JP2007058257A - Management system and management program - Google Patents

Management system and management program Download PDF

Info

Publication number
JP2007058257A
JP2007058257A JP2005239284A JP2005239284A JP2007058257A JP 2007058257 A JP2007058257 A JP 2007058257A JP 2005239284 A JP2005239284 A JP 2005239284A JP 2005239284 A JP2005239284 A JP 2005239284A JP 2007058257 A JP2007058257 A JP 2007058257A
Authority
JP
Japan
Prior art keywords
user terminal
file
management
access
target file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005239284A
Other languages
Japanese (ja)
Other versions
JP3890367B1 (en
Inventor
Kunio Iijima
邦夫 飯島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Quality KK
Original Assignee
Quality KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Quality KK filed Critical Quality KK
Priority to JP2005239284A priority Critical patent/JP3890367B1/en
Application granted granted Critical
Publication of JP3890367B1 publication Critical patent/JP3890367B1/en
Publication of JP2007058257A publication Critical patent/JP2007058257A/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To manage states of personal information and confidential information to prevent surely the personal information and the confidential information from carelessly flowing out, leaking and being used illegally, without obtaining a human cooperation and imposing a special burden, even when the personal information and the confidential information are stored in a distributed manner, in a plurality of PCs or servers in an enterprise. <P>SOLUTION: A user terminal 10 is provided with a survey means for searching a file to be managed out of a data in a storage part, and a transmitting means for transmitting a search result therein to a management server 20, and the management server 20 is provided with a log collection means for collecting and recording an access log to the file to be managed from the user terminal 10, based on the search result from the user terminal 10, and a management means for managing the user terminal 10, based on the search result and the access log collected by the log collection means. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、パーソナルコンピュータ等の情報処理装置(利用者端末,サーバ等)に保有される、個人情報や機密情報などを含むファイルを管理する技術に関する。   The present invention relates to a technique for managing files containing personal information, confidential information, and the like held in an information processing apparatus (user terminal, server, etc.) such as a personal computer.

近年、個人情報の保護の意識の高まりに伴い、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することが望まれている。特に、個人情報保護法の施行に伴って、個人情報取扱事業者は、個人情報の流出・漏洩や不正利用をより確実に防止する必要が生じている。ここで、個人情報とは、単体もしくは組合せによって特定の個人を識別することのできる情報で、例えば氏名,生年月日,連絡先(住所,居所,電話番号,電子メールアドレス等)などが含まれる。各種企業内で保存されて取り扱われる顧客情報,取引先情報などが個人情報に該当する場合が多い。   In recent years, with an increase in awareness of protection of personal information, it has been desired to reliably prevent inadvertent leakage and leakage of personal information and unauthorized use of personal information. In particular, with the enforcement of the Personal Information Protection Law, there is a need for businesses that handle personal information to more reliably prevent the leakage or leakage of personal information and unauthorized use. Here, personal information is information that can identify a specific individual by itself or in combination, and includes, for example, name, date of birth, contact information (address, address, telephone number, e-mail address, etc.). . Customer information, business partner information, etc. stored and handled in various companies often correspond to personal information.

このような個人情報は、当然、企業にとっては秘匿性の高い機密情報に該当するが、企業にとっての機密情報としては、個人情報のほかにも、発表前の新製品,特許出願前の技術,経営戦略などに係る情報が該当する。なお、システム監査学会によれば、機密情報とは、情報資産の中で、許可した者以外に開示したり、目的外に利用された場合、経営資源としての価値を損なうおそれのある情報と定義されている。   Naturally, such personal information corresponds to confidential information with high confidentiality for companies, but as confidential information for companies, in addition to personal information, new products before publication, technology before patent application, Information related to management strategies, etc. According to the Institute of Systems Audits, confidential information is defined as information that may impair the value of management resources when disclosed to anyone other than the authorized person or used for other purposes. Has been.

上述のような個人情報や機密情報の流出・漏洩や不正利用を確実に防止するためには、集中管理システムを導入し、これらの個人情報や機密情報を一元的に管理することが望ましい。しかしながら、現実には、企業内において、顧客情報,取引先情報などの個人情報は、社員個人によって利用される複数の利用者端末〔パーソナルコンピュータ(以下、PCと略記する場合がある)〕や各部署のサーバに、ばらばらに分散して保存されている場合が多い。より具体的には、個々の社員が各自の業務都合で自分のPCに個人情報(顧客情報等)を保存していたり、中央データベース、あるいは、各社員によって独自に収集された個人情報のサブセットがPCにまちまちに存在していたりする。   In order to reliably prevent the outflow / leakage and unauthorized use of personal information and confidential information as described above, it is desirable to introduce a centralized management system and centrally manage such personal information and confidential information. However, in reality, personal information such as customer information and business partner information in a company includes a plurality of user terminals [personal computers (hereinafter sometimes abbreviated as PCs)] used by individual employees, In many cases, they are distributed and stored in department servers. More specifically, individual employees store their personal information (customer information, etc.) on their PCs for their own work, or a central database or a subset of personal information collected by each employee. It exists in various places on the PC.

このため、上記集中管理システムを構築する場合、管理者は、まず最初に、企業内にばらばらに存在する個人情報や機密情報の洗い出しを行ない、企業内のどこにどのような個人情報や機密情報が存在しているかを把握する必要があるが、個人情報や機密情報の洗い出しは、管理者が各社員に指示し人間対人間で全社・全部門の人的な協力を得て行なわれることになる。   For this reason, when constructing the above centralized management system, the administrator first identifies personal information and confidential information that are scattered in the company, and what kind of personal information and confidential information is located in the company. It is necessary to grasp whether it exists, but personal information and confidential information are identified by the manager instructing each employee and with the cooperation of the entire company and all departments in person-to-person relations. .

なお、例えば下記特許文献1においては、個人情報保護法の施行に伴い、個人情報の流出・漏洩や不正利用を防止する個人情報保護サービスを提供するための技術「個人情報保護サービス事業の処理方法および装置」が提案・開示されている。この特許文献1では、個人情報を不適切に取得した企業を特定して警告することができ、且つ、適正に取得した企業から個人情報が不正に流出することを防止できるようにするための技術が開示されているが、上述のごとく企業内で個人情報が分散して存在している場合の対処については開示されていない。   For example, in Patent Document 1 below, in accordance with the enforcement of the Personal Information Protection Law, the technology “Personal Information Protection Service Business Processing Method for Providing Personal Information Protection Service to Prevent Personal Information Outflow / Leakage and Unauthorized Use” And device "have been proposed and disclosed. In this patent document 1, it is possible to identify and warn a company that has acquired personal information inappropriately, and to prevent illegal leakage of personal information from a company that has acquired it appropriately. However, it does not disclose how to deal with the case where personal information is distributed in the company as described above.

また、例えば下記特許文献2では、コンピュータシステムや、その他のデータ処理機器もしくはシステムにおいて、ファイルの不正複写を防止するためのファイル複写管理技術が開示され、特に、ファイルに格別の複写禁止措置を講じることなく、特定言語で記述されたソースコード・ファイルや特定のファイル形式のマルチメディアデータ・ファイルなどの不正複写を防止するための技術が開示されているが、上述のごとく企業内で個人情報が分散して存在している場合の対処については開示されていない。   Further, for example, Patent Document 2 below discloses a file copy management technique for preventing unauthorized copying of a file in a computer system or other data processing device or system, and in particular, a special copy prohibition measure is taken for a file. Technology for preventing unauthorized copying of source code files written in a specific language or multimedia data files of a specific file format has been disclosed. There is no disclosure of what to do if they exist in a distributed manner.

さらに、例えば下記特許文献3においては、統合内部情報流出防止システムが開示されており、特に、出力装置および移動可能格納装置を通じたオフライン情報流出と、通信プログラムによるオンライン情報流出とを根本的に防止および監視することで、組織内部システムから重要情報が流出するのを防止するための技術が開示されているが、やはり、上述のごとく企業内で個人情報が分散して存在している場合の対処については開示されていない。
特開2002−183367号公報 特開2001−350671号公報 特表2003−535398号公報
Further, for example, in Patent Document 3 below, an integrated internal information leakage prevention system is disclosed, and in particular, offline information leakage through an output device and a movable storage device and online information leakage due to a communication program are fundamentally prevented. And the technology to prevent important information from leaking from the internal system by monitoring is disclosed, but again, as mentioned above, coping with the case where personal information is distributed in the company Is not disclosed.
JP 2002-183367 A JP 2001-350671 A Special table 2003-535398 gazette

上述のごとく各社員からの申告といった人的な協力のもとで個人情報や機密情報の洗い出しを行なうと、手間がかかるだけでなく全ての個人情報や機密情報を確実に漏れなく洗い出すのは困難になる。特に、個人情報や機密情報の分散化が進んでいると、個人情報や機密情報の洗い出しは極めて困難になる。また、個人情報や機密情報の洗い出しに漏れがあると、その個人情報や機密情報の状態を管理できず、不用意な流出・漏洩や不正利用を招くおそれもある。   As mentioned above, identifying personal information and confidential information with human cooperation such as reporting from each employee is not only time-consuming, but it is also difficult to ensure that all personal information and confidential information are identified without omissions. become. In particular, when personal information and confidential information are being distributed, it is extremely difficult to identify personal information and confidential information. In addition, if there is a leak in identifying personal information or confidential information, the state of the personal information or confidential information cannot be managed, and there is a risk of inadvertent outflow / leakage or unauthorized use.

本発明は、このような状況に鑑み創案されたもので、個人情報や機密情報が企業内の複数のPCやサーバに分散して保存されていても、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、個人情報や機密情報の状態を管理できるようにして、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止することを目的としている。   The present invention was devised in view of such a situation, and even if personal information and confidential information are distributed and stored in a plurality of PCs and servers in a company, they are not in charge without human cooperation. The purpose is to make it possible to manage the status of personal information and confidential information without imposing a special burden on the user, and to prevent inadvertent leakage, leakage or unauthorized use of personal information or confidential information. .

上記目的を達成するために、本発明の管理システム(請求項1)は、電子ファイルを含むデータを保持する記憶部を有する利用者端末と、該利用者端末とネットワークを介して相互に通信可能に接続され、該利用者端末における、所定条件を満たす管理対象ファイルを管理する管理サーバとをそなえ、該利用者端末が、該記憶部におけるデータの中から前記所定条件を満たす管理対象ファイルを特定して探査する探査手段と、該ネットワークを介して該探査手段による探査の結果を該管理サーバへ送信する送信手段とをそなえて構成されるとともに、該管理サーバが、該利用者端末から送信されてきた前記探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段と、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段とをそなえて構成されていることを特徴としている。   In order to achieve the above object, the management system of the present invention (Claim 1) can communicate with a user terminal having a storage unit for storing data including an electronic file, and the user terminal via a network. A management server that manages a management target file that satisfies a predetermined condition in the user terminal, and the user terminal specifies a management target file that satisfies the predetermined condition from data in the storage unit And a transmission means for transmitting the result of the search by the search means to the management server via the network, and the management server is transmitted from the user terminal. Based on the result of the search, the management target file in the user terminal is grasped, and the access log for the management target file is stored in the user terminal. Log collecting means for collecting and recording; management means for managing the user terminal based on the result of the search, and the access log for the management target file collected and recorded by the log collecting means; It is characterized by being configured.

上記管理システムにおいて、該管理手段が、該利用者端末から送信されてきた前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開してもよい(請求項2)。その公開情報としては、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とを含んでいてもよいし、該管理対象ファイルの数の集計結果や、該管理対象ファイルに対するアクセスの数の集計結果を含んでいてもよい。   In the management system, the management means, based on the search result transmitted from the user terminal, and the access log for the management target file collected and recorded by the log collection means, It is also possible to create public information relating to the access status to the management target file, and disclose the created public information (claim 2). The public information includes the file name of the management target file, information that can specify the user terminal that has accessed the management target file, and information that can specify the owner of the user terminal. It may be included, and may include a totaling result of the number of the management target files and a totaling result of the number of accesses to the management target file.

また、上記管理システムにおいて、該管理サーバが、該利用者端末において外部記憶媒体用のドライバがインストールされているか否かを調査する調査手段をさらにそなえて構成され、該管理手段が、該利用者端末から送信されてきた前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該利用者端末を管理するように構成してもよい(請求項3)。このとき、該管理手段が、該利用者端末から送信されてきた前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該外部記憶媒体用のドライバをインストールされた利用者端末に関する公開情報を作成し、作成された該公開情報を公開してもよく(請求項4)、その公開情報としては、該管理対象ファイルを保有するとともに該外部記憶媒体用のドライバをインストールしている利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報と、当該利用者端末において保有されている該管理対象ファイルのファイル名とを含んでいてもよいし、該利用者端末で実行された該外部記憶媒体への該管理対象ファイルの書出し回数を含んでいてもよい。   Further, in the management system, the management server is further configured to include a survey unit that investigates whether or not a driver for an external storage medium is installed in the user terminal, and the management unit includes the user The user terminal is managed based on the access log for the management target file collected and recorded by the log collection unit as a result of the search transmitted from the terminal, and the result of the survey by the survey unit. (Claim 3). At this time, as a result of the search transmitted from the user terminal, the management means collects and records the access log for the management target file collected by the log collection means, and the investigation by the investigation means. Based on the result, public information regarding the user terminal in which the driver for the external storage medium is installed may be created, and the created public information may be disclosed (claim 4). Information that can identify the user terminal that has the management target file and that has installed the driver for the external storage medium, information that can identify the owner of the user terminal, and possession in the user terminal And the file name of the managed file that has been executed, and the management target file written to the external storage medium executed on the user terminal It may contain a number.

さらに、上記管理システムにおいて、該管理手段が、該利用者端末から送信されてきた前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末からの該管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更するように構成してもよい(請求項5)。このとき、該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよい(請求項6)。より具体的には、該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよいし(請求項7)、該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよい(請求項8)。   Further, in the management system, the management means is based on the result of the search transmitted from the user terminal and the access log for the management target file collected and recorded by the log collection means. Changing or setting the security level in the user terminal for preventing the management target file from flowing out from the user terminal, and restricting access to the file in the user terminal according to the security level. You may comprise so that it may change (Claim 5). At this time, for the user terminal that has executed the processing / operation related to the management target file, the management means sets the security level high to tighten the restriction on access to the file, while relating to the management target file. For user terminals that have not executed processing / operation for a predetermined period, the security level may be set low to release or relax access restrictions on files (claim 6). More specifically, the management means sets a high security level for the user terminal that holds the management target file in the storage unit to tighten access restrictions on the file while the storage unit stores the storage target file. For a user terminal that does not have the management target file, the security level may be set low to release or relax access restrictions on the file (claim 7), or the management means may For user terminals that do not have an encryption function that automatically encrypts files sent to the network, the security level is set high to tighten access restrictions on the file, while the encryption function is set. For user terminals that have been set, the security level is set low to remove or relax restrictions on file access. Which may (claim 8).

なお、該管理サーバが、該探査手段としてコンピュータを機能させるプログラムを該利用者端末にインストールするインストール手段をさらにそなえて構成されるとともに、該利用者端末における該探査手段としての機能が、該インストール手段によって該利用者端末にインストールされた該プログラムを実行することで実現されるように構成してもよく、その際、該管理サーバのインストール手段が、該プログラムをインストールされていない利用者端末が該ネットワークに接続されたことを検知すると、当該利用者端末に該プログラムをインストールし、該プログラムを当該利用者端末に実行させて管理対象ファイルの探査を実行させるようにしてもよい。   The management server further includes an installation unit that installs a program that causes a computer to function as the search unit in the user terminal, and the function as the search unit in the user terminal is the installation unit. It may be configured to be realized by executing the program installed in the user terminal by means, and in this case, the installation means of the management server may be configured such that a user terminal not installed with the program When the connection to the network is detected, the program may be installed in the user terminal, and the user terminal may be caused to execute the program to search for a management target file.

また、前記所定条件が、特定の個人を識別可能な個人情報要素を所定数以上保有していることであり、該探査手段が、該記憶部におけるデータの中から前記所定条件を満たす管理対象ファイルつまり個人情報ファイルを特定して探査するように構成してもよく(請求項9)、その際、該探査手段が、判定対象ファイルに含まれるテキストデータを抽出する抽出手段と、該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段とをそなえて構成されていてもよい(請求項10)。   In addition, the predetermined condition is that a predetermined number or more of personal information elements that can identify a specific individual are held, and the search unit manages a file that satisfies the predetermined condition from the data in the storage unit In other words, the personal information file may be specified and searched (claim 9). At that time, the searching means extracts the text data included in the determination target file, and the extracting means Cutout means for cutting out character sections delimited by delimiters from the extracted text data, and character strings in the character sections cut out by the cutout means are preset telephone number determination conditions, e-mail address determination By determining whether or not any one of the conditions and address determination conditions is satisfied, a telephone number, electronic mail, which is a personal information element other than the name, is used. A first determination means for determining whether the address corresponds to any one of an email address and an address, and a character determined by the first determination means as not corresponding to any of a telephone number, an e-mail address, and an address A character determining means for determining whether the number of characters in the section is within a predetermined range and whether the character in the character section is a kanji, and the character determining means determines that the number is within the predetermined range and is a kanji. By comparing a character or character string included in the character section with an inappropriate character or inappropriate character string preset as a kanji or character string that cannot appear in the name, A collating means for judging whether or not the above-mentioned inappropriate character or inappropriate character string is included, and a telephone number, an e-mail address and the like by the first judging means. And the number of character sections determined to correspond to any one of the addresses and the number of character sections determined not to include the inappropriate character or inappropriate character string by the matching means, respectively. The second determination means for determining whether or not the determination target file is a personal information file based on the counting result may be included (claim 10).

一方、本発明の管理サーバ(請求項11)は、利用者端末とネットワークを介して相互に通信可能に接続され、該利用者端末における、所定条件を満たす管理対象ファイルを管理するものであって、該利用者端末の記憶部におけるデータの中から探査手段によって探査された、前記所定条件を満たす管理対象ファイルについての探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段と、該探査手段による探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段とをそなえて構成されていることを特徴としている。   On the other hand, the management server of the present invention (claim 11) is connected to a user terminal via a network so that they can communicate with each other, and manages files to be managed that satisfy a predetermined condition in the user terminal. , Grasping the management target file in the user terminal based on the search result of the management target file that satisfies the predetermined condition, searched by the searching means from the data in the storage unit of the user terminal, Log collection means for collecting and recording the access log for the management target file from the user terminal, the result of the search by the search means, and the access to the management target file collected and recorded by the log collection means It is characterized by comprising management means for managing the user terminal based on the log.

上記管理サーバにおいて、該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開してもよい(請求項12)。その公開情報としては、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とを含んでいてもよいし、該管理対象ファイルの数の集計結果や、該管理対象ファイルに対するアクセスの数の集計結果を含んでいてもよい。   In the management server, based on the result of the search and the access log for the management target file collected and recorded by the log collection unit, the management unit discloses public information regarding the access status to the management target file. And the created public information may be disclosed (claim 12). The public information includes the file name of the management target file, information that can specify the user terminal that has accessed the management target file, and information that can specify the owner of the user terminal. It may be included, and may include a totaling result of the number of the management target files and a totaling result of the number of accesses to the management target file.

また、上記管理サーバにおいて、該利用者端末において外部記憶媒体用のドライバがインストールされているか否かを調査する調査手段をさらにそなえ、該管理手段が、前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該利用者端末を管理するように構成してもよい。このとき、該管理手段が、前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該外部記憶媒体用のドライバをインストールされた利用者端末に関する公開情報を作成し、作成された該公開情報を公開してもよく、その公開情報としては、該管理対象ファイルを保有するとともに該外部記憶媒体用のドライバをインストールしている利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報と、当該利用者端末において保有されている該管理対象ファイルのファイル名とを含んでいてもよいし、該利用者端末で実行された該外部記憶媒体への該管理対象ファイルの書出し回数を含んでいてもよい。   Further, the management server further includes an investigation unit that investigates whether or not a driver for an external storage medium is installed in the user terminal, and the management unit collects the log collection unit as a result of the search. -You may comprise so that this user terminal may be managed based on the recorded access log with respect to this management object file, and the result of the investigation by the investigation means. At this time, based on the access log for the management target file collected and recorded by the log collection unit as a result of the search, and the result of the investigation by the investigation unit, the management unit The public information regarding the user terminal in which the driver for the device is installed may be created, and the created public information may be disclosed. The public information includes the management target file and the external storage medium Including information that can identify the user terminal in which the driver is installed, information that can identify the owner of the user terminal, and the file name of the managed file that is held in the user terminal It may also include the number of times the management target file has been written to the external storage medium executed by the user terminal.

さらに、上記管理サーバにおいて、該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末からの該管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更してもよい(請求項13)。このとき、該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよい(請求項14)。より具体的には、該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよいし、該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和するしてもよい。   Further, in the management server, the management means performs the management from the user terminal based on the search result and the access log for the management target file collected and recorded by the log collection means. The security level in the user terminal for preventing the target file from leaking may be changed and set, and the access restriction on the file in the user terminal may be changed according to the security level. ). At this time, for the user terminal that has executed the processing / operation related to the management target file, the security means sets the security level high to tighten the restriction on access to the file, while relating to the management target file. For a user terminal that has not executed processing / operation for a predetermined period, the security level may be set low to release or relax access restrictions on the file. More specifically, the management means sets a high security level for the user terminal that holds the management target file in the storage unit to tighten access restrictions on the file while the storage unit stores the storage target file. For user terminals that do not have the management target file, the security level may be set low to release or relax access restrictions on the file, or the management means may send the file to the outside. For user terminals that do not have an encryption function that automatically encrypts files, the security level is set high to tighten restrictions on access to files, while users with the encryption function set For terminals, the security level may be set low to remove or relax access restrictions on files.

なお、該探査手段としてコンピュータを機能させるプログラムを該利用者端末にインストールするインストール手段をさらにそなえてもよく、その際、該インストール手段が、該プログラムをインストールされていない利用者端末が該ネットワークに接続されたことを検知すると、当該利用者端末に該プログラムをインストールし、該プログラムを当該利用者端末に実行させて管理対象ファイルの有無を判定させるようにしてもよい。   In addition, an installation unit that installs a program that causes a computer to function as the exploration unit may be further installed in the user terminal. When the connection is detected, the program may be installed in the user terminal, and the program may be executed by the user terminal to determine whether there is a management target file.

また、本発明のファイル管理プログラム(請求項15〜18)は、いずれも、ネットワークを介して相互に通信可能に接続された利用者端末における、所定条件を満たす管理対象ファイルを管理する管理サーバとして、コンピュータを機能させるものであって、それぞれ、上述した管理サーバ(請求項11〜14)としての機能を実現させるものである。   Also, the file management program of the present invention (claims 15 to 18) is a management server that manages a management target file that satisfies a predetermined condition in user terminals connected to each other via a network. The computer functions, and the functions as the management server described above (claims 11 to 14) are realized.

上述した本発明によれば、各利用者端末において所定条件を満たす管理対象ファイル(個人情報や機密情報などを含むファイル)が探査され、管理サーバ(管理手段)によってその探査の結果や管理対象ファイルに対するアクセスログに基づいて利用者端末が管理される。これにより、個人情報や機密情報が複数の利用者端末に分散して保存されていても、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、管理対象ファイルの状態を管理することができ、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止することができる。   According to the present invention described above, a management target file (a file containing personal information, confidential information, etc.) satisfying a predetermined condition is searched for at each user terminal, and the search result and management target file are managed by a management server (management means). The user terminal is managed based on the access log. As a result, even if personal information and confidential information are distributed and stored in a plurality of user terminals, the status of the management target file can be changed without obtaining human cooperation and applying a special load to the person in charge. It can be managed, and personal information and confidential information can be prevented from being inadvertently leaked or leaked or illegally used.

このとき、管理対象ファイルに対するアクセス状況(例えば、管理対象ファイルのファイル名,利用者端末を特定しうる情報,利用者端末の所有者を特定しうる情報,管理対象ファイルの数の集計結果,管理対象ファイルに対するアクセスの数の集計結果など)が公開されることで、利用者が、自発的に、管理対象ファイルに対するアクセスを行なわなくなるような環境が提供されることになり、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。   At this time, the access status to the management target file (for example, the file name of the management target file, information that can identify the user terminal, information that can specify the owner of the user terminal, the result of counting the number of management target files, management (Such as the aggregated results of the number of accesses to the target file) will provide an environment in which the user will not voluntarily access the managed file. Personal information and confidential information Inadvertent outflow / leakage and unauthorized use can be prevented more reliably.

また、外部記憶媒体用ドライバをインストールされた利用者端末に関する情報(例えば、その利用者端末を特定しうる情報,その利用者端末の所有者を特定しうる情報,管理対象ファイルのファイル名,その管理対象ファイルの書出し回数など)が公開されることで、利用者が、自発的に、外部記憶媒体用ドライバをインストールしなくなるようになったり、インストールしていてもそのドライバを用いて管理対象ファイルの書出しを行なわなくなるような環境が提供されることになり、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。   Also, information about the user terminal installed with the external storage medium driver (for example, information that can identify the user terminal, information that can identify the owner of the user terminal, file name of the management target file, The number of times the managed file is written, etc.), and the user will not voluntarily install the external storage medium driver, or the managed file using that driver even if it is installed This will provide an environment in which the writing of information is not performed, and personal information and confidential information can be prevented from being inadvertently leaked or leaked or illegally used.

さらに、管理対象ファイルの不用意な流出・漏洩や不正利用などが発生する可能性の高い利用者端末(例えば、管理対象ファイルにかかわる処理/操作を実行した端末,記憶部に管理対象ファイルを保有している端末,暗号化機能を設定されていない端末など)についてはセキュリティレベルを高く設定してアクセス制限を厳格化する一方でその可能性の低い利用者端末についてはセキュリティレベルを低く設定してアクセス制限を解除もしくは緩和することによって、上記可能性の低い場合には端末を効率よく使用できる環境が提供されることになるので、利用者は、自発的に、自分の端末を上記可能性の低い状態に移行させるようになり、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。   In addition, a user terminal that is likely to cause an inadvertent leak / leakage or unauthorized use of a managed file (for example, a terminal that has executed a process / operation related to a managed file, or has a managed file in a storage unit) For devices that do not have the encryption function set), set a high security level to tighten access restrictions, while setting a low security level for user terminals that are unlikely to By canceling or relaxing access restrictions, an environment where the terminal can be used efficiently in the case where the above possibility is low is provided, so that the user voluntarily attaches his / her terminal to the above possibility. As a result, the personal information and confidential information can be prevented from being inadvertently leaked or leaked or illegally used.

なお、管理対象ファイルの探査を行なう探査手段としての機能をもたない利用者端末がネットワークに接続されると、管理サーバにより、上記探査手段としての機能を実現するためのプログラムがインストールされ、上記探査手段としての機能が自動的に利用者端末に導入され、さらに、その探査手段により利用者端末における管理対象ファイルの有無が判定されるので、新たな利用者端末等がネットワークに接続された場合でも、その利用者端末における管理対象ファイルを確実に探査して洗い出して管理可能な状態に置くことが可能になり、個人情報や機密情報の不用意な流出・漏洩や、個人情報や機密情報の不正利用などを確実に防止することができる。   When a user terminal that does not have a function as a search means for searching for a management target file is connected to the network, a program for realizing the function as the search means is installed by the management server. When the function as the exploration means is automatically introduced into the user terminal, and the existence of the management target file in the user terminal is further determined by the exploration means, so that a new user terminal is connected to the network However, it becomes possible to reliably search and identify the files to be managed on the user terminal and put them in a manageable state. Inadvertent leakage or leakage of personal information or confidential information, or personal information or confidential information Unauthorized use can be reliably prevented.

また、特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルを管理対象ファイルとする場合、本発明の探査手段では、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。   When a personal information file having a predetermined number or more of personal information elements that can identify a specific individual is used as a management target file, the search means of the present invention can use any of a telephone number, an e-mail address, and an address. Character sections that are not applicable and contain inappropriate characters / inappropriate character strings are considered not related to personal information, but do not correspond to any of phone numbers, e-mail addresses, and addresses, and inappropriate characters / Character sections that do not contain an appropriate string are considered to be related to names.

