以下、実施形態について説明するが、実施形態は、以下に説明する実施形態に限定されるものではない。なお、説明する実施形態では、複数の電子情報を利用する電子情報利用装置、および該電子情報利用装置を含む電子情報利用システムとして、複数の文書ファイルをセットで利用する利用者端末、および該利用者端末を含む文書利用システムを一例として説明する。
図1は、本実施形態における利用者端末150を含む文書利用システム100のネットワーク環境を説明する図である。図1に示す文書利用システム100は、ネットワーク102を介して相互に接続される、主催者端末110と、文書管理サーバ130と、1以上の利用者端末150とを含み構成される。ネットワーク102は、特に限定されるものではないが、TCP/IP(Transmission Control Protocol / Internet Protocol)やイーサネット(登録商標)などのLAN(Local Area Network)、インターネットおよびWAN(Wide Area Network)などの任意のネットワークを含むことができる。
主催者端末110は、配布して利用に供する複数の文書ファイルを準備し、配布先の利用者端末150における文書ファイル各々の制限付きの利用を管理するために主催者(管理者)が操作する端末である。主催者端末110は、典型的には、パーソナル・コンピュータやタブレット端末などの情報処理装置として構成することができる。主催者端末110は、主催者端末110を操作する主催者からの指示に応じて、配布先の利用者端末150における各文書ファイルの利用に関し、所定のタイミングで利用可能となるように制御する。また、主催者端末110は、主催者からの指示に応じて、所定のタイミングで各文書ファイルを利用不可能となるように制御する。これによって、文書ファイル各々のタイミングに応じた利用可否が制御され、時期制限付きの利用が管理される。
利用に供される文書ファイルは、ブラウザ、ワードプロセッサ、プレゼンテーション、スプレッドシート、ドキュメントビューア、イメージビューアなどのアプリケーションで取り扱い可能な文字、画像、図形などを含む電子情報である。文書ファイルは、PDF(Portable Document File)、特定ワードプロセッサ、表計算ソフト、プレゼンテーションソフト用のドキュメント、スプレッドシート、プレゼンテーション、図面などの種々の形式のファイルとして提供され得る。また、説明する実施形態においては、文書ファイル複数がセットとして関連付けられ、このセットを構成する複数の文書ファイル各々の利用可否が、主催者端末110により制御される。
説明する実施形態において、文書ファイルは、暗号化された状態で流通し、利用される際に暗号化された文書ファイルの復号が行われる。ここで、暗号化とは、所定の手順で原情報を、その原情報を見るものが容易に内容を理解できない形態に変換する処理をいう。これに対して、復号とは、暗号化された電子情報を所定の手順の下に原情報に戻す処理をいう。
文書管理サーバ130は、本実施形態では、主催者端末110で準備された暗号化済みの複数の文書ファイルを保管および管理し、配布を希望している利用者または主催者が配布先として決定した相手側の利用者端末150に対して提供するサーバである。文書管理サーバ130は、典型的には、パーソナル・コンピュータ、ワークステーションなどの汎用コンピュータ、複合機などの文書管理機能を有する情報機器、コンピュータ・システム上の仮想サーバなどとして構成することができる。文書管理サーバ130は、Webサーバ、FTP(File Transfer Protocol)サーバ、文書管理システム、コンテンツ管理システムなど、種々の電子情報を提供するサーバ・アプリケーションを動作させることができる。
利用者端末150は、文書管理サーバ130などを経由して、主催者端末110で準備された暗号化済みの各文書ファイルを取得し、主催者端末110側で行われる利用管理の下、制限付きで文書ファイルを利用するための端末である。図1に示すように、利用者端末150は、典型的には、それぞれ、ラップトップ・コンピュータ150a,150bやタブレット端末150c,150dなどとして構成される。文書ファイルの利用形態としては、典型的には、ディスプレイなどの表示デバイス上への文書ファイルの内容表示が含まれる。
文書ファイルは、それぞれ、利用可能となるまでの間は、暗号化された状態で利用者端末150上に存在する。主催者端末110に対し主催者から指定の文書ファイルの利用許可が指示されると、主催者端末110から、その指定の文書ファイルの許可を表す解除信号が利用者端末150に送信される。利用者端末150は、この解除信号を受信して、解除信号に基づき、対応する暗号化済み文書ファイルを復号し、復号された内容を表示させる。説明する実施形態では、利用許可の指示を受領した主催者端末110が、利用を求める利用者端末150へ解除信号を直接送信しているものとする。
また、説明する実施形態では、セットとなる複数の文書ファイルのうちの少なくとも1つの文書ファイルは、複数の文書ファイルのうちの他の少なくとも1つの文書ファイルの少なくとも一部を用いて復号される。典型的には、先行して利用可能とされた文書ファイルの少なくとも一部を用いて、後続して利用可能とされる文書ファイルが復号される。説明する実施形態では、2つの文書ファイルのセットの利用可否が管理されるものとし、先行して利用可能とされる文書ファイルを第1ファイル、後続する文書ファイルを第2ファイルとして参照する。
好適な実施形態では、復号に用いられる文書ファイルの少なくとも一部は、暗号化された状態の文書ファイルの一部を含むことができる。なお、復号に用いられる文書ファイルの少なくとも一部は、文書ファイルの本体データまたは書誌データの全体または一部のデータであってもよい。また、復号に用いられる文書ファイルの少なくとも一部は、文書ファイルの全体または一部のデータから計算されたハッシュ値など、文書ファイルに由来する、所定の鍵長を有する任意のデータとすることができる。
