以下、図面を参照して本発明の実施形態について詳細に説明する。
<システム構成>
図1は、本発明の一実施形態を適用した画像形成システムを一部に備える文書処理履歴管理システムの一構成例を示す図である。本実施形態の文書処理履歴管理システム1は、セキュリティポリシー管理処理システムを包含しており、装置の操作履歴を記録する文書処理履歴保存機能だけでなく、電子文書に関するセキュリティポリシーに基づき装置操作の許可/不許可(装置操作可否と称する)を制御するセキュリティポリシー管理機能を備える点に特徴を有する。
因みに、保留印刷処理の具体的な処理事例としては、親展印刷で説明する。ここで「保留印刷処理」とは、電子文書の印刷ジョブデータを印刷処理実行指示があるまで一旦所定の記憶装置に蓄積しておき、その後の所定のタイミングで印刷処理実行指示を受け付けたときに、保留しておいた電子文書の印刷処理を行なうことを意味する。また、保留情報処理」とは、電子情報のジョブデータを情報処理実行指示があるまで一旦所定の記憶装置に蓄積しておき、その後の所定のタイミングで情報処理実行指示を受け付けたときに、保留しておいた電子情報の処理を行なうことを意味する。
図示のように、本実施形態の文書処理履歴管理システム1は、紙などの出力媒体に画像を出力する画像出力機能や出力媒体上の画像を読み取りその電子データを取得する画像取得機能を持つ各種のイメージング機器2と、各種のイメージング機器2に対して画像取得処理や画像出力処理を指令するクライアント装置4を備える。クライアント装置4としては、配布する文書に画像出力許否および画像出力要件を規定したセキュリティポリシーを設定する機能を持つ配布者端末4Aと、配布された文書を利用した画像読取処理や画像出力処理を指令する処理指示端末4Bを含む。
さらに文書処理履歴管理システム1は、文書処理履歴管理機能とセキュリティポリシーに従って画像形成処理を制御するセキュリティポリシー管理機能(セキュリティポリシーサーバ6Aの機能)を備える文書処理履歴管理装置6と、個人認証処理(ディレクトリサービスとも称される)を行なう認証サーバ7を備える。各機能部は、通信手段の一例であるネットワーク9により接続されている。文書処理履歴管理装置6と認証サーバ7でアクセス管理サーバ8が構成される。なお、他の図では、セキュリティポリシーサーバ6Aを「ポリシーサーバ」と記すことがある。
文書処理履歴管理機能は、電子文書に対する操作を電子文書を扱うプログラムからの報告によりログする機能、具体的には、処理された文書画像を各種のイメージング機器2で画像取得処理や画像出力処理がなされたときの状況と一緒に処理履歴(ログとも称される)として記録・保存・管理し、また蓄積しておいた情報(画像を含む)を検索する機能である。
また、文書処理履歴管理システム1は、文書を廃棄するためのシュレッダ装置3を備える。シュレッダ装置3は、廃棄する際に文書を識別することのできるもので、ネットワーク9などを介して文書処理履歴管理装置6に接続されており、識別した文書の情報を文書処理履歴管理装置6に通知する。
イメージング機器2は、画像読取処理や画像形成処理を制御する画像処理制御部22を備える。イメージング機器2としては、たとえば、画像取得機能および画像出力機能(合わせて複写機能と称する)を持つ複写機2A、プリンタと称される単機能(画像出力機能の一例である印刷機能のみ)の印刷装置2B、スキャナと称される画像取得機能(特にスキャナ機能と称する)を持つ画像読取装置2C、印刷機能や複写機能やスキャナ機能を持つ複合機2D、およびファクシミリ2Eがあり、これらは、ネットワーク9を介してあるいは所定の接続インタフェースを介して文書処理履歴管理装置6と接続されている。図では、イメージング機器3を、各種1台もしくは2台で示しているが、その数は任意でよく、また、システム運用によっては、何れかが存在しない場合であってもよい。その各運用事例については後述する。
イメージング機器2の内、印刷装置2B、複合機2Dなどの画像出力機能を持つものを特に画像形成装置2Zと称する。本実施形態では、画像形成装置2Zは、1ページ分のデータを纏めて出力(印刷)する方式のもの、いわゆるページ・プリンタ(Page Printer)であるものとする。
たとえば、複写機2Aは、ネットワーク9を介して文書処理履歴管理装置6に接続されており、利用者がその複写機2Aの操作パネル(図示せず)を操作して複写指示を行なったときに、複写指示に従って読み取った画像(詳しくはその電子データである画像データ:以下同様)を文書処理履歴管理装置6へ送信する。このとき、複写機2Aは、複写指示を行なった利用者を、利用者名やパスワードを入力させることで認証し、この認証によって得られた利用者を特定する利用者名などの情報を、画像とともに文書処理履歴管理装置6へ送信してもよい。
さらに、複写機2Aは、読み取った画像をそのまま用紙に形成処理せず、文書処理履歴管理装置6から形成処理の対象となる画像を受信して、受信した画像に基づき用紙に対応する画像を形成する。つまり、複写機2Aは、複写する原稿を読み取って得た画像を一旦文書処理履歴管理装置61へ送信し、文書処理履歴管理装置6から受信した画像に基づいて処理を継続するようにする。
印刷装置2Bは、ネットワーク9を介して処理指示端末4Bや文書処理履歴管理装置6に接続されており、処理指示端末4B(場合によっては文書処理履歴管理装置6を介して)から入力される画像に基づき用紙などの出力媒体に画像を形成する。
画像読取装置2Cは、ネットワーク9を介して文書処理履歴管理装置6に接続されており、利用者がその画像読取装置2Cの操作パネル(図示せず)もしくは処理指示端末4Bを操作して読取り指示を行なったときに、その読取り指示に従って読み取った画像を文書処理履歴管理装置6へ送信する。このとき、画像読取装置2Cは、読取り指示を行なった利用者を、利用者名やパスワードを入力させることで認証し、この認証によって得られた利用者を特定する利用者名などの情報を、画像とともに文書処理履歴管理装置6へ送信してもよい。
複合機2Dは、ネットワーク9を介して文書処理履歴管理装置6に接続されており、複写機2A、印刷装置2B、画像読取装置2Cの各機能を実行する。
ファクシミリ2Eは、ネットワーク9を介して文書処理履歴管理装置6に接続されており、読み取った画像をFAX送信し、あるいは受信した画像に基づき用紙などの出力媒体にFAX画像を出力するととともに、送受信時の処理画像を文書処理履歴管理装置6に出力する。
イメージング機器2に備えられる画像処理制御部22のハードウェア構成としては、たとえば、制御処理や演算処理を行なう中枢を司るCPU(中央演算制御部)や処理データやプログラムデータを記憶するRAM(Random Access Memory)やROM(Read Only Memory)などのメモリ装置などで構成される一般的な電子計算機と同様の仕組みとすることができる。そのハードウェア構成例については、所定の処理用のソフトウェアを実行するマイクロプロセッサなどから構築される、パーソナルコンピュータを始めとする電子計算機の構成として周知である。
つまり本実施形態において、画像を読み取る処理、あるいは画像を所定の出力媒体に形成する処理を制御する中心的な機能をなす画像処理制御部22の仕組みは、ハードウェア処理回路により構成することに限らず、その機能を実現するプログラムコードに基づき電子計算機(コンピュータ)を用いてソフトウェア的に実現することも可能である。ソフトウェアにより実行させる仕組みとすることで、ハードウェアの変更を伴うことなく、処理手順などを容易に変更できる利点が享受される。
電子計算機に、画像読取処理や画像形成処理を制御する機能をソフトウェアにより実行させる場合には、そのソフトウェアを構成するプログラムが、専用のハードウェアに組み込まれているコンピュータ(組込マイコンなど)、あるいは、CPU、論理回路、記憶装置などの機能を1つのチップ上に搭載して所望のシステムを実現するSOC(System On a Chip:システムオンチップ)、または、各種のプログラムをインストールすることで各種の機能を実行することが可能な汎用のパーソナルコンピュータなどに、記録媒体からインストールされる。
記録媒体は、コンピュータのハードウェア資源に備えられている読取装置に対して、プログラムの記述内容に応じて、磁気、光、電気などのエネルギの状態変化を引き起こして、それに対応する信号の形式で、読取装置にプログラムの記述内容を伝達できるものである。たとえば、コンピュータとは別に、ユーザにプログラムを提供するために配布される、プログラムが記録されている磁気ディスク(フレキシブルディスクFDを含む)、光ディスク(CD−ROM(Compact Disc-Read Only Memory )、DVD(Digital Versatile Disc)、光磁気ディスク(MO(Magneto Optical Disk))を含む)、または半導体メモリなどよりなるパッケージメディア(可搬型の記憶媒体)により構成されるだけでなく、コンピュータに予め組み込まれた状態でユーザに提供される、プログラムが記録されているROMやハードディスクなどで構成されてもよい。また、ソフトウェアを構成するプログラムは、記録媒体を介して提供されることに限らず、有線あるいは無線などの通信網を介して提供されてもよい。これら電子計算機の仕組みを利用した形態並びにそれに伴うプログラムインスロールなどは、後述する文書処理履歴管理装置6や認証サーバ7においても同様である。
画像形成機能を持つイメージング機器2(複写機2A、印刷装置2B、複合機2D、ファクシミリ2E:以下纏めて画像形成装置2Zとも称する)には電子文書に関する処理を行なうプログラムである電子文書プログラム、特に電子文書に関するセキュリティポリシーに基づき装置操作の許可/不許可(装置操作可否と称する)を制御するセキュリティポリシー管理プログラムの一例として文書印刷プログラムが組み込まれる。
文書印刷プログラムは、処理指示端末4Bの使用者(ユーザ)からの印刷要求時に、保護文書を復号するとともに、設定されている印刷要件に応じた印刷処理を画像形成部に実行させる処理を行なうプログラムである。たとえば、電子文書のハンドリングに必要となる、入力データのスプール機能(保存機能)、認証処理機能、暗号化処理機能、暗号鍵取得機能、復号化処理機能、復号鍵取得機能、セキュリティポリシーサーバ連携機能、画像形成要件取得機能、スクリプト処理(ワークフロー含む)機能、画像データ生成機能(印刷データ生成機能)、ジョブログ機能、ネットワーク機能(メール送信やファイル転送など)などのプログラムモジュールを含む。文書印刷プログラムに従って処理された出力用の画像形成データ(印刷データ)は画像形成部に送られる。
電子文書に関するセキュリティポリシーに基づき装置操作可否を制御するセキュリティポリシー管理プログラムの一例として、配布者端末4Aには文書保護プログラムが、処理指示端末4Bにはプリンタドライバなどとも称される文書印刷指示プログラムがそれぞれ組み込まれる。文書保護プログラムは、文書ファイルに配布者端末4Aの使用者(配布者)の入力操作に応じた処理要件を設定するとともに、認証処理を行ない、暗号化アルゴリズムを用いて文書ファイルを暗号化し、保護文書を生成する処理を行なうプログラムである。たとえば、電子文書のハンドリングに必要となる、認証処理機能(たとえばパスワード処理)、暗号化処理機能、暗号鍵取得機能、属性付与機能、属性登録機能、セキュリティポリシーサーバ連携機能などのプログラムモジュールを含む。暗号化アルゴリズムとしては、共通鍵暗号方式や公開鍵暗号方式(Public key encryption system)など何れの方式でもよいが、周知のように後者の方がセキュリティ性能がよい。
