JP2008226133A - 個人情報管理システム - Google Patents
個人情報管理システム Download PDFInfo
- Publication number
- JP2008226133A JP2008226133A JP2007066937A JP2007066937A JP2008226133A JP 2008226133 A JP2008226133 A JP 2008226133A JP 2007066937 A JP2007066937 A JP 2007066937A JP 2007066937 A JP2007066937 A JP 2007066937A JP 2008226133 A JP2008226133 A JP 2008226133A
- Authority
- JP
- Japan
- Prior art keywords
- file
- personal information
- client
- status
- keyword
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】個人情報を含んでいる可能性のあるファイルおよび個人情報を含んでいると確定したファイルについて、そのアクセス状況に応じて、より漏洩の虞のない状態に遷移させることができるようにすること。
【解決手段】サーバは、クライアントのもつ個人情報を含んでいる可能性のあるファイルおよび個人情報を含んでいると確定したファイルについての、クライアントでのアクセス状況を監視し、クライアントのもつ個人情報を含んでいる可能性のあるファイルおよび個人情報を含んでいると確定したファイルの管理を行う。
【選択図】図1
【解決手段】サーバは、クライアントのもつ個人情報を含んでいる可能性のあるファイルおよび個人情報を含んでいると確定したファイルについての、クライアントでのアクセス状況を監視し、クライアントのもつ個人情報を含んでいる可能性のあるファイルおよび個人情報を含んでいると確定したファイルの管理を行う。
【選択図】図1
Description
本発明は、電子データすなわちコンピュータ上の電子ファイルとして保存されたファイル中の個人情報が、不適切な取り扱いによって漏洩することを防止するようにしたシステムにかかわる技術に関する。
個人情報の保護は、法的にも会社の信用上でも非常に重要な問題になっている。個人情報の漏洩が、従業員等による故意であれ、事故であれ、またコンピュータウィルス等による悪意のある第三者によるものであれ、会社に対する信用喪失被害は非常に大きなものとなる。そこで、個人情報、特に大量に持ち出すことが比較的容易なコンピュータ上の電子ファイル(以降では「ファイル」と略記する)上のデータを適切に管理し、もし不適切な個人情報ファイルの持ち出しがあれば、それを抑止するシステムが求められている。
このような目的のシステムとしては、例えば特許文献1のようなものもある。これは、クライアントPCにインストールされたプログラムが、ファイル内のテキストを検索し、あらかじめ設定してある検出ロジックに該当するものを個人情報ファイルとして扱い、当該ファイルの外部持ち出し等、不用意な操作を抑制するものである。
特許第3743783号明細書
特許文献1に示された技術では、クライアントがインストールされたプログラムに基づいて個人情報ファイルの判定処理を行い、個人情報ファイルと判定したファイルについてはその操作に制限をかけるようにしているが、個人情報ファイルに対して一定期間の間に全くアクセスがなかった場合に、この個人情報ファイルを、より漏洩の虞のない状態に遷移させることについては、考慮が払われていない。
本発明の目的は、クライアントのもつ個人情報を含んでいる可能性のあるファイルおよび個人情報を含んでいると確定したファイルについての、ファイル管理を適切に行うことにより、漏洩を防止する必要があるファイルをそのアクセス状況に応じて、より漏洩の虞のない状態に遷移させることができるようにすることにある。
本発明は上記した目的を達成するために、サーバとクライアントとが通信回線を介して接続された個人情報管理システムにおいて、
クライアントは、個人情報を含まない第1のファイル種別(「シロ」)、個人情報を含んでいる可能性のある第2のファイル種別(「グレー」)、個人情報を含んでいると確定した第3のファイル種別(「クロ」)に、ファイルを分別して記憶・管理する手段と、第2のファイル種別および第3のファイル種別のファイルについては、クライアントでの操作に制限をかける手段とを、有し、
サーバは、クライアントのもつ第2のファイル種別および第3のファイル種別のファイルの管理情報を記憶・管理する手段と、クライアントにおける第2のファイル種別および第3のファイル種別のファイルに対するアクセス状況を監視し、このアクセス状況に応じて、クライアントのもつ第2のファイル種別および第3のファイル種別のファイルに対する管理形態を遷移させる手段とを、有し、
クライアントの上記の管理形態を遷移させる手段は、クライアントにおいて第2のファイル種別のファイルに対して所定期間の間アクセスがなかった場合には、第2のファイル種別のファイルを第3ファイル種別のファイルに遷移させて管理するように、クライアントに指示し、また、クライアントにおいて第3のファイル種別のファイルに対して所定期間の間アクセスがなかった場合には、当該第3のファイル種別のファイルをクライアントから取り出してサーバの記憶装置に移動させて、当該第3のファイル種別のファイルをクライアントから削除する。
クライアントは、個人情報を含まない第1のファイル種別(「シロ」)、個人情報を含んでいる可能性のある第2のファイル種別(「グレー」)、個人情報を含んでいると確定した第3のファイル種別(「クロ」)に、ファイルを分別して記憶・管理する手段と、第2のファイル種別および第3のファイル種別のファイルについては、クライアントでの操作に制限をかける手段とを、有し、
サーバは、クライアントのもつ第2のファイル種別および第3のファイル種別のファイルの管理情報を記憶・管理する手段と、クライアントにおける第2のファイル種別および第3のファイル種別のファイルに対するアクセス状況を監視し、このアクセス状況に応じて、クライアントのもつ第2のファイル種別および第3のファイル種別のファイルに対する管理形態を遷移させる手段とを、有し、
クライアントの上記の管理形態を遷移させる手段は、クライアントにおいて第2のファイル種別のファイルに対して所定期間の間アクセスがなかった場合には、第2のファイル種別のファイルを第3ファイル種別のファイルに遷移させて管理するように、クライアントに指示し、また、クライアントにおいて第3のファイル種別のファイルに対して所定期間の間アクセスがなかった場合には、当該第3のファイル種別のファイルをクライアントから取り出してサーバの記憶装置に移動させて、当該第3のファイル種別のファイルをクライアントから削除する。
本発明によれば、クライアントのもつ第2のファイル種別(「グレー」)のファイルに所定期間の間アクセスがなかった場合には、これを第3のファイル種別(「クロ」)のファイルとし、クライアントのもつ第3のファイル種別(「クロ」)のファイルに所定期間の間アクセスがなかった場合には、当該「クロ」のファイルを取り出してサーバ側において記憶・管理することを、サーバ側で自動的に行うので、クライアント側の操作者が何ら意識することなく、当面はアクセスする可能性が少ない漏洩を防止する必要があるファイルを、より漏洩に対してセキュリティの高い管理状態に移すことができる。また、「グレー」から「クロ」とした後に、猶予期間を与えて「クロ」のファイルをクライアントから消去するので、クライアントの操作者に時間的余裕を与えることができる。
以下、図面を参照しつつ、本発明の実施の一形態(以下「本実施例」と記載する)を説明する。
図1は、本実施例に係る個人情報管理システムのシステム構成図である。
本実施形態の個人情報管理システムは、監視サーバ1とクライアント6を、通信回線(ネットワーク)5により、互いに通信可能に接続したシステムである。図1においては、1台の監視サーバ1と、複数台のクライアント6とにより構成されているが、クライアント6は1台以上存在していればよい。また、負荷分散を図る等の目的で監視サーバ1を複数台から構成することも可能であるが、以降は説明を分かりやすくするため、監視サーバ1は1台であるという前提で説明する。
本実施形態の個人情報管理システムは、監視サーバ1とクライアント6を、通信回線(ネットワーク)5により、互いに通信可能に接続したシステムである。図1においては、1台の監視サーバ1と、複数台のクライアント6とにより構成されているが、クライアント6は1台以上存在していればよい。また、負荷分散を図る等の目的で監視サーバ1を複数台から構成することも可能であるが、以降は説明を分かりやすくするため、監視サーバ1は1台であるという前提で説明する。
監視サーバ1およびクライアント6は、いずれもPC等のコンピュータにより構成することができる。また、通信回線5は、LAN、インターネット等の有線通信回線又は無線通信回線により構成される。監視サーバ1およびクライアント6には、図示していないが、少なくとも通信回線5内でそれぞれを一意に識別可能なIPアドレス等の識別符号が付されており、この識別符号を使用することにより、相互に通信メッセージを送信することができる。
監視サーバ1には、記憶装置2、入力装置3および表示装置4が通信可能に接続される。記憶装置2は例えば磁気ディスク等の記憶装置であり、後述するように個人情報管理システムが必要とするファイル等を格納することができる。入力装置3はキーボード、マウス等から構成され、監視サーバ1の操作者は、入力装置3を操作することで、サーバ1に対して必要な指示を与えることができる。表示装置4はCRT、液晶等により構成され、監視サーバ1の操作者に対して必要な情報を表示することができる。
記憶装置2には、個人情報管理ファイル21およびキーワードファイル22が記憶される。また、記憶装置2の一部は、個人情報ファイル回収領域23あるいは検出対象ファイル格納領域24として使用される。
個人情報管理ファイル21は、クライアント6がその記憶装置に記憶している個人情報ファイルそれぞれについて、どのクライアント6が記憶しているか等の情報を管理するためのファイルである。個人情報管理ファイル21については、後で図3を参照しつつ詳述する。
キーワードファイル22は、文書ファイルが個人情報ファイルであるか否かを判定するために使用するキーワード情報を記憶したファイルである。キーワードファイル22については、後で図4を参照しつつ詳述する。
個人情報ファイル回収領域23は、個人情報ファイルのうちクライアント6に記憶する必要がないファイルを、クライアント6から回収(すなわち、クライアント6から監視サーバ1に送信すると共に、クライアント6の記憶装置からは消去)して記憶するための領域である。例えば記憶装置2をCドライブとして割り付け、Cドライブに「回収領域」という名前のフォルダを作成し、このフォルダを個人情報ファイル回収領域23として使用すればよい。
検出対象ファイル格納領域24は、記憶装置2のうち、個人情報ファイルであるか否かを検出すべき対象ファイルが記憶されている領域である。後述するように、本実施例においては、まず、いくつかの個人情報ファイルに含まれるキーワードを分析することで、個人情報ファイルを特徴付けるキーワードをキーワードファイル22に記憶させ、以降は、キーワードファイル22に記憶されたキーワードを使用して個人情報ファイルであるか否かを判定する。この分析の過程において、個人情報ファイルが記憶されている可能性がある領域が必要になる。すなわち、本実施例においては、個人情報ファイルとして検出対象とするファイルが記憶されている可能性がある領域全体のことを検出対象ファイル格納領域24と記載するに過ぎないのであり、記憶装置2内に検出対象ファイル格納領域24として識別付けられた特別な領域が存在するわけではない。具体的には、検出対象ファイル格納領域24は1フォルダであっても構わないし、複数のフォルダであっても構わない。また、複数のフォルダのそれぞれ一部分の集合であっても構わない。例えば、個人情報管理ファイル21、キーワードファイル22および個人情報ファイル回収領域23を含めた記憶装置2全体を、検出対象ファイル格納領域24としても良い。逆に、特定の1ファイルを検出対象ファイル格納領域24としても良い。もっとも本実施例においては、検出対象ファイル格納領域24には、多量かつ多種類のファイルが存在することが望ましい。