また、好適な実施形態では、文書ファイルは、所定のタイミング以降は、再び暗号化された状態で利用者端末150上に存在することになる。利用者端末150は、主催者端末110から送信された解除信号が受信されているかを継続的に監視しており、解除信号が受信されている間は、対応する暗号化済み文書ファイルを復号して表示させるように制御する。一方で、解除信号の受信が終了したことが検知された場合は、利用者端末150は、対応する暗号化済み文書ファイルの表示を終了させ、好ましくは、暗号化済み文書ファイルから復号されたデータを削除し、再度の暗号化を行って、利用できないように制御する。
以下、図2〜図7を参照しながら、本実施形態における複数の文書ファイルの制限付きの利用について、より詳細に説明する。図2は、本実施形態における文書ファイルの制限付き利用に関する機能ブロックを示す図である。図2に示す機能ブロックは、主催者端末110上に実現される機能ブロックと、文書管理サーバ130上に実現される機能ブロックと、利用者端末150上に実現される機能ブロックとを含み構成される。
主催者端末110は、暗号化部112と、データ格納部114と、制御部120とを含み構成される。暗号化部112は、指定された文書ファイルをデータ格納部114から読み出し、暗号化処理を施し、暗号化済み文書ファイルを再びデータ格納部114に保存する。暗号化部112は、ソフトウェア・エンコーダまたはハードウェア・エンコーダの計算資源を利用して暗号化処理を実行する。上述したように、本実施形態では、セットとなる第1ファイルおよび第2ファイルの利用可否が管理されるところ、第1ファイルおよび第2ファイルは、互いに異なるキーを用いて暗号化される。第2ファイルについては、暗号化部112は、さらに、セットを構成する暗号化された第1ファイルの少なくとも一部をキーとして用いて、重ねて暗号化を施すよう構成されている。
採用することができる暗号化方式としては、特に限定されるものではないが、DES(Data Encryption Standard)、AES(Advanced Encryption Standard)、トリプルDESなどの共通鍵暗号化方式、RSAなどの公開鍵暗号化方式などを挙げることができる。データ格納部114は、利用に供すための文書ファイルおよびその暗号化済みファイルを格納するものであり、主催者端末110が備えるメモリや補助記憶装置などの記憶領域によって提供される。
制御部120は、文書ファイルの暗号化、サーバ登録および利用可否の管理などの各種動作の制御を司る。主催者端末110の制御部120は、より詳細には、文書ファイルの暗号化およびサーバ登録時の制御を行うファイル登録制御部124と、主催者からの操作に応じて、各文書ファイルについての解除信号の送信の制御を行う解除信号送信制御部122とを含む。
ファイル登録制御部124は、対象となる複数の文書ファイルをデータ格納部114から読み出し、暗号化部112により暗号化を施し、データ格納部114に一旦保存する。ファイル登録制御部124は、続いて、データ格納部114から暗号化済みの複数の文書ファイルを読み出し、各文書ファイルが区別され、かつ、セットとして判別できるように、文書管理サーバ130に送信し登録させる。例示としては、第1ファイルの送信後、間を置かずに第2ファイルを送信することで識別させる態様とすることができる。その他、2つの文書ファイルを書庫ファイル(例えばZIPファイル)としてまとめてから送信して識別させる態様としてもよいし、2つの文書ファイルにセットを識別する管理番号を付して送信して識別させる態様としてもよい。
解除信号には、利用の許可を示す情報の他、上記暗号化方式に対応した復号方式を示す情報、上記暗号化済み文書ファイルを復号するための復号キーなど、暗号化済み文書ファイルの暗号化を解除し利用可能とするために必要な情報が含まれ得る。このような必要な情報のうちの復号方式を示す情報などの一部の情報は、解除信号に含めずに、事前に知らされてもよい。解除信号送信制御部122は、本実施形態において、ネットワーク102を介した解除信号の送信を管理する解除情報送信管理手段を構成する。制御部120は、主催者端末110が備えるCPUおよびRAM上に展開されるプログラムにより実現される。
文書管理サーバ130は、データ格納部132と、制御部140とを含み構成される。データ格納部132は、暗号化済み文書ファイルを格納するものであり、文書管理サーバ130が備えるメモリや補助記憶装置などの記憶領域によって提供される。制御部140は、データ格納部132に対する暗号化済み文書ファイルの読み書きや、外部端末との通信などの各種制御を行う。
文書管理サーバ130の制御部140は、より詳細には、ファイル受領部142と、ファイル提供部144とを含む。ファイル受領部142は、主催者端末110から送信された複数の暗号化済みファイルを受信し、セットとなるものを関連付けてデータ格納部132に保存する制御を行う。ファイル提供部144は、利用者端末150からの文書ファイルの取得要求に対応して、暗号化済み文書ファイル各々をデータ格納部132から読み出し、取得要求元の利用者端末150に送信する制御を行う。ファイル提供部144は、また、利用者端末150に対し、配信可能な文書ファイルのリストを提供する階層管理機能や検索機能などを備えてもよい。制御部140は、文書管理サーバ130が備えるCPUおよびRAM上に展開されるサーバ・プログラムにより実現される。