従って、電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についてのみ不適切文字/不適切文字列との照合処理が行なわれ、さらに、不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探査処理を高速に行なうことが可能になる。   Therefore, for the character section determined to correspond to any one of the telephone number, e-mail address, and address, the determination process is terminated when the determination is made, and any of the telephone number, e-mail address, or address is terminated. Is also checked for inappropriate characters / unsuitable character strings only for character sections determined to be not applicable, and it is determined that even one inappropriate character / unsuitable character string is included in the character section. At that point, the collation process can be terminated, so that the name collation process can be performed at a higher speed than the method that collates with all the name strings included in the name list, that is, the personal information file search process Can be performed at high speed.

また、不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まないファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高いファイルを確実に探査することが可能になる。つまり、本発明の探査手段により個人情報ファイルであると判定されるファイルの数が多くなり、個人情報ファイルである可能性の高いファイル(疑わしいファイル)を確実に洗い出すことができる。   In addition, since all character sections that do not contain inappropriate characters / inappropriate character strings are considered to correspond to names, there is a possibility of including files that do not contain inappropriate characters / inappropriate character strings for names, ie, name information. Therefore, it is possible to surely search for a file having a high possibility of being a personal information file. That is, the number of files that are determined to be personal information files by the search means of the present invention increases, and files that are highly likely to be personal information files (suspicious files) can be reliably identified.

さらに、文字区間の文字数が所定範囲内であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合対象としているので、照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が所定範囲を超える長い文字区間が、照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探査処理のさらなる高速化に寄与することになる。   Furthermore, since it is determined whether or not the number of characters in the character section is within a predetermined range and all the characters in the character section are kanji, and only character sections that satisfy this character determination condition are targeted for verification, The character section is narrowed down to the character section having a higher possibility of the name, so that the name collation accuracy can be improved and the name collation process can be performed at high speed. In addition, since a long character section whose number of characters exceeds the predetermined range is excluded from the object to be collated, it contributes to further speeding up the name collating process, that is, further speeding up the personal information file search process.

以下、図面を参照して本発明の実施の形態を説明する。
〔1〕本実施形態の個人情報管理システムの構成
図1は本発明の一実施形態としての個人情報管理システム(管理システム)の構成を示すブロック図であり、この図1に示すように、本実施形態の個人情報管理システム(管理システム)1は、複数の利用者端末10のほかに個人情報管理サーバ20をそなえて構成され、これらの端末10およびサーバ20がネットワーク〔例えば、社内LAN(Local Area Network)〕30を介して相互に通信可能に接続されている。
Embodiments of the present invention will be described below with reference to the drawings.
[1] Configuration of Personal Information Management System of this Embodiment FIG. 1 is a block diagram showing the configuration of a personal information management system (management system) as an embodiment of the present invention. As shown in FIG. The personal information management system (management system) 1 according to the embodiment includes a personal information management server 20 in addition to a plurality of user terminals 10, and the terminals 10 and the server 20 are connected to a network [for example, an in-house LAN (Local Area Network)] 30 so as to be able to communicate with each other.

各利用者端末10は、企業等の社内において各社員(利用者)によって使用されるパーソナルコンピュータ(PC)等の端末装置によって構成され、図2および図3を参照しながら後述するような機能構成を有している。なお、本実施形態における各利用者端末10は、個人情報ファイルの探査を含む各種機能(後述)を実現するためのプログラム(後述)を、後述するごとく個人情報管理サーバ20からインストールされて常駐させているものとする。   Each user terminal 10 is configured by a terminal device such as a personal computer (PC) used by each employee (user) in the company or the like, and has a functional configuration as described later with reference to FIGS. 2 and 3. have. Note that each user terminal 10 in this embodiment is installed with a program (described later) for realizing various functions (described later) including searching for a personal information file from the personal information management server 20 to be resident as described later. It shall be.

個人情報管理サーバ(管理サーバ)20は、複数の利用者端末10とネットワーク30を介して相互に通信可能に接続され、各利用者端末10における個人情報ファイルを、所定条件を満たす管理対象ファイルとして管理するもので、図4を参照しながら後述するような機能構成を有しているほか、図5を参照しながら後述するような、ファイルアクセス管理サーバ(管理対象ファイルに対するアクセスを管理するサーバ)としての機能構成も有している。   The personal information management server (management server) 20 is connected to a plurality of user terminals 10 through a network 30 so that they can communicate with each other, and the personal information file in each user terminal 10 is a management target file that satisfies a predetermined condition. A file access management server (a server that manages access to a management target file) as described later with reference to FIG. 5 in addition to having a functional configuration as described later with reference to FIG. It also has a functional configuration.

本実施形態における管理対象ファイルとしての個人情報ファイルは、特定の個人を識別可能な個人情報要素を所定数以上保有していることを所定条件として、図2および図3を参照しながら後述するごとく探査手段11によって特定・探査されるものであり、個人情報は、前述した通り、単体もしくは組合せによって特定の個人を識別することのできる情報(各種個人情報要素)、例えば氏名,生年月日,連絡先(住所,居所,電話番号,メールアドレス)などを含むものである。なお、個人情報としては、これら以外に、役職名,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号なども挙げられる。   The personal information file as the management target file in the present embodiment, as described later with reference to FIG. 2 and FIG. 3, on the precondition that a predetermined number or more of personal information elements capable of identifying a specific individual are held. The personal information is identified / explored by the exploration means 11, and as described above, the personal information is information (various personal information elements) that can identify a specific individual by itself or in combination, for example, name, date of birth, contact The destination (address, residence, telephone number, e-mail address) is included. In addition to these, personal information includes titles, basic resident register numbers, account numbers, credit card numbers, license numbers, passport numbers, and the like.

〔1−1〕本実施形態の利用者端末の機能構成
図2は本実施形態の利用者端末10の機能構成を示すブロック図で、この図2に示すように、本実施形態の利用者端末10は、各種処理を実行するCPU(Central Processin Unit)10aと、個人情報ファイル等の電子ファイルを含むデータを保持しうる記憶部10bとをそなえるほか、個人情報管理サーバ20から提供される検疫テーブル10cや、記憶部10bに保持される電子ファイルのPマーク(プライバシレベルマーク;個人情報ファイルである可能性の高さを示すレベルで、後述する判定値によって決定されるレベル)を保持するPマークテーブル10dをそなえて構成され、CPU10aを後述する各種手段11,12として機能させるためのプログラムを、個人情報管理サーバ20からインストールされている。
[1-1] Functional Configuration of User Terminal According to the Present Embodiment FIG. 2 is a block diagram showing the functional configuration of the user terminal 10 according to the present embodiment. As shown in FIG. 2, the user terminal according to the present embodiment. 10 includes a CPU (Central Processin Unit) 10a that executes various processes and a storage unit 10b that can hold data including electronic files such as personal information files, and a quarantine table provided from the personal information management server 20 10c and a P mark for holding a P mark (privacy level mark; a level indicating the possibility of being a personal information file, a level determined by a determination value described later) of the electronic file held in the storage unit 10b The personal information management server 20 includes a table 10d and a program for causing the CPU 10a to function as various means 11 and 12 described later. Is Luo installed.

ここで、記憶部10bは、利用者端末10に内蔵されるハードディスクや、利用者端末10に接続・外付けされる記憶装置、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど),磁気ディスク,光ディスク,光磁気ディスクのほかICカード,ROMカートリッジ,磁気テープなどの記録媒体を用いる記憶装置である。なお、上述した検疫テーブル10cおよびPマークテーブル10dは、利用者端末10を構成するRAM(Random Access Memory)やハードディスク等に保持されてもよいし、記憶部10bに保持されてもよい。   Here, the storage unit 10b is a hard disk built in the user terminal 10 or a storage device connected to or externally attached to the user terminal 10, such as a flexible disk, CD (CD-ROM, CD-R, CD-RW). Etc.), DVD (DVD-ROM, DVD-RAM, DVD-R, DVD-RW, DVD + R, DVD + RW, etc.), magnetic disks, optical disks, magneto-optical disks, IC cards, ROM cartridges, magnetic tapes and other recording media This is a storage device to be used. The quarantine table 10c and the P mark table 10d described above may be held in a RAM (Random Access Memory), a hard disk, or the like constituting the user terminal 10, or may be held in the storage unit 10b.

CPU10aは、探査手段11,アクセス検知手段12,送受信手段13,外部記憶媒体用ドライバ14および暗号化手段/登録手段(暗号化機能)15としての機能を果たすもので、これらの機能のうち送受信手段13としての機能はPC等の端末等に元々そなえられたものであり、探査手段11およびアクセス検知手段12としての機能は、CPU10aが、後述するごとく個人情報管理サーバ20からインストールされたプログラム(後述する利用者端末用プログラム)を実行することによって実現されるものである。   The CPU 10a functions as the exploration means 11, the access detection means 12, the transmission / reception means 13, the external storage medium driver 14, and the encryption means / registration means (encryption function) 15. Of these functions, the transmission / reception means 13 is originally provided in a terminal such as a PC. The functions as the exploration means 11 and the access detection means 12 are programs installed by the CPU 10a from the personal information management server 20 as will be described later (described later). This is realized by executing a user terminal program).

また、外部記憶媒体用ドライバ14および暗号化手段/登録手段15としての機能は、利用者端末10の利用者(所有者)が自らの意志によって外部からインストールしたプログラムを実行することによって実現されるものでとする。従って、利用者端末10においては、外部記憶媒体用ドライバ14および暗号化手段/登録手段15としての機能がそなえられている場合とそなえられていない場合とがあるので、図2では、外部記憶媒体用ドライバ14および暗号化手段/登録手段15を示すブロックについては仮想線(二点鎖線)で記載している。   The functions of the external storage medium driver 14 and the encryption unit / registration unit 15 are realized by the user (owner) of the user terminal 10 executing a program installed from the outside by his own will. With things. Accordingly, the user terminal 10 may or may not have the functions of the external storage medium driver 14 and the encryption means / registration means 15. Blocks indicating the driver 14 and the encryption / registration unit 15 are described with virtual lines (two-dot chain lines).

探査手段11は、CPU10aを探査手段11として機能させるプログラムをインストールした直後や、利用者端末10の起動時や、所定周期毎に、記憶部10bにおけるデータの中から上記所定条件を満たす個人情報ファイル(管理対象ファイル)を特定して探査するもので、記憶部10bに保有される各ファイル(探査対象ファイル)をテキストファイルにするテキスト抽出エンジンとして機能するとともに、検疫テーブル10cを用いて記憶部10bにおけるデータの中から個人情報ファイルを探査する探査エンジンとして機能するものである。   The exploration means 11 is a personal information file that satisfies the above-mentioned predetermined condition from the data in the storage unit 10b immediately after installing a program that causes the CPU 10a to function as the exploration means 11, or when the user terminal 10 is activated or at predetermined intervals. (Management target file) is specified and searched, functions as a text extraction engine that converts each file (search target file) held in the storage unit 10b to a text file, and uses the quarantine table 10c to store the storage unit 10b. It functions as an exploration engine for exploring personal information files from data in

つまり、探査手段11は、個人情報管理サーバ20から指示された条件(検疫テーブル10c)に従って判定対象ファイルを参照して個人情報ファイルの探査を行ない、個人情報ファイルであると判定されたファイルをログ(ローカルキャッシュデータベース)に書き出すようになっている。また、本実施形態では、この探査手段11で得られた判定結果(判定値/計数値)に基づいて決定されたPマークがPマークテーブル10dに登録される。この探査手段11の機能構成の詳細については、図3を参照しながら後述する。   That is, the exploration means 11 searches for the personal information file by referring to the determination target file according to the condition (quarantine table 10c) instructed from the personal information management server 20, and logs the file determined to be a personal information file. (Local cache database). In the present embodiment, the P mark determined based on the determination result (determination value / count value) obtained by the exploration means 11 is registered in the P mark table 10d. Details of the functional configuration of the exploration means 11 will be described later with reference to FIG.

なお、探査手段11による判定結果(判定値/計数値)やPマークは、個人情報ファイルであると判定されたファイル毎に、そのファイルを特定するための情報(例えば、ファイル名など)とともに、送受信手段13およびネットワーク30を通じて個人情報管理サーバ20に送信・通知されるようになっている。   Note that the determination result (determination value / count value) and the P mark by the exploration means 11 are information for identifying the file (for example, a file name) for each file determined to be a personal information file. The information is transmitted / notified to the personal information management server 20 through the transmission / reception means 13 and the network 30.

アクセス検知手段12は、探査手段11によって個人情報ファイルであると判定されたファイルに対し利用者端末10において実行されたアクセスを検知し、そのアクセス内容を、ファイル毎にアクセスログとして記録・保存するものであり、そのアクセスログは、アクセス検知時に、もしくは、定期的に、もしくは、個人情報管理サーバ20(後述する収集手段23)からの要求時などに、送受信手段13およびネットワーク30を通じて個人情報管理サーバ20に送信・通知されるようになっている。なお、アクセス内容としては、アクセス種別〔例えば、印刷,外部記憶媒体への書出し,削除,リネイム(変更),上書き保存,FTP(File Transfer Protocol)サーバへのアップロードなど〕や、アクセス種別毎のアクセス回数などが挙げられる。   The access detection means 12 detects the access executed in the user terminal 10 for the file determined to be a personal information file by the exploration means 11, and records and saves the access contents as an access log for each file. The access log is used to manage personal information through the transmission / reception unit 13 and the network 30 at the time of access detection, periodically, or when requested from the personal information management server 20 (collection unit 23 described later). It is transmitted and notified to the server 20. The access contents include access types (for example, printing, writing to an external storage medium, deletion, rename (change), overwriting, uploading to an FTP (File Transfer Protocol) server), and access for each access type. Number of times.

送受信手段(送信手段)13は、ネットワーク30を介して個人情報管理サーバ20や他の利用者端末10との間で各種情報を送受信するもので、探査手段11による探査結果やアクセス検知手段12により得られたアクセスログなどを個人情報管理サーバ20へ送信する送信手段としての機能も果たすものである。   The transmission / reception means (transmission means) 13 transmits / receives various information to / from the personal information management server 20 and other user terminals 10 via the network 30. It also serves as a transmission means for transmitting the obtained access log and the like to the personal information management server 20.

外部記憶媒体用ドライバ14は、前述した通り、利用者端末10の利用者(所有者)が自らの意志によって外部からインストールしたプログラムを実行することによって実現される機能であり、利用者によって指定されたファイルを記憶部10bから読み出して外部記憶媒体40へ書き出すものである。本実施形態における外部記憶媒体40としては、例えば、フレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスク,メモリカード,USB(Universal Serial Bus)メモリ,外付けハードディスク等の各種記憶媒体が挙げられる。   As described above, the external storage medium driver 14 is a function realized by the user (owner) of the user terminal 10 executing a program installed from the outside by his own will, and is designated by the user. The file is read from the storage unit 10b and written to the external storage medium 40. Examples of the external storage medium 40 in the present embodiment include various storage media such as a flexible disk, CD, DVD, magnetic disk, optical disk, magneto-optical disk, memory card, USB (Universal Serial Bus) memory, and external hard disk. It is done.

暗号化手段/登録手段15も、前述した通り、利用者端末10の利用者(所有者)が自らの意志によって外部からインストールしたプログラムを実行することによって実現される機能であり、この暗号化手段/登録手段15は、外部へ送出されるファイルを自動的に暗号化する暗号化機能を実現するためのものである。   As described above, the encryption means / registration means 15 is also a function realized by the user (owner) of the user terminal 10 executing a program installed from the outside by his own will, and this encryption means The / registration means 15 is for realizing an encryption function for automatically encrypting a file sent to the outside.

この暗号化手段/登録手段15としての機能が設定(インストール)されている場合、特に暗号化手段15としての機能が設定されている場合、その暗号化手段15は、メールに添付されてもしくは外部記憶媒体40に書き出されて外部へ送出されるファイルを、コンテナ機能を有する完成文書ファイル〔ここでは、改竄操作の困難なPDF(Portable Document Format)ファイル〕に変換し、さらに、前記コンテナ機能を用いて当該PDFファイルに当該電子ファイルのオリジナルファイルを格納してから、当該PDFファイルを、個人情報管理サーバ20におけるファイルアクセス管理サーバとしての機能(後述)によって管理される所定の暗号鍵(実際にはサーバ20から受信したもの)で暗号化して暗号化ファイルを作成することになる。なお、PDFファイルへの変換は例えばPDFドライバによって行なわれ、このPDFドライバを起動することにより、電子ファイルがPDF化され、PDFファイルファイルが生成されるようになっている。   When the function as the encryption unit / registration unit 15 is set (installed), particularly when the function as the encryption unit 15 is set, the encryption unit 15 is attached to the mail or externally. The file written to the storage medium 40 and transmitted to the outside is converted into a completed document file having a container function (here, a PDF (Portable Document Format) file that is difficult to falsify), and the container function is further converted. The original file of the electronic file is stored in the PDF file, and then the PDF file is stored in a predetermined encryption key (actually managed by a function (described later) as a file access management server in the personal information management server 20. Is received from the server 20) to create an encrypted file. Note that conversion to a PDF file is performed by, for example, a PDF driver, and when the PDF driver is activated, the electronic file is converted to PDF and a PDF file file is generated.

また、暗号化動作と併せて、当該暗号化ファイルにアクセスする利用者(ユーザ)について、当該暗号化ファイルへのアクセス権限(例えば、閲覧,注釈,印刷,コピーのほか、格納されたオリジナルファイルの取出しや、取り出されたファイルの編集,添付などのアクセスの中から選択されたものを実行する権限)の設定が、暗号化手段15からサーバ20に対して自動的に行なわれるものとする。ここでは、例えば、必要最小限のアクセス権限(例えば閲覧権)のみを設定するようにする。   In addition to the encryption operation, the user (user) who accesses the encrypted file has access authority to the encrypted file (for example, in addition to viewing, annotation, printing, copying, etc. It is assumed that the setting of the authority to execute the one selected from the access such as fetching, editing of the fetched file, and attachment is automatically performed from the encryption unit 15 to the server 20. Here, for example, only the necessary minimum access authority (for example, viewing authority) is set.

一方、登録手段15としての機能が設定されている場合、その登録手段15は、メールに添付されてもしくは外部記憶媒体40に書き出されて外部へ送出されるファイルを、個人情報管理サーバ20におけるファイルアクセス管理サーバとしての機能(後述)の管理下に置くべく、サーバ20に登録するもので、登録時には、その管理対象ファイルをサーバ20に送信するとともに、登録処理に応じて、サーバ20の暗号化手段28によって後述するごとく作成された暗号化ファイルを受信する機能を果たすものである。   On the other hand, when the function as the registration unit 15 is set, the registration unit 15 stores the file attached to the mail or written to the external storage medium 40 and sent to the outside in the personal information management server 20. The file is registered in the server 20 to be managed by a function (described later) as a file access management server. At the time of registration, the management target file is transmitted to the server 20 and the encryption of the server 20 is performed according to the registration process. The function of receiving the encrypted file created as described later by the converting means 28 is achieved.

〔1−2〕本実施形態の探査手段の詳細な機能構成
図3は本実施形態の利用者端末10における探査手段11の詳細な機能構成を示すブロック図で、この図3に示すように、本実施形態の探査手段11は、抽出手段111,切出手段112,第1判定手段113,文字判定手段114,照合手段115および第2判定手段116としての機能を有しており、これらの機能も、CPU10aが、後述するごとく個人情報管理サーバ20からインストールされたプログラムを実行することによって実現される。
[1-2] Detailed Functional Configuration of Searching Means of the Present Embodiment FIG. 3 is a block diagram showing a detailed functional configuration of the searching means 11 in the user terminal 10 of the present embodiment. As shown in FIG. The exploration means 11 of the present embodiment has functions as an extraction means 111, a cutting means 112, a first determination means 113, a character determination means 114, a collation means 115, and a second determination means 116, and these functions. This is also realized by the CPU 10a executing a program installed from the personal information management server 20 as described later.

抽出手段111は、記憶部10bにおける電子ファイル(判定対象ファイル)のテキストデータ〔例えばCSV(Comma Separated Value)形式のデータ〕を抽出するもので、前記テキスト抽出エンジンとして機能するものである。
切出手段112は、抽出手段111によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出して、判定対象/照合対象としてバッファ(図示省略)に順次書き出すものである。ここで、区切り文字は、例えば半角スペース,半角カンマ(半角カンマ+半角スペースも半角カンマと見なす),タブ文字(半角),CR(Carriage Return),LF(Line Feed)である。
The extraction unit 111 extracts text data [for example, CSV (Comma Separated Value) format data] of an electronic file (determination target file) in the storage unit 10b, and functions as the text extraction engine.
The cutout unit 112 cuts out character sections delimited by delimiters from the text data extracted by the extraction unit 111 and sequentially writes them in a buffer (not shown) as a determination target / collation target. Here, the delimiter is, for example, a half-width space, a half-width comma (half-width comma + half-width space is also regarded as a half-width comma), a tab character (half-width), CR (Carriage Return), or LF (Line Feed).

また、切出手段112によって切り出される文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。本実施形態では、切出手段112が、上述のような記号文字を除去する機能を有しているものとする。   In addition, symbols other than alphanumeric characters, katakana, hiragana, and kanji characters, such as hyphens, underbars, and parenthesis symbols, are removed from the character section cut out by the cutting means 112. In the present embodiment, it is assumed that the cutting means 112 has a function of removing the symbol characters as described above.

第1判定手段113は、切出手段112によって切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、氏名以外の個人情報要素(具体的に本実施形態では電話番号,電子メールアドレス,住所のうちのいずれか一つ)に該当するか否かを判定すべく、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cとしての機能をそなえている。なお、本実施形態の第1判定手段113では、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で、上記文字列の判定処理を行なっている。   The first determination unit 113 uses a personal information element (specifically, in the present embodiment, a telephone) in which a character string (hereinafter simply referred to as a character string) in the character section from which the symbol character has been removed by the cutting unit 112 is removed. In order to determine whether or not any one of a number, an e-mail address, and an address), functions as a telephone number determination unit 113a, an e-mail address determination unit 113b, and an address determination unit 113c are provided. . Note that the first determination unit 113 of the present embodiment performs the character string determination process in order of lighter determination processing load, that is, in the order of telephone number, e-mail address, and address.

電話番号判定手段113aは、上記文字列が電話番号に該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている電話番号判定条件を満たす場合、上記文字列が電話番号に該当するものと判定し、その旨を第2判定手段116に通知し、上記文字列に対する第1判定手段113による判定処理を終了させるものである。本実施形態において、電話番号判定条件は、上記文字列中に9〜15桁の数字が含まれていることとする。   The telephone number determination means 113a determines whether or not the character string corresponds to a telephone number. If the character string satisfies the telephone number determination condition set in the quarantine table 10c, the character string is a telephone number. It judges that it corresponds to a number, notifies that to the 2nd judgment means 116, and ends the judgment processing by the 1st judgment means 113 to the above-mentioned character string. In the present embodiment, it is assumed that the telephone number determination condition includes a 9-15 digit number in the character string.

電子メールアドレス判定手段113bは、電話番号判定手段113aによって上記文字列が電話番号に該当しないと判定された場合に、上記文字列が電話メールアドレスに該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている電子メールアドレス判定条件を満たす場合、上記文字列が電子メールアドレスに該当するものと判定し、その旨を第2判定手段116に通知し、上記文字列に対する第1判定手段113による判定処理を終了させるものである。本実施形態において、電子メールアドレス判定条件は、上記文字列中に「一文字以上のASCII(American Standard Code for Information Interchange)」+「@(アットマーク)」+「一文字以上のASCII」+「.(ドット)」+「一文字以上のASCII」となる文字列が含まれていることとする。この場合、最短の電子メールアドレスは例えば「a@a.a」となる。   The e-mail address determination unit 113b determines whether or not the character string corresponds to a telephone mail address when the telephone number determination unit 113a determines that the character string does not correspond to a telephone number. If the character string satisfies the e-mail address determination condition set in the quarantine table 10c, it is determined that the character string corresponds to the e-mail address, and that is notified to the second determination means 116. The determination process by the first determination unit 113 is terminated. In the present embodiment, the e-mail address determination condition is as follows: “One or more ASCII (American Standard Code for Information Interchange)” + “@ (at sign)” + “One or more ASCII characters” + “. It is assumed that a character string “dot)” + “ASCII of one or more characters” is included. In this case, the shortest e-mail address is “a@a.a”, for example.

住所判定手段113cは、電子メールアドレス判定手段113bによって上記文字列が電子メールアドレスに該当しないと判定された場合に、上記文字列が住所(居所)に該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている住所判定条件を満たす場合、上記文字列が住所に該当するものと判定し、その旨を第2判定手段116に通知するものである。本実施形態において、住所判定条件は、上記文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていることとする。このとき、CPU10aの演算処理能力が十分に高い場合には、上記文字列に加え、郵便番号に対応する7桁の数字が含まれていることを住所判定条件に加えてもよい。また、住所判定条件は、上述した条件に代え、上記文字列中に、郵便番号に対応する7桁ちょうどの数字列が含まれていること、あるいは、「3桁の数字列」+「−(ハイフン)」+「4桁の数字列」となる数字列が含まれていることとしてもよい。   The address determination unit 113c determines whether or not the character string corresponds to an address (residence) when the e-mail address determination unit 113b determines that the character string does not correspond to an e-mail address. When the character string satisfies the address determination condition set in the quarantine table 10c, it is determined that the character string corresponds to the address, and the second determination means 116 is notified of this. In the present embodiment, the address determination condition includes a character string of “one or more double-byte characters” + “city” or “city” or “county” + “one or more double-byte characters” in the character string. Suppose that At this time, if the arithmetic processing capability of the CPU 10a is sufficiently high, it may be added to the address determination condition that a 7-digit number corresponding to the postal code is included in addition to the character string. In addition, the address determination condition is that the character string includes a 7-digit numeric string corresponding to the postal code or “3-digit numeric string” + “− (−” instead of the above-described conditions. Hyphens) ”+“ a digit string of four digits ”may be included.

文字判定手段114は、第1判定手段113によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合に、その文字列が、検疫テーブル10cに設定されている文字判定条件を満たすか否か、具体的には、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であるか否かを判定するものである。本実施形態において、文字判定条件は、上述したように、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であることであるが、ここで、上記所定範囲は、氏名(苗字だけの場合や名前だけの場合を含む)の文字数として一般的(適切)な数の範囲、例えば1以上6以下に設定される。   The character determination unit 114 sets the character string in the quarantine table 10c when the first determination unit 113 determines that the character string does not correspond to any of a telephone number, an e-mail address, and an address. Specifically, it is determined whether the number of characters in the character string is within a predetermined range and whether all the characters in the character string are kanji. In the present embodiment, the character determination condition is that, as described above, the number of characters in the character string is within a predetermined range and all the characters in the character string are kanji characters. Is set to a general (appropriate) number range, for example, 1 to 6 as the number of characters of the name (including only the last name and only the name).

照合手段115は、第1判定手段113によって電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された文字区間であって、さらに文字判定手段114によって上記所定範囲内であり且つ全ての文字が漢字であると判定された文字区間について、当該文字区間に含まれる文字/文字列と氏名において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列とを照合することにより、当該文字区間が不適切文字/不適切文字列を含むか否かを判定し、その照合判定結果を第2判定手段116に通知するものである。   The collating unit 115 is a character section determined by the first determining unit 113 as not corresponding to any of a telephone number, an e-mail address, and an address, and is further within the predetermined range by the character determining unit 114 and For a character section in which all characters are determined to be kanji, a character / character string included in the character section and an inappropriate character / inappropriate character string preset as a character / character string that cannot appear in the name Is checked to determine whether or not the character section includes an inappropriate character / unsuitable character string, and the result of the verification determination is notified to the second determination means 116.