ただし、本実施例においては、検出対象ファイル格納領域24に記憶されたファイルは、監視サーバ1の図示してはいないが情報漏洩対策機能によってアクセス権限を持った操作者のみが参照でき、また外部への持ち出しはできないように適切に管理されているものとする。このため、検出対象ファイル格納領域24は後述するように、個人情報ファイルであるか否かを検出するためのキーワードを抽出するためにのみ使用し、個人情報管理システムでは特に管理しない。検出対象ファイル格納領域24に記憶された個人情報ファイルについても個人情報管理システムで管理する必要がある場合には、監視サーバ1において、後述するクライアント6の各手段と同等の手段を設ければよい。すなわち、監視サーバ1自身もクライアント6の一つであるとして管理すればよい。
なお、図1においては、1台の記憶装置2内に、個人情報ファイル21、キーワードファイル22、個人情報ファイル回収領域23および検出対象ファイル格納領域24が存在しているように記載しているが、各ファイル等はそれぞれ異なる複数の記憶装置2に記憶されていてもよいし、複数の記憶装置2にまたがって記憶されていてもよい。
また、本実施例において「ファイル」とは情報を電子的に記憶するものであり、特に注記しない限りDB(Data Base:データベース)等を含んでいる。また、「フォルダ」とはファイルの集合体であり、通常は1個以上のファイルを含んでいるが、ファイルを含まないフォルダ(0個のファイルを含むフォルダ)も存在する。
監視サーバ1には、初期設定手段11、ステータス送付手段12、ステータス更新手段13、個人ファイル判定解除手段14、および個人ファイル回収手段15が存在する。上記の各手段は全体として、キーワードファイル22を作成・更新する機能、監視サーバ1およびクライアント6の記憶装置に個人情報ファイルが記憶されているか否かを検出する機能、および個人情報ファイルが記憶されている場合に記憶場所を管理する機能等を実現する。
初期設定手段11、ステータス送付手段12、ステータス更新手段13、個人ファイル判定解除手段14、および個人ファイル回収手段15は、図示していないが監視サーバ1の主記憶装置に記憶されたプログラムであり、各種機能は監視サーバ1の中央制御装置(図示していない)が各プログラムの命令コードを取得し、これを解読し、必要に応じて監視サーバ1の内部バス(図示していない)を経由して記憶装置制御装置、入力デバイス制御装置、出力デバイス制御装置等(いずれも図示していない)を介して、記憶装置2、入力装置3、表示装置4に所定の動作を行うことを指示し、あるいは、記憶装置制御装置、出力デバイス制御装置、入力デバイス制御装置等から動作完了通知等を受けて、これに応じた動作を行うことで実現される。しかしながら、このようなコンピュータの内部動作については周知技術であり、またこのような内部動作を逐一記述すると説明が煩雑になり、かえって理解が困難になる。従って、以降の説明においては「初期設定手段11がファイルを検索する」というように、あたかも監視サーバ1あるいはクライアント6の内部に各手段であるハードウェアが存在するかのように記載する。
なお、初期設定手段11、ステータス送付手段12、ステータス更新手段13、個人ファイル判定解除手段14、および個人ファイル回収手段15の具体的な機能については、後にフローチャートを参照しつつ詳述する。
図2は、個人情報管理システムのクライアント6のブロック構成図である。
クライアント6は、監視サーバ1の監視対象であり、本実施例においては監視サーバ1との関係においてクライアント6と記載している。従って、クライアント6は例えばファイル共有サーバであっても構わない。
クライアント6は、監視サーバ1の監視対象であり、本実施例においては監視サーバ1との関係においてクライアント6と記載している。従って、クライアント6は例えばファイル共有サーバであっても構わない。
クライアント6には、記憶装置7、入力装置8および表示装置9が通信可能に接続される。
入力装置8はキーボード、マウス等から構成され、クライアント6の操作者は、入力装置8を操作することで、クライアント6に対して必要な指示を与えることができる。表示装置9はCRT、液晶等により構成され、クライアント6の操作者に対して必要な情報を表示することができる。
記憶装置7には、クライアント個人情報管理ファイル71が記憶される。また、記憶装置2の一部は、検出対象ファイル格納領域72として使用される。
クライアント個人情報管理ファイル71は、クライアント6が記憶装置7に記憶している個人情報ファイルそれぞれについて、記憶装置7内のどこに記憶されているか等の情報を管理するためのファイルである。クライアント個人情報管理ファイル71については、後で図5を参照しつつ詳述する。
検出対象ファイル格納領域72は、記憶装置7のうち、個人情報ファイルであるか否かを検出すべき対象ファイルが記憶されている領域である。すなわち、本実施例において、検出対象とするファイルが記憶されている領域全体のことを検出対象ファイル格納領域72と記載するに過ぎないのであり、記憶装置7内に検出対象ファイル格納領域72として識別付けられた特別な領域が存在するわけではない。具体的には、検出対象ファイル格納領域72は1フォルダであっても構わないし、複数のフォルダであっても構わない。また、複数のフォルダのそれぞれ一部分の集合であっても構わない。
クライアント6には、初期設定手段61、ファイル操作監視手段62、ステータス強制変更手段63、個人ファイル送信手段64、およびキーワード情報記憶領域69が存在する。上記の各手段および記録領域は全体として、クライアント6が監視サーバ1からキーワード等を受信する機能、記憶装置7に個人情報ファイルが記憶されているか否かを検出する機能、監視サーバ1に検出結果等を送信する機能、および個人情報ファイルが記憶されている場合に記憶場所を管理する機能等を実現する。
初期設定手段61、ファイル操作監視手段62、ステータス強制変更手段63、および個人ファイル送信手段64は、図示していないがクライアント6の主記憶装置に記憶されたプログラムである。キーワード情報記憶領域69も主記憶装置上に配置され、クライアント6が監視サーバ1から受信した、個人情報ファイルであるか否かを検出するためのキーワード等の情報が記憶される。
なお、初期設定手段61、ファイル操作監視手段62、ステータス強制変更手段63、および個人ファイル送信手段64の具体的な機能については、後にフローチャートを参照しつつ詳述する。また、キーワード情報記憶領域69については後で図6を参照しつつ詳述する。
クライアント6は、ファイル操作監視手段62およびキーワード情報記憶領域69を備えることで、個人情報ファイル検出装置として動作する。
図3は、個人情報管理ファイル21のデータ構成図である。
個人情報管理ファイル21は、個人情報管理システムが個人情報ファイルであるか否かの検出対象としたファイル、すなわち、各クライアント6の検出対象ファイル格納領域72に記憶されている全てのファイル(以降、図3の説明において「対象ファイル」と記載する)について、それぞれを1つの個人情報管理レコード210として記憶したファイルである。すなわち、1つの個人情報管理レコード210が、1つの対象ファイルに対応している。
個人情報管理ファイル21は、個人情報管理システムが個人情報ファイルであるか否かの検出対象としたファイル、すなわち、各クライアント6の検出対象ファイル格納領域72に記憶されている全てのファイル(以降、図3の説明において「対象ファイル」と記載する)について、それぞれを1つの個人情報管理レコード210として記憶したファイルである。すなわち、1つの個人情報管理レコード210が、1つの対象ファイルに対応している。
個人情報管理レコード210は、クライアント識別211、ファイル識別212、ファイル更新日時213、ステータス214、ステータス更新日時215および頻出キーワード216のデータ項目から構成される。
クライアント識別211は、対象ファイルがどのクライアント6の記憶装置7に記憶されているかを特定するための情報であり、クライアント6を一意に識別可能なコード、例えばIPアドレスが設定される。
ファイル識別212は、対象ファイルが記憶装置7のどこに記憶されているかを特定するための情報であり、例えば対象ファイルの絶対パス情報、物理的格納位置(セクター番号等)等が設定される。以降は、ファイル識別212に対象ファイルの絶対パス情報が記憶されているという前提で説明する。
ファイル更新日時213には、対象ファイルの更新日時が設定される。具体的には、例えば「20061224121314」といった値が設定される。なお、ファイルの更新日時はOSが提供するAPI(Application Interface)等を使用することでファイル実体情報から取得することができる。
ステータス214は、対象ファイルが個人情報ファイルであるか否か等を示す情報が記憶される。具体的には「クロ」、「シロ」、「グレー」、「回収済み」、「解除依頼」の5つの情報のうちいずれかが設定される。
ここで、「クロ」とは、対象ファイルが個人情報ファイルであることが確定した状態であること、すなわち個人情報ファイル確定状態を示す。「シロ」とは、対象ファイルが個人情報ファイルでないこと、すなわち非個人情報ファイル状態を示す。また「グレー」とは、対象ファイルが個人情報ファイルである可能性があること、すなわち個人情報ファイル候補状態を示す。
後述するように、対象ファイルのステータス214には、まず「シロ」または「グレー」が設定され、「グレー」が設定された場合には、ファイルの移動(ファイル名の変更を含む)・コピー等の操作が制限される。クライアント6において対象ファイルの更新等が行われる都度、個人情報ファイルであるか否かが判定され、判定結果によりステータス214が更新される。そして、「グレー」が設定された対象ファイルに対して、一定期間、照会・更新等の操作(アクセス)が行われなかった場合は、ステータス214が「クロ」に更新される。「クロ」が設定された場合、ファイルの移動・コピー等の操作が制限される点では「グレー」と同じであるが、さらに一定期間、対象ファイルの照会・更新等の操作(アクセス)が行われなかった場合は、クライアント6から監視サーバ1に回収(移動)され、ステータス214が「回収済み」に更新される。なお、「回収済み」が設定された対象ファイルは、上記の回収の際にクライアント6の記憶装置7から消去されるため、以降、クライアント6において操作することはできなくなる。
また、「グレー」または「クロ」が設定された対象ファイルについては、クライアント6から監視サーバ1に解除要求を送信することができる。解除要求を受けた対象ファイルについては、監視サーバ1により、ステータス214が「解除依頼」に更新される。「解除依頼」が設定された場合には、ファイルの移動・コピー等の操作が制限される点では「グレー」と同じであるが、監視サーバ1の操作者の指示により、ステータス214が「シロ」または「クロ」に更新される。
ステータス更新日時215は、個人情報管理レコード210が新たに記憶されたときに記憶した日時が設定され、ステータス214が更新される都度、更新日時が設定される。
頻出キーワード216は、対象ファイルが個人情報ファイルであるか否かを判定するために使用したキーワード、すなわちキーワードファイル22に記憶されているキーワードのうち、対象ファイルに含まれているキーワードが記憶される。従って頻出キーワード216は記憶されない場合もあるし、1個以上記憶される場合もある。
