以下、本発明の具体的な実施の形態について図面を参照しつつ詳細に説明する。なお、本発明の技術的範囲は以下に記述する実施の形態に限定されるものではなく、発明の構成要件やその組み合わせによって得られる特定の効果を導き出せる範囲において、種々の変更や改良を加えた形態も含む。
図1は本発明の実施の形態に係る機密文書管理システムの構成例を示す模式図である。機密文書管理システムは、大きくは、管理装置1と、文書出力装置2と、文書廃棄装置3と、文書保管装置4と、保安装置5と、施錠/解錠機構6を備えた構成となっている。これらの装置は、すべてネットワーク7を介して相互に接続されている。ネットワーク7は、各々の装置の間で、機密文書の管理に必要となる信号や情報(データ)をやり取りするために使用される。このため、各々の装置(1,2,3,4,5,6)は、ネットワーク通信機能を備えている。
また、各々の装置(1,2,3,4,5,6)のうち、少なくとも、文書出力装置2と、文書廃棄装置3と、文書保管装置4と、保安装置5は、扉8で外部の空間(例えば、廊下、通路、屋外、隣の部屋など)と仕切られた部屋の中(内側)に設置されている。以降の説明で記述する「部屋」という用語は、予め定められた領域または予め定められた空間に相当するもので、本実施の形態では、「文書出力装置2、文書廃棄装置3、文書保管装置4及び保安装置5が設置された部屋」を意味するものとする。ただし、予め定められた領域または予め定められた空間は、部屋に限定されず、部屋の中の一部の領域または空間であってもよい。また、部屋以外にも、例えば、建物全体を予め定められた領域または予め定められた空間としてもよく、建物のフロアの全部または一部を、予め定められた領域または予め定められた空間としてもよい。
また、文書廃棄装置3及び文書保管装置4に関しては、利用者が部屋に滞在したままの状況で、紙文書の廃棄や保管を行ない得る状態に設置されていれば、部屋に設置されたものとみなす。例えば、文書廃棄装置3の構成として、廃棄の対象となる紙文書を挿入する挿入口が、部屋の壁に開口した状態で設けられ、部屋にいる利用者がその挿入口に紙文書を挿入する行為を行なうことで、紙文書の廃棄が行なえる状況に置かれた文書廃棄装置などに関しては、仮に、文書廃棄装置3の本体部分から部屋の外側に突出する状況であっても、実質的に部屋の中に設置されたものとみなす。同様に、文書保管装置4の構成として、保管の対象となる紙文書を挿入する受け入れ口が、部屋の壁に開口した状態で設けられ、部屋にいる利用者がその受け入れ口に紙文書を挿入する行為を行なうことで、紙文書の保管が行なえる状況に置かれた文書保管装置4に関しても、仮に、文書保管装置4の本体部分が部屋の外側に突出する状況であっても、実質的に部屋の中に設置されたものとみなす。
扉8は、一例として、片開き式の開閉扉とするが、両開き式の開閉扉であってもよいし、引き戸式の扉であってもよい。扉8には、保安装置5と施錠/解錠機構6が付属するものとする。文書出力装置2等が設置された部屋への入室は、扉8を介して行なわれてもよいし、扉8とは別の扉を介して行なわれてもよい。ただし、当該部屋からの退室は、必ず扉8を介して行なわれるものとする。扉8は、一つの部屋に一つずつ設ける必要はなく、一つの部屋に場所を変えて複数設けられていてもよい。ただし、その場合はすべての扉8に対して保安装置5と施錠/解錠機構6が付属するものとする。
管理装置1は、部屋の中で利用者によって取り扱われる、機密情報を含む紙文書(以下、「機密文書」とも記す)の取り扱い状況を監視しつつ、利用者の入退室を管理するものである。利用者の入室管理は、例えば扉8の外側(部屋の外)に取り付けられた保安装置との間の通信、具体的には、当該保安装置で取得した利用者識別情報を用いた入室可否の問い合わせ信号と、当該問い合わせ信号に対する管理装置1からの入室可又は入室不可の返答信号のやり取りにより行なわれる。紙文書の取り扱い状況とは、機密文書が部屋の中で現在、どのような状況で取り扱われているかを示すものである。管理装置1は、例えば、CPU(Central Processing Unit)、ROM(Read-Only Memory)、RAM(Random Access Memory)、HDD(Hard Disk Drive)、ネットワークI/F(interface)等のハードウェアを用いて実現されるコンピュータ装置によって構成されるものである。このコンピュータ装置が有する機能的な手段(詳細は後述)は、例えば、上記のROMに格納されるプログラムを実行することにより実現される。このプログラムを発明として抽出してもよい。また、そのためのプログラムは、記録媒体に格納されて提供されてもよいし、有線あるいは無線による通信手段を介した配信により提供されてもよい。
文書出力装置2は、利用者の操作にしたがって紙文書10を印刷出力するとともに、機密情報を含む紙文書に文書識別情報を付加するものである。機密情報とは、広義では外部に漏洩しないように管理する必要のある情報をいい、狭義では特定の個人や法人などによって機密事項や重要事項として指定された情報をいう。どのような情報を機密情報として取り扱うかは、当該システムを活用(運用)する企業、団体、グループ、組織などによって異なる。文書出力装置2は、例えば、複写機、プリンタ、ファクシミリ装置や、そのうちの少なくとも2つの機能を併せ持つ複合機などを用いて構成される。本実施の形態においては、一例として、複写機とプリンタの機能を併せ持つ複合機を用いて文書出力装置2が構成されているものとする。また、文書出力装置2を用いた紙文書10の印刷出力は、コピーとプリントのいずれの形態で行なってもよい。コピーは、利用者が直接、文書出力装置2を操作することで実施される。プリントは、利用者がPC(パーソナルコンピュータ)等の端末装置から文書出力装置2にプリント指示することで実施される。本実施の形態においては、一例として、コピーの形態で紙文書10を印刷出力するものとする。