利用者端末150は、送信部152と、受信部154と、復号部158と、データ格納部156と、制御部160と、表示部170とを含み構成される。送信部152および受信部154は、主催者端末110および文書管理サーバ130などの外部装置との通信を行い、それぞれ外部装置へ各種要求を送信し、および、外部装置から応答、解除信号またはデータを受信する。送信部152および受信部154は、利用者端末150が備えるネットワーク・アダプタ、プロトコル・スタック、ネットワーク・アダプタのデバイスドライバなどにより実現することができる。受信部154は、本実施形態において、暗号化済みの複数の文書ファイル各々を取得する取得手段として構成され、かつ、ネットワーク102を介して暗号化済み文書ファイルの各解除信号を受信する受信手段として構成される。
復号部158は、解除信号の受信に対応して、それに含まれる復号キーを用いて、暗号化済み文書ファイルの復号処理を行う復号手段である。復号部158は、ソフトウェア・デコーダまたはハードウェア・デコーダの計算資源を利用して、暗号化済み文書ファイルに対する復号処理を実行する。上述したように、本実施形態では、セットとなる第1および第2ファイルの利用可否が管理されるところ、暗号化された第1ファイルおよび第2ファイルは、対応する解除信号に含まれる互いに異なる復号キーを用いて復号される。暗号化された第2ファイルについては、復号部158は、さらに、セットを構成する暗号化された第1ファイルの一部をキーとして重ねて復号するよう構成されている。
データ格納部156は、受信した暗号化済みファイルを格納し、また、復号された文書ファイルを格納するものであり、利用者端末150が備えるメモリや補助記憶装置などの記憶領域により提供される。表示部170は、復号された文書ファイルの内容の表示処理を実行する表示手段である。表示部170は、利用者端末150が備えられ、または接続される表示デバイス、プロジェクタなどの投影デバイス、上記内容表示を行うビデオ・カード、CPU、RAM上に展開されるプログラムなどにより実現される。
制御部160は、上記暗号化済み文書ファイルの取得、その復号および表示の制御を行う。利用者端末150の制御部160は、より詳細には、ファイル取得制御部162と、復号表示制御部164とを含む。
ファイル取得制御部162は、文書管理サーバ130に、所望の文書ファイルの取得を要求する文書ファイル取得要求を送信し、暗号化済み文書ファイルを受信し、データ格納部156に保存する制御を行う。
復号表示制御部164は、主催者端末110から送信される解除信号の受信を継続的に確認し、解除信号の送信が終了したことを判定すると、終了した解除信号に対応する文書ファイルの復号された内容の表示を終了させる制御を行う。解除信号の送信の終了は、解除情報の受信が途切れた状態が所定時間以上続いたことを検知することで判定することができる。また、復号表示制御部164は、解除信号の送信が開始されてから解除信号の送信が終了するまでの期間中、暗号化された文書ファイルが適切に復号された状態が維持されるよう制御する。文書ファイルが、静止画や文書ファイルなどの情報であれば、復号された内容がメモリ上に維持される。また、好適な実施形態では、復号表示制御部164は、解除信号の送信の終了を判定すると、復号されたデータをメモリや補助記憶装置上から消去し、再び暗号化して保存するように制御することができる。
上記復号表示制御部164は、所定のプログラムを、CPUの制御の下、RAMに展開することによって実現される。このようなプログラムとしては、本実施形態による文書ファイルの制限付き利用機能を具備するアプリケーションのコード、文書ファイルを利用するための汎用アプリケーションに追加され、本実施形態による制限付き利用機能を機能拡張するアドインのコード、ブラウザなどの汎用アプリケーションで解釈可能で、本実施形態による制限付き利用機能を実現するスクリプト・コード、オペレーティング・システムにおける本実施形態による制限付き利用機能の基盤機能として組み込まれるコードを含むプログラムが挙げられる。
図3は、本実施形態における主催者端末110での文書ファイルの準備の流れを示すシーケンス図である。図3に示す処理は、ステップS100で、主催者端末110が、主催者からの文書ファイルのセットが指定されたファイル登録指示を受領したことに応答して開始される。ファイル登録指示は、セットとなる複数の指定文書ファイルの暗号化の指示と、複数の暗号化後の文書ファイルの文書管理サーバへの登録の指示とを含む。
ステップS101では、ファイル登録制御部124は、指定された第1ファイルの暗号化を暗号化部112に指示し、暗号化部112にデータ格納部114からの指定の第1ファイルの読み出しを行わせる。ステップS102では、暗号化部112は、読み出された第1ファイルに対し、生成した暗号化キーに基づく暗号化処理を実行する。ステップS103では、暗号化部112は、暗号化された第1ファイルをデータ格納部114に保存し、暗号化済みの第1ファイルの保存場所をファイル登録制御部124に返す。
ステップS104では、ファイル登録制御部124は、暗号化部112にデータ格納部114からの指定の第2ファイルの読み出しを行わせる。ステップS105では、暗号化部112は、読み出された第2ファイルに対し、生成した暗号化キーに基づく第1段目の暗号化処理を実行する。ステップS106では、暗号化部112は、第1段目の暗号化がなされた第2ファイルに対し、暗号化済み第1ファイルの少なくとも一部を用いて、さらに第2段目の暗号化処理を実行する。ステップS107では、暗号化部112は、第2段目の暗号化がなされた第2ファイルをデータ格納部114に保存し、暗号化済みの第2ファイルの保存場所をファイル登録制御部124に返す。
なお、上述した実施形態では、生成した暗号化キーに基づく暗号化処理後に、暗号化済み第1ファイルの少なくとも一部に基づく暗号化処理を行うものとして説明した。しかしながら、暗号化の順序は特に限定されるものではない。