ここで、不適切文字/不適切文字列は、検疫テーブル10cに予め設定されており、例えば、東京,大阪,横浜,九州,北海道,京都,首都,個人,学園,店,株,県,大学,学院,東証,研究,管理,総務,経理,営業,統括,製薬,販売,学校,教育,専門,建築,機械,法人,工場,製,技術,商,図書,不明,次長,公開,出版,広告,放送,対象,卸売,小売,企画,人事,情報,部門,社長,取締,部長,課長,係長,役員,本社,支社,事業,業務,教務,精密,石油,運輸,経営,戦略,資材,技師,電気,生産,税務,広報,運送,主任,電算,財務,事務,開発,政策,制作,経済,産業,金融,銀行,調査,英語,品質,保証,設備,担当,主席,主事,監査,支援,設計,保険,金庫,事業,代表,交通,第一,第二,第三,第四,第五,第六,第七,第八,第九,特販,施設,氏名,郵便,名前,名称,市役,所属,特色,幼稚,基督,協会,教会,組合,教団,商工,全国,支部,連絡,議会,生活,消費,推進,市役所,区役所,総合,修正,機能,概要,構成,企業,組織,関連,削除,文書,期限,有効といった、一般的な氏名において出現し得ない文字/文字列、つまり氏名としては不適切な文字/文字列である。   Here, the inappropriate character / unsuitable character string is preset in the quarantine table 10c. For example, Tokyo, Osaka, Yokohama, Kyushu, Hokkaido, Kyoto, capital, individual, school, store, stock, prefecture, university , Gakuin, Tokyo Stock Exchange, Research, Administration, General Affairs, Accounting, Sales, Administration, Pharmaceutical, Sales, School, Education, Specialty, Architecture, Machine, Corporation, Factory, Manufacturing, Technology, Commerce, Books, Unknown, Deputy Director, Public, Publication , Advertising, Broadcasting, Target, Wholesale, Retail, Planning, HR, Information, Department, President, Regulatory, General Manager, Section Manager, Section Manager, Officer, Head Office, Branch Office, Business, Business, Education, Precision, Oil, Transportation, Management, Strategy , Materials, engineer, electricity, production, tax, public relations, transportation, chief, computer, finance, office work, development, policy, production, economy, industry, finance, banking, research, English, quality, warranty, equipment, charge, chief , Director, Audit, Support, Design, Insurance, Safe, Business, Representative, Transportation, First, No. , Third, Fourth, Fifth, Sixth, Seventh, Eighth, Ninth, Special Sales, Facility, Name, Mail, Name, Name, City Hall, Affiliation, Characteristic, Childhood, Christianity, Association, Church, Union , Cult, commerce, nationwide, branch, contact, parliament, life, consumption, promotion, city hall, ward office, general, modification, function, overview, composition, company, organization, association, deletion, document, deadline, valid A character / character string that cannot appear in a full name, that is, a character / character string inappropriate as a name.

第2判定手段116は、第1判定手段113における電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cによる判定結果と照合手段115による照合判定結果とに基づいて、判定対象電子ファイルが個人情報ファイルであるか否かを判定するものである。   The second determination unit 116 determines the electronic file to be determined based on the determination result by the telephone number determination unit 113a, the e-mail address determination unit 113b and the address determination unit 113c in the first determination unit 113 and the collation determination result by the collation unit 115. Is a personal information file.

より具体的に説明すると、第2判定手段116は、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cからの判定結果の通知を受け電話番号,電子メールアドレス,住所のそれぞれに該当すると見なされた文字区間の数を計数するとともに、照合手段115からの照合判定結果を受け、照合手段115によって不適切文字/不適切文字列を含まないと判定された文字区間を氏名に該当するものと見なし、その数を計数する。   More specifically, the second determination unit 116 receives notification of determination results from the telephone number determination unit 113a, the e-mail address determination unit 113b, and the address determination unit 113c. Counts the number of character sections considered to be applicable, and receives the collation determination result from the collating means 115, and the character section determined by the collating means 115 as not including an inappropriate character / inappropriate character string as the name Count the number.

そして、第2判定手段116は、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数結果(4つの計数値;電話番号数,電子メールアドレス数,住所数,氏名数)に基づいて、これらの計数値が大きくなるほど大きくなる判定値を算出する。例えば、第2判定手段116は、4つの計数値の総和を上記判定値として算出してもよいし、電話番号,電子メールアドレス,住所,氏名のそれぞれについて重み係数を予め設定しておき、各個人情報要素についての重み係数と計数値との乗算結果の総和を上記判定値として算出してもよく、上記判定値の算出手法は種々考えられる。   Then, the second determination means 116 is based on the counting results (four count values; the number of telephone numbers, the number of e-mail addresses, the number of addresses, the number of names) for each of the telephone number, the e-mail address, the address, and the name. A determination value that increases as these count values increase is calculated. For example, the second determination means 116 may calculate the sum of four count values as the determination value, or set a weighting factor in advance for each of the telephone number, e-mail address, address, and name. The sum of the multiplication results of the weighting coefficient and the count value for the personal information element may be calculated as the determination value, and various methods for calculating the determination value are conceivable.

上述のような判定値が算出されると、第2判定手段116は、その判定値に基づいて、判定対象ファイルが個人情報ファイルであるか否かを判定する。具体的には、前記判定値が所定閾値を超えた場合に判定対象ファイルが個人情報ファイルであると判定する。このような判定を行なう際に、第2判定手段116は、さらに、判定値の大きさに応じたPマーク(プライベートレベルマーク)を、判定対象ファイルに付与して、Pマークテーブル10dに設定・登録し、ランク付けを行なう。このPマークは、前述した通り、判定対象ファイルが個人情報ファイルである可能性の高さを示すレベルであり、判定値が大きいほどPマークは高いランクに設定される。   When the determination value as described above is calculated, the second determination unit 116 determines whether or not the determination target file is a personal information file based on the determination value. Specifically, when the determination value exceeds a predetermined threshold, it is determined that the determination target file is a personal information file. When making such a determination, the second determination means 116 further assigns a P mark (private level mark) according to the size of the determination value to the determination target file and sets it in the P mark table 10d. Register and rank. As described above, the P mark is a level indicating the high possibility that the determination target file is a personal information file. The larger the determination value, the higher the P mark is set.

例えば、前記判定値が10以上となった場合、判定対象ファイルが個人情報ファイルであると判定する。また、前記判定値が10以上100未満である場合、Pマークとして“P1”を付与し、前記判定値が100以上1000未満である場合、Pマークとして“P2”を付与し、前記判定値が1000以上10000未満である場合、Pマークとして“P3”を付与し、前記判定値が10000以上である場合、Pマークとして“P4”を付与する。なお、個人情報ファイルを判定するための所定閾値やPマークを決定するための基準値は、個人情報管理サーバ20(後述する管理コンソール24)から適宜設定される。また、ここではPマークを“P1”〜“P4”の4つにランク分けしているが、ランク分けの数はこれに限定されるものではない。さらに、上記の所定閾値や基準値としては、全ての利用者端末10に対し共通(同一)のものを設定してもよいし、利用者端末10毎や、本システム1を導入する施設(会社)毎に異なるものを設定してもよい。   For example, when the determination value is 10 or more, it is determined that the determination target file is a personal information file. When the determination value is 10 or more and less than 100, “P1” is assigned as the P mark, and when the determination value is 100 or more and less than 1000, “P2” is assigned as the P mark. When it is 1000 or more and less than 10,000, “P3” is assigned as the P mark, and when the determination value is 10000 or more, “P4” is assigned as the P mark. The predetermined threshold for determining the personal information file and the reference value for determining the P mark are set as appropriate from the personal information management server 20 (a management console 24 described later). In addition, although the P mark is ranked into four “P1” to “P4” here, the number of ranks is not limited to this. Furthermore, as the above-mentioned predetermined threshold value and reference value, common (identical) values may be set for all user terminals 10, or for each user terminal 10 or for a facility (company) that introduces the present system 1. ) Different ones may be set for each.

上述のように判定対象ファイルに付与されたPマーク(Pマークテーブル10d)は、個人情報ファイルであると判定されたファイル毎に、そのファイルを特定するための情報(例えば、ファイル名など)とともに、送受信手段13およびネットワーク30を介して個人情報管理サーバ20へ送信され、図4を参照しながら後述するごとく、収集手段23によりデータベース20bに保存される。そして、Pマークを付与された管理対象ファイル(個人情報ファイル)は、そのPマークのランクに応じて、図9を参照しながら後述するごとく、個人情報管理サーバ20(後述する管理手段25)により管理対象ファイルとして後述するごとく管理される。   As described above, the P mark (P mark table 10d) added to the determination target file is information for identifying the file (for example, a file name) for each file determined to be a personal information file. The data is transmitted to the personal information management server 20 via the transmission / reception means 13 and the network 30, and stored in the database 20b by the collection means 23 as described later with reference to FIG. Then, the management target file (personal information file) to which the P mark is assigned is determined by the personal information management server 20 (a management unit 25 described later) according to the rank of the P mark, as will be described later with reference to FIG. The management target file is managed as described later.

〔1−3〕本実施形態の個人情報管理サーバの機能構成
図4は本実施形態の個人情報管理サーバ(管理サーバ)20の機能構成を示すブロック図で、この図4に示すように、個人情報管理サーバ(管理サーバ)20は、各種処理を実行するCPU20aと、各利用者端末10からのアクセスログや個人情報ファイルなどに関する情報を格納・保存するデータベース(RDB:Relational DataBase)20bと、このデータベース20bに保存された各種情報や、後述する管理手段25によって集計・作成された公開情報を表示する表示部20cとをそなえて構成されている。
[1-3] Functional Configuration of Personal Information Management Server of this Embodiment FIG. 4 is a block diagram showing a functional configuration of the personal information management server (management server) 20 of this embodiment. As shown in FIG. The information management server (management server) 20 includes a CPU 20a that executes various processes, a database (RDB: Relational DataBase) 20b that stores and saves information related to access logs and personal information files from each user terminal 10, and the like. The display unit 20c is configured to display various types of information stored in the database 20b and public information aggregated and created by the management unit 25 described later.

CPU20aは、利用者情報収集手段21,インストール手段22,収集手段23,管理コンソール24,管理手段25,表示制御手段26および送受信手段27としての機能を果たすもので、これらの機能は、CPU20aが、管理プログラムを実行することによって実現される。ここで、管理プログラムには、利用者端末10を上述した探査手段11およびアクセス検知手段12として機能させるべく利用者端末10にインストールすべきプログラム(利用者端末用プログラム)も含まれているものとする。   The CPU 20a functions as a user information collection unit 21, an installation unit 22, a collection unit 23, a management console 24, a management unit 25, a display control unit 26, and a transmission / reception unit 27. These functions are performed by the CPU 20a. This is realized by executing a management program. Here, the management program includes a program (user terminal program) to be installed in the user terminal 10 in order to cause the user terminal 10 to function as the search means 11 and the access detection means 12 described above. To do.

利用者情報収集手段21は、本システム1の立ち上げ時や、利用者端末10がネットワーク30に接続されたことを検知した時や、所定の周期毎に、ネットワーク30および送受信手段27を介して通信可能に接続された利用者端末10からMACアドレス等の利用者情報(ホスト情報)を収集し、当該利用者端末10に、上記利用者端末用プログラムのほかに、当該利用者端末10を上述した外部記憶媒体用ドライバ14や暗号化手段/登録手段15として機能させるプログラムがインストールされているか否かを認識するものである。当該利用者端末10を上述した外部記憶媒体用ドライバ14や暗号化手段/登録手段15として機能させるプログラムのインストール状況は、後述するごとく管理手段25の処理で用いられるため、データベース20bに、当該利用者端末10に対応付けられて登録・保存される。つまり、利用者情報収集手段21は、利用者端末10において外部記憶媒体用ドライバ14がインストールされているか否かを調査する調査手段としての機能を果たすものである。   The user information collection means 21 is connected via the network 30 and the transmission / reception means 27 when the system 1 is started up, when it is detected that the user terminal 10 is connected to the network 30, or at predetermined intervals. User information (host information) such as a MAC address is collected from communicably connected user terminals 10, and the user terminal 10 is connected to the user terminal 10 in addition to the user terminal program. It recognizes whether or not a program that functions as the external storage medium driver 14 or the encryption means / registration means 15 is installed. Since the installation status of the program that causes the user terminal 10 to function as the external storage medium driver 14 or the encryption unit / registration unit 15 described above is used in the processing of the management unit 25 as will be described later, Registered and stored in association with the user terminal 10. That is, the user information collection unit 21 functions as a survey unit that investigates whether or not the external storage medium driver 14 is installed in the user terminal 10.

インストール手段22は、上記利用者端末用プログラムをインストールされていない利用者端末10が、利用者情報収集手段21によって収集された情報に基づいて検知されると、送受信手段27およびネットワーク30を介して当該利用者端末10に上記利用者端末用プログラムをインストールし、上記利用者端末用プログラムを当該利用者端末10に実行させて当該利用者端末10の記憶部10bにおける管理対象ファイルを探査させるものである。   When the user terminal 10 in which the user terminal program is not installed is detected based on the information collected by the user information collecting means 21, the installing means 22 passes through the transmitting / receiving means 27 and the network 30. The user terminal program is installed in the user terminal 10 and the user terminal program is executed by the user terminal 10 to search for a management target file in the storage unit 10b of the user terminal 10. is there.

収集手段23は、ネットワーク30および送受信手段27を介して、利用者端末10で実行された個人情報ファイルの探査結果(個人情報ファイルのファイル名やリンク先情報,判定値,Pマークなど)を受信・収集し、各利用者端末10に対応付けてデータベース20bに格納する機能を果たすほか、各利用者端末10から送信されてきた前記探査結果に基づいて各利用者端末10における個人情報ファイルを把握し、ネットワーク30および送受信手段27を介して、各個人情報ファイルに対するアクセスログを利用者端末10から収集して記録するログ収集手段としての機能を果たすものである。   The collection unit 23 receives the search result of the personal information file (file name, link destination information, determination value, P mark, etc. of the personal information file) executed on the user terminal 10 via the network 30 and the transmission / reception unit 27. In addition to performing the function of collecting and associating with each user terminal 10 and storing it in the database 20b, the personal information file in each user terminal 10 is grasped based on the search result transmitted from each user terminal 10. In addition, it functions as a log collecting unit that collects and records an access log for each personal information file from the user terminal 10 via the network 30 and the transmission / reception unit 27.

なお、収集手段23によるアクセスログの収集は、各利用者端末10のアクセスログを受信することにより受動的に行なってもよいし、収集手段23側から各利用者端末10に対して定期的にアクセスログの送信要求を行なうことにより能動的に行なってもよい。
ここで収集されるアクセスログは、前述した通り、各利用者端末10のアクセス検知手段12によって個人情報ファイル毎に検知・記録されたものであり、アクセス種別やアクセス回数を含み、個人情報ファイルのファイル名や、その個人情報に対するアクセスを行なった利用者端末10を特定しうる情報(PC名)や、その利用者端末10の所有者を特定しうる情報(所有者名)と対応付けられて、データベース20bに登録・保存されるようになっている。なお、本実施形態では、収集手段23が、各利用者端末10での閲覧禁止サイトへのアクセス回数についてもアクセスログとして収集し、各利用者端末10に対応付けてデータベース20bに登録・保存するものとする。
The collection of the access log by the collection unit 23 may be performed passively by receiving the access log of each user terminal 10 or periodically from the collection unit 23 side to each user terminal 10. This may be done actively by making an access log transmission request.
As described above, the access log collected here is detected and recorded for each personal information file by the access detection means 12 of each user terminal 10, and includes the access type and the number of accesses. It is associated with a file name, information (PC name) that can specify the user terminal 10 that has accessed the personal information, and information (owner name) that can specify the owner of the user terminal 10. Are registered and stored in the database 20b. In the present embodiment, the collection unit 23 also collects the number of accesses to the browsing-prohibited site at each user terminal 10 as an access log, and registers and saves it in the database 20b in association with each user terminal 10. Shall.

管理コンソール24は、個人情報ファイルの判定条件(上記検疫テーブル10cや、個人情報ファイルやPマークを判定するために必要になる所定閾値など)を設定して管理するものである。検疫テーブル10cには、上述した電話番号判定条件,電子メールアドレス判定条件,住所判定条件,文字判定条件(上記所定範囲)や不適切文字/不適切文字列が設定される。   The management console 24 sets and manages the determination conditions for the personal information file (the quarantine table 10c, a predetermined threshold necessary for determining the personal information file and the P mark, etc.). In the quarantine table 10c, the above-described telephone number determination condition, e-mail address determination condition, address determination condition, character determination condition (predetermined range) and inappropriate characters / unsuitable character strings are set.

管理手段25は、収集手段23によって収集されデータベース20bに格納された探査結果(第2判定手段116で得られた計数結果)に応じて、各利用者端末10における個人情報ファイルを管理するもので、探査手段11で個人情報ファイルであると判定されたファイル(Pマークの付与されたファイル;以下、個人情報ファイルという)を管理対象としている。   The management means 25 manages the personal information file in each user terminal 10 according to the search results collected by the collection means 23 and stored in the database 20b (counting results obtained by the second determination means 116). A file determined by the exploration means 11 as a personal information file (a file with a P mark; hereinafter referred to as a personal information file) is a management target.

この管理手段25は、データベース20bに保存されているPマークテーブルに登録されている個人情報ファイルの判定値(またはPマーク)に応じて、個人情報ファイルの利用者(保有者)に注意情報/警告情報を通知したり、個人情報ファイルを、その個人情報ファイルを保存している利用者端末10から強制的に捕獲・回収したり、その個人情報ファイルが利用者端末10から外部へ出力されるのを強制的に禁止したり、その個人情報ファイルを管理者のみがアクセス可能なフォルダ(図示略)に格納したり、個人情報ファイルに対するアクセスを管理サーバ20のファイルアクセス管理サーバとしての機能(後述)によって管理させたりするものである。   This management means 25 responds to the user (holder) of the personal information file according to the judgment value (or P mark) of the personal information file registered in the P mark table stored in the database 20b. Warning information is notified, a personal information file is forcibly captured and collected from the user terminal 10 storing the personal information file, and the personal information file is output from the user terminal 10 to the outside. Forcibly prohibiting, storing the personal information file in a folder (not shown) accessible only by the administrator, or accessing the personal information file as a file access management server function (described later). ).

例えば、Pマークのランクが“P1”である場合、警告情報によるリコメンドは行なわないが“P1”の個人情報ファイルが存在することをログとして記録する。Pマークのランクが“P2”である場合、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報を通知する。Pマークのランクが“P3”である場合、その個人情報ファイルを保管している利用者が存在する旨を、システム管理者(管理者端末40)に対し警告情報としてメール等により通知するとともに、その個人情報ファイルの返却を利用者に指示する。Pマークのランクが“P4”である場合、その個人情報ファイルを利用者端末10から強制的に捕獲・回収したり、個人情報ファイルが利用者端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したり、個人情報ファイルに対するアクセスを個人情報管理サーバ20のファイルアクセス管理サーバとしての機能によって管理させたりする。なお、Pマークのランクが“P4”でなくても、“P3”の個人情報ファイルが所定日数放置された場合には、その個人情報ファイルに対して、Pマークのランクが“P4”である場合と同様の処置を実行するようにしてもよい。   For example, when the rank of the P mark is “P1”, the recommendation by the warning information is not performed, but the fact that the personal information file of “P1” exists is recorded as a log. When the rank of the P mark is “P2”, notice information in a pop-up display is notified in order to call attention to the user of the personal information file. When the rank of the P mark is “P3”, the system administrator (administrator terminal 40) is notified of the existence of a user who stores the personal information file as warning information by e-mail, etc. Instruct the user to return the personal information file. When the rank of the P mark is “P4”, the personal information file is forcibly captured and collected from the user terminal 10 or the personal information file is forcibly output from the user terminal 10 to the outside. The personal information file is prohibited, stored in a folder accessible only to the administrator, or access to the personal information file is managed by the function of the personal information management server 20 as a file access management server. Even if the P mark rank is not “P4”, if the personal information file of “P3” is left for a predetermined number of days, the rank of the P mark is “P4” for the personal information file. You may make it perform the treatment similar to the case.

また、管理手段25は、各利用者端末10もしくはデータベース20bに格納された個人情報ファイルを種々の確度で探査する機能や、表示制御手段26によってその探査結果等を表示部20cに表示させる機能を有している。
表示制御手段26は、表示部20cに各種情報、例えば後述する公開情報などを表示させるべく表示部20cの表示状態を制御するものであり、送受信手段27は、ネットワーク30を介して各利用者端末10との間で各種情報を送受信するものである。
Further, the management means 25 has a function of searching the personal information file stored in each user terminal 10 or the database 20b with various accuracy, and a function of causing the display control means 26 to display the search result on the display unit 20c. Have.
The display control unit 26 controls the display state of the display unit 20c so that various types of information, for example, public information to be described later, is displayed on the display unit 20c. The transmission / reception unit 27 is connected to each user terminal via the network 30. Various information is transmitted / received to / from 10.

また、本実施形態の管理手段25は、各利用者端末10による探査結果と、収集手段23によって収集・記録されたアクセスログと、利用者情報収集手段21によって収集・記録された調査結果(利用者端末10を外部記憶媒体用ドライバ14として機能させるプログラムの有無に関する情報)とに基づいて、各利用者端末10を管理すべく、各個人情報ファイルに対するアクセス状況に関する公開情報や、外部記憶媒体用ドライバ14をインストールされた利用者端末10に関する公開情報を作成し、その公開情報を、表示部20c上で表示したり、ネットワーク30を介し全ての利用者端末10に対して公開したり、ネットワーク30を介してメール等で全ての利用者端末10に対して通知したりする機能を果たすものである。   In addition, the management unit 25 of the present embodiment includes a search result by each user terminal 10, an access log collected / recorded by the collection unit 23, and an investigation result (use) collected / recorded by the user information collection unit 21. Based on the presence / absence of a program that causes the user terminal 10 to function as the external storage medium driver 14), public information regarding the access status with respect to each personal information file, or for external storage medium, in order to manage each user terminal 10. The public information about the user terminal 10 in which the driver 14 is installed is created, and the public information is displayed on the display unit 20c, is disclosed to all the user terminals 10 via the network 30, or the network 30 The function of notifying all the user terminals 10 by e-mail or the like via the e.g.

ここで、公開情報としては、個人情報ファイルのファイル名や、その個人情報ファイルに対してアクセスを行なった利用者端末10を特定しうる情報(PC名)や、その利用者端末10の所有者を特定しうる情報(所有者名)や、個人情報ファイルの数の集計結果(利用者端末10の個人情報ファイル数や個人情報保有数)や、個人情報ファイルに対するアクセスの回数の集計結果(個人情報ファイル毎/アクセス種別毎)がある。なお、アクセス種別としては、印刷,外部記憶媒体への書出し,削除,リネイム(変更),上書き保存,FTPサーバへのアップロードなどが挙げられる。   Here, as public information, the file name of the personal information file, information (PC name) that can identify the user terminal 10 that has accessed the personal information file, the owner of the user terminal 10 Information (owner name), the total number of personal information files (the number of personal information files and the number of personal information possessed by the user terminal 10), and the total number of accesses to the personal information file (individuals) Information file / access type). The access type includes printing, writing to an external storage medium, deletion, rename (change), overwriting, uploading to an FTP server, and the like.

また、公開情報としては、個人情報ファイルを保有するとともに外部記憶媒体用ドライバ14をインストールしている利用者端末10を特定しうる情報(PC名)や、その利用者端末10の所有者を特定しうる情報(所有者名)や、その利用者端末10において保有されている個人情報ファイルのファイル名や、その利用者端末10で実行された外部記憶媒体40への個人情報ファイルの書出し回数もある。   Also, as public information, information (PC name) that can identify the user terminal 10 that has a personal information file and that has the external storage medium driver 14 installed, and the owner of the user terminal 10 are specified. Possible information (owner name), the file name of the personal information file held in the user terminal 10, and the number of times of writing the personal information file to the external storage medium 40 executed in the user terminal 10 is there.

さらに、本実施形態の管理手段25は、個人情報ファイルに対するアクセス状況に関する情報のほかに、各利用者端末10における閲覧禁止サイトへのアクセス回数(例えば図19参照)や、各利用者端末10の他端末/サーバにおける個人情報ファイルに対するアクセス回数を監視・収集し、公開情報として作成・公開する機能も有している。
なお、管理手段25によって作成・公開される公開情報の具体例については、図12〜図19を参照しながら後述する。
Furthermore, the management means 25 of the present embodiment, in addition to information related to the access status to the personal information file, the number of accesses to the browsing-prohibited site in each user terminal 10 (see, for example, FIG. 19) It also has a function of monitoring / collecting the number of accesses to the personal information file in other terminals / servers and creating / disclosing it as public information.
A specific example of public information created and disclosed by the management unit 25 will be described later with reference to FIGS.

さらに、本実施形態の管理手段25は、各利用者端末10による探査結果と、収集手段23によって収集・記録されたアクセスログと、利用者情報収集手段21によって収集・記録された調査結果(利用者端末10を外部記憶媒体用ドライバ14や暗号化手段/登録手段15として機能させるプログラムの有無に関する情報)と、閲覧禁止サイトへのアクセス回数や他端末/サーバにおける個人情報ファイルに対するアクセス回数とに基づいて、各利用者端末10を管理すべく、各利用者端末10からの個人情報ファイルの流出を防止するための、各利用者端末10におけるセキュリティレベルを変更・設定し、そのセキュリティレベルに応じて、各利用者端末10におけるファイルに対するアクセスの制限を変更する機能も果たすように構成されている。   Furthermore, the management means 25 of the present embodiment includes the search results by each user terminal 10, the access logs collected and recorded by the collection means 23, and the survey results (uses collected and recorded by the user information collection means 21). Information on the presence or absence of a program that causes the user terminal 10 to function as the external storage medium driver 14 or the encryption unit / registration unit 15), the number of accesses to the browsing prohibited site, and the number of accesses to the personal information file in other terminals / servers. In order to manage each user terminal 10, based on the security level, the security level in each user terminal 10 for preventing the leakage of the personal information file from each user terminal 10 is changed and set. The user terminal 10 can also be configured to change the access restriction on the file. It is.

本実施形態の管理手段25は、例えば、下記項目(1)〜(5)の基準に従って、各利用者端末10のセキュリティレベルの設定(ファイルに対するアクセス制限の設定)を行なうものとする。
(1)個人情報ファイルにかかわる処理/操作(自端末10/他端末/サーバにおける個人情報ファイルに対する何らかのアクセス)を実行した利用者端末10についてはセキュリティレベルを高く設定し、ファイル(個人情報ファイルのみならず通常のファイルも含む)に対するアクセス制限を厳格化する一方、個人情報ファイルにかかわる処理/操作を所定期間にわたり一切実行していない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。
The management means 25 of this embodiment shall set the security level (setting of the access restriction with respect to a file) of each user terminal 10 according to the criteria of the following items (1) to (5), for example.
(1) The security level is set high for the user terminal 10 that has executed processing / operation related to the personal information file (some access to the personal information file in the own terminal 10 / other terminal / server), and the file (only the personal information file) (Including regular files as well), while the user terminal 10 that has not executed any processing / operation related to the personal information file for a predetermined period of time is set to a low security level to access the file. Remove or relax restrictions.

(2)記憶部10bに個人情報ファイルを保有している利用者端末10についてはセキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、記憶部10bに個人情報ファイルを保有していない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。     (2) For the user terminal 10 that has the personal information file in the storage unit 10b, the security level is set high to tighten access restrictions on the file, while the personal information file is not held in the storage unit 10b. For the user terminal 10, the security level is set low to cancel or relax the access restriction on the file.

(3)外部へ送出されるファイルを自動的に暗号化する暗号化機能(前述した暗号化手段/登録手段15としての機能)を設定されていない利用者端末10についてはセキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、暗号化機能を設定されている利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。     (3) A high security level is set for the user terminal 10 for which the encryption function for automatically encrypting the file sent to the outside (function as the encryption means / registration means 15 described above) is not set. On the other hand, the access restriction on the file is tightened, while the user terminal 10 to which the encryption function is set is set to a low security level to release or relax the access restriction on the file.

(4)外部記憶媒体用ドライバ14をインストールしている利用者端末10についてはセキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、外部記憶媒体用ドライバ14をインストールしていない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。     (4) For the user terminal 10 in which the external storage medium driver 14 is installed, the security level is set high to tighten access restrictions on files, while the user who has not installed the external storage medium driver 14 The terminal 10 is set to a low security level to release or relax the access restriction on the file.

(5)閲覧禁止サイトへのアクセスを行なっている利用者端末10についてはセキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、閲覧禁止際とへのアクセスを行なっていない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。     (5) For the user terminal 10 that is accessing the browsing-prohibited site, the security level is set high to tighten access restrictions on the file, while the user terminal 10 that is not accessing when browsing is prohibited For 10, the security level is set low to remove or relax the access restriction on the file.