文書出力装置2には、当該文書出力装置2を操作して紙文書の印刷出力を指示する利用者を識別する利用者識別情報を取得する第1の利用者識別情報取得手段として、カード読み取り装置9が付属している。ちなみに、上述したプリントでの利用の場合は、PCへのログインにより利用者を識別すればよい。カード読み取り装置9は、利用者が文書出力装置2を使用する場合に、利用者認証によって使用許可を受けるために必要となるICカード11に記憶(登録)されている利用者識別情報を、例えば無線通信によって読み取るものである。具体的には、カード読み取り装置9に設けられた読み取り部に利用者がICカード11を近づけてかざすと、カード読み取り装置9とICカード11との間で自動的に無線通信が行なわれ、ICカード11に記憶されている利用者識別情報がカード読み取り装置9に読み取られる仕組みになっている。利用者識別情報とは、利用者を識別(一意に特定)するために、利用者個人に割り当てられた固有の情報をいう。ICカード11は、集積回路チップが内蔵され、非接触式でカード読み取り装置と通信(情報を受け渡し)するカードである。ICカード11は利用者カードの一形態となるものである。ただし、利用者カードとしては、ICカード11に限らず、磁気カードであってもよい。また、カード以外の情報記憶媒体(例えば、携帯型電話機など)を用いてもよい。
文書廃棄装置3は、紙文書の廃棄処理を行なうものである。文書廃棄装置3による紙文書の廃棄は、紙文書を細かく裁断することにより実行される。文書廃棄装置3は、廃棄の対象となる紙文書に、後述する文書識別情報が付加されている場合に、当該文書識別情報を取得する手段を有する。文書廃棄処理3が行なう廃棄処理は、利用者が所持している紙文書(機密情報を含む紙文書)を機密上安全な状況となるように安全化処理する場合の一つの処理形態となる。機密上安全な状況とは、利用者以外の第三者によって文書の内容(機密情報)を覗き見られる恐れのない状況をいう。
文書保管装置4は、紙文書の保管処理を行なうものである。文書保管装置4による紙文書の保管は、紙文書を第三者が取り出せない空間へと収容することにより実行される。文書管理装置4は、管理の対象となる紙文書に、後述する文書識別情報が付加されている場合に、当該文書識別情報を取得する手段を有する。文書保管処理4が行なう保管処理は、上記破棄処理と同様に、利用者が所持している紙文書を機密上安全な状況となるように安全化処理する場合の一つの処理形態となる。
文書識別情報は、文書出力装置2を用いて印刷出力される紙文書を識別するために、文書単位又はページ単位で紙文書に付加される情報である。文書識別情報は、機密情報を含む紙文書だけに付加してもよいし、機密情報を含むか否かにかかわらず付加してもよい。文書単位で紙文書に文書識別情報を付加する場合は、一つの文書単位に属する複数枚の紙文書が一つの束で取り扱われ、その先頭ページ(表紙)に文書識別情報が付加されるものとする。
文書出力装置2は、機密情報を含む紙文書に文書識別情報を付加するにあたり、文書識別情報として、機械的に読み取れる符号画像を紙文書に印刷する。符号画像とは、例えば、バーコード、二次元コードなどの画像をいう。ただし、紙文書に付加する文書識別情報は、例えば、数字、英字、記号などを組み合わせた文字列で印刷してもよい。また、ICタグが埋め込まれた用紙を用いて、機密情報を含む紙文書を印刷する場合は、文書出力装置2が用紙のICタグに無線通信で文書識別情報を記録(追記)する仕組みとしてもよい。その場合は、例えば、文書出力装置2で印刷済みの紙文書が排出される排出部の手前で、搬送中の紙文書を一旦停止させ、その状態でICタグに情報を記録したり、ICタグに格納されている情報を読み出したりすればよい。また、ICタグに固有の識別情報が格納されている場合は、当該ICタグから読み取った固有の識別情報を、紙文書に付加する文書識別情報と対応付けて管理する仕組みとしてもよい。また、ICタグに固有の識別情報を文書識別情報として利用してもよい。その場合は、例えば、文書保管装置4に紙文書を保管するときに、ICタグから文書識別情報を文書保管装置4が読み取ることで、保管済みの紙文書を認識したり、当該紙文書の保管場所を特定したりする仕組みとしてもよい。
保安装置5は、扉8の近く(脇)の壁に取り付けられるものである。保安装置5は、扉8を開けて部屋を退室しようとする利用者を識別する利用者識別情報を取得する第2の利用者識別情報取得手段として、部屋の中(出口付近)に設けられたものである。部屋からの退室は、予め定められた領域または予め定められた空間からの離脱を意味する。保安装置5は、例えば、上記カード読み取り装置9と同様のカード読み取り装置(本形態例ではICカード11から利用者識別情報を読み取る装置)の他に、スピーカー、ランプ及びディスプレイのうちの少なくとも一つの機能を備えている。ただし、スピーカー、ランプ及びディスプレイに関しては、保管装置5とは独立したかたちで、それぞれネットワーク7に個別に接続され、それらの動作が、管理装置1によって直接制御される仕組みになっていてもよい。
