（実施形態６）
　次に実施形態６について説明する。実施形態６にかかる情報管理装置５０は、実施形態２～５の情報管理装置２０～４０と同様であり、説明を省略する。
　図１７は、実施形態６にかかる操作先管理ログ２８４のデータ構造の一例を示す図である。ただし実施形態６にかかる情報管理装置５０の操作先管理ログ２８４は、実施形態２～５の操作先管理ログ２８４に記憶する情報に加えて、操作元ファイル識別情報および操作元親フォルダ識別情報を記憶する。

　操作元ファイル識別情報は、実行された操作の操作元パスの識別情報を示す操作元のファイル識別情報である。本実施形態６では操作元ファイル識別情報は、対象操作である可能性がある操作の操作元のファイル識別情報である。なお対象操作である可能性がある操作の操作種別が「アクセス権変更」である場合は、操作元ファイル識別情報は、変更を指定された対象情報を含むファイルのファイル識別情報であってよい。

　操作元親フォルダ識別情報は、操作元ファイルの親フォルダのパスの識別情報を示す。操作元ファイル識別情報および操作元親フォルダ識別情報は一例として、番号であってよい。

　このように情報管理装置５０は、操作元ファイル識別情報および操作元親フォルダ識別情報を含む操作に関連する属性情報を管理するため、必要に応じて操作元ファイルに関連付けられた複製ファイルの一覧を取得することができる。たとえば情報管理装置５０は、管理者等が操作元ファイルを削除する場合に、管理者等に複製ファイルを同様に削除するか否かを確認することができる。これにより、情報管理の利便性が向上する。

　なお操作先管理ログ２８４において、操作元親フォルダ識別情報は、省略されてもよい。

　（実施形態７）
　次に実施形態７について説明する。実施形態７にかかる情報管理装置６０は、実施形態４～５の情報管理装置３０，４０と同様であり、説明を省略する。
　図１８は、実施形態７にかかる操作先管理ログ２８４のデータ構造の一例を示す図である。実施形態７にかかる操作先管理ログ２８４は、実施形態４～５の操作先管理ログ２８４に記憶する原所有者情報および操作元起点組織情報に代えて、操作元ファイル識別情報を記憶する。

　このため、オリジナルの業務関連情報を含むファイルの公開範囲の変更または組織再編等により、原所有者情報またはその操作元起点組織情報が変更された場合でも、情報管理装置６０が操作先管理ログ２８４を修正する必要はない。これにより情報管理の利便性が向上する。

　なおたとえばオリジナルの業務関連情報を含むファイルの公開上限階層情報の変更等に伴い公開可能性範囲が変更する場合、操作先管理ログ２８４の操作先ファイル識別情報のファイルがその公開可能性範囲に含まれなくなることがある。またオリジナルの業務関連情報を含むファイルの公開範囲が変更し、操作先管理ログ２８４の操作先ファイル識別情報のファイルがその公開可能性範囲に含まれなくなることがある。しかしこれらの場合でも情報管理装置６０は、操作先管理ログ２８４を用いて新しい公開可能性範囲に含まれないファイルを自動で消去する、または管理者に一覧で表示して消去するか否かを確認する等を行うことが容易となる。これにより情報管理の利便性がさらに向上する。

　この場合、図９に示すＳ２２に代えて、情報管理装置６０の特定部３２０は、操作先管理ログ２８４から操作元ファイル識別情報を取得する。そして特定部３２０は、管理テーブル２８１を参照し、当該操作元ファイル識別情報に対応するファイル識別情報に関連付けられた所有者を原所有者として、原所有者情報を取得してよい。そして特定部３２０は、処理をＳ２３に進めてよい。

　また情報管理装置６０の制限部２４０は、図７に示すＳ１４において、公開範囲が公開可能性範囲に含まれない場合に加えて、対象操作が公開上限階層テーブル３８５に記憶されるファイルパスのファイルの移動である場合に、対象操作の実行を制限してよい。そして制限部２４０は処理を終了する。

　なお実施形態２～７においては、検出部２１０が情報管理装置２０～６０に含まれるとしたが、これに代えて検出部２１０はユーザ端末６に含まれていてもよい。このときユーザ端末６の検出部２１０が対象操作を検出したことに応じて、情報管理装置２０～６０に対象情報および対象操作に関連する属性情報等を送信してよい。