このようなセキュリティレベルの設定(ファイルに対するアクセス制限の設定)を管理手段25が行なうことにより、個人情報ファイルの不用意な流出・漏洩や不正利用などが発生する可能性の低い利用者端末10、具体的には、個人情報ファイルに対するアクセスを所定期間にわたり一切行なっておらず、且つ、個人情報ファイルを保有しておらず、且つ、外部送出ファイルを暗号化するための機能を有しており、且つ、外部記憶媒体ドライバ14をインストールしておらず、且つ、閲覧禁止サイトへのアクセスを一切行なっていない利用者端末10に対しては、アクセス制限を解除もしくは緩和して、利用者端末10を効率よく使用できる環境が利用者に提供されるようになっている。   When the management unit 25 performs such security level settings (file access restriction settings), the user terminal 10 is less likely to cause an inadvertent outflow / leakage or unauthorized use of personal information files. Specifically, the personal information file is not accessed at all for a predetermined period, the personal information file is not held, and the external transmission file is encrypted. In addition, for the user terminal 10 in which the external storage medium driver 14 is not installed and the browsing prohibited site is not accessed at all, the access restriction is released or relaxed, and the user terminal 10 is An environment that can be used efficiently is provided to users.

ここで、アクセス制限の状態としては、印刷,外部記憶媒体への書出し,削除,リネイム(変更),上書き保存,FTPサーバへのアップロードなど全種類のアクセスを実行可能な状態と、全種類のアクセスを実行不能な状態との2段階を設定しておき、セキュリティレベル「低」が設定された場合には全種類のアクセスを実行可能な状態に切り替える一方、セキュリティレベル「高」が設定された場合には全種類のアクセスを実行不能な状態に切り替えるようにしてもよい。また、アクセス制限の状態として、全種類のアクセスを実行可能な状態から全種類のアクセスを実行不能な状態までの間に複数段階の状態を設定しておき、セキュリティレベル「低」から「高」までの各レベルに対応させて段階的に切り替えるようにしてもよい。   Here, the access restriction status includes all types of access, such as printing, writing to an external storage medium, deletion, rename (change), overwriting, uploading to an FTP server, and all types of access. If the security level “Low” is set and the security level “Low” is set, all types of access are switched to the executable state, while the security level “High” is set. For example, all types of access may be switched to an inexecutable state. In addition, as a state of access restriction, multiple levels are set from a state where all types of access can be performed to a state where all types of access cannot be performed, and the security level is set from low to high. You may make it change in steps corresponding to each level.

また、上記項目(1)〜(5)の基準毎にセキュリティレベルの設定(アクセス制限の設定)を行なっているが、各基準を満たしている度合いを数値化し、その数値の合計値に基づいて、上記項目(1)〜(5)の基準を満たしているかを総合的に判断してセキュリティレベルを設定するようにしてもよい。   In addition, the security level is set (access restriction is set) for each of the criteria of the above items (1) to (5). The degree of satisfying each criteria is digitized and based on the total value of the numeric values. The security level may be set by comprehensively determining whether the criteria of the items (1) to (5) are satisfied.

〔1−4〕本実施形態のファイルアクセス管理サーバとしての機能構成
図5は本実施形態の個人情報管理サーバ(管理サーバ)20にそなえられたファイルアクセス管理サーバとしての機能構成を示すブロック図である。なお、本実施形態では、ファイルアクセス管理サーバとしての機能を個人情報管理サーバ20にそなえているが、その機能を、ネットワーク30を介して各利用者端末10と通信可能に接続された、個人情報管理サーバ20とは別体のサーバによって実現するように構成してもよい。
[1-4] Functional Configuration as File Access Management Server of This Embodiment FIG. 5 is a block diagram showing a functional configuration as a file access management server provided in the personal information management server (management server) 20 of this embodiment. is there. In the present embodiment, the personal information management server 20 has a function as a file access management server. However, the personal information is connected to each user terminal 10 through the network 30 so as to be able to communicate with the personal information. The management server 20 may be configured to be realized by a separate server.

図5に示すように、個人情報管理サーバ20のファイルアクセス管理サーバとしての機能は、例えば、各利用者端末10で暗号化手段15により暗号化されたファイルや、各利用者端末10の登録手段15により登録されるファイルや、個人情報ファイル(Pマークのランクが“P4”の個人情報ファイル)を管理対象としている。ここでは、Pマークのランクが“P4”の個人情報ファイルを管理対象としているが、Pマークのランクに関係なく、探査手段11によって個人情報ファイルであると判定された全ての電子ファイルをファイルアクセス管理サーバの管理対象としてもよい。   As shown in FIG. 5, the function of the personal information management server 20 as a file access management server is, for example, a file encrypted by the encryption unit 15 in each user terminal 10 or a registration unit of each user terminal 10. 15 and personal information files (personal information files with a P mark rank of “P4”) are managed. Here, the personal information file whose P mark rank is “P4” is managed, but all electronic files that are determined to be personal information files by the exploration means 11 are accessed regardless of the P mark rank. It may be a management target of the management server.

CPU20aは、後述する手段27a〜27d,28,29としての機能を果たすもので、これらの機能は、CPU20aが、ファイルアクセス管理サーバ用のプログラムを実行することによって実現される。また、データベース20bは、上述した各種情報のほかに、後述するごとく、個人情報ファイルを暗号化するための暗号鍵や、暗号化された個人情報ファイルを復号化するための復号鍵や、暗号化された個人情報ファイルに対するアクセス権限(後述)や、予め登録されている利用者〔暗号化ファイルの閲覧を許可された登録者(社員)〕のユーザID/パスワードなどを保存する。   The CPU 20a functions as means 27a to 27d, 28, and 29 described later, and these functions are realized by the CPU 20a executing a file access management server program. In addition to the above-described various information, the database 20b includes an encryption key for encrypting a personal information file, a decryption key for decrypting an encrypted personal information file, Access authority (to be described later) for the registered personal information file, a user ID / password of a registered user [registrant (employee) permitted to view the encrypted file), and the like are stored.

送受信手段27は、上述した機能のほかに、後述するファイル受信手段27a,暗号化ファイル送信手段27b,認証情報受信手段27cおよび復号鍵送信手段27dとしての機能を果たす。また、本実施形態の送受信手段27は、各利用者端末10からの要求に応じて、暗号化手段15での暗号化処理に用いられる所定の暗号鍵を、ネットワーク30を通じて各利用者端末10に送信する機能も果たすようになっている。   In addition to the functions described above, the transmission / reception means 27 functions as a file reception means 27a, an encrypted file transmission means 27b, an authentication information reception means 27c, and a decryption key transmission means 27d described later. Further, the transmission / reception means 27 of the present embodiment sends a predetermined encryption key used for the encryption processing in the encryption means 15 to each user terminal 10 through the network 30 in response to a request from each user terminal 10. The function to transmit is also fulfilled.

ファイル受信手段27aは、各利用者端末10からネットワーク30経由で登録対象のファイル(登録手段15によって登録されるファイル)を受信するものである。
暗号化手段28は、ファイル受信手段27aによって個人情報管理サーバ20から受信した登録対象(管理対象)のファイルや、Pマークのランクが“P4”の個人情報ファイルを改竄操作の困難なPDFファイル等の完成文書ファイルに変換し、さらに、そのPDFファイルを、所定の暗号鍵を用いて暗号化するものである。PDFファイルへの変換は例えばPDFドライバによって実現され、このPDFドライバを起動することにより、個人情報ファイルがPDF化され、完成文書ファイルとしてのPDFファイルが生成されるようになっている。
The file receiving unit 27a receives a file to be registered (file registered by the registering unit 15) from each user terminal 10 via the network 30.
The encryption means 28 is a file to be registered (managed object) received from the personal information management server 20 by the file receiving means 27a, a personal information file with a P mark rank of "P4", a PDF file that is difficult to tamper with, etc. And the PDF file is encrypted using a predetermined encryption key. Conversion to a PDF file is realized by, for example, a PDF driver. By starting the PDF driver, the personal information file is converted to PDF and a PDF file as a completed document file is generated.

暗号化ファイル送信手段27bは、暗号化手段28によって暗号化(鍵掛け)されたファイル(以下、暗号化ファイルという)を、ネットワーク30経由で利用者端末10に送信するものである。
なお、ファイルアクセス管理サーバとしての機能による管理に際しては、上述のような暗号化手段28による暗号化時に、ポリシー設定によって、各暗号化ファイルに対する各種アクセス権限(閲覧,印刷,コピー等の権限)が利用者毎や暗号化ファイル毎に設定される。その際、システム運用を簡易化すべく1種類のポリシを設定し、そのポリシ設定によって、全ての暗号化ファイルに対する各利用者端末10でのアクセス権限〔例えば、本システム1を導入している社内の全社員/全利用者(ファイルアクセス管理サーバとしての機能に予め登録されている全登録者)のアクセス権限〕として、閲覧権限のみを自動的(強制的)に設定・付与し、閲覧以外のアクセス、例えば印刷,コピー,別名保存,画面キャプチャ(スクリーンショット)などのアクセスを一切行なえないようにしてもよい。
The encrypted file transmission unit 27 b transmits a file encrypted (keyed) by the encryption unit 28 (hereinafter referred to as an encrypted file) to the user terminal 10 via the network 30.
In the management by the function as the file access management server, various access authorities (permissions such as browsing, printing, copying, etc.) for each encrypted file are set according to policy settings when encryption is performed by the encryption unit 28 as described above. Set for each user and each encrypted file. At that time, one type of policy is set in order to simplify the system operation, and the access right at each user terminal 10 for all encrypted files is set by the policy setting [for example, in-house where the present system 1 is installed. Access rights for all employees / all users (all registrants registered in the file access management server function in advance) are automatically set (granted) only viewing rights, and access other than browsing For example, access such as printing, copying, alias saving, and screen capture (screen shot) may not be performed.

認証情報受信手段27cは、利用者端末10での暗号化ファイルに対するアクセス時に利用者端末10からネットワーク30経由で送信されてくる認証情報を受信するものである。ここで、認証情報は、暗号化ファイルを開こうとしている利用者端末10の利用者がその暗号化ファイルの正当な送信先(利用者/登録者)であることをファイルアクセス管理サーバ20で判定・認証するために必要な情報であり、ファイルアクセス管理サーバ20によるサービスの利用者についてこのファイルアクセス管理サーバ20(データベース20b)に予め登録されたユーザIDおよびパスワードを含んでいる。これらのユーザIDおよびパスワードは、暗号化ファイルを開く際に利用者がキーボードやマウスを操作することにより入力される。   The authentication information receiving unit 27c receives authentication information transmitted from the user terminal 10 via the network 30 when the user terminal 10 accesses the encrypted file. Here, the authentication information is determined by the file access management server 20 that the user of the user terminal 10 trying to open the encrypted file is a valid transmission destination (user / registrant) of the encrypted file. Information necessary for authentication, and includes a user ID and password registered in advance in the file access management server 20 (database 20b) for the user of the service by the file access management server 20. These user ID and password are input by the user operating the keyboard and mouse when opening the encrypted file.

判定手段29は、認証情報受信手段27cによって受信された認証情報に基づいて、認証情報を送信した利用者端末10が暗号化ファイルの正当な送信先であるか否かを判定するもので、実際には、利用者によって入力されたユーザIDおよびパスワードが、ファイルアクセス管理サーバ20のデータベース20bに予め登録・保存されているユーザIDおよびパスワードと一致するか否かを判定することにより、その利用者が正当な登録者であるか否かを判定・認証するものである。   The determination unit 29 determines whether or not the user terminal 10 that transmitted the authentication information is a valid transmission destination of the encrypted file based on the authentication information received by the authentication information reception unit 27c. The user ID and password input by the user are determined by determining whether or not the user ID and password registered and stored in the database 20b of the file access management server 20 in advance match the user ID and password. Is to determine and authenticate whether or not is a valid registrant.

復号鍵送信手段27dは、判定手段29によって利用者が正当な登録者であることが認証された場合に、暗号化ファイルを復号化するための復号鍵をデータベース20bから読み出して利用者端末10にネットワーク30経由で送信するものである。
そして、利用者端末10においては、ファイルアクセス管理サーバ20から復号鍵を受信すると、その復号鍵を用いて暗号化ファイルの復号化を行ない元の個人情報ファイルを復元し、復元された個人情報ファイルに対し、与えられたアクセス権限に応じたアクセス(例えば閲覧)が行なわれるようになる。
The decryption key transmission unit 27d reads out the decryption key for decrypting the encrypted file from the database 20b and sends it to the user terminal 10 when the determination unit 29 authenticates that the user is a valid registrant. It is transmitted via the network 30.
Upon receiving the decryption key from the file access management server 20, the user terminal 10 decrypts the encrypted file using the decryption key, restores the original personal information file, and restores the restored personal information file. On the other hand, access (for example, browsing) according to the given access authority is performed.

〔2〕本実施形態の個人情報管理システムの動作
次に、図6〜図19を参照しながら、上述のごとく構成された本実施形態の個人情報管理システム1の動作について説明する。
〔2−1〕利用者端末の動作
本システム1においては、個人情報管理サーバ20により、ネットワーク30に接続された利用者端末10に上記利用者端末用プログラムがインストールされているか否かが認識され、インストールされていない場合、その利用者端末10に上記利用者端末用プログラムがインストールされる。
[2] Operation of Personal Information Management System of the Present Embodiment Next, the operation of the personal information management system 1 of the present embodiment configured as described above will be described with reference to FIGS.
[2-1] Operation of User Terminal In this system 1, the personal information management server 20 recognizes whether or not the user terminal program is installed in the user terminal 10 connected to the network 30. If not installed, the user terminal program is installed in the user terminal 10.

そして、上記利用者端末用プログラムをインストールされた利用者端末10では、その利用者端末用プログラムを実行することにより、以下のような処理が行なわれる。図6に示すフローチャート(ステップS11〜S17)に従って、本実施形態の利用者端末10の動作について説明する。   In the user terminal 10 in which the user terminal program is installed, the following process is performed by executing the user terminal program. The operation of the user terminal 10 of the present embodiment will be described according to the flowchart (steps S11 to S17) shown in FIG.

利用者端末10においては、探査手段11による個人情報ファイルの探査タイミングになったか否か(ステップS11)、個人情報ファイルに対するアクセスが有ったか否か(ステップS11のNOルートからステップS14)、アクセスログの送信タイミングになったか否か(ステップS14のNOルートからステップS16)が、常時、監視されている。   In the user terminal 10, whether or not the exploration means 11 has reached the exploration timing of the personal information file (step S 11), whether or not there has been access to the personal information file (from the NO route in step S 11 to step S 14), access Whether or not the log transmission timing has come (from the NO route in step S14 to step S16) is constantly monitored.

上記利用者端末用プログラムプログラムを個人情報管理サーバ20からインストールしたこと、あるいは、利用者端末10の起動時、あるいは、所定の探査周期が経過したことなどを、探査手段11による個人情報ファイルの探査タイミングとして検知すると(ステップS11のYESルート)、探査手段11としての機能が起動され、この探査手段11により、記憶部10bにおけるデータの中から個人情報ファイルが特定され探査される(ステップS12;その詳細な探査手順については図7を参照しながら後述)。   Searching of the personal information file by the search means 11 indicates that the user terminal program program has been installed from the personal information management server 20, or that the user terminal 10 has been started, or that a predetermined search cycle has passed. When the timing is detected (YES route in step S11), the function as the exploration means 11 is activated, and the exploration means 11 identifies and searches for the personal information file from the data in the storage unit 10b (step S12; The detailed exploration procedure will be described later with reference to FIG.

そして、探査手段11によって探査された個人情報ファイル毎に、判定結果(判定値/系数値)やPマークが、そのファイルを特定するための情報(例えばファイル名など)とともに、送受信手段13およびネットワーク30を通じて個人情報管理サーバ20に探査結果として送信される(ステップS13)。   Then, for each personal information file searched by the search means 11, the determination result (determination value / system value) and P mark together with information for specifying the file (for example, file name) and the transmission / reception means 13 and the network 30 is sent to the personal information management server 20 as a search result (step S13).

また、利用者端末10において、探査手段11によって探査された個人情報ファイルに対するアクセスがアクセス検知手段12によって検知されると(ステップS14のYESルート)、そのアクセス内容が、ファイル毎にアクセスログとして例えば記憶部10bに記録・保存される(ステップS15)。なお、アクセス検知手段12が検知対象とする個人情報ファイルは、自端末の記憶部10bに保有されるものだけでなく、他端末/サーバに保有されるものも含んでいるものとする。   In the user terminal 10, when access to the personal information file searched by the searching unit 11 is detected by the access detecting unit 12 (YES route in step S14), the access content is stored as an access log for each file. It is recorded and saved in the storage unit 10b (step S15). It is assumed that the personal information file to be detected by the access detection unit 12 includes not only those stored in the storage unit 10b of the terminal itself but also those stored in other terminals / servers.

さらに、アクセス検知手段12によるアクセス検知時、もしくは、所定のアクセスログ送信周期、もしくは、個人情報管理サーバ20(収集手段23)からのアクセスログの送信要求時などを、アクセスログの送信タイミングとして検知すると(ステップS16のYESルート)、アクセス検知手段12により検知された直後のアクセスログ、もしくは、それまでに記憶部10bに記録・蓄積されたアクセスログが、送受信手段13およびネットワーク30を通じて個人情報管理サーバ20に送信・通知される(ステップS17)。   Further, when the access is detected by the access detection unit 12, or when a predetermined access log transmission cycle or when an access log transmission is requested from the personal information management server 20 (collection unit 23), it is detected as an access log transmission timing. Then (YES route of step S16), the access log immediately after being detected by the access detecting means 12, or the access log recorded / accumulated in the storage unit 10b until then is managed through the transmitting / receiving means 13 and the network 30. It is transmitted / notified to the server 20 (step S17).

なお、利用者端末10において暗号化手段15としての機能が設定されている場合、メールに添付されてもしくは外部記憶媒体40に書き出されて外部へ送出されるファイルは、暗号化手段15としての機能によって、コンテナ機能を有するPDFファイルに変換され、そのコンテナ機能を用いて当該PDFファイルに当該ファイルのオリジナルファイルが格納されてから、そのPDFファイルは、ファイルアクセス管理サーバ20によって管理される所定の暗号鍵で暗号化され、暗号化ファイルが作成される。このとき、当該暗号化ファイルにアクセスする利用者について、当該暗号化ファイルに対するアクセス権限(例えば閲覧権限)も、暗号化手段15からファイルアクセス管理サーバ20に対して自動的に設定される。   When the function as the encryption unit 15 is set in the user terminal 10, the file attached to the mail or written to the external storage medium 40 and sent to the outside is stored as the encryption unit 15. The PDF file is converted into a PDF file having a container function by the function, the original file of the file is stored in the PDF file using the container function, and then the PDF file is stored in a predetermined file managed by the file access management server 20. It is encrypted with the encryption key and an encrypted file is created. At this time, for the user who accesses the encrypted file, the access authority (for example, viewing authority) for the encrypted file is automatically set from the encryption unit 15 to the file access management server 20.

また、利用者端末10において登録手段15としての機能が設定されている場合、メールに添付されてもしくは外部記憶媒体40に書き出されて外部へ送出されるファイルは、登録手段15としての機能によって、個人情報管理サーバ20におけるファイルアクセス管理サーバとしての機能の管理下に置くべく、サーバ20に登録される。登録時には、登録手段15から送受信手段13およびネットワーク30を介して、そのファイルがサーバ20に送信されるとともに、登録処理に応じて、図10を参照しながら後述する手順で作成された暗号化ファイルがサーバ20から受信される。   Further, when the function as the registration unit 15 is set in the user terminal 10, the file attached to the mail or written to the external storage medium 40 and sent to the outside depends on the function as the registration unit 15. The personal information management server 20 is registered in the server 20 to be managed under the function of the file access management server. At the time of registration, the file is transmitted from the registration unit 15 to the server 20 via the transmission / reception unit 13 and the network 30, and an encrypted file created by a procedure described later with reference to FIG. Is received from the server 20.

〔2−2〕探査手段の動作
本実施形態の探査手段11では、以下のように、電話番号,電子メールアドレス,住所および氏名の出現頻度をそれぞれ数値化し、個人情報ファイルの判定(特定・探査)を行なっている。その際、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれている場合、その文字区間は、個人情報要素(本実施形態では氏名)には該当しないものと見なされて除外される一方、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれていない場合、その文字区間は、個人情報をなす個人情報要素に該当するものと見なされて、つまり個人情報要素が出現したものと見なされ、出現回数のカウントアップを行なっている。
[2-2] Operation of exploration means In the exploration means 11 of this embodiment, the appearance frequency of a telephone number, an e-mail address, an address, and a name is quantified as follows to determine the personal information file (specific / exploration) ). At that time, when the character section cut out by the cutting means 112 includes an inappropriate character / unsuitable character string preset as a character / character string that cannot appear in the personal information, the character section is As a character / character string that cannot be seen in the personal information in advance in the character section cut out by the cutting means 112, it is excluded because it is regarded as not corresponding to the personal information element (name in this embodiment). If the specified inappropriate character / inappropriate character string is not included, the character section is regarded as corresponding to the personal information element constituting the personal information, that is, the personal information element appears. , Count up the number of appearances.

本実施形態の利用者端末10において、上述した探査手段11(利用者端末用プログラム)によって実行される、個人情報ファイルの探査動作の手順を、図7に示すフローチャート(ステップS102〜S118)に従って説明する。
まず、利用者端末10の全てのデータの中から、まだ判定対象となっていないファイルが判定対象ファイルとして一つ選択されて読み出され(ステップS102)、その判定対象ファイルから抽出手段(テキスト抽出エンジン)111によりテキストデータが抽出される(ステップS103)。
In the user terminal 10 of the present embodiment, the procedure of the personal information file search operation executed by the search unit 11 (user terminal program) described above will be described according to the flowchart (steps S102 to S118) shown in FIG. To do.
First, a file that is not yet a determination target is selected and read out from all data of the user terminal 10 as a determination target file (step S102), and extraction means (text extraction) is selected from the determination target file. Text data is extracted by the engine 111 (step S103).

このように抽出されたテキストからは、切出手段112により、上述した区切り文字で区切られる文字区間が切り出され、判定対象/照合対象としてバッファ(図示略)に順次書き出される(ステップS104)。文字区間の切り出しに際し、前述したように、切出手段112により、文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。   From the text extracted in this way, the character section delimited by the delimiter described above is extracted by the extraction means 112 and sequentially written in a buffer (not shown) as a determination target / collation target (step S104). When cutting out a character section, as described above, the cutting means 112 removes symbols other than alphanumeric characters, katakana, hiragana, kanji characters, such as hyphens, underbars, and parenthesis symbols, from the character section. .

そして、切出手段112によって切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当するか否かを、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cによって順次判定する(ステップS105,S107,S109)。   Whether or not the character string (hereinafter simply referred to as a character string) in the character section from which the symbol character has been removed by the cutting means 112 corresponds to any one of a telephone number, an e-mail address, and an address. Are sequentially determined by the telephone number determination means 113a, the e-mail address determination means 113b, and the address determination means 113c (steps S105, S107, S109).

最初に、電話番号判定手段113aにより、上記文字列が電話番号に該当するか否かが判定される(ステップS105)。その際、上記文字列が検疫テーブル10cに設定されている電話番号判定条件を満たしていれば、つまり上記文字列中に9〜15桁の数字が含まれていれば、上記文字列が電話番号に該当するものと判定され(ステップS105のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、電話番号の出現回数に対応する計数値が1だけカウントアップされ(ステップS106)、ステップS114の処理へ移行する。   First, the telephone number determination unit 113a determines whether or not the character string corresponds to a telephone number (step S105). At that time, if the character string satisfies the telephone number determination condition set in the quarantine table 10c, that is, if the character string includes 9 to 15 digits, the character string is converted to the telephone number. (YES route in step S105), the fact is notified to the second determination means 116, and the second determination means 116 increments the count value corresponding to the number of appearances of the telephone number by one. (Step S106), the process proceeds to Step S114.

上記文字列が電話番号に該当しないと判定された場合(ステップS105のNOルート)、電子メールアドレス判定手段113bにより、上記文字列が電話メールアドレスに該当するか否かが判定される(ステップS107)。その際、上記文字列が検疫テーブル10cに設定されている電子メールアドレス判定条件を満たしていれば、つまり上記文字列中に「一文字以上のASCII」+「@」+「一文字以上のASCII」+「.」+「一文字以上のASCII」となる文字列が含まれていれば、上記文字列が電子メールアドレスに該当するものと判定され(ステップS107のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、電子メールアドレスの出現回数に対応する計数値が1だけカウントアップされ(ステップS108)、ステップS114の処理へ移行する。   If it is determined that the character string does not correspond to a telephone number (NO route of step S105), the e-mail address determination means 113b determines whether or not the character string corresponds to a telephone mail address (step S107). ). At that time, if the character string satisfies the e-mail address determination condition set in the quarantine table 10c, that is, “one or more ASCII” + “@” + “one or more ASCII” + If the character string “.” + “ASCII of one or more characters” is included, it is determined that the character string corresponds to the e-mail address (YES route in step S107), and that is the second determination means. 116, the second determination means 116 increments the count value corresponding to the number of appearances of the e-mail address by 1 (step S108), and the process proceeds to step S114.

上記文字列が電子メールアドレスに該当しないと判定された場合(ステップS107のNOルート)、住所判定手段113cにより、上記文字列が住所(居所)に該当するか否かが判定される(ステップS109)。その際、上記文字列が検疫テーブル10cに設定されている住所判定条件を満たしていれば、つまり上記文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていれば、上記文字列が住所に該当するものと判定され(ステップS109のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、住所(居所)の出現回数に対応する計数値が1だけカウントアップされ(ステップS110)、ステップS114の処理へ移行する。   When it is determined that the character string does not correspond to an e-mail address (NO route in step S107), the address determination unit 113c determines whether the character string corresponds to an address (location) (step S109). ). At that time, if the character string satisfies the address determination condition set in the quarantine table 10c, that is, “one or more double-byte characters” + “city” or “city” or “county” + If a character string that is “one or more double-byte characters” is included, it is determined that the character string corresponds to an address (YES route of step S109), and that is notified to the second determination means 116, In this second determination means 116, the count value corresponding to the number of appearances of the address (residence) is incremented by 1 (step S110), and the process proceeds to step S114.

上記文字列が住所に該当しないと判定された場合(ステップS109のNOルート)、つまり第1判定手段113によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合、文字判定手段114により、その文字列が、検疫テーブル10cに設定されている文字判定条件(文字数が1以上6以下であり全ての文字が漢字であること)を満たすか否かが判定される(ステップS111)。この文字判定条件を満たさない場合(ステップS111のNOルート)、ステップS114の処理へ移行する。   When it is determined that the character string does not correspond to an address (NO route in step S109), that is, the first determination unit 113 determines that the character string does not correspond to any of a telephone number, an e-mail address, and an address. If the character determination unit 114 determines that the character string satisfies the character determination condition (the number of characters is 1 or more and 6 or less and all characters are kanji characters) set in the quarantine table 10c. Determination is made (step S111). When this character determination condition is not satisfied (NO route in step S111), the process proceeds to step S114.

一方、この文字判定条件を満たす場合(ステップS111のYESルート)、照合手段115により、当該文字区間(上記文字列)に含まれる文字/文字列と検疫テーブル10cに設定されている氏名についての不適切文字/不適切文字列とが照合され、当該文字区間に不適切文字/不適切文字列が含まれるか否かが判定される(ステップS112)。当該文字区間に、一つでも不適切文字/不適切文字列と一致する文字/文字列が存在した場合(ステップS112のYESルート)には、その時点不適切文字/不適切文字列との照合処理を直ちに終了し、ステップS114の処理へ移行する。   On the other hand, if this character determination condition is satisfied (YES route in step S111), the collation means 115 determines whether or not there is a character / character string included in the character section (the character string) and the name set in the quarantine table 10c. The appropriate character / inappropriate character string is collated, and it is determined whether or not the character section includes an inappropriate character / inappropriate character string (step S112). If there is at least one character / character string that matches the inappropriate character / inappropriate character string in the character section (YES route in step S112), matching with the inappropriate character / inappropriate character string at that time The process is immediately terminated, and the process proceeds to step S114.