ステップS107では、ファイル登録制御部124は、暗号化済み第1ファイルをデータ格納部114から読み出す。ステップS108では、ファイル登録制御部124は、文書管理サーバ130に対し、読み出した暗号化済み第1ファイルを送信するとともに、ファイル登録依頼を行う。ステップS110では、文書管理サーバ130のファイル受領部142は、ファイル登録依頼に応答して、主催者端末110から送られてきた暗号化済み第1ファイルを受信し、データ格納部132に保存する。
ステップS111では、ファイル登録制御部124は、暗号化済み第2ファイルをデータ格納部114から読み出す。ステップS112では、ファイル登録制御部124は、第1ファイルの送信から間を置かずに、文書管理サーバ130に対し、読み出した暗号化済み第2ファイルを送信するとともに、ファイル登録依頼を行う。ステップS113では、ファイル受領部142は、ファイル登録依頼に応答して、送られてきた暗号化済み第2ファイルを、先に受信した暗号化済み第1ファイルに関連付け、データ格納部132に保存する。
図4は、本実施形態における主催者端末110での文書ファイルの取得の流れを示すシーケンス図である。上記文書ファイルの登録処理後の任意のタイミングにおいて、ステップS400では、利用者端末150は、参加者からのファイル取得指示を受け付ける。文書ファイルの準備の完了と、その取得を行うための情報とは、例えば、取得先URLが記載された電子メールが配信されたりすることにより、利用者端末150に伝達される。その他、取得先へのリンクURLが記載されたウェブ・ページが配信されたり、利用者端末150で動作するアプリケーションに、取得先を示すアドレス情報が配信されたりすることにより、利用者端末150に伝達されてもよい。
ステップS201では、利用者端末150のファイル取得制御部162は、送信部152に、文書管理サーバ130に対し指定の暗号化済み第1ファイルの取得要求を送信させる。ステップS202では、文書管理サーバ130のファイル提供部144は、要求にかかる暗号化済み第1ファイルをデータ格納部132から読み出す。ステップS203では、ファイル提供部144は、取得要求元の利用者端末150に対し、読み出した暗号化済み第1ファイルを送信する。ステップS204では、利用者端末150のファイル取得制御部162は、受信した暗号化済み第1ファイルをデータ格納部156に保存する。
ステップS205〜ステップS207の処理は、第1ファイルについて説明したステップS201〜S203と同様な処理であるので、割愛する。ステップS208では、利用者端末150のファイル取得制御部162は、暗号化済み第2ファイルを受信し、先に受信した暗号化済み第1ファイルと関連付けてデータ格納部156に保存する。
この時点では、第1ファイルおよび第2ファイルは、暗号化された状態にあるため、参加者は、暗号化済み文書ファイルの中身を確認することができない。
図5は、本実施形態における利用者端末150で文書ファイルを制限付きで利用する処理を示すシーケンス図である。図5に示す処理は、例えば、アプリケーションで暗号化済み文書ファイルの閲覧が指示されたことに応答して、ステップS300から開始される。ステップS300では、利用者端末150の復号表示制御部164は、解除信号の配信を受けるため、主催者端末110に対し、解除信号の配信を求める配信先の登録要求を行う。
図6は、解除信号の配信先とする利用者端末150を登録する利用者端末登録テーブルのデータ構造を例示する図である。主催者端末110では、上記送信先登録要求を受けて、図6に示すような、解除信号の配信先とする利用者端末150を登録する情報が保持される。なお、図5のステップS300に示す送信先登録要求は、図6に示すような、解除信号の送信先とすべき端末と通信するための情報を集めるための処理の一例である。送信先登録要求は、例えば、所定ネットワーク・ドメイン内の端末にブロードキャストされた要求に対する応答として行われてもよい。他の実施形態では、主催者端末110側で、準備や配布に先立って、主催者の入力に基づいて、配布先端末およびそのアドレスを事前登録する態様としてもよい。
先行して利用可能とされる第1ファイルについて秘匿を解除する時刻が到来すると、ステップS301では、主催者端末110は、主催者から第1ファイルの解除信号送信開始の指示を受け付ける。ステップS302では、主催者端末110の解除信号送信制御部122は、主催者からの指示に応答して、第1ファイルの暗号化を解除するための解除信号の送信を開始させる。そして、ステップS303で示すように、以降、第1ファイルの利用が許可中であることを示す解除信号の送信が継続的に行われるようになる。解除信号の送信は、上記図6に示すような利用者端末登録テーブルにおいて、対象の文書ファイルに対して利用者登録された1以上の利用者端末150に対して略同時に送信される。
ステップS304では、復号表示制御部164からの指令に基づき、利用者端末150の復号部158は、データ格納部156から暗号化済み第1ファイルを読み出す。ステップS305では、復号部158は、暗号化済み第1ファイルの復号処理を実行し、復号されたデータを復号表示制御部164へ送る。ステップS305の復号処理により、データ格納部156内の第1ファイルは、復号された状態となり、暗号化された第1ファイルは、消去されるか、または残されていてもアクセスがロックされる。ステップS306では、復号表示制御部164は、復号されたデータを表示部170に送り、表示部170は、利用者端末150の表示デバイスに、復号されたデータに基づき、第1ファイルの内容表示を行う。この時点、暗号化された第1ファイルから復号された内容データが存在するので、参加者は、第1ファイルの中身を確認することができるようになる。一方で、暗号化された第2ファイルについては、この時点では、復号されておらず、参加者は、第2ファイルの中身を確認することができない。