図4は、キーワードファイル22のデータ構成図である。
キーワードファイル22は、個人情報管理システムが個人情報ファイルであるか否かの判定に使用するキーワードについて、それぞれを1つのキーワードレコード220として記憶したファイルである。
キーワードファイル22は、個人情報管理システムが個人情報ファイルであるか否かの判定に使用するキーワードについて、それぞれを1つのキーワードレコード220として記憶したファイルである。
キーワードレコード220は、キーワード221、出現ファイル数222、クロ・グレーファイル数223およびシロファイル数224のデータ項目から構成される。
キーワード221は、検出対象ファイル格納領域72に記憶されているファイル(以降、図4の説明において「対象ファイル」と記載する)が個人情報ファイルであるか否かの判定に使用する情報である。具体的な判定方法は後に詳述するが、例えば、対象ファイルのテキスト部分(すなわち文字情報が記憶された部分)等に、キーワード221が何個含まれているか等によって判定を行う。
出現ファイル数222は、当該キーワード221が含まれているファイルの数を、クロ・グレーファイル数223は、当該キーワード221が含まれているファイルのうち「クロ」または「グレー」と判定されたファイルの数を、シロファイル数224は、当該キーワード221が含まれているファイルのうち「シロ」と判定されたファイルの数を示す。出現ファイル数222=クロ・グレーファイル数223+シロファイル数224の関係が成立するので、キーワードレコード220のデータ項目としては出現ファイル数222、クロ・グレーファイル数223、シロファイル数224のうち2項目が記憶されていればよいのであるが、本実施例においては説明が冗長になるのを避けるため、3項目とも記憶されているものとして説明する。出現ファイル数222に対するクロ・グレーファイル数223の比率が高い場合には、当該キーワード221を含んだ対象ファイルは個人情報ファイルである可能性が高く、逆に出現ファイル数222に対するクロ・グレーファイル数223の比率が低い場合には、当該キーワード221を含んだ対象ファイルは個人情報ファイルでない可能性が高いと判定することができる。なお、具体的な設定方法および判定方法については、後にフローチャートを参照しつつ詳述する。
図5は、クライアント個人情報管理ファイル71のデータ構成図である。
クライアント個人情報管理ファイル71は、個人情報管理システムが個人情報ファイルであるか否かの検出対象としたファイル、すなわち、当該クライアント6の検出対象ファイル格納領域72に記憶されている全てのファイル(以降、図5の説明において「対象ファイル」と記載する)について、それぞれを1つのクライアント個人情報管理レコード710として記憶したファイルである。すなわち、1つのクライアント個人情報管理レコード710が、1つの対象ファイルに対応している。
クライアント個人情報管理ファイル71は、個人情報管理システムが個人情報ファイルであるか否かの検出対象としたファイル、すなわち、当該クライアント6の検出対象ファイル格納領域72に記憶されている全てのファイル(以降、図5の説明において「対象ファイル」と記載する)について、それぞれを1つのクライアント個人情報管理レコード710として記憶したファイルである。すなわち、1つのクライアント個人情報管理レコード710が、1つの対象ファイルに対応している。
クライアント個人情報管理レコード710は、ファイル識別712、ファイル更新日時713、ステータス714、ステータス更新日時715および頻出キーワード716のデータ項目から構成される。
ファイル識別712は、対象ファイルが記憶装置7のどこに記憶されているかを特定するための情報であり、例えば対象ファイルの絶対パス情報、物理的格納位置(セクター番号等)等が設定される。以降は、ファイル識別712に対象ファイルの絶対パス情報が記憶されているという前提で説明する。
ファイル更新日時713には、対象ファイルの更新日時が設定される。具体的には、例えば「20061224121314」といった値が設定される。なお、ファイルの更新日時はOSが提供するAPI(Application Interface)等を使用することでファイル実体情報から取得することができる。
ステータス714は、対象ファイルが個人情報ファイルであるか否か等を示す情報が記憶される。具体的には「クロ」、「シロ」、「グレー」の3つの情報のうちいずれかが設定される。すなわち本実施例では、ステータス214について前述した「回収済み」、「解除依頼」を示す情報が設定されることはない。クライアント6が起動されると、監視サーバ1の個人情報管理レコード210のうち、クライアント識別211によって当該クライアント6を示しているレコードのステータス214が、クライアント6に送信され、クライアント6は送信されたステータス214によってステータス714を更新する。
ステータス更新日時715は、クライアント個人情報管理レコード710が新たに記憶されたときに記憶した日時が設定され、ステータス714が更新される都度、更新日時が設定される。
頻出キーワード716は、対象ファイルが個人情報ファイルであるか否かを判定するために使用したキーワード、すなわちキーワードファイル22に記憶されているキーワードのうち、対象ファイルに含まれているキーワードが記憶される。従って頻出キーワード716は記憶されない場合もあるし、1個以上記憶される場合もある。
図6は、キーワード情報記憶領域69のデータ構成図である。
キーワード情報記憶領域69は、個人情報管理システムが個人情報ファイルであるか否かの判定に使用するキーワードについて、それぞれを1つのキーワードレコード690として記憶した領域である。
キーワード情報記憶領域69は、個人情報管理システムが個人情報ファイルであるか否かの判定に使用するキーワードについて、それぞれを1つのキーワードレコード690として記憶した領域である。
キーワードレコード690は、キーワード691、出現ファイル数692、クロ・グレーファイル数693およびシロファイル数694のデータ項目から構成される。
クライアント6が起動されると、監視サーバ1のキーワードレコード220の全てが、クライアント6に送信され、キーワード情報記憶領域69にキーワードレコード690として記憶される。また、出現ファイル数692、クロ・グレーファイル数693およびシロファイル数694は、クライアント6によって随時更新され、更新結果は監視サーバ1に送信される。
以上で個人情報管理システムの構成についての説明を終え、次に、フローチャートを参照しつつ個人情報管理システムの動作について説明する。
図7は、監視サーバ1における初期設定処理のフローチャートである。監視サーバ1の初期設定処理は、監視サーバ1が監視を開始するときに行う処理であり、監視サーバ1の初期設定手段11によって実行される。すなわち、初期設定処理が実行される時点では、個人情報管理ファイル21、キーワードファイル22にはレコードが存在せず、また個人情報ファイル回収領域23にはファイルが存在しない状態になっている。
監視サーバ1の操作者が入力装置3を使用して、監視サーバ1に初期設定処理を行うべきことを指示すると(例えばキーボードから初期設定手段11を起動すべきことをコマンド入力すると)、監視サーバ1は初期設定手段11を起動する。
初期設定手段11は、表示装置4に個人情報ファイルのサンプルとして使用すべきファイル(以降、初期設定処理の説明において「サンプルファイル」と記載する)を指定すべき旨のメッセージを表示し、入力装置3からサンプルファイルの絶対パス情報を取得する(S701)。
次に、初期設定手段11はサンプルファイルのテキスト部分を検索することで、頻出キーワードすなわちサンプルファイルが固有に含んでいるキーワードではなく、他のファイルにも頻繁に出現するキーワードを抽出する。具体的には、例えばTF−IDFアルゴリズムを用いて、次のように行う(S702)。
まず、初期設定手段11はサンプルファイルのテキスト部分から名詞を抽出する。ここで、テキスト部分から所定の品詞を抽出する方法については、形態素解析として周知技術であるので、説明を省略する。例えば、サンプルファイルが懲戒文書である場合には「所属」、「氏名」、「訓告」、「年」等の名詞が抽出される。監視サーバ1は抽出した名詞(以降、初期設定処理の説明において「キーワード候補」と記載する)とテキスト部分での出現回数(以降、初期設定処理の説明において「TF」と記載する)を対にして、図示していないが監視サーバ1の主記憶装置内に記憶する。なお、キーワード候補はサンプルファイルのテキスト部分のみならず、画像情報部分から抽出することも可能である。すなわち画像情報の中から画像情報化された文字情報を抽出する技術も広く知られており、このような技術を使用することができる。
次に、初期設定手段11は検出対象ファイル格納領域24に含まれるファイルの数(以降、初期設定処理の説明において「対象ファイル数」と記載する)を数える。このとき、例えばDBについては記憶されているレコードの数を数えればよい。
また、対象ファイル数の対象としたファイルそれぞれについて、キーワード候補を含んでいるか検索し、キーワード候補毎に、当該キーワード候補を含むファイルの数(以降、初期設定処理の説明において「DF」と記載する)を数える。
次に、初期設定手段11は、キーワード候補毎に、TF×log(対象ファイル数÷DF)+1 の計算を行うことで、各キーワード候補についてのTF−IDF値を求め、TF−IDF値が所定値以下であるキーワードを頻出キーワードとする。このとき頻出キーワードの抽出数を抑えるために上限値を設け、例えばTF−IDF値が所定値以下であるキーワードのうち、TF−IDF値が小さいものから上限値数を選択してもよい。また、TF−IDF値が極端に小さいキーワードは、個人情報ファイルに限らずどのようなファイルにも均等に出現するありふれたキーワードである可能性もある。そのようなおそれがある場合には、TF−IDF値が所定の範囲内であるキーワードを抽出してもよい。
初期設定手段11は、以上のようにして抽出した頻出キーワードを含むキーワードレコード220を作成し、キーワードファイル22に記憶する(S703)。このとき、キーワード221には頻出キーワードを、出現ファイル数222およびクロ・グレーファイル数223には対象ファイル数を、シロファイル数224には0を設定する。すなわち初期状態においては全てのファイルが、個人情報ファイルであるものとして扱う。
初期設定手段11は、以上で処理を終了する。
初期設定手段11は、以上で処理を終了する。
なお、初期設定処理において、個人情報ファイルのサンプルファイルだけでなく、個人情報ファイルではないファイルのサンプルファイルについても、頻出キーワードを抽出して、キーワードレコード220を作成することができる。具体的には、S703の処理終了後、表示装置4に個人情報ファイルではないファイルのサンプルとして使用すべきファイル(以降、初期設定処理の説明において「逆サンプルファイル」と記載する)を指定すべき旨のメッセージを表示し、入力装置3から逆サンプルファイルの絶対パス情報を取得する。そして、逆サンプルファイルについて、サンプルファイルと同様に頻出キーワードを抽出し、キーワードレコード220を作成すればよい。ただし、この場合には、出現ファイル数222およびシロファイル数224には対象ファイル数を、クロ・グレーファイル数223には0を設定する。また、S703において、キーワード221の設定値が当該頻出キーワードと同一のレコードが作成済みの場合には、出現ファイル数222には対象ファイル数を加算し、シロファイル数224には対象ファイル数を設定する。
逆サンプルファイルから頻出キーワードを抽出する目的は、個人情報にありそうなキーワードを含みつつも、その組織では個人情報としては用いられていないキーワードを登録することで検出精度を上げるためであるが、省略することもできる。また、サンプルファイルからの頻出キーワードの抽出は行わず、逆サンプルファイルのみから頻出キーワードを抽出してもよい。