また、当該文字区間に不適切文字/不適切文字列が含まれていない場合(ステップS112のNOルート)、その照合判定結果が第2判定手段116に通知され、この第2判定手段116において、当該文字区間が氏名に該当するものと見なされ、氏名の出現回数に対応する計数値が1だけカウントアップされ(ステップS113)、ステップS114の処理へ移行する。   If the character section does not include an inappropriate character / unsuitable character string (NO route in step S112), the result of the collation determination is notified to the second determination means 116. In the second determination means 116, The character section is considered to correspond to the name, and the count value corresponding to the number of appearances of the name is incremented by 1 (step S113), and the process proceeds to step S114.

ステップS114では、判定対象ファイルから抽出されたテキストデータから未だ切り出されていない文字区間の有無が判定され、有る場合(YESルート)には、ステップS104に戻り、上述と同様の処理(ステップS104〜S113)を繰り返し実行する。このようにして全ての文字区間がテキストデータから切り出され全ての文字区間に対する判定処理,照合処理,計数処理等を終了すると(ステップS114のNOルート)、第2判定手段116において、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数値に基づいて、上述した判定値が算出される(ステップS115)。   In step S114, it is determined whether or not there is a character section that has not yet been extracted from the text data extracted from the determination target file. If there is a character segment (YES route), the process returns to step S104, and the same processing as described above (steps S104 to S104). S113) is repeatedly executed. In this way, when all character sections are cut out from the text data and the determination processing, collation processing, counting processing, etc. for all character sections are completed (NO route in step S114), the second determination means 116 uses the telephone number, electronic Based on the count values for each of the mail address, address, and name, the above-described determination value is calculated (step S115).

そして、第2判定手段116においては、ステップS115で算出された判定値に基づいて、上述したように、判定対象ファイルが個人情報ファイルであるか否かが判定されるとともに、Pマークのランク付け(本実施形態では“P1”〜“P4”の4つ)が行なわれる(ステップS116)。   Then, the second determination means 116 determines whether or not the determination target file is a personal information file based on the determination value calculated in step S115, and ranks the P mark. (In the present embodiment, four of "P1" to "P4") are performed (step S116).

この後、利用者端末10における全ての電子ファイルについて個人情報の探査を行なったか否かを判定し(ステップS117)、まだ未探査の電子ファイルが存在する場合(ステップS117のNOルート)、ステップS102に戻り上述と同様の処理を実行する一方、全ての電子ファイルについて探査を完了した場合(ステップS117のYESルート)、ステップS116での個人情報ファイルの判定結果やPマークのランク付けの結果は探査結果として出力される(ステップS118)。このようなステップS118の処理完了後、個人情報ファイルの探査動作を終了する。   Thereafter, it is determined whether or not the personal information has been searched for all the electronic files in the user terminal 10 (step S117). If there is still an unsearched electronic file (NO route of step S117), step S102 is performed. Returning to the above, the same processing as described above is executed, but when the search is completed for all the electronic files (YES route in step S117), the determination result of the personal information file and the ranking result of the P mark in step S116 are the search results. The result is output (step S118). After completing the process in step S118, the personal information file search operation is terminated.

〔2−3〕個人情報管理サーバの動作
次に、本実施形態の個人情報管理サーバ20の動作について図8〜図19を参照しながら説明する。
まず、図8に示すフローチャート(ステップS201〜S215)に従って、本実施形態の個人情報管理サーバ20の主たる動作について説明する。
[2-3] Operation of Personal Information Management Server Next, the operation of the personal information management server 20 of this embodiment will be described with reference to FIGS.
First, the main operation of the personal information management server 20 of the present embodiment will be described with reference to the flowchart shown in FIG. 8 (steps S201 to S215).

個人情報管理サーバ20においては、利用者情報収集手段21による収集タイミングになったか否か(ステップS201)、各利用者端末10から探査手段11による探査結果を受信したか否か(ステップS201のNOルートからステップS206)、アクセスログの収集タイミングになったか否か(ステップS206のNOルートからステップS210)が、常時、監視されている。   In the personal information management server 20, whether or not the collection timing by the user information collection means 21 has come (step S201), and whether or not the search result by the search means 11 has been received from each user terminal 10 (NO in step S201). Whether the access log collection timing comes from the route (step S206) or not (step S210 to NO in step S206) is constantly monitored.

本システム1の立ち上げ時、あるいは、利用者端末10がネットワーク30に接続されたことを検知した時や、所定の収集周期が経過したことなどを、利用者情報収集手段21による収集タイミングとして検知すると(ステップS201のYESルート)、各利用者端末10の利用者情報(ホスト情報)が利用者情報収集手段21によって収集されるとともに、各利用者端末10におけるプログラム(例えば、上記利用者端末用プログラムのほか、利用者端末10を外部記憶媒体用ドライバ14や暗号化手段/登録手段15として機能させるプログラム)のインストール状況が利用者情報収集手段21によって収集される(ステップS202)。収集されたインストール状況(各プログラムの有無)は、各利用者端末10に対応付けられてデータベース20bに登録・保存される。   When the system 1 is started up, when it is detected that the user terminal 10 is connected to the network 30, or when a predetermined collection period has elapsed, it is detected as a collection timing by the user information collection means 21. Then (YES route of step S201), the user information (host information) of each user terminal 10 is collected by the user information collecting means 21, and the program (for example, for the above-described user terminal) in each user terminal 10 is collected. In addition to the program, the installation status of the user terminal 10 that functions as the external storage medium driver 14 and the encryption unit / registration unit 15 is collected by the user information collection unit 21 (step S202). The collected installation status (presence / absence of each program) is registered / saved in the database 20b in association with each user terminal 10.

上記利用者端末用プログラムをインストールされていない利用者端末10が存在する場合(ステップS203のYESルート)、インストール手段22によって、送受信手段27およびネットワーク30を介してその利用者端末10に上記利用者端末用プログラムがインストールされ、上記利用者端末用プログラムを当該利用者端末10に実行させて当該利用者端末10の記憶部10bにおける管理対象ファイルを探査させる(ステップS204)。   When there is a user terminal 10 in which the user terminal program is not installed (YES route in step S203), the installation means 22 sends the user terminal 10 to the user terminal 10 via the transmission / reception means 27 and the network 30. The terminal program is installed, and the user terminal 10 is made to execute the user terminal program to search for a management target file in the storage unit 10b of the user terminal 10 (step S204).

このように上記利用者端末用プログラムを利用者端末10にインストールした後、もしくは、上記利用者端末用プログラムをインストールされていない利用者端末10が存在しない場合(ステップS203のNOルート)、各利用者端末10における外部記憶媒体用ドライバ14のインストール状況や暗号化手段/登録手段15の設定状況、つまり、利用者端末10を外部記憶媒体用ドライバ14や暗号化手段/登録手段15として機能させるプログラムの有無に応じて、各利用者端末10についてのセキュリティレベルが、管理手段25によって設定される(ステップS205)。   After installing the user terminal program in the user terminal 10 as described above, or when there is no user terminal 10 in which the user terminal program is not installed (NO route in step S203), each use Installation status of the external storage medium driver 14 in the user terminal 10 and the setting status of the encryption means / registration means 15, that is, a program that causes the user terminal 10 to function as the external storage medium driver 14 and encryption means / registration means 15. The security level for each user terminal 10 is set by the management means 25 in accordance with the presence or absence of (step S205).

このとき、管理手段25は、上述した項目(3)に記載されたセキュリティレベル設定基準に従って、暗号化手段/登録手段15としての機能を設定されていない利用者端末10についてはセキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、暗号化機能を設定されている利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和し、さらに、上述した項目(4)に記載されたセキュリティレベル設定基準に従って、外部記憶媒体用ドライバ14をインストールしている利用者端末10についてはセキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、外部記憶媒体用ドライバ14をインストールしていない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。   At this time, the management unit 25 sets a high security level for the user terminal 10 for which the function as the encryption unit / registration unit 15 is not set according to the security level setting standard described in the item (3) described above. While restricting access restrictions on files, the user terminal 10 with the encryption function set has a low security level to release or relax access restrictions on files. For the user terminal 10 in which the external storage medium driver 14 is installed in accordance with the security level setting standard described in (1)), the security level is set high to tighten access restrictions on files, while the external storage medium driver User terminal 1 in which 14 is not installed For releasing or relaxing the access restrictions for files by setting lower security level.

また、各利用者端末10から探査手段11による探査結果を受信した場合(ステップS206のYESルート)、その探査結果(個人情報ファイルのファイル名やリンク先情報,判定値,Pマークなど)は、収集手段23によって各利用者端末10に対応付けられてデータベース20bに登録・保存される(ステップS207)。また、収集手段23によって、その探査結果に基づいて各利用者端末10における個人情報ファイルが把握され、把握された個人情報ファイルが、収集手段23によるアクセスログ収集対象として登録される(ステップS208)。   Further, when a search result by the search means 11 is received from each user terminal 10 (YES route in step S206), the search result (file name, link destination information, determination value, P mark, etc. of the personal information file) The collecting unit 23 registers and saves the data in the database 20b in association with each user terminal 10 (step S207). Further, the collecting means 23 grasps the personal information file in each user terminal 10 based on the search result, and the grasped personal information file is registered as an access log collection target by the collecting means 23 (step S208). .

この後、各利用者端末10からの個人情報ファイルの探査結果に応じて、各利用者端末10についてのセキュリティレベルが、管理手段25によって設定される(ステップS209)。このとき、管理手段25は、上述した項目(2)に記載されたセキュリティレベル設定基準に従って、記憶部10bに個人情報ファイルを保有している利用者端末10についてはセキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、記憶部10bに個人情報ファイルを保有していない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。   Thereafter, according to the search result of the personal information file from each user terminal 10, the security level for each user terminal 10 is set by the management means 25 (step S209). At this time, in accordance with the security level setting criteria described in the item (2) described above, the management unit 25 sets a high security level for the user terminal 10 that has the personal information file in the storage unit 10b and sets the file. On the other hand, for the user terminal 10 that does not have the personal information file in the storage unit 10b, the security level is set low to cancel or relax the access restriction on the file.

さらに、各利用者端末10の能動的なアクセスログ通知、もしくは、個人情報管理サーバ20(収集手段23)からのアクセスログの送信要求時などを、アクセスログの収集タイミングとして検知すると(ステップS210のYESルート)、収集手段23によって各利用者端末10からアクセスログ(アクセス検知手段12によって記録された個人情報ファイルに対するアクセスログや、閲覧禁止サイトに対するアクセスログ)が収集され(ステップS211)、収集されたアクセスログ(個人情報ファイルのファイル名,PC名,所有者名,アクセス種別,アクセス回数,閲覧禁止サイトへのアクセス回数)は、収集手段23によって各利用者端末10/個人情報ファイルに対応付けられてデータベース20bに登録・保存される(ステップS212)。   Further, when an active access log notification of each user terminal 10 or an access log transmission request from the personal information management server 20 (collection means 23) is detected as an access log collection timing (in step S210) YES route), an access log (an access log for the personal information file recorded by the access detection unit 12 and an access log for a browsing-inhibited site) is collected from each user terminal 10 by the collection unit 23 (step S211). The access log (file name of personal information file, PC name, owner name, access type, number of times of access, number of times of access to browsing prohibited site) is associated with each user terminal 10 / personal information file by collection means 23. Registered and stored in the database 20b (step Flop S212).

そして、管理手段25によって、各利用者端末10による探査結果と、収集手段23によって収集・記録されたアクセスログと、利用者情報収集手段21によって収集・記録された調査結果(利用者端末10を外部記憶媒体用ドライバ14として機能させるプログラムの有無に関する情報)とに基づいて、各利用者端末10を管理すべく、各個人情報ファイルに対するアクセス状況に関する公開情報や、外部記憶媒体用ドライバ14をインストールされた利用者端末10に関する公開情報が作成され(ステップS213)、作成された公開情報が、表示制御部26を介して表示部20c上で表示されたり、ネットワーク30を介し全ての利用者端末10に対して公開されたり、ネットワーク30を介してメール等で全ての利用者端末10に対して通知されたりする(ステップS214)。   Then, the search result by each user terminal 10 by the management means 25, the access log collected and recorded by the collection means 23, and the investigation result collected and recorded by the user information collection means 21 (the user terminal 10 Based on the presence / absence of a program that functions as the external storage medium driver 14), the public information regarding the access status to each personal information file and the external storage medium driver 14 are installed to manage each user terminal 10. The public information regarding the created user terminal 10 is created (step S213), and the created public information is displayed on the display unit 20c via the display control unit 26, or all the user terminals 10 via the network 30. To all user terminals 10 via the network 30 by e-mail or the like. Or it is notified Te (step S214).

また、収集手段23によって収集・記録されたアクセスログ(閲覧禁止ログに対するアクセスログも含む)に応じて、各利用者端末10についてのセキュリティレベルが、管理手段25によって設定される(ステップS215)。このとき、管理手段25は、上述した項目(1)に記載されたセキュリティレベル設定基準に従って、個人情報ファイルにかかわる処理/操作(自端末10/他端末/サーバにおける個人情報ファイルに対する何らかのアクセス)を実行した利用者端末10についてはセキュリティレベルを高く設定し、ファイル(個人情報ファイルのみならず通常のファイルも含む)に対するアクセス制限を厳格化する一方、個人情報ファイルにかかわる処理/操作を所定期間にわたり一切実行していない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和し、さらに、上述した項目(5)に記載されたセキュリティレベル設定基準に従って、閲覧禁止サイトへのアクセスを行なっている利用者端末10についてはセキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、閲覧禁止際とへのアクセスを行なっていない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。   Further, the security level for each user terminal 10 is set by the management unit 25 in accordance with the access log collected and recorded by the collection unit 23 (including the access log for the browsing prohibition log) (step S215). At this time, the management means 25 performs processing / operation related to the personal information file (some access to the personal information file in the own terminal 10 / other terminals / servers) in accordance with the security level setting criteria described in the item (1) described above. For the executed user terminal 10, the security level is set high to tighten access restrictions on files (including not only personal information files but also ordinary files), while processing / operations related to personal information files are performed over a predetermined period. For the user terminal 10 that has not been executed at all, the security level is set low to release or relax the access restriction on the file, and further, according to the security level setting criteria described in the item (5) above, to the browsing prohibited site Users who are accessing For the terminal 10, the security level is set high to tighten the access restriction on the file, while for the user terminal 10 that does not access when the browsing is prohibited, the security level is set low to restrict the access to the file. Release or relax.

〔2−4〕公開情報の具体例
ここで、ステップS213で作成されステップS214で公開される公開情報の具体例について、図12〜図19を参照しながら説明する。なお、図12〜図19は、いずれも管理手段25によって作成され公開される公開情報(利用者端末10や管理サーバ20のディスプレイに表示される画面やリスト)の具体例を示す図である。
[2-4] Specific Example of Public Information A specific example of public information created in step S213 and disclosed in step S214 will be described with reference to FIGS. 12 to 19 are diagrams showing specific examples of public information (screens and lists displayed on the display of the user terminal 10 and the management server 20) created and released by the management unit 25.

図12には、月毎に集計された個人情報ファイル数および個人情報保有数を棒グラフとしてディスプレイに表示する画面101と、この画面101から「件数」(ここでは「1000件〜100000件」)でドリルダウンされてディスプレイに表示されるリスト102と、画面101から「月」でドリルダウンされてディスプレイに表示される画面(部署毎の棒グラフ表示)103と、さらに、この画面103から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト104とが示されている。リスト102,104では、個人情報ファイル毎に、そのファイル名と、その個人情報ファイルに含まれる個人情報件数(例えば個人情報要素の数)と、その個人情報ファイルを保有する利用者端末10の所有者名と、その利用者端末10のPC名と、その利用者端末10の属する部署名や職務とが表示されている。   FIG. 12 shows a screen 101 for displaying the number of personal information files and the number of personal information possessed by the month as a bar graph on the display, and “number of cases” (here, “1000 to 100,000”) from this screen 101. A list 102 that is drilled down and displayed on the display, a screen (bar graph display for each department) 103 that is drilled down on the display from the screen 101 and displayed on the display, and a department name from this screen 103 A list 104 that is drilled down (here “Sales Department”) and displayed on the display is shown. In the lists 102 and 104, for each personal information file, the file name, the number of personal information included in the personal information file (for example, the number of personal information elements), and the possession of the user terminal 10 that owns the personal information file. The user name, the PC name of the user terminal 10, and the department name and job to which the user terminal 10 belongs are displayed.

図13には、部署毎/アクセス種別毎に集計された個人情報ファイルに対するアクセス数(個人情報アクセス記録)を棒グラフとしてディスプレイに表示する画面105と、この画面105から、「部署名」および「アクセス種別」でドリルダウンされてディスプレイに表示されるリスト106,107とが示されている。リスト106は「営業部」および「ファイル保存」でドリルダウン表示されるものであり、リスト107は「営業部」および「USB」でドリルダウン表示されるものであり、これらのリスト106,107では、アクセスを行なった利用者端末10の所有者名毎に、その利用者端末10のPC名と、アクセス日時と、アクセスを行なった個人情報ファイルのファイル名と、ドキュメントパス/ドキュメント操作/プリンタ名/FTPサーバ/FTPコマンド等とが表示されている。なお、図中、アクセス種別「FTP」はFTPサーバとの間のアップロード/ダウンロード、「USB」は外部記憶媒体(USBメモリ)へのアクセス、「変更」はリネーム、「保存」はファイルの上書き保存のことである。このようなリスト106,107により、個人情報流出につながる可能性のある個人情報ファイルへのアクセスを記録し把握することができる。   FIG. 13 shows a screen 105 for displaying the number of accesses to the personal information file (personal information access records) aggregated for each department / access type on the display as a bar graph, and from this screen 105, “Department name” and “Access Lists 106 and 107 drilled down by “type” and displayed on the display are shown. The list 106 is drilled down for “Sales Department” and “Save File”, and the list 107 is drilled down for “Sales Department” and “USB”. In these lists 106 and 107, For each owner name of the accessing user terminal 10, the PC name of the user terminal 10, the access date and time, the file name of the accessed personal information file, the document path / document operation / printer name / FTP server / FTP command and the like are displayed. In the figure, the access type “FTP” is upload / download to / from the FTP server, “USB” is access to the external storage medium (USB memory), “change” is rename, and “save” is file overwriting save. That is. With such lists 106 and 107, it is possible to record and grasp access to personal information files that may lead to personal information leakage.

図14は、図13に示した画面105を簡略化した例を示すもので、この図14には、部署毎に集計された個人情報ファイルに対するアクセス数(個人情報アクセス記録)を棒グラフとしてディスプレイに表示する画面108と、この画面108から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト109とが示されている。リスト109では、選択された部署における利用者端末10の所有者名毎に、その利用者端末10のPC名と、アクセス日時と、アクセスを行なった個人情報ファイルのファイル名と、ドキュメントパスおよび操作内容とが表示されている。このようなリスト109により、個人情報流出の可能性のあるユーザ操作を把握することができる。   FIG. 14 shows a simplified example of the screen 105 shown in FIG. 13. In FIG. 14, the number of accesses to the personal information file (personal information access records) aggregated for each department is displayed on a display as a bar graph. A screen 108 to be displayed and a list 109 that is drilled down from the screen 108 with a “department name” (here “sales department”) and displayed on the display are shown. In the list 109, for each owner name of the user terminal 10 in the selected department, the PC name of the user terminal 10, the access date and time, the file name of the accessed personal information file, the document path, and the operation The contents are displayed. Such a list 109 makes it possible to grasp user operations that may cause personal information leakage.

図15には、部署毎に集計された、個人情報ファイルを保有し且つ大容量記憶デバイス(外部記憶媒体用ドライバ14)をインストール済みの対象PC数を棒グラフとしてディスプレイに表示する画面110と、この画面110から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト111とが示されている。リスト111では、アクセスを行なった利用者端末10の所有者名毎に、その利用者端末10のPC名と、その利用者端末10が保有する個人情報ファイルのファイル名,ドキュメントパスおよび操作内容とが表示されている。このようなリスト111により、個人情報流出の可能性のあるユーザ操作を把握することができる。   FIG. 15 shows a screen 110 for displaying on a display the number of target PCs that have a personal information file and installed a large-capacity storage device (external storage medium driver 14) as a bar graph. A list 111 that is drilled down from the screen 110 with “Department name” (here “Sales Department”) and displayed on the display is shown. In the list 111, for each owner name of the user terminal 10 that has accessed, the PC name of the user terminal 10, the file name of the personal information file held by the user terminal 10, the document path, and the operation contents Is displayed. With such a list 111, it is possible to grasp user operations that may leak personal information.

図16には、部署毎に集計された、個人情報ファイルの外部メディア(外部記憶媒体40)への書出し回数を棒グラフとしてディスプレイに表示する画面112と、この画面112から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト113とが示されている。リスト113では、選択された部署における利用者端末10の所有者名毎に、その利用者端末10のPC名と、書出し日時と、その書出し対象となった個人情報ファイルのファイル名,ドキュメントパスおよび操作内容とが表示されている。このようなリスト113により、個人情報流出の可能性のあるユーザ操作を把握することができる。   FIG. 16 shows a screen 112 for displaying the number of times the personal information file is written to the external medium (external storage medium 40), which is aggregated for each department, on the display as a bar graph. A list 113 that is drilled down by "Sales Department") and displayed on the display is shown. In the list 113, for each owner name of the user terminal 10 in the selected department, the PC name of the user terminal 10, the date and time of writing, the file name of the personal information file to be written, the document path, and Operation details are displayed. With such a list 113, it is possible to grasp user operations that may cause personal information leakage.

図17には、部署毎に集計された、個人情報ファイルのFTP転送回数を棒グラフとしてディスプレイに表示する画面114と、この画面114から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト115とが示されている。リスト115では、選択された部署における利用者端末10の所有者名毎に、その利用者端末10のPC名と、FTP転送日時と、その転送対象となった個人情報ファイルのファイル名,FTPサーバ名およびFTPコマンドとが表示されている。このようなリスト115により、個人情報流出の可能性のあるユーザ操作を把握することができる。   FIG. 17 shows a screen 114 displaying the number of FTP transfers of the personal information file aggregated for each department on the display as a bar graph, and drilled down from this screen 114 with “Department name” (here “Sales Department”). A list 115 displayed on the display is shown. In the list 115, for each owner name of the user terminal 10 in the selected department, the PC name of the user terminal 10, the FTP transfer date and time, the file name of the personal information file to be transferred, the FTP server Name and FTP command are displayed. With such a list 115, it is possible to grasp user operations that may cause personal information leakage.

図18には、部署毎に集計された、個人情報ファイルのリネーム回数を棒グラフとしてディスプレイに表示する画面116と、この画面116から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト117とが示されている。リスト117では、選択された部署における利用者端末10の所有者名毎に、その利用者端末10のPC名と、リネーム日時と、そのリネーム対象となった個人情報ファイルのファイル名およびドキュメントパスとが表示されている。このようなリスト117により、個人情報流出の可能性のあるユーザ操作を把握することができる。   FIG. 18 shows a screen 116 that displays the number of renames of the personal information file as a bar graph on the display, and is drilled down from this screen 116 with “Department name” (here “Sales Department”). A list 117 displayed on the display is shown. In the list 117, for each owner name of the user terminal 10 in the selected department, the PC name of the user terminal 10, the renaming date and time, the file name and document path of the personal information file to be renamed, Is displayed. With such a list 117, it is possible to grasp user operations that may leak personal information.

図19には、禁止閲覧サイト毎に集計されたアクセス回数を棒グラフとしてディスプレイに表示する画面118と、この画面118から「サイト名」(ここでは「ファイル便」)でドリルダウンされてディスプレイに表示されるリスト119とが示されている。リスト119では、選択されたサイトにアクセスした利用者端末10の所有者名毎に、その利用者端末10のPC名と、アクセス時間とが表示されている。このようなリスト119により、閲覧禁止サイトへのアクセスを監視することができる。   In FIG. 19, a screen 118 that displays the number of accesses counted for each prohibited browsing site as a bar graph on the display, and drilled down from this screen 118 with “site name” (here “file service”) is displayed on the display. A list 119 to be played is shown. In the list 119, for each owner name of the user terminal 10 that has accessed the selected site, the PC name of the user terminal 10 and the access time are displayed. With such a list 119, access to the browsing prohibited site can be monitored.

〔2−5〕Pマークに基づく個人情報管理サーバの管理動作
次に、探査手段11による探査結果として得られたPマークに基づく個人情報管理サーバ20(管理手段25)の管理動作について、図9に示すフローチャート(ステップS20〜S29)に従って説明する。
[2-5] Management Operation of Personal Information Management Server Based on P Mark Next, the management operation of the personal information management server 20 (management unit 25) based on the P mark obtained as a search result by the search unit 11 will be described with reference to FIG. It demonstrates according to the flowchart (step S20-S29) shown.

管理手段25では、データベース20bにおける個人情報ファイルの判定結果(Pマークテーブル)を参照し、個人情報ファイル(Pマークを付与されたファイル)の有無を判定する(ステップS20)。個人情報ファイルが存在する場合(ステップS21のYESルート)、個人情報ファイルの探査結果〔ここではPマークレベル(ランク)〕に応じて、管理手段25により、各個人情報ファイルに対する管理・操作が以下のように行なわれる(ステップS21〜S29)。   The management means 25 refers to the determination result (P mark table) of the personal information file in the database 20b, and determines the presence or absence of the personal information file (file to which the P mark is assigned) (step S20). If a personal information file exists (YES route in step S21), management / operation for each personal information file is performed by the management means 25 according to the search result of the personal information file [here, P mark level (rank)]. (Steps S21 to S29).

まず、Pマークレベル“P1”の個人情報ファイルの有無が判定され(ステップS21)、Pマークレベル“P1”の個人情報ファイルがある場合(ステップS21のYESルート)、その個人情報ファイルをアクセス監視対象(アクセスログの記録対象)として設定・登録する(ステップS22)。なお、ステップS22の処理は、図8のステップS208と同一の処理と重複するので、ステップS21およびS22は省略してもよい。   First, it is determined whether or not there is a personal information file of P mark level “P1” (step S21). If there is a personal information file of P mark level “P1” (YES route of step S21), the personal information file is monitored for access. It is set and registered as a target (access log recording target) (step S22). In addition, since the process of step S22 overlaps with the process same as step S208 of FIG. 8, you may abbreviate | omit step S21 and S22.

Pマークレベル“P1”の個人情報ファイルがない場合(ステップS21のNOルート)、もしくは、ステップS22での登録後、Pマークレベル“P2”の個人情報ファイルの有無が判定され(ステップS23)、Pマークレベル“P2”の個人情報ファイルがある場合(ステップS23のYESルート)、その個人情報ファイルをアクセス監視対象として設定・登録するとともに、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報が通知される(ステップS24)。   When there is no personal information file of P mark level “P1” (NO route of step S21), or after registration in step S22, it is determined whether or not there is a personal information file of P mark level “P2” (step S23). If there is a personal information file of the P mark level “P2” (YES route in step S23), the personal information file is set and registered as an access monitoring target, and the user of the personal information file is cautioned Attention information by pop-up display is notified (step S24).

Pマークレベル“P2”の個人情報ファイルがない場合(ステップS23のNOルート)、もしくは、ステップS24での注意情報通知後、Pマークレベル“P3”の個人情報ファイルの有無が判定され(ステップS25)、Pマークレベル“P3”の個人情報ファイルがある場合(ステップS25のYESルート)、その個人情報ファイルをアクセス監視対象として設定・登録するとともに、その個人情報ファイルを保管している利用者が存在する旨が、システム管理者に対し警告情報としてメール等により通知されるとともに、その個人情報ファイルの返却が利用者に指示される(ステップS26)。   When there is no personal information file of P mark level “P2” (NO route of step S23), or after the notice information is notified in step S24, it is determined whether or not there is a personal information file of P mark level “P3” (step S25). ), If there is a personal information file of P mark level “P3” (YES route of step S25), the personal information file is set and registered as an access monitoring target, and the user who stores the personal information file is The fact that it exists is notified to the system administrator by e-mail or the like as warning information, and the user is instructed to return the personal information file (step S26).