配布者端末4Aや処理指示端末4Bは、ネットワーク9を介して文書処理履歴管理装置6に接続されており、印刷装置2Bや画像読取装置2Cなどに処理させる画像と、処理指示を行なう利用者名などの付帯情報とを文書処理履歴管理装置6に送信する。配布者端末4Aや処理指示端末4Bは、液晶パネルやCRT(Cathode Ray Tube)などを主要部とする表示装置とキーボードやマウスなどの指示入力装置と、FDD(Flexible Disk Drive )やHDD(Hard Disk Drive )などの記録装置などを備えたパーソナルコンピュータを適用できる。
電子文書に関する処理を行なうプログラムである電子文書プログラムの一例として、配布者端末4Aには文書保護プログラムが、処理指示端末4Bにはプリンタドライバなどとも称される文書印刷指示プログラムがそれぞれ組み込まれる。なお、配布者端末4Aには、文書保護の要求を受け付けるプログラムモジュールだけを組み込み、電子文書にアクセス権を設定して保護するコアモジュール部分はセキュリティポリシーサーバ6A側に組み込むなど、システム構成に応じて適宜変更が可能である。
文書保護プログラムは、文書ファイルに配布者端末4Aの使用者(配布者)の入力操作に応じた処理要件を設定するとともに、認証処理を行ない、暗号化アルゴリズムを用いて文書ファイルを暗号化し、保護文書を生成する処理を行なうプログラムである。たとえば、電子文書のハンドリングに必要となる、認証処理機能(たとえばパスワード処理)、暗号化処理機能、暗号鍵取得機能、属性付与機能、属性登録機能、セキュリティポリシーサーバ連携機能などのプログラムモジュールを含む。暗号化アルゴリズムとしては、共通鍵暗号方式や公開鍵暗号方式(Public key encryption system)など何れの方式でもよいが、周知のように後者の方がセキュリティ性能がよい。
なお、電子文書を配布する際は、その電子文書を作成・編集などしたアプリケーションのままのファイル形式ではなく、たとえばPDF(Portable Document Format)など、受け取った側の機器やシステムに操作性が依存されないような標準的なファイル形式にしておくのがよい。標準的なファイル形式で配布せず固有のファイル形式で配布する場合には、当然のことながら、その電子文書を受け取った側の機器やシステムには、その電子文書に固有のファイル形式を扱うことのできるアプリケーションプログラム(作成・編集などしたアプリケーションプログラムと同じである必要はない)が組み込まれていることが必要となる。本実施形態では、説明を簡単にするため、特段の断りのない限り、標準的なファイル形式で配布する態様で説明する。
文書印刷指示プログラムは、配布者がアクセス権を管理する状態で配布した電子文書の印刷指示を出すためのもので、電子文書を操作するための認証処理を行ない、処理指示端末4Bの使用者(ユーザ)の入力操作に応じた出力条件(印刷条件)を設定するとともに、必要に応じて印刷用の電子データ(以下印刷文書と称する)を作成するプログラムである。出力ジョブを作成して任意の画像形成装置2Zや文書処理履歴管理装置6に送信するいわゆるプリンタドライバの仕組みを採り入れることができる。たとえば、印刷文書のハンドリングに必要となる、認証処理機能(たとえばパスワード処理)、復号化処理機能、復号鍵取得機能、プリンタドライバ機能、セキュリティポリシーサーバ連携機能などのプログラムモジュールを含む。
プリンタドライバ機能では、必要に応じて指定された出力設定(出力条件や印刷条件や印刷属性とも称される)に基づいて出力ジョブ(印刷ジョブとも称される)を作成する。出力ジョブは、紙媒体などに画像形成すべき内容である画像データ(印刷データ)と出力設定とを含んでいる。ここで、出力条件は、基本設定、レイアウト設定、ページ装飾設定、仕上げ設定などの各項目が存在する。基本設定には、たとえば、印刷枚数、印刷部数、白黒かカラーか、用紙サイズ(A4,A3、B4,B5など)、印刷方向(縦/横)、給紙トレイ(自動、トレイ番号)、印刷品質(たとえば解像度やグラフィック処理の粗さ)などの項目が含まれる。レイアウト設定には、たとえば、片面か両面か、変倍(拡大/縮小)の有無と変倍率の設定、割付け印刷(集約印刷)の有無と配置態様の設定などの項目が含まれる。ページ装飾設定中には、たとえば、ページ印刷の有無とその詳細設定、スタンプマークの有無とスタンプマークの設定、ヘッダやフッタの有無とその印刷情報の設定などの項目が含まれる。仕上げ設定には、たとえば、ソート、フィニッシャ(終末装置)、綴じ代、開き方向、製本の設定などの項目が含まれる。フィニッシャは、たとえばパンチの有無と孔数の設定、ステイプル(1つの束にして綴じる処理)の有無と綴じ位置の設定などの項目が含まれる。配布者は、これら出力条件についても、アクセス権が設定可能となっており、たとえば白黒モードや低品質でしか印刷を許可しないなど、許容する出力条件を制限できるようになっている。
処理指示端末4Bと画像形成装置2Zや文書処理履歴管理装置6との間の印刷用のデータの受渡しには、画像形成装置2Zがページ・プリンタであることに対応してページ記述言語(PDL:Page Description Language )と称されるプログラム言語のファイル形式を使用してもよいし、配布された電子文書のファイル形式そのものと出力条件を記述した出力指示ファイルBF_2を使用するようにしてもよい。本実施形態では、説明を簡単にするため、特段の断りのない限り、PDFファイルなど配布された電子文書のファイル形式そのものを画像形成装置2Zに送信して印刷指示を出す態様で説明する。印刷指示とともに画像形成装置2Z側に送られる印刷用のデータ(文書ファイル)を、配布された電子文書である配布文書BF_1と区別するため、以下印刷文書BF_3と称する。後者の場合は配布文書BF_1と出力指示ファイルBF_2の対で印刷文書BF_3となる。印刷文書BF_3は、一般的に印刷ジョブデータと称されるものと同様のものと考えればよい。
印刷文書BF_3がPDLファイルの場合、好ましくは、セキュリティ性能を高めるために、PDLデータに対して暗号化しておくのがよい。そして、処理指示端末4B側で作成された出力ジョブが画像形成装置2Zに送信されると、画像形成装置2Zは、受け取ったPDLデータが暗号化されていれば復号化し、さらに受け取ったPDLデータに基づきページ単位でビットマップ状の画像データ(イメージ)へ変換し、所定の記憶装置に蓄積してから印刷を行なう。一方、印刷文書BF_3が配布文書BF_1と出力指示ファイルBF_2の対でなる場合、受け取った印刷文書BF_3(=配布文書BF_1)が暗号化されていれば復号化して元の電子文書に戻し(平文にし)、さらに平文の電子文書に基づいて画像形成装置2Z側の画像形成処理に適したビットマップ状の画像データ(イメージ)へ変換し、必要に応じて所定の記憶装置(データ蓄積部:本例ではデータ保持部24)に蓄積(保持・保存)し、印刷を行なう。
通常は、ある印刷ジョブについての印刷処理が完了する前に他の印刷ジョブを受付け可能とするべく、印刷要求の対象となる印刷文書BF_3(印刷ジョブ)のうち、処理の間に合わない各印刷ジョブをデータ保持部24に蓄積しておき、データ保持部24から読み出した印刷ジョブについて印刷処理を開始する手法を採る。蓄積された印刷ジョブの内、印刷処理が終了したものは逐次削除してもよいし、他の印刷目的のため一定の蓄積ルールを設けて(たとえば印刷完了後からの保存期間を規定する)、そのまま蓄積しておいてもよい。印刷完了後、蓄積文書を削除するかどうかや蓄積ルールをその都度ユーザが指定できるようにしてもよい。
なお、印刷する権限についての認証が取れた電子文書を直ぐには印刷せずに保留印刷(たとえば親展印刷)とする場合には、暗号化されたオリジナルの配布文書BF_1、もしくは平文化した配布文書BF_1、もしくは描画展開処理中に作成される画像データ(中間データ)、もしくは画像形成装置2Zにて描画展開を完了したビットマップ画像の画像データ(印刷データ)を文書情報として、電子文書IDや送信したユーザIDと関連付けて所定の記憶装置(データ保持部24)のユーザごとに作成された仮想的な蓄積領域(親展ボックスと称する)に格納する。あるいは、暗号化されたオリジナルの配布文書BF_1、もしくは平文化した配布文書BF_1、もしくは中間データ、もしくはビットマップ画像の組み合わせを文書情報として、電子文書IDや送信したユーザIDと関連付けて格納(保全)してもよい。配布文書BF_1よりも中間データ、中間データよりも最終的なビットマップ画像(印刷データ)の方が、それぞれある程度までの画像処理を完了させているので出力媒体上に画像が形成される出力処理完了までの時間が短くなる。また、暗号化している場合よりも暗号化していない方が、復号処理が割愛されるので出力媒体上に画像が形成される出力処理完了までの時間が短くなる。
ただし、画像形成装置2Z側でのセキュリティ性能を高めるために、画像形成装置2Zは、処理指示端末4B側から受け取った印刷文書BF_3、中間データ、あるいは最終的なビットマップ状の画像データを、暗号化した状態で保存しておくのが好ましい。本実施形態では、説明を簡単にするため、特段の断りのない限り、処理指示端末4B側から受け取った配布文書BF_1および出力指示ファイルBF_2でなる印刷文書BF_3を暗号化した状態で保存しておくものとする。必要に応じて、中間データやビットマップ画像も保存するものとする。
因みに、セキュリティポリシーで管理された電子文書を処理対象とする場合、平文化されている配布文書BF_1や中間データやビットマップ画像を蓄積装置に保存するような蓄積条件を付加されていても、画像形成装置2Z側でのセキュリティ性能を高めるために、その蓄積条件を無視して、平文化されている配布文書BF_1や中間データやビットマップ画像を保存することを禁則する。つまり、元の電子文書がセキュリティポリシーで管理されたものであるか否かに応じて暗号化して保存するか平文化して保存するかを切り分けるものとする。このとき、画像形成装置2Zは、強制的に暗号化した状態で保存するか、あるいは、その印刷ジョブを中止するか、あるいは、印刷する権利が確認されたら蓄積せずに即時に印刷するようにする。これらの対応処理は、予め画像形成装置2Z側で取り決めておいてもよいし、その都度ユーザに選択させてもよい。
文書処理履歴管理装置6は、サーバ機能を備え、クライアント・システムである処理指示端末4B側からの要求によってイメージング機器2における画像取得処理や画像出力処理のための制御を行なうとともに、処理画像とその処理の際の関連情報を処理履歴として保管するため、文書画像の特徴を所定の記憶装置に記録・保存する。処理履歴の取得や保存の基本的な手法に関しては、公知の各種の仕組みと同様のものでよい。また、文書処理履歴管理装置6は、配布者端末4A、処理指示端末4B、あるいはイメージング機器2からの認証処理要求を受けると認証サーバ7と連携して個人認証処理を行なうとともに、画像出力許否および画像出力要件を規定したセキュリティポリシーに従って画像形成処理を制御する機能を備えたイメージング機器2における画像形成処理の実行可否を制御する。
文書処理履歴管理装置6は、たとえば、セキュリティ制御部62と、処理画像(イメージログと称される)および処理履歴を対応付けて記憶するハードディスク装置や光ディスク装置などを記憶装置として有するデータ蓄積部64を有する。セキュリティ制御部62のハードウェア構成としては、画像処理制御部22と同様に、電子計算機と同様の仕組みとすることができる。