施錠/解錠機構6は、保安装置5から送られる施錠/解錠制御信号に基づいて、扉8の施錠/解錠を行なうものである。施錠/解錠機構6で扉8を解錠した状態では、扉8のノブを回すことで扉8を開けられるが、施錠/解錠機構6で扉8を施錠した状態では、扉8のノブを回しても扉8を開けられない仕組みになっている。このため、扉8を施錠した状態は、部屋からの利用者の離脱を制限した状態に相当し、扉8を解錠した状態は、部屋からの利用者の離脱を許可した状態に相当するものとなる。扉8は、利用者がICカード11を保管装置5のカード読み取り部に近づけて利用者識別情報を読み取らせるまでの間、施錠された状態に維持されるものとする。また、利用者が扉8を開けて部屋に入室する場合は、扉8が開状態から閉状態に切り替わると同時に、又は閉状態に切り替わってから規定時間後に、自動的に施錠/解錠機構6によって施錠されるものとする。このため、部屋に入室した利用者は、施錠/解錠機構6によって扉8が解錠されないかぎり、部屋から退室できない仕組みになっている。
続いて、上記構成からなる機密文書管理システムで行なわれる処理について説明する。
図2は文書出力装置2で行なわれる処理の手順を示すフローチャートである。まず、文書出力装置2に付属するカード読み取り装置9がICカード11を検知したかどうかを確認する(ステップS1)。ICカード11の存在は、文書出力装置2を使用しようとする利用者が自身で所持しているICカード11をカード読み取り装置9の読み取り部に近づけたときに、両者の距離が規定距離以下となることで検知される。
上記ステップS1でICカード11を検知すると、当該ICカード11に記憶されている利用者識別情報をカード読み取り装置9で読み取って取得する(ステップS2)。利用者識別情報の取得は、カード読み取り送致9とICカード11との間の無線通信によって行なわれる。ちなみに、利用者カードが、磁気ストライプ付きの磁気カードであれば、それに適合するカード読み取り装置のカード挿入口に磁気カードが挿入されたことをセンサ等で検知して、当該磁気カードをカード読み取り装置内に取り込み、その状態で磁気ストライプに記録されている利用者識別情報を読み取るようにすればよい。
次に、印刷の対象となる文書が確定したかどうかを判断する(ステップS3)。印刷の対象となる文書は、例えば、原稿を用いて複写する場合は、利用者が原稿台に原稿をセットした後、処理開始ボタンを押下する操作を行なうことで確定する。この場合は、原稿の文書を印刷対象文書として確定することになる。また、電子文書をプリントする場合は、利用者が電子文書をボタン操作等で選択した後、処理開始ボタンを押下する操作を行なうことで確定する。この場合は、利用者が選択した電子文書を印刷対象文書として確定することになる。
次に、確定した印刷対象文書が機密情報を含む文書(機密文書)であるかどうかを判断する(ステップS4)。ここでは一例として、原稿の文書が機密文書である場合は、原稿の文書(画像)中に、文書識別情報となる符号画像が含まれるものとする。また、文書出力装置2で利用者が印刷対象文書として選択する電子文書の文書属性情報は、管理装置1が管理しているものとする。そして、電子文書ごとに、当該電子文書が機密文書であるかどうかを明示する情報や、当該電子文書に割り当てられた固有の文書識別情報が、文書属性情報として管理装置1のデータベース(例えば、ハードディスク駆動装置等)又はネットワーク7上のサーバー装置(管理装置1から見て外部の装置)等に登録されているものとする。そうした場合、文書出力装置2は、印刷対象文書が原稿の文書であれば、当該原稿面に記録された画像を光学的に読み取ることで得られる画像情報の中に符号画像が含まれるかどうかにより、印刷対象文書が機密文書であるかどうかを判断する。また、文書出力装置2は、印刷対象文書が電子文書であれば、当該電子文書が機密文書であるかどうかを管理装置1に問い合わせ、当該問い合わせに対する管理装置1からの返答内容に基づいて、印刷対象文書が機密文書であるかどうかを判断する。
次に、印刷対象文書が機密文書であると判断した場合は、文書識別情報を付加して印刷対象文書を用紙に印刷する(ステップS5)。印刷対象文書が原稿の文書であれば、当該原稿の文書中に含まれる符号画像を、例えば、そのまま複写するかたち、又は、一旦、復号化してから符号化し直したかたちで、原稿の画像と一緒に用紙に印刷出力する。原稿から読み取った符号画像を一旦復号化して符号画像に変換し直した場合は、複写によって符号画像の画質が劣化することがない。印刷対象文書が電子文書であれば、その電子文書の文書属性情報に含まれる文書識別情報を、当該電子文書の文書本体情報と一緒に管理装置1から取得し、その文書識別情報を符号化処理により符号画像に変換して、当該符号画像を電子文書の文書画像(文書本体情報にしたがって描画される画像)と合成して用紙に印刷する。これにより、文書識別情報(符号画像)付きの紙文書が印刷出力されることになる。
次に、上記ステップS2で取得した利用者識別情報と、上記ステップS5で紙文書に符号画像の形態で付加された文書識別情報とを、対にして、管理装置1に送信した後(ステップS6)、紙文書の印刷出力に係る一連の処理を終える。
一方、印刷対象文書が機密文書ではないと判断した場合は、文書識別情報を付加することなく、印刷対象文書を用紙に印刷した後(ステップS7)、一連の処理を終える。