さらに、以上で説明したような頻出キーワードの抽出を行うのでなく、監視サーバ1の操作者が直接、キーワード221、出現ファイル数222、クロ・グレーファイル数223およびシロファイル数224に設定する値を指定してもよい。すなわち、前述したS701およびS702の処理を行わず、S703において、入力装置3から入力されたキーワード、クロ・グレーファイル数およびシロファイル数224を、キーワード221、クロ・グレーファイル数223およびシロファイル数224に設定し、出現ファイル数222には、クロ・グレーファイル数223とシロファイル数224の合計値を設定するようにしてもよい。個人情報ファイルを特徴付けるキーワードがはっきり分かっているような場合には、このようにすることで、より正確に個人情報ファイルを検出することができる。
図8は、クライアント6における初期設定処理のフローチャートである。クライアント6の初期設定処理は、クライアント6の初期設定手段61によって実行される。なお、クライアント6における初期設定処理は、クライアント6に対する監視を開始するときに行う処理であり、初期設定処理が実行される時点では、クライアント個人情報管理ファイル71にはレコードが存在せず、監視サーバ1の個人情報管理ファイル21にも、クライアント識別211に当該クライアント6を示す値が設定されたレコードは、存在しない状態になっている。図示していないが、初期設定手段61は起動直後に、このような状態であることを確認し、例えばクライアント個人情報管理ファイル71にレコードが存在する場合には処理を終了するようにしてもよい。
クライアント6の操作者が入力装置8を使用して、クライアント6に初期設定処理を行うべきことを指示すると(例えばキーボードから初期設定手段61を起動すべきことをコマンド入力すると)、クライアント6は初期設定手段61を起動する。
初期設定手段61は、監視サーバ1にキーワード情報等を送信するように要求し、要求に応じて監視サーバ1から送信されたキーワード情報を取得する(S801)。具体的には、監視サーバ1から、キーワードファイル22に記憶されているキーワードレコード220について、キーワード221、出現ファイル数222、クロ・グレーファイル数223およびシロファイル数224が送信されるので、それぞれを、キーワード691、出現ファイル数692、クロ・グレーファイル数693、シロファイル数694に設定して、キーワードレコード690を記憶する。なお、後述するように、監視サーバ1は、初期設定手段61からのキーワード情報等送信要求に応じて、キーワード情報のほかに、個人情報管理ファイル21に記憶されたレコードのうち、クライアント識別211に当該クライアント6を示す値が設定された個人情報管理レコード210を送信するが、前述したように初期設定処理が実行される時点では、送信対象レコードは存在せず、従って、送信された個人情報管理レコード210についての処理は不要である。
次に、初期設定手段61は、検出対象ファイル格納領域72に記憶されている全てのファイルを対象にして、個人情報ファイルの検出処理(S802からS805までの処理)を行う。以下、個人情報ファイルの検出処理について説明する。
初期設定手段61は、検出対象ファイル格納領域に記憶されているファイルが個人情報ファイルであるか否かを判定する。すなわち、それぞれファイルのテキスト部分等に含まれているキーワード691の数(以降、初期設定処理の説明において「出現回数」と記載する)を検索して、各キーワード691につき、評価点を算出し評価点によって判定を行う。例えば、評価点=クロ・グレーファイル数693÷出現ファイル数692×出現回数として、全てのキーワードについての評価点を合計し、合計値が所定値以上である場合に、個人情報ファイルであると判定することができる。また、評価点=(クロ・グレーファイル数693−シロファイル数694)÷出現ファイル数692×出現回数としてもよいし、評価点の算出方法としてはさまざまな方法が可能である。いずれの方法によるにせよ、評価点の合計値が、当該ファイルが個人情報ファイルである可能性と相関関係を有するような算出方法を選択すればよい(S802)。
初期設定手段61は、上記の判定を行ったファイルにつき、クライアント個人情報管理レコード710を作成してクライアント個人情報管理ファイル71に記憶する。このとき、ファイル識別712には当該ファイルの絶対パス情報を、ファイル更新日時713には当該ファイルの更新日時を、ステータス更新日時715にはクライアント個人情報管理レコード710を作成した日時を、頻出キーワード716にはキーワード691のうち当該ファイルに含まれていたものを設定する。また、ステータス714には、当該ファイルが個人情報ファイルである(個人情報を含んでいる可能性がある)と判定した場合には「グレー」を、個人情報ファイルでないと判定した場合には「シロ」を設定する(S803)。
次に、初期設定手段61は、クライアント個人情報管理レコード710に設定したステータス情報、すなわちファイル識別712、ファイル更新日時713、ステータス714、ステータス更新日時715および頻出キーワード716を監視サーバ1に送信する。また、以上の情報が監視サーバ1に新たに送信するステータス情報であることを示す識別情報(以降「送信情報種別」と記載する)を送信する(S804)。
初期設定手段61は、検出対象ファイル格納領域に記憶されている全てのファイルを対象にして、個人情報ファイルの検出処理を行い、全ファイルについて個人情報ファイル(「グレー」)であるか否かの判定が終了すると、処理を終了する。
図9は、監視サーバ1におけるステータス送付処理のフローチャートである。監視サーバ1のステータス送付処理は、監視サーバ1のステータス送付手段12によって実行される。
ステータス送付手段12は、監視サーバ1が起動されると、監視サーバ1によって起動され、クライアント6からキーワード情報等の送信要求を受けるまで待ち続ける(S901)。なお、キーワード情報等の送信要求は、前述したようにクライアント6の初期設定手段61によって行われるほか、後述するようにクライアント6のファイル操作監視手段62によっても行われる。
ステータス送付手段12は、クライアント6からキーワード情報等の送信要求を受けると、キーワードファイル22に記憶されている全てのキーワードレコード220を取得し(S902)、取得したキーワードレコード220のキーワード221、出現ファイル数222、クロ・グレーファイル数223およびシロファイル数224を、クライアント6に送信する(S903)。
次に、ステータス送付手段12は、個人情報管理ファイル21に記憶されている個人情報管理レコード210のうち、クライアント識別211に当該クライアント6を示す値が設定された全てのレコードを取得し(S904)、ステータス214が「シロ」、「グレー」または「クロ」であるレコードのファイル識別212、ステータス214、およびステータス更新日時215を、クライアント6に送信する(S905)。
そして、ステータス送付手段12は、再び、クライアント6からキーワード情報等の送信要求を受けるまで待ち続ける(S901)。
クライアント6は、前述したように、以上のように送信されたキーワード221等をキーワード情報記憶領域69に記憶させるとともに、後述するように、クライアント個人情報管理ファイル71に記憶されているクライアント個人情報管理レコード710のうち送信されたファイル識別212に対応するレコードのステータス714等を更新する。これによって、クライアント6が管理する個人情報ファイルのステータス等を、監視サーバ1が管理する個人情報ファイルのステータス等と一致させることができる。
なお、ステータス送付手段12は、キーワードファイル22に記憶されている全てのキーワードレコード220のキーワード221等を送信するのではなく、個人情報ファイル候補(「グレー」)であるか否かを判定するにあたり重要なキーワードのみを選択して、キーワード221等を送信してもよい。
この場合、例えばクロ率=クロ・グレーファイル数223÷出現ファイル数222という計算を行い、クロ率が1に近いキーワードおよびクロ率が0に近いキーワードを重要なキーワードとすることができる。
ただし、クロ率が1に近いキーワードが少なすぎると個人情報ファイルの検出力が落ちるため、クロ率が1に近いキーワードの数とクロ率が0に近いキーワードの数がほぼ一致し、かつ充分な数となるように選択すべきである。
なお、ステータス送付手段12をキーワード送付手段とステータス送付手段の2つに分けて構成し、キーワード送付手段がS901からS903までの処理を行い、ステータス送付手段がS901、S904およびS905の処理を行うようにしても良い。
図10は、監視サーバ1におけるステータス更新処理のフローチャートである。監視サーバ1のステータス更新処理は、監視サーバ1のステータス更新手段13によって実行される。
ステータス更新手段13は、監視サーバ1が起動されると、監視サーバ1によって起動され、クライアント6からステータス情報を受信するまで待ち続ける(S1001)。なお、ステータス情報は、前述したようにクライアント6の初期設定手段61によって送信されるほか、後述するようにクライアント6のファイル操作監視手段62およびステータス強制変更手段63によっても送信される。このとき、ファイル操作監視手段62からは、ファイル識別、ファイル更新日時、ステータス、ステータス更新日時および頻出キーワードが送信される。さらに以上の情報が新たに送信する情報か、ステータスを強制的に更新した結果の情報か、あるいは送付済み情報についての削除情報なのか(以降、図10の説明においてそれぞれ「新規情報」、「更新情報」、「削除情報」と記載する)等を識別する送信情報種別が送信される。なお、クライアント6においてファイル操作が行われた結果、ステータス情報が更新された場合には、後述するように、変更前のステータス情報について削除情報が送信され、変更後のステータス情報について新規情報が送信される。
ステータス更新手段13は、クライアント6からステータス情報を受信すると、送信情報種別が新規情報であるかどうかを判定する(S1002)。
送信情報種別が新規情報である場合には、個人情報管理レコード210を作成する(S1003)。具体的には、クライアント識別211にステータス情報を送信したクライアントを識別する情報を設定し、ファイル識別212、ファイル更新日時213、ステータス214、ステータス更新日時215、頻出キーワード216に、それぞれ送信されたファイル識別、ファイル更新日時、ステータス、ステータス更新日時、頻出キーワードを設定し、個人情報管理ファイル21に記憶する。また、ステータス更新手段13は、キーワードレコード220を更新する(S1004)。具体的には、送信された頻出キーワードのそれぞれについて、キーワード221が一致するキーワードレコード220について、出現ファイル数222を1加算する。また、ステータスが「クロ」または「グレー」の場合はクロ・グレーファイル数223に、「シロ」の場合はシロファイル数224を1加算する。
送信情報種別が更新情報の場合には、個人情報管理ファイル21に記憶されている個人情報管理レコード210のうち、クライアント識別211に当該クライアント6を示す値が設定され、かつファイル識別212が送信されたファイル識別と一致するレコードのステータス214およびステータス更新日時215に送信されたステータスおよびステータス更新日時を設定し、個人情報管理レコード210を更新する(S1005)。また、ステータス更新手段13は、キーワードレコード220を更新する(S1006)。具体的には、送信された頻出キーワードのそれぞれについて、キーワード221が一致するキーワードレコード220について、出現ファイル数222に1を加算する。また、ステータスが「クロ」または「グレー」の場合はクロ・グレーファイル数223に1を、「シロ」の場合はシロファイル数224に1をそれぞれ加算する。