セキュリティ制御部62は、複写機2Aや印刷装置2Bなどのイメージング機器2から処理の対象となる画像や、画像の処理を要求した利用者や処理日時や処理条件などの処理操作の情報を特定する情報などの付帯情報(処理操作の状況を特定する画像以外の情報)を受信して、文書の画像と付帯情報(たとえば電子文書ID、バージョン、属性など)を処理履歴情報としてデータ蓄積部64に格納する。また、処理の対象として受信した画像を複写機2Aや印刷装置2Bやファクシミリ2Eなどのイメージング機器2に送信出力して、画像処理を実行させる。さらに、セキュリティ制御部62は、処理履歴情報の検索指示を受けて、データ蓄積部64に格納した処理履歴情報を検索し、その検索の結果を提示する検索処理を実行する。
この検索処理のため、画像をイメージング機器2で処理する際、画像を一意に特定する情報(識別子ID)とバージョンVOを出力媒体(紙媒体などへの出力や電子データでのファイル保存の何れでもよい)に、バーコードやIDタグや電子透かしなどの手段によって埋め込んでおく。処理された画像が再度、イメージング機器2で処理される際には、画像のIDとバージョンを読み取る。そして、読み取った情報から特定されるデータ蓄積部64に保存済みの文書画像と、出力媒体から読み取った文書画像を比較する。
また、文書処理履歴管理装置6が備えるセキュリティポリシーサーバ6A部分は、電子文書の安全性を高めるために、電子文書の暗号化機能を提供する。好ましくは、公開鍵暗号方式の元で、二重鍵を用い、暗号化と復号化の鍵を、ユーザ認証の可否によって、電子文書を扱うプログラムに提供する。さらにセキュリティポリシーサーバ6Aは、好ましくは、オフラインでの利便性を高めるために、テンポラリ(一時的な、時限的な)の復号化鍵を提供するようにする。すなわち、セキュリティポリシーサーバ6Aは、アクセス権が設定されている電子文書(保護電子文書と称する)にどのようなアクセス権(セキュリティ属性)が設定されているかを示す情報およびその保護電子文書を復号するための復号鍵を対応付けて所定の記憶媒体にアクセス権データベースとして登録しておく。
復号化鍵を用いたときは、その電子文書に対するアクセス権も得るようにする。この場合、復号化鍵はテンポラリであり、その復号化鍵には有効期間が存在するが、オンラインで復号化鍵とアクセス権を取得した後には、その有効期間内であれば処理指示端末4Bと文書処理履歴管理装置6(詳しくはセキュリティポリシーサーバ6A)との間はオフラインであっても文書の操作ができ、たとえば閲覧だけでなく画像形成装置2Zに対して出力指示を出せる一方、有効期間外では文書の操作ができないこととなる。有効期間が切れてから文書操作を行なうには、再度オンラインでセキュリティポリシーサーバ6Aから復号化鍵とアクセス権を取り直す必要がある。
認証サーバ7は、図示を割愛した認証処理制御部とハードディスク装置などのデータ蓄積部を備え、当該データ蓄積部に予めユーザ各人の認証用の情報(ユーザ名とパスワードとの組)をユーザデータベースとして登録しておく。ユーザデータベースには、たとえば、ユーザごとにカテゴリと階級とを別々の属性として管理する、あるいは、グループアカウントを生成し個人ユーザをそのグループに所属させるなど、カテゴリと階級を管理することが好ましい。
認証処理制御部のハードウェア構成としては、画像処理制御部22と同様に、電子計算機と同様の仕組みとすることができる。そして、文書処理履歴管理装置6から送られたユーザIDとユーザが入力したユーザパスワードを、予め登録されているユーザ情報と照合して、そのユーザが適正な者であるか否かを判定し、その判定結果(認証結果と称する)を文書処理履歴管理装置6に返す。
ここで、画像形成機能を備えた画像形成装置2Zは、たとえば複合機2Dについて示しているように、好ましくは、データを保持・蓄積するハードディスク装置や光ディスク装置などのデータ保持部24を備え、画像処理制御部22は、出力指示を受けるとほぼ即時に画像形成処理を行なう単純機能の他に、画像形成ジョブを一旦所定のデータ保持部24に保存しておきその後の所定のタイミングで発せられる実際の出力指示を受けてから出力媒体上に画像を出力するいわゆる親展印刷処理機能を備えるようにする。ここで、処理指示端末4B側に組み込まれる電子文書を扱うプログラムは、ユーザIDとユーザパスワードなどでユーザを特定し、電子文書の固有IDとともにセキュリティポリシーサーバ6Aに問い合わせ、セキュリティポリシー(パーミッション情報/アクセス権の情報)を確認し、そのセキュリティポリシーに従って画像形成処理を行なう。親展印刷処理時にも、セキュリティポリシーサーバ6Aとの連携によりセキュリティポリシーを確認し、そのセキュリティポリシーに従って画像形成処理を行なう。
たとえば、画像形成装置2Zは、セキュリティポリシーサーバ6Aで管理された電子文書を処理指示端末4Bから直接に受信し、あるいは文書処理履歴管理装置6を介して受信し、あるいはCD−ROMなどの可搬型の記憶媒体から読み出し、内部で動作する電子文書を扱うプログラムによって、電子文書の印刷権利を確認後に印刷する。また、画像形成装置2Zは、セキュリティポリシーサーバ6Aに対して、印刷しようとするユーザのアクセス権を確認するためのユーザインタフェースを備える。これにより、ユーザは、ユーザIDやユーザパスワードなどの入力、並びに、印刷すべき電子文書(そのファイルデータ)を探すための一覧表示などの機能が提供される。
なお、図1では、イメージング機器2とは別に、セキュリティポリシーに従って画像形成処理を行なうためのセキュリティポリシーサーバ機能を具備した文書処理履歴管理装置6を設けているが、システム構成はこのようなものに限らない。たとえば、文書処理履歴管理装置6からセキュリティポリシーサーバ6Aを取り外し別のサーバとして設けたシステム構成にしてもよいし、イメージング機器2にセキュリティポリシーサーバ6Aの機能を備えるシステム構成にしてもよい。
<配布者端末の構成例>
図2は、配布者端末4Aの一構成例、特に、電子文書にアクセス権を設定する処理に関わる部分の構成例を説明する図である。図示する各機能部は、実際の適用事例では、配布者端末4Aに組み込まれる文書保護プログラムのプログラムモジュールと考えればよい。
図示のように、配布者端末4Aは、たとえばハッシュ関数を利用するなどして暗号鍵を生成する暗号鍵取得部410と、暗号鍵取得部410が生成した暗号鍵を用いて配布者が指定した電子文書を暗号化する暗号化部412を備える。暗号鍵取得部410は、暗号化のためのパラメータを自身で生成し、そのパラメータを使って暗号鍵を生成してもよいし、パラメータを別の機能部から取得してもよい。パラメータは文書保護プログラム内部に保持しておくか、要求があった場合に生成すればよい。
また、配布者端末4Aは、電子文書の電子文書IDを生成し暗号化部412から渡された暗号化文書に電子文書IDを付与して保護電子文書として出力する保護設定部414と、配布者からアクセス権の情報を受け取るとともに、暗号鍵取得部410から暗号鍵を、保護設定部414から電子文書IDを、配布者からアクセス権の情報をそれぞれ受け取り、セキュリティポリシーサーバ6Aに対してこれらの電子文書ID、暗号鍵、アクセス権の情報を渡してセキュリティポリシーの登録を要求するセキュリティポリシー登録部416を有する。
セキュリティポリシー登録部416に登録するセキュリティポリシーとしては、電子文書に対する操作要求に対してその操作を許可するか不許可とするかだけでなく、所定の条件を満たしたときには一定範囲の操作を許可するという条件付きの操作要件を設定するようにしてもよい。また、所定の条件は、1つに限らず複数の組み合わせて設定するようにしてもよい。たとえば、印刷を許可する/不許可にすると言ったある機能の使用を許可するか禁止するかの単純なアクセス権制御に限らず、印刷を許可するけれども、白黒や低品質のみなど、一定の印刷条件指定の範囲内に限ると言う条件を付けてもよい。
<アクセス管理サーバの構成例>
図3は、アクセス管理サーバ8の一構成例、特に、電子文書のセキュリティポリシーを管理する機能部であるセキュリティポリシーサーバ6Aのセキュリティ制御部62および認証サーバ7に関わる部分の構成例を説明する図である。
図示のように、アクセス管理サーバ8のセキュリティポリシーサーバ6Aのセキュリティ制御部62は、セキュリティポリシー登録部416から渡された電子文書ID、暗号鍵、アクセス権の情報を所定の記憶媒体にセキュリティポリシーデータベースSPDBとして登録するセキュリティポリシーDB登録部610と、認証サーバ7との連携によりユーザ認証を行なうとともにセキュリティポリシーデータベースSPDBを参照して操作要求のあった電子文書のセキュリティポリシーを確認するアクセス権限確認部612と、セキュリティポリシーに基づき印刷要件を特定し画像形成装置2Zに通知する印刷要件取得送付部614を有する。アクセス管理サーバ8の認証サーバ7は、所定の記憶媒体に登録されているユーザデータベースUDB を参照してユーザ認証を行ない、認証結果をアクセス権限確認部612に通知するユーザ認証部710を有する。
<画像形成装置:第1構成例>
図4は、画像形成装置2Zの一構成例、特に、文書処理履歴管理装置6からセキュリティポリシーサーバ機能を取り外し、画像形成装置2Zにセキュリティポリシー管理機能を備えるシステム構成の場合の構成例(第1構成例と称する)を説明する図である。
図示のように、第1構成例の画像形成装置2Zは、セキュリティポリシーを管理するセキュリティポリシー管理部210と、電子文書の印刷を要求したユーザの属性(カテゴリやセキュリティレベルなど)を取得するユーザ属性取得部212と、印刷対象の電子文書の属性(カテゴリやセキュリティレベルなど)を取得する文書属性取得部214と、処理指示端末4Bや自装置の操作パネルからの指示に基づき画像形成処理(印刷処理)を実行する画像形成部216を有する。画像形成部216は、後述する第2構成例と同様に、文書印刷プログラムが組み込まれる画像処理制御部22と、プリントエンジン部260を有する。画像処理制御部22の詳細については第2構成例で説明する。
セキュリティポリシー管理部210は、図3に示したセキュリティポリシーサーバ6AのセキュリティポリシーDB登録部610の機能も備える。ユーザ属性取得部212は、図3に示したセキュリティポリシーサーバ6Aのアクセス権限確認部612のユーザ認証に関する機能部分も備える。文書属性取得部214は、図3に示したセキュリティポリシーサーバ6Aのアクセス権限確認部612のセキュリティポリシーに関する機能部分と印刷要件取得送付部614の機能も備える。
<画像形成装置:第2構成例>
図5および図5Aは、画像形成装置2Zの他の構成例、特に、文書処理履歴管理装置6がセキュリティポリシーサーバ6Aを備えるシステム構成の場合の構成例(第2構成例と称する)を説明する図である。
図5に示す全体概要図のように、第2構成例の画像形成装置2Zは、処理指示端末4Bや自装置の操作パネルからの指示に基づき画像形成処理(印刷処理)を実行する画像形成部216を有する。画像形成部216は、文書印刷プログラムが組み込まれる画像処理制御部22と、プリントエンジン部260を有する。
