JP2019168810A - 情報管理装置及びプログラム - Google Patents

情報管理装置及びプログラム Download PDF

Info

Publication number
JP2019168810A
JP2019168810A JP2018054753A JP2018054753A JP2019168810A JP 2019168810 A JP2019168810 A JP 2019168810A JP 2018054753 A JP2018054753 A JP 2018054753A JP 2018054753 A JP2018054753 A JP 2018054753A JP 2019168810 A JP2019168810 A JP 2019168810A
Authority
JP
Japan
Prior art keywords
information
user
information management
output
acquired
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018054753A
Other languages
English (en)
Other versions
JP7131006B2 (ja
Inventor
健太郎 高野
Kentaro Takano
健太郎 高野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2018054753A priority Critical patent/JP7131006B2/ja
Priority to US16/049,837 priority patent/US20190294807A1/en
Priority to CN201811023734.6A priority patent/CN110298155A/zh
Publication of JP2019168810A publication Critical patent/JP2019168810A/ja
Application granted granted Critical
Publication of JP7131006B2 publication Critical patent/JP7131006B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Measuring And Recording Apparatus For Diagnosis (AREA)
  • Medical Treatment And Welfare Office Work (AREA)
  • User Interface Of Digital Computer (AREA)

Abstract

【課題】権限の範囲内での操作により情報を意図的に流出させる行為を抑制し得る技術を提供する。【解決手段】システムは、利用者端末10と、情報管理サーバ12と、管理者端末14を備える。情報管理サーバ12は、利用者端末10における情報表示を管理する。利用者端末10は、情報に対する特定操作の権限を有する利用者の、特定操作時の心理状態を特定し得る生体情報を取得する旨を利用者に通知した上で取得する。情報管理サーバ12は、取得した生体情報により特定された心理状態が、予め設定された正常範囲内にない場合に、管理者端末14の通知を行う等の、情報出力を抑制する制御を行う。【選択図】図1