図3は文書廃棄装置3で行なわれる処理の手順を示すフローチャートである。ここでは、文書廃棄装置3の構成の一例として、紙文書の挿入口から利用者の手作業で挿入された紙文書を、挿入口から奥側に続く搬送路に沿って、搬送機構が自動的に引き込んで搬送するとともに、搬送路の途中で紙文書をゲート部材に突き当てた状態で一旦停止させ、そこで紙文書に付加されている文書識別情報を光学的に読み取った後、紙文書の搬送を再開し、搬送路の終端から排出される紙文書を裁断部で裁断するものとする。また、機密情報を含む紙文書には、予め決められた位置(領域)に、文書識別情報となる符号画像が印刷されているものとする。ただし、これに限らず、文書識別情報となる符号画像が任意の位置に印刷されている場合は、例えば、搬送機構によって搬送される紙文書の画像全体を光学的に読み取って、公知の画像処理技術(例えば、パターン認識等の技術)により符号画像を抽出してもよい。
まず、紙文書の挿入口部分に設けられた入口センサが紙文書を検知したかどうかを確認する(ステップS21)。紙文書の存在は、例えば、発光素子と受光素子を備えた光学センサを入口センサとして用いた場合、入口センサの光軸を紙文書が遮ることにより検知する。そして、入口センサが紙文書を検知すると、搬送機構の駆動を開始して、紙文書を引き込める状態にする(ステップS22)。ここで、文書廃棄装置の挿入口に紙文書を挿入するという作業(行為)は、部屋に滞在している利用者が自身で所持している紙文書の廃棄を文書廃棄装置3に指示するために行なわれる作業であり、この作業(紙文書の廃棄指示)を受けて文書廃棄装置3が実質的に起動することになる。
次に、搬送機構の駆動によって搬送路に引き込んだ紙文書の先端がゲート部材に突き当たったかどうかを判断する(ステップS23)。ここで記述する「紙文書の先端」とは、搬送機構による紙文書の搬送方向において、下流側を向いて配置される紙文書の端部をいう。紙文書の先端がゲート部材に突き当たったかどうかに関しては、例えば、上記入口センサよりも搬送方向の下流側でかつ前記ゲート部材よりも搬送方向の上流側に、紙文書の通過を検知する通過センサを設けておき、この通過センサが、搬送機構によって搬送中の紙文書の先端通過を検知してからの経過時間(例えば、タイマーを用いて計測した時間)が、通過センサからゲート部材まで紙文書を搬送するのに要する時間に到達したかどうかにより判断すればよい。
上記ステップS23で紙文書の先端がゲート部材に突き当たったと判断した場合は、その段階で紙文書の搬送(搬送機構の駆動)を一旦停止し、その状態で文書識別情報の読み取りを行なう(ステップS24)。
次に、上記ステップS24での読み取り結果に基づいて、廃棄処理の対象となる紙文書が機密文書であるかどうかを判断する(ステップS25)。ここでは一例として、搬送機構によって搬送された紙文書に文書識別情報が付加されていない場合は、文書識別情報の読み取りに失敗し、搬送機構によって搬送された紙文書に文書識別情報が付加されている場合は、文書識別情報の読み取りに成功するものとする。そして、文書識別情報の読み取りに失敗することをもって、廃棄の対象となる紙文書が機密文書ではないと認識する一方、文書識別情報の読み取りに成功することをもって、廃棄の対象となる紙文書が機密文書であると認識するものとする。また、廃棄処理の対象となる紙文書に対して文書識別情報が符号画像の形態で付加されている場合は、その符号画像が文書廃棄装置3で元の情報に復号処理されるものとする。
上記ステップS25で廃棄対象の紙文書が機密文書であると判断した場合は、紙文書の搬送を再開(搬送機構の駆動を再開)するとともに、裁断部の駆動を開始することにより、搬送機構によって搬送路の終端から排出される紙文書を裁断部で裁断する(ステップS26)。そして、裁断部で紙文書の裁断を終えると、その段階で、先ほど紙文書から読み取った文書識別情報を管理装置1に送信してから(ステップS27)、紙文書の廃棄に係る一連の処理を終える。ちなみに、紙文書を裁断部で裁断している途中で、紙文書が詰まって裁断が中断された場合であっても、紙文書の少なくとも一部の裁断が行なわれた場合は安全化処理が行なわれたものとする。このような対応をするのは、すでに裁断済みの部分に文書識別情報が含まれている場合もあり、その場合は裁断の再開後に文書識別情報を再び読み取ることができないためである。
一方、上記ステップS25で廃棄対象の紙文書が機密文書ではないと判断した場合は、上記同様に紙文書の搬送を再開して、紙文書を裁断部で裁断する(ステップS28)。この場合は、管理装置1に文書識別情報の送信を行なわずに、一連の処理を終える。なお、文書出力装置2で機密文書であるか否かにかかわず文書識別情報を付加して紙文書を印刷出力する場合は、文書廃棄装置3で紙文書の文書識別情報を読み取れない場合に、上記ゲート部材への突き当て状態を維持することで、紙文書が廃棄されないようにする。
図4は文書保管装置4で行なわれる処理の手順を示すフローチャートである。ここでは、文書保管装置4の構成の一例として、紙文書の受け入れ口から利用者の手作業で挿入される紙文書を、受け入れ口から奥側に続く搬送路に沿って、搬送機構が自動的に引き込んで搬送するとともに、搬送路の途中で紙文書をゲート部材に突き当てた状態で一旦停止させ、そこで紙文書に付加されている文書識別情報を光学的に読み取った後、紙文書の搬送を再開し、搬送路の終端から排出される紙文書を、人の手が届かない保管空間に収容するものとする。この場合も、上記文書廃棄装置3の場合と同様に、機密情報を含む紙文書には、予め決められた位置(領域)に、文書識別情報となる符号画像が印刷されているものとする。ただし、これに限らず、文書識別情報となる符号画像が任意の位置に印刷されている場合は、例えば、搬送機構によって搬送される紙文書の画像全体を光学的に読み取って、公知の画像処理技術(例えば、パターン認識等の技術)により符号画像を抽出してもよい。