画像処理制御部22は、セキュリティポリシーサーバ6Aにアクセスして処理時点のセキュリティポリシーを確認し、確認した印刷要件を印刷処理時に適用するように制御する印刷要件適用制御部220と、平文の電子文書や印刷データを暗号化する暗号化部225と、暗号化された配布文書BF_1や印刷データを平文に戻す復号部226と、平文の配布文書BF_1もしくは復号部226が復号した平文の電子文書について印刷データを生成する印刷処理部228を有する。印刷要件適用制御部220は、データ保持部24へ各種の情報を保存する際に、暗号化された状態で保存するか、それもと暗号化されていない平文化した状態で保存するかについての制御も行なう。
印刷要件適用制御部220は、データ保持部24に蓄積した印刷文書BF_3、中間データ、あるいはビットマップ画像(何れも暗号化されたものでもよいし平文化されたものでもよい:本実施形態では前者が好ましい)を印刷する際に、印刷するユーザIDと蓄積しておいた電子文書IDから、そのユーザが印刷する権限を持っているかどうかをセキュリティポリシーサーバ6Aに確認し、印刷を許可された画像だけを印刷するように制御する機能を持っている。具体的には、印刷要件適用制御部220は、セキュリティポリシーサーバ6Aにアクセスしてアクセス権を確認して復号鍵を取得するアクセス権確認・復号鍵取得部222と、セキュリティポリシーサーバ6Aにアクセスして印刷要件を取得する印刷要件取得部224を有する。
アクセス権確認・復号鍵取得部222は、アクセス権の確認ができた場合にセキュリティポリシーサーバ6Aから復号鍵を得てこれを復号部226に渡す。復号部226は、アクセス権確認・復号鍵取得部222から取得した復号鍵を用いて暗号化されている保護電子文書(配布文書BF_1)を平文に戻し、平文の電子文書を印刷処理部228に渡す。印刷要件取得部224は、セキュリティポリシーサーバ6Aから印刷要件を取得し印刷処理部228に渡す。印刷処理部228は、平文の電子文書について印刷要件取得部224が取得した印刷要件に従って印刷データを生成する。
図5Aに示す詳細図のように、印刷処理部228は、印刷要件取得部224から受け取った印刷要件の内容に応じて加工指示やエラー警告やログ記録や印刷設定などを行なう要件処理制御部230と、必要に応じて電子文書ファイルを加工する文書加工部232と、平文の電子文書ファイル(文書加工部232による加工済みの電子文書ファイルを含む)に基づき印刷データを作成するプリンタドライバ部234を有する。
印刷処理部228はさらに、所定の表示通知手段(たとえば操作パネルなどの表示装置)や音声通知手段(たとえばスピーカその他の発音体を利用したもの)にて警告メッセージをユーザにエラー警告を通知(エラー警報を行なうと称する)するエラー警報部236と、操作ログを記録サーバ(リモートサーバ:本例では文書処理履歴管理装置6)に通知して記録を残させるログ記録部238を有する。
また、本実施形態特有の機能部として、印刷処理部228は、再描画制御部256を有する。再描画制御部256は、親展文書の実際の出力処理の際にセキュリティポリシーサーバ6Aから取得したパーミッション情報が親展印刷の指示を受け印刷ジョブ(印刷文書BF_3)をデータ保持部24に蓄積しておいた時点のパーミッション情報と変わっており、蓄積しておいた印刷データのままでは出力処理時点のセキュリティポリシーで許容されている出力条件を満足しないか否かを判断する。
そして、満足しないときには、出力処理時点のセキュリティポリシーの状況をユーザに通知し、出力処理時点のセキュリティポリシーで許容されている範囲に適合するように出力条件の修正を受けて、再度印刷データを作り直すように復号部226や文書加工部232やプリンタドライバ部234を制御する。あるいは、再描画制御部256は、ユーザに問い合せることなく、ユーザが親展印刷指示を発した時点の出力条件を、実際の出力処理時点のセキュリティポリシーで許容されてい出力条件で強制的に上書きし、再度印刷データを作り直すように復号部226や文書加工部232やプリンタドライバ部234を制御する。
たとえば、データ保持部24に蓄積しておいた印刷文書BF_3を実際に印刷する際に印刷指示を指定し直すことができるシステム構成にしておく。親展印刷指示時と実際の印刷処理時の各セキュリティポリシーに変更があった場合において、蓄積済みのビットマップ画像を作り直す必要がない新たな印刷指示が指定された場合には、蓄積済みのビットマップ画像を使って印刷を行なう。一方、親展印刷指示時と実際の印刷処理時の各セキュリティポリシーに変更があった場合において、蓄積済みのビットマップ画像を作り直す必要がある新たな印刷指示が指定された場合には、再描画制御部256は、暗号化されたオリジナルの配布文書BF_1を復号部226にて平文化した印刷文書、または平文化された配布文書BF_1から、新たにビットマップ画像を作成し直すようにプリンタドライバ部234を制御して印刷を行なう。
因みに、印刷要件適用制御部220は、このようにして再度作成されたビットマップ画像を、印刷処理が終了した時点で削除するように制御してもよいし、他の印刷目的のため一定の蓄積ルールを設けて(たとえば印刷完了後からの保存期間を規定する)、データ保持部24に蓄積しておくように制御してもよい。印刷完了後、蓄積文書を削除するかどうかや蓄積ルールをその都度ユーザが指定できるようにしてもよい。
<セキュリティポリシー出力処理:第1実施形態>
図6および図6Aは、セキュリティポリシーに従った画像形成処理の手順の第1実施形態を説明する図である。ここで、図6はシステム構成との関係で第1実施形態の処理の流れを示した図であり、図6Aは画像形成装置2Zにおける第1実施形態の処理手順を示すフローチャートである。基本的には、システム構成がどのようなものであるかは問わないが、図1に示すように、文書処理履歴管理装置6がセキュリティポリシーサーバの機能を備える場合で説明する。
画像形成装置2Zにおいては、予め親展ボックスを作成(開設)しておく(S110)。このとき、親展ボックスには電子文書を蓄積するための親展用のパスワードを設定することができるようにしておく。さらに、親展ボックスの付属情報として、認証サーバ7における認証処理(ディレクトリサービス)のためのユーザ名やユーザID(本例ではユーザIDとする)およびユーザパスワードをセットしておく。これら親展ボックスの作成に関わる情報は文書処理履歴管理装置6や認証サーバ7に通知され、文書処理履歴管理装置6や認証サーバ7にても管理される。
配布者端末4Aは、電子文書を扱うプログラムとそのプログラムを実行可能な装置であり、当該配布者端末4Aを扱うユーザ(文書の配布者)は、電子文書をネットワーク9や可搬型の記憶媒体を介して配布する際(S120)、ユーザ別に配布文書BF_1にアクセス権を設定する。たとえば電子文書のカテゴリ(技術関連や経理関連など)および機密レベル(極秘、マル秘、社外秘、公開など)を設定する。このとき、アクセスを許可する範囲をユーザが属する部門や階級で設定するのではなく、ユーザごとに設定してもよい。
配布者端末4Aは、その設定されたアクセス権の情報(パーミッション情報)をたとえばXML(eXtensible Markup Language)などのページ記述言語で記述したセキュリティポリシーを文書処理履歴管理装置6が備えるセキュリティポリシーサーバ6Aに登録する(S122)。電子文書そのもののセキュリティ性を高めるため、電子文書ファイルそのものにアクセス権の情報を含めてしまうスタティックな方法ではなく、電子文書ファイルとは別にその電子文書を操作するためのアクセス権をセキュリティポリシーサーバ6Aで管理するダイナミックな方法をとるのである。ダイナミックな方法をとると、電子文書を配布後にアクセス権の内容をダイナミックに変更可能となる反面、配布先でその電子文書の操作が可能となるには、いわゆるユーザ認証だけでなくアクセス権の照合処理のための操作も必要になる。操作ログをデータベースで管理する仕組みを採る場合、このアクセス権の照合処理操作の情報も記録することで、内部統制が強化される。
具体的には、セキュリティポリシーサーバ6Aは、配布者端末4Aから送られたセキュリティポリシーの情報を電子文書ごとに管理する。たとえば、電子文書には、閲覧する、編集する、印刷する、保存するなどのアクセス権を設定することができる。設定されたアクセス権は電子文書自体に付加されず、セキュリティポリシーサーバ6Aで管理する。電子文書には、それぞれを一意に特定するために固有の識別子(電子文書IDと称する)を付与する。また、電子文書は、好ましくは、暗号化して配布するのがよい。また、適当なパスワードや秘密鍵で復号化できるようにしておくとよい。暗号化とそれに対応した秘密鍵および復号化鍵は、電子文書の安全性を高めるために適用される。
セキュリティポリシーとしては、たとえば、組織におけるセキュリティポリシーの例で説明すると、文書に対して分野および機密レベルを設定した上で、電子文書に対するアクセスを許可するユーザの階級や部門および印刷要件を設定する。たとえば、分野が「技術」で機密レベルが「極秘」の電子文書ファイルは、カテゴリが「技術」で階級が「上」のユーザに対しては閲覧は許可するが「関係者」を要件とすること、複写は原則として禁止とし、複写する際には管理責任者の許可を得なければならないこと、また複写が許可されるのは「関係者」のみであること、さらに、機密印刷、地紋印刷、バーコード付加、電子透かし付加、機密ラベルスタンプ付加、などを電子的な複写の要件とし、紙媒体などへの印刷(いわゆるハードコピー)は許可しないことを規定する。また、分野が「技術」で機密レベルが「マル秘」の電子文書ファイルは、カテゴリが「技術」で階級が「中」または「上」のユーザに対しては閲覧は許可するが「関係者」を要件とすること、複写や印刷が許可されるのは「関係者」のみであること、さらに、印刷する際には丸秘文書であることを示す文字や記号などの透かしを同時に印刷することを規定する。また、「社外秘文書」の場合、社外へ送付する際には管理者の許可を得なければならないことや、複写・印刷・閲覧は社内であれば許可が不要であることを規定する。「経理関連文書」の場合は全て丸秘文書として扱うものと規定する。
配布者によってアクセス権が管理されて配布された電子文書の操作を希望するユーザは、処理指示端末4Bを操作して、文書管理ソフトウェアを立ち上げ、操作を希望する電子文書を特定する電子文書IDなどの電子文書の属性と、自身を一意に特定するために予め登録しておいたユーザIDおよびユーザパスワードなどのユーザ属性をセキュリティポリシーサーバ6Aに通知する(S130:第1の操作要件取得ステップ)。これらを受け取ったセキュリティポリシーサーバ6Aは、認証サーバ7と連携して個人認証処理を行ない(S132)、認証に成功すると(つまり正規ユーザであれば)、電子文書IDに対応する電子文書を復号化するために必要となる復号鍵とその時点におけるその電子文書およびそのユーザに設定されているパーミッション情報(アクセス権の情報)を処理指示端末4Bに送信する(S134)。つまり、処理指示端末4Bでの電子文書に対する操作時点で、ユーザ属性や電子文書属性からセキュリティポリシーを検索し親展印刷の指示時にも適用する(第1の操作要件適用制御ステップ)。
これにより、その時点でアクセス権が許可されている範囲で、その電子文書の閲覧や印刷指示などが可能な状態となる。たとえば、アクセス管理サーバ8にてディレクトリサービス認証し、セキュリティポリシーサーバ6Aで管理しているセキュリティポリシーに従ってそのユーザが文書を開く権限を持っているかどうかを判断する。その時点で閲覧および印刷が許可されていれば、セキュリティポリシーサーバ6Aは復号鍵を処理指示端末4Bの文書管理ソフトウェアに渡す。復号化権を取得したユーザ(処理指示端末4B)は、その復号化権を使って暗号化されている(アクセス権が管理されている)電子文書を復号して文書ファイルを開く(S136)。