Description

本発明は、情報管理装置及びプログラムに関する。
特許文献1には、文書データへの不正なアクセスを防止するための生体情報を用いる文書管理方法が記載されている。利用を許可するユーザの生体情報をネットワークサーバに登録する第1の工程と、ネットワークサーバのデータベースにアクセスしようとするユーザから生体情報を取得する第2の工程と、第1の工程で登録された生体情報と第2の工程で取得された生体情報との照合を行い合致するか否かを判定する第3の工程と、この第3の工程において、第1の工程で登録された生体情報と第2の工程で取得された生体情報とが合致しない場合、すべてのユーザに対してデータベースに格納されている文書データとのアクセスを禁止すると同時に、所定の者のネットワーク端末に対してデータベースへの不正なアクセスが検出されたことを所定の方法により通知する。
特開2004−164130号公報
文書データ等の情報にアクセスし得る権限を有しないユーザの不正行為を防止するための方法は種々提案されているが、情報にアクセスし得る権限を有するユーザによる不正行為、具体的には、権限の範囲内での操作により情報を第3者に意図的に流出させる行為を抑制することは困難である。
本発明の目的は、権限の範囲内での操作により情報を意図的に流出させる行為を抑制し得る技術を提供することにある。
請求項1に記載の発明は、情報に対する特定操作の権限を有する利用者の、前記特定操作時の心理状態を特定し得る生体情報を取得する取得手段と、取得した前記生体情報により特定された前記心理状態が、予め設定された正常範囲内にない場合に、前記情報の出力を抑制するように制御する制御手段とを備える情報管理装置である。
請求項2に記載の発明は、前記取得手段は、前記情報を表示部に表示させる操作を受け付けてからその表示を終了させる操作を受け付けるまでの期間において前記生体情報を取得する請求項1に記載の情報管理装置である。
請求項3に記載の発明は、前記取得手段は、前記情報のうち、第3者に開示すべきでない情報を表示している期間において前記生体情報を取得する請求項2に記載の情報管理装置である。
請求項4に記載の発明は、前記取得手段による前記生体情報の取得の中止を指示する操作手段を備える請求項1に記載の情報管理装置である。
請求項5に記載の発明は、前記取得手段は、前記生体情報により特定された前記心理状態が、予め設定された正常範囲内にある場合に、前記操作手段による中止指示に応じて前記生体情報の取得を中止する請求項4に記載の情報管理装置である。
請求項6に記載の発明は、前記制御手段は、前記操作手段からの中止指示に応じて前記取得手段で生体情報の取得を中止した場合、前記情報の出力を抑制する請求項4に記載の情報管理装置である。
請求項7に記載の発明は、前記取得手段は、前記情報に対する特定操作の権限を有しない第3者が前記利用者の近傍に存在する場合に前記生体情報を取得する請求項1に記載の情報管理装置である。
請求項8に記載の発明は、前記取得手段は、前記第3者が前記情報を表示する表示部を視認している場合に前記生体情報を取得する請求項7に記載の情報管理装置である。
請求項9に記載の発明は、前記制御手段は、前記情報をマスクすることで前記情報の出力を抑制する請求項1に記載の情報管理装置である。
請求項10に記載の発明は、前記制御手段は、前記情報に対する特定操作の権限を有しない第3者が前記利用者の近傍に存在する場合に前記情報をマスクすることで前記情報の出力を抑制する請求項9に記載の情報管理装置である。
請求項11に記載の発明は、前記制御手段は、前記第3者が前記情報を表示する表示部を視認している場合に前記情報をマスクすることで前記情報の出力を抑制する請求項10に記載の情報管理装置である。
請求項12に記載の発明は、前記制御手段は、前記情報に代えて別の情報を出力することで前記情報の出力を抑制する請求項1に記載の情報管理装置である。
請求項13に記載の発明は、前記制御手段は、前記情報に対する特定操作の権限を有しない第3者が前記利用者の近傍に存在する場合に前記情報に代えて前記別の情報を出力することで前記情報の出力を抑制する請求項12に記載の情報管理装置である。
請求項14に記載の発明は、前記制御手段は、前記心理状態が正常範囲外から正常範囲内に移行した場合に、前記情報の出力の抑制を解除する請求項1に記載の情報管理装置である。
請求項15に記載の発明は、前記制御手段は、前記第3者が存在しなくなった場合に、前記情報の出力の抑制を解除する請求項10,13のいずれかに記載の情報管理装置である。
請求項16に記載の発明は、前記制御手段は、前記第3者が前記情報を表示する表示部を視認しなくなった場合に、前記情報の出力の抑制を解除する請求項10,13のいずれかに記載の情報管理装置である。
請求項17に記載の発明は、前記制御手段は、前記情報を出力する端末が移動した場合に前記情報の出力を抑制する請求項1に記載の情報管理装置である。
請求項18に記載の発明は、前記制御手段は、管理者に対して通知することで前記情報の出力を抑制する請求項1に記載の情報管理装置である。
請求項19に記載の発明は、前記制御手段は、前記利用者の前記特定操作に応じて前記利用者に対して前記生体情報の取得を通知する請求項1に記載の情報管理装置である。
請求項20に記載の発明は、前記通知には、情報の流出によるリスクと、前記利用者と一定の関係を有する人の情報の少なくともいずれかが含まれる請求項19に記載の情報管理装置である。
請求項21に記載の発明は、コンピュータに、情報に対する特定操作の権限を有する利用者の、前記特定操作時の心理状態を特定し得る生体情報を取得するステップと、取得した前記生体情報により特定された前記心理状態が、予め設定された正常範囲内にない場合に、前記情報の出力を抑制するように制御するステップとを実行させるプログラムである。
請求項1〜21に記載の発明によれば、権限の範囲内での操作により情報を意図的に流出させる行為が抑制され得る。
請求項7に記載の発明によれば、さらに、情報に対する特定操作の権限を有しない第3者が利用者の近傍に存在する場合において生体情報が取得される。
請求項8に記載の発明によれば、さらに、情報に対する特定操作の権限を有しない第3者が情報を表示する表示部を視認している場合において生体情報が取得される。
請求項10に記載の発明によれば、さらに、情報に対する特定操作の権限を有しない第3者が利用者の近傍に存在する場合に情報の出力が抑制される。
請求項11に記載の発明によれば、さらに、情報に対する特定操作の権限を有しない第3者が情報を表示する表示部を視認している場合に情報の出力が抑制される。
請求項19に記載の発明によれば、さらに、利用者の特定操作に応じて利用者に対して生体情報の取得が通知され、通知された状態における生体情報が取得される。
請求項20に記載の発明によれば、情報の流出によるリスクと、利用者と一定の関係を有する人の情報の少なくともいずれかが含まれ、心理状態が生体情報に反映され得る。
実施形態のシステム構成図である。 実施形態の利用者端末の機能ブロック図である。 実施形態の情報管理サーバの機能ブロック図である。 実施形態の情報管理サーバの構成ブロック図である。 実施形態の処理の模式的説明図(その1)である。 実施形態の処理の模式的説明図(その2)である。 実施形態の全体処理フローチャートである。 実施形態の他の全体処理フローチャートである。 実施形態のさらに他の全体処理フローチャートである。 利用者生体情報取得の詳細処理フローチャートである。 利用者生体情報取得の他の詳細処理フローチャートである。 利用者生体情報取得のさらに他の詳細処理フローチャートである。 利用者端末の画面表示説明図(その1)である。 利用者端末の画面表示説明図(その2)である。 利用者端末の他の画面表示説明図である。 情報出力抑制の詳細処理フローチャートである。 情報出力抑制の他の詳細処理フローチャートである。 利用者端末の画面表示遷移説明図である。 利用者端末の他の画面表示遷移説明図(その1)である。 利用者端末の他の画面表示遷移説明図(その2)である。 変形例のシステム構成図である。 変形例の機能ブロック図である。 変形例の全体処理フローチャートである。
以下、図面に基づき本発明の実施形態について説明する。
図1は、本実施形態のシステム構成図を示す。システムは、利用者端末10、情報管理サーバ12、及び管理者端末14を備え、利用者端末10、情報管理サーバ12、及び管理者端末14は通信回線16でデータ送受信可能に接続される。
利用者端末10は、利用者が操作する端末であり、情報を表示する機能を備える。利用者端末10は、タブレット端末やパーソナルコンピュータ等の情報端末であり、利用者の操作により内蔵メモリに記憶された文書データ等の情報、あるいは通信回線16を介して取得した文書データ等の情報を表示部に表示する。利用者は、利用者端末10を使用する権限を有し、かつ、表示部に情報を表示する権限、つまり情報にアクセスし得る権限を有する利用者(以下、「権限利用者」と称する)である。
情報管理サーバ12は、利用者端末10と通信回線16を介して接続されるサーバであり、利用者端末10に表示される情報を管理するサーバである。情報管理サーバ12は、情報管理装置として機能し、権限利用者による情報の表示を監視し、一定の場合に情報の出力を抑制するように利用者端末10の動作を制御する。情報管理サーバ12は、権限利用者が利用者端末10を操作して重要情報を第3者に見せることで意図的に流出させるような不正行為を行おうとしている場合に、これを抑制するような通知を行い、かつ、このような通知を認識した状態における権限利用者の生体情報を取得し、取得した生体情報を用いて権限利用者が不正行為を行っている可能性を評価する。そして、評価した結果、不正行為の蓋然性が高い場合に情報の出力を抑制する。情報の出力抑制には、情報表示の中断や中止、管理者端末14への通知等が含まれる。
管理者端末14は、情報を管理する管理者が操作する端末である。管理者端末14は、情報管理サーバ12と通信回線16を介して接続され、情報管理サーバ12からの通知を受信して表示する。情報管理サーバ12からの通知は、権限利用者による情報の意図的な流出行為が生じる可能性がある旨の通知である。
図2は、利用者端末10の機能ブロック図である。利用者端末10は、機能ブロックとして、表示部100、生体情報取得部101、記憶部102、通信部103、及び制御部104を備える。