Pマークレベル“P3”の個人情報ファイルがない場合(ステップS25のNOルート)、もしくは、ステップS26で警報情報通知および返却指示を行なった後、Pマークレベル“P4”の個人情報ファイルの有無が判定され(ステップS27)、Pマークレベル“P4”の個人情報ファイルがある場合(ステップS27のYESルート)、その個人情報ファイルがクライアント端末10から強制的に捕獲・回収され(ステップS28)、さらに、その個人情報ファイルをファイルアクセス管理サーバ20の管理下に置き、その個人情報ファイルに対するアクセスをファイルアクセス管理サーバ20に管理させる(ステップS29)。Pマークレベル“P4”の個人情報ファイルがない場合(ステップS27のNOルート)、もしくは、ステップS29での処理終了後、管理動作を終了する。   If there is no personal information file of P mark level “P3” (NO route of step S25), or whether or not there is a personal information file of P mark level “P4” after issuing alarm information notification and return instruction in step S26 If there is a personal information file of P mark level “P4” (YES route of step S27), the personal information file is forcibly captured and collected from the client terminal 10 (step S28). The personal information file is placed under the management of the file access management server 20, and the file access management server 20 manages the access to the personal information file (step S29). When there is no personal information file of the P mark level “P4” (NO route in step S27), or after the processing in step S29 is completed, the management operation is terminated.

なお、前述した通り、Pマークレベル“P4”の個人情報ファイルについては、その個人情報ファイルが利用者端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したりしてもよい。また、Pマークレベル“P3”の個人情報ファイルが所定日数放置された場合、Pマークレベル“P4”の個人情報ファイルと同様の処置を実行してもよい。さらに、Pマークレベル“P1”〜“P4”の個人情報ファイルの全てをファイルアクセス管理サーバ20の管理下に置くようにしてもよい。   As described above, with respect to the personal information file of the P mark level “P4”, the personal information file is forcibly prohibited from being output from the user terminal 10 to the outside, or the personal information file is only for the administrator. May be stored in an accessible folder. Further, when a personal information file having a P mark level “P3” is left for a predetermined number of days, the same processing as that for a personal information file having a P mark level “P4” may be executed. Furthermore, all of the personal information files of the P mark levels “P1” to “P4” may be placed under the management of the file access management server 20.

〔2−6〕ファイルアクセス管理サーバの動作
次に、図10および図11を参照しながら、ファイルアクセス管理サーバ20の動作について説明する。
まず、図10に示すフローチャート(ステップS31〜S34)に従って、本実施形態のファイルアクセス管理サーバ20によるファイル変換動作を説明する。
[2-6] Operation of File Access Management Server Next, the operation of the file access management server 20 will be described with reference to FIGS. 10 and 11.
First, the file conversion operation by the file access management server 20 of this embodiment will be described with reference to the flowchart shown in FIG. 10 (steps S31 to S34).

ファイルアクセス管理サーバ20において、管理対象のファイルが、ファイルアクセス管理サーバ20による管理対象として登録されるべく各利用者端末10からネットワーク30経由で個人情報ファイル受信手段27aにより受信されると(ステップS31のYESルート)、そのファイルが、暗号化手段28により、PDFファイルに変換され(ステップS32)、さらに、所定の暗号鍵を用いて暗号化処理(鍵掛け処理)が行なわれる(ステップS33)。そして、暗号化ファイルは、暗号化ファイル送信手段27bによりネットワーク30経由で利用者端末10に送信される(ステップS34)。   In the file access management server 20, when a file to be managed is received by the personal information file receiving means 27a from each user terminal 10 via the network 30 so as to be registered as a management target by the file access management server 20 (step S31). The YES route) is converted into a PDF file by the encryption means 28 (step S32), and further, encryption processing (keying processing) is performed using a predetermined encryption key (step S33). Then, the encrypted file is transmitted to the user terminal 10 via the network 30 by the encrypted file transmission unit 27b (step S34).

ついで、図11に示すフローチャート(ステップS41〜S45)に従って、本実施形態のファイルアクセス管理サーバ20による認証動作について説明する。
利用者端末10の利用者が、暗号化ファイルの内容を閲覧しようとする場合、その利用者によって認証情報が入力されファイルアクセス管理サーバ20へ送信される。そして、その認証情報がネットワーク30経由で認証情報受信手段27cにより受信されると(ステップS41のYESルート)、判定手段29は、認証情報に含まれるユーザIDによってデータベース20bを検索し、そのユーザIDに対応する登録パスワードをデータベース20bから読み出し、認証情報に含まれるパスワードと、データベース20bから読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定(利用者認証;ステップS42)を行なう。
Next, an authentication operation performed by the file access management server 20 according to the present embodiment will be described with reference to the flowchart shown in FIG. 11 (steps S41 to S45).
When the user of the user terminal 10 tries to view the contents of the encrypted file, authentication information is input by the user and transmitted to the file access management server 20. When the authentication information is received by the authentication information receiving unit 27c via the network 30 (YES route in step S41), the determination unit 29 searches the database 20b with the user ID included in the authentication information, and the user ID Is read from the database 20b, the password included in the authentication information is compared with the registered password read from the database 20b, and a determination is made as to whether these passwords match (user authentication; step S42) is performed.

これらのパスワードが一致し、利用者端末10の利用者が正当な登録者(正当な送信先)であることが認証されると(ステップS43のYESルート)、復号鍵送信手段27dにより、暗号化ファイルを復号化するための復号鍵がデータベース20bから読み出され、その利用者端末10にネットワーク30経由で送信される(ステップS44)。   When these passwords match and it is authenticated that the user of the user terminal 10 is a legitimate registrant (legitimate transmission destination) (YES route in step S43), the decryption key transmission means 27d performs encryption. A decryption key for decrypting the file is read from the database 20b and transmitted to the user terminal 10 via the network 30 (step S44).

そして、利用者端末10において、復号鍵が受信されると、その復号鍵を用いて暗号化ファイルが復号化されて元のファイルが復元され、そのファイルに対し、予め与えられたアクセス権限に応じたアクセスが実行される。例えば、前述したようにアクセス権限として閲覧権限のみが与えられている場合、利用者は、復元されたファイルの内容を閲覧することはできるが、閲覧以外のアクセス、例えばプリンタによる印刷出力や他の記録媒体へのコピーや画面コピー(画面キャプチャ)や別名保存などのアクセスは一切行なうことができない。   Then, when the decryption key is received at the user terminal 10, the encrypted file is decrypted using the decryption key, the original file is restored, and the file is subjected to access authority given in advance. Access is performed. For example, as described above, when only the browsing authority is given as the access authority, the user can browse the contents of the restored file, but the access other than the browsing, for example, the print output by the printer or other Access to a recording medium, copy of a screen (screen capture), and saving as another name cannot be performed at all.

一方、ファイルアクセス管理サーバ20の判定手段29によりパスワードが不一致であると判定された場合、もしくは、ユーザIDに対応する登録パスワードがデータベース20bに登録されていなかった場合には、利用者が正当な登録者(正当な送信先)ではないと判定され(ステップS43のNOルート)、ファイルアクセス管理サーバ20から利用者端末10にネットワーク30経由でエラー通知が行なわれる(ステップS45)。   On the other hand, if the determination unit 29 of the file access management server 20 determines that the passwords do not match, or if the registered password corresponding to the user ID is not registered in the database 20b, the user is valid. It is determined that the user is not a registrant (authorized transmission destination) (NO route in step S43), and an error notification is sent from the file access management server 20 to the user terminal 10 via the network 30 (step S45).

〔3〕本実施形態の個人情報管理システムの効果
このように本発明の一実施形態としての管理システム1や管理サーバ20によれば、各利用者端末10において個人情報ファイルが探査され、管理サーバ20(管理手段25)によってその探査の結果や管理対象ファイルに対するアクセスログに基づいて利用者端末10が管理される。これにより、個人情報が複数の利用者端末10に分散して保存されていても、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、個人情報ファイルの状態を管理することができ、個人情報の不用意な流出・漏洩や不正利用などを確実に防止することができる。
[3] Effects of the personal information management system of the present embodiment As described above, according to the management system 1 and the management server 20 as an embodiment of the present invention, the personal information file is searched for in each user terminal 10, and the management server The user terminal 10 is managed by 20 (management means 25) based on the search result and the access log for the management target file. Thereby, even if personal information is distributed and stored in a plurality of user terminals 10, the state of the personal information file is managed without obtaining human cooperation and without applying a special load to the person in charge. It is possible to reliably prevent inadvertent leakage / leakage or unauthorized use of personal information.

このとき、例えば図12〜図19に示したように、個人情報象ファイルに対するアクセス状況(例えば、個人情報ファイルのファイル名,PC名,所有者名,個人情報ファイルの数の集計結果,個人情報ファイルに対するアクセスの回数の集計結果など)が公開されることで、利用者が、自発的に、個人情報ファイルに対するアクセスを行なわなくなるような環境が提供されることになり、個人情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。   At this time, as shown in FIGS. 12 to 19, for example, the access status to the personal information file (for example, the personal information file name, PC name, owner name, total number of personal information files, personal information) (Such as the results of counting the number of accesses to the file) will be open to provide an environment in which the user will not voluntarily access the personal information file. Outflow / leakage and unauthorized use can be more reliably prevented.

また、外部記憶媒体用ドライバ14をインストールされた利用者端末10に関する情報(例えば、その利用者端末のPC名,その利用者端末の所有者名,個人情報ファイルのファイル名,その個人情報ファイルの書出し回数など)が公開されることで、利用者が、自発的に、外部記憶媒体用ドライバ14をインストールしなくなるようになったり、インストールしていてもそのドライバ14を用いて個人情報ファイルの書出しを行なわなくなるような環境が提供されることになり、個人情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。   Information about the user terminal 10 in which the external storage medium driver 14 is installed (for example, the PC name of the user terminal, the owner name of the user terminal, the file name of the personal information file, the name of the personal information file) (Such as the number of times of writing) is released, so that the user will not voluntarily install the external storage medium driver 14, or even if it is installed, the personal information file is written using the driver 14. An environment in which personal information is no longer used is provided, and it is possible to more reliably prevent inadvertent outflow / leakage or unauthorized use of personal information.

さらに、個人情報ファイルの不用意な流出・漏洩や不正利用などが発生する可能性の高い利用者端末10(例えば、個人情報ファイルにかかわる処理/操作を実行した利用者端末10,記憶部10bに個人情報ファイルを保有している利用者端末10,暗号化手段/登録手段15としての機能を設定されていない利用者端末10,外部記憶媒体用ドライバ14をインストールしている利用者端末10など)についてはセキュリティレベルを高く設定してアクセス制限を厳格化する一方でその可能性の低い利用者端末についてはセキュリティレベルを低く設定してアクセス制限を解除もしくは緩和することによって、上記可能性の低い場合には利用者端末10を効率よく使用できる環境が提供されることになるので、利用者は、自発的に、自分の端末10を上記可能性の低い状態に移行させるようになり、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。   Further, the user terminal 10 (for example, the user terminal 10 that has executed the processing / operation related to the personal information file or the storage unit 10b that is likely to cause an inadvertent leakage / leakage or unauthorized use of the personal information file) A user terminal 10 that has a personal information file, a user terminal 10 that is not set to function as an encryption unit / registration unit 15, a user terminal 10 that has an external storage medium driver 14 installed, and the like) If the above possibility is low by setting a high security level to tighten access restrictions while setting a low security level for user terminals that are not likely to do so, or releasing or relaxing access restrictions Will provide an environment in which the user terminal 10 can be used efficiently. The terminal 10 would be shifting to a low state of the above possibilities, such as inadvertent outflow, loss and unauthorized use of personal information and confidential information can be more reliably prevented.

特に、本実施形態では、上記項目(1)〜(5)に記載された基準に従ったセキュリティレベルの設定(ファイルに対するアクセス制限の設定)を管理手段25が行なうことにより、個人情報ファイルの不用意な流出・漏洩や不正利用などが発生する可能性の低い利用者端末10、具体的には、個人情報ファイルに対するアクセスを所定期間にわたり一切行なっておらず、且つ、個人情報ファイルを保有しておらず、且つ、外部送出ファイルを暗号化するための機能を有しており、且つ、外部記憶媒体ドライバ14をインストールしておらず、且つ、閲覧禁止サイトへのアクセスを一切行なっていない利用者端末10に対しては、アクセス制限を解除もしくは緩和して、利用者端末10を効率よく使用できる環境が利用者に提供される。   In particular, in the present embodiment, the management means 25 performs security level setting (setting of access restriction for files) in accordance with the criteria described in the above items (1) to (5). User terminal 10 that is unlikely to have a prepared outflow / leakage or unauthorized use. Specifically, the personal information file has not been accessed for a predetermined period of time, and the personal information file is held. A user who has no function to encrypt an externally sent file, does not have the external storage medium driver 14 installed, and does not access any browsing-prohibited site The terminal 10 is provided with an environment in which the user terminal 10 can be used efficiently by releasing or relaxing access restrictions.

なお、個人情報ファイルの探査を行なう探査手段11およびアクセス検知手段12としての機能をもたない利用者端末10がネットワークに接続されると、個人情報管理サーバ20により、その機能を実現するための利用者端末用プログラムがインストールされ、その機能が自動的に利用者端末10に導入され、さらに、その探査手段11により利用者端末10における個人情報ファイルの有無が判定されるので、新たな利用者端末10がネットワーク30に接続された場合でも、その利用者端末10における個人情報ファイルを確実に探査して洗い出して管理可能な状態に置くことが可能になり、個人情報の不用意な流出・漏洩や、個人情報の不正利用などを確実に防止することができる。   When the user terminal 10 having no function as the search means 11 for searching the personal information file and the access detection means 12 is connected to the network, the personal information management server 20 implements the function. The user terminal program is installed, its functions are automatically introduced into the user terminal 10, and the exploration means 11 determines whether or not there is a personal information file in the user terminal 10, so that a new user Even when the terminal 10 is connected to the network 30, the personal information file in the user terminal 10 can be surely searched, identified, and placed in a manageable state, and personal information is inadvertently leaked or leaked. And unauthorized use of personal information can be reliably prevented.

また、本実施形態では、特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルを管理対象ファイルとし、探査手段11において、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。   Further, in this embodiment, a personal information file having a predetermined number or more of personal information elements that can identify a specific individual is set as a management target file, and any of a telephone number, an e-mail address, and an address in the search means 11 Is not applicable to any personal information, but is not a phone number, e-mail address or address, and inappropriate characters / Character sections that do not contain inappropriate character strings are considered to be related to names.

従って、第1判定手段113で電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についてのみ、照合手段115により不適切文字/不適切文字列との照合処理が行なわれ、さらに、不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探査処理を高速に行なうことが可能になる。   Therefore, for the character section determined to correspond to any one of the telephone number, the e-mail address, and the address by the first determination means 113, the determination process is terminated when the determination is made, and the telephone number, the e-mail Only the character section determined not to correspond to either the address or the address is collated with the inappropriate character / inappropriate character string by the matching means 115, and further, the inappropriate character / inappropriate character string is unified. Since it is possible to terminate the matching process when it is determined that it is included in any one character section, the name matching process is faster than the method of matching with all name strings included in the name list. In other words, the personal information file search process can be performed at high speed.

また、不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まないファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高いファイルを確実に探査することが可能になる。つまり、本実施形態の探査手段11により個人情報ファイルであると判定されるファイルの数が多くなり、個人情報ファイルである可能性の高いファイル(疑わしいファイル)を確実に洗い出すことができる。   In addition, since all character sections that do not contain inappropriate characters / inappropriate character strings are considered to correspond to names, there is a possibility of including files that do not contain inappropriate characters / inappropriate character strings for names, ie, name information. Therefore, it is possible to surely search for a file having a high possibility of being a personal information file. That is, the number of files that are determined to be personal information files by the search means 11 of the present embodiment increases, and files that are highly likely to be personal information files (suspicious files) can be reliably identified.

さらに、文字判定手段114により文字区間の文字数が所定範囲内であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合対象としているので、照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が所定範囲を超える長い文字区間が、照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探査処理のさらなる高速化に寄与することになる。   Further, the character determination means 114 determines whether or not the number of characters in the character section is within a predetermined range and all the characters in the character section are kanji characters, and only character sections that satisfy this character determination condition are targeted for verification. Therefore, the character section to be collated is narrowed down to the character section having a higher possibility of name, so that the name collation accuracy can be improved and the name collation process can be performed at high speed. In addition, since a long character section whose number of characters exceeds the predetermined range is excluded from the object to be collated, it contributes to further speeding up the name collating process, that is, further speeding up the personal information file search process.

そして、個人情報管理サーバ20の管理手段25により、第2判定手段116で得られた計数結果(判定値レベル)に応じて、個人情報ファイルであると判定された電子ファイルの管理を行なうことにより、個人情報ファイル毎に、判定値レベル(個人情報ファイルである可能性の高さ/個人情報要素数の多さ)に応じた管理手法を選択して実行することができるほか、企業内などにおいて多数の端末が存在し個人情報ファイルが分散して保存されていても、これらの個人情報ファイルを一元的に管理することができ、個人情報ファイルを集中管理するシステムを容易に構築して導入することが可能になる。   Then, the management unit 25 of the personal information management server 20 manages the electronic file determined to be a personal information file according to the counting result (determination value level) obtained by the second determination unit 116. For each personal information file, a management method corresponding to the judgment value level (high possibility of being a personal information file / the number of personal information elements) can be selected and executed. Even if a large number of terminals exist and personal information files are distributed and stored, these personal information files can be managed centrally, and a system for centrally managing personal information files is easily constructed and introduced. It becomes possible.

一方、利用者端末10から外部へ送出されるファイルを、利用者端末10もしくはファイルアクセス管理サーバ20において暗号化ファイルに変換することで、外部送出対象のファイルについては暗号化ファイルに変換された上で送出されるので、そのファイルが、万人が参照可能な状態で各端末10から外部へ持ち出されるのを抑止でき、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止することができる。   On the other hand, by converting a file sent to the outside from the user terminal 10 into an encrypted file in the user terminal 10 or the file access management server 20, the file to be externally sent is converted into an encrypted file. So that the file can be prevented from being taken out from each terminal 10 in a state where everyone can refer to it, and personal information and confidential information can be prevented from being inadvertently leaked or leaked or illegally used. Can be prevented.

このとき、暗号化ファイルの正当な利用者については、ファイルアクセス管理サーバ20により正当な利用者であることを認証されれば、ファイルアクセス管理サーバ20から受信した復号鍵で暗号化ファイルを復号し、暗号化ファイルの内容に対するアクセスが可能になるが、その他の利用者は、暗号化ファイルを復号することができず、その内容に対するアクセスを行なうことは不可能になっている。つまり、ファイルは、正当な利用者のみがアクセス可能な暗号化ファイルに変換された上で外部に送出されるので、上述のごとく個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止しながら、正当な利用者のアクセスは可能になるので、正当な利用者についての利便性を損なうことがない。   At this time, if the authorized user of the encrypted file is authenticated by the file access management server 20 as being authorized, the encrypted file is decrypted with the decryption key received from the file access management server 20. The content of the encrypted file can be accessed, but other users cannot decrypt the encrypted file and cannot access the content. In other words, the file is sent to the outside after being converted into an encrypted file that can be accessed only by legitimate users. As described above, inadvertent leakage / leakage of personal information or confidential information, unauthorized use, etc. Access to a legitimate user is possible while ensuring prevention, so the convenience of the legitimate user is not impaired.

なお、このとき、ファイルのオリジナルは完全文書ファイルに格納されて暗号化されることになるので、そのファイルのオリジナルは、そのままの状態、即ち利用者端末10において万人が参照可能な状態で残ることがないので、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。   At this time, since the original of the file is stored and encrypted in the complete document file, the original of the file remains as it is, that is, in a state where everyone can refer to the user terminal 10. Therefore, it is possible to more reliably prevent inadvertent leakage / leakage and unauthorized use of personal information and confidential information.

〔4〕本実施形態の変形例
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
例えば、上述した実施形態では、管理対象ファイルが個人情報ファイルである場合について説明したが、本発明は、これに限定されるものではなく、個人情報以外の機密情報を含む機密情報ファイルを管理対象ファイルとしてもよい。この場合、機密情報ファイルを判定するための所定条件は、機密情報を含むレコード(機密情報要素)を所定数以上保有していることであり、機密情報要素は、例えば、発表前の新製品,特許出願前の技術,経営戦略などで使用される文字列である。なお、このような機密情報ファイルについても、個人情報ファイルと同様にして、探査手段11によって探査することができ、上述した実施形態と同様の作用効果を得ることができる。
[4] Modifications of the Embodiments The present invention is not limited to the above-described embodiments, and various modifications can be made without departing from the spirit of the present invention.
For example, in the above-described embodiment, the case where the management target file is a personal information file has been described. However, the present invention is not limited to this, and a confidential information file including confidential information other than personal information is managed. It may be a file. In this case, the predetermined condition for determining the confidential information file is that a predetermined number or more of records (sensitive information elements) including the confidential information are held, and the confidential information element includes, for example, a new product before the announcement, It is a character string used in technology and management strategy before patent application. Note that such a confidential information file can also be searched by the searching means 11 in the same manner as the personal information file, and the same effect as the above-described embodiment can be obtained.

また、上述した実施形態では、探査手段11としての機能が、利用者端末10にそなえられている場合について説明したが、この機能は、利用者端末10に代えて、利用者端末10と通信可能に接続された個人情報管理サーバ(管理サーバ)20にそなえてもよい。
ただし、この場合、利用者端末10の記憶部10bにおけるファイルが、一旦、個人情報管理サーバ20に吸い上げられ、そのファイルについて、管理サーバ20側の探査手段11としての機能による探査処理が施されることになる。これにより、利用者が、利用者端末10における、メモリ容量や、他プログラムとの相性の問題などの理由で、探査手段11を実現するためのプログラムの非常駐を要望する場合、その要望に対応することができ、利便性が高められる。
In the above-described embodiment, the case where the function as the exploration means 11 is provided in the user terminal 10 has been described. However, this function can communicate with the user terminal 10 instead of the user terminal 10. The personal information management server (management server) 20 connected to may be provided.
However, in this case, the file in the storage unit 10b of the user terminal 10 is once taken up by the personal information management server 20, and the file is subjected to search processing by the function as the search means 11 on the management server 20 side. It will be. Thereby, when the user requests non-resident of the program for realizing the exploration means 11 due to a memory capacity in the user terminal 10 or a problem of compatibility with other programs, it responds to the request. It is possible to improve convenience.

〔5〕その他
上述した探査手段11,アクセス検知手段12,利用者情報収集手段21,インストール手段22,収集手段23および管理手段25としての機能(各手段の全部もしくは一部の機能)は、コンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラム(管理プログラム)を実行することによって実現される。
[5] Others The functions (all or a part of the functions of each means) as the exploration means 11, access detection means 12, user information collection means 21, installation means 22, collection means 23, and management means 25 described above are computers. This is realized by executing a predetermined application program (management program) (including a CPU, an information processing apparatus, and various terminals).

そのプログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体から管理プログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。   The program is, for example, a computer such as a flexible disk, CD (CD-ROM, CD-R, CD-RW, etc.), DVD (DVD-ROM, DVD-RAM, DVD-R, DVD-RW, DVD + R, DVD + RW, etc.). It is provided in a form recorded on a readable recording medium. In this case, the computer reads the management program from the recording medium, transfers it to the internal storage device or the external storage device, stores it, and uses it. Further, the program may be recorded in a storage device (recording medium) such as a magnetic disk, an optical disk, or a magneto-optical disk, and provided from the storage device to a computer via a communication line.

ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたプログラムを読み取るための手段とをそなえている。上記管理プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、探査手段11,アクセス検知手段12,利用者情報収集手段21,インストール手段22,収集手段23および管理手段25としての機能を実現させるプログラムコードを含んでいる。また、その機能の一部は、アプリケーションプログラムではなくOSによって実現されてもよい。   Here, the computer is a concept including hardware and an OS (operating system), and means hardware operating under the control of the OS. Further, when the OS is unnecessary and the hardware is operated by the application program alone, the hardware itself corresponds to the computer. The hardware includes at least a microprocessor such as a CPU and means for reading a program recorded on a recording medium. The application program as the management program is a program that causes the computer as described above to realize the functions as the exploration means 11, the access detection means 12, the user information collection means 21, the installation means 22, the collection means 23, and the management means 25. Contains code. Also, some of the functions may be realized by the OS instead of the application program.

さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROMなどのメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。   Furthermore, as a recording medium in the present embodiment, in addition to the flexible disk, CD, DVD, magnetic disk, optical disk, and magneto-optical disk described above, an IC card, ROM cartridge, magnetic tape, punch card, computer internal storage device (RAM) In addition, various computer-readable media such as an external storage device or a printed matter on which a code such as a barcode is printed can be used.

〔6〕付記
(付記1)
電子ファイルを含むデータを保持する記憶部を有する利用者端末と、
該利用者端末とネットワークを介して相互に通信可能に接続され、該利用者端末における、所定条件を満たす管理対象ファイルを管理する管理サーバとをそなえ、
該利用者端末が、
該記憶部におけるデータの中から前記所定条件を満たす管理対象ファイルを特定して探査する探査手段と、
該ネットワークを介して該探査手段による探査の結果を該管理サーバへ送信する送信手段とをそなえて構成されるとともに、
該管理サーバが、
該利用者端末から送信されてきた前記探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段と、
前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段とをそなえて構成されていることを特徴とする、管理システム。
[6] Appendix (Appendix 1)
A user terminal having a storage unit for holding data including electronic files;
A management server that is communicably connected to the user terminal via a network, and that manages a management target file in the user terminal that satisfies a predetermined condition;
The user terminal is
Exploration means for identifying and exploring a management target file that satisfies the predetermined condition from the data in the storage unit;
A transmission unit configured to transmit a result of the search by the search unit to the management server via the network;
The management server
Log collection means for grasping the management target file in the user terminal based on the search result transmitted from the user terminal, and collecting and recording an access log for the management target file from the user terminal When,
Management means for managing the user terminal based on the result of the search and the access log for the management target file collected and recorded by the log collection means. Management system.

(付記2)
該管理手段が、該利用者端末から送信されてきた前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする、付記1記載の管理システム。
(Appendix 2)
The management means accesses the management target file based on the search result transmitted from the user terminal and the access log for the management target file collected and recorded by the log collection means. The management system according to appendix 1, wherein public information regarding the situation is created and the created public information is made public.

(付記3)
該公開情報として、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とが含まれていることを特徴とする、付記2記載の管理システム。
(付記4)
該公開情報として、該管理対象ファイルの数の集計結果が含まれていることを特徴とする、付記2または付記3に記載の管理システム。
(Appendix 3)
The public information includes a file name of the management target file, information that can specify the user terminal that has accessed the management target file, and information that can specify the owner of the user terminal. The management system according to appendix 2, characterized in that
(Appendix 4)
The management system according to Supplementary Note 2 or Supplementary Note 3, wherein the public information includes a count result of the number of management target files.

(付記5)
該公開情報として、該管理対象ファイルに対するアクセスの数の集計結果が含まれていることを特徴とする、付記2〜付記4のいずれか一項に記載の管理システム。
(付記6)
該管理サーバが、該利用者端末において外部記憶媒体用のドライバがインストールされているか否かを調査する調査手段をさらにそなえて構成され、
該管理手段が、該利用者端末から送信されてきた前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該利用者端末を管理することを特徴とする、付記1〜付記5のいずれか一項に記載の管理システム。
(Appendix 5)
The management system according to any one of appendix 2 to appendix 4, wherein the public information includes a result of counting the number of accesses to the management target file.
(Appendix 6)
The management server is further configured with investigating means for investigating whether or not a driver for an external storage medium is installed in the user terminal;
Based on the result of the search transmitted from the user terminal, the access log for the management target file collected and recorded by the log collection unit, and the result of the investigation by the investigation unit The management system according to any one of appendix 1 to appendix 5, wherein the user terminal is managed.

(付記7)
該管理手段が、該利用者端末から送信されてきた前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該外部記憶媒体用のドライバをインストールされた利用者端末に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする、付記6記載の管理システム。
(Appendix 7)
Based on the result of the search transmitted from the user terminal, the access log for the management target file collected and recorded by the log collection unit, and the result of the investigation by the investigation unit The management system according to appendix 6, wherein public information relating to a user terminal in which the driver for the external storage medium is installed is created, and the created public information is made public.

(付記8)
該公開情報として、該管理対象ファイルを保有するとともに該外部記憶媒体用のドライバをインストールしている利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報と、当該利用者端末において保有されている該管理対象ファイルのファイル名とが含まれていることを特徴とする、付記7記載の管理システム。
(付記9)
該公開情報として、該利用者端末で実行された該外部記憶媒体への該管理対象ファイルの書出し回数が含まれていることを特徴とする、付記8記載の管理システム。
(Appendix 8)
As the public information, information that can identify the user terminal that holds the management target file and installs the driver for the external storage medium, information that can identify the owner of the user terminal, The management system according to appendix 7, wherein the file name of the management target file held in the user terminal is included.
(Appendix 9)
9. The management system according to appendix 8, wherein the public information includes the number of times the management target file has been written to the external storage medium executed by the user terminal.