送信情報種別が削除情報の場合には、個人情報管理ファイル21に記憶されている個人情報管理レコード210のうち、クライアント識別211に当該クライアント6を示す値が設定され、かつファイル識別212が送信されたファイル識別と一致するレコードを削除する(S1005)。なお、送信情報種別が削除情報の場合には、キーワードレコード220の更新は行わない。
ステータス更新手段13は、S1002からS1006までの処理を、受信した全てのステータス情報について行い(S1007)、その後、再びクライアント6からステータス情報を受信するまで待ち続ける(S1001)。
クライアント6からステータス情報を受信しなかった場合(S1001の「NO」の場合)、ステータス更新手段13は、ステータス「グレー」を「クロ」に変更する処理(S1020からS1023の処理)を行う。本処理の目的は、個人情報ファイルの疑いがあるファイルのうち、長期間にわたって放置されているファイルがクライアント6の検出対象ファイル格納領域72から回収されるようにするため、その前段階としてステータスを「クロ」に変更することにある。すなわち「グレー」のファイルは操作されることなく所定期間が経過すると「クロ」ファイルになり、さらに操作されることなく所定期間が経過すると監視サーバ1に送信され、クライアント6からは消去される。このようにすることで、個人情報ファイルをセキュリティ監視対策の行き届いた監視サーバ1に集約する一方、クライアント6の操作者が必要とするファイルが突然消去されないように、クライアント6の操作者に時間的余裕を与えることができるのである。
ステータス更新手段13は、個人情報管理ファイル21を検索し、ステータス214が「グレー」である個人情報管理レコード210が存在するか判定する(S1020)。
ステータス214が「グレー」であるレコードが存在しない場合には、再びクライアント6からステータス情報を受信するまで待ち続け(S1001)、存在する場合には、ステータス214が「グレー」であるレコードのうち、ステータス更新日時215が最古のレコードを参照する(S1021)。そして、ステータス更新日時215から所定期間(例えば1ヶ月)が経過済みである場合(S1022)は、参照したレコードのステータス214に「クロ」を設定し、現在日時(すなわち本処理を行っている日時)をステータス更新日時215に設定して、参照したレコードを更新する(S1023)。
なお、ステータス「グレー」を「クロ」に変更する処理はステータス更新手段13が行うのでなく、S1020からS1023までの処理を行うステータス確定手段を設けても良い。その場合には、ステータス確定手段は、監視サーバ1のCPU使用率等を常時監視し、監視サーバ1の負荷が低い状態である場合にS1020からS1023までの処理を行うようにすることができる。
図11は、クライアント6におけるファイル操作監視処理のフローチャートである。クライアント6のファイル操作監視処理は、クライアント6のファイル操作監視手段62によって実行される。
ファイル操作監視手段62は、クライアント6が起動されると、クライアント6によって起動され、随時、個人情報ファイルの作成・更新等を検出し、監視サーバ1に必要な情報を送信する。
ファイル操作監視手段62は、起動されると、まずキーワード情報等を取得済みであるか否かを判定する(S1101)。例えばキーワード情報記憶領域69にキーワードレコード690が記憶されているか判定する。
キーワード情報等を未取得である場合、ファイル操作監視手段62は、監視サーバ1にキーワード情報等を送信するように要求し、要求に応じて監視サーバ1から送信されたキーワード情報およびステータス情報を取得する(S1102)。具体的には、監視サーバ1のステータス送付手段12により、キーワードファイル22に記憶されているキーワードレコード220について、キーワード221、出現ファイル数222、クロ・グレーファイル数223およびシロファイル数224が送信されるので、それぞれを、キーワード691、出現ファイル数692、クロ・グレーファイル数693、シロファイル数694に設定して、キーワードレコード690を記憶する。また、ステータス送付手段12により、個人情報管理ファイル21に記憶されている個人情報管理レコード210のうち、クライアント識別211が当該クライアント6を識別するレコードであって、かつステータス214が「シロ」「グレー」または「クロ」であるレコードのファイル識別212、ステータス214、およびステータス更新日時215が送信されるので、それぞれを、クライアント個人情報管理レコード710のうち、ファイル識別712が送信されたファイル識別と等しいレコードの、ステータス714およびステータス更新日時715に設定して、クライアント個人情報管理レコード710を更新する。
以上の処理が終了すると、ファイル操作監視手段62は、ファイル作成、更新、削除、コピー、移動、送信等、ファイルの記憶場所や記憶内容等を変更する操作を検出するまで待つ(S1103)。ファイル操作の検出は、例えばOSのファイル操作処理やファイル送信処理にフックをかけることによって実現することができる。
ファイルの記憶場所や記憶内容等を変更する操作を検出した場合、ファイル操作監視手段62は、当該操作が検出対象ファイル格納領域72外に記憶されているファイルの削除操作であるかを判定し、該当する場合には、再びファイルの記憶場所や記憶内容等を変更する操作を検出するまで待つ(S1104)。
ファイルの記憶場所や記憶内容等を変更する操作を検出した場合、操作対象のファイルが個人情報ファイルか否か等を判定する(S1105)。
具体的には、ファイル操作が行われる前のファイルのテキスト部分等を対象に、初期設定手段61が行う判定処理(S802)と同様の処理を行い「シロ」または「グレー」のステータスを得る(以降、図11の説明において「操作前ステータス」と記載する)。ここで、ファイル操作内容がファイルの作成、外部記憶媒体からのファイルのコピー、受信したメールに添付されていたファイルの取込等、クライアント6の記憶装置7に新たにファイルを作成する操作である場合には、操作前ステータスには「なし」というステータスを設定するものとする。次に、「操作前ステータス」が「シロ」または「グレー」であり、操作前のファイルが検出対象ファイル格納領域72に記憶されている場合、当該ファイルのクライアント個人情報管理レコード710のステータス714を参照し、ステータス714が「クロ」である場合には、操作前ステータスを「クロ」にする。すなわち、キーワードレコード690の設定内容は、クライアント6を新たに起動するたびに変わっていくため、ステータス714に設定されている「シロ」または「グレー」の値が妥当ではない可能性がある。一方、ステータス714が「クロ」である場合は、監視サーバ1の操作者等により確認されたいわば確定ステータスである。このため、ステータス714が「クロ」の場合は操作前ステータスを「クロ」とし、ステータス714が「クロ」でない場合は、あらためてステータスを判定するのである。
次に、当該操作を行った場合の操作後のファイルのテキスト部分等を対象に、初期設定手段61が行う判定処理(S802)と同様の個人情報ファイル判定処理を行い、「シロ」または「グレー」のステータスを得る(以降、図11の説明において「操作後ステータス」と記載する)。ここで当該操作を行った場合にファイルが削除される場合には、操作後ステータスには「なし」というステータスを設定するものとする。
さらに、操作後ステータスが「シロ」または「グレー」の場合、操作を行った結果、操作後のファイルが検出対象ファイル格納領域72内に記憶されるか否かを判定し、検出対象ファイル格納領域72内に格納される場合は「領域内」、検出対象ファイル格納領域72外に格納される場合は「領域外」の情報(以降、図11の説明において「操作後格納場所」と記載する)を得る。
次に、ファイル操作監視手段62は、操作前ステータス、操作後ステータスおよび操作後格納場所により、操作が適切であるかどうかを判定する(S1106)。
この判定は、図19に示す表(以降「処理条件表」と記載する)に示すように行えばよい。例えば、操作前ステータスが「シロ」または「グレー」、操作後ステータスが「シロ」、操作後格納場所が「領域内」である場合には、処理条件表の1行目において操作可否が「○」になっているので操作が適切であると判定する。操作前ステータスが「シロ」または「グレー」、操作後ステータスが「グレー」、操作後格納場所が「領域外」である場合には、処理条件表の4行目において操作可否が「×」になっているので操作が適切でないと判定する。なお、処理条件表において「操作例」と記載した欄は、説明を理解しやすくするために各条件に該当する操作を例示したに過ぎず、ファイル操作監視手段62の機能には関係しない。また、図19の処理条件表は一例に過ぎず、これと異なる条件で判定を行ってもよい。
操作が適切でないと判定した場合は当該操作を禁止する(S1107)。このとき、フックをかけたOSのファイル操作処理やファイル送信処理が実行されないようにしてもよいし、フックをかけたOSのファイル操作処理やファイル送信処理に内容が空白のダミーファイルを引き渡して、これに対して処理を行わせてもよい。また、単に操作を禁止するのではなく、クライアント6の表示装置9に適切な操作が行われたことを表示してもよい。表示等を行うことで、クライアント6の操作者は当該ファイルが個人情報ファイルであることに気付くことができる。
次に、ファイル操作監視手段62は、ステータス情報の変更等が必要かどうかを判定する(S1108)。この判定は、処理条件表に示すように行えばよい。例えば、操作前ステータスが「シロ」または「グレー」、操作後ステータスが「シロ」、操作後格納場所が「領域内」である場合には、処理条件表の1行目において「クライアント個人情報管理レコード」欄が「更新」になっているので、クライアント個人情報管理レコード710を更新する。操作前ステータスが「シロ」または「グレー」、操作後ステータスが「シロ」、操作後格納場所が「領域外」である場合には、処理条件表の2行目において「クライアント個人情報管理レコード」欄が「−」になっているので、クライアント個人情報管理レコード710の更新等を行わない。「クライアント個人情報管理レコード」欄が「削除」となっている場合にはクライアント個人情報管理レコード710を削除し、「作成」となっている場合にはクライアント個人情報管理レコード710を作成する。
以上(S1108)の判定結果、クライアント個人情報管理レコード710を「作成」する場合、ファイル操作監視手段62は、ファイル識別712にファイルの操作後の絶対パス、ファイル更新日時713に現在日時(すなわち本処理を行っている日時)、ステータス714に操作後ステータス、ステータス更新日時715に現在日時(すなわち本処理を行っている日時)、頻出キーワード716に当該ファイルが個人情報ファイルであるか否かを判定するために使用したキーワード、すなわちキーワードファイル22に記憶されているキーワードのうち、当該ファイルに含まれているキーワードを設定して、クライアント個人情報管理レコード710を記憶する。
クライアント個人情報管理レコード710を「削除」する場合、ファイル操作監視手段62は、ファイル識別712がファイルの操作前の絶対パスと一致するクライアント個人情報管理レコード710を削除する。
クライアント個人情報管理レコード710を「更新」する場合、ファイル操作監視手段62は、ファイル識別712がファイルの操作前の絶対パスと一致するクライアント個人情報管理レコード710を削除した後、前述したクライアント個人情報管理レコード710の「作成」と同じ処理を行う(S1109)。
次に、ファイル操作監視手段62は、当該クライアント個人情報管理レコード710の更新前後に設定されていたステータス情報を監視サーバ1に送信する(S1110)。