さらに、その電子文書の印刷を希望する場合、ユーザは、処理指示端末4B上で文書印刷指示プログラムの元でプリントドライバ画面を操作して、出力を希望する画像形成装置2Zに対して印刷指示を出す(S138)。このとき、本実施形態では、暗号化されて配布された配布文書BF_1そのものと出力条件を記述した出力指示ファイルBF_2を対にして印刷文書BF_3として画像形成装置2Z側に送信する。ここで、親展印刷を指示する際には、出力指示ファイルBF_2には、出力条件そのものの他に、親展印刷に必要となる情報、たとえば、保存する親展ボックス番号、親展ボックス保存用のパスワード、印刷指示時に指定した文書名なども含める。
印刷文書BF_3を受け取った画像形成装置2Zは(S138)、保留印刷指示(本例では親展印刷指示)がなければ、ほぼ即時に出力処理を完了させる。一方、印刷文書BF_3の出力処理を一旦蓄積しておく必要のある保留印刷指示(親展印刷指示)がされていると、画像形成装置2Zは、親展ボックス用のパスワードが正しければ、親展印刷が指示されている印刷文書BF_3(親展文書とも称する)を印刷ジョブデータとして親展ボックスに保存する(S140:ジョブデータ蓄積ステップ)。このとき、印刷要件適用制御部220は、処理指示端末4B側から受け取った配布文書BF_1および出力指示ファイルBF_2でなる印刷文書BF_3(印刷ジョブ)を暗号化した状態で蓄積(保存)しておくように制御する。
さらに、画像形成装置2Zは、親展ボックスに印刷文書BF_3を保存すると、描画展開に当たって印刷文書BF_3(配布文書BF_1)を開くための復号鍵を入手するために、親展ボックスの付属情報として設定されているセキュリティポリシーサーバ6Aに、電子文書ID、ユーザID、およびユーザパスワードを送付して、認証処理やパーミッション情報の取得(セキュリティポリシーの確認と称する)を求める(S142:第2の操作要件取得ステップ)。
これらを受け取ったセキュリティポリシーサーバ6Aは、認証サーバ7と連携して個人認証処理を行なう(S144)。認証に成功すると(つまり正規ユーザであれば)、セキュリティポリシーサーバ6Aはさらに、自身が記録保持しているセキュリティポリシーを参照して、ユーザが指定した親展文書を印刷する権限があるか否かやどのような印刷要件が設定されているかなどのその時点のセキュリティポリシーの状況を確認する(S146)。つまり、画像形成装置2Zにおいて、親展印刷指示時があった印刷文書BF_3についての描画展開(ビットマップ画像である印刷データの生成)およびデータ蓄積の際にも、ユーザ属性や電子文書属性からセキュリティポリシーを検索しその描画展開処理時に適用する(第2の操作要件適用制御ステップ)。
認証されたユーザがこの電子文書を開くアクセス権を持っていない場合には、画像形成装置2Z(印刷要件適用制御部220)は、セキュリティポリシーサーバ6Aからその旨の通知を受けて、親展印刷ジョブを中止する(S146−NO,S147)。因みに、この時点でジョブを中止しても、親展印刷が指定された印刷文書BF_3は親展ボックスに保存されているので、親展ボックスの蓄積文書を削除するかどうかを指定する。一方、認証されたユーザがこの電子文書を開く権限を持っている場合、セキュリティポリシーサーバ6Aは電子文書IDに対応する電子文書を復号化するために必要となる復号鍵とその時点におけるその電子文書およびそのユーザに設定されているパーミッション情報(アクセス権の情報)を画像形成装置2Zに送信する(S146−YES,S148)。パーミッション情報には、使用しなければならない印刷指示が含まれている。
復号鍵とパーミッション情報を受け取った画像形成装置2Zは、復号部226で復号鍵を使用して電子文書を開き印刷処理部228でビットマップ画像の印刷データに変換し、暗号化部225で暗号化した後に、セキュリティポリシーサーバ6Aから受け取ったパーミッション情報(印刷要件を含む)とともに、元となる印刷文書BF_3と対応付けてデータ保持部24の親展ボックスに保存することを規則化する。この制御も印刷要件適用制御部220で行なう。つまり、印刷要件適用制御部220は、暗号化された状態の印刷データおよびパーミッション情報を、印刷ジョブデータ(暗号化された状態の配布文書BF_1、ユーザから指定された印刷指示を示す出力指示ファイルBF_2)と合わせて親展ボックスに保存することを基本ルールにする(S150)。なお、この蓄積処理までの時間を短縮するために、ビットマップ画像ではなく、それ以前の中間データを、パーミッション情報および印刷ジョブデータと合わせて親展ボックスに保存することを基本ルールにしてもよい。以下では、ビットマップ画像を蓄積するものとして説明する。
このとき画像形成装置2Zは、処理指示端末4B側から受け取った印刷文書BF_3中の配布文書BF_1がアクセス権が設定されセキュリティポリシーで管理された電子文書を処理対象とするか否かに応じて印刷データを暗号化せずに保存する指示を許可するか否かや処理を中止するかなどを切り替える。このため、先ず、平文化されている電子文書や中間データやビットマップ画像をデータ保持部24に保存するような蓄積条件が付加されているか否かを判断する(S152)。平文化状態での蓄積条件が付加されていないときには、画像形成装置2Zは、印刷文書BF_3やビットマップ画像の印刷データを強制的に暗号化した状態で保存する(S152−NO,S153)。
平文化状態での蓄積条件が付加されているときには、画像形成装置2Zは、さらにセキュリティポリシーで管理された配布文書BF_1を処理対象とするか否かを判断する(S154)。セキュリティポリシーで管理されていない配布文書BF_1を処理対象とする場合(S154−NO)、画像形成装置2Zは、印刷文書BF_3に付加されている蓄積条件に従って、印刷文書BF_3や中間データやビットマップ画像を平文化した状態で親展ボックスに蓄積することを許可する(S155)。一方、セキュリティポリシーで管理された配布文書BF_1を処理対象とする場合(S154−YES)、画像形成装置2Z側でのセキュリティ性能を高めるために、印刷要件適用制御部220は、その蓄積条件を無視して、平文化されている電子文書や中間データやビットマップ画像を保存することを禁止する(S156)。そして、印刷要件適用制御部220は、強制的に暗号化した状態で保存するか、あるいは、それ以降のジョブ処理(たとえばアクセス権の確認やビットマップ画像の作成など)を中止するか、あるいは、印刷する権利が確認されたら蓄積せずに即時に印刷するかの対応処理について、ユーザに選択させ、選択された処理が行なわれるように制御する(S158)。なお、ユーザ選択を割愛して、予め取り決めておいた処理が行なわれるように制御してもよい。
親展印刷の指示を出したユーザは、任意の時刻に画像形成装置2Zの設置場所に出向いて、画像形成装置2Zのユーザインタフェース(操作パネルなど)を操作して、親展文書の出力指示を出す。このときには、ユーザは、ユーザIDとユーザパスワード、並びに親展ボックス番号と親展ボックス用のパスワードを入力して自身用の親展ボックスを開き、操作パネルなどに表示される文書一覧から出力を希望する親展文書を選択して印刷指示を出す(S160:実行指示受付けステップ)。このとき、印刷後、蓄積文書を削除するかどうかを指定する。
また、ユーザの希望によっては、親展印刷を指示した時点の出力条件に対して変更を受け付けるようにしてもよい(S161)。画像形成装置2Zは、出力条件の変更を受け付けた場合、ステップS150で保存したパーミッション情報の出力条件を、受け付けた変更後の出力条件で上書きしておく。
保留しておいた親展印刷の処理実行指示を受け付けた画像形成装置2Zは、文書印刷プログラムに従い、その時点でアクセス権が許可されている範囲で、アクセス権が設定されている保護文書の一例である親展文書を、設定されている印刷条件に応じて印刷処理が可能な状態となる。ただし、本実施形態におけるアクセス権の管理形態としては、電子文書ファイルとは別にその電子文書を操作するためのアクセス権をセキュリティポリシーサーバ6Aで管理するダイナミックな方法をとっているので、セキュリティポリシーは任意の時点で変更することができるため、処理指示端末4B側にて親展印刷を指示した時点(S138)や親展文書を親展ボックスに蓄積した時点(S150)のセキュリティポリシー(アクセス権)の状況と、親展文書に対する実際の出力指示時点(S160)のセキュリティポリシーの状況が同じであるとは限らない。よって、アクセス権の管理対象の電子文書へアクセスが発生したタイミングで(本例では実際の親展印刷処理時にも)、当該電子文書のセキュリティポリシーの確認とアクセス制御を行なう。
このため、出力指示を受け付けた画像形成装置2Zは、再びセキュリティポリシーサーバ6Aに印刷可否を問い合わせ、パーミッション情報を取得する。つまり、親展印刷指示があったときの印刷文書BF_3についての実際の出力処理などのように画像形成装置2Zに蓄積しておいた印刷ジョブの出力処理の際にも、ユーザ属性や電子文書属性からセキュリティポリシーを検索しその出力処理時に適用する(第3の操作要件適用制御ステップ)。
この際には、出力を指示された親展文書の電子文書IDとユーザIDとユーザパスワードをセキュリティポリシーサーバ6Aに送付して認証処理とパーミッション情報(アクセス権の情報)の取得を要求する(S162:第3の操作要件取得ステップ)。これらを受け取ったセキュリティポリシーサーバ6Aは、認証サーバ7と連携して個人認証処理を行なう(S164)。認証に成功すると(つまり正規ユーザであれば)、セキュリティポリシーサーバ6Aはさらに、自身が記録保持しているセキュリティポリシーを参照して、ユーザが指定した親展文書を印刷する権限があるか否かやどのような印刷要件が設定されているかなどのその時点のセキュリティポリシーの状況を確認する(S166)。認証されたユーザが電子文書を印刷する権限を持っている場合、セキュリティポリシーサーバ6Aは電子文書IDに対応する電子文書を印刷するために必要となるその時点におけるその電子文書およびそのユーザに設定されているパーミッション情報(アクセス権の情報)を画像形成装置2Zに送信する(S166−YES,S168)。パーミッション情報には、使用しなければならない印刷指示(印刷条件)が含まれている。
ここで、親展文書を親展ボックスに蓄積した時点(S150)のセキュリティポリシーの状況と親展文書に対する実際の出力指示時点(S160)のセキュリティポリシーの状況に変更があると、何らかの問題で、そのままでは親展文書の印刷処理を継続できないことが起こり得る。このため、画像形成装置2Zは、親展文書を親展ボックスに蓄積した時点(S150)のセキュリティポリシーの状況と親展文書に対する実際の出力指示時点(S160)のセキュリティポリシーの状況に変更がなければ、親展印刷指示を発した時点(S138:詳しくは親展文書のビットマップ画像を蓄積した時点(S150))の出力条件に従って親展ボックスに保存したビットマップ画像を使ってそのまま印刷処理を実行する。一方、そのままでは親展文書の印刷処理を継続できないときには、処理を中止するかあるいは印刷条件を許可されている範囲内に変更して印刷処理を完了させる。