第1ファイルの内容を再び秘匿すべき時刻が到来すると、ステップS400では、主催者端末110は、主催者からの第1ファイルの解除信号送信終了の指示を受け付ける。ステップS401では、主催者端末110の解除信号送信制御部122は、主催者からの指示に応答して、上記第1ファイルの解除信号の送信の終了を指令し、以降、解除信号の送信が止められる。ステップS402では、利用者端末150の復号表示制御部164は、第1ファイルに対応する解除信号が一定時間以上受信されなかったことを検知して、表示デバイスへの第1ファイルの内容表示の終了を表示部170に指令し、表示部170は、第1ファイルの内容表示を終了させる。このとき、復号されたデータの削除や再度の暗号化が行われ、データ格納部156内の第1ファイルは再び暗号化された状態となり、利用不可能となり、ロックが解除される。
一方、第2ファイルについて秘匿を解除する時刻が到来すると、ステップS501では、主催者端末110は、主催者から第2ファイルの解除信号送信開始の指示を受け付ける。ステップS502では、主催者端末110の解除信号送信制御部122は、主催者からの指示に応答して、第2ファイルの暗号化を解除するための解除信号の送信を開始させる。ステップS503で示すように、以降、第2ファイルの利用が許可中であることを示す解除信号の送信が継続的に行われるようになる。
ステップS504では、継続的な解除信号の送信に応答した復号表示制御部164からの指令に基づき、利用者端末150の復号部158は、データ格納部156から、受信中の解除信号に対応する暗号化済み第2ファイルを読み出す。ステップS505では、復号部158は、さらに、暗号化済み第1ファイルの少なくとも一部を読み出し、その一部を復号キーとした第1段目の復号処理を実行する。ステップS506では、復号部158は、第1段目の復号がなされた第2ファイルに対し、解除信号中の復号キーに基づく第2段目の復号処理を実行し、復号されたデータを復号表示制御部164へ送る。ステップS505およびS506の復号処理により、データ格納部156内の第2ファイルは、復号された状態となる。
ステップS507では、復号表示制御部164は、復号されたデータを表示部170に送り、表示部170は、利用者端末150の表示デバイスに、復号されたデータに基づき、第2ファイルの内容表示を行う。この時点、第2ファイルから復号された内容データが存在するので、参加者は、第1のファイルの中身は確認できず、一方で、第2ファイルの中身を確認することができるようになる。
図7は、本実施形態における利用者端末が実行する、制限付き文書ファイルの表示処理を示すフローチャートである。図7に示す処理は、例えば、解除信号が当該利用者端末に送信されたことに応答して、ステップS600から開始される。ステップS601では、利用者端末150は、主催者端末110から送信された解除信号を受信する。
ステップ602では、利用者端末150は、解除信号が、先行する第1ファイルに対応するものであるか、後続する第2ファイルに対応するものであるかに応じて処理を分岐させる。ステップS602で、先行して利用可能とする第1ファイルに対応するものであると判定された場合(第1ファイル)は、ステップS603に処理が分岐される。ステップS603では、利用者端末150は、解除信号に基づく暗号化済み第1ファイルの復号処理を実行する。ステップS604では、利用者端末150は、暗号化済み第1ファイルから復号されたデータに基づき、第1ファイルの内容を表示デバイス上に表示させる。
ステップS605では、利用者端末150は、第1ファイルの解除信号の受信が継続しているか否かを判定する。ステップS605で、第1ファイルの解除信号が継続していると判定された場合(YES)は、ステップS604へ処理をループさせて、内容表示を継続し、解除信号の受信の継続の再度の確認を行う。一方、ステップS605で、第1ファイルの解除信号が一定時間以上途切れ、終了されたと判定された場合(NO)は、ステップS606へ処理を分岐させる。ステップS606では、利用者端末150は、文書ファイルの内容表示を終了させ、ステップS607では、復号されたデータの利用不可能化を行い、ステップS608で、本処理を終了させる。
一方、ステップS602で、後続する第2ファイルに対応するものであると判定された場合(第2ファイル)は、ステップS609に処理が分岐される。ステップS609では、利用者端末150は、暗号化された第1ファイルの一部を読み出す。ステップS610では、利用者端末150は、暗号化された第1ファイルの一部の読み出しが成功裡に行えたか否かを判定し、処理を分岐させる。ステップS610で、暗号化された第1ファイルの一部の読み出しが成功裡に完了したと判定されるまで(NOの間)は、ステップS610をループさせる。
一方で、ステップS610で、暗号化された第1ファイルの一部の読み出しが成功裡に完了したと判定された場合(YES)は、ステップS611へ処理が分岐される。ステップS611では、利用者端末150は、解除信号と、第1ファイルの一部とに基づいて暗号化済み第2ファイルの復号処理を実行する。ステップS612では、利用者端末150は、暗号化済み第2ファイルから復号されたデータに基づき、第2ファイルの内容を表示デバイス上に表示させ、ステップS608で、本処理を終了させる。
なお、図5および図7において、第2ファイルについては再び秘匿されないものとして説明したが、特に限定されるものではなく、第2ファイルについても一定期間以降に秘匿すべき場合は、同様に、第2ファイルは、再度の利用不可とされてもよい。また、図5および図7において、第1ファイルの解除信号の送信終了指示と、第2ファイルの解除信号の開始指示とが個別に行われるものとして説明したが、これらは、略同時に行われてもよい。