このとき、S1108の判定の結果、クライアント個人情報管理レコード710を「作成」する場合には、ファイル識別712、ファイル更新日時713、ステータス714、ステータス更新日時715および頻出キーワード716を監視サーバ1に送信する。また、以上の情報が新規情報であることを示す送信情報種別を送信する。
S1108の判定の結果、クライアント個人情報管理レコード710を「削除」する場合には、削除前のクライアント個人情報管理レコード710のファイル識別712、ファイル更新日時713、ステータス714、ステータス更新日時715および頻出キーワード716を監視サーバ1に送信する。また、以上の情報が削除情報であることを示す送信情報種別を送信する。
S1108の判定の結果、クライアント個人情報管理レコード710を「更新」する場合には、S1109で削除したクライアント個人情報管理レコード710のファイル識別712、ファイル更新日時713、ステータス714、ステータス更新日時715および頻出キーワード716を監視サーバ1に送信する。また以上の情報が削除情報であることを示す送信情報種別を送信する。そして、S1109で作成したクライアント個人情報管理レコード710のファイル識別712、ファイル更新日時713、ステータス714、ステータス更新日時715および頻出キーワード716を、監視サーバ1に送信する。また以上の情報が新規情報であることを示す送信情報種別を送信する。
以上までに説明した、監視サーバにおける初期設定処理、クライアントにおける初期設定処理、監視サーバにおけるステータス送付処理、監視サーバにおけるステータス更新処理、およびクライアントにおけるファイル操作監視処理により、クライアント6の記憶装置7に記憶された個人情報ファイルを随時検出し、個人情報ファイルについての操作を制限することが可能になる。また、もともと個人情報を含まなかったファイルが更新の結果、個人情報を含むようになった場合、この時点で個人情報ファイルを自動的に検出できる。さらに、「シロ」、「グレー」、「クロ」の3つのステータスによって管理することで、クライアント6の操作者に対応する時間的余裕を与えつつ、徐々に操作の制限を強くしていくことができる。
以降は、さらにクライアント6において、ステータスの強制変更等を可能にする方法について説明する。
図12は、クライアント6におけるステータス強制変更処理のフローチャートである。クライアント6のステータス強制変更処理は、クライアント6のステータス強制変更手段63によって実行される。
クライアント6の操作者が入力装置8を使用して、クライアント6にステータス強制変更処理を行うべきことを指示すると(例えばステータス強制変更手段63を起動すべきことをコマンド入力すると)、クライアント6は強制変更手段63を起動する。
ステータス強制変更手段63は起動されると、表示装置9にステータス変更画面を表示する(S1201)。
図13は、ステータス変更画面の表示例である。
ステータス変更画面には、対象ファイル選択フィールド1301および実行ボタン1305、キャンセルボタン1306を表示する。このとき、ステータス強制変更手段63は、クライアント個人情報管理ファイル71に記憶されている全てのクライアント個人情報管理レコード710を検索し、ファイル識別712およびステータス714を取得する。取得したファイル識別およびステータスは、対にして一時的に記憶する(以降、ステータス強制変更処理の説明において「ステータス情報一時記憶エリア」と記載する)。また、ステータス情報一時記憶エリアに記憶したファイル識別とステータスを、対象ファイル選択フィールド内のファイル名表示欄1302とステータス表示欄1303に対応させてスクロール表示し、さらにファイル選択チェックボックス1304を表示する。
ステータス変更画面には、対象ファイル選択フィールド1301および実行ボタン1305、キャンセルボタン1306を表示する。このとき、ステータス強制変更手段63は、クライアント個人情報管理ファイル71に記憶されている全てのクライアント個人情報管理レコード710を検索し、ファイル識別712およびステータス714を取得する。取得したファイル識別およびステータスは、対にして一時的に記憶する(以降、ステータス強制変更処理の説明において「ステータス情報一時記憶エリア」と記載する)。また、ステータス情報一時記憶エリアに記憶したファイル識別とステータスを、対象ファイル選択フィールド内のファイル名表示欄1302とステータス表示欄1303に対応させてスクロール表示し、さらにファイル選択チェックボックス1304を表示する。
このとき、ファイル名表示欄の並び順は、ファイル更新日時713の降順(新たに作成・更新した順)、ファイル識別の昇順(操作者に分かりやすい順)等、操作者の便宜を考慮して定めればよい。なお、後の処理の必要上、ステータス情報一時記憶エリア内のファイル識別およびステータスを対にした情報も、ファイル名表示欄の並び順と合わせて並べ替えるものとする。
ステータス強制変更手段63は、ボタンが押下されるまで待ち続け、ボタンが押下された旨を検出すると(S1202)、押下されたボタンが実行ボタン1305であるか否かを判定する(S1203)。
押下されたボタンが実行ボタン1305ではない、すなわちキャンセルボタン1306であると判定した場合には、ステータス強制変更手段63は処理を終了する。また、押下されたボタンが実行ボタン1305であると判定した場合には、ステータス強制変更手段63は、ステータス情報一時記憶エリアの、チェック入力(選択入力)されたチェックボックスに対応するファイル識別およびステータス(以降、ステータス強制変更処理の説明において、それぞれ「対象ファイル識別」、「対象ステータス」と記載する)について以降の処理をおこなう。
ステータス強制変更手段63は、対象ステータスが「グレー」または「クロ」の場合に、解除要求であると判定し(S1204)、監視サーバ1に解除要求を送信する。具体的には、対象ファイル識別を監視サーバ1に送信する。また、以上の情報が解除要求情報であることを示す識別情報を送信する(S1205)。
ステータス強制変更手段63は、対象ステータスが「シロ」の場合には、クライアント個人情報管理レコード710のうちファイル識別712が対象ファイル識別と一致するレコードのステータス714に「グレー」を、ステータス更新日時715に現在日時を設定して、個人情報管理レコード710を更新する(S1206)。また、監視サーバ1にステータス情報を送信する(S1207)。具体的には、上記更新したクライアント個人情報管理レコード710の更新後のファイル識別712、ファイル更新日時713、ステータス714、ステータス更新日時715および頻出キーワード716を監視サーバ1に送信する。また、以上の情報が更新情報であることを示す送信情報種別を送信する。
ステータス強制変更手段63は、上記の(S1204からS1207)の処理を、選択ファイル全て、すなわち選択入力されたチェックボックス全てについて行うと(S1208)、再び表示装置9にステータス変更画面を表示する(S1201)。
クライアント6において、ステータスの強制変更等を可能にする場合には、監視サーバ1において、ステータス強制変更手段63から送信された解除要求情報を適切に処理する必要がある。この処理は前述したステータス更新手段13によって、実現することができる。
図14は、監視サーバ1におけるステータス更新処理に解除要求情報に対する処理を加えた場合のフローチャートである。監視サーバ1のステータス更新処理は、監視サーバ1のステータス更新手段13によって実行される。図14のうち、図10と異なるのは、S1030からS1032までの処理であり、その他は既に図10を参照して説明したものと同じである。よって、ここではS1030からS1032までの処理について説明する。なお、ステータス強制変更手段63によって送信された更新情報は、S1005およびS1006で処理される。
ステータス更新手段13は、ステータス情報を受信すると(S1001のYESの処理)、送信情報種別が解除要求であるか判定する(S1030)。
解除要求である場合は、個人情報管理レコード210のうちファイル識別212がクライアント6から送信されたファイル識別と一致するレコードのステータス214に「解除要求」を、ステータス更新日時215に現在日時を設定して、個人情報管理レコード210を更新する(S1031)。また、解除要求があったことの通知を行う(S1032)。具体的には、表示装置4にクライアント6から送信されたファイル識別とともに解除要求があった旨のメッセージを表示すればよい。また、このほかに、あるいはこれに加えて、予め記憶装置2内に監視サーバ1の操作者、管理者等のメールアドレスを記憶しておき、このメールアドレス宛にクライアント6から送信されたファイル識別とともに解除要求があった旨のメッセージを送信してもよい。
さて、監視サーバ1の操作者、管理者等は、解除要求があったことを通知された場合、監視サーバ1を操作して「解除要求」が設定されたステータス214を「シロ」または「クロ」に変更できる、すなわちファイル判定の解除を行うことができる。クライアント6から送信されたファイルについてステータス更新手段13が自動的にステータス214を変更するのでなく、一旦、監視サーバ1の操作者に通知する理由は、どのような判定方法を取ろうとも、個人情報ファイルであるか否かを常に正しく判定できるとは限らないからである。すなわち、個人情報であるかという疑いがあるファイルは全て「グレー」としてファイル操作制限をかけておくことで、個人情報ファイルが不適切に管理されることを防止しつつ、「グレー」とされたファイルが実際には個人情報ファイルではない場合には、監視サーバ1の操作者、管理者等がファイル内容を確認した上で「シロ」とすることを可能にする。また、「クロ」とされたファイルが個人情報ファイルでなくなった場合にも監視サーバ1の操作者がファイル内容を確認した上で「シロ」とすることを可能にする。さらに、監視サーバ1の操作者、管理者等がファイル内容を確認する機会を設けることで、個人情報ファイル「グレー」とされたファイルが実際に個人情報ファイルであった場合(解除要求が不適切である場合)には、ステータスを「クロ」に変更し、ファイル操作制限をかけたまま、所定期間が経過すると自動的にクライアント6の記憶装置7から消去されるようにできる。
ここで、監視サーバ1の操作者、管理者等によるファイル内容の確認方法としては、当該ファイルのクライアント識別211およびファイル識別212によってファイルの所在場所が分かるので、例えば、当該ファイルをFTP(File Transfer Protocol)コマンドによって監視サーバ1に転送して内容を調べればよい。
図15は、監視サーバ1における個人ファイル判定解除処理のフローチャートである。監視サーバ1の個人ファイル判定解除処理は、監視サーバ1の個人ファイル判定解除手段14によって実行される。
監視サーバ1の操作者が入力装置3を使用して、監視サーバ1に個人ファイル判定解除処理を行うべきことを指示すると(例えば個人ファイル判定解除手段14を起動すべきことをコマンド入力すると)、監視サーバ1は個人ファイル判定解除手段14を起動する。個人ファイル判定解除手段14は起動されると、表示装置4に解除画面を表示する(S1501)。
図16は、解除画面の表示例である。
解除画面には、対象ファイル選択フィールド1601および実行ボタン1605、キャンセルボタン1606を表示する。このとき、個人ファイル判定解除手段14は、個人情報管理ファイル21に記憶されている個人情報管理レコード210を検索し、ステータス214に「解除要求」が設定されているすべてのレコードのクライアント識別211およびファイル識別212を取得する。取得したクライアント識別およびファイル識別は、対にして一時的に記憶する(以降、個人ファイル判定解除処理の説明において「ファイル情報一時記憶エリア」と記載する)。また、ファイル情報一時記憶エリアに記憶したクライアント識別とファイル識別を、対象ファイル選択フィールド内のクライアント表示欄1602とファイル名表示欄1603に対応させてスクロール表示し、さらにファイル選択チェックボックス1604を表示する。