「何らかの問題」としては、たとえば、以下のようなケースが考えられる。何れも、親展文書を親展ボックスに蓄積した時点(S150)では何ら問題がなかったものが、親展文書に対する実際の出力指示時点(S160)では、セキュリティポリシーに何らかの設定変更があったケースである。
1)電子文書が持つ電子文書IDがセキュリティポリシーサーバ6Aに登録されておらず、その親展文書とセキュリティポリシーの紐付け(対応関係)が特定できず、ユーザより指定された親展文書のセキュリティポリシーを探せないケースである。先ず1)のケースとして考えられるのは、セキュリティポリシーサーバ6Aから電子文書IDが削除されている場合である。これは、電子文書の文書処理履歴管理装置6(セキュリティポリシーサーバ6A)上での管理所有者が自ら消した、謝って消した、データベースが壊れてしまった、などのケースなどである。何れにしても、紐付けされていない理由を明らかにすべきである。また、次に1)のケースとして考えられるのは、電子文書自体が改竄され、電子文書IDを詐称した可能性がある。この場合は、電子文書そのものを保全することにより解析する。
2)セキュリティポリシーサーバ6Aには、電子文書は登録されているが、ユーザ確認がとれないケースである。2)のケースとして考えられるのは、画像形成装置2Zのデータ保持部24に蓄積された電子文書を他のユーザが印刷しようと試みた場合など、そのユーザの個人情報登録がなく指定された親展文書のセキュリティポリシーを管理するセキュリティポリシーサーバ6Aにログインできない場合や、親展文書の印刷指示後にセキュリティポリシーサーバ6A上でそのユーザに対する印刷のアクセス権が剥奪された場合などである。
3)セキュリティポリシーとして印刷禁止が設定されているユーザが印刷しようとしたケースである。3)のケースとして考えられるのは、クライアントのツールなどで印刷できるかの権利を確認せずに電子文書を直接に画像形成装置2Zに送った場合などである。
4)出力条件に制限が加わった場合や、出力条件の制限に変更があったケースである。たとえば、親展印刷指示時点では出力条件の制限がなく印刷が許可されていたものが実際の出力処理時点では白黒モードや低品質でしか許可しないように制限が加わった場合が該当する。親展印刷指示時点ではカラーモードや高品質(たとえば高解像度)での印刷が許可されていたものが実際の出力処理時点では白黒モードや低品質(たとえば低解像度)でしか許可しないように制限が変更された場合が該当する。親展印刷指示時点では両面印刷が許可されていたものが実際の出力処理時点では片面印刷でしか許可しないように制限が変更された場合が該当する。親展印刷指示時点では出力用紙サイズの制限がなかったものが実際の出力処理時点ではB4サイズ以下でしか許可しないように出力用紙サイズの制限が加わった場合が該当する。親展印刷指示時点ではB4サイズ以下で許可されたいたものがA4サイズ以下でしか許可しないように変更された場合が該当する。
4)のケースでは、印刷指示を発したとき(より詳細には画像形成装置2Zが親展文書やビットマップ画像を蓄積したとき)の出力条件のままでは印刷許可がないが、その時点で許可されている出力条件の範囲であれば印刷出力が可能である。よって、どうしても印刷したいのであれば、ユーザはその時点の制限範囲に収まるように出力条件の変更をした上で出力指示を発すればよい。あるいは、画像形成装置2Zは、ユーザに問い合せることなく、印刷指示を発した時点のユーザ指示に基づく出力条件を、実際の印刷処理時点のセキュリティポリシーで許可されている出力条件で強制的に上書きし、親展ボックスに蓄積されているオリジナル文書から再度ビットマップ画像を生成して印刷処理を実行してもよい。
これらに対応するため、印刷要件適用制御部220は、セキュリティポリシーの設定が変わっており、認証されたユーザがこの電子文書を印刷するアクセス権を持っていない場合には、画像形成装置2Zは、セキュリティポリシーサーバ6Aからその旨の通知を受けて、親展印刷ジョブを中止する(印刷不許可にする)とともに、エラー表示などユーザに対して警告メッセージを通知する(S166−NO,S167)。因みに、この時点でジョブを中止しても、親展印刷が指定された印刷文書BF_3は親展ボックスに保存されているので、親展ボックスの蓄積文書を削除するかどうかを指定する。
また、印刷要件適用制御部220は、認証されたユーザがこの電子文書を印刷するアクセス権を持っている場合には、さらに、ステップS150にて親展文書のビットマップ画像とともに親展ボックスに保存したパーミッション情報(特に印刷条件)と、実際の出力指示を受けてステップS168にてセキュリティポリシーサーバ6Aから取得したパーミッション情報(特に印刷条件)を比較する(S166−YES,S170)。
文書が印刷可能で、かつステップS150にて保存したパーミッション情報がステップS168にて新たに取得したパーミッション情報と変わっていなければ、親展印刷を受け付けた際にステップS150にて描画展開してデータ保持部24に蓄積しておいたビットマップ画像の印刷データを読み出して印刷処理を実行する(S170−YES,S172)。この際、電子文書ファイルに透かし付加が印刷要件として設定されている場合には、電子文書の内容とともに地紋や丸秘文書であることを示す文字や記号など所定の透かしも印刷する。この点は、他の処理ステップで印刷処理を実行する場合も同様である。これにより、電子文書ファイルを印刷する際に、予め設定されたアクセス権に応じた印刷要件が強制される。因みに、印刷完了後にも、親展印刷が指定された印刷文書BF_3は親展ボックスに保存されているので、親展ボックスの蓄積文書を削除するかどうかを指定する。この点も、他の処理ステップで印刷処理を実行する場合も同様である。
一方、親展文書を親展ボックスに蓄積した時点(S150)のパーミッション情報(特に印刷条件)と親展文書に対する実際の出力指示時点(S160)のパーミッション情報(特に印刷条件)に変更がある場合(S170−NO)、印刷要件適用制御部220は再描画制御部256との連携により、蓄積済みのビットマップ画像を作り直す必要があるか否かに応じてその後の印刷処理を切り分ける(S200)。このステップS200の詳細については、第2実施形態で説明する。
このように、第1実施形態の仕組みによれば、電子文書とユーザごとに管理されたセキュリティポリシーが電子文書の配布後に変更された場合でも、各処理操作時点のセキュリティポリシーに従って、文書を印刷する、しないが制御され、文書の配布者が意図したその時点の権限管理が確実に実行されることとなる。
また、印刷装置2Bから画像形成装置2Zに印刷文書BF_3を送信し、画像形成装置2Zにて予めビットマップ画像(印刷画像)に変換して蓄積された文書に対しても、実際の印刷処理時点のセキュリティポリシーに従った制御がなされる。画像形成装置2Zに印刷画像を蓄積する機能がある場合に、蓄積画像を印刷する時点でのセキュリティポリシーが適用されることで、文書の配布者が意図したその時点の権限管理が確実に実行されることとなる。
なお、前記の説明では、各時点のセキュリティポリシーの状況(パーミッション情報、特に印刷条件)に変更がある事例として、保留印刷処理(具体的には親展印刷処理)を行なう場合について、親展印刷指示を発する時点(S138)や親展文書のビットマップ画像の保存時点(S150)と親展文書に対する実際の出力指示を受けた印刷処理時点(S162)のそれぞれで、ユーザ属性や電子文書属性からセキュリティポリシーを検索して、セキュリティポリシーで許可されている範囲内で所定の処理を行なう例を説明したが、保留印刷処理を行なう際に、セキュリティポリシー状況に変更があり得るのは、親展印刷処理の場合に限らない。
たとえば、一方の画像形成装置2Zに蓄積された画像に外部からアクセスし、他方の画像形成装置2Zで画像を利用することができるコピーサーバーという機能がある。このように、当該画像形成装置2Zでの印刷以外に、蓄積されたビットマップ画像に対して他からアクセスを行なうような場合にも、アクセス発生時点で再度セキュリティポリシーサーバ6Aにセキュリティポリシー(アクセス権)の確認を行なう前記第1実施形態の仕組みは適用される。
<セキュリティポリシー出力処理:第2実施形態>
図7は、セキュリティポリシーに従った画像形成処理の手順の第2実施形態を説明するフローチャートである。前述の通り、この第2実施形態は第1実施形態の処理手順におけるステップS200の処理手順の詳細を示すものである。
ステップS200における処理は、第1実施形態において、印刷指示を発した時点(S138:より詳細には画像形成装置2Zが親展文書のビットマップ画像を蓄積した時点(S150))のパーミッション情報(特に印刷条件)と親展文書に対する実際の出力指示時点(S160)のパーミッション情報(特に印刷条件)に変更があり(S170−NO)、かつ、親展文書のビットマップ画像を蓄積した時点(S150)の出力条件のままでは印刷許可がないが、ビットマップ画像の再作成により出力指示時点(S160)のパーミッション情報(特に印刷条件)の制限範囲に収まるようにできる場合に、制限範囲に収まるように出力条件の変更をした上で印刷処理を行なう点に特徴がある。
画像形成装置2Zは、ステップS200の処理に移行すると、先ず、ステップS200の処理モードが、印刷時のセキュリティポリシー範囲内の出力条件を自動的・強制的に適用する自動モードか、ユーザによる出力条件の変更を受け付けるユーザ確認モードかを確認しておく(S210)。そして、印刷要件適用制御部220は、何れのモードにおいても、実際に印刷処理を行なう際、蓄積済みのビットマップ画像を作り直す必要があるか否かを判断する。
具体的には、パーミッション情報の変更があるものの、セキュリティポリシーサーバ6Aから取得したパーミッション情報で指定されている印刷条件の範囲内に、親展文書のビットマップ画像を蓄積した時点(S150)の出力条件が含まれるか否かを判断する(S220)。
この判断のため、印刷要件適用制御部220は先ず、親展印刷指示を受け付けて各種のデータをデータ保持部24に保存するときにセキュリティポリシーサーバ6Aを検索して印刷要件を取得し、この印刷要件をデータ保持部24に蓄積するように制御しておく(S150)。そして、印刷要件適用制御部220は、親展印刷指示の印刷ジョブデータについての処理実行指示を受け付けたときにセキュリティポリシーサーバ6Aを検索して取得した印刷要件とデータ保持部24に蓄積しておいた親展印刷指示を受けたときの印刷要件と比較することで、データ保持部24に蓄積しておいたビットマップ画像の使用の許否を判断する。
パーミッション情報の変更があって、かつ、セキュリティポリシーサーバ6Aから取得したパーミッション情報で指定されている印刷条件の範囲内に、親展文書のビットマップ画像を蓄積した時点(S150)の出力条件が含まれる場合には、蓄積済みのビットマップ画像を作り直す必要がない場合に該当するので、印刷要件適用制御部220は、モードを問わず、親展印刷を受け付けた際にステップS150にて描画展開してデータ保持部24に蓄積しておいたビットマップ画像の印刷データを読み出して印刷処理を実行するように制御する(S220−YES,S222)。
一方、パーミッション情報の変更があって、かつ、セキュリティポリシーサーバ6Aから取得したパーミッション情報で指定されている印刷条件の範囲内に、親展文書のビットマップ画像を蓄積した時点(S150)の出力条件が含まれない場合には(S220−NO)、蓄積済みのビットマップ画像を作り直す必要がある場合に該当するので、印刷要件適用制御部220は再描画制御部256との連携により、ステップS210で確認した動作モードに応じてビットマップ画像を再作成して印刷を行なうように制御する。