表示部100は、液晶ディスプレイや有機ELディスプレイであり、文書データや画像データ等の情報を表示する。
生体情報取得部101は、権限利用者の生体情報を取得する。生体情報は任意であるが、権限利用者の心理状態を反映し得る生体情報であり、具体的には顔画像、脈拍、血圧、脳波、音声等である。顔画像はカメラで、脈拍や血圧は腕に装着されたセンサあるいはスマートウォッチで、脳波は頭に装着された電極で、音声はマイクでそれぞれ取得され得る。これ以外にも、利用者端末10を把持する権限利用者の手の震え(動揺)を振動センサで取得してもよい。顔画像や音声等により被験者の嘘を発見するいわゆる嘘発見器は公知であるが、当該嘘発見器で用いられる生体情報は本実施形態でも用いられ得る。
記憶部102は、表示部100に表示される情報を予め記憶する。なお、表示されるべき情報は、通信回線16を介して外部から取得され、記憶部102に記憶されてもよい。また、記憶部102は、生体情報取得部101で取得された権限利用者の生体情報を記憶する。
通信部103は、通信回線16を介して情報管理サーバ12とデータを送受信する。具体的には、情報管理サーバ12からの指令に応じて生体情報取得部101で権限利用者の生体情報を取得し、取得した生体情報を情報管理サーバ12に送信する。また、情報管理サーバ12からの指令に応じて表示部100に表示される情報を抑制する。通信部103は、情報管理サーバ12から受信した指令を制御部104に出力する。
制御部104は、利用者端末10各部の動作を制御する。すなわち、制御部104は、権限利用者の操作に応じて情報を表示部100に表示し、また、情報を表示部100に表示する際に、情報管理サーバ12からの指令に応じて生体情報を取得する旨のメッセージを表示部100に表示し、生体情報取得部101を駆動して生体情報を取得する。制御部104は、取得した生体情報を通信部103から情報管理サーバ12に送信する。さらに、制御部104は、情報管理サーバ12からの指令に応じて表示部100を制御し、情報の出力を抑制する。
利用者端末10は、1又は複数のプロセッサ、ROM、RAM、キーボードやタッチスイッチ等の入力デバイス、各種センサ、HDDやSSD等の記憶装置、通信インターフェイス(I/F)及びディスプレイを備えたタブレット端末等の情報機器で構成され得る。1又は複数のプロセッサは、ROMあるいは記憶装置に記憶された処理プログラムを読み出して実行することで制御部104として機能する。各種センサに含まれるカメラは、生体情報取得部101として機能する。キーボードやタッチスイッチは、権限利用者の操作を受け付ける。通信I/Fは、通信部103として機能する。ディスプレイは、表示部100として機能する。
図3は、情報管理サーバ12の機能ブロック図を示す。情報管理サーバ12は、機能ブロックとして、記憶部200、通信部201、及び制御部202を備える。
記憶部200は、権限利用者の情報、例えばユーザIDやパスワード、権限利用者の近親者や友人関係を記憶する。近親者や友人関係の情報の利用については後述する。
また、記憶部200は、権限利用者の正常状態における生体情報を基準値として記憶する。例えば、正常状態における顔画像、正常状態における脈拍数、正常状態における脳波、正常状態における血圧、正常状態における音声波形等である。
通信部201は、通信回線16を介して利用者端末10及び管理者端末14とデータを送受信する。
制御部202は、情報管理サーバ12各部の動作を制御する。制御部202は、生体情報取得要否判定部と、情報漏洩行為判定部と、情報出力抑制部を備える。
生体情報取得要否判定部は、権限利用者が利用者端末10を操作して表示部100に情報を表示させる際に、権限利用者の生体情報を取得する必要があるか否かを判定する。すなわち、問題となる行為は、重要な情報を権限のない第3者に意図的に流出させる行為であるから、表示される情報が重要情報であること、情報の表示が許容される場所以外の場所で表示されていること、権限のない第3者が存在すること、等の条件が満たされる場合に生体情報を取得する必要があると判定する。逆に、表示される情報が重要情報でない場合や、情報の表示が本来的に許容され得る場所(拠点)での表示であれば、生体情報を取得する必要がないと判定する。生体情報取得要否判定部は、生体情報の取得が必要と判定した場合、通信部201を介して利用者端末10の制御部104に制御指令を出力し、生体情報取得部101により生体情報を取得させる。
情報漏洩行為判定部は、生体情報取得要否判定部で生体情報の取得が必要と判定され、この判定結果に応じて取得された権限利用者の生体情報を用いて情報漏洩行為の可能性を判定する。具体的には、取得した生体情報を、記憶部200に記憶された基準値と比較し、基準値から逸脱しているか否かを判定し、逸脱していれば情報漏洩行為の可能性ありと判定する。例えば、カメラで撮影して得られた権限利用の顔画像から権限利用者の微表情の左右対称性を基準値と比較し、基準値に比べて一定割合以上、対称性が異なっていれば権限利用者の心理状態は正常時と異なっており、情報漏洩行為の可能性ありと判定する。あるいは、マイクで取得した権限利用者の音声を基準音声と比較し、基準音声に比べて一定割合以上相違する場合には権限利用者の心理状態は正常状態と異なっており、情報漏洩行為の可能性ありと判定する。また、取得した生体情報が基準値から逸脱しているか否かに関わらず、取得した生体情報から、権限利用者の現在の状態が信頼できない状態にあると判定された場合には、情報漏洩行為の可能性ありと判定してもよい。
情報出力抑制部は、情報漏洩行為判定部で情報漏洩行為の可能性ありと判定された場合に、通信部201を介して利用者端末10の制御部104に制御指令を出力して情報の出力を抑制する。情報出力抑制部は、制御指令の出力に代えて、あるいは制御出力の指令とともに、通信部201を介して管理者端末14に情報漏洩行為の可能性がある旨の通知を出力する。
図4は、情報管理サーバ12の構成ブロック図を示す。情報管理サーバ12は、プロセッサ12a、ROM12b、RAM12c、通信I/F12d、入出力I/F12e、及び記憶装置12fを備える。
1又は複数のプロセッサ12aは、制御部202として機能し、ROM12bあるいは記憶装置12fに記憶された処理プログラムを読み出し、RAM12cをワーキングメモリとして用いて処理プログラムを実行することで生体情報取得要否判定部、情報漏洩行為判定部、及び情報出力抑制部を実現する。
通信I/F12dは、通信部201として機能し、利用者端末10の位置データ、及び利用者端末10の表示部100に表示される情報について重要度を判定するためのデータを受信してプロセッサ12aに出力する。また、通信I/F12dは、生体情報取得が必要と判定された場合に、利用者端末10の制御部104に対して生体情報取得の制御指令を出力する。また、通信I/F12dは、利用者端末10からの生体情報を受信してプロセッサ12aに出力する。さらに、通信I/F12dは、利用者端末10の制御部104に対して情報出力を抑制するための制御指令を出力し、管理者端末14に対して情報漏洩の可能性がある旨の通知を出力する。
入出力I/F12eは、キーボード等の入力デバイスやディスプレイ等の出力デバイスに接続される。情報管理の責任者は、入出力I/F12eを介して権限利用者のデータや、生体情報の基準値を入力する。通信I/F12dを介して通信回線16に接続された他の端末からこれらのデータを入力してもよい。
記憶装置12fは、記憶部200として機能し、利用者情報テーブル、基準値データ、及び重要情報データを記憶する。利用者情報テーブルは、権限利用者の情報、すなわちユーザIDやパスワード、近親者や友人の情報を記憶する。基準値データは、権限利用者の正常状態における生体情報の基準値(正常範囲)を記憶する。基準値データとして記憶される生体情報の基準値は、利用者端末10で取得される生体情報に対応する。すなわち、利用者端末10で取得される生体情報が権限利用者の顔画像であれば、基準値データには正常状態の顔画像が含まれる。重要情報データは、利用者端末10で表示され得る情報のうち、予め選択された重要情報が記憶される。なお、重要情報データは、特定のキーワードや特定の種別を記憶してもよく、これらの特定キーワードを含む文書データや特定種別に分類される文書データ等が重要情報として特定され得る。記憶装置12fは、これら以外にも、重要情報を扱い得るエリア(拠点)の位置データを記憶してもよい。
図5は、本実施形態において抑制の対象となる不正行為を模式的に示す。権限利用者50は、その権限の範囲内において利用者端末10を操作して重要情報を表示し得る。権限利用者が重要情報を自己のみが閲覧する、あるいは重要情報にアクセスし得る権限を有する他の者が重要情報を閲覧するのは問題ない。しかし、権限利用者50が、重要情報にアクセスし得る権限のない第3者(いわゆる産業スパイ)60に重要情報を閲覧させるべく利用者端末10を操作して重要情報を表示する行為は不正行為であり、抑制する必要がある。
そこで、図6に示すように、権限利用者50が、その権限の範囲内において利用者端末10を操作して重要情報を表示する際に、権限利用者50に対して生体情報を取得する旨を通知し、権限利用者50がこの通知を認識している状態において生体情報を取得し、取得した生体情報を用いて権限利用者50の心理状態が正常範囲から逸脱している場合に、重要情報にアクセスし得る権限を有しない第3者が重要情報を閲覧できないように、あるいは閲覧してもその状態を維持できないように制限する。
本実施形態における基本原理は、
第1に、権限利用者50に対し、生体情報を取得する旨を通知することで監視下にあることを知らしめ、情報漏洩行為を規制する
第2に、生体情報を取得する旨を通知することで、心理状態を生体情報に反映させやすくする
第3に、取得した生体情報を用いて、情報漏洩行為の可能性がある場合に実際に情報出力を抑制する
という3段階の処理により、第3者への情報漏洩を抑制するといえる。
なお、情報漏洩の不正行為については、不正行為が行われやすい場所とそうでない場所が存在し得ることを踏まえ、後者の場所では権限利用者の利便性を考慮して、通知を簡易的あるいは非通知としてもよく、取得する生体情報についても簡易に取得し得る生体情報に限定してもよい。要するに、利用者端末10が操作されている場所に応じて適応的に処理を変化させ得る。