解除画面には、対象ファイル選択フィールド1601および実行ボタン1605、キャンセルボタン1606を表示する。このとき、個人ファイル判定解除手段14は、個人情報管理ファイル21に記憶されている個人情報管理レコード210を検索し、ステータス214に「解除要求」が設定されているすべてのレコードのクライアント識別211およびファイル識別212を取得する。取得したクライアント識別およびファイル識別は、対にして一時的に記憶する(以降、個人ファイル判定解除処理の説明において「ファイル情報一時記憶エリア」と記載する)。また、ファイル情報一時記憶エリアに記憶したクライアント識別とファイル識別を、対象ファイル選択フィールド内のクライアント表示欄1602とファイル名表示欄1603に対応させてスクロール表示し、さらにファイル選択チェックボックス1604を表示する。
このとき、ファイル名表示欄の並び順は、クライアント識別の昇順で、同一クライアント識別についてはファイル識別の昇順とする等、操作者の便宜に応じて定めればよい。なお、後の処理の必要上、ファイル情報一時記憶エリア内のクライアント識別およびファイル識別を対にした情報も、ファイル名表示欄の並び順と合わせて並べ替えるものとする。
個人ファイル判定解除手段14は、ボタンが押下されるまで待ち続け、ボタンが押下された旨を検出すると(S1502)、押下されたボタンが実行ボタン1605であるか否かを判定する(S1503)。
押下されたボタンが実行ボタン1605ではない、すなわちキャンセルボタン1606であると判定した場合には、個人ファイル判定解除手段14は処理を終了する。また、押下されたボタンが実行ボタン1605であると判定した場合には、個人ファイル判定解除手段14は、ファイル情報一時記憶エリアの、チェック入力(選択入力)されたチェックボックスに対応するクライアント識別とファイル識別(以降、個人ファイル判定解除処理の説明において、それぞれ「対象クライアント識別」、「対象ファイル識別」と記載する)について、以降の処理を行う。
個人ファイル判定解除手段14は、個人情報管理レコード210のうちクライアント識別211およびファイル識別212がクライアント識別および対象ファイル識別と一致するレコードのステータス214を参照し、「解除要求」となっている場合には解除処理(S1505からS1507の処理)を行う(S1505)。ここで再度ステータス214を参照する理由は、解除画面を表示した後、ステータス214が変更されている場合があるからである。
解除処理においては、ステータス214に「シロ」を、ステータス更新日時215に現在日時を設定して個人情報管理レコード210を更新する(S1505)。また、当該個人情報管理レコード210の頻出キーワード216に設定されているキーワードについて、キーワードレコード220を更新する(S1506)。具体的には、出現ファイル数212およびシロファイル数224に1加算する。さらに、解除済みであることの通知を行う(S1507)。例えば、予め記憶装置2内にクライアント6の操作者のメールアドレスをクライアント6ごとに記憶しておき、このメールアドレス宛にファイル識別とともに解除済みである旨のメッセージを送信すればよい。なお、通知に変えて、あるいは通知に加えて、対応するクライアント個人情報管理レコード710のステータス714を自動的に更新することも可能である。自動的に更新しない場合でも、クライアント個人情報管理レコード710のステータス714はクライアント6を起動したタイミングで更新されるので、多少の遅延はあるが、「シロ」状態に更新される。
個人ファイル判定解除手段14は、上記の(S1504からS1507)の処理を、選択ファイル全て、すなわち選択入力されたチェックボックス全てについて行うと(S1508)、再び表示装置4に解除画面を表示する(S1501)。
これまで説明した処理により、検出対象ファイル格納領域72内に存在する全てのファイルについて「シロ」、「グレー」、「クロ」の3つのステータスが適切に管理され、個人情報ファイルは随時検出される。さらに、個人情報ファイルを外部に持ち出す必要がある場合には、解除処理を利用して一時的に外部記憶媒体へのコピーを許す等の運用も可能になる。
このほかに、長期間にわたって「クロ」のまま放置されたファイルについては、監視サーバ1に送信し、クライアント6からは消去する(監視サーバ1に回収する)ことができる。これにより、クライアント6において操作する必要がなくなった個人情報ファイルを自動的に監視サーバ1に回収することができる。
図17は、クライアント6における個人ファイル送信処理のフローチャートである。クライアント6の初期設定処理は、クライアント6の個人ファイル送信手段64によって実行される。
個人ファイル送信手段64は、クライアント6が起動されると、クライアント6によって起動され、CPUが低負荷になるまで、すなわちCPU使用率が所定値(例えば30%)以下になるまで待ち続ける(S1701)。個人ファイル送信処理は、他の処理に比べて即時実施する必要性が低いため、このようにCPUが低負荷の場合にのみ処理を行うようにするとよい。
CPUが低負荷の場合、個人ファイル送信手段64は、クライアント個人情報管理ファイル71を検索し、ステータス714が「クロ」であるクライアント個人情報管理レコード710が存在するか判定する(S1702)。
ステータス714が「クロ」であるレコードが存在しない場合には、再びCPUが低負荷になるまで待ち続け(S1701)、存在する場合には、ステータス714が「クロ」であるレコードのうち、ステータス更新日時715が最古のレコードを参照する(S1703)。そして、ステータス更新日時715から所定期間(例えば14日)が経過済みである場合(S1704)は、参照したレコードのファイル識別712によってファイルを読み、ファイルの内容とファイル識別712を監視サーバ1に送信する(S1705)。また、参照したクライアント個人情報管理レコード710を削除し(S1706)、監視サーバ1に送信したファイルを削除し(S1707)、再びCPUが低負荷になるまで待ち続ける(S1701)。
図18は、監視サーバ1における個人ファイル回収処理のフローチャートである。監視サーバ1の個人ファイル回収処理は、監視サーバ1の個人ファイル回収手段15によって実行される。
個人ファイル回収手段15は、監視サーバ1が起動されると、監視サーバ1によって起動され、クライアント6から回収対象ファイルを受信するまで待ち続ける(S1801)。
回収対象ファイルを受信すると、受信したファイルの内容を個人情報ファイル回収領域23に格納し(すなわち記憶させ)、記憶したファイルの絶対パス(以降「回収場所」と記載する)を得る(S1802)。
次に、個人ファイル回収手段15は、個人情報管理レコード210のうち、クライアント識別211に回収対象ファイルを送信したクライアント6を識別する情報が設定されており、ファイル識別212が受信したファイル識別と一致するレコードを更新する(S1803)。具体的にはファイル識別212に回収場所を、ファイル更新一時に現在日時を、ステータス214に「回収済み」を、ステータス更新日時215に現在日時を設定し、個人情報管理レコード210を更新する。
以上のように本実施例によれば、ファイルを「シロ」、「グレー」、「クロ」の3つのステータスによって管理することで、クライアント6の操作者に対応する時間的余裕を与えつつ、徐々に操作の制限を強くしていくことができる。さらに、「グレー」ファイルに所定期間の間アクセスがなかった場合には、当該「グレー」ファイルを「クロ」ファイルに遷移させ、また、「クロ」ファイルに所定期間の間アクセスがなかった場合には、当該「クロ」のファイルを取り出してサーバ側において記憶・管理することを、サーバ側で自動的に行うので、クライアント側の操作者が何ら意識することなく、当面は操作する可能性の少ない、漏洩を防止する必要があるファイルを、より漏洩に対してセキュリティの高い管理状態に移すことができる。また、ファイル操作の結果、ステータスが制限を強くする方向に変化した場合には即時にステータスを変更し、ステータスが制限を弱くする方向に変化した場合には、サーバ側の権限のある管理者などが確認後にステータスを変更することで、誤って操作制限対象外となることを防止することができる。
また、本実施形態によれば、各クライアント個人情報管理ファイルの内容を監視サーバ1側で吸い上げ、判定に用いたキーワード、クロ・グレーファイル数、シロファイル数等を把握して、キーワードレコードの内容を変更するので、監視サーバ1に個人情報判定ロジックの学習機能をもたせることができ、個人情報判定ロジックの精度の維持に手間をかけることなく、普段の業務の中で自動的に、個人情報判定ロジックの判定精度を向上させることが可能なシステムを提供することが可能になる。また、個人情報ファイルを随時検出し、個人情報ファイルについての操作を制限することが可能になる。また、もともと個人情報を含まなかったファイルが更新の結果、個人情報を含むようになった場合、更新時点で個人情報ファイルを自動的に検出できる。
ここで、前記した特許文献1に記載されたシステムでは、ファイルが個人情報ファイルであるか否かは、当該ファイルに住所、電話番号等の情報が所定数以上含まれているか否かによって判定される。また、ファイル内の情報が住所、電話番号等であるか否かは設定された個人情報の判定ロジックによって判定される。すなわち個人情報ファイルとして判定する類型パターンが予め定められており、これに該当すれば個人情報ファイルであると判定される。しかしながら、個人情報ファイルにはさまざまなものが存在し、実際には、特許文献1に記載されたシステムによって全ての個人情報ファイルを検出することはできない。例えば、会社内の懲戒文書は一人の個人名、役職等を含んでいるだけなので、特許文献1に記載されたシステムでは個人情報ファイルであると判定することはできない。また逆に、郵便番号を住所に変換するための対応ファイルは個人情報ファイルではないが、多数の住所情報等を含んでいるため、個人情報ファイルと判定されることになる。このように個人情報ファイルの形態にはさまざまなバリエーションがあり、特許文献1に記載されたシステムによって個人情報ファイルであるか否かを完璧に判定するためには、ファイルをいくつかのカテゴリに分類し、そのカテゴリに適合した個人情報判定ロジックを用意する必要がある。さらに、ファイルの種類の増加等に対応して適切な個人情報判定ロジックを維持するために継続的な労力を必要とする。
これに対して、本実施例では、上記したように、普段の業務の中で自動的に、個人情報判定ロジックの判定精度を向上させることが可能なシステムを実現可能となる。
以上、本実施例に係る個人情報管理システムについて説明したが、このような監視を必要とするファイルは、個人情報ファイルに限られるものではない。例えば、企業活動における営業秘密を記録した営業秘密ファイル、企業活動が法令等に則ったものであることを証明するための内部統制情報ファイル等、さまざまなファイルについて、どのクライアントに存在しているかを管理する必要がある。
本発明は、キーワードを変更することで、上記のようなさまざまなファイルについても対象とすることができる。この場合、個人ファイル判定解除手段14、個人ファイル回収手段15、個人情報管理ファイル21、個人情報ファイル回収領域23、個人ファイル送信手段64およびクライアント個人情報管理ファイル71は、それぞれ、以上説明した機能のまま、監視対象ファイル判定解除手段14、監視対象ファイル回収手段15、監視対象情報管理ファイル21、監視対象情報ファイル回収領域23、監視対象ファイル送信手段64およびクライアント監視対象情報管理ファイル71として動作することができる。
1 監視サーバ、11 初期設定手段、12 ステータス送付手段、13 ステータス更新手段、14 個人ファイル判定解除手段、15 個人ファイル回収手段