　なお対象操作がアクセス権変更である場合に、情報管理装置２０～６０は、対象操作の実行を制限したことに応じて、対象情報のパスに対して公開範囲が公開可能性範囲に含まれるように新たなアクセス権を自動で付与してよい。

　以上、本実施形態について説明したが、実施形態２～７の説明において原所有者を原作成者と読み替えてもよい。なお原作成者は、オリジナルの業務関連情報が含まれるファイルの作成者であってよい。この場合、図３において、所有者を作成者に読み替えてよい。
　また、実施形態２～７の説明においてファイルをフォルダと読み替えてもよい。

　上述の実施形態１～７ではコンピュータは、パーソナルコンピュータやワードプロセッサ等を含むコンピュータシステムで構成される。しかしこれに限らず、コンピュータは、ＬＡＮ（ローカル・エリア・ネットワーク）のサーバ、コンピュータ（パソコン）通信のホスト、インターネット上に接続されたコンピュータシステム等によって構成されることも可能である。また、ネットワーク上の各機器に機能分散させ、ネットワーク全体でコンピュータを構成することも可能である。

　なお上述の実施形態１～７では、この開示をハードウェアの構成として説明したが、この開示は、これに限定されるものではない。この開示は、上述の取得処理、検出処理、公開可能性範囲特定処理、操作制限処理および更新処理等の各種処理を、後述のプロセッサ１０１０にコンピュータプログラムを実行させることにより実現することも可能である。

　図１９は、本実施形態のコンピュータ１９００の概略構成図である。

　図１９は、実施形態１～７にかかるコンピュータ１９００の概略構成図の一例である。図１９に示すように、コンピュータ１９００は、システム全体を制御するための制御部１０００を備えている。この制御部１０００には、データバス等のバスラインを介して、入力装置１０５０、記憶装置１２００、記憶媒体駆動装置１３００、通信制御装置１４００、および入出力Ｉ／Ｆ１５００が接続されている。

　制御部１０００は、プロセッサ１０１０と、ＲＯＭ１０２０と、ＲＡＭ１０３０とを備えている。
　プロセッサ１０１０は、ＲＯＭ１０２０や記憶装置１２００等の各種記憶部に記憶されたプログラムに従って、各種の情報処理や制御を行う。
　ＲＯＭ１０２０は、プロセッサ１０１０が各種制御や演算を行うための各種プログラムやデータが予め格納されたリードオンリーメモリである。

　ＲＡＭ１０３０は、プロセッサ１０１０にワーキングメモリとして使用されるランダムアクセスメモリである。このＲＡＭ１０３０には、本実施形態１～７による各種処理を行うための各種エリアが確保可能になっている。

　入力装置１０５０は、キーボード、マウスおよびタッチパネル等のユーザからの入力を受け付ける入力装置である。たとえばキーボードは、テンキー、各種機能を実行するための機能キーおよびカーソルキー等の各種キーが配置されている。マウスは、ポインティングデバイスであり、表示装置１１００に表示されたキーやアイコン等をクリックすることで対応する機能の指定を行う入力装置である。タッチパネルは、表示装置１１００の表面に配置される入力機器で、表示装置１１００に画面表示された各種操作キーに対応した、ユーザのタッチ位置を特定し、当該タッチ位置に対応して表示された操作キーの入力を受け付ける。

　表示装置１１００は、例えばＣＲＴや液晶ディスプレイ等が使用される。この表示装置には、キーボードやマウスによる入力結果が表示されたり、最終的に検索されたイメージ情報が表示されたりするようになっている。また表示装置１１００は、コンピュータ１９００の各種機能に応じて、タッチパネルから必要な各種操作を行うための操作キーを画像表示する。

　記憶装置１２００は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータ等の各種情報を読み書きするための駆動装置で構成されている。
　この記憶装置１２００に使用される記憶媒体は、主としてハードディスク等が使用されるが、後述の記憶媒体駆動装置１３００で使用される非一時的なコンピュータ可読媒体を使用するようにしてもよい。
　記憶装置１２００は、データ格納部１２１０、プログラム格納部１２２０および図示しないその他の格納部（例えば、この記憶装置１２００内に格納されているプログラムやデータ等をバックアップするための格納部）等を有している。プログラム格納部１２２０には、本実施形態１～７における各種処理を実現するためのプログラムが格納されている。データ格納部１２１０には、本実施形態１～７にかかる各種データベースの各種データを格納する。