たとえば、自動モードの場合(S224−自動)、再描画制御部256は、ユーザが指定した蓄積済みの印刷指示(ステップS150にて保存したもの)を、ステップS168にてセキュリティポリシーサーバ6Aから取得したもので、つまり実際の印刷処理時点のセキュリティポリシーで許可されている出力条件で、強制的に上書きし、蓄積済みのオリジナル文書(印刷文書BF_3)から、再度、ビットマップ画像を生成して印刷するように制御する(S226)。この処理手法では、ユーザ確認の手間が省かれるのでユーザ確認モードよりも印刷処理完了までの処理期間が短いが、その時点のユーザの希望する出力条件を無視した状態で、文書の配布者が意図したその時点の権限管理が実行される。
ユーザ確認モードの場合(S224−ユーザ確認)、再描画制御部256は、出力処理時点のセキュリティポリシーの状況をユーザに通知し(S230)、処理を継続するか否か、具体的には、その時点の制限範囲に収まるように出力条件を修正して印刷するか否かや出力処理時点のセキュリティポリシーで許容されている範囲に適合するように出力条件の修正を受け付ける(S232)。ユーザは、制約された範囲での印刷を希望しないのであればジョブの中止を操作パネルなどから指定する(S232−NO,S234)。再描画制御部256は、この中止指示を受け付けると親展印刷ジョブを中止する(S236)。因みに、この時点でジョブを中止しても、親展印刷が指定された印刷文書BF_3は親展ボックスに保存されているので、親展ボックスの蓄積文書を削除するかどうかを指定する。
一方、どうしても印刷したいのであれば、ユーザは、その時点の制限範囲に収まるように出力条件の変更を操作パネルなどから指定する(S232−YES,S240)。再描画制御部256は、この出力条件の変更指示を受け付けると、再描画制御部256は、ユーザが指定した蓄積済みの印刷指示(ステップS150にて保存したもの)を、ステップS240にてユーザから受け付けたもので、つまり実際の印刷処理時点のセキュリティポリシーで許可されている範囲内のユーザが希望する出力条件で、強制的に上書きし、蓄積済みのオリジナル文書(印刷文書BF_3)から、再度、ビットマップ画像を生成して印刷するように制御する(S242)。この処理手法では、ユーザ確認の手間が掛るので自動モードよりも印刷処理完了までの処理期間が長くなるが、文書の配布者が意図したその時点の権限管理と、その時点のユーザの希望する出力条件の双方に沿った印刷処理が実行される。
<パーミッション情報変更の事例:第1処理例>
図8は、パーミッション情報に変更がある場合の第1処理例を説明する図である。第1処理例は、送信時や蓄積時のパーミッション情報に変更があるが、印刷データ(ビットマップ画像)の再作成が不要の場合(S220−YES)の一例である。
セキュリティポリシーが管理されている文書を処理指示端末4Bから画像形成装置2Zに送信する(S300)。送信時にユーザは印刷設定として、解像度は“1200dpi(dot per inch)”、カラー指定(カラー印刷か白黒印刷か)は“カラー”を指定する。画像形成装置2Zは、文書を受信した時点でセキュリティポリシーサーバ6Aに確認を行ない、パーミッション情報を取得する(S302)。
得られるパーミッション情報では、解像度、カラー指定については特に制限はなく任意の設定を許している。そこで、画像形成装置2Zは、処理指示端末4Bからの指定に対してセキュリティポリシーとして制限がないので、1200dpi、カラーでビットマップ画像を生成する(S304)。画像形成装置2Zは、生成したビットマップ画像を、この時点で許可されているパーミッション情報および処理指示端末4Bから送信された文書(オリジナル)と対応付けて親展ボックスに保存する。
文書のセキュリティポリシー管理者(たとえば電子文書の配布者)は、この文書のポリシーを変更することができる。たとえば、カラー指定は変更しないが、解像度は“任意”から“1200dpi”へと、セキュリティポリシーを変更したとする。
その後、ユーザが画像形成装置2Zから、蓄積されている文書の印刷を指示する(S310)。この指示を受け付けた画像形成装置2Zは、セキュリティポリシーサーバ6Aに再度確認を行ない、パーミッション情報を取得する(S312)。解像度は“1200dpi”、カラー指定については特に制限はなく任意の設定を許していると、蓄積時と許可されるパーミッション情報が変わっていることが分る。この場合、パーミッション情報に変更があるが、蓄積済みのビットマップ画像(1200dpi、カラー)をそのまま使用して印刷処理を実行できるので、画像形成装置2Zは、親展印刷を受け付けた際にステップS304にて描画展開して蓄積しておいたビットマップ画像を読み出して印刷処理を実行する(S314)。したがって、1200dpi、カラーで印刷されることになる。
<パーミッション情報変更の事例:第2処理例>
図8Aは、パーミッション情報に変更がある場合の第2処理例を説明する図である。第2処理例は、送信時や蓄積時のパーミッション情報に変更があり、かつ、印刷データ(ビットマップ画像)の再作成が必要な場合(S220−NO)の一例である。ここでは、自動モードで説明する。
セキュリティポリシーが管理されている文書を処理指示端末4Bから画像形成装置2Zに送信する(S320)。送信時にユーザは印刷設定として、解像度は“1200dpi(dot per inch)”、カラー指定(カラー印刷か白黒印刷か)は“カラー”を指定する。画像形成装置2Zは、文書を受信した時点でセキュリティポリシーサーバ6Aに確認を行ない、パーミッション情報を取得する(S322)。
得られるパーミッション情報では、解像度、カラー指定については特に制限はなく任意の設定を許している。そこで、画像形成装置2Zは、処理指示端末4Bからの指定に対してセキュリティポリシーとして制限がないので、1200dpi、カラーでビットマップ画像を生成する(S324)。画像形成装置2Zは、生成したビットマップ画像を、この時点で許可されているパーミッション情報および処理指示端末4Bから送信された文書(オリジナル)と対応付けて親展ボックスに保存する。
文書のセキュリティポリシー管理者(たとえば電子文書の配布者)は、この文書のポリシーを変更することができる。たとえば、解像度は“任意”から“1200dpi”へ、またカラー指定は“任意”から“白黒”へと、“600dpi”かつ“白黒”でのみ印刷を許すようにセキュリティポリシーを変更したとする。
その後、ユーザが画像形成装置2Zから、蓄積されている文書の印刷を指示する(S330)。この指示を受け付けた画像形成装置2Zは、セキュリティポリシーサーバ6Aに再度確認を行ない、パーミッション情報を取得する(S332)。解像度は“600dpi”、カラー指定は“白黒”と、蓄積時と許可されるパーミッション情報が変わっていることが分る。この場合、パーミッション情報に変更があり、かつ、蓄積済みのビットマップ画像(1200dpi、カラー)をそのまま使用した状態では印刷が許可されていないので、画像形成装置2Zは、ユーザが指定した印刷指示をセキュリティポリシーサーバ6Aから得られたもので上書きし、保存されているオリジナル文書から再度ビットマップ画像を生成して印刷処理を実行する(S334)。したがって、600dpi、白黒で印刷されることになる。
<パーミッション情報変更の事例:第3処理例>
図8Bは、パーミッション情報に変更がある場合の第3処理例を説明する図である。第3処理例は、送信時や蓄積時のパーミッション情報に変更がある場合の他の例であり、特に、親展印刷の指示に文字“A”,“B”の各ページについて、両面印刷(文字“A”のページは表面、文字“B”のページは裏面)を指定したときに、実際の出力処理時には両面印刷が許可されていない場合に片面印刷を実行する事例である。ここでは、自動モードで説明する。
セキュリティポリシーが管理されている文書を処理指示端末4Bから画像形成装置2Zに送信する(S340)。送信時にユーザは印刷設定として、印刷面は“両面”を指定する。画像形成装置2Zは、文書を受信した時点でセキュリティポリシーサーバ6Aに確認を行ない、パーミッション情報を取得する(S342)。
得られるパーミッション情報では、印刷面については特に制限はなく任意の設定を許している。そこで、画像形成装置2Zは、処理指示端末4Bからの指定に対してセキュリティポリシーとして制限がないので、表面および裏面について、自装置の状況に合わせた状態でビットマップ画像を生成する(S344)。画像形成装置2Zは、生成した表面および裏面のビットマップ画像を、この時点で許可されているパーミッション情報および処理指示端末4Bから送信された文書(オリジナル)と対応付けて親展ボックスに保存する。
ここで、親展印刷の指示に両面印刷が指定されていたとき、画像形成装置2Zが保存するビットマップ画像の形態としては、用紙搬送系その他の処理プロセスとの関係で、たとえば、ステップS344aのように表面および裏面の何れについても上下左右が正置した状態で描画展開する場合と、ステップS344bのように表面は上下左右が正置した状態で描画展開し、裏面は上下左右が反転した状態(倒置した状態)で描画展開する場合とが考えられる。
文書のセキュリティポリシー管理者(たとえば電子文書の配布者)は、この文書のポリシーを変更することができる。たとえば、印刷面については“任意”から“片面”へと、セキュリティポリシーを変更したとする。
その後、ユーザが画像形成装置2Zから、蓄積されている文書の印刷を指示する(S350)。この指示を受け付けた画像形成装置2Zは、セキュリティポリシーサーバ6Aに再度確認を行ない、パーミッション情報を取得する(S352)。印刷面については“任意”から“片面”と、蓄積時と許可されるパーミッション情報が変わっていることが分る。この場合、蓄積済みのビットマップ画像をそのまま使用した状態で片面印刷が実行できるか否かは、ステップS344で蓄積しておいた裏面のビットマップ画像の状態で左右される。
たとえば、ステップS344aの状態で描画展開していた場合は(S350a)、実際の出力処理時に両面印刷が許可されていない場合でも、表面および裏面の何れも、描画展開して蓄積しておいたビットマップ画像をそのまま使用して片面印刷を実行して、さらにステープラやパンチ孔形成などの終末処理をしても何ら不都合はないので、画像形成装置2Zは、親展印刷を受け付けた際にステップS344にて描画展開して蓄積しておいた表面および裏面のビットマップ画像を読み出して片面印刷処理を実行する(S354a)。必要に応じてステープラで綴じたりパンチ孔を形成したりする。
これに対して、ステップS344bの状態で描画展開していた場合は(S350b)、実際の出力処理時に両面印刷が許可されていない場合、表面だけであれば描画展開して蓄積しておいたビットマップ画像をそのまま使用して片面印刷を実行してさらにパンチ孔形成をしても何ら不都合はないので、画像形成装置2Zは、親展印刷を受け付けた際にステップS344にて描画展開して蓄積しておいた表面のビットマップ画像を読み出して片面印刷処理を実行し、必要に応じてパンチ孔を形成する(S354b1)。一方、裏面のみ印刷する場合や表面と裏面をステープラで綴じる場合には、裏面側については、正置した状態のビットマップ画像が必要になる。そこで、画像形成装置2Zは、表面については、親展印刷を受け付けた際にステップS344にて描画展開して蓄積しておいたビットマップ画像を読み出して片面印刷処理を実行し、裏面については、保存されているオリジナル文書から再度ビットマップ画像を生成して印刷処理を実行する(S354b2)。必要に応じてステープラで綴じたりパンチ孔を形成したりする。