また、上記の保管空間に収容された紙文書を取り出す場合は、電子錠付きの開閉蓋を開ける必要があり、この開閉蓋を開けるため(電子錠を解錠するため)には、紙文書を保管した利用者の利用者識別情報を、例えば文書保管装置4に付属するカード読み取り装置(不図示)に利用者がICカードを近づけて、当該ICカードに記憶されている利用者識別情報をカード読み取り装置に読み取らせる必要があるものとする。文書保管装置4は、例えば、駅などに設置されているコインロッカーや集合住宅の郵便受け(郵便ポスト)などのように、利用者ごとに個別に利用される形態で部屋に複数個設置されるものとする。また、保管空間に紙文書が保管されていない、利用可の文書保管装置4は、上記受け入れ口が開放されているが、保管空間にすでに紙文書が保管されている、利用不可の文書保管装置4は、上記受け入れ口が閉じていて紙文書を挿入できない仕組みになっているものとする。つまり、一つの文書保管装置4には、一つの紙文書しか保管できない仕組みになっているものとする。ただし、一つの文書保管装置4に複数の紙文書を保管する仕組みとしてもよい。その場合は、文書保管装置4内に文書搬送機構を設け、文書保管装置4での保管場所を特定する情報(番号等)を指定することで、指定の場所に紙文書を保管したり、指定の場所から紙文書を取り出したりする仕組みを採用すればよい。
まず、紙文書の受け入れ口部分に設けられた受け入れセンサが紙文書を検知したかどうかを確認する(ステップS31)。紙文書の存在は、例えば、発光素子と受光素子を備えた光学センサを受け入れセンサとして用いた場合、受け入れセンサの光軸を紙文書が遮ることにより検知する。そして、受け入れセンサが紙文書を検知すると、搬送機構の駆動を開始して、紙文書を引き込める状態にする(ステップS32)。ここで、文書保管装置の受け入れ口に紙文書を挿入するという作業(行為)は、部屋に滞在している利用者が自身で所持している紙文書の保管を文書保管装置4に指示するために行なわれる作業であり、この作業(紙文書の保管指示)を受けて文書保管装置4が実質的に起動することになる。
次に、搬送機構の駆動によって搬送路に引き込んだ紙文書の先端がゲート部材に突き当たったかどうかを判断する(ステップS33)。具体的な判断方法に関しては、前述した文書廃棄装置3の場合と同様の方法を採用すればよい。
上記ステップS33で紙文書の先端がゲート部材に突き当たったと判断した場合は、その段階で紙文書の搬送(搬送機構の駆動)を一旦停止し、その状態で文書識別情報の読み取りを行なう(ステップS34)。
次に、上記ステップS34での読み取り結果に基づいて、保管処理の対象となる紙文書が機密文書であるかどうかを判断する(ステップS35)。具体的な判断方法に関しては、前述した文書廃棄装置3の場合と同様の方法を採用すればよい。
上記ステップS35で保管対象の紙文書が機密文書であると判断した場合は、紙文書の搬送を再開(搬送機構の駆動を再開)することにより、搬送路の終端から排出される紙文書を、例えば自重落下方式で保管空間に落とし込んで収容する(ステップS36)。そして、保管空間への紙文書の収容を終えると、その段階で、先ほど読み取った文書識別情報を管理装置1に送信してから(ステップS37)、紙文書の保管に係る一連の処理を終える。
一方、上記ステップS35で保管対象の紙文書が機密文書ではないと判断した場合は、上記同様に紙文書の搬送を再開して、紙文書を保管空間に収容する(ステップS38)。この場合は、管理装置1に文書識別情報の送信を行なわずに、一連の処理を終える。
図5は保安装置5で行なわれる処理の手順を示すフローチャートである。まず、保安装置5に付属するカード読み取り装置がICカード11を検知したかどうかを確認し(ステップS41)、ICカード11を検知すると、当該ICカード11に記憶されている利用者識別情報をカード読み取り装置で読み取って取得する(ステップS42)。ICカード11の検知方式や利用者識別情報の取得方式に関しては、文書出力装置2に付属するカード読み取り装置9の場合と同様である。保安装置5に付属のカード読み取り装置を用いたICカード11の検知処理は、利用者が予め定められた領域又は予め定められた空間から離脱することを認識する処理に相当する。ただし、利用者が予め定められた領域又は予め定められた空間から離脱することを、別途センサを用いて認識してもよい。例えば、利用者が所持する小型発信機からの信号を、センサとなる受信機で受信できなくなった場合に、利用者が予め定められた領域又は予め定められた空間から離脱したと認識する仕組みとしてもよい。
次に、上記ステップS42で取得した利用者識別情報で識別される利用者に関して、部屋からの退室可否を管理装置1に問い合わせる(ステップS43)。この問い合わせは、上記ステップS42で取得した利用者識別情報を問い合わせのメッセージに含めた、退室可否の問い合わせ信号を、ネットワーク7を介して管理装置1に送信することにより行なえばよい。