2 記憶装置、21 個人情報管理ファイル、22 キーワードファイル、23 個人情報ファイル回収領域、24 検出対象ファイル格納領域
3 入力装置
4 表示装置
5 通信回線
6 クライアント、61 初期設定手段、62 ファイル操作監視手段、63 ステータス強制変更手段、64 個人ファイル送信手段、69キーワード情報記憶領域
7 記憶装置、71 クライアント個人情報管理ファイル、72 検出対象ファイル格納領域
8 入力装置
9 表示装置
2 記憶装置、21 個人情報管理ファイル、22 キーワードファイル、23 個人情報ファイル回収領域、24 検出対象ファイル格納領域
3 入力装置
4 表示装置
5 通信回線
6 クライアント、61 初期設定手段、62 ファイル操作監視手段、63 ステータス強制変更手段、64 個人ファイル送信手段、69キーワード情報記憶領域
7 記憶装置、71 クライアント個人情報管理ファイル、72 検出対象ファイル格納領域
8 入力装置
9 表示装置
Claims (4)
- サーバとクライアントとが通信回線を介して接続された個人情報管理システムであって、
サーバは、クライアントのもつ個人情報を含んでいる可能性のあるファイルおよび個人情報を含んでいると確定したファイルについての、クライアントでのアクセス状況を監視し、クライアントのもつ前記個人情報を含んでいる可能性のあるファイルおよび前記個人情報を含んでいると確定したファイルの管理を行うことを特徴とする個人情報管理システム。 - サーバとクライアントとが通信回線を介して接続された個人情報管理システムであって、
クライアントは、
個人情報を含まない第1のファイル種別と、個人情報を含んでいる可能性のある第2のファイル種別と、個人情報を含んでいると確定した第3のファイル種別とに、ファイルを分別して記憶・管理する手段と、
前記第2のファイル種別および前記第3のファイル種別のファイルについては、クライアントでの操作に制限をかける手段とを、
有し、
サーバは、
クライアントのもつ前記第2のファイル種別および前記第3のファイル種別のファイルの管理情報を記憶・管理する手段と、
クライアントにおける前記第2のファイル種別および前記第3のファイル種別のファイルに対するアクセス状況を監視し、このアクセス状況に応じて、クライアントのもつ前記第2のファイル種別および前記第3のファイル種別のファイルに対する管理形態を遷移させる手段とを、
有することを特徴とする個人情報管理システム。 - 請求項2に記載の個人情報管理システムにおいて、
サーバは、クライアントにおいて前記第2のファイル種別のファイルに対して所定期間の間アクセスがなかった場合には、前記第2のファイル種別のファイルを前記第3ファイル種別のファイルに遷移させて管理するように、クライアントに指示することを特徴とする個人情報管理システム。 - 請求項2または3に記載の個人情報管理システムにおいて、
サーバは、クライアントにおいて前記第3のファイル種別のファイルに対して所定期間の間アクセスがなかった場合には、当該前記第3のファイル種別のファイルをクライアントから取り出して自身の記憶装置に移動させて、当該前記第3のファイル種別のファイルをクライアントから削除することを特徴とする個人情報管理システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007066937A JP2008226133A (ja) | 2007-03-15 | 2007-03-15 | 個人情報管理システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007066937A JP2008226133A (ja) | 2007-03-15 | 2007-03-15 | 個人情報管理システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008226133A true JP2008226133A (ja) | 2008-09-25 |
Family
ID=39844629
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007066937A Pending JP2008226133A (ja) | 2007-03-15 | 2007-03-15 | 個人情報管理システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008226133A (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011014010A (ja) * | 2009-07-03 | 2011-01-20 | Nec Corp | 情報アセスメントシステム、情報アセスメント方法及びプログラム |
WO2012017612A1 (ja) * | 2010-08-06 | 2012-02-09 | パナソニック株式会社 | 匿名化情報共有装置および匿名化情報共有方法 |
JP2013114383A (ja) * | 2011-11-28 | 2013-06-10 | Denso Corp | プライバシー保護方法、車両用装置、車両用通信システムおよび携帯端末 |
JP2018116388A (ja) * | 2017-01-17 | 2018-07-26 | 日本電気株式会社 | ファイル管理方法、ファイル管理装置及びファイル管理プログラム |
JP2019016335A (ja) * | 2017-07-06 | 2019-01-31 | エーオー カスペルスキー ラボAO Kaspersky Lab | コンピュータシステムにおけるデータ損失を防止するためのシステム及び方法 |
-
2007
- 2007-03-15 JP JP2007066937A patent/JP2008226133A/ja active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011014010A (ja) * | 2009-07-03 | 2011-01-20 | Nec Corp | 情報アセスメントシステム、情報アセスメント方法及びプログラム |
WO2012017612A1 (ja) * | 2010-08-06 | 2012-02-09 | パナソニック株式会社 | 匿名化情報共有装置および匿名化情報共有方法 |
JPWO2012017612A1 (ja) * | 2010-08-06 | 2013-09-19 | パナソニック株式会社 | 匿名化情報共有装置および匿名化情報共有方法 |
US8752149B2 (en) | 2010-08-06 | 2014-06-10 | Panasonic Corporation | Device for sharing anonymized information, and method for sharing anonymized information |
JP5735485B2 (ja) * | 2010-08-06 | 2015-06-17 | パナソニック インテレクチュアル プロパティ コーポレーション オブアメリカPanasonic Intellectual Property Corporation of America | 匿名化情報共有装置および匿名化情報共有方法 |
JP2013114383A (ja) * | 2011-11-28 | 2013-06-10 | Denso Corp | プライバシー保護方法、車両用装置、車両用通信システムおよび携帯端末 |
JP2018116388A (ja) * | 2017-01-17 | 2018-07-26 | 日本電気株式会社 | ファイル管理方法、ファイル管理装置及びファイル管理プログラム |
JP7005900B2 (ja) | 2017-01-17 | 2022-01-24 | 日本電気株式会社 | ファイル管理方法、ファイル管理装置及びファイル管理プログラム |
JP2019016335A (ja) * | 2017-07-06 | 2019-01-31 | エーオー カスペルスキー ラボAO Kaspersky Lab | コンピュータシステムにおけるデータ損失を防止するためのシステム及び方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3133507A1 (en) | Context-based data classification | |
US9219752B2 (en) | Data leak prevention systems and methods | |
US7673324B2 (en) | Method and system for tracking an operating performed on an information asset with metadata associated therewith | |
US20170154188A1 (en) | Context-sensitive copy and paste block | |
US20140026181A1 (en) | Data loss prevention (dlp) methods and architectures by a cloud service | |
CN103631904B (zh) | 反病毒分析期间选择同或异步文件访问方法的系统和方法 | |
JP2011065546A (ja) | ファイル検索システム及びプログラム | |
Rashid et al. | Discovering" unknown known" security requirements | |
US7409514B2 (en) | Method and apparatus for data migration based on a comparison of storage device state information | |
EP3196798A1 (en) | Context-sensitive copy and paste block | |
US9418232B1 (en) | Providing data loss prevention for copying data to unauthorized media | |
JP2008226133A (ja) | 個人情報管理システム | |
JP4705962B2 (ja) | データ機密制御システム | |
JP2006350464A (ja) | データ収集システム、データ抽出サーバ、データ収集方法及びデータ収集プログラム | |
US9760842B2 (en) | Operation target management apparatus and non-transitory computer readable medium | |
JP2014013474A (ja) | ログ監査システム | |
JP4560531B2 (ja) | 電子メールシステム | |
GB2505310A (en) | Data protection in a cloud service | |
JP5341695B2 (ja) | 情報処理システム、情報処理方法、およびプログラム | |
JP2010287245A (ja) | 電子メールシステム | |
JP2012178137A (ja) | セキュリティポリシー管理サーバ、セキュリティ監視システム | |
JP4087434B1 (ja) | データ機密制御システム | |
KR102207554B1 (ko) | 파일 보안 장치 및 방법 | |
KR101544750B1 (ko) | 더미 인증키를 이용한 클라우드 시스템의 보안 장치 및 방법 | |
JP4710221B2 (ja) | 情報管理システムおよび情報管理プログラム |