以上説明した実施形態により、利用者端末150における複数の文書ファイルの利用に関し、主催者が操作する主催者端末110から送信される解除信号を受信中だけ、利用者端末150で文書ファイルの内容表示が行われることになる。そして、第1ファイルに後続する第2ファイルについては、さらに、第1ファイルの少なくとも一部に基づいて、利用者端末150で文書ファイルの内容表示が行われることになる。
上記構成によれば、事前に文書ファイルの配布を行ったりした場合でも、第1ファイルの閲覧終了以前に第2ファイルの内容が漏洩することを防止し、かつ、参加者は、第1ファイルの閲覧終了後速やかに第2ファイルの内容を確実に見ることができる。また、解除信号は、文書ファイルに比較してサイズが小さく、複数の利用者端末に略同時に送信を開始できるので、各利用者端末150の操作者は、公平に文書ファイルの利用を行うことができる。なお、ここでいう略同時とは、利用者に不利益を生じさせない程度の同時性を有することをいう。さらに第1ファイルを有さないと、第2ファイルが利用可能とならないため、第1ファイルを有さない利用者に、セットとなる第2ファイルが見られてしまうことを防止することができる。
例えば、電子的に試験を実施する場合を挙げると、試験中に解答例が漏洩することを防止しながら、解答を忘れてしまわないうちに試験終了から可能な限り間を置かずに解答例を見たいという受験者の要望に答えることができるようになる。さらに、例えば試験に遅刻し、本試験の対象外となった等の受験者に解答例が見られてしまうことを防止することもできる。
これにより、利用者端末150における一連の複数の文書ファイルの利用に関し、主催者の意図に沿って一連の文書ファイルの閲覧利用を制限することが可能となる。
なお、上述した実施形態では、主催者から利用許可の解除指示を受領した主催者端末110が、利用を求める利用者端末150へ解除信号を直接送信するものとして説明した。しかしながら、好適な実施形態では、解除信号は、主催者端末110から文書管理サーバ130などの外部サーバを経由して、利用者端末150へ送信されてもよい。この場合は、上記利用者登録テーブルは、外部サーバが保持し、外部サーバは、主催者端末110から送信されてくる解除信号を受信し、そのまま、登録されている1以上の利用者端末150へ転送することができる。この実施形態は、主催者端末110が有する処理性能に比較して過大な数の利用者端末150へ解除信号を略同時送信する必要がある場合に有効である。
また、主催者端末110が、イントラネットの内部にある場合は、多数の利用者端末に向けてファイアウォールを経由して送信する必要がある場合がある。かかる場合は、多数のパケットがファイアウォールを通過するため効率が低くなり、ファイアウォールを経由することによるトラブルの発生も懸念される。上述した外部サーバを用いる好適な実施形態では、サーバへ解除信号を送信するだけで、該サーバから複数の利用者端末150各々への転送が行われる。このため、ファイアウォールを経由した通信が削減され、効率が向上し、ファイアウォール上のトラブルも低減される。
さらに、上述した実施形態では、解除信号は、主催者端末110が直接送信するものとして説明した。しかしながら、解除信号の送信は、文書ファイルの利用を管理する主催者端末110側で開始され、終了されれば足り、必ずしも主催者端末110が行うことを要しない。主催者端末110からの黙示的または明示的な要求に基づいて外部サーバが実際の解除信号の送信処理を行う態様であってもよい。以下、図8〜図11を参照しながら、解除信号の送信負荷を、主催者端末110から外部サーバへオフロードすることができる他の実施形態について説明する。
図8は、他の実施形態における文書ファイルの制限付き利用に関する機能ブロック図である。図8に示す機能ブロックは、図1〜図7を参照して説明した実施形態と概ね同様の構成を有しており、以下、相違点を中心に説明する。なお、図8において、図2に示す実施形態と同様なはたらきをする機能部については、同一符番を用いて参照する。図8に示す主催者端末110および文書管理サーバ130は、図2に示すものと異なるはたらきをする部分があり、図8に示す利用者端末150は、図2を参照して説明したものと同一のはたらきをしている。
図8に示す実施形態における主催者端末110では、制御部120は、解除信号の送信を制御する解除信号送信制御部122に代えて、要求送信制御部126を含み構成される。要求送信制御部126は、主催者からの操作に応じて解除信号の送信の制御を行うための各種要求の送信を制御する。説明する実施形態においては、実際の解除信号の送信処理は文書管理サーバ130が行うが、解除信号の送信処理の開始および終了は、上述までと同様に主催者端末110側で管理される。したがって、解除信号は、主催者端末110側から送信されるといえる。要求送信制御部126は、本実施形態において、ネットワーク102を介した解除信号の送信を管理する解除情報送信管理手段を構成する。
図8に示す実施形態における文書管理サーバ130では、制御部140は、さらに、解除信号送信制御部146を含み構成される。解除信号送信制御部146は、主催者端末110からの各種要求に応答して、実際の解除信号の送信の開始および終了を制御する。主催者端末110から発行される要求としては、明示的な解除開始を要求する解除信号送信開始要求(解除開始要求)、明示的な解除終了を要求する解除信号送信終了要求(解除終了要求)、明示的な期間を指定した解除を要求する解除信号期間送信要求などを挙げることができる。