次に、退室可否の問い合わせに対する返答の有無を確認する(ステップS44)。この処理は、管理装置1からの返答を待つ処理となる。
管理装置1から返答があると、その返答内容が退室可(退室許可)になっているかどうかを確認する(ステップS45)。管理装置1からの返答内容は、退室可と退室不可(退室禁止)のいずれかに該当するものとなる。
返答内容が退室可になっている場合(ステップS45でYesの場合)は、施錠/解錠機構6に施錠/解錠制御信号を送って、部屋の扉8の施錠を解錠する(ステップS46)。扉8の解錠は、保安装置5に代わって、管理装置1から施錠/解錠機構6に直接、施錠/解錠制御信号を送ることで実施してもよい。次に、扉8の開閉状態を検知する開閉センサの検知信号に基づいて、扉8が利用者によって開閉操作されたかどうか、つまり退室許可を与えた利用者が部屋から退室したかどうかを確認する(ステップS47)。そして、扉8が開閉操作された場合は、施錠/解錠機構6に施錠/解錠制御信号を送って、部屋の扉8を施錠した後(ステップS48)、一連の処理を終える。
これに対して、返答内容が退室不可になっている場合(ステップS45でNoの場合)は、部屋の扉8を施錠したまま、部屋を退室しようとする利用者に対して、機密情報を含む紙文書の安全化処理(廃棄処理、保管処理)が済んでいない旨を通知してから(ステップS49)、一連の処理を終える。この利用者への通知は、予め定められた警告として行なわれるものである。
具体的な利用者への通知方法としては、例えば、音を利用した通知方法、光を利用した通知方法、文字を利用した通知方法などを採用すればよい。より詳しくは、音を利用した通知方法として、警告音の発生又は音声案内により、利用者に通知する方法が考えられる。警告音の発生や音声案内による通知は、保安装置5に付属するスピーカーを用いて行なえばよい。また、光を利用した通知方法として、警告灯の点灯により、利用者に通知する方法が考えられる。警告灯の点灯による通知は、保安装置5に付属するランプを用いて行なえばよい。また、文字を利用した通知方法として、警告文字又は案内文字により、利用者に通知する方法が考えられる。警告文字や案内文字による通知は、保安装置5に付属するディスプレイを用いて行なえばよい。
また、音を利用した通知方法と、光を利用した通知方法と、文字を利用した通知方法のうち、任意の2つ、又は3つの通知方法を併用(同時に適用)して、利用者に通知してもよい。また、それらの通知方法によらず、部屋からの退出を物理的に阻止することにより、利用者に通知するものであってもよい。本実施の形態においては、物理的な退室の阻止を扉8の施錠によって行なう仕組みになっている。ただし、退室時に利用者が通行する部分が扉8ではなく、例えば図示しない門(ゲート)である場合は、この門の通行部分を、例えばバー状の通行停止部材で遮ることにより、部屋からの退室を物理的に阻止するものとしてもよい。また、部屋からの退出を物理的に阻止する通知手法と、音、光及び文字を利用した3つの通知方法のうちの少なくとも一つの通知方法とを、組み合わせてもよい。
また、上記ステップS47において、機密情報を含む紙文書の安全化処理(廃棄処理、保管処理)が済んでいない旨を利用者に通知する場合、文書出力装置2によって紙文書に印刷出力された機密情報の機密度に応じて、利用者への通知方法を変更するようにしてもよい。例えば、機密情報の機密度が高/低の2段階やそれ以上の多段階に区分されるものとすると、そうした機密度情報を、管理装置1が管理する管理情報の設定項目に加えておき、管理装置1が保安装置5に返答する「退室不可」の返答内容に当該機密度情報を含ませるようにする。そして、返答内容に含まれる機密度情報に応じて、機密情報の機密度が相対的に高い場合と低い場合で、利用者への通知方法を変更する。さらに詳しくは、機密情報の機密度が相対的に高い場合と低い場合で、利用者への通知に適用する通知方法の数(通知の種類)を変える。例えば、機密情報の機密度が高/低の2段階で区分される場合は、機密情報の機密度が「高」のときに、音と光(又は音と文字、或いは光と文字)を併用した通知方法を採用し、機密情報の機密度が「低」のときには、光だけ(又は音だけ、或いは文字だけ)を利用した通知方法を採用する。また、機密情報の機密度が、例えば高/中/低の3段階で区分される場合は、機密情報の機密度が「高」のときに、音と光と文字を併用した通知方法を採用し、機密情報の機密度が「中」のときには、音と光(又は音と文字、或いは光と文字)を併用した通知方法を採用し、機密情報の機密度が「低」のときには、光だけ(又は音だけ、或いは文字だけ)を利用した通知方法を採用する。いずれの場合も、扉8の施錠によって、部屋からの退室を物理的に阻止した上で、機密情報の機密度に応じて、利用者の通知方法を変更するものとする。
また、利用者が所属する組織の文書取り扱い規定の違反度合いに応じて、利用者への通知方法を変更してもよい。例えば、利用者が所属する組織ごとに、紙文書の取り扱い規定の違反度合いを監視し、違反度合いが相対的に高い組織に所属する場合と、違反度合いが相対的に低い組織に所属する場合とで、利用者への通知方法を変更する。通知方法の具体的な変更例に関しては、前述したとおりである。また、利用者への通知に加え、管理者へもメール等により通知してもよい。