(付記10)
該管理手段が、該利用者端末から送信されてきた前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末からの該管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更することを特徴とする、付記1〜付記9のいずれか一項に記載の管理システム。
(Appendix 10)
Based on the result of the search transmitted from the user terminal and the access log for the management target file collected and recorded by the log collecting means, the management means receives information from the user terminal. Changing or setting a security level in the user terminal for preventing outflow of the management target file, and changing a restriction on access to the file in the user terminal according to the security level; The management system according to any one of Appendix 1 to Appendix 9.

(付記11)
該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、付記10記載の管理システム。
(Appendix 11)
For the user terminal that has executed the processing / operation related to the management target file, the management means sets the security level high to tighten the restriction on the access to the file, while the processing / operation related to the management target file. 11. The management system according to appendix 10, wherein for a user terminal that has not been executed for a predetermined period of time, the security level is set low to release or relax access restrictions on files.

(付記12)
該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、付記10または付記11に記載の管理システム。
(Appendix 12)
The management means sets a high security level for a user terminal that holds the management target file in the storage unit to tighten access restrictions on the file, while the management unit stores the management target file in the storage unit. 12. The management system according to appendix 10 or appendix 11, wherein for a user terminal that does not have a password, the security level is set low to release or relax access restrictions on files.

(付記13)
該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、付記10〜付記12のいずれか一項に記載の管理システム。
(Appendix 13)
For the user terminal that is not set to an encryption function for automatically encrypting a file to be sent to the outside, the management means sets the security level to be high and tightens restrictions on access to the file, 13. The user terminal having the encryption function set according to any one of appendix 10 to appendix 12, wherein the security level is set low to cancel or relax access restrictions on files. Management system.

(付記14)
該管理サーバが、該探査手段としてコンピュータを機能させるプログラムを該利用者端末にインストールするインストール手段をさらにそなえて構成されるとともに、
該利用者端末における該探査手段としての機能が、該インストール手段によって該利用者端末にインストールされた該プログラムを実行することで実現されることを特徴とする、付記1〜付記13のいずれか一項に記載の管理システム。
(Appendix 14)
The management server is further provided with an installation unit that installs a program that causes a computer to function as the search unit in the user terminal,
Any one of appendix 1 to appendix 13 characterized in that the function as the exploration means in the user terminal is realized by executing the program installed in the user terminal by the installation means. The management system described in the section.

(付記15)
該管理サーバのインストール手段が、該プログラムをインストールされていない利用者端末が該ネットワークに接続されたことを検知すると、当該利用者端末に該プログラムをインストールし、該プログラムを当該利用者端末に実行させて管理対象ファイルの探査を実行させることを特徴とする、付記14記載の管理システム。
(Appendix 15)
When the installation means of the management server detects that a user terminal not installed with the program is connected to the network, the program is installed on the user terminal and the program is executed on the user terminal. 15. The management system according to appendix 14, wherein the management file is searched for.

(付記16)
前記所定条件が、特定の個人を識別可能な個人情報要素を所定数以上保有していることであり、該探査手段が、該記憶部におけるデータの中から前記所定条件を満たす管理対象ファイルつまり個人情報ファイルを特定して探査することを特徴とする、付記1〜付記15のいずれか一項に記載の管理システム。
(Appendix 16)
The predetermined condition is that a predetermined number or more of personal information elements that can identify a specific individual are held, and the search means manages a file to be managed, that is, an individual that satisfies the predetermined condition from the data in the storage unit The management system according to any one of Supplementary Note 1 to Supplementary Note 15, wherein an information file is specified and searched.

(付記17)
該探査手段が、
判定対象ファイルに含まれるテキストデータを抽出する抽出手段と、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段とをそなえて構成されていることを特徴とする、付記16記載の管理システム。
(Appendix 17)
The exploration means is
Extraction means for extracting text data contained in the determination target file;
Cutting out means for cutting out character sections delimited by delimiters from the text data extracted by the extracting unit;
By determining whether or not the character string in the character section cut by the cutting means satisfies any one of the preset telephone number determination condition, e-mail address determination condition, and address determination condition, First determination means for determining whether or not any one of a telephone number, an e-mail address, and an address, which is a personal information element other than a name,
Whether or not the number of characters in the character section determined not to correspond to any of the telephone number, the e-mail address, and the address by the first determination means is within a predetermined range, and whether or not the character in the character section is a Chinese character Character determining means for determining;
A character section that is determined by the character determining means to be within the predetermined range and to be a kanji character is a character or character string included in the character section and a kanji or kanji character string that is not set in advance in the name. Collating means for collating appropriate characters or inappropriate character strings to determine whether the character section includes the inappropriate characters or inappropriate character strings;
The number of character sections determined to correspond to any one of a telephone number, an e-mail address, and an address by the first determination means and the inappropriate character or inappropriate character string is not included by the matching means. The number of character sections determined is counted, and based on the count result, the second determination means for determining whether the determination target file is a personal information file is provided. The management system according to supplementary note 16, wherein the management system is characterized.

(付記18)
利用者端末とネットワークを介して相互に通信可能に接続され、該利用者端末における、所定条件を満たす管理対象ファイルを管理する管理サーバであって、
該利用者端末の記憶部におけるデータの中から探査手段によって探査された、前記所定条件を満たす管理対象ファイルについての探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段と、
該探査手段による探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段とをそなえて構成されていることを特徴とする、管理サーバ。
(Appendix 18)
A management server that is connected to a user terminal via a network so as to be able to communicate with each other, and manages a management target file in the user terminal that satisfies a predetermined condition,
Based on the search result of the management target file that satisfies the predetermined condition, searched by the search means from the data in the storage unit of the user terminal, the management target file in the user terminal is grasped, and the management Log collection means for collecting and recording an access log for the target file from the user terminal;
Management means for managing the user terminal based on the result of the search by the search means and the access log for the management target file collected and recorded by the log collection means. A management server characterized by that.

(付記19)
該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする、付記18記載の管理サーバ。
(Appendix 19)
The management means creates and creates public information on the access status of the management target file based on the result of the search and the access log for the management target file collected and recorded by the log collection means. 19. The management server according to appendix 18, wherein the published information is made public.

(付記20)
該公開情報として、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とが含まれていることを特徴とする、付記19記載の管理サーバ。
(Appendix 20)
The public information includes a file name of the management target file, information that can specify the user terminal that has accessed the management target file, and information that can specify the owner of the user terminal. 20. The management server according to appendix 19, wherein

(付記21)
該公開情報として、該管理対象ファイルの数の集計結果が含まれていることを特徴とする、付記19または付記20に記載の管理サーバ。
(付記22)
該公開情報として、該管理対象ファイルに対するアクセスの数の集計結果が含まれていることを特徴とする、付記19〜付記21のいずれか一項に記載の管理サーバ。
(Appendix 21)
The management server according to appendix 19 or appendix 20, wherein the public information includes a count result of the number of the management target files.
(Appendix 22)
The management server according to any one of appendix 19 to appendix 21, wherein the public information includes a count result of the number of accesses to the management target file.

(付記23)
該利用者端末において外部記憶媒体用のドライバがインストールされているか否かを調査する調査手段をさらにそなえて構成され、
該管理手段が、前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該利用者端末を管理することを特徴とする、付記18〜付記22のいずれか一項に記載の管理サーバ。
(Appendix 23)
The user terminal is further provided with an investigation means for investigating whether or not a driver for an external storage medium is installed;
The management means manages the user terminal based on the access log for the management target file collected and recorded by the log collection means as a result of the search, and the result of the investigation by the investigation means. The management server according to any one of Supplementary Note 18 to Supplementary Note 22, wherein

(付記24)
該管理手段が、前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該外部記憶媒体用のドライバをインストールされた利用者端末に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする、付記23記載の管理サーバ。
(Appendix 24)
The management means is a driver for the external storage medium based on the access log for the management target file collected and recorded by the log collection means as a result of the search, and the investigation result by the investigation means 24. The management server according to appendix 23, wherein public information relating to a user terminal on which is installed is created and the created public information is made public.

(付記25)
該公開情報として、該管理対象ファイルを保有するとともに該外部記憶媒体用のドライバをインストールしている利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報と、当該利用者端末において保有されている該管理対象ファイルのファイル名とが含まれていることを特徴とする、付記24記載の管理サーバ。
(付記26)
該公開情報として、該利用者端末で実行された該外部記憶媒体への該管理対象ファイルの書出し回数が含まれていることを特徴とする、付記25記載の管理サーバ。
(Appendix 25)
As the public information, information that can identify the user terminal that holds the management target file and installs the driver for the external storage medium, information that can identify the owner of the user terminal, 25. The management server according to appendix 24, including a file name of the management target file held in the user terminal.
(Appendix 26)
26. The management server according to appendix 25, wherein the public information includes the number of times the management target file has been written to the external storage medium executed by the user terminal.

(付記27)
該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末からの該管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更することを特徴とする、付記18〜付記26のいずれか一項に記載の管理サーバ。
(Appendix 27)
The management unit prevents outflow of the management target file from the user terminal based on the search result and the access log for the management target file collected and recorded by the log collection unit. Any one of appendix 18 to appendix 26, wherein the security level in the user terminal is changed / set, and the restriction on access to the file in the user terminal is changed according to the security level. The management server according to one item.

(付記28)
該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、付記27記載の管理サーバ。
(Appendix 28)
For the user terminal that has executed the processing / operation related to the management target file, the management means sets the security level high to tighten the restriction on the access to the file, while the processing / operation related to the management target file. 28. The management server according to appendix 27, wherein for a user terminal that has not been executed for a predetermined period of time, the security level is set low to release or relax access restrictions on files.

(付記29)
該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、付記27または付記28に記載の管理サーバ。
(Appendix 29)
The management means sets a high security level for a user terminal that holds the management target file in the storage unit to tighten access restrictions on the file, while the management unit stores the management target file in the storage unit. 29. The management server according to appendix 27 or appendix 28, wherein the security level is set low for a user terminal that does not have a password, and the restriction on access to the file is released or relaxed.

(付記30)
該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、付記27〜付記29のいずれか一項に記載の管理サーバ。
(Appendix 30)
For the user terminal that is not set to an encryption function for automatically encrypting a file to be sent to the outside, the management means sets the security level to be high and tightens restrictions on access to the file, 30. The user terminal according to any one of appendix 27 to appendix 29, wherein for the user terminal set with the encryption function, the security level is set low to release or relax access restrictions on the file. Management server.

(付記31)
該探査手段としてコンピュータを機能させるプログラムを該利用者端末にインストールするインストール手段をさらにそなえて構成されることを特徴とする、付記18〜付記30のいずれか一項に記載の管理サーバ。
(Appendix 31)
31. The management server according to any one of appendix 18 to appendix 30, further comprising installation means for installing a program for causing a computer to function as the exploration means in the user terminal.

(付記32)
該インストール手段が、該プログラムをインストールされていない利用者端末が該ネットワークに接続されたことを検知すると、当該利用者端末に該プログラムをインストールし、該プログラムを当該利用者端末に実行させて管理対象ファイルの有無を判定させることを特徴とする、付記31記載の管理サーバ。
(Appendix 32)
When the installation means detects that a user terminal not installed with the program is connected to the network, the program is installed on the user terminal, and the program is executed on the user terminal for management. The management server according to attachment 31, wherein the presence / absence of the target file is determined.

(付記33)
ネットワークを介して相互に通信可能に接続された利用者端末における、所定条件を満たす管理対象ファイルを管理する管理サーバとして、コンピュータを機能させるプログラムであって、
該利用者端末の記憶部におけるデータの中から探査手段によって探査された、前記所定条件を満たす管理対象ファイルについての探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段、および、
該探査手段による探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段として、該コンピュータを機能させることを特徴とする、管理プログラム。
(Appendix 33)
A program that causes a computer to function as a management server that manages a management target file that satisfies a predetermined condition in user terminals that are connected to be able to communicate with each other via a network,
Based on the search result of the management target file that satisfies the predetermined condition, searched by the search means from the data in the storage unit of the user terminal, the management target file in the user terminal is grasped, and the management Log collection means for collecting and recording an access log for the target file from the user terminal; and
Causing the computer to function as a management unit for managing the user terminal based on a result of the search by the search unit and the access log for the management target file collected and recorded by the log collection unit. A management program characterized by

(付記34)
該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開するように、該コンピュータを機能させることを特徴とする、付記33記載の管理プログラム。
(Appendix 34)
The management means creates and creates public information on the access status of the management target file based on the result of the search and the access log for the management target file collected and recorded by the log collection means. 34. The management program according to appendix 33, wherein the computer is caused to function so as to make the published information public.

(付記35)
該公開情報として、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とが含まれていることを特徴とする、付記34記載の管理プログラム。
(Appendix 35)
The public information includes a file name of the management target file, information that can specify the user terminal that has accessed the management target file, and information that can specify the owner of the user terminal. 34. The management program according to appendix 34, wherein

(付記36)
該公開情報として、該管理対象ファイルの数の集計結果が含まれていることを特徴とする、付記34または付記35に記載の管理プログラム。
(付記37)
該公開情報として、該管理対象ファイルに対するアクセスの数の集計結果が含まれていることを特徴とする、付記34〜付記36のいずれか一項に記載の管理プログラム。
(Appendix 36)
36. The management program according to appendix 34 or appendix 35, wherein the public information includes a count result of the number of files to be managed.
(Appendix 37)
37. The management program according to any one of appendix 34 to appendix 36, wherein the public information includes a count result of the number of accesses to the management target file.

(付記38)
該利用者端末において外部記憶媒体用のドライバがインストールされているか否かを調査する調査手段として、該コンピュータを機能させ、
該管理手段が、前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該利用者端末を管理するように、該コンピュータを機能させることを特徴とする、付記33〜付記37のいずれか一項に記載の管理プログラム。
(Appendix 38)
As an investigation means for investigating whether or not a driver for an external storage medium is installed in the user terminal, the computer is caused to function,
The management means manages the user terminal based on the access log for the management target file collected and recorded by the log collection means as a result of the search, and the result of the investigation by the investigation means. Thus, the management program according to any one of appendix 33 to appendix 37, which causes the computer to function.

(付記39)
該管理手段が、前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該外部記憶媒体用のドライバをインストールされた利用者端末に関する公開情報を作成し、作成された該公開情報を公開するように、該コンピュータを機能させることを特徴とする、付記38記載の管理プログラム。
(Appendix 39)
The management means is a driver for the external storage medium based on the access log for the management target file collected and recorded by the log collection means as a result of the search, and the investigation result by the investigation means 39. The management program according to appendix 38, wherein public information relating to a user terminal on which is installed is created, and the computer is caused to function so as to publish the created public information.

(付記40)
該公開情報として、該管理対象ファイルを保有するとともに該外部記憶媒体用のドライバをインストールしている利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報と、当該利用者端末において保有されている該管理対象ファイルのファイル名とが含まれていることを特徴とする、付記39記載の管理プログラム。
(付記41)
該公開情報として、該利用者端末で実行された該外部記憶媒体への該管理対象ファイルの書出し回数が含まれていることを特徴とする、付記40記載の管理プログラム。
(Appendix 40)
As the public information, information that can identify the user terminal that holds the management target file and installs the driver for the external storage medium, information that can identify the owner of the user terminal, 40. The management program according to appendix 39, including a file name of the management target file held in the user terminal.
(Appendix 41)
41. The management program according to appendix 40, wherein the public information includes the number of times the management target file has been written to the external storage medium executed by the user terminal.

(付記42)
該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末からの該管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更するように、該コンピュータを機能させることを特徴とする、付記33〜付記41のいずれか一項に記載の管理プログラム。
(Appendix 42)
The management unit prevents outflow of the management target file from the user terminal based on the search result and the access log for the management target file collected and recorded by the log collection unit. And changing the security level in the user terminal, and causing the computer to function so as to change restrictions on access to the file in the user terminal according to the security level. 42. The management program according to any one of appendix 33 to appendix 41.

(付記43)
該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和するように、該コンピュータを機能させることを特徴とする、付記42記載の管理プログラム。
(Appendix 43)
For the user terminal that has executed the processing / operation related to the management target file, the management means sets the security level high to tighten the restriction on the access to the file, while the processing / operation related to the management target file. 42. The management according to appendix 42, wherein for a user terminal that has not been executed for a predetermined period of time, the computer is caused to function so as to release or relax restrictions on file access by setting the security level low. program.

(付記44)
該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和するように、該コンピュータを機能させることを特徴とする、付記42または付記43に記載の管理プログラム。
(Appendix 44)
The management means sets a high security level for a user terminal that holds the management target file in the storage unit to tighten access restrictions on the file, while the management unit stores the management target file in the storage unit. 44. The computer according to appendix 42 or appendix 43, wherein the computer is caused to function so as to release or relax restrictions on access to a file by setting the security level low for a user terminal that does not have Management program.

(付記45)
該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和するように、該コンピュータを機能させることを特徴とする、付記42〜付記44のいずれか一項に記載の管理プログラム。
(Appendix 45)
For the user terminal that is not set to an encryption function for automatically encrypting a file to be sent to the outside, the management means sets the security level to be high and tightens restrictions on access to the file, Supplementary notes 42 to Supplementary notes, wherein the user terminal set with the encryption function is caused to function so that the security level is set low and the access restriction on the file is released or relaxed. 45. The management program according to any one of 44.

(付記46)
該探査手段とし該利用者端末を機能させるプログラムを該利用者端末にインストールするインストール手段として、該コンピュータを機能させることを特徴とする、付記33〜付記45のいずれか一項に記載の管理プログラム。
(Appendix 46)
46. The management program according to any one of appendix 33 to appendix 45, wherein the computer is caused to function as an installation means for installing the program for causing the user terminal to function as the exploration means to the user terminal. .

(付記47)
該インストール手段が、該プログラムをインストールされていない利用者端末が該ネットワークに接続されたことを検知すると、当該利用者端末に該プログラムをインストールし、該プログラムを当該利用者端末に実行させて管理対象ファイルの有無を判定させるように、該コンピュータを機能させることを特徴とする、付記46記載の管理プログラム。
(Appendix 47)
When the installation means detects that a user terminal not installed with the program is connected to the network, the program is installed on the user terminal, and the program is executed on the user terminal for management. 47. The management program according to appendix 46, which causes the computer to function so as to determine the presence or absence of a target file.

本発明の一実施形態としての個人情報管理システム(管理システム)の構成を示すブロック図である。It is a block diagram which shows the structure of the personal information management system (management system) as one Embodiment of this invention. 本実施形態の利用者端末の機能構成を示すブロック図である。It is a block diagram which shows the function structure of the user terminal of this embodiment. 本実施形態の利用者端末における探査手段の詳細な機能構成を示すブロック図である。It is a block diagram which shows the detailed functional structure of the search means in the user terminal of this embodiment. 本実施形態の個人情報管理サーバ(管理サーバ)の機能構成を示すブロック図である。It is a block diagram which shows the function structure of the personal information management server (management server) of this embodiment. 本実施形態の個人情報管理サーバ(管理サーバ)にそなえられたファイルアクセス管理サーバとしての機能構成を示すブロック図である。It is a block diagram which shows the function structure as a file access management server with which the personal information management server (management server) of this embodiment was equipped. 本実施形態の利用者端末の動作を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement of the user terminal of this embodiment. 本実施形態の探査手段の動作を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement of the search means of this embodiment. 本実施形態の個人情報管理サーバ(管理サーバ)の動作を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement of the personal information management server (management server) of this embodiment. 本実施形態の個人情報管理サーバ(管理サーバ)の動作を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement of the personal information management server (management server) of this embodiment. 本実施形態の個人情報管理サーバ(管理サーバ)におけるファイルアクセス管理サーバとしての機能による認証動作を説明するためのフローチャートである。It is a flowchart for demonstrating the authentication operation | movement by the function as a file access management server in the personal information management server (management server) of this embodiment. 本実施形態の個人情報管理サーバ(管理サーバ)におけるファイルアクセス管理サーバとしての機能によるファイル変換動作を説明するためのフローチャートである。It is a flowchart for demonstrating the file conversion operation | movement by the function as a file access management server in the personal information management server (management server) of this embodiment. 本実施形態の個人情報管理サーバ(管理サーバ)の管理手段によって作成され公開される公開情報の具体例を示す図である。It is a figure which shows the specific example of the public information created and disclosed by the management means of the personal information management server (management server) of this embodiment. 本実施形態の個人情報管理サーバ(管理サーバ)の管理手段によって作成され公開される公開情報の具体例を示す図である。It is a figure which shows the specific example of the public information created and disclosed by the management means of the personal information management server (management server) of this embodiment. 本実施形態の個人情報管理サーバ(管理サーバ)の管理手段によって作成され公開される公開情報の具体例を示す図である。It is a figure which shows the specific example of the public information created and disclosed by the management means of the personal information management server (management server) of this embodiment. 本実施形態の個人情報管理サーバ(管理サーバ)の管理手段によって作成され公開される公開情報の具体例を示す図である。It is a figure which shows the specific example of the public information created and disclosed by the management means of the personal information management server (management server) of this embodiment. 本実施形態の個人情報管理サーバ(管理サーバ)の管理手段によって作成され公開される公開情報の具体例を示す図である。It is a figure which shows the specific example of the public information created and disclosed by the management means of the personal information management server (management server) of this embodiment. 本実施形態の個人情報管理サーバ(管理サーバ)の管理手段によって作成され公開される公開情報の具体例を示す図である。It is a figure which shows the specific example of the public information created and disclosed by the management means of the personal information management server (management server) of this embodiment. 本実施形態の個人情報管理サーバ(管理サーバ)の管理手段によって作成され公開される公開情報の具体例を示す図である。It is a figure which shows the specific example of the public information created and disclosed by the management means of the personal information management server (management server) of this embodiment. 本実施形態の個人情報管理サーバ(管理サーバ)の管理手段によって作成され公開される公開情報の具体例を示す図である。It is a figure which shows the specific example of the public information created and disclosed by the management means of the personal information management server (management server) of this embodiment.

符号の説明Explanation of symbols

1 個人情報管理システム(管理システム)
10 利用者端末
10a CPU
10b 記憶部
10c 検疫テーブル
10d Pマークテーブル
11 探査手段
111 抽出手段
112 切出手段
113 第1判定手段
113a 電話番号判定手段
113b 電子メールアドレス判定手段
113c 住所判定手段
114 文字判定手段
115 照合手段
116 第2判定手段
12 アクセス検知手段
13 送受信手段(送信手段)
14 外部記憶媒体用ドライバ(USBドライバ)
15 暗号化手段/登録手段(暗号化機能)
20 個人情報管理サーバ(管理サーバ/ファイルアクセス管理サーバ)
20a CPU
20b データベース
20c 表示部
21 利用者情報収集手段(調査手段)
22 インストール手段
23 収集手段(ログ収集手段)
24 管理コンソール
25 管理手段
26 表示制御手段
27 送受信手段
27a ファイル受信手段
27b 暗号化ファイル送信手段
27c 認証情報受信手段
27d 復号鍵送信手段
28 暗号化手段
29 判定手段
30 ネットワーク(社内LAN)
40 外部記憶媒体(USBメモリ)
101,103,105,108,110,112,114,116,118 画面(公開情報)
102,104,106,107,109,111,113,115,117,119 リスト(公開情報)
1 Personal information management system (management system)
10 User terminal 10a CPU
10b Storage section 10c Quarantine table 10d P mark table 11 Search means 111 Extraction means 112 Extraction means 113 First determination means 113a Telephone number determination means 113b Email address determination means 113c Address determination means 113c Address determination means 114 Character determination means 115 Collation means 116 Second Determination means 12 Access detection means 13 Transmission / reception means (transmission means)
14 External storage media driver (USB driver)
15 Encryption means / registration means (encryption function)
20 Personal Information Management Server (Management Server / File Access Management Server)
20a CPU
20b Database 20c Display unit 21 User information collection means (survey means)
22 Installation means 23 Collection means (log collection means)
24 management console 25 management means 26 display control means 27 transmission / reception means 27a file reception means 27b encrypted file transmission means 27c authentication information reception means 27d decryption key transmission means 28 encryption means 29 determination means 30 network (in-house LAN)
40 External storage media (USB memory)
101, 103, 105, 108, 110, 112, 114, 116, 118 screen (public information)
102, 104, 106, 107, 109, 111, 113, 115, 117, 119 list (public information)

上記目的を達成するために、本発明の管理システム(請求項1)は、電子ファイルを含むデータを保持する記憶部を有する利用者端末と、該利用者端末とネットワークを介して相互に通信可能に接続され、該利用者端末における、個人情報要素もしくは機密情報要素を所定数以上保有しているという条件を満たす管理対象ファイルを管理する管理サーバとをそなえ、該利用者端末が、該記憶部におけるデータの中から前記所定条件を満たす管理対象ファイルを特定して探査する探査手段と、該ネットワークを介して該探査手段による探査の結果を該管理サーバへ送信する送信手段とをそなえて構成されるとともに、該管理サーバが、該利用者端末から送信されてきた前記探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段と、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段とをそなえて構成され、該管理手段が、該利用者端末から送信されてきた前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末からの該管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを変更・設定し
、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更することを特徴としている。
In order to achieve the above object, the management system of the present invention (Claim 1) can communicate with a user terminal having a storage unit for storing data including an electronic file, and the user terminal via a network. And a management server that manages a management target file that satisfies the condition that the user terminal has a predetermined number or more of personal information elements or confidential information elements , and the user terminal includes the storage unit A search unit that specifies and searches for a management target file that satisfies the predetermined condition from data in the network, and a transmission unit that transmits a search result of the search unit to the management server via the network. And the management server grasps the management target file in the user terminal based on the search result transmitted from the user terminal. Log collecting means for collecting and recording an access log for the management target file from the user terminal; a result of the search; and the access log for the management target file collected and recorded by the log collection means And a management unit that manages the user terminal , and the management unit collects and records the search result transmitted from the user terminal and the log collection unit. Further, based on the access log for the management target file, the security level in the user terminal for preventing the management target file from being leaked from the user terminal is changed / set.
According to the security level, the access restriction on the file in the user terminal is changed .

さらに、該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよい(請求項)。より具体的には、該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよいし(請求項)、該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよい(請求項)。
Further , for the user terminal that has executed the processing / operation related to the management target file, the security level is set high to tighten access restrictions on the file, while the processing related to the management target file is performed. For user terminals that have not been operated for a predetermined period of time, the security level may be set low to release or relax access restrictions on files (claim 5 ). More specifically, the management means sets a high security level for the user terminal that holds the management target file in the storage unit to tighten access restrictions on the file while the storage unit stores the storage target file. For a user terminal that does not have the management target file in its part, the security level may be set low to release or relax access restrictions on the file (claim 6 ), or the management means may For user terminals that do not have an encryption function that automatically encrypts files sent to the network, the security level is set high to tighten access restrictions on the file, while the encryption function is set. For user terminals that have been set, the security level is set low to remove or relax restrictions on file access. (Claim 7 ).

また、前記条件が、特定の個人を識別可能な個人情報要素を所定数以上保有していることであり、該探査手段が、該記憶部におけるデータの中から前記所定条件を満たす管理対象ファイルつまり個人情報ファイルを特定して探査するように構成してもよく(請求項)、その際、該探査手段が、判定対象ファイルに含まれるテキストデータを抽出する抽出手段と、該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段と
をそなえて構成されていてもよい(請求項)。
In addition, the condition is that a predetermined number or more of personal information elements that can identify a specific individual are held, and the search unit is a management target file that satisfies the predetermined condition from data in the storage unit, that is, The personal information file may be specified and searched (claim 8 ). At this time, the search means extracts the text data included in the determination target file, and the extraction means extracts the text data. Cutting means for cutting out character sections delimited by a delimiter from the text data, and character strings in the character sections cut out by the cutting means are set in advance as phone number determination conditions and e-mail address determination conditions Phone number, e-mail, which is a personal information element other than name A first determination means for determining whether the address corresponds to one of an address and an address, and a character determined by the first determination means as not corresponding to any of a telephone number, an e-mail address, and an address; A character determining means for determining whether the number of characters in the section is within a predetermined range and whether the character in the character section is a kanji, and the character determining means determines that the number is within the predetermined range and is a kanji. By comparing a character or character string included in the character section with an inappropriate character or inappropriate character string preset as a kanji or character string that cannot appear in the name, Collating means for judging whether or not the inappropriate character or the inappropriate character string is included, and a telephone number, an e-mail address, and The number of character sections determined to correspond to any one of the locations and the number of character sections determined not to include the inappropriate character or inappropriate character string by the matching means, A second determination unit that determines whether the determination target file is a personal information file based on the count result may be included (claim 9 ).