解除信号送信制御部146は、主催者端末110からの明示的な解除信号送信開始要求に応答して、解除信号の継続的な送信を開始させることができる。解除信号送信制御部146は、主催者端末110からの明示的な解除信号送信終了要求に応答して、解除信号の送信を終了させることができる。解除信号送信制御部146は、さらに、単一の解除信号期間送信要求に応答して、解除信号の継続的な送信を開始し、指定された期間の経過を待って、解除信号の送信を終了させることができる。ここで、解除信号期間送信要求は、上述した解除信号送信開始および解除信号送信終了の両方のタイミングを要求する単一の要求である。期間の指定は、開始時刻および解除期間の長さの指定、開始時刻および終了時刻の指定により行われる。または、期間の指定は、受信時が開始の指示であるとして、解除期間の長さまたは終了時刻の指定により行うことができる。さらに、解除信号期間送信要求は、セットとなる文書ファイル各々に対し独立の要求が行われてもよいし、セットとなる文書ファイル全体に対して単一の要求が行われてもよい。
図9は、他の実施形態において、利用者端末150で、主催者から行われる解除信号送信開始および解除信号送信終了の指示に応じて、第1および第2ファイルを制限付きで利用する処理を示すシーケンス図である。
秘匿を解除する時刻が到来すると、ステップS701では、主催者端末110は、主催者から指定文書ファイルの解除信号送信開始の指示を受け付ける。ステップS702では、要求送信制御部126は、主催者からの指示に応答して、解除信号送信開始要求を文書管理サーバ130に送信する。ステップS703では、文書管理サーバ130の解除信号送信制御部146は、主催者端末110からの解除信号送信開始要求に応答して、利用者登録された1以上の利用者端末150に対し、指定文書ファイルの解除信号の送信を開始する。そして、ステップS704で示すように、以降、解除信号の送信が継続的に行われるようになる。
ステップS705〜S708の処理は、第1ファイルについては、ステップS707は行われず、図5に示したステップS304〜ステップS306の処理と同様である。第2ファイルについては、ステップS705〜S708の処理は、図5に示したステップS504〜ステップS507の処理と同様である。このため、ここでは詳細な説明は割愛する。
文書ファイルの内容を再び秘匿すべき時刻が到来すると、ステップS800では、主催者端末110は、主催者からの解除信号送信終了の指示を受け付ける。ステップS801では、主催者端末110の要求送信制御部126は、主催者からの解除信号送信終了の指示に応答して、解除信号送信終了要求を文書管理サーバ130に送信する。ステップS802では、文書管理サーバ130の解除信号送信制御部146は、主催者端末110からの解除信号送信終了要求に応答して、上記解除信号の送信の終了を指令し、以降、解除信号の送信が止められる。
ステップS803では、利用者端末150の復号表示制御部164は、解除信号が一定時間以上受信されなかったことを検知して、表示デバイスへの文書ファイルの内容表示の終了を表示部170に指令し、表示部170は、文書ファイルの内容表示を終了させる。その後、文書ファイルは再度利用不可能となる。
上述した解除信号送信開始要求および解除信号送信終了要求に基づく、文書管理サーバ130による解除信号の送信の開始および終了の制御によれば、主催者端末110は絶えず解除信号を送る必要がない。これにより、解除信号の送信負荷は、外部サーバ側へオフロードされ、利用者端末150での利用を許可している間中、主催者端末110が占有されることが無くなる。また、主催者端末110が解除信号を継続的に送る必要がないので、主催者端末110がイントラネット内に設けられるような場合でも、ファイアウォールの負荷も軽減される。
図10および図11は、他の実施形態において、利用者端末150で、主催者側からの期間指定の解除信号期間送信指示に応じて、第1ファイルおよび第2ファイルを制限付きで利用する処理を示すシーケンス図である。
ステップS901では、主催者端末110は、主催者から解除信号期間送信の指示を受け付ける。解除信号期間送信指示には、第1ファイルの利用可能な期間の始点と終点とが規定され、さらに、第2ファイルの利用可能な期間の始点と終点とが規定される。ステップS902では、主催者端末110の要求送信制御部126は、主催者からの解除信号期間送信の指示に応答して、解除信号期間送信要求を文書管理サーバ130に送信する。ステップS903では、文書管理サーバ130の解除信号送信制御部146は、第1ファイルおよび第2ファイルの開始および終了の時刻を記憶し、タイマーを作動させる。
ステップS904では、文書管理サーバ130の解除信号送信制御部146は、タイマーによる第1ファイルの開始時刻を検知し、利用者登録された1以上の利用者端末150に対し、第1ファイルの解除信号の送信を開始する。ステップS907〜S909の処理は、図5に示したステップS304〜ステップS306の処理と同様であるので、説明は割愛する。
ステップS910では、文書管理サーバ130の解除信号送信制御部146は、タイマーにより第1ファイルの解除信号の送信の終了時刻の到来を検知する。ステップS911では、解除信号送信制御部146は、上記第1ファイルの解除信号の送信の終了を指令し、以降、解除信号の送信が止められる。ステップS912では、利用者端末150の復号表示制御部164は、解除信号が一定時間以上受信されなかったことを検知して、表示部170は、文書ファイルの内容表示を終了させる。
ステップS913では、文書管理サーバ130の解除信号送信制御部146は、タイマーによる第2ファイルの開始時刻を検知して、利用者登録された1以上の利用者端末150に対し、第2ファイルの解除信号の送信を開始する。ステップS916〜S919の処理は、図5に示したステップS504〜ステップS507の処理と同様であるので、説明は割愛する。