図6は管理装置1で行なわれる処理の手順を示すフローチャートである。まず、文書出力装置2から識別情報(利用者識別情報、文書識別情報)を受信したかどうかを確認する(ステップS51)。そして、受信した場合は、文書出力装置2から受信した利用者識別情報と文書識別情報を対応付けて登録する(ステップS52)。識別情報を登録した後は、上記ステップS51に戻る。
識別情報の登録は、例えば管理装置1のデータベース等又はネットワーク7上のサーバー装置等に格納される管理表を用いて行なう。この管理表には、例えば図7に示すように、利用者識別情報と文書識別情報を1:1の対応関係で登録するとともに、それらの識別情報に対応付けて、当該文書識別情報で識別される紙文書の取り扱い状況を示す情報として、「利用中」、「保管済み」、「廃棄済み」のいずれかの情報を登録する。管理表に利用者識別情報と文書識別情報を登録する場合は、初期設定として、紙文書の取り扱い状況を「利用中」に設定する。
紙文書の取り扱い状況に関して、「利用中」とは、文書出力装置2で印刷出力された機密文書が部屋の中で利用者に利用されている最中であって、当該紙文書が廃棄も保管もされていない状況を示す。「保管済み」とは、文書出力装置2で印刷出力された機密文書が、文書保管装置4によって保管されている状況を示す。「廃棄済み」とは、文書出力装置2で印刷出力された機密文書が文書廃棄装置3によって廃棄された状況を示す。ここで、紙文書の保管処理と廃棄処理は、前述したように安全化処理の一つの処理形態となることから、「保管済み」と「廃棄済み」は、「安全化処理済み」に該当するものとなる。
上記ステップS51で文書出力装置2から識別情報を受信しなかった場合は、ステップS51からステップS53に移行する。ステップS53においては、文書廃棄装置3から文書識別情報を受信したかどうかを確認する。そして、受信した場合は、文書廃棄装置3から受信した文書識別情報に対応して管理表に登録してある紙文書の取り扱い状況を、「利用中」から「廃棄済み」に設定変更(更新)する(ステップS54)。紙文書の取り扱い状況を変更した後は、上記ステップS51に戻る。
上記ステップS53で文書廃棄装置3から文書識別情報を受信しなかった場合は、ステップS53からステップS55に移行する。ステップS55においては、文書保管装置4から文書識別情報を受信したかどうかを確認する。そして、受信した場合は、文書保管装置4から受信した文書識別情報に対応して管理表に登録してある紙文書の取り扱い状況を、「利用中」から「保管済み」に設定変更(更新)する(ステップS56)。紙文書の取り扱い状況を変更した後は、上記ステップS51に戻る。
上記ステップS55で文書保管装置4から文書識別情報を受信しなかった場合は、ステップS55からステップS57に移行する。ステップS57においては、保安装置5から退室可否の問い合わせがあったかどうかを確認する。そして、退室可否の問い合わせがあった場合は、その問い合わせメッセージに含まれる利用者識別情報に対応して管理表に登録されている紙文書の取り扱い状況を確認する(ステップS58)。
次に、上記ステップS58で確認した紙文書の取り扱い状況が、「廃棄済み」又は「保管済み」になっているかどうかを判別する(ステップS59)。そして、紙文書の取り扱い状況が「廃棄済み」又は「保管済み」になっていた場合は、問い合わせ元の保安装置5に対して「退室可」を返答する(ステップS60)。
また、紙文書の取り扱い状況が「廃棄済み」又は「保管済み」になっていなかった場合、即ち「利用中」になっていた場合は、保安装置5に対して「退室不可」を返答する(ステップS61)。「退室可」、「退室不可」の返答は、例えば、ネットワーク7を介したメッセージの送信により行なわれる。保安装置5に「退室可」又は「退室不可」を返答した後は、上記ステップS51に戻る。また、上記ステップS57で退室可否の問い合わせがなかった場合も、上記ステップS51に戻る。
ここで、上記ステップS60で退室可の返答を行なった、利用者識別情報で識別される利用者に関する管理表の登録情報は、返答した後に直ちに管理表から削除してもよいし、予め決められた時間後(例えば、数分後、数時間後など)に削除してもよいし、予め決められた日にち、曜日などに、まとめて削除してもよい。また、退室可の返答を行なった後に、管理表から削除する登録情報は、紙文書の取り扱い状況が「廃棄済み」になっている登録情報だけに限定し、紙文書の取り扱い状況が「管理済み」になっている登録情報に関しては、退室可の返答後も削除することなく、そのまま残しておいて、その後の処理に利用してもよい。以下に、具体的な利用の形態について説明する。
図8は文書保管装置4で保管済みの紙文書を取り出す際に行なわれる処理の手順を示すフローチャートである。
まず、文書保管装置4に保管してある紙文書を取り出す場合は、前述したように文書保管装置4に付属するカード読み取り装置にICカードを近づけて、当該ICカードに記憶されている利用者識別情報をカード読み取り装置に読み取らせる必要がある。
そこで、文書保管装置2は、これに付属するカード読み取り装置がICカード11を検知したかどうかを確認し(ステップS71)、ICカード11を検知すると、当該ICカード11に記憶されている利用者識別情報をカード読み取り装置で読み取って取得する(ステップS72)。ICカード11の検知方式や利用者識別情報の取得方式に関しては、文書出力装置2に付属するカード読み取り装置9の場合と同様である。