　記憶媒体駆動装置１３００は、プロセッサ１０１０が外部の記憶媒体（外部記憶媒体）からコンピュータプログラムや文書を含むデータ等を読み込むための駆動装置である。
　ここで、外部記憶媒体とは、コンピュータプログラムやデータ等が記憶される非一時的なコンピュータ可読媒体をいう。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体（tangible storage medium）を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体（例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ）、光磁気記録媒体（例えば光磁気ディスク）、ＣＤ－ＲＯＭ（Read Only Memory）、ＣＤ－Ｒ、ＣＤ－Ｒ／Ｗ、半導体メモリ（例えば、マスクＲＯＭ、ＰＲＯＭ（Programmable ROM）、ＥＰＲＯＭ（Erasable PROM）、フラッシュＲＯＭ、ＲＡＭ（random access memory））を含む。また各種プログラムは、様々なタイプの一時的なコンピュータ可読媒体（transitory computer readable medium）によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路並びに記憶媒体駆動装置１３００を介して、各種プログラムをコンピュータに供給できる。

　つまりコンピュータ１９００は、制御部１０００のプロセッサ１０１０が、記憶媒体駆動装置１３００にセットされた外部の記憶媒体から各種プログラムを読み込んで、記憶装置１２００の各部に格納する。

　そして、コンピュータ１９００が各種処理を実行する場合、記憶装置１２００から該当プログラムをＲＡＭ１０３０に読み込み、実行するようになっている。但しコンピュータ１９００は、記憶装置１２００からではなく、記憶媒体駆動装置１３００により外部の記憶媒体から直接ＲＡＭ１０３０にプログラムを読み込んで実行することも可能である。また、コンピュータによっては各種プログラム等を予めＲＯＭ１０２０に記憶させておき、これをプロセッサ１０１０が実行するようにしてもよい。さらに、コンピュータ１９００は、各種プログラムやデータを、通信制御装置１４００を介して他の記憶媒体からダウンロードし、実行するようにしてもよい。

　通信制御装置１４００は、コンピュータ１９００と他のパーソナルコンピュータやワードプロセッサ等の各種外部電子機器との間をネットワーク接続するための制御装置である。通信制御装置１４００は、これら各種外部電子機器からコンピュータ１９００にアクセスすることを可能とする。

　入出力Ｉ／Ｆ１５００は、パラレル・ポート、シリアル・ポート、キーボード・ポート、マウス・ポート等を介して各種の入出力装置を接続するためのインターフェースである。

　なおプロセッサ１０１０は、ＣＰＵ（Central Processing Unit）、ＧＰＵ（Graphics Processing Unit）、ＦＰＧＡ（field-programmable gate array）、ＤＳＰ（digital signal processor）およびＡＳＩＣ（application specific integrated circuit）等が用いられてもよい。

　請求の範囲、明細書、および図面中において示したシステムおよび方法における各処理の実行順序は、特段「より前に」、「先立って」等と明示しておらず、また、前の処理の出力を後の処理で用いるのではない限り、任意の順序で実現しうる。請求の範囲、明細書および図面中の動作フローに関して、便宜上「まず、」、「次に、」等を用いて説明したとしても、この順序で実施することが必須であることを意味するものではない。

　以上、実施形態を参照して本開示を説明したが、本開示は上記によって限定されるものではない。本開示の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　１，２　情報管理システム、４　ファイルサーバ、５　組織ユーザ管理装置、６　ユーザ端末、８　ネットワーク、１０，２０，３０，４０，５０，６０　情報管理装置、１００，２００，３００　取得部、１２０，２２０，３２０　特定部、１４０，２４０，４４０　制限部、２１０　検出部、２６０　更新部、２８０，３８０　データベース、２８１　管理テーブル、２８２　公開範囲テーブル、２８３　組織階層テーブル、２８４　操作先管理ログ、３８５　公開上限階層テーブル、１０００　制御部、１０１０　プロセッサ、１０２０　ＲＯＭ、１０３０　ＲＡＭ、１０５０　入力装置、１１００　表示装置、１２００　記憶装置、１２１０　データ格納部、１２２０　プログラム格納部、１３００　記憶媒体駆動装置、１４００　通信制御装置、１５００　入出力Ｉ／Ｆ、１９００　コンピュータ