<各種装置:計算機構成>
図9は、画像形成装置2Z、配布者端末4A、処理指示端末4B、文書処理履歴管理装置6、セキュリティポリシーサーバ6A、認証サーバ7などの各種装置の他の構成例を示すブロック図である。ここでは、パーソナルコンピュータなどの電子計算機を利用して、電子文書保護処理(本実施形態では特にエラー対応処理に関連した各種処理)をソフトウェアを実行するマイクロプロセッサなどから構築されるより現実的なハードウェア構成を示している。
すなわち、本実施形態において、電子文書に関するセキュリティポリシーに基づき装置操作可否を制御するセキュリティポリシー管理機能の仕組みは、ハードウェア処理回路により構成することに限らず、その機能を実現するプログラムコードに基づき電子計算機(コンピュータ)を用いてソフトウェア的に実現される。よって、本発明に係る仕組みを、電子計算機(コンピュータ)を用いてソフトウェアで実現するために好適なプログラムあるいはこのプログラムを格納したコンピュータ読取可能な記憶媒体が発明として抽出される。ソフトウェアにより実行させる仕組みとすることで、ハードウェアの変更を伴うことなく処理手順などが容易に変更されることとなる。
電子文書に関するセキュリティポリシーに基づき装置操作の許可/不許可(装置操作可否と称する)を制御する一連の処理はハードウェアまたはソフトウェアの単独に限らずその両者の複合構成によっても実現され得る。ソフトウェアによる処理を実行する場合、処理手順を示したプログラムを、ハードウェアに組み込まれたコンピュータ内の記憶媒体に組み込んで(インストールして)実行させたり、各種処理が実行可能な汎用の電子計算機にプログラムを組み込んで実行させたりする。
セキュリティポリシー管理機能をコンピュータに実行させるプログラムは、CD−ROMなどの記録媒体を通じて配布される。あるいは、このプログラムは、CD−ROMではなくFDに格納されてもよい。また、MOドライブを設け、MOに前記プログラムを格納してもよく、またフラッシュメモリなどの不揮発性の半導体メモリカードなど、その他の記録媒体にプログラムを格納してもよい。さらに、ソフトウェアを構成するプログラムは、記録媒体を介して提供されることに限らず、有線あるいは無線などの通信網を介して提供されてもよい。たとえば、他のサーバなどからインターネットなどのネットワークを経由してプログラムをダウンロードして取得したり、あるいは更新したりしてもよい。さらに、セキュリティポリシー管理処理を行なう機能を実現するプログラムコードを記述したファイルとしてプログラムが提供されるが、この場合、一括のプログラムファイルとして提供されることに限らず、コンピュータで構成されるシステムのハードウェア構成に応じて、個別のプログラムモジュールとして提供されてもよい。
たとえば、コンピュータシステム900は、コントローラ部901と、ハードディスク装置、フレキシブルディスク(FD)ドライブ、あるいはCD−ROM(Compact Disk ROM)ドライブ、半導体メモリコントローラなどの、所定の記憶媒体からデータを読み出したり記録したりするための記録・読取制御部902とを有する。また、コンピュータシステム900は、ユーザインタフェースをなす機能部としての指示入力部903と、操作時のガイダンス画面や処理結果などの所定の情報をユーザに提示する表示出力部904と、各機能部との間のインタフェース機能をなすインタフェース部(IF部)909とを有する。
コントローラ部901は、CPU(Central Processing Unit )912、読出専用の記憶部であるROM(Read Only Memory)913、随時書込みおよび読出しが可能であるとともに揮発性の記憶部の一例であるRAM(Random Access Memory)915、および不揮発性の記憶部の一例であるRAM(NVRAMと記述する)916を有している。
記録媒体は、コンピュータのハードウェア資源に備えられている読取装置に対し、プログラムの記述内容に応じて、磁気、光、電気などのエネルギの状態変化を引き起こして、それに対応する信号の形式で、読取装置にプログラムの記述内容を伝達するものである。
“揮発性の記憶部”とは、装置の電源がオフされた場合には、記憶内容を消滅してしまう形態の記憶部を意味する。一方、“不揮発性の記憶部”とは、装置のメイン電源がオフされた場合でも、記憶内容を保持し続ける形態の記憶部を意味する。記憶内容を保持し続けるものであればよく、半導体製のメモリ素子自体が不揮発性を有するものに限らず、バックアップ電源を備えることで、揮発性のメモリ素子を”不揮発性”を呈するように構成するものであってもよい。
“不揮発性の記憶部”は、半導体製のメモリ素子により構成することに限らず、磁気ディスクや光ディスクなどの媒体を利用して構成してもよい。たとえば、ハードディスク装置も不揮発性の記憶部として利用され得る。また、CD−ROMなどの記録媒体から情報を読み出す構成を採ることでも不揮発性の記憶部として利用され得る。
指示入力部903としては、たとえば、ユーザインタフェース部985の操作キー部985bを利用してもよい。あるいは、キーボードやマウスなどを利用してもよい。表示出力部904は、表示制御部919と表示装置とを備える。表示装置としては、たとえば、ユーザインタフェース部985の操作パネル部985aを利用してもよい。あるいは、CRT(Cathode Ray Tube;陰極線管)やLCD(Liquid Crystal Display;液晶)などでなるその他のディスプレイ部を利用してもよい。
セキュリティポリシー管理機能やいわゆるイメージログ機能を実現する画像形成装置2Zを構成する場合、文書を読み取る画像読取部905や、出力用の画像データに基づき所定の出力媒体に文書の画像を形成する画像形成部216に対応する画像形成部906を設ける。
インタフェース部909としては、処理データ(画像データを含む)や制御データの転送経路であるシステムバス991の他、たとえば、画像形成部906や他のプリンタとのインタフェース機能をなすプリンタIF部996、およびネットワークとの間の通信データの受け渡しを仲介する通信IF部999を有している。
このような構成において、CPU912は、システムバス991を介してシステム全体の制御を行なう。ROM913は、CPU912の制御プログラムなどを格納する。RAM915は、SRAM(Static Random Access Memory )などで構成され、プログラム制御変数や各種処理のためのデータなどを格納する。また、RAM915は、所定のアプリケーションプログラムに従って演算して得たデータや外部から取得したデータなどを一時的に格納する領域を含んでいる。記録・読取制御部902により制御されるハードディスク装置は、制御プログラムによる各種処理のためのデータを格納したり、自装置で取得したデータや外部から取得したデータなどを大量に一時的に格納したりする領域を含む。
このような構成により、操作キー部985bを介した操作者による指令にて、電子文書に関するセキュリティポリシーに基づき装置操作可否を制御するセキュリティポリシー管理処理方法を実行するプログラムが記憶されているCD−ROMなどの読取可能な記録媒体からRAM915にセキュリティポリシー管理処理プログラムがインストールされ、また操作キー部985bを介した操作者による指令や自動処理にてセキュリティポリシー管理処理プログラムが起動される。CPU912は、このセキュリティポリシー管理処理プログラムに従ってセキュリティポリシー管理処理方法に伴う計算処理や判定処理や制御処理などを施し、処理結果をRAM915やハードディスクなどの記憶装置に格納し、操作パネル部985a、あるいはCRTやLCDなどの表示装置に出力する。
なお、このようなコンピュータを用いた構成に限らず、機能ブロックを用いて示した各装置の構成図における各機能部の処理をなす専用のハードウェアの組合せにより、セキュリティポリシー管理処理を行なうセキュリティポリシー管理処理システムや画像形成装置2Zや配布者端末4Aや処理指示端末4Bやセキュリティポリシーサーバ6Aなどを構成してもよい。たとえば、セキュリティポリシー管理処理のための各機能部分の全ての処理をソフトウェアで行なうのではなく、これら機能部分の一部を専用のハードウェアにて行なう処理回路960を設けてもよい。もちろん、各機能部の全体をハードウェアで構成することに限らず、各機能部を構成する各機能部の一部をハードウェアで構成してもよい。
ソフトウェアで行なう仕組みは、並列処理や連続処理に柔軟に対処し得るものの、その処理が複雑になるに連れ、処理時間が長くなるため、処理速度の低下が問題となる。これに対して、ハードウェア処理回路で構築すると、処理が複雑であっても、処理速度の低下が防止され、高いスループットを得る高速化を図ったアクセラレータシステムが構築される。
以上、本発明について実施形態を用いて説明したが、本発明の技術的範囲は前記実施形態に記載の範囲には限定されない。発明の要旨を逸脱しない範囲で前記実施形態に多様な変更または改良を加えることができ、そのような変更または改良を加えた形態も本発明の技術的範囲に含まれる。
また、前記の実施形態は、クレーム(請求項)にかかる発明を限定するものではなく、また実施形態の中で説明されている特徴の組合せの全てが発明の解決手段に必須であるとは限らない。前述した実施形態には種々の段階の発明が含まれており、開示される複数の構成要件における適宜の組合せにより種々の発明を抽出できる。実施形態に示される全構成要件から幾つかの構成要件が削除されても、効果が得られる限りにおいて、この幾つかの構成要件が削除された構成が発明として抽出され得る。
たとえば、前述の実施形態では、電子機器の一例である画像形成装置に対してセキュリティポリシー管理処理システムを適用した事例で具体的に説明したが、対象となる電子機器は、画像形成装置に限らず、電子機器で扱う電子情報がアクセス権を管理されているものである限り、たとえば携帯電話や携帯音楽プレーヤなど、あらゆるものに適用できる。この場合、前述の実施形態における電子文書はサーバからダウンロードしたコンテンツなどの電子情報と置き換え、画像形成や印刷処理は情報処理と置き換え、印刷要件は操作要件と置き換えて考えればよい。
1…文書処理履歴管理システム、2…イメージング機器、2Z…画像形成装置、4…クライアント装置、4A…配布者端末、4B…処理指示端末、6…文書処理履歴管理装置、6A…セキュリティポリシーサーバ、7…認証サーバ、8…アクセス管理サーバ、9…ネットワーク、22…画像処理制御部、24…データ蓄積部、62…セキュリティ制御部、64…データ蓄積部、210…セキュリティポリシー管理部、212…ユーザ属性取得部、214…文書属性取得部、216…画像形成部、220…印刷要件適用制御部、222…アクセス権確認・復号鍵取得部、224…印刷要件取得部、225…暗号化部、226…復号部、228…印刷処理部、230…要件処理制御部、232…文書加工部、234…プリンタドライバ部、236…エラー警報部、238…ログ記録部、260…プリントエンジン部、410…暗号鍵取得部、412…暗号化部、414…保護設定部、416…セキュリティポリシー登録部、610…セキュリティポリシーDB登録部、612…アクセス権限確認部、614…印刷要件取得送付部、710…ユーザ認証部