次に、上記ステップS72で取得した利用者識別情報で識別される利用者に関して、紙文書の取り出し可否を管理装置1に問い合わせる(ステップS73)。この問い合わせは、上記ステップS72で取得した利用者識別情報を問い合わせのメッセージに含めた、文書取り出し可否の問い合わせ信号を、ネットワーク7を介して管理装置1に送信することにより行なえばよい。
次に、文書取り出し可否の問い合わせに対する返答の有無を確認する(ステップS74)。この処理は、管理装置1からの返答を待つ処理となる。
管理装置1から返答があると、その返答内容が文書取り出し可(文書取り出し許可)になっているかどうかを確認する(ステップS75)。管理装置1からの返答内容は、文書取り出し可と文書取り出し不可(文書取り出し禁止)のいずれかに該当するものとなる。
返答内容が文書取り出し可になっている場合(ステップS75でYesの場合)は、開閉蓋の施錠を解錠する(ステップS76)。開閉蓋は、例えば、紙文書が保管(収容)される保管空間の前面部に設けられるものである。次に、開閉蓋の開閉状態を検知する開閉センサの検知信号に基づいて、開閉蓋が利用者によって開閉操作されたかどうか、つまり保管空間に収容された紙文書が利用者によって取り出されたかどうかを確認する(ステップS77)。そして、開閉蓋が開閉操作された場合は、利用者によって紙文書が取り出された旨を通知する通知信号を、ネットワーク7を介して管理装置1に送信し(ステップS78)、一連の処理を終える。
これに対して、返答内容が文書取り出し不可になっている場合(ステップS75でNoの場合)は、開閉蓋の施錠を維持したまま、予め決められた通知方法(例えば、前述した音を利用した通知方法、光を利用した通知方法、文字を利用した通知方法など)で利用者に紙文書の取り出しが許可されていない旨を通知し(ステップS79)、一連の処理を終える。
図9は上記図8に示した文書保管装置4の処理に対応して管理装置1で行なわれる処理の手順を示すフローチャートである。
まず、文書保管装置4から文書取り出し可否の問い合わせがあったかどうかを確認する(ステップS81)。そして、文書取り出し可否の問い合わせがあった場合は、その問い合わせメッセージに含まれる利用者識別情報に一致する利用者識別情報が管理表に登録されているかどうかを確認する(ステップS82)。そして、該当する利用者識別情報(問い合わせメッセージに含まれる利用者識別情報に一致する利用者識別情報)が管理表に登録されていない場合は、ステップS87に移行し、問い合わせ元の文書保管装置4に対して「文書取り出し不可」を返答する。
また、該当する利用者識別情報が管理表に登録されていた場合は、当該利用者識別情報に対応して管理表に登録されている紙文書の取り扱い状況が「保管済み」に設定されているかどうかを確認する(ステップS83)。そして、確認の結果、「保管済み」に設定されていない場合は、ステップS87に移行して上記同様の処理を行なう。
また、上記ステップS83で確認した結果、紙文書の取り扱い状況が「保管済み」に設定されていた場合は、問い合わせ元の文書保管装置4に対して「文書取り出し可」を返答する(ステップS84)。「文書取り出し可」、「文書取り出し不可」の返答は、例えば、ネットワーク7を介したメッセージの送信により行なわれる。その後、文書保管装置4から紙文書が取り出された旨の通知信号を受信すると、管理表における「紙文書の取り扱い状況」を「保管済み」から「利用中」に設定変更(更新)する(ステップS85,S86)。これにより、管理表の登録情報が、文書保管装置4からの紙文書の取り出しに伴って、文書出力装置2から紙文書が印刷出力された段階と同一の設定状態(初期設定)に戻る。
なお、上記実施の形態においては、文書出力装置2によって印刷出力される、機密情報を含む紙文書に対して、文書識別情報(符号画像)を印刷によって付加するものとしたが、これに限らず、文書識別情報を記録した微小なICチップやICタグ、ワイヤーなどを埋め込んだ用紙を文書画像の印刷(複写、プリントなど)に用いることで、文書識別情報が付加された紙文書を出力するものとしてもよい。その場合は、ICチップやICタグ、ワイヤーなどに記録された文書識別情報を文書出力装置2が印刷出力時に読み取って、印刷出力後に、利用者識別情報と併せて管理装置1に送信すればよい。
また、上記実施の形態においては、ICカード11を用いた「所有物認証」により得られる情報を、利用者識別情報として取得するものとしたが、これに限らず、利用者を一意に特定し得る情報であれば、どのような情報を利用者識別情報として取得してもよい。例えば、「所有物認証」により得られる情報だけでなく、「知識認証」又は「生体認証」により得られる情報を、利用者識別情報として取得する構成としてもよい。また、複数の情報(例えば、所有物認証により得られる情報と、知識認証により得られる情報)を組み合わせたものを、利用者識別情報として用いてもよい。
ちなみに、「所有物認証」とは、本人しか持ち得ない所有物(本形態例ではICカード)を用いて、本人確認を行なう認証方式である。これに対して、「知識認証」は、本人しか知り得ない情報(例えば、パスワード、暗証番号など)を用いて、本人確認を行なう認証方式である。また、「生体認証」とは、本人しか持ち得ない身体的な特徴情報(例えば、指紋、瞳の虹彩、顔のパターン、声紋、手指の静脈パターンなどの情報)を用いて、本人確認を行なう認証方式である。
1…管理装置、2…文書出力装置、3…文書廃棄装置、4…文書保管装置、5…保安装置、6…施錠/解錠機構、7…ネットワーク、8…扉、9…カード読み取り装置、10…紙文書、11…ICカード