ステップS920では、文書管理サーバ130の解除信号送信制御部146は、タイマーにより第2ファイルの解除信号の送信の終了時刻の到来を検知する。ステップS921では、解除信号送信制御部146は、上記第2ファイルの解除信号の送信の終了を指令し、以降、解除信号の送信が止められる。ステップS922では、利用者端末150の復号表示制御部164は、解除信号が一定時間以上受信されなかったことを検知して、表示部170は、文書ファイルの内容表示を終了させる。
上述した解除信号期間送信要求に基づく文書管理サーバ130による解除信号の送信の開始および終了の制御によれば、開始の要求とともに終了時刻が指定される。このため、主催者は、文書ファイルの内容を再び秘匿すべき時刻が到来したタイミングで指示を出す必要がない。ひいては、開始及び終了を指示する場合に比較して、主催者自身の負担が軽減される。
なお、図10および図11を参照して説明した実施形態では、第2ファイルは、解除信号の終了に伴い、内容を確認できないように管理されている。しかしながら、試験の解答例などのように、第2ファイルの解除信号の送信開始後であれば、解除信号が停止した後も常に表示してもよい場合がある。このような場合は、参加者に対して、復号したファイルを保存する選択肢を提示し、端末内に保存できるように構成してもよい。
以下、図12を参照しながら、上述までの実施形態における利用者端末、主催者端末および文書管理サーバのハードウェア構成について説明する。図12は、本実施形態による主催者端末110のハードウェア構成を代表して示す図である。
主催者端末110は、デスクトップ型のパーソナル・コンピュータ、ワークステーションなどの汎用コンピュータなどとして構成されている。図12に示す主催者端末110は、シングルコアまたはマルチコアのCPU(Central Processing Unit)12と、CPU12とメモリとの接続を担うノースブリッジ14と、サウスブリッジ16とを含む。サウスブリッジ16は、上記ノースブリッジ14と専用バスまたはPCIバスを介して接続され、PCIバスやUSBなどのI/Oとの接続を担う。
ノースブリッジ14には、CPU12の作業領域を提供するRAM(Random Access Memory)18と、映像信号を出力するグラフィックボード20とが接続される。グラフィックボード20には、アナログRGB、HDMI(High-Definition Multimedia Interface,HDMIおよびHigh-Definition Multimedia Interfaceは、商標または登録商標である。)、DVI(Digital Visual Interface)、DisplayPort(登録商標)などの映像出力インタフェースを介してディスプレイ50に接続される。
サウスブリッジ16には、PCI(Peripheral Component Interconnect)22、LANポート24、IEEE1394、USB(Universal Serial Bus)ポート28、補助記憶装置30、オーディオ入出力32、シリアルポート34が接続される。補助記憶装置30は、HDD(Hard Disk Drive)やSSD(Solid State Drive)などであり、コンピュータ装置を制御するためのOS、上記ユーティリティのプログラムや各種システム情報や各種設定情報を格納する。LANポート24は、主催者端末110を有線および無線でネットワークに接続させるインタフェース機器である。
USBポート28には、キーボード52およびマウス54などの入力装置が接続されてもよく、当該主催者端末110の操作者からの各種指示の入力を受け付けるためのユーザ・インタフェースを提供することができる。本実施形態による主催者端末110は、補助記憶装置30からプログラムを読み出し、RAM18が提供する作業空間に展開することにより、CPU12の制御の下、上述した各機能部および各処理を実現する。なお、以上では、主催者端末110のハードウェア構成について説明したが、利用者端末および文書管理サーバのハードウェア構成についても同様な構成とすることができる。
以上説明したように本実施形態によれば、関連付けられた複数の電子情報の利用に関し、これらの電子情報の利用を管理する者の意図に沿って複数の電子情報各々の利用を制限することができる電子情報利用装置、電子情報利用システム、プログラムおよび電子情報利用装置の制御方法を提供することができる。
なお、上述までの実施形態では、関連づけられた第1ファイルおよび第2ファイルの利用可否を管理する場合を一例に説明した。しかしながら、関連づけて管理される文書ファイルの数は、特に限定されるものではない。例えば、他の実施形態では、第n(nは文書数N以下の任意の整数)番目のファイルの復号に、N−1個の文書ファイル(第n番目ファイルを除く。)のうちの少なくとも1つの暗号化されたファイルの少なくとも一部をキーとして用いて、重ねて暗号化を施すよう構成してもよい。
なお、上記機能部は、アセンブラ、C、C++、C#、Java(登録商標)などのレガシープログラミング言語やオブジェクト指向プログラミング言語などで記述されたコンピュータ実行可能なプログラムにより実現でき、ROM、EEPROM、EPROM、フラッシュメモリ、フレキシブルディスク、CD−ROM、CD−RW、DVD−ROM、DVD−RAM、DVD−RW、ブルーレイディスク、SDカード、MOなど装置可読な記録媒体に格納して、あるいは電気通信回線を通じて頒布することができる。
これまで本発明の実施形態について説明してきたが、本発明の実施形態は上述した実施形態に限定されるものではなく、他の実施形態、追加、変更、削除など、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。