Claims

　対象情報の原所有者または原作成者の所属組織を示す所属組織情報を取得する取得部と、
　前記対象情報に対する操作であって、前記対象情報または前記対象情報の複製のパスに設定される前記対象情報または前記複製の公開範囲の変更を伴う前記操作の要求を受信したことに応じて、前記所属組織との業務の関連性に基づいて、前記対象情報または前記複製が公開される可能性がある組織群を示す公開可能性範囲を特定する特定部と、
　前記操作後の操作先パスの公開範囲の少なくとも一部が前記公開可能性範囲に含まれない場合に、前記操作の実行を制限する制限部と、
　を備える情報管理装置。
　前記特定部は、前記所属組織の組織階層に基づいて、前記対象情報または前記複製の前記公開可能性範囲を特定する
　請求項１に記載の情報管理装置。
　前記特定部は、前記所属組織を起点に、前記所属組織の直系の組織を特定し、
　前記公開可能性範囲は、前記所属組織の直系以外の組織を含まない
　請求項２に記載の情報管理装置。
　前記取得部は、前記公開可能性範囲の上限の組織階層を示す公開上限階層を示す公開上限階層情報を取得し、
　前記特定部は、前記所属組織の組織階層と、前記公開上限階層とに基づいて、前記対象情報または前記複製の前記公開可能性範囲を特定する
　請求項２または３に記載の情報管理装置。
　操作先パスの識別情報と、操作元の前記対象情報の前記原所有者または前記原作成者とを関連付けて記憶する操作先管理ログと、
　対象操作が実行されたことに応じて、前記対象操作の操作元パスの識別情報が前記操作先管理ログに記憶された前記操作先パスの識別情報の少なくとも１つと一致する場合、一致する前記操作先パスの識別情報に関連付けられた前記対象情報の前記原所有者または前記原作成者と、前記対象操作の操作先パスの識別情報とを前記操作先管理ログに関連付ける更新部と、
　をさらに備える
　請求項２から４のいずれか一項に記載の情報管理装置。
　前記制限部は、前記操作後の操作先パスの前記公開範囲に属する組織のうち、前記公開可能性範囲に含まれる組織の人数が、前記公開可能性範囲に含まれない組織の人数よりも多い場合に、前記操作の実行を許可する
　請求項１から５のいずれか一項に記載の情報管理装置。
　操作対象の対象情報を記憶するファイルサーバと、
　操作を指定するユーザ端末と、
　ユーザと前記ユーザの所属組織とを関連付けて記憶する組織ユーザ管理装置と、
　前記対象情報の原所有者または原作成者の所属組織を示す所属組織情報を取得する取得部と、前記対象情報に対する操作であって、前記対象情報または前記対象情報の複製のパスに設定される前記対象情報または前記複製の公開範囲の変更を伴う前記操作の要求を受信したことに応じて、前記所属組織との業務の関連性に基づいて、前記対象情報または前記複製が公開される可能性がある組織群を示す公開可能性範囲を特定する特定部と、前記操作後の操作先パスの公開範囲の少なくとも一部が前記公開可能性範囲に含まれない場合に、前記操作の実行を制限する制限部と、を有する情報管理装置と、
　を備える情報管理システム。
　前記特定部は、前記所属組織の組織階層に基づいて、前記対象情報または前記複製の前記公開可能性範囲を特定する
　請求項７に記載の情報管理システム。
　対象情報の原所有者または原作成者の所属組織を示す所属組織情報を取得する段階と、
　前記対象情報に対する操作であって、前記対象情報または前記対象情報の複製のパスに設定される前記対象情報または前記複製の公開範囲の変更を伴う前記操作の要求を受信したことに応じて、前記所属組織との業務の関連性に基づいて、前記対象情報または前記複製が公開される可能性がある組織群を示す公開可能性範囲を特定する段階と、
　前記操作後の操作先パスの公開範囲の少なくとも一部が前記公開可能性範囲に含まれない場合に、前記操作の実行を制限する段階と、
　を備える情報管理方法。
　対象情報の原所有者または原作成者の所属組織を示す所属組織情報を取得する取得機能と、
　前記対象情報に対する操作であって、前記対象情報または前記対象情報の複製のパスに設定される前記対象情報または前記複製の公開範囲の変更を伴う前記操作の要求を受信したことに応じて、前記所属組織との業務の関連性に基づいて、前記対象情報または前記複製が公開される可能性がある組織群を示す公開可能性範囲を特定する特定機能と、
　前記操作後の操作先パスの公開範囲の少なくとも一部が前記公開可能性範囲に含まれない場合に、前記操作の実行を制限する制限機能と、
　をコンピュータに実現させる情報管理プログラムが格納された
　非一時的なコンピュータ可読媒体。