また、情報の重要度には、相対的に高いものとそうでないものが存在し得ることを踏まえ、相対的に重要度が高くない場合には権限利用者の利便性を考慮して、通知を簡易的あるいは非通知としてもよく、取得する生体情報についても簡易に取得し得る生体情報に限定してもよい。要するに、利用者端末10で表示される情報の重要度に応じて適応的に処理を変化させ得る。
図7は、本実施形態の全体処理フローチャートを示す。
まず、情報管理サーバ12は、利用者端末10のセキュリティレベルを取得する(S101)。具体的には、権限利用者により操作されているときの利用者端末10の位置データを取得する。位置データは、利用者端末10に設けられたGPS等の位置センサにより取得され得る。GPSに代えて、Wi−Fi電波を用いて位置を検出してもよい。また、位置データは、権限利用者がユーザIDやパスワードを入力して利用者端末10にログインした時点で取得され得る。
次に、情報管理サーバ12は、取得した位置データを用いて、権限利用者が重要情報に拠点外からアクセスしているか否かを判定する(S102)。権限利用者の操作であるか否かは、入力されたユーザID及びパスワードで判定される。重要情報であるか否かは、権限利用者の操作により利用者端末10に表示される情報と、記憶装置12fに記憶された重要情報データとを照合することで判定される。拠点外からのアクセスであるか否かは、取得した位置データと、記憶装置12fに記憶された拠点の位置データとを照合することで判定される。
権限利用者が、重要情報に拠点外からアクセスしていると判定した場合(S102でYES)、情報管理サーバ12は、権限利用者の生体情報を取得する必要があるとして、利用者端末10に制御指令を出力し、利用者端末10で権限利用者の生体情報を取得させる(S103)。生体情報は、例えば利用者端末10のカメラで権限利用者の顔画像を撮影することで取得される。取得された生体情報は、利用者端末10から情報管理サーバ12に送信される。生体情報は、基本的に、重要情報を表示させる権限利用者の操作を受け付けてから当該重要情報の表示を終了させる操作を受け付けるまでの期間に取得されるが、特に、第3者に開示すべきでない重要情報が表示されている期間内でもよい。
情報管理サーバ12は、取得された生体情報と、記憶装置12fに記憶された基準値データとを照合し、権限利用者の心理状態が正常状態にあるか否かを判定することで情報漏洩行為の可能性を判定する(S104)。取得された生体情報が基準値に対して一定割合以上逸脱しており、正常範囲内にない場合には情報漏洩行為の可能性があるとして情報出力の抑制処理を実行する(S105)。例えば、取得された顔画像の左右対称性を基準値と比較し、基準値よりも一定割合以上対称性が異なっていれば、正常範囲内にないとして情報出力の抑制処理を実行する。
重要情報に拠点外からアクセスしていない場合(S102でNO)、あるいは情報漏洩行為の可能性がない場合(S104でNO)、情報出力の抑制をせずに情報出力を許容する。
なお、図7の処理では、重要情報に拠点外からアクセスしている場合に生体情報を取得しているが、さらに、第3者が権限利用者の近傍に存在する場合に生体情報を取得してもよい。
図8は、この場合の全体処理フローチャートを示す。
まず、情報管理サーバ12は、利用者端末10のセキュリティレベルを取得する(S201)。具体的には、権限利用者により操作されているときの利用者端末10の位置データを取得する。
次に、情報管理サーバ12は、取得した位置データを用いて、権限利用者が重要情報に拠点外からアクセスしているか否かを判定する(S202)。
権限利用者が、重要情報に拠点外からアクセスしていると判定した場合(S202でYES)、情報管理サーバ12は、さらに、権限利用者の近傍に権限利用者以外の第3者が存在するか否かを判定する(S203)。第3者が存在するか否かは、利用者端末10のカメラ、例えば広角カメラで利用者端末10の周囲を撮影することで判定され得る。利用者端末10の表示部に、
「周囲に他の人はいますか?」
等と質問メッセージを表示し、権限利用者に答えさせることで判定してもよい。重要情報に拠点外からアクセスしており、かつ、第3者が近傍に存在する場合には、権限利用者の生体情報を取得する必要があるとして、利用者端末10に制御指令を出力し、利用者端末10で権限利用者の生体情報を取得させる(S204)。生体情報は、例えば利用者端末10のカメラで権限利用者の顔画像を撮影することで取得される。取得された生体情報は、利用者端末10から情報管理サーバ12に送信される。
情報管理サーバ12は、取得された生体情報と、記憶装置12fに記憶された基準値データとを照合し、権限利用者の心理状態が正常範囲内にあるか否かを判定することで情報漏洩行為の可能性を判定する(S205)。取得された生体情報が基準値に対して一定割合以上逸脱しており、正常範囲内にない場合には情報漏洩行為の可能性があるとして情報出力の抑制処理を実行する(S206)。
重要情報に拠点外からアクセスしていない場合(S202でNO)、第3者が近傍に存在していない場合(S203でNO)、あるいは情報漏洩行為の可能性がない場合(S205でNO)、情報出力の抑制をせずに情報出力を許容する。
図8の処理では、第3者が近傍に存在する場合に生体情報を取得しているが、たとえ第3者が近傍に存在したとしても、たまたま存在しており重要情報を閲覧する意思を有していない場合もあり得ることから、近傍に存在する第3者が実際に利用者端末10の画面を見ている場合に生体情報を取得してもよい。
図9は、この場合の全体処理フローチャートを示す。
まず、情報管理サーバ12は、利用者端末10のセキュリティレベルを取得する(S301)。具体的には、権限利用者により操作されているときの利用者端末10の位置データを取得する。
次に、情報管理サーバ12は、取得した位置データを用いて、権限利用者が重要情報に拠点外からアクセスしているか否かを判定する(S302)。
権限利用者が、重要情報に拠点外からアクセスしていると判定した場合(S302でYES)、情報管理サーバ12は、権限利用者の近傍に権限利用者以外の第3者が存在するか否かを判定する(S303)。第3者が存在するか否かは、利用者端末10のカメラ、例えば広角カメラで利用者端末10の周囲を撮影することで判定され得る。利用者端末10の表示部に、
「周囲に他の人はいますか?」
等と質問メッセージを表示し、権限利用者に答えさせることで判定してもよい。重要情報に拠点外からアクセスしており、かつ、第3者が近傍に存在する場合、さらに、当該第3者が利用者端末10の画面を視認しているか否かを判定する(S304)。画面を視認しているか否かは、当該第3者の顔画像から顔の向きや視線方向を検出することで判定され得る。重要情報に拠点外からアクセスしており、第3者が近傍に存在し、かつ、当該第3者が画面を視認している場合、権限利用者の生体情報を取得する必要があるとして、利用者端末10に制御指令を出力し、利用者端末10で権限利用者の生体情報を取得させる(S305)。生体情報は、例えば利用者端末10のカメラで権限利用者の顔画像を撮影することで取得される。取得された生体情報は、利用者端末10から情報管理サーバ12に送信される。
情報管理サーバ12は、取得された生体情報と、記憶装置12fに記憶された基準値データとを照合し、権限利用者の心理状態が正常範囲内にあるか否かを判定することで情報漏洩行為の可能性を判定する(S306)。取得された生体情報が基準値に対して一定割合以上逸脱しており、正常範囲内にない場合には情報漏洩行為の可能性があるとして情報出力の抑制処理を実行する(S307)。
重要情報に拠点外からアクセスしていない場合(S302でNO)、第3者が近傍に存在しない場合(S303でNO)、第3者が近傍に存在しても画面を視認していない場合(S304でNO)、あるいは情報漏洩行為の可能性がない場合(S306でNO)、情報出力の抑制をせずに情報出力を許容する。
図10は、本実施形態における権限利用者の生体情報取得の詳細フローチャートであり、図7のS103、図8のS204、あるいは図9のS305での処理である。
まず、情報管理サーバ12は、利用者端末10に制御指令を出力し、権限利用者に対する指示を表示させる(S401)。指示は、例えば、
「顔を正面の向きでカメラに向けて動かさないで下さい」
等のメッセージを表示する。スピーカを通じて音声で出力してもよい。
利用者端末10は、権限利用者が指示通りの状態になっているか否かを判定し(S402)、指示通りになっていれば、次に、情報管理サーバ12からの制御指令に応じ、情報閲覧状況の確認画面を表示する(S403)。この確認画面は、例えば、
「開示してはいけない人に開示しようとしていませんか?」
とのメッセージとともに、
「キャンセル」
「していません」
とのタッチボタンを表示する。
権限利用者は、この確認画面を視認することで、「キャンセル」ボタンあるいは「していません」ボタンを操作することで回答する。
情報管理サーバ12は、権限利用者の生体情報として、例えば顔画像を取得するともに、この顔画像が、権限利用者からの回答があった上での顔画像であるか否かを判定する(S404、S405)。回答がない場合、S403〜S405の処理を繰り返す。この処理により、
「開示してはいけない人に開示しようとしていませんか?」
とのメッセージに対する回答後の権限利用者の顔画像が取得される。確認画面に対する回答後の顔画像を取得するのは、回答内容に偽りがある(嘘をついている)場合には正常状態と異なる心理状態にあり、その心理状態が顔の表情に反映される事実を利用するものである。
図10の処理では、生体情報として顔画像を取得しているが、情報の重要度に応じて取得する生体情報を変えてもよく、情報の重要度が相対的に高い場合には複数の生体情報を取得してもよい。
図11は、この場合の生体情報取得の詳細フローチャートを示す。
まず、情報管理サーバ12は、利用者端末10に制御指令を出力し、権限利用者に対する指示を表示させる(S501)。指示は、例えば、
「顔を正面の向きでカメラに向けて動かさないで下さい」
等のメッセージを表示する。スピーカを通じて音声で出力してもよい。
利用者端末10は、権限利用者が指示通りの状態になっているか否かを判定し(S502)、指示通りになっていれば、次に、情報管理サーバ12からの制御指令に応じ、情報閲覧状況の確認画面を表示する(S503)。この確認画面は、例えば、
「開示してはいけない人に開示しようとしていませんか?」
とのメッセージとともに、
「キャンセル」
「していません」
とのタッチボタンを表示する。
権限利用者は、この確認画面を視認することで、「キャンセル」ボタンあるいは「していません」ボタンを操作することで回答する。
情報管理サーバ12は、権限利用者の生体情報として、顔画像を取得する(S504)。さらに、情報管理サーバ12は、利用者端末10に表示しようとする情報の重要度が相対的に特に高い場合には、顔画像に加え、脈拍、音声、脳波の少なくともいずれかを取得するように利用者端末10に制御指令を出力する(S506)。これらの顔画像、及び脈拍、音声、脳波の少なくともいずれかが、権限利用者からの回答があった上での生体状態であるか否かを判定する(S507)。回答がない場合、S503〜S507の処理を繰り返す。この処理により、
「開示してはいけない人に開示しようとしていませんか?」
とのメッセージに対する回答後の権限利用者の顔画像、及び脈拍等が取得される。確認画面に対する回答後の顔画像、及び脈拍等を取得するのは、回答内容に偽りがある(嘘をついている)場合には正常状態と異なる心理状態にあり、その心理状態が顔の表情や脈拍等、複数の生体情報に同時に反映される事実を利用するものである。情報の重要度が相対的に高い場合、権限者の利便性よりも、むしろ精度を重視して判定を行うものといえる。複数の生体情報を用いて精度を上げる技術は公知であり、例えば、Hashem, Y., Takabi, H., GhasemiGol, M., & Dantu, R. (2016). Inside the Mind of the Insider: Towards Insider Threat Detection Using Psychophysiological Signals. J. Internet Serv. Inf. Secur., 6(1), 20-36.には、心電図と脳波を使って、リアルタイムに計測し分析したところ、90%以上の精度で裏切り行為を検出できることが記載されている。
図11の処理では、情報の重要度が相対的に高い場合には複数の生体情報を取得しているが、さらに、利用者端末10が移動中か否かによって取得すべき生体情報の種類を変化させてもよい。
図12は、この場合の生体情報取得の詳細フローチャートを示す。
まず、情報管理サーバ12は、利用者端末10に制御指令を出力し、権限利用者に対する指示を表示させる(S601)。指示は、例えば、
「脈拍センサを正しく装着して下さい」
等のメッセージを表示する。スピーカを通じて音声で出力してもよい。
利用者端末10は、権限利用者が指示通りの状態になっているか否かを判定し(S602)、指示通りになっていれば、次に、情報管理サーバ12からの制御指令に応じ、情報閲覧状況の確認画面を表示する(S603)。この確認画面は、例えば、
「開示してはいけない人に開示しようとしていませんか?」
とのメッセージとともに、
「キャンセル」
「していません」
とのタッチボタンを表示する。
権限利用者は、この確認画面を視認することで、「キャンセル」ボタンあるいは「していません」ボタンを操作することで回答する。
情報管理サーバ12は、権限利用者の生体情報として、脈拍を取得する(S604)。
脈拍は、スマートウォッチ等の腕に装着した脈拍センサで検出する他に、指をカメラに押し当て、指を透過する光の量から血流を通じて検出してもよい。さらに、情報管理サーバ12は、利用者端末10に表示しようとする情報の重要度が相対的に特に高い場合には、利用者端末10が移動中であるか否かを判定する(S606)。移動中であるか否か、利用者端末10の位置データの時間変化により判定され得る。利用者端末10が移動中であれば(S606でYES)、脈拍に加えて、権限利用者の顔画像を取得する(S607)。他方、移動中でなければ(S606でNO)、利用者端末10を把持したときの手の震え(動揺)を振動センサ等で取得する(S608)。これらの脈拍、及び顔画像と動揺のいずれかが、権限利用者からの回答があった上での生体状態であるか否かを判定する(S609)。回答がない場合、S603〜S608の処理を繰り返す。この処理により、
「開示してはいけない人に開示しようとしていませんか?」
とのメッセージに対する回答後の権限利用者の脈拍に加え、移動中であれば顔画像、移動中でなければ動揺が取得される。移動中であれば顔画像を取得するのは、移動中の場合、移動に伴う振動と心理状態を反映した振動との区別が一般に困難となるからである。
なお、移動中においても利用者端末10を把持したときの手の震え(動揺)を検出する場合には、権限利用者により把持される前の移動中の利用者端末10の動きをオフセットとして検出し、このオフセット分を差し引いた手の動揺を基準値と照合することで情報漏洩行為の可能性があるか否かを判定してもよい。
また、移動中において顔画像に代えて権限利用者の音声を取得してもよく、移動中の権限利用者の音声を基準値として検出し、この移動中の基準値と取得した音声を照合することで情報漏洩行為の可能性があるか否かを判定してもよい。
図13は、S401、S501、あるいはS601の処理における、利用者端末10の画面表示例を示す。
利用者端末10の画面には、情報管理サーバ12からの制御指令を受信した制御部104により、
「あなたの状態をスキャンしますので、カメラに顔を向けて下さい」
とのメッセージが表示される。脈拍の場合には、
「あなたの状態をスキャンしますので、カメラに指を置いて下さい」
等のメッセージが表示され、音声の場合には、
「あなたの状態をスキャンしますので、マイクをオンにしてください」
等のメッセージが表示される。
図14は、S403、S503、あるいはS603の処理における、利用者端末10の画面表示例を示す。
「開示してはいけない人に開示しようとしていませんか?」
とのメッセージとともに、
「危険性があるのでキャンセル」
「していません」
の2つのタッチボタン70が表示される。権限利用者は、これら2つのタッチボタン70のいずれかを操作することで回答し、当該回答後の生体情報が取得されて情報管理サーバ12に送信される。
なお、上記のメッセージに代えて
「第3者に開示してはならない重要情報にアクセスしています。
開示してはいけない人に開示しようとしていませんか?」
とのメッセージにより、重要情報であることを強調してもよい。
仮に、権限利用者が第3者に重要情報を漏洩させようと意図している場合において、2つのタッチボタン70のうち
「していません」
のタッチボタンを操作した場合、権限利用者は嘘をついていることになるので、その心理状態が生体情報に反映され得る。
また、上記のメッセージに加えて、権限利用者の近親者あるいは友人の情報を表示するととともに、仮に情報漏洩行為が露呈すると、これらの人々に悪影響を及ぼすことになる旨を表示することで権限利用者のモラルまたは罪悪感に訴えてもよい。例えば、図15に示すように、
「開示してはいけない人に開示しようとしていませんか?
情報漏洩があれば身近な人に大変な影響を及ぼします」
等のメッセージとともに、肉親や友人の写真80を表示する。他者に損失を与える場合に不正行為が抑制されることが知られているので、このような写真80を表示することにより心理状態が一層明瞭に生体情報に反映され得る。
肉親や友人の写真80以外にも、職場において特に良好な関係を維持している同僚の写真を表示してもよい。良好な関係を維持している同僚は、アンケートによる他者評価等の日常業務評価結果を分析することで取得し得る。情報漏洩により健全な生活が維持できなくなる漫画画像を表示してもよい。
次に、情報漏洩行為の可能性がある場合の、情報出力の抑制処理について説明する。
図16は、情報出力の抑制処理の詳細フローチャートを示す。図7のS105、図8のS206、あるいは図9のS307の処理である。
まず、情報管理サーバ12は、管理者端末14が通信回線16に接続されているか否かを判定する(S701)。通信回線16に接続されていれば、利用者端末10の情報、例えば利用者端末10のID、利用者端末10を操作している権限利用者の氏名やID、表示しようとしている情報を管理者端末14に通知することで情報漏洩行為の可能性がある旨を管理者に通知する(S702)。管理者端末14では、この通知を受信すると、予め定めたアラートを表示する(S703)。アラート表示は、例えば
「拠点外で重要情報に対して不正行為のおそれが高いアクセスが生じています」
等である。
他方で、管理者端末14が通信回線16に接続されていない場合には、利用者端末10の情報を一時的に記憶装置12fに記憶し(S704)、管理者端末14が通信回線16に接続されたときに記憶装置12fから読み出して通知する。
なお、管理者端末14に通知する場合、情報管理サーバ12は、利用者端末10に制御指令を出力してその表示部に管理者に通知した旨を表示させてもよい。例えば、利用者端末10の画面に
「情報漏洩行為が疑われるので、管理者に通知しました」
とのメッセージを表示させる等である。
通知を受けた管理者は、権限利用者に対して必要な措置を講じるが、特定の権限利用者に対するアラートが複数回通知されている場合には、当該権限利用者に対してセキュリティ教育指導を徹底する、権限を剥奪する等の措置が考えられる。アラート回数に応じて段階的にアクセス可能レベルを下げていくことも考えられる。
図16の処理では、管理者に通知しているが、情報の重要度に応じて通知すべき管理者端末14を変更してもよい。例えば、情報の重要度が特に高い場合には、より高位の権限を有する管理者の端末に通知する等である。また、管理者への通知に代えて、あるいはこの通知とともに、利用者端末10の表示自体を抑制してもよい。
図17は、この場合の詳細フローチャートを示す。
情報管理サーバ12は、情報漏洩行為の可能性があると判定した場合に、利用者端末10に制御指令を出力し、利用者端末10の制御部104は、制御指令に応じて利用者端末10の画面をマスクし、あるいは重要情報と異なる別情報を表示して置換する(S801)。その後、図16と同様にして管理者端末14に通知する(S802〜S805)。
図18は、利用者端末10の画面例を示す。
図18(a)のように、重要情報が表示されて情報漏洩行為の可能性がある場合、図18(b)のように画面を黒塗り(ブラックアウト)してマスクする。あるいは、図18(c)のように別の画面(例えば一般的な風景写真)を表示する。これにより、情報漏洩がより効果的に抑制される。
図18では、情報漏洩行為の可能性がある場合に、一律に画面をマスクし、あるいは別の情報で置換しているが、画面に重要情報とそうでない情報が表示されている場合には、重要情報が表示されている部分のみをマスクし、あるいは別の情報で置換してもよい。また、第3者が実際に画面を視認している場合のみマスクし、あるいは別の情報で置換してもよい。
図19及び図20は、この場合の画面例を示す。図19は、利用者端末10の近傍に存在する第3者60が画面を視認していない場合であり、重要情報はそのまま表示される。他方で、図20は、第3者60が画面をしている場合であり、重要情報は別の情報で置換される。第3者60が画面を視認しているか否かは、図9のS304の処理と同様に、第3者60の顔の向きや視線方向で判定し得る。
以上、本発明の実施形態について説明したが、本発明はこれに限定されるものではなく、種々の変形が可能である。以下、変形例について説明する。
<変形例1>
実施形態では、図1に示すように、利用者端末10と情報管理サーバ12が別個に存在して通信回線16で接続されているが、利用者端末10と情報管理サーバ12とを一体化してもよい。この場合、利用者端末10が情報管理装置として機能する。
図21は、変形例のシステム構成を示す。利用者端末10と管理者端末14が通信回線16を介して接続される。利用者端末10は、情報管理サーバ12としても機能し、権限利用者の操作により重要情報が表示される場合に生体情報を取得し、取得した生体情報を用いて情報漏洩行為の可能性を評価し、情報漏洩の可能性がある場合に情報出力を抑制する。
図22は、変形例の利用者端末10の機能ブロック図を示す。図2に示す機能ブロックと、図3に示す機能ブロックを統合したものである。制御部104は、生体情報取得要否判定部、情報漏洩行為判定部、及び情報出力制御部を備え、利用者端末10の位置データや情報の重要度を用いて生体情報取得の必要性を判定し、生体情報取得の必要性がある場合に生体情報を取得して情報露出行為の可能性を評価する。そして、情報漏洩行為の可能性がある場合に、通信回線16を介して管理者端末14に通知し、表示部100を制御して重要情報をマスクし、あるいは別の情報に置換する。
記憶部102には、図3の記憶装置12fと同様に利用者情報テーブル、基準値データ、重要情報データが記憶される。これに加えて、拠点の位置データや置換すべき別の情報のデータが記憶され得る。また、記憶部102には、管理者端末14との通信回線16が遮断されている場合に、管理者端末14に通知するための利用者端末10の情報が一時的に記憶される。
<変形例2>
実施形態では、取得した生体情報が基準値から逸脱した場合に情報漏洩行為の可能性があるとして情報出力を抑制しているが、その後、取得した生体情報が正常範囲内に収まった場合には情報出力の抑制を解除してもよい。例えば、図18に示すように、取得した生体情報が基準値から逸脱した場合に情報漏洩行為の可能性があるとして図18(a)の画面から図18(b)の画面に遷移しているが、その後、取得した生体情報が正常範囲内に収まった場合には、図18(b)の画面から再び図18(a)の画面に遷移してもよい。
また、図20では、第3者60が利用者端末10の画面を視認している場合に情報出力を抑制しているが、第3者60が近傍から存在しなくなった場合も、図20の画面から図19の画面に遷移してもよい。
<変形例3>
実施形態では、取得した生体情報が基準値から逸脱した場合に情報漏洩行為の可能性があるとして情報出力を抑制しているが、生体情報を取得中に利用者端末10が移動した場合には、一律に情報出力を抑制してもよい。
<変形例4>
実施形態では、利用者端末10の位置データを取得して拠点外からアクセスしているか否かを判定しているが、セキュリティが確保された部屋の入退室を管理し、当該部屋から退出している場合に拠点外からアクセスしていると判定してもよい。
また、たとえ拠点外からアクセスしていたとしても、その拠点外のエリアが、本来的に重要情報の表示が許容され得るエリアであれば、生体情報取得の必要性はないと判定してもよい。具体的には、拠点外のエリアが、重要情報について秘密保持契約(NDA)を締結済みの企業の所在地等の場合である。これらの情報は、拠点の位置データとともに記憶装置12fあるいは記憶部102に記憶され得る。権限利用者のスケジュールデータを用い、利用者端末10を操作している時間における権限利用者のスケジュールが、秘密保持契約(NDA)を締結済みの企業への出張を意味している場合、拠点外のエリアは秘密保持契約(NDA)を締結済みの企業の所在地であると判定し得る。
<変形例5>
実施形態では、第3者が利用者の近傍に存在する場合に生体情報を取得しているが、さらに、権限利用者の上司等が存在する場合には、情報漏洩行為を行う可能性が相対的に低いと考えられるため、生体情報取得の必要性はないと判定してもよい。権限利用者の上司等が存在するか否かは、当該上司が操作する端末の位置データを利用し得る。すなわち、利用者端末10と上司端末の位置が一定距離以内であれば、近傍に上司が存在すると判定し得る。権限利用者及びその上司のスケジュールデータを用いて上司が近傍に存在しているかを判定してもよい。
<変形例6>
実施形態では、重要情報に拠点外からアクセスしている場合等に生体情報を取得しているが、権限利用者が重要情報にアクセスした場合には、権限利用者が拠点外にいるかどうかに関わらず、権限利用者の生体情報を取得し、取得した生体情報を用いて情報漏洩行為の可能性を評価し、情報漏洩の可能性がある場合に情報出力を抑制してもよい。
<変形例7>
実施形態では、重要情報に拠点外からアクセスしている場合等に生体情報を取得しているが、さらに、利用者端末10での生体情報取得を権限利用者が中止できるような操作手段を設けてもよい。例えば、画面に「生体情報取得の中止」のタッチボタンを表示して権限利用者の操作を受け付ける等である。
但し、このような操作手段の操作を受け付けても、それまでに取得した生体情報が正常範囲内に収まっている場合のみ生体情報の取得を中止し、正常範囲を逸脱している場合には中止操作を無視して生体情報の取得を維持するのが望ましい。
図23は、この場合の全体処理フローチャートを示す。図21及び図22に示す変形例の構成として説明する。
まず、利用者端末10は、セキュリティレベルを取得する(S901)。具体的には、権限利用者により操作されているときの利用者端末10の位置データを取得する。
次に、利用者端末10は、取得した位置データを用いて、権限利用者が重要情報に拠点外からアクセスしているか否かを判定する(S902)。権限利用者の操作であるか否かは、入力されたユーザID及びパスワードで判定される。重要情報であるか否かは、権限利用者の操作により利用者端末10に表示される情報と、記憶部102に記憶された重要情報データとを照合することで判定される。拠点外からのアクセスであるか否かは、取得した位置データと、記憶部102に記憶された拠点の位置データとを照合することで判定される。
権限利用者が、重要情報に拠点外からアクセスしていると判定した場合(S902でYES)、利用者端末10は、権限利用者の生体情報を取得する必要があるとして、権限利用者の生体情報を取得する(S903)。生体情報は、例えば利用者端末10のカメラで権限利用者の顔画像を撮影することで取得される。
生体情報の取得後に、利用者端末10は、生体情報取得の中止操作があったか否かを判定する(S904)。中止操作がなければ(S904でNO)、利用者端末10は、取得された生体情報と、記憶部102に記憶された基準値データとを照合し、権限利用者の心理状態が正常範囲にあるか否かを判定することで情報漏洩行為の可能性を判定する(S905)。取得された生体情報が基準値に対して一定割合以上逸脱しており、正常範囲にない場合には情報漏洩行為の可能性があるとして情報出力の抑制処理を実行する(S906)。例えば、取得された顔画像の左右対称性を基準値と比較し、基準値よりも一定割合以上対称性が異なっていれば、正常範囲にないとして情報出力の抑制処理を実行する。
他方、生体情報取得の中止操作があった場合(S904でYES)、利用者端末10は、それまでに取得された生体情報と、記憶部102に記憶された基準値データとを照合し、権限利用者の心理状態が正常範囲にあるか否かを判定することで情報漏洩行為の可能性を判定する(S907)。取得された生体情報が基準値に対して一定割合以上逸脱しており、正常範囲にない場合には情報漏洩行為の可能性があるとして(S907でYES)、中止操作を無視してS905及びS906の処理を続行する。正常範囲にあれば(S907でNO)、中止操作に応じて生体情報の取得を中止する(S908)。
なお、操作手段の操作を受け付け、それまでに取得した生体情報が正常範囲内に収まっているとして生体情報の取得を中止した場合に、情報漏洩行為の可能性を判定不能であるとして一律に情報出力を抑制してもよい。
<変形例8>
実施形態では、情報出力の抑制処理として、管理者への通知、画面のマスク、別の画面への置換を例示したが、これら以外にも、画面を点滅させる、大音量を出力する、利用者端末10の操作をロックする、権限を有しない第3者の顔画像を撮影して記憶装置12fに記憶し、その旨を表示するとともに音声で出力する、権限利用者及び第3者が存在する部屋を施錠する等も可能である。
<変形例9>
実施形態において、図3に示すように、情報管理サーバ12の制御部202が生体情報取得要否判定部、情報漏洩行為判定部、及び情報出力制御部を実現しているが、これらの機能ブロックのいずれかを利用者端末10の制御部104で実現してもよい。具体的には、利用者端末10の制御部104で生体情報取得要否判定部、及び情報出力制御部を実現し、情報管理サーバ12で情報漏洩行為判定部を実現してもよい。この場合、利用者端末10において生体情報を取得して情報管理サーバ12に送信し、情報管理サーバ12において情報漏洩行為の可能性を判定してその結果を利用者端末10に返信し、利用者端末10において判定結果に応じて情報出力を抑制する構成となる。
10 利用者端末、12 情報管理サーバ、14 管理者端末、16 通信回線。

Claims (21)

  1. 情報に対する特定操作の権限を有する利用者の、前記特定操作時の心理状態を特定し得る生体情報を取得する取得手段と、
    取得した前記生体情報により特定された前記心理状態が、予め設定された正常範囲内にない場合に、前記情報の出力を抑制するように制御する制御手段と、
    を備える情報管理装置。
  2. 前記取得手段は、前記情報を表示部に表示させる操作を受け付けてからその表示を終了させる操作を受け付けるまでの期間において前記生体情報を取得する
    請求項1に記載の情報管理装置。
  3. 前記取得手段は、前記情報のうち、第3者に開示すべきでない情報を表示している期間
    において前記生体情報を取得する
    請求項2に記載の情報管理装置。
  4. 前記取得手段による前記生体情報の取得の中止を指示する操作手段
    を備える請求項1に記載の情報管理装置。
  5. 前記取得手段は、前記生体情報により特定された前記心理状態が、予め設定された正常範囲内にある場合に、前記操作手段による中止指示に応じて前記生体情報の取得を中止する
    請求項4に記載の情報管理装置。
  6. 前記制御手段は、前記操作手段からの中止指示に応じて前記取得手段で生体情報の取得を中止した場合、前記情報の出力を抑制する
    請求項4に記載の情報管理装置。
  7. 前記取得手段は、前記情報に対する特定操作の権限を有しない第3者が前記利用者の近傍に存在する場合に前記生体情報を取得する
    請求項1に記載の情報管理装置。
  8. 前記取得手段は、前記第3者が前記情報を表示する表示部を視認している場合に前記生体情報を取得する
    請求項7に記載の情報管理装置。
  9. 前記制御手段は、前記情報をマスクすることで前記情報の出力を抑制する
    請求項1に記載の情報管理装置。
  10. 前記制御手段は、前記情報に対する特定操作の権限を有しない第3者が前記利用者の近傍に存在する場合に前記情報をマスクすることで前記情報の出力を抑制する
    請求項9に記載の情報管理装置。
  11. 前記制御手段は、前記第3者が前記情報を表示する表示部を視認している場合に前記情報をマスクすることで前記情報の出力を抑制する
    請求項10に記載の情報管理装置。
  12. 前記制御手段は、前記情報に代えて別の情報を出力することで前記情報の出力を抑制する
    請求項1に記載の情報管理装置。
  13. 前記制御手段は、前記情報に対する特定操作の権限を有しない第3者が前記利用者の近傍に存在する場合に前記情報に代えて前記別の情報を出力することで前記情報の出力を抑制する
    請求項12に記載の情報管理装置。
  14. 前記制御手段は、前記心理状態が正常範囲外から正常範囲内に移行した場合に、前記情報の出力の抑制を解除する
    請求項1に記載の情報管理装置。
  15. 前記制御手段は、前記第3者が存在しなくなった場合に、前記情報の出力の抑制を解除する
    請求項10,13のいずれかに記載の情報管理装置。
  16. 前記制御手段は、前記第3者が前記情報を表示する表示部を視認しなくなった場合に、前記情報の出力の抑制を解除する
    請求項10,13のいずれかに記載の情報管理装置。
  17. 前記制御手段は、前記情報を出力する端末が移動した場合に前記情報の出力を抑制する
    請求項1に記載の情報管理装置。
  18. 前記制御手段は、管理者に対して通知することで前記情報の出力を抑制する
    請求項1に記載の情報管理装置。
  19. 前記制御手段は、前記利用者の前記特定操作に応じて前記利用者に対して前記生体情報の取得を通知する
    請求項1に記載の情報管理装置。
  20. 前記通知には、情報の流出によるリスクと、前記利用者と一定の関係を有する人の情報の少なくともいずれかが含まれる
    請求項19に記載の情報管理装置。
  21. コンピュータに、
    情報に対する特定操作の権限を有する利用者の、前記特定操作時の心理状態を特定し得る生体情報を取得するステップと、
    取得した前記生体情報により特定された前記心理状態が、予め設定された正常範囲内にない場合に、前記情報の出力を抑制するように制御するステップと、
    を実行させるプログラム。
JP2018054753A 2018-03-22 2018-03-22 情報管理装置及びプログラム Active JP7131006B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018054753A JP7131006B2 (ja) 2018-03-22 2018-03-22 情報管理装置及びプログラム
US16/049,837 US20190294807A1 (en) 2018-03-22 2018-07-31 Information management apparatus
CN201811023734.6A CN110298155A (zh) 2018-03-22 2018-09-04 信息管理装置、存储介质及信息管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018054753A JP7131006B2 (ja) 2018-03-22 2018-03-22 情報管理装置及びプログラム

Publications (2)

Publication Number Publication Date
JP2019168810A true JP2019168810A (ja) 2019-10-03
JP7131006B2 JP7131006B2 (ja) 2022-09-06

Family

ID=67983202

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018054753A Active JP7131006B2 (ja) 2018-03-22 2018-03-22 情報管理装置及びプログラム

Country Status (3)

Country Link
US (1) US20190294807A1 (ja)
JP (1) JP7131006B2 (ja)
CN (1) CN110298155A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022201339A1 (ja) * 2021-03-24 2022-09-29 日本電気株式会社 価格管理システム、価格管理方法、及び、記録媒体

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7411209B2 (ja) * 2019-12-03 2024-01-11 株式会社Agama-X 情報処理装置及びプログラム
JP7434987B2 (ja) * 2020-02-12 2024-02-21 富士フイルムビジネスイノベーション株式会社 情報処理装置及びプログラム

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6131122A (ja) * 1984-05-28 1986-02-13 デベツクス(プロプライエタリ−)リミテツド 犯人検出装置
JP2005244375A (ja) * 2004-02-25 2005-09-08 Sanyo Electric Co Ltd 通信装置、通信方法、通信プログラムおよびそれを用いた通信システム
US20080286738A1 (en) * 2007-05-16 2008-11-20 Eitan Elaad Method of Detecting Concealed Information
JP2010067066A (ja) * 2008-09-11 2010-03-25 Nec Personal Products Co Ltd 情報処理装置、商取引システム、操作可否判定方法、プログラム及び記録媒体
JP2011134137A (ja) * 2009-12-24 2011-07-07 Konica Minolta Business Technologies Inc 情報表示装置及び表示制御プログラム
JP2015534686A (ja) * 2012-09-25 2015-12-03 セラノス, インコーポレイテッド 回答の較正のためのシステムおよび方法
JP2016057699A (ja) * 2014-09-05 2016-04-21 日本電信電話株式会社 情報提示装置、方法及びプログラム
JP2017157232A (ja) * 2017-05-25 2017-09-07 日立マクセル株式会社 情報処理装置、アプリケーションソフトウェア起動システム及びアプリケーションソフトウェア起動方法
US20170371729A1 (en) * 2016-06-24 2017-12-28 Konica Minolta, Inc. Information processing device, information processing system and program

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5104188B2 (ja) * 2007-10-15 2012-12-19 ソニー株式会社 サービス提供システム及び通信端末装置
JP2016157253A (ja) * 2015-02-24 2016-09-01 セイコーエプソン株式会社 生体情報処理システム、サーバーシステム及び情報処理方法
CN105791599A (zh) * 2016-05-28 2016-07-20 维沃移动通信有限公司 一种移动终端消息的显示方法及移动终端
JP2018075264A (ja) * 2016-11-11 2018-05-17 セイコーエプソン株式会社 行動情報処理装置および行動情報処理方法
CN107819933B (zh) * 2017-10-11 2020-06-05 广东乐心医疗电子股份有限公司 消息模式调整方法及装置

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6131122A (ja) * 1984-05-28 1986-02-13 デベツクス(プロプライエタリ−)リミテツド 犯人検出装置
JP2005244375A (ja) * 2004-02-25 2005-09-08 Sanyo Electric Co Ltd 通信装置、通信方法、通信プログラムおよびそれを用いた通信システム
US20080286738A1 (en) * 2007-05-16 2008-11-20 Eitan Elaad Method of Detecting Concealed Information
JP2010067066A (ja) * 2008-09-11 2010-03-25 Nec Personal Products Co Ltd 情報処理装置、商取引システム、操作可否判定方法、プログラム及び記録媒体
JP2011134137A (ja) * 2009-12-24 2011-07-07 Konica Minolta Business Technologies Inc 情報表示装置及び表示制御プログラム
JP2015534686A (ja) * 2012-09-25 2015-12-03 セラノス, インコーポレイテッド 回答の較正のためのシステムおよび方法
JP2016057699A (ja) * 2014-09-05 2016-04-21 日本電信電話株式会社 情報提示装置、方法及びプログラム
US20170371729A1 (en) * 2016-06-24 2017-12-28 Konica Minolta, Inc. Information processing device, information processing system and program
JP2017157232A (ja) * 2017-05-25 2017-09-07 日立マクセル株式会社 情報処理装置、アプリケーションソフトウェア起動システム及びアプリケーションソフトウェア起動方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
丸岡 弘和: "不審な挙動の検知による内部犯対策(その2)", 情報処理学会研究報告 VOL.2006 NO.26, vol. 第2006巻, JPN6022001181, 17 March 2006 (2006-03-17), JP, pages 203 - 208, ISSN: 0004683965 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022201339A1 (ja) * 2021-03-24 2022-09-29 日本電気株式会社 価格管理システム、価格管理方法、及び、記録媒体

Also Published As

Publication number Publication date
CN110298155A (zh) 2019-10-01
US20190294807A1 (en) 2019-09-26
JP7131006B2 (ja) 2022-09-06

Similar Documents

Publication Publication Date Title
Levy et al. Privacy threats in intimate relationships
Eiband et al. Understanding shoulder surfing in the wild: Stories from users and observers
CN107530011B (zh) 响应于心率的改变的个人安全和保障移动应用
Ahmed et al. Addressing physical safety, security, and privacy for people with visual impairments
US9275255B2 (en) Methods, systems, and computer program products for protecting information on a user interface based on a viewability of the information
CN110998573A (zh) 用于终端的访问控制的计算机实现的方法和计算机程序产品
Ahmed et al. Understanding the physical safety, security, and privacy concerns of people with visual impairments
CN104054325A (zh) 用于将智能手机作为基于可信社交网络的公开和私人安全装置的方法
KR20160058170A (ko) 컨텍스트형 장치 잠금/잠금해제
JP7131006B2 (ja) 情報管理装置及びプログラム
Crager et al. Information leakage through mobile motion sensors: User awareness and concerns
Safavi et al. Improving Google glass security and privacy by changing the physical and software structure
US9959425B2 (en) Method and system of privacy protection in antagonistic social milieu/dark privacy spots
PenzeyMoog et al. As technology evolves, so does domestic violence: Modern-day tech abuse and possible solutions
US10964199B2 (en) AI-based monitoring system for reducing a false alarm notification to a call center
Bentotahewa et al. Solutions to Big Data privacy and security challenges associated with COVID-19 surveillance systems
US10453495B2 (en) System and method for intuitive and socially aligned access control
Daskal Good Health and Good Privacy Go Hand-in-Hand
JP2012190096A (ja) 情報処理装置およびその制御方法
WO2022191798A1 (en) Online exam security system and a method thereof
JP2014099732A (ja) 通信システム、通信装置、通信方法およびプログラム
Ahmed Towards the design of wearable assistive technologies to address the privacy and security concerns of people with visual impairments
US11037675B1 (en) Screening-based availability of communications device features
JP2009093399A (ja) 情報表示装置
JP2016018500A (ja) 電子機器及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210226

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220316

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220726

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220808

R150 Certificate of patent or registration of utility model

Ref document number: 7131006

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150