一方、本発明の管理サーバ(請求項1)は、利用者端末とネットワークを介して相互に通信可能に接続され、該利用者端末における、個人情報要素もしくは機密情報要素を所定数以上保有しているという条件を満たす管理対象ファイルを管理するものであって、該利用者端末の記憶部におけるデータの中から探査手段によって探査された、前記所定条件を満たす管理対象ファイルについての探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段と、該探査手段による探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段とをそなえて構成され、該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末からの該管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更することを特徴としている。
On the other hand, the management server of the present invention (0 according to claim 1), via the user terminal and the network are communicably connected to each other, in said user terminal, holds personal information element or secret information elements than the predetermined number A management target file that satisfies the condition that the management target file is searched for by the search means from the data in the storage unit of the user terminal. Based on the management target file in the user terminal, and collecting and recording an access log for the management target file from the user terminal, a result of the search by the search means, and the log A manager who manages the user terminal based on the access log for the management target file collected and recorded by the collecting means. Is configured to include bets, said management means, the results of the exploration, and were collected and recorded by the log collecting means, based on the access log for the management object file, the management from the user terminal It is characterized in that the security level in the user terminal for preventing the leakage of the target file is changed and set, and the access restriction on the file in the user terminal is changed according to the security level .

上記管理サーバにおいて、該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開してもよい(請求項1)。その公開情報としては、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とを含んでいてもよいし、該管理対象ファイルの数の集計結果や、該管理対象ファイルに対するアクセスの数の集計結果を含んでいてもよい。
In the management server, based on the result of the search and the access log for the management target file collected and recorded by the log collection unit, the management unit discloses public information regarding the access status to the management target file. And the created public information may be disclosed (claim 1 1 ). The public information includes a file name of the management target file, information that can specify the user terminal that has accessed the management target file, and information that can specify the owner of the user terminal. It may be included, and may include a totaling result of the number of the management target files and a totaling result of the number of accesses to the management target file.

さらに、該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよい(請求項1)。より具体的には、該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレ
ベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよいし(請求項13)、該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和するしてもよい(請求項14)
Further , for the user terminal that has executed the processing / operation related to the management target file, the security level is set high to tighten access restrictions on the file, while the processing related to the management target file is performed. For user terminals that have not been operated for a predetermined period of time, the security level may be set low to release or relax access restrictions on the file (claim 1 2 ). More specifically, the management means sets a high security level for the user terminal that holds the management target file in the storage unit to tighten access restrictions on the file while the storage unit stores the storage target file. For a user terminal that does not have the management target file, the security level may be set low to release or relax access restrictions on the file (claim 13) , or the management means may For user terminals that do not have an encryption function that automatically encrypts files sent to the network, the security level is set high to tighten access restrictions on the file, while the encryption function is set. For the user terminals that are used, the security level is set low to remove or relax the restrictions on file access. (Claim 14) .

また、本発明のファイル管理プログラム(請求項15〜18)は、いずれも、ネットワークを介して相互に通信可能に接続された利用者端末における、所定条件を満たす管理対象ファイルを管理する管理サーバとして、コンピュータを機能させるものであって、それぞれ、上述した管理サーバ(請求項1〜1)としての機能を実現させるものである。 The file management program of the present invention (claims 15 to 18) is a management server that manages files to be managed that satisfy predetermined conditions in user terminals connected to each other via a network. , it is one that causes a computer to function, in which each of realizing the function of the above-described management server (claim 1 0-1 3).

上記目的を達成するために、本発明の管理システム(請求項1)は、電子ファイルを含むデータを保持する記憶部を有する利用者端末と、該利用者端末とネットワークを介して相互に通信可能に接続され、該利用者端末における、個人情報要素もしくは機密情報要素を所定数以上保有しているという条件を満たす管理対象ファイルを管理する管理サーバとをそなえ、該利用者端末が、該記憶部におけるデータの中から前記所定条件を満たす管理対象ファイルを特定して探査する探査手段と、該ネットワークを介して該探査手段による探査の結果を該管理サーバへ送信する送信手段とをそなえて構成されるとともに、該管理サーバが、該利用者端末から送信されてきた前記探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段と、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段とをそなえて構成され、該管理手段が、該利用者端末から送信されてきた前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更し、該利用者端末からの該管理対象ファイルの流出を防止することを特徴としている。 In order to achieve the above object, the management system of the present invention (Claim 1) can communicate with a user terminal having a storage unit for storing data including an electronic file, and the user terminal via a network. And a management server that manages a management target file that satisfies the condition that the user terminal has a predetermined number or more of personal information elements or confidential information elements, and the user terminal includes the storage unit A search unit that specifies and searches for a management target file that satisfies the predetermined condition from data in the network, and a transmission unit that transmits a search result of the search unit to the management server via the network. And the management server grasps the management target file in the user terminal based on the search result transmitted from the user terminal. Log collecting means for collecting and recording an access log for the management target file from the user terminal; a result of the search; and the access log for the management target file collected and recorded by the log collection means And a management unit that manages the user terminal, and the management unit collects and records the search result transmitted from the user terminal and the log collection unit. and, based on the access log for the management object file, and change and set the security level in the user terminal, in accordance with the security level to change the limit of access to the file in the user terminal, the utilization The management target file is prevented from being leaked from the user terminal .

さらに、該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよい(請求項5)。より具体的には、該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよいし(請求項6)、該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよい(請求項7)、該管理手段が、閲覧禁止サイトへのアクセスを行なっている利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、閲覧禁止サイトへのアクセスを行なっていない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和してもよい(請求項8)Further, for the user terminal that has executed the processing / operation related to the management target file, the security level is set high to tighten access restrictions on the file, while the processing related to the management target file is performed. For user terminals that have not been operated for a predetermined period of time, the security level may be set low to release or relax access restrictions on files. More specifically, the management means sets a high security level for the user terminal that holds the management target file in the storage unit to tighten access restrictions on the file while the storage unit stores the storage target file. For a user terminal that does not have the management target file, the security level may be set low to release or relax access restrictions on the file (claim 6), or the management means may For user terminals that do not have an encryption function that automatically encrypts files sent to the network, the security level is set high to tighten access restrictions on the file, while the encryption function is set. For user terminals that have been set, the security level is set low to remove or relax restrictions on file access. May be (claim 7), whereas said management means, for tightening the access restriction on the file is set high the security level for the user terminal is performing access to the viewing prohibited site, viewing prohibited site For user terminals that are not accessing the file, the security level may be set low to release or relax access restrictions on the file (claim 8) .

また、前記条件が、特定の個人を識別可能な個人情報要素を所定数以上保有していることであり、該探査手段が、該記憶部におけるデータの中から前記所定条件を満たす管理対象ファイルつまり個人情報ファイルを特定して探査するように構成してもよく(請求項8)、その際、該探査手段が、判定対象ファイルに含まれるテキストデータを抽出する抽出手段と、該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段とをそなえて構成されていてもよい(請求項10)。 In addition, the condition is that a predetermined number or more of personal information elements that can identify a specific individual are held, and the search unit is a management target file that satisfies the predetermined condition from data in the storage unit, that is, The personal information file may be specified and searched (Claim 8). At this time, the searching means extracts the text data included in the determination target file, and the extracting means extracts the text data. Cutting means for cutting out character sections delimited by a delimiter from the text data, and character strings in the character sections cut out by the cutting means are set in advance as phone number determination conditions and e-mail address determination conditions Phone number, e-mail, which is a personal information element other than name First determination means for determining whether the address corresponds to one of a dress and an address, and a character determined by the first determination means as not corresponding to any of a telephone number, an e-mail address, and an address A character determining means for determining whether the number of characters in the section is within a predetermined range and whether the character in the character section is a kanji, and the character determining means determines that the number is within the predetermined range and is a kanji. By comparing a character or character string included in the character section with an inappropriate character or inappropriate character string preset as a kanji or character string that cannot appear in the name, Collating means for judging whether or not the inappropriate character or the inappropriate character string is included, and a telephone number, an e-mail address, and The number of character sections determined to correspond to any one of the locations and the number of character sections determined not to include the inappropriate character or inappropriate character string by the matching means, It may be configured to include second determination means for determining whether the determination target file is a personal information file based on the counting result (claim 10 ).

一方、本発明の管理サーバは、利用者端末とネットワークを介して相互に通信可能に接続され、該利用者端末における、個人情報要素もしくは機密情報要素を所定数以上保有しているという条件を満たす管理対象ファイルを管理するものであって、該利用者端末の記憶部におけるデータの中から探査手段によって探査された、前記所定条件を満たす管理対象ファイルについての探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段と、該探査手段による探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段とをそなえて構成され、該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末からの該管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更することを特徴としている。 On the other hand, the management server of the present invention is communicably connected to each other via the user terminal and the network, in the user terminal, the condition that the personal information element or confidential information element owns more than a predetermined number The management target file is managed, and the user is searched based on the search result of the management target file that satisfies the predetermined condition, searched by the searching means from the data in the storage unit of the user terminal. A log collection unit that grasps the management target file in the terminal and collects and records an access log for the management target file from the user terminal, a search result by the search unit, and a log collection unit Management means for managing the user terminal based on the recorded access log for the file to be managed is provided. And the management means detects outflow of the management target file from the user terminal based on the search result and the access log for the management target file collected and recorded by the log collection means. In order to prevent this, the security level in the user terminal is changed / set, and the access restriction on the file in the user terminal is changed according to the security level.

上記管理サーバにおいて、該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開してもよい。その公開情報としては、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とを含んでいてもよいし、該管理対象ファイルの数の集計結果や、該管理対象ファイルに対するアクセスの数の集計結果を含んでいてもよい。 In the management server, based on the result of the search and the access log for the management target file collected and recorded by the log collection unit, the management unit discloses public information regarding the access status to the management target file. create a, but it may also be to publish the public information that has been created. The public information includes a file name of the management target file, information that can specify the user terminal that has accessed the management target file, and information that can specify the owner of the user terminal. It may be included, and may include a totaling result of the number of the management target files and a totaling result of the number of accesses to the management target file.

さらに、該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよい。より具体的には、該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよいし、該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和するしてもよいし、該管理手段が、閲覧禁止サイトへのアクセスを行なっている利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、閲覧禁止サイトへのアクセスを行なっていない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和してもよいFurther, for the user terminal that has executed the processing / operation related to the management target file, the security level is set high to tighten access restrictions on the file, while the processing related to the management target file is performed. / operation on the user terminal is not running for a predetermined period of time but it may also be released or relax the restriction of access to the file is set lower the security level. More specifically, the management means sets a high security level for the user terminal that holds the management target file in the storage unit to tighten access restrictions on the file while the storage unit stores the storage target file. file for user terminals that do not possess the managed file in parts may be canceled or relax the restriction of access to the file is set lower the security level, said management means, is sent to the outside For user terminals that do not have an encryption function that automatically encrypts files, the security level is set high to tighten restrictions on access to files, while users with the encryption function set but it may also be to release or relax the restriction of access to the file is set lower the security level for the terminal In addition, for the user terminal that is accessing the browsing prohibited site, the management means sets the security level high and tightens the access restriction on the file, while the management terminal does not access the browsing prohibited site. For the user terminal, the security level may be set low to cancel or relax the file access restriction .

また、本発明のファイル管理プログラム(請求項1〜1)は、いずれも、ネットワークを介して相互に通信可能に接続された利用者端末における、所定条件を満たす管理対象ファイルを管理する管理サーバとして、コンピュータを機能させるものであって、それぞれ、上述した管理サーバとしての機能を実現させるものである。 In addition, the file management program of the present invention (claims 1 1 to 1 6 ) manages all files to be managed that satisfy a predetermined condition in user terminals connected to each other via a network. as a server, it is one that causes a computer to function, in which each of realizing functions of the management server described above.

さらに、管理対象ファイルの不用意な流出・漏洩や不正利用などが発生する可能性の高い利用者端末(例えば、管理対象ファイルにかかわる処理/操作を実行した端末,記憶部に管理対象ファイルを保有している端末,暗号化機能を設定されていない端末,閲覧禁止サイトへのアクセスを行なっている端末など)についてはセキュリティレベルを高く設定してアクセス制限を厳格化する一方でその可能性の低い利用者端末についてはセキュリティレベルを低く設定してアクセス制限を解除もしくは緩和することによって、上記可能性の低い場合には端末を効率よく使用できる環境が提供されることになるので、利用者は、自発的に、自分の端末を上記可能性の低い状態に移行させるようになり、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。 In addition, a user terminal that is likely to cause an inadvertent leak / leakage or unauthorized use of a managed file (for example, a terminal that has executed a process / operation related to a managed file, or has a managed file in a storage unit) Devices that do not have an encryption function set, devices that access browsing-restricted sites, etc.) are set with a high security level to tighten access restrictions and are less likely By setting the security level low for user terminals and releasing or relaxing access restrictions, an environment where the terminal can be used efficiently is provided in the case where the above possibility is low. Voluntarily began to move my device to a state with a low possibility of inadvertently leaking or leaking personal or confidential information. It is possible to prevent use and more reliably.

(5)閲覧禁止サイトへのアクセスを行なっている利用者端末10についてはセキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、閲覧禁止サイトへのアクセスを行なっていない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。 (5) For the user terminal 10 that is accessing the browsing-prohibited site, the security level is set high to tighten the access restriction on the file, while the user terminal 10 that is not accessing the browsing-prohibited site . For, remove or relax access restrictions on files by setting a low security level.

また、収集手段23によって収集・記録されたアクセスログ(閲覧禁止ログに対するアクセスログも含む)に応じて、各利用者端末10についてのセキュリティレベルが、管理手段25によって設定される(ステップS215)。このとき、管理手段25は、上述した項目(1)に記載されたセキュリティレベル設定基準に従って、個人情報ファイルにかかわる処理/操作(自端末10/他端末/サーバにおける個人情報ファイルに対する何らかのアクセス)を実行した利用者端末10についてはセキュリティレベルを高く設定し、ファイル(個人情報ファイルのみならず通常のファイルも含む)に対するアクセス制限を厳格化する一方、個人情報ファイルにかかわる処理/操作を所定期間にわたり一切実行していない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和し、さらに、上述した項目(5)に記載されたセキュリティレベル設定基準に従って、閲覧禁止サイトへのアクセスを行なっている利用者端末10についてはセキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、閲覧禁止サイトへのアクセスを行なっていない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。 Further, the security level for each user terminal 10 is set by the management unit 25 in accordance with the access log collected and recorded by the collection unit 23 (including the access log for the browsing prohibition log) (step S215). At this time, the management means 25 performs processing / operation related to the personal information file (some access to the personal information file in the own terminal 10 / other terminal / server) in accordance with the security level setting criteria described in the item (1) described above. For the executed user terminal 10, the security level is set high, and access restrictions on files (including not only personal information files but also ordinary files) are tightened, while processing / operations related to personal information files are performed over a predetermined period. For the user terminal 10 that has not been executed at all, the security level is set low to release or relax the access restriction on the file, and further, according to the security level setting criteria described in the item (5) described above, to the browsing prohibited site Users who are accessing While tightening the access restrictions on the file to set a high security level for the youngest 10, releasing the access restrictions on the file by setting a lower security level for the user terminal 10 that is not performing access to the viewing prohibited site Or relax.

Claims (18)

電子ファイルを含むデータを保持する記憶部を有する利用者端末と、
該利用者端末とネットワークを介して相互に通信可能に接続され、該利用者端末における、所定条件を満たす管理対象ファイルを管理する管理サーバとをそなえ、
該利用者端末が、
該記憶部におけるデータの中から前記所定条件を満たす管理対象ファイルを特定して探査する探査手段と、
該ネットワークを介して該探査手段による探査の結果を該管理サーバへ送信する送信手段とをそなえて構成されるとともに、
該管理サーバが、
該利用者端末から送信されてきた前記探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段と、
前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段とをそなえて構成されていることを特徴とする、管理システム。
A user terminal having a storage unit for holding data including electronic files;
A management server that is communicably connected to the user terminal via a network, and that manages a management target file in the user terminal that satisfies a predetermined condition;
The user terminal is
Exploration means for identifying and exploring a management target file that satisfies the predetermined condition from the data in the storage unit;
A transmission unit configured to transmit a result of the search by the search unit to the management server via the network;
The management server
Log collection means for grasping the management target file in the user terminal based on the search result transmitted from the user terminal, and collecting and recording an access log for the management target file from the user terminal When,
Management means for managing the user terminal based on the result of the search and the access log for the management target file collected and recorded by the log collection means. Management system.
該管理手段が、該利用者端末から送信されてきた前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする、請求項1記載の管理システム。   The management means accesses the management target file based on the search result transmitted from the user terminal and the access log for the management target file collected and recorded by the log collection means. 2. The management system according to claim 1, wherein public information relating to a situation is created, and the created public information is made public. 該管理サーバが、該利用者端末において外部記憶媒体用のドライバがインストールされているか否かを調査する調査手段をさらにそなえて構成され、
該管理手段が、該利用者端末から送信されてきた前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該利用者端末を管理することを特徴とする、請求項1または請求項2に記載の管理システム。
The management server is further configured with investigating means for investigating whether or not a driver for an external storage medium is installed in the user terminal;
Based on the result of the search transmitted from the user terminal, the access log for the management target file collected and recorded by the log collection unit, and the result of the investigation by the investigation unit The management system according to claim 1 or 2, wherein the user terminal is managed.
該管理手段が、該利用者端末から送信されてきた前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該外部記憶媒体用のドライバをインストールされた利用者端末に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする、請求項3記載の管理システム。   Based on the result of the search transmitted from the user terminal, the access log for the management target file collected and recorded by the log collection unit, and the result of the investigation by the investigation unit 4. The management system according to claim 3, wherein public information relating to a user terminal in which the driver for the external storage medium is installed is created, and the created public information is made public. 該管理手段が、該利用者端末から送信されてきた前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末からの該管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更することを特徴とする、請求項1〜請求項4のいずれか一項に記載の管理システム。   Based on the result of the search transmitted from the user terminal and the access log for the management target file collected and recorded by the log collecting means, the management means receives information from the user terminal. Changing or setting a security level in the user terminal for preventing outflow of the management target file, and changing a restriction on access to the file in the user terminal according to the security level; The management system according to any one of claims 1 to 4. 該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、請求項5記載の管理システム。   For the user terminal that has executed the processing / operation related to the management target file, the management means sets the security level high to tighten the restriction on the access to the file, while the processing / operation related to the management target file. 6. The management system according to claim 5, wherein for a user terminal that has not been executed for a predetermined period of time, the security level is set low to release or relax access restrictions on files. 該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、請求項5または請求項6に記載の管理システム。   The management means sets a high security level for a user terminal that holds the management target file in the storage unit to tighten access restrictions on the file, while the management unit stores the management target file in the storage unit. 7. The management system according to claim 5, wherein the security level is set low for a user terminal that does not have a password, and the restriction on access to the file is released or relaxed. 8. 該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、請求項5〜請求項7のいずれか一項に記載の管理システム。   For the user terminal that is not set to an encryption function for automatically encrypting a file to be sent to the outside, the management means sets the security level to be high and tightens restrictions on access to the file, 8. The user terminal with the encryption function set, the security level is set low to release or relax access restrictions on files. Management system as described in. 前記所定条件が、特定の個人を識別可能な個人情報要素を所定数以上保有していることであり、該探査手段が、該記憶部におけるデータの中から前記所定条件を満たす管理対象ファイルつまり個人情報ファイルを特定して探査することを特徴とする、請求項1〜請求項8のいずれか一項に記載の管理システム。   The predetermined condition is that a predetermined number or more of personal information elements that can identify a specific individual are held, and the search means manages a file to be managed, that is, an individual that satisfies the predetermined condition from the data in the storage unit The management system according to any one of claims 1 to 8, wherein the information file is specified and searched. 該探査手段が、
判定対象ファイルに含まれるテキストデータを抽出する抽出手段と、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段とをそなえて構成されていることを特徴とする、請求項9記載の管理システム。
The exploration means is
Extraction means for extracting text data contained in the determination target file;
Cutting out means for cutting out character sections delimited by delimiters from the text data extracted by the extracting unit;
By determining whether or not the character string in the character section cut by the cutting means satisfies any one of the preset telephone number determination condition, e-mail address determination condition, and address determination condition, First determination means for determining whether or not any one of a telephone number, an e-mail address, and an address, which is a personal information element other than a name,
Whether or not the number of characters in the character section determined not to correspond to any of the telephone number, the e-mail address, and the address by the first determination means is within a predetermined range, and whether or not the character in the character section is a Chinese character Character determining means for determining;
A character section that is determined by the character determining means to be within the predetermined range and to be a kanji character is a character or character string included in the character section and a kanji or kanji character string that is not set in advance in the name. Collating means for collating appropriate characters or inappropriate character strings to determine whether the character section includes the inappropriate characters or inappropriate character strings;
The number of character sections determined to correspond to any one of a telephone number, an e-mail address, and an address by the first determination means and the inappropriate character or inappropriate character string is not included by the matching means. The number of character sections determined is counted, and based on the count result, the second determination means for determining whether the determination target file is a personal information file is provided. The management system according to claim 9, wherein the management system is characterized.
利用者端末とネットワークを介して相互に通信可能に接続され、該利用者端末における、所定条件を満たす管理対象ファイルを管理する管理サーバであって、
該利用者端末の記憶部におけるデータの中から探査手段によって探査された、前記所定条件を満たす管理対象ファイルについての探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段と、
該探査手段による探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段とをそなえて構成されていることを特徴とする、管理サーバ。
A management server that is connected to a user terminal via a network so as to be able to communicate with each other, and manages a management target file in the user terminal that satisfies a predetermined condition,
Based on the search result of the management target file that satisfies the predetermined condition, searched by the search means from the data in the storage unit of the user terminal, the management target file in the user terminal is grasped, and the management Log collection means for collecting and recording an access log for the target file from the user terminal;
Management means for managing the user terminal based on the result of the search by the search means and the access log for the management target file collected and recorded by the log collection means. A management server characterized by that.
該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする、請求項11記載の管理サーバ。   The management means creates and creates public information on the access status of the management target file based on the result of the search and the access log for the management target file collected and recorded by the log collection means. 12. The management server according to claim 11, wherein the published information is made public. 該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末からの該管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更することを特徴とする、請求項11または請求項12に記載の管理サーバ。   The management unit prevents outflow of the management target file from the user terminal based on the search result and the access log for the management target file collected and recorded by the log collection unit. The security level in the user terminal is changed / set, and the access restriction on the file in the user terminal is changed according to the security level. The management server described. 該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、請求項13記載の管理サーバ。   For the user terminal that has executed the processing / operation related to the management target file, the management means sets the security level high to tighten the restriction on the access to the file, while the processing / operation related to the management target file. 14. The management server according to claim 13, wherein for a user terminal that has not been executed for a predetermined period of time, the security level is set low to release or relax access restrictions on files. ネットワークを介して相互に通信可能に接続された利用者端末における、所定条件を満たす管理対象ファイルを管理する管理サーバとして、コンピュータを機能させるプログラムであって、
該利用者端末の記憶部におけるデータの中から探査手段によって探査された、前記所定条件を満たす管理対象ファイルについての探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段、および、
該探査手段による探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段として、該コンピュータを機能させることを特徴とする、管理プログラム。
A program that causes a computer to function as a management server that manages a management target file that satisfies a predetermined condition in user terminals that are connected to be able to communicate with each other via a network,
Based on the search result of the management target file that satisfies the predetermined condition, searched by the search means from the data in the storage unit of the user terminal, the management target file in the user terminal is grasped, and the management Log collection means for collecting and recording an access log for the target file from the user terminal; and
Causing the computer to function as a management unit for managing the user terminal based on a result of the search by the search unit and the access log for the management target file collected and recorded by the log collection unit. A management program characterized by
該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開するように、該コンピュータを機能させることを特徴とする、請求項15記載の管理プログラム。   The management means creates and creates public information on the access status of the management target file based on the result of the search and the access log for the management target file collected and recorded by the log collection means. The management program according to claim 15, wherein the computer is caused to function so as to publish the published information. 該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末からの該管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更するように、該コンピュータを機能させることを特徴とする、請求項15または請求項16に記載の管理プログラム。   The management unit prevents outflow of the management target file from the user terminal based on the search result and the access log for the management target file collected and recorded by the log collection unit. And changing the security level in the user terminal, and causing the computer to function so as to change restrictions on access to the file in the user terminal according to the security level. The management program according to claim 15 or 16. 該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和するように、該コンピュータを機能させることを特徴とする、請求項17記載の管理プログラム。
For the user terminal that has executed the processing / operation related to the management target file, the management means sets the security level high to tighten the restriction on the access to the file, while the processing / operation related to the management target file. 18. The computer according to claim 17, wherein the user terminal is not executed for a predetermined period of time, and the computer is caused to function so as to release or relax restrictions on file access by setting the security level low. Management program.
JP2005239284A 2005-08-22 2005-08-22 Management system and management program Expired - Fee Related JP3890367B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005239284A JP3890367B1 (en) 2005-08-22 2005-08-22 Management system and management program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005239284A JP3890367B1 (en) 2005-08-22 2005-08-22 Management system and management program

Publications (2)

Publication Number Publication Date
JP3890367B1 JP3890367B1 (en) 2007-03-07
JP2007058257A true JP2007058257A (en) 2007-03-08

Family

ID=37921747

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005239284A Expired - Fee Related JP3890367B1 (en) 2005-08-22 2005-08-22 Management system and management program

Country Status (1)

Country Link
JP (1) JP3890367B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008310427A (en) * 2007-06-12 2008-12-25 Nippon Telegraph & Telephone East Corp Check system, server device, client device and program
JP2009020720A (en) * 2007-07-12 2009-01-29 Sky Kk File management system
JP2009182603A (en) * 2008-01-30 2009-08-13 Sky Co Ltd Network monitoring system and network monitoring program

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008310427A (en) * 2007-06-12 2008-12-25 Nippon Telegraph & Telephone East Corp Check system, server device, client device and program
JP2009020720A (en) * 2007-07-12 2009-01-29 Sky Kk File management system
JP4608522B2 (en) * 2007-07-12 2011-01-12 Sky株式会社 File management system
JP2009182603A (en) * 2008-01-30 2009-08-13 Sky Co Ltd Network monitoring system and network monitoring program

Also Published As

Publication number Publication date
JP3890367B1 (en) 2007-03-07

Similar Documents

Publication Publication Date Title
JP3814655B1 (en) File management system, information processing apparatus, and file management program
JP4742010B2 (en) Personal information file monitoring system
JP3918023B2 (en) Personal information management system
JP3762935B1 (en) Information processing apparatus, file management system, and file management program
JP3878975B1 (en) Management server and management program
JP3705439B1 (en) Personal information search program, personal information management system, and information processing apparatus with personal information management function
JP4206459B2 (en) Personal information management terminal, personal information management system, and personal information management program
JP3909362B1 (en) Personal information management system, personal information management server, and personal information management program
JP2009230763A (en) Information management system, information processing terminal device and information management system program
JP4168188B2 (en) Management system, management server and management program
Accorsi Automated privacy audits to complement the notion of control for identity management
JP2014013474A (en) Log audit system
JP4082520B2 (en) Personal information search program
JP4175578B1 (en) Management system and management program
JP3799479B1 (en) Personal information management system, personal information management server, and personal information management program
JP3890367B1 (en) Management system and management program
JP2007199981A (en) System and server for personal information management, and program for the personal information management server
JP4251369B2 (en) Personal information management system and personal information management program
JP3823168B1 (en) Management server and management program
JP3928006B2 (en) Customer information management system
JP4139919B2 (en) Personal information search program
JP4175575B2 (en) Personal information search program
JP4206466B2 (en) Personal information search program
JP4370536B2 (en) Management system and management program
JP3743783B1 (en) Personal information management system, personal information management server, and personal information management server program

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091215

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101215

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees