JP3890367B1 - 管理システムおよび管理プログラム - Google Patents
管理システムおよび管理プログラム Download PDFInfo
- Publication number
- JP3890367B1 JP3890367B1 JP2005239284A JP2005239284A JP3890367B1 JP 3890367 B1 JP3890367 B1 JP 3890367B1 JP 2005239284 A JP2005239284 A JP 2005239284A JP 2005239284 A JP2005239284 A JP 2005239284A JP 3890367 B1 JP3890367 B1 JP 3890367B1
- Authority
- JP
- Japan
- Prior art keywords
- user terminal
- file
- management
- access
- personal information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000003860 storage Methods 0.000 claims abstract description 127
- 230000005540 biological transmission Effects 0.000 claims abstract description 44
- 230000006870 function Effects 0.000 claims description 134
- 238000000034 method Methods 0.000 claims description 42
- 230000008569 process Effects 0.000 claims description 34
- 238000012545 processing Methods 0.000 claims description 33
- 238000011835 investigation Methods 0.000 claims description 26
- 238000005520 cutting process Methods 0.000 claims description 18
- 238000000605 extraction Methods 0.000 claims description 12
- 230000008859 change Effects 0.000 claims description 11
- 238000007726 management method Methods 0.000 description 428
- 238000009434 installation Methods 0.000 description 20
- 238000001514 detection method Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 6
- 238000007639 printing Methods 0.000 description 6
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000012217 deletion Methods 0.000 description 4
- 230000037430 deletion Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000002040 relaxant effect Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
【課題】個人情報や機密情報が企業内の複数のPCやサーバに分散して保存されていても、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、個人情報や機密情報の状態を管理できるようにして、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止する。
【解決手段】利用者端末10が、記憶部におけるデータの中から管理対象ファイルを探査する探査手段と、その探査結果を管理サーバ20へ送信する送信手段とをそなえて構成されるとともに、管理サーバ20が、利用者端末10からの探査結果に基づいて管理対象ファイルに対するアクセスログを利用者端末10から収集して記録するログ収集手段と、前記探査結果およびログ収集手段によって収集されたアクセスログに基づいて利用者端末10を管理する管理手段とをそなえて構成されている。
【選択図】図1
【解決手段】利用者端末10が、記憶部におけるデータの中から管理対象ファイルを探査する探査手段と、その探査結果を管理サーバ20へ送信する送信手段とをそなえて構成されるとともに、管理サーバ20が、利用者端末10からの探査結果に基づいて管理対象ファイルに対するアクセスログを利用者端末10から収集して記録するログ収集手段と、前記探査結果およびログ収集手段によって収集されたアクセスログに基づいて利用者端末10を管理する管理手段とをそなえて構成されている。
【選択図】図1
Description
本発明は、パーソナルコンピュータ等の情報処理装置(利用者端末,サーバ等)に保有される、個人情報や機密情報などを含むファイルを管理する技術に関する。
近年、個人情報の保護の意識の高まりに伴い、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することが望まれている。特に、個人情報保護法の施行に伴って、個人情報取扱事業者は、個人情報の流出・漏洩や不正利用をより確実に防止する必要が生じている。ここで、個人情報とは、単体もしくは組合せによって特定の個人を識別することのできる情報で、例えば氏名,生年月日,連絡先(住所,居所,電話番号,電子メールアドレス等)などが含まれる。各種企業内で保存されて取り扱われる顧客情報,取引先情報などが個人情報に該当する場合が多い。
このような個人情報は、当然、企業にとっては秘匿性の高い機密情報に該当するが、企業にとっての機密情報としては、個人情報のほかにも、発表前の新製品,特許出願前の技術,経営戦略などに係る情報が該当する。なお、システム監査学会によれば、機密情報とは、情報資産の中で、許可した者以外に開示したり、目的外に利用された場合、経営資源としての価値を損なうおそれのある情報と定義されている。
上述のような個人情報や機密情報の流出・漏洩や不正利用を確実に防止するためには、集中管理システムを導入し、これらの個人情報や機密情報を一元的に管理することが望ましい。しかしながら、現実には、企業内において、顧客情報,取引先情報などの個人情報は、社員個人によって利用される複数の利用者端末〔パーソナルコンピュータ(以下、PCと略記する場合がある)〕や各部署のサーバに、ばらばらに分散して保存されている場合が多い。より具体的には、個々の社員が各自の業務都合で自分のPCに個人情報(顧客情報等)を保存していたり、中央データベース、あるいは、各社員によって独自に収集された個人情報のサブセットがPCにまちまちに存在していたりする。
このため、上記集中管理システムを構築する場合、管理者は、まず最初に、企業内にばらばらに存在する個人情報や機密情報の洗い出しを行ない、企業内のどこにどのような個人情報や機密情報が存在しているかを把握する必要があるが、個人情報や機密情報の洗い出しは、管理者が各社員に指示し人間対人間で全社・全部門の人的な協力を得て行なわれることになる。
なお、例えば下記特許文献1においては、個人情報保護法の施行に伴い、個人情報の流出・漏洩や不正利用を防止する個人情報保護サービスを提供するための技術「個人情報保護サービス事業の処理方法および装置」が提案・開示されている。この特許文献1では、個人情報を不適切に取得した企業を特定して警告することができ、且つ、適正に取得した企業から個人情報が不正に流出することを防止できるようにするための技術が開示されているが、上述のごとく企業内で個人情報が分散して存在している場合の対処については開示されていない。
また、例えば下記特許文献2では、コンピュータシステムや、その他のデータ処理機器もしくはシステムにおいて、ファイルの不正複写を防止するためのファイル複写管理技術が開示され、特に、ファイルに格別の複写禁止措置を講じることなく、特定言語で記述されたソースコード・ファイルや特定のファイル形式のマルチメディアデータ・ファイルなどの不正複写を防止するための技術が開示されているが、上述のごとく企業内で個人情報が分散して存在している場合の対処については開示されていない。
さらに、例えば下記特許文献3においては、統合内部情報流出防止システムが開示されており、特に、出力装置および移動可能格納装置を通じたオフライン情報流出と、通信プログラムによるオンライン情報流出とを根本的に防止および監視することで、組織内部システムから重要情報が流出するのを防止するための技術が開示されているが、やはり、上述のごとく企業内で個人情報が分散して存在している場合の対処については開示されていない。
特開2002−183367号公報
特開2001−350671号公報
特表2003−535398号公報
上述のごとく各社員からの申告といった人的な協力のもとで個人情報や機密情報の洗い出しを行なうと、手間がかかるだけでなく全ての個人情報や機密情報を確実に漏れなく洗い出すのは困難になる。特に、個人情報や機密情報の分散化が進んでいると、個人情報や機密情報の洗い出しは極めて困難になる。また、個人情報や機密情報の洗い出しに漏れがあると、その個人情報や機密情報の状態を管理できず、不用意な流出・漏洩や不正利用を招くおそれもある。
本発明は、このような状況に鑑み創案されたもので、個人情報や機密情報が企業内の複数のPCやサーバに分散して保存されていても、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、個人情報や機密情報の状態を管理できるようにして、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止することを目的としている。
上記目的を達成するために、本発明の管理システム(請求項1)は、電子ファイルを含むデータを保持する記憶部を有する利用者端末と、該利用者端末とネットワークを介して相互に通信可能に接続され、該利用者端末における、個人情報要素もしくは機密情報要素を所定数以上保有しているという条件を満たす管理対象ファイルを管理する管理サーバとをそなえ、該利用者端末が、該記憶部におけるデータの中から前記所定条件を満たす管理対象ファイルを特定して探査する探査手段と、該ネットワークを介して該探査手段による探査の結果を該管理サーバへ送信する送信手段とをそなえて構成されるとともに、該管理サーバが、該利用者端末から送信されてきた前記探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段と、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段とをそなえて構成され、該管理手段が、該利用者端末から送信されてきた前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更し、該利用者端末からの該管理対象ファイルの流出を防止することを特徴としている。
上記管理システムにおいて、該管理手段が、該利用者端末から送信されてきた前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開してもよい(請求項2)。その公開情報としては、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とを含んでいてもよいし、該管理対象ファイルの数の集計結果や、該管理対象ファイルに対するアクセスの数の集計結果を含んでいてもよい。
また、上記管理システムにおいて、該管理サーバが、該利用者端末において外部記憶媒体用のドライバがインストールされているか否かを調査する調査手段をさらにそなえて構成され、該管理手段が、該利用者端末から送信されてきた前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該利用者端末を管理するように構成してもよい(請求項3)。このとき、該管理手段が、該利用者端末から送信されてきた前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該外部記憶媒体用のドライバをインストールされた利用者端末に関する公開情報を作成し、作成された該公開情報を公開してもよく(請求項4)、その公開情報としては、該管理対象ファイルを保有するとともに該外部記憶媒体用のドライバをインストールしている利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報と、当該利用者端末において保有されている該管理対象ファイルのファイル名とを含んでいてもよいし、該利用者端末で実行された該外部記憶媒体への該管理対象ファイルの書出し回数を含んでいてもよい。
さらに、該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよい(請求項5)。より具体的には、該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよいし(請求項6)、該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよいし(請求項7)、該管理手段が、閲覧禁止サイトへのアクセスを行なっている利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、閲覧禁止サイトへのアクセスを行なっていない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和してもよい(請求項8)。
なお、該管理サーバが、該探査手段としてコンピュータを機能させるプログラムを該利用者端末にインストールするインストール手段をさらにそなえて構成されるとともに、該利用者端末における該探査手段としての機能が、該インストール手段によって該利用者端末にインストールされた該プログラムを実行することで実現されるように構成してもよく、その際、該管理サーバのインストール手段が、該プログラムをインストールされていない利用者端末が該ネットワークに接続されたことを検知すると、当該利用者端末に該プログラムをインストールし、該プログラムを当該利用者端末に実行させて管理対象ファイルの探査を実行させるようにしてもよい。
また、前記条件が、特定の個人を識別可能な個人情報要素を所定数以上保有していることであり、該探査手段が、該記憶部におけるデータの中から前記所定条件を満たす管理対象ファイルつまり個人情報ファイルを特定して探査するように構成してもよく(請求項8)、その際、該探査手段が、判定対象ファイルに含まれるテキストデータを抽出する抽出手段と、該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段とをそなえて構成されていてもよい(請求項10)。
一方、本発明の管理サーバは、利用者端末とネットワークを介して相互に通信可能に接続され、該利用者端末における、個人情報要素もしくは機密情報要素を所定数以上保有しているという条件を満たす管理対象ファイルを管理するものであって、該利用者端末の記憶部におけるデータの中から探査手段によって探査された、前記所定条件を満たす管理対象ファイルについての探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段と、該探査手段による探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段とをそなえて構成され、該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末からの該管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更することを特徴としている。
上記管理サーバにおいて、該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開してもよい。その公開情報としては、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とを含んでいてもよいし、該管理対象ファイルの数の集計結果や、該管理対象ファイルに対するアクセスの数の集計結果を含んでいてもよい。
また、上記管理サーバにおいて、該利用者端末において外部記憶媒体用のドライバがインストールされているか否かを調査する調査手段をさらにそなえ、該管理手段が、前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該利用者端末を管理するように構成してもよい。このとき、該管理手段が、前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該外部記憶媒体用のドライバをインストールされた利用者端末に関する公開情報を作成し、作成された該公開情報を公開してもよく、その公開情報としては、該管理対象ファイルを保有するとともに該外部記憶媒体用のドライバをインストールしている利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報と、当該利用者端末において保有されている該管理対象ファイルのファイル名とを含んでいてもよいし、該利用者端末で実行された該外部記憶媒体への該管理対象ファイルの書出し回数を含んでいてもよい。
さらに、該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよい。より具体的には、該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和してもよいし、該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和するしてもよいし、該管理手段が、閲覧禁止サイトへのアクセスを行なっている利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、閲覧禁止サイトへのアクセスを行なっていない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和してもよい。
なお、該探査手段としてコンピュータを機能させるプログラムを該利用者端末にインストールするインストール手段をさらにそなえてもよく、その際、該インストール手段が、該プログラムをインストールされていない利用者端末が該ネットワークに接続されたことを検知すると、当該利用者端末に該プログラムをインストールし、該プログラムを当該利用者端末に実行させて管理対象ファイルの有無を判定させるようにしてもよい。
また、本発明のファイル管理プログラム(請求項11〜16)は、いずれも、ネットワークを介して相互に通信可能に接続された利用者端末における、所定条件を満たす管理対象ファイルを管理する管理サーバとして、コンピュータを機能させるものであって、それぞれ、上述した管理サーバとしての機能を実現させるものである。
上述した本発明によれば、各利用者端末において所定条件を満たす管理対象ファイル(個人情報や機密情報などを含むファイル)が探査され、管理サーバ(管理手段)によってその探査の結果や管理対象ファイルに対するアクセスログに基づいて利用者端末が管理される。これにより、個人情報や機密情報が複数の利用者端末に分散して保存されていても、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、管理対象ファイルの状態を管理することができ、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止することができる。
このとき、管理対象ファイルに対するアクセス状況(例えば、管理対象ファイルのファイル名,利用者端末を特定しうる情報,利用者端末の所有者を特定しうる情報,管理対象ファイルの数の集計結果,管理対象ファイルに対するアクセスの数の集計結果など)が公開されることで、利用者が、自発的に、管理対象ファイルに対するアクセスを行なわなくなるような環境が提供されることになり、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
また、外部記憶媒体用ドライバをインストールされた利用者端末に関する情報(例えば、その利用者端末を特定しうる情報,その利用者端末の所有者を特定しうる情報,管理対象ファイルのファイル名,その管理対象ファイルの書出し回数など)が公開されることで、利用者が、自発的に、外部記憶媒体用ドライバをインストールしなくなるようになったり、インストールしていてもそのドライバを用いて管理対象ファイルの書出しを行なわなくなるような環境が提供されることになり、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
さらに、管理対象ファイルの不用意な流出・漏洩や不正利用などが発生する可能性の高い利用者端末(例えば、管理対象ファイルにかかわる処理/操作を実行した端末,記憶部に管理対象ファイルを保有している端末,暗号化機能を設定されていない端末,閲覧禁止サイトへのアクセスを行なっている端末など)についてはセキュリティレベルを高く設定してアクセス制限を厳格化する一方でその可能性の低い利用者端末についてはセキュリティレベルを低く設定してアクセス制限を解除もしくは緩和することによって、上記可能性の低い場合には端末を効率よく使用できる環境が提供されることになるので、利用者は、自発的に、自分の端末を上記可能性の低い状態に移行させるようになり、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
なお、管理対象ファイルの探査を行なう探査手段としての機能をもたない利用者端末がネットワークに接続されると、管理サーバにより、上記探査手段としての機能を実現するためのプログラムがインストールされ、上記探査手段としての機能が自動的に利用者端末に導入され、さらに、その探査手段により利用者端末における管理対象ファイルの有無が判定されるので、新たな利用者端末等がネットワークに接続された場合でも、その利用者端末における管理対象ファイルを確実に探査して洗い出して管理可能な状態に置くことが可能になり、個人情報や機密情報の不用意な流出・漏洩や、個人情報や機密情報の不正利用などを確実に防止することができる。
また、特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルを管理対象ファイルとする場合、本発明の探査手段では、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。
従って、電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についてのみ不適切文字/不適切文字列との照合処理が行なわれ、さらに、不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探査処理を高速に行なうことが可能になる。
また、不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まないファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高いファイルを確実に探査することが可能になる。つまり、本発明の探査手段により個人情報ファイルであると判定されるファイルの数が多くなり、個人情報ファイルである可能性の高いファイル(疑わしいファイル)を確実に洗い出すことができる。
さらに、文字区間の文字数が所定範囲内であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合対象としているので、照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が所定範囲を超える長い文字区間が、照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探査処理のさらなる高速化に寄与することになる。
以下、図面を参照して本発明の実施の形態を説明する。
〔1〕本実施形態の個人情報管理システムの構成
図1は本発明の一実施形態としての個人情報管理システム(管理システム)の構成を示すブロック図であり、この図1に示すように、本実施形態の個人情報管理システム(管理システム)1は、複数の利用者端末10のほかに個人情報管理サーバ20をそなえて構成され、これらの端末10およびサーバ20がネットワーク〔例えば、社内LAN(Local Area Network)〕30を介して相互に通信可能に接続されている。
〔1〕本実施形態の個人情報管理システムの構成
図1は本発明の一実施形態としての個人情報管理システム(管理システム)の構成を示すブロック図であり、この図1に示すように、本実施形態の個人情報管理システム(管理システム)1は、複数の利用者端末10のほかに個人情報管理サーバ20をそなえて構成され、これらの端末10およびサーバ20がネットワーク〔例えば、社内LAN(Local Area Network)〕30を介して相互に通信可能に接続されている。
各利用者端末10は、企業等の社内において各社員(利用者)によって使用されるパーソナルコンピュータ(PC)等の端末装置によって構成され、図2および図3を参照しながら後述するような機能構成を有している。なお、本実施形態における各利用者端末10は、個人情報ファイルの探査を含む各種機能(後述)を実現するためのプログラム(後述)を、後述するごとく個人情報管理サーバ20からインストールされて常駐させているものとする。
個人情報管理サーバ(管理サーバ)20は、複数の利用者端末10とネットワーク30を介して相互に通信可能に接続され、各利用者端末10における個人情報ファイルを、所定条件を満たす管理対象ファイルとして管理するもので、図4を参照しながら後述するような機能構成を有しているほか、図5を参照しながら後述するような、ファイルアクセス管理サーバ(管理対象ファイルに対するアクセスを管理するサーバ)としての機能構成も有している。
本実施形態における管理対象ファイルとしての個人情報ファイルは、特定の個人を識別可能な個人情報要素を所定数以上保有していることを所定条件として、図2および図3を参照しながら後述するごとく探査手段11によって特定・探査されるものであり、個人情報は、前述した通り、単体もしくは組合せによって特定の個人を識別することのできる情報(各種個人情報要素)、例えば氏名,生年月日,連絡先(住所,居所,電話番号,メールアドレス)などを含むものである。なお、個人情報としては、これら以外に、役職名,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号なども挙げられる。
〔1−1〕本実施形態の利用者端末の機能構成
図2は本実施形態の利用者端末10の機能構成を示すブロック図で、この図2に示すように、本実施形態の利用者端末10は、各種処理を実行するCPU(Central Processin Unit)10aと、個人情報ファイル等の電子ファイルを含むデータを保持しうる記憶部10bとをそなえるほか、個人情報管理サーバ20から提供される検疫テーブル10cや、記憶部10bに保持される電子ファイルのPマーク(プライバシレベルマーク;個人情報ファイルである可能性の高さを示すレベルで、後述する判定値によって決定されるレベル)を保持するPマークテーブル10dをそなえて構成され、CPU10aを後述する各種手段11,12として機能させるためのプログラムを、個人情報管理サーバ20からインストールされている。
図2は本実施形態の利用者端末10の機能構成を示すブロック図で、この図2に示すように、本実施形態の利用者端末10は、各種処理を実行するCPU(Central Processin Unit)10aと、個人情報ファイル等の電子ファイルを含むデータを保持しうる記憶部10bとをそなえるほか、個人情報管理サーバ20から提供される検疫テーブル10cや、記憶部10bに保持される電子ファイルのPマーク(プライバシレベルマーク;個人情報ファイルである可能性の高さを示すレベルで、後述する判定値によって決定されるレベル)を保持するPマークテーブル10dをそなえて構成され、CPU10aを後述する各種手段11,12として機能させるためのプログラムを、個人情報管理サーバ20からインストールされている。
ここで、記憶部10bは、利用者端末10に内蔵されるハードディスクや、利用者端末10に接続・外付けされる記憶装置、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど),磁気ディスク,光ディスク,光磁気ディスクのほかICカード,ROMカートリッジ,磁気テープなどの記録媒体を用いる記憶装置である。なお、上述した検疫テーブル10cおよびPマークテーブル10dは、利用者端末10を構成するRAM(Random Access Memory)やハードディスク等に保持されてもよいし、記憶部10bに保持されてもよい。
CPU10aは、探査手段11,アクセス検知手段12,送受信手段13,外部記憶媒体用ドライバ14および暗号化手段/登録手段(暗号化機能)15としての機能を果たすもので、これらの機能のうち送受信手段13としての機能はPC等の端末等に元々そなえられたものであり、探査手段11およびアクセス検知手段12としての機能は、CPU10aが、後述するごとく個人情報管理サーバ20からインストールされたプログラム(後述する利用者端末用プログラム)を実行することによって実現されるものである。
また、外部記憶媒体用ドライバ14および暗号化手段/登録手段15としての機能は、利用者端末10の利用者(所有者)が自らの意志によって外部からインストールしたプログラムを実行することによって実現されるものでとする。従って、利用者端末10においては、外部記憶媒体用ドライバ14および暗号化手段/登録手段15としての機能がそなえられている場合とそなえられていない場合とがあるので、図2では、外部記憶媒体用ドライバ14および暗号化手段/登録手段15を示すブロックについては仮想線(二点鎖線)で記載している。
探査手段11は、CPU10aを探査手段11として機能させるプログラムをインストールした直後や、利用者端末10の起動時や、所定周期毎に、記憶部10bにおけるデータの中から上記所定条件を満たす個人情報ファイル(管理対象ファイル)を特定して探査するもので、記憶部10bに保有される各ファイル(探査対象ファイル)をテキストファイルにするテキスト抽出エンジンとして機能するとともに、検疫テーブル10cを用いて記憶部10bにおけるデータの中から個人情報ファイルを探査する探査エンジンとして機能するものである。
つまり、探査手段11は、個人情報管理サーバ20から指示された条件(検疫テーブル10c)に従って判定対象ファイルを参照して個人情報ファイルの探査を行ない、個人情報ファイルであると判定されたファイルをログ(ローカルキャッシュデータベース)に書き出すようになっている。また、本実施形態では、この探査手段11で得られた判定結果(判定値/計数値)に基づいて決定されたPマークがPマークテーブル10dに登録される。この探査手段11の機能構成の詳細については、図3を参照しながら後述する。
なお、探査手段11による判定結果(判定値/計数値)やPマークは、個人情報ファイルであると判定されたファイル毎に、そのファイルを特定するための情報(例えば、ファイル名など)とともに、送受信手段13およびネットワーク30を通じて個人情報管理サーバ20に送信・通知されるようになっている。
アクセス検知手段12は、探査手段11によって個人情報ファイルであると判定されたファイルに対し利用者端末10において実行されたアクセスを検知し、そのアクセス内容を、ファイル毎にアクセスログとして記録・保存するものであり、そのアクセスログは、アクセス検知時に、もしくは、定期的に、もしくは、個人情報管理サーバ20(後述する収集手段23)からの要求時などに、送受信手段13およびネットワーク30を通じて個人情報管理サーバ20に送信・通知されるようになっている。なお、アクセス内容としては、アクセス種別〔例えば、印刷,外部記憶媒体への書出し,削除,リネイム(変更),上書き保存,FTP(File Transfer Protocol)サーバへのアップロードなど〕や、アクセス種別毎のアクセス回数などが挙げられる。
送受信手段(送信手段)13は、ネットワーク30を介して個人情報管理サーバ20や他の利用者端末10との間で各種情報を送受信するもので、探査手段11による探査結果やアクセス検知手段12により得られたアクセスログなどを個人情報管理サーバ20へ送信する送信手段としての機能も果たすものである。
外部記憶媒体用ドライバ14は、前述した通り、利用者端末10の利用者(所有者)が自らの意志によって外部からインストールしたプログラムを実行することによって実現される機能であり、利用者によって指定されたファイルを記憶部10bから読み出して外部記憶媒体40へ書き出すものである。本実施形態における外部記憶媒体40としては、例えば、フレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスク,メモリカード,USB(Universal Serial Bus)メモリ,外付けハードディスク等の各種記憶媒体が挙げられる。
暗号化手段/登録手段15も、前述した通り、利用者端末10の利用者(所有者)が自らの意志によって外部からインストールしたプログラムを実行することによって実現される機能であり、この暗号化手段/登録手段15は、外部へ送出されるファイルを自動的に暗号化する暗号化機能を実現するためのものである。
この暗号化手段/登録手段15としての機能が設定(インストール)されている場合、特に暗号化手段15としての機能が設定されている場合、その暗号化手段15は、メールに添付されてもしくは外部記憶媒体40に書き出されて外部へ送出されるファイルを、コンテナ機能を有する完成文書ファイル〔ここでは、改竄操作の困難なPDF(Portable Document Format)ファイル〕に変換し、さらに、前記コンテナ機能を用いて当該PDFファイルに当該電子ファイルのオリジナルファイルを格納してから、当該PDFファイルを、個人情報管理サーバ20におけるファイルアクセス管理サーバとしての機能(後述)によって管理される所定の暗号鍵(実際にはサーバ20から受信したもの)で暗号化して暗号化ファイルを作成することになる。なお、PDFファイルへの変換は例えばPDFドライバによって行なわれ、このPDFドライバを起動することにより、電子ファイルがPDF化され、PDFファイルファイルが生成されるようになっている。
また、暗号化動作と併せて、当該暗号化ファイルにアクセスする利用者(ユーザ)について、当該暗号化ファイルへのアクセス権限(例えば、閲覧,注釈,印刷,コピーのほか、格納されたオリジナルファイルの取出しや、取り出されたファイルの編集,添付などのアクセスの中から選択されたものを実行する権限)の設定が、暗号化手段15からサーバ20に対して自動的に行なわれるものとする。ここでは、例えば、必要最小限のアクセス権限(例えば閲覧権)のみを設定するようにする。
一方、登録手段15としての機能が設定されている場合、その登録手段15は、メールに添付されてもしくは外部記憶媒体40に書き出されて外部へ送出されるファイルを、個人情報管理サーバ20におけるファイルアクセス管理サーバとしての機能(後述)の管理下に置くべく、サーバ20に登録するもので、登録時には、その管理対象ファイルをサーバ20に送信するとともに、登録処理に応じて、サーバ20の暗号化手段28によって後述するごとく作成された暗号化ファイルを受信する機能を果たすものである。
〔1−2〕本実施形態の探査手段の詳細な機能構成
図3は本実施形態の利用者端末10における探査手段11の詳細な機能構成を示すブロック図で、この図3に示すように、本実施形態の探査手段11は、抽出手段111,切出手段112,第1判定手段113,文字判定手段114,照合手段115および第2判定手段116としての機能を有しており、これらの機能も、CPU10aが、後述するごとく個人情報管理サーバ20からインストールされたプログラムを実行することによって実現される。
図3は本実施形態の利用者端末10における探査手段11の詳細な機能構成を示すブロック図で、この図3に示すように、本実施形態の探査手段11は、抽出手段111,切出手段112,第1判定手段113,文字判定手段114,照合手段115および第2判定手段116としての機能を有しており、これらの機能も、CPU10aが、後述するごとく個人情報管理サーバ20からインストールされたプログラムを実行することによって実現される。
抽出手段111は、記憶部10bにおける電子ファイル(判定対象ファイル)のテキストデータ〔例えばCSV(Comma Separated Value)形式のデータ〕を抽出するもので、前記テキスト抽出エンジンとして機能するものである。
切出手段112は、抽出手段111によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出して、判定対象/照合対象としてバッファ(図示省略)に順次書き出すものである。ここで、区切り文字は、例えば半角スペース,半角カンマ(半角カンマ+半角スペースも半角カンマと見なす),タブ文字(半角),CR(Carriage Return),LF(Line Feed)である。
切出手段112は、抽出手段111によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出して、判定対象/照合対象としてバッファ(図示省略)に順次書き出すものである。ここで、区切り文字は、例えば半角スペース,半角カンマ(半角カンマ+半角スペースも半角カンマと見なす),タブ文字(半角),CR(Carriage Return),LF(Line Feed)である。
また、切出手段112によって切り出される文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。本実施形態では、切出手段112が、上述のような記号文字を除去する機能を有しているものとする。
第1判定手段113は、切出手段112によって切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、氏名以外の個人情報要素(具体的に本実施形態では電話番号,電子メールアドレス,住所のうちのいずれか一つ)に該当するか否かを判定すべく、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cとしての機能をそなえている。なお、本実施形態の第1判定手段113では、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で、上記文字列の判定処理を行なっている。
電話番号判定手段113aは、上記文字列が電話番号に該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている電話番号判定条件を満たす場合、上記文字列が電話番号に該当するものと判定し、その旨を第2判定手段116に通知し、上記文字列に対する第1判定手段113による判定処理を終了させるものである。本実施形態において、電話番号判定条件は、上記文字列中に9〜15桁の数字が含まれていることとする。
電子メールアドレス判定手段113bは、電話番号判定手段113aによって上記文字列が電話番号に該当しないと判定された場合に、上記文字列が電話メールアドレスに該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている電子メールアドレス判定条件を満たす場合、上記文字列が電子メールアドレスに該当するものと判定し、その旨を第2判定手段116に通知し、上記文字列に対する第1判定手段113による判定処理を終了させるものである。本実施形態において、電子メールアドレス判定条件は、上記文字列中に「一文字以上のASCII(American Standard Code for Information Interchange)」+「@(アットマーク)」+「一文字以上のASCII」+「.(ドット)」+「一文字以上のASCII」となる文字列が含まれていることとする。この場合、最短の電子メールアドレスは例えば「a@a.a」となる。
住所判定手段113cは、電子メールアドレス判定手段113bによって上記文字列が電子メールアドレスに該当しないと判定された場合に、上記文字列が住所(居所)に該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている住所判定条件を満たす場合、上記文字列が住所に該当するものと判定し、その旨を第2判定手段116に通知するものである。本実施形態において、住所判定条件は、上記文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていることとする。このとき、CPU10aの演算処理能力が十分に高い場合には、上記文字列に加え、郵便番号に対応する7桁の数字が含まれていることを住所判定条件に加えてもよい。また、住所判定条件は、上述した条件に代え、上記文字列中に、郵便番号に対応する7桁ちょうどの数字列が含まれていること、あるいは、「3桁の数字列」+「−(ハイフン)」+「4桁の数字列」となる数字列が含まれていることとしてもよい。
文字判定手段114は、第1判定手段113によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合に、その文字列が、検疫テーブル10cに設定されている文字判定条件を満たすか否か、具体的には、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であるか否かを判定するものである。本実施形態において、文字判定条件は、上述したように、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であることであるが、ここで、上記所定範囲は、氏名(苗字だけの場合や名前だけの場合を含む)の文字数として一般的(適切)な数の範囲、例えば1以上6以下に設定される。
照合手段115は、第1判定手段113によって電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された文字区間であって、さらに文字判定手段114によって上記所定範囲内であり且つ全ての文字が漢字であると判定された文字区間について、当該文字区間に含まれる文字/文字列と氏名において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列とを照合することにより、当該文字区間が不適切文字/不適切文字列を含むか否かを判定し、その照合判定結果を第2判定手段116に通知するものである。
ここで、不適切文字/不適切文字列は、検疫テーブル10cに予め設定されており、例えば、東京,大阪,横浜,九州,北海道,京都,首都,個人,学園,店,株,県,大学,学院,東証,研究,管理,総務,経理,営業,統括,製薬,販売,学校,教育,専門,建築,機械,法人,工場,製,技術,商,図書,不明,次長,公開,出版,広告,放送,対象,卸売,小売,企画,人事,情報,部門,社長,取締,部長,課長,係長,役員,本社,支社,事業,業務,教務,精密,石油,運輸,経営,戦略,資材,技師,電気,生産,税務,広報,運送,主任,電算,財務,事務,開発,政策,制作,経済,産業,金融,銀行,調査,英語,品質,保証,設備,担当,主席,主事,監査,支援,設計,保険,金庫,事業,代表,交通,第一,第二,第三,第四,第五,第六,第七,第八,第九,特販,施設,氏名,郵便,名前,名称,市役,所属,特色,幼稚,基督,協会,教会,組合,教団,商工,全国,支部,連絡,議会,生活,消費,推進,市役所,区役所,総合,修正,機能,概要,構成,企業,組織,関連,削除,文書,期限,有効といった、一般的な氏名において出現し得ない文字/文字列、つまり氏名としては不適切な文字/文字列である。
第2判定手段116は、第1判定手段113における電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cによる判定結果と照合手段115による照合判定結果とに基づいて、判定対象電子ファイルが個人情報ファイルであるか否かを判定するものである。
より具体的に説明すると、第2判定手段116は、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cからの判定結果の通知を受け電話番号,電子メールアドレス,住所のそれぞれに該当すると見なされた文字区間の数を計数するとともに、照合手段115からの照合判定結果を受け、照合手段115によって不適切文字/不適切文字列を含まないと判定された文字区間を氏名に該当するものと見なし、その数を計数する。
そして、第2判定手段116は、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数結果(4つの計数値;電話番号数,電子メールアドレス数,住所数,氏名数)に基づいて、これらの計数値が大きくなるほど大きくなる判定値を算出する。例えば、第2判定手段116は、4つの計数値の総和を上記判定値として算出してもよいし、電話番号,電子メールアドレス,住所,氏名のそれぞれについて重み係数を予め設定しておき、各個人情報要素についての重み係数と計数値との乗算結果の総和を上記判定値として算出してもよく、上記判定値の算出手法は種々考えられる。
上述のような判定値が算出されると、第2判定手段116は、その判定値に基づいて、判定対象ファイルが個人情報ファイルであるか否かを判定する。具体的には、前記判定値が所定閾値を超えた場合に判定対象ファイルが個人情報ファイルであると判定する。このような判定を行なう際に、第2判定手段116は、さらに、判定値の大きさに応じたPマーク(プライベートレベルマーク)を、判定対象ファイルに付与して、Pマークテーブル10dに設定・登録し、ランク付けを行なう。このPマークは、前述した通り、判定対象ファイルが個人情報ファイルである可能性の高さを示すレベルであり、判定値が大きいほどPマークは高いランクに設定される。
例えば、前記判定値が10以上となった場合、判定対象ファイルが個人情報ファイルであると判定する。また、前記判定値が10以上100未満である場合、Pマークとして“P1”を付与し、前記判定値が100以上1000未満である場合、Pマークとして“P2”を付与し、前記判定値が1000以上10000未満である場合、Pマークとして“P3”を付与し、前記判定値が10000以上である場合、Pマークとして“P4”を付与する。なお、個人情報ファイルを判定するための所定閾値やPマークを決定するための基準値は、個人情報管理サーバ20(後述する管理コンソール24)から適宜設定される。また、ここではPマークを“P1”〜“P4”の4つにランク分けしているが、ランク分けの数はこれに限定されるものではない。さらに、上記の所定閾値や基準値としては、全ての利用者端末10に対し共通(同一)のものを設定してもよいし、利用者端末10毎や、本システム1を導入する施設(会社)毎に異なるものを設定してもよい。
上述のように判定対象ファイルに付与されたPマーク(Pマークテーブル10d)は、個人情報ファイルであると判定されたファイル毎に、そのファイルを特定するための情報(例えば、ファイル名など)とともに、送受信手段13およびネットワーク30を介して個人情報管理サーバ20へ送信され、図4を参照しながら後述するごとく、収集手段23によりデータベース20bに保存される。そして、Pマークを付与された管理対象ファイル(個人情報ファイル)は、そのPマークのランクに応じて、図9を参照しながら後述するごとく、個人情報管理サーバ20(後述する管理手段25)により管理対象ファイルとして後述するごとく管理される。
〔1−3〕本実施形態の個人情報管理サーバの機能構成
図4は本実施形態の個人情報管理サーバ(管理サーバ)20の機能構成を示すブロック図で、この図4に示すように、個人情報管理サーバ(管理サーバ)20は、各種処理を実行するCPU20aと、各利用者端末10からのアクセスログや個人情報ファイルなどに関する情報を格納・保存するデータベース(RDB:Relational DataBase)20bと、このデータベース20bに保存された各種情報や、後述する管理手段25によって集計・作成された公開情報を表示する表示部20cとをそなえて構成されている。
図4は本実施形態の個人情報管理サーバ(管理サーバ)20の機能構成を示すブロック図で、この図4に示すように、個人情報管理サーバ(管理サーバ)20は、各種処理を実行するCPU20aと、各利用者端末10からのアクセスログや個人情報ファイルなどに関する情報を格納・保存するデータベース(RDB:Relational DataBase)20bと、このデータベース20bに保存された各種情報や、後述する管理手段25によって集計・作成された公開情報を表示する表示部20cとをそなえて構成されている。
CPU20aは、利用者情報収集手段21,インストール手段22,収集手段23,管理コンソール24,管理手段25,表示制御手段26および送受信手段27としての機能を果たすもので、これらの機能は、CPU20aが、管理プログラムを実行することによって実現される。ここで、管理プログラムには、利用者端末10を上述した探査手段11およびアクセス検知手段12として機能させるべく利用者端末10にインストールすべきプログラム(利用者端末用プログラム)も含まれているものとする。
利用者情報収集手段21は、本システム1の立ち上げ時や、利用者端末10がネットワーク30に接続されたことを検知した時や、所定の周期毎に、ネットワーク30および送受信手段27を介して通信可能に接続された利用者端末10からMACアドレス等の利用者情報(ホスト情報)を収集し、当該利用者端末10に、上記利用者端末用プログラムのほかに、当該利用者端末10を上述した外部記憶媒体用ドライバ14や暗号化手段/登録手段15として機能させるプログラムがインストールされているか否かを認識するものである。当該利用者端末10を上述した外部記憶媒体用ドライバ14や暗号化手段/登録手段15として機能させるプログラムのインストール状況は、後述するごとく管理手段25の処理で用いられるため、データベース20bに、当該利用者端末10に対応付けられて登録・保存される。つまり、利用者情報収集手段21は、利用者端末10において外部記憶媒体用ドライバ14がインストールされているか否かを調査する調査手段としての機能を果たすものである。
インストール手段22は、上記利用者端末用プログラムをインストールされていない利用者端末10が、利用者情報収集手段21によって収集された情報に基づいて検知されると、送受信手段27およびネットワーク30を介して当該利用者端末10に上記利用者端末用プログラムをインストールし、上記利用者端末用プログラムを当該利用者端末10に実行させて当該利用者端末10の記憶部10bにおける管理対象ファイルを探査させるものである。
収集手段23は、ネットワーク30および送受信手段27を介して、利用者端末10で実行された個人情報ファイルの探査結果(個人情報ファイルのファイル名やリンク先情報,判定値,Pマークなど)を受信・収集し、各利用者端末10に対応付けてデータベース20bに格納する機能を果たすほか、各利用者端末10から送信されてきた前記探査結果に基づいて各利用者端末10における個人情報ファイルを把握し、ネットワーク30および送受信手段27を介して、各個人情報ファイルに対するアクセスログを利用者端末10から収集して記録するログ収集手段としての機能を果たすものである。
なお、収集手段23によるアクセスログの収集は、各利用者端末10のアクセスログを受信することにより受動的に行なってもよいし、収集手段23側から各利用者端末10に対して定期的にアクセスログの送信要求を行なうことにより能動的に行なってもよい。
ここで収集されるアクセスログは、前述した通り、各利用者端末10のアクセス検知手段12によって個人情報ファイル毎に検知・記録されたものであり、アクセス種別やアクセス回数を含み、個人情報ファイルのファイル名や、その個人情報に対するアクセスを行なった利用者端末10を特定しうる情報(PC名)や、その利用者端末10の所有者を特定しうる情報(所有者名)と対応付けられて、データベース20bに登録・保存されるようになっている。なお、本実施形態では、収集手段23が、各利用者端末10での閲覧禁止サイトへのアクセス回数についてもアクセスログとして収集し、各利用者端末10に対応付けてデータベース20bに登録・保存するものとする。
ここで収集されるアクセスログは、前述した通り、各利用者端末10のアクセス検知手段12によって個人情報ファイル毎に検知・記録されたものであり、アクセス種別やアクセス回数を含み、個人情報ファイルのファイル名や、その個人情報に対するアクセスを行なった利用者端末10を特定しうる情報(PC名)や、その利用者端末10の所有者を特定しうる情報(所有者名)と対応付けられて、データベース20bに登録・保存されるようになっている。なお、本実施形態では、収集手段23が、各利用者端末10での閲覧禁止サイトへのアクセス回数についてもアクセスログとして収集し、各利用者端末10に対応付けてデータベース20bに登録・保存するものとする。
管理コンソール24は、個人情報ファイルの判定条件(上記検疫テーブル10cや、個人情報ファイルやPマークを判定するために必要になる所定閾値など)を設定して管理するものである。検疫テーブル10cには、上述した電話番号判定条件,電子メールアドレス判定条件,住所判定条件,文字判定条件(上記所定範囲)や不適切文字/不適切文字列が設定される。
管理手段25は、収集手段23によって収集されデータベース20bに格納された探査結果(第2判定手段116で得られた計数結果)に応じて、各利用者端末10における個人情報ファイルを管理するもので、探査手段11で個人情報ファイルであると判定されたファイル(Pマークの付与されたファイル;以下、個人情報ファイルという)を管理対象としている。
この管理手段25は、データベース20bに保存されているPマークテーブルに登録されている個人情報ファイルの判定値(またはPマーク)に応じて、個人情報ファイルの利用者(保有者)に注意情報/警告情報を通知したり、個人情報ファイルを、その個人情報ファイルを保存している利用者端末10から強制的に捕獲・回収したり、その個人情報ファイルが利用者端末10から外部へ出力されるのを強制的に禁止したり、その個人情報ファイルを管理者のみがアクセス可能なフォルダ(図示略)に格納したり、個人情報ファイルに対するアクセスを管理サーバ20のファイルアクセス管理サーバとしての機能(後述)によって管理させたりするものである。
例えば、Pマークのランクが“P1”である場合、警告情報によるリコメンドは行なわないが“P1”の個人情報ファイルが存在することをログとして記録する。Pマークのランクが“P2”である場合、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報を通知する。Pマークのランクが“P3”である場合、その個人情報ファイルを保管している利用者が存在する旨を、システム管理者(管理者端末40)に対し警告情報としてメール等により通知するとともに、その個人情報ファイルの返却を利用者に指示する。Pマークのランクが“P4”である場合、その個人情報ファイルを利用者端末10から強制的に捕獲・回収したり、個人情報ファイルが利用者端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したり、個人情報ファイルに対するアクセスを個人情報管理サーバ20のファイルアクセス管理サーバとしての機能によって管理させたりする。なお、Pマークのランクが“P4”でなくても、“P3”の個人情報ファイルが所定日数放置された場合には、その個人情報ファイルに対して、Pマークのランクが“P4”である場合と同様の処置を実行するようにしてもよい。
また、管理手段25は、各利用者端末10もしくはデータベース20bに格納された個人情報ファイルを種々の確度で探査する機能や、表示制御手段26によってその探査結果等を表示部20cに表示させる機能を有している。
表示制御手段26は、表示部20cに各種情報、例えば後述する公開情報などを表示させるべく表示部20cの表示状態を制御するものであり、送受信手段27は、ネットワーク30を介して各利用者端末10との間で各種情報を送受信するものである。
表示制御手段26は、表示部20cに各種情報、例えば後述する公開情報などを表示させるべく表示部20cの表示状態を制御するものであり、送受信手段27は、ネットワーク30を介して各利用者端末10との間で各種情報を送受信するものである。
また、本実施形態の管理手段25は、各利用者端末10による探査結果と、収集手段23によって収集・記録されたアクセスログと、利用者情報収集手段21によって収集・記録された調査結果(利用者端末10を外部記憶媒体用ドライバ14として機能させるプログラムの有無に関する情報)とに基づいて、各利用者端末10を管理すべく、各個人情報ファイルに対するアクセス状況に関する公開情報や、外部記憶媒体用ドライバ14をインストールされた利用者端末10に関する公開情報を作成し、その公開情報を、表示部20c上で表示したり、ネットワーク30を介し全ての利用者端末10に対して公開したり、ネットワーク30を介してメール等で全ての利用者端末10に対して通知したりする機能を果たすものである。
ここで、公開情報としては、個人情報ファイルのファイル名や、その個人情報ファイルに対してアクセスを行なった利用者端末10を特定しうる情報(PC名)や、その利用者端末10の所有者を特定しうる情報(所有者名)や、個人情報ファイルの数の集計結果(利用者端末10の個人情報ファイル数や個人情報保有数)や、個人情報ファイルに対するアクセスの回数の集計結果(個人情報ファイル毎/アクセス種別毎)がある。なお、アクセス種別としては、印刷,外部記憶媒体への書出し,削除,リネイム(変更),上書き保存,FTPサーバへのアップロードなどが挙げられる。
また、公開情報としては、個人情報ファイルを保有するとともに外部記憶媒体用ドライバ14をインストールしている利用者端末10を特定しうる情報(PC名)や、その利用者端末10の所有者を特定しうる情報(所有者名)や、その利用者端末10において保有されている個人情報ファイルのファイル名や、その利用者端末10で実行された外部記憶媒体40への個人情報ファイルの書出し回数もある。
さらに、本実施形態の管理手段25は、個人情報ファイルに対するアクセス状況に関する情報のほかに、各利用者端末10における閲覧禁止サイトへのアクセス回数(例えば図19参照)や、各利用者端末10の他端末/サーバにおける個人情報ファイルに対するアクセス回数を監視・収集し、公開情報として作成・公開する機能も有している。
なお、管理手段25によって作成・公開される公開情報の具体例については、図12〜図19を参照しながら後述する。
なお、管理手段25によって作成・公開される公開情報の具体例については、図12〜図19を参照しながら後述する。
さらに、本実施形態の管理手段25は、各利用者端末10による探査結果と、収集手段23によって収集・記録されたアクセスログと、利用者情報収集手段21によって収集・記録された調査結果(利用者端末10を外部記憶媒体用ドライバ14や暗号化手段/登録手段15として機能させるプログラムの有無に関する情報)と、閲覧禁止サイトへのアクセス回数や他端末/サーバにおける個人情報ファイルに対するアクセス回数とに基づいて、各利用者端末10を管理すべく、各利用者端末10からの個人情報ファイルの流出を防止するための、各利用者端末10におけるセキュリティレベルを変更・設定し、そのセキュリティレベルに応じて、各利用者端末10におけるファイルに対するアクセスの制限を変更する機能も果たすように構成されている。
本実施形態の管理手段25は、例えば、下記項目(1)〜(5)の基準に従って、各利用者端末10のセキュリティレベルの設定(ファイルに対するアクセス制限の設定)を行なうものとする。
(1)個人情報ファイルにかかわる処理/操作(自端末10/他端末/サーバにおける個人情報ファイルに対する何らかのアクセス)を実行した利用者端末10についてはセキュリティレベルを高く設定し、ファイル(個人情報ファイルのみならず通常のファイルも含む)に対するアクセス制限を厳格化する一方、個人情報ファイルにかかわる処理/操作を所定期間にわたり一切実行していない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。
(1)個人情報ファイルにかかわる処理/操作(自端末10/他端末/サーバにおける個人情報ファイルに対する何らかのアクセス)を実行した利用者端末10についてはセキュリティレベルを高く設定し、ファイル(個人情報ファイルのみならず通常のファイルも含む)に対するアクセス制限を厳格化する一方、個人情報ファイルにかかわる処理/操作を所定期間にわたり一切実行していない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。
(2)記憶部10bに個人情報ファイルを保有している利用者端末10についてはセキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、記憶部10bに個人情報ファイルを保有していない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。
(3)外部へ送出されるファイルを自動的に暗号化する暗号化機能(前述した暗号化手段/登録手段15としての機能)を設定されていない利用者端末10についてはセキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、暗号化機能を設定されている利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。
(4)外部記憶媒体用ドライバ14をインストールしている利用者端末10についてはセキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、外部記憶媒体用ドライバ14をインストールしていない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。
(5)閲覧禁止サイトへのアクセスを行なっている利用者端末10についてはセキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、閲覧禁止サイトへのアクセスを行なっていない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。
このようなセキュリティレベルの設定(ファイルに対するアクセス制限の設定)を管理手段25が行なうことにより、個人情報ファイルの不用意な流出・漏洩や不正利用などが発生する可能性の低い利用者端末10、具体的には、個人情報ファイルに対するアクセスを所定期間にわたり一切行なっておらず、且つ、個人情報ファイルを保有しておらず、且つ、外部送出ファイルを暗号化するための機能を有しており、且つ、外部記憶媒体ドライバ14をインストールしておらず、且つ、閲覧禁止サイトへのアクセスを一切行なっていない利用者端末10に対しては、アクセス制限を解除もしくは緩和して、利用者端末10を効率よく使用できる環境が利用者に提供されるようになっている。
ここで、アクセス制限の状態としては、印刷,外部記憶媒体への書出し,削除,リネイム(変更),上書き保存,FTPサーバへのアップロードなど全種類のアクセスを実行可能な状態と、全種類のアクセスを実行不能な状態との2段階を設定しておき、セキュリティレベル「低」が設定された場合には全種類のアクセスを実行可能な状態に切り替える一方、セキュリティレベル「高」が設定された場合には全種類のアクセスを実行不能な状態に切り替えるようにしてもよい。また、アクセス制限の状態として、全種類のアクセスを実行可能な状態から全種類のアクセスを実行不能な状態までの間に複数段階の状態を設定しておき、セキュリティレベル「低」から「高」までの各レベルに対応させて段階的に切り替えるようにしてもよい。
また、上記項目(1)〜(5)の基準毎にセキュリティレベルの設定(アクセス制限の設定)を行なっているが、各基準を満たしている度合いを数値化し、その数値の合計値に基づいて、上記項目(1)〜(5)の基準を満たしているかを総合的に判断してセキュリティレベルを設定するようにしてもよい。
〔1−4〕本実施形態のファイルアクセス管理サーバとしての機能構成
図5は本実施形態の個人情報管理サーバ(管理サーバ)20にそなえられたファイルアクセス管理サーバとしての機能構成を示すブロック図である。なお、本実施形態では、ファイルアクセス管理サーバとしての機能を個人情報管理サーバ20にそなえているが、その機能を、ネットワーク30を介して各利用者端末10と通信可能に接続された、個人情報管理サーバ20とは別体のサーバによって実現するように構成してもよい。
図5は本実施形態の個人情報管理サーバ(管理サーバ)20にそなえられたファイルアクセス管理サーバとしての機能構成を示すブロック図である。なお、本実施形態では、ファイルアクセス管理サーバとしての機能を個人情報管理サーバ20にそなえているが、その機能を、ネットワーク30を介して各利用者端末10と通信可能に接続された、個人情報管理サーバ20とは別体のサーバによって実現するように構成してもよい。
図5に示すように、個人情報管理サーバ20のファイルアクセス管理サーバとしての機能は、例えば、各利用者端末10で暗号化手段15により暗号化されたファイルや、各利用者端末10の登録手段15により登録されるファイルや、個人情報ファイル(Pマークのランクが“P4”の個人情報ファイル)を管理対象としている。ここでは、Pマークのランクが“P4”の個人情報ファイルを管理対象としているが、Pマークのランクに関係なく、探査手段11によって個人情報ファイルであると判定された全ての電子ファイルをファイルアクセス管理サーバの管理対象としてもよい。
CPU20aは、後述する手段27a〜27d,28,29としての機能を果たすもので、これらの機能は、CPU20aが、ファイルアクセス管理サーバ用のプログラムを実行することによって実現される。また、データベース20bは、上述した各種情報のほかに、後述するごとく、個人情報ファイルを暗号化するための暗号鍵や、暗号化された個人情報ファイルを復号化するための復号鍵や、暗号化された個人情報ファイルに対するアクセス権限(後述)や、予め登録されている利用者〔暗号化ファイルの閲覧を許可された登録者(社員)〕のユーザID/パスワードなどを保存する。
送受信手段27は、上述した機能のほかに、後述するファイル受信手段27a,暗号化ファイル送信手段27b,認証情報受信手段27cおよび復号鍵送信手段27dとしての機能を果たす。また、本実施形態の送受信手段27は、各利用者端末10からの要求に応じて、暗号化手段15での暗号化処理に用いられる所定の暗号鍵を、ネットワーク30を通じて各利用者端末10に送信する機能も果たすようになっている。
ファイル受信手段27aは、各利用者端末10からネットワーク30経由で登録対象のファイル(登録手段15によって登録されるファイル)を受信するものである。
暗号化手段28は、ファイル受信手段27aによって個人情報管理サーバ20から受信した登録対象(管理対象)のファイルや、Pマークのランクが“P4”の個人情報ファイルを改竄操作の困難なPDFファイル等の完成文書ファイルに変換し、さらに、そのPDFファイルを、所定の暗号鍵を用いて暗号化するものである。PDFファイルへの変換は例えばPDFドライバによって実現され、このPDFドライバを起動することにより、個人情報ファイルがPDF化され、完成文書ファイルとしてのPDFファイルが生成されるようになっている。
暗号化手段28は、ファイル受信手段27aによって個人情報管理サーバ20から受信した登録対象(管理対象)のファイルや、Pマークのランクが“P4”の個人情報ファイルを改竄操作の困難なPDFファイル等の完成文書ファイルに変換し、さらに、そのPDFファイルを、所定の暗号鍵を用いて暗号化するものである。PDFファイルへの変換は例えばPDFドライバによって実現され、このPDFドライバを起動することにより、個人情報ファイルがPDF化され、完成文書ファイルとしてのPDFファイルが生成されるようになっている。
暗号化ファイル送信手段27bは、暗号化手段28によって暗号化(鍵掛け)されたファイル(以下、暗号化ファイルという)を、ネットワーク30経由で利用者端末10に送信するものである。
なお、ファイルアクセス管理サーバとしての機能による管理に際しては、上述のような暗号化手段28による暗号化時に、ポリシー設定によって、各暗号化ファイルに対する各種アクセス権限(閲覧,印刷,コピー等の権限)が利用者毎や暗号化ファイル毎に設定される。その際、システム運用を簡易化すべく1種類のポリシを設定し、そのポリシ設定によって、全ての暗号化ファイルに対する各利用者端末10でのアクセス権限〔例えば、本システム1を導入している社内の全社員/全利用者(ファイルアクセス管理サーバとしての機能に予め登録されている全登録者)のアクセス権限〕として、閲覧権限のみを自動的(強制的)に設定・付与し、閲覧以外のアクセス、例えば印刷,コピー,別名保存,画面キャプチャ(スクリーンショット)などのアクセスを一切行なえないようにしてもよい。
なお、ファイルアクセス管理サーバとしての機能による管理に際しては、上述のような暗号化手段28による暗号化時に、ポリシー設定によって、各暗号化ファイルに対する各種アクセス権限(閲覧,印刷,コピー等の権限)が利用者毎や暗号化ファイル毎に設定される。その際、システム運用を簡易化すべく1種類のポリシを設定し、そのポリシ設定によって、全ての暗号化ファイルに対する各利用者端末10でのアクセス権限〔例えば、本システム1を導入している社内の全社員/全利用者(ファイルアクセス管理サーバとしての機能に予め登録されている全登録者)のアクセス権限〕として、閲覧権限のみを自動的(強制的)に設定・付与し、閲覧以外のアクセス、例えば印刷,コピー,別名保存,画面キャプチャ(スクリーンショット)などのアクセスを一切行なえないようにしてもよい。
認証情報受信手段27cは、利用者端末10での暗号化ファイルに対するアクセス時に利用者端末10からネットワーク30経由で送信されてくる認証情報を受信するものである。ここで、認証情報は、暗号化ファイルを開こうとしている利用者端末10の利用者がその暗号化ファイルの正当な送信先(利用者/登録者)であることをファイルアクセス管理サーバ20で判定・認証するために必要な情報であり、ファイルアクセス管理サーバ20によるサービスの利用者についてこのファイルアクセス管理サーバ20(データベース20b)に予め登録されたユーザIDおよびパスワードを含んでいる。これらのユーザIDおよびパスワードは、暗号化ファイルを開く際に利用者がキーボードやマウスを操作することにより入力される。
判定手段29は、認証情報受信手段27cによって受信された認証情報に基づいて、認証情報を送信した利用者端末10が暗号化ファイルの正当な送信先であるか否かを判定するもので、実際には、利用者によって入力されたユーザIDおよびパスワードが、ファイルアクセス管理サーバ20のデータベース20bに予め登録・保存されているユーザIDおよびパスワードと一致するか否かを判定することにより、その利用者が正当な登録者であるか否かを判定・認証するものである。
復号鍵送信手段27dは、判定手段29によって利用者が正当な登録者であることが認証された場合に、暗号化ファイルを復号化するための復号鍵をデータベース20bから読み出して利用者端末10にネットワーク30経由で送信するものである。
そして、利用者端末10においては、ファイルアクセス管理サーバ20から復号鍵を受信すると、その復号鍵を用いて暗号化ファイルの復号化を行ない元の個人情報ファイルを復元し、復元された個人情報ファイルに対し、与えられたアクセス権限に応じたアクセス(例えば閲覧)が行なわれるようになる。
そして、利用者端末10においては、ファイルアクセス管理サーバ20から復号鍵を受信すると、その復号鍵を用いて暗号化ファイルの復号化を行ない元の個人情報ファイルを復元し、復元された個人情報ファイルに対し、与えられたアクセス権限に応じたアクセス(例えば閲覧)が行なわれるようになる。
〔2〕本実施形態の個人情報管理システムの動作
次に、図6〜図19を参照しながら、上述のごとく構成された本実施形態の個人情報管理システム1の動作について説明する。
〔2−1〕利用者端末の動作
本システム1においては、個人情報管理サーバ20により、ネットワーク30に接続された利用者端末10に上記利用者端末用プログラムがインストールされているか否かが認識され、インストールされていない場合、その利用者端末10に上記利用者端末用プログラムがインストールされる。
次に、図6〜図19を参照しながら、上述のごとく構成された本実施形態の個人情報管理システム1の動作について説明する。
〔2−1〕利用者端末の動作
本システム1においては、個人情報管理サーバ20により、ネットワーク30に接続された利用者端末10に上記利用者端末用プログラムがインストールされているか否かが認識され、インストールされていない場合、その利用者端末10に上記利用者端末用プログラムがインストールされる。
そして、上記利用者端末用プログラムをインストールされた利用者端末10では、その利用者端末用プログラムを実行することにより、以下のような処理が行なわれる。図6に示すフローチャート(ステップS11〜S17)に従って、本実施形態の利用者端末10の動作について説明する。
利用者端末10においては、探査手段11による個人情報ファイルの探査タイミングになったか否か(ステップS11)、個人情報ファイルに対するアクセスが有ったか否か(ステップS11のNOルートからステップS14)、アクセスログの送信タイミングになったか否か(ステップS14のNOルートからステップS16)が、常時、監視されている。
上記利用者端末用プログラムプログラムを個人情報管理サーバ20からインストールしたこと、あるいは、利用者端末10の起動時、あるいは、所定の探査周期が経過したことなどを、探査手段11による個人情報ファイルの探査タイミングとして検知すると(ステップS11のYESルート)、探査手段11としての機能が起動され、この探査手段11により、記憶部10bにおけるデータの中から個人情報ファイルが特定され探査される(ステップS12;その詳細な探査手順については図7を参照しながら後述)。
そして、探査手段11によって探査された個人情報ファイル毎に、判定結果(判定値/系数値)やPマークが、そのファイルを特定するための情報(例えばファイル名など)とともに、送受信手段13およびネットワーク30を通じて個人情報管理サーバ20に探査結果として送信される(ステップS13)。
また、利用者端末10において、探査手段11によって探査された個人情報ファイルに対するアクセスがアクセス検知手段12によって検知されると(ステップS14のYESルート)、そのアクセス内容が、ファイル毎にアクセスログとして例えば記憶部10bに記録・保存される(ステップS15)。なお、アクセス検知手段12が検知対象とする個人情報ファイルは、自端末の記憶部10bに保有されるものだけでなく、他端末/サーバに保有されるものも含んでいるものとする。
さらに、アクセス検知手段12によるアクセス検知時、もしくは、所定のアクセスログ送信周期、もしくは、個人情報管理サーバ20(収集手段23)からのアクセスログの送信要求時などを、アクセスログの送信タイミングとして検知すると(ステップS16のYESルート)、アクセス検知手段12により検知された直後のアクセスログ、もしくは、それまでに記憶部10bに記録・蓄積されたアクセスログが、送受信手段13およびネットワーク30を通じて個人情報管理サーバ20に送信・通知される(ステップS17)。
なお、利用者端末10において暗号化手段15としての機能が設定されている場合、メールに添付されてもしくは外部記憶媒体40に書き出されて外部へ送出されるファイルは、暗号化手段15としての機能によって、コンテナ機能を有するPDFファイルに変換され、そのコンテナ機能を用いて当該PDFファイルに当該ファイルのオリジナルファイルが格納されてから、そのPDFファイルは、ファイルアクセス管理サーバ20によって管理される所定の暗号鍵で暗号化され、暗号化ファイルが作成される。このとき、当該暗号化ファイルにアクセスする利用者について、当該暗号化ファイルに対するアクセス権限(例えば閲覧権限)も、暗号化手段15からファイルアクセス管理サーバ20に対して自動的に設定される。
また、利用者端末10において登録手段15としての機能が設定されている場合、メールに添付されてもしくは外部記憶媒体40に書き出されて外部へ送出されるファイルは、登録手段15としての機能によって、個人情報管理サーバ20におけるファイルアクセス管理サーバとしての機能の管理下に置くべく、サーバ20に登録される。登録時には、登録手段15から送受信手段13およびネットワーク30を介して、そのファイルがサーバ20に送信されるとともに、登録処理に応じて、図10を参照しながら後述する手順で作成された暗号化ファイルがサーバ20から受信される。
〔2−2〕探査手段の動作
本実施形態の探査手段11では、以下のように、電話番号,電子メールアドレス,住所および氏名の出現頻度をそれぞれ数値化し、個人情報ファイルの判定(特定・探査)を行なっている。その際、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれている場合、その文字区間は、個人情報要素(本実施形態では氏名)には該当しないものと見なされて除外される一方、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれていない場合、その文字区間は、個人情報をなす個人情報要素に該当するものと見なされて、つまり個人情報要素が出現したものと見なされ、出現回数のカウントアップを行なっている。
本実施形態の探査手段11では、以下のように、電話番号,電子メールアドレス,住所および氏名の出現頻度をそれぞれ数値化し、個人情報ファイルの判定(特定・探査)を行なっている。その際、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれている場合、その文字区間は、個人情報要素(本実施形態では氏名)には該当しないものと見なされて除外される一方、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれていない場合、その文字区間は、個人情報をなす個人情報要素に該当するものと見なされて、つまり個人情報要素が出現したものと見なされ、出現回数のカウントアップを行なっている。
本実施形態の利用者端末10において、上述した探査手段11(利用者端末用プログラム)によって実行される、個人情報ファイルの探査動作の手順を、図7に示すフローチャート(ステップS102〜S118)に従って説明する。
まず、利用者端末10の全てのデータの中から、まだ判定対象となっていないファイルが判定対象ファイルとして一つ選択されて読み出され(ステップS102)、その判定対象ファイルから抽出手段(テキスト抽出エンジン)111によりテキストデータが抽出される(ステップS103)。
まず、利用者端末10の全てのデータの中から、まだ判定対象となっていないファイルが判定対象ファイルとして一つ選択されて読み出され(ステップS102)、その判定対象ファイルから抽出手段(テキスト抽出エンジン)111によりテキストデータが抽出される(ステップS103)。
このように抽出されたテキストからは、切出手段112により、上述した区切り文字で区切られる文字区間が切り出され、判定対象/照合対象としてバッファ(図示略)に順次書き出される(ステップS104)。文字区間の切り出しに際し、前述したように、切出手段112により、文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。
そして、切出手段112によって切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当するか否かを、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cによって順次判定する(ステップS105,S107,S109)。
最初に、電話番号判定手段113aにより、上記文字列が電話番号に該当するか否かが判定される(ステップS105)。その際、上記文字列が検疫テーブル10cに設定されている電話番号判定条件を満たしていれば、つまり上記文字列中に9〜15桁の数字が含まれていれば、上記文字列が電話番号に該当するものと判定され(ステップS105のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、電話番号の出現回数に対応する計数値が1だけカウントアップされ(ステップS106)、ステップS114の処理へ移行する。
上記文字列が電話番号に該当しないと判定された場合(ステップS105のNOルート)、電子メールアドレス判定手段113bにより、上記文字列が電話メールアドレスに該当するか否かが判定される(ステップS107)。その際、上記文字列が検疫テーブル10cに設定されている電子メールアドレス判定条件を満たしていれば、つまり上記文字列中に「一文字以上のASCII」+「@」+「一文字以上のASCII」+「.」+「一文字以上のASCII」となる文字列が含まれていれば、上記文字列が電子メールアドレスに該当するものと判定され(ステップS107のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、電子メールアドレスの出現回数に対応する計数値が1だけカウントアップされ(ステップS108)、ステップS114の処理へ移行する。
上記文字列が電子メールアドレスに該当しないと判定された場合(ステップS107のNOルート)、住所判定手段113cにより、上記文字列が住所(居所)に該当するか否かが判定される(ステップS109)。その際、上記文字列が検疫テーブル10cに設定されている住所判定条件を満たしていれば、つまり上記文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていれば、上記文字列が住所に該当するものと判定され(ステップS109のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、住所(居所)の出現回数に対応する計数値が1だけカウントアップされ(ステップS110)、ステップS114の処理へ移行する。
上記文字列が住所に該当しないと判定された場合(ステップS109のNOルート)、つまり第1判定手段113によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合、文字判定手段114により、その文字列が、検疫テーブル10cに設定されている文字判定条件(文字数が1以上6以下であり全ての文字が漢字であること)を満たすか否かが判定される(ステップS111)。この文字判定条件を満たさない場合(ステップS111のNOルート)、ステップS114の処理へ移行する。
一方、この文字判定条件を満たす場合(ステップS111のYESルート)、照合手段115により、当該文字区間(上記文字列)に含まれる文字/文字列と検疫テーブル10cに設定されている氏名についての不適切文字/不適切文字列とが照合され、当該文字区間に不適切文字/不適切文字列が含まれるか否かが判定される(ステップS112)。当該文字区間に、一つでも不適切文字/不適切文字列と一致する文字/文字列が存在した場合(ステップS112のYESルート)には、その時点不適切文字/不適切文字列との照合処理を直ちに終了し、ステップS114の処理へ移行する。
また、当該文字区間に不適切文字/不適切文字列が含まれていない場合(ステップS112のNOルート)、その照合判定結果が第2判定手段116に通知され、この第2判定手段116において、当該文字区間が氏名に該当するものと見なされ、氏名の出現回数に対応する計数値が1だけカウントアップされ(ステップS113)、ステップS114の処理へ移行する。
ステップS114では、判定対象ファイルから抽出されたテキストデータから未だ切り出されていない文字区間の有無が判定され、有る場合(YESルート)には、ステップS104に戻り、上述と同様の処理(ステップS104〜S113)を繰り返し実行する。このようにして全ての文字区間がテキストデータから切り出され全ての文字区間に対する判定処理,照合処理,計数処理等を終了すると(ステップS114のNOルート)、第2判定手段116において、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数値に基づいて、上述した判定値が算出される(ステップS115)。
そして、第2判定手段116においては、ステップS115で算出された判定値に基づいて、上述したように、判定対象ファイルが個人情報ファイルであるか否かが判定されるとともに、Pマークのランク付け(本実施形態では“P1”〜“P4”の4つ)が行なわれる(ステップS116)。
この後、利用者端末10における全ての電子ファイルについて個人情報の探査を行なったか否かを判定し(ステップS117)、まだ未探査の電子ファイルが存在する場合(ステップS117のNOルート)、ステップS102に戻り上述と同様の処理を実行する一方、全ての電子ファイルについて探査を完了した場合(ステップS117のYESルート)、ステップS116での個人情報ファイルの判定結果やPマークのランク付けの結果は探査結果として出力される(ステップS118)。このようなステップS118の処理完了後、個人情報ファイルの探査動作を終了する。
〔2−3〕個人情報管理サーバの動作
次に、本実施形態の個人情報管理サーバ20の動作について図8〜図19を参照しながら説明する。
まず、図8に示すフローチャート(ステップS201〜S215)に従って、本実施形態の個人情報管理サーバ20の主たる動作について説明する。
次に、本実施形態の個人情報管理サーバ20の動作について図8〜図19を参照しながら説明する。
まず、図8に示すフローチャート(ステップS201〜S215)に従って、本実施形態の個人情報管理サーバ20の主たる動作について説明する。
個人情報管理サーバ20においては、利用者情報収集手段21による収集タイミングになったか否か(ステップS201)、各利用者端末10から探査手段11による探査結果を受信したか否か(ステップS201のNOルートからステップS206)、アクセスログの収集タイミングになったか否か(ステップS206のNOルートからステップS210)が、常時、監視されている。
本システム1の立ち上げ時、あるいは、利用者端末10がネットワーク30に接続されたことを検知した時や、所定の収集周期が経過したことなどを、利用者情報収集手段21による収集タイミングとして検知すると(ステップS201のYESルート)、各利用者端末10の利用者情報(ホスト情報)が利用者情報収集手段21によって収集されるとともに、各利用者端末10におけるプログラム(例えば、上記利用者端末用プログラムのほか、利用者端末10を外部記憶媒体用ドライバ14や暗号化手段/登録手段15として機能させるプログラム)のインストール状況が利用者情報収集手段21によって収集される(ステップS202)。収集されたインストール状況(各プログラムの有無)は、各利用者端末10に対応付けられてデータベース20bに登録・保存される。
上記利用者端末用プログラムをインストールされていない利用者端末10が存在する場合(ステップS203のYESルート)、インストール手段22によって、送受信手段27およびネットワーク30を介してその利用者端末10に上記利用者端末用プログラムがインストールされ、上記利用者端末用プログラムを当該利用者端末10に実行させて当該利用者端末10の記憶部10bにおける管理対象ファイルを探査させる(ステップS204)。
このように上記利用者端末用プログラムを利用者端末10にインストールした後、もしくは、上記利用者端末用プログラムをインストールされていない利用者端末10が存在しない場合(ステップS203のNOルート)、各利用者端末10における外部記憶媒体用ドライバ14のインストール状況や暗号化手段/登録手段15の設定状況、つまり、利用者端末10を外部記憶媒体用ドライバ14や暗号化手段/登録手段15として機能させるプログラムの有無に応じて、各利用者端末10についてのセキュリティレベルが、管理手段25によって設定される(ステップS205)。
このとき、管理手段25は、上述した項目(3)に記載されたセキュリティレベル設定基準に従って、暗号化手段/登録手段15としての機能を設定されていない利用者端末10についてはセキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、暗号化機能を設定されている利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和し、さらに、上述した項目(4)に記載されたセキュリティレベル設定基準に従って、外部記憶媒体用ドライバ14をインストールしている利用者端末10についてはセキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、外部記憶媒体用ドライバ14をインストールしていない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。
また、各利用者端末10から探査手段11による探査結果を受信した場合(ステップS206のYESルート)、その探査結果(個人情報ファイルのファイル名やリンク先情報,判定値,Pマークなど)は、収集手段23によって各利用者端末10に対応付けられてデータベース20bに登録・保存される(ステップS207)。また、収集手段23によって、その探査結果に基づいて各利用者端末10における個人情報ファイルが把握され、把握された個人情報ファイルが、収集手段23によるアクセスログ収集対象として登録される(ステップS208)。
この後、各利用者端末10からの個人情報ファイルの探査結果に応じて、各利用者端末10についてのセキュリティレベルが、管理手段25によって設定される(ステップS209)。このとき、管理手段25は、上述した項目(2)に記載されたセキュリティレベル設定基準に従って、記憶部10bに個人情報ファイルを保有している利用者端末10についてはセキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、記憶部10bに個人情報ファイルを保有していない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。
さらに、各利用者端末10の能動的なアクセスログ通知、もしくは、個人情報管理サーバ20(収集手段23)からのアクセスログの送信要求時などを、アクセスログの収集タイミングとして検知すると(ステップS210のYESルート)、収集手段23によって各利用者端末10からアクセスログ(アクセス検知手段12によって記録された個人情報ファイルに対するアクセスログや、閲覧禁止サイトに対するアクセスログ)が収集され(ステップS211)、収集されたアクセスログ(個人情報ファイルのファイル名,PC名,所有者名,アクセス種別,アクセス回数,閲覧禁止サイトへのアクセス回数)は、収集手段23によって各利用者端末10/個人情報ファイルに対応付けられてデータベース20bに登録・保存される(ステップS212)。
そして、管理手段25によって、各利用者端末10による探査結果と、収集手段23によって収集・記録されたアクセスログと、利用者情報収集手段21によって収集・記録された調査結果(利用者端末10を外部記憶媒体用ドライバ14として機能させるプログラムの有無に関する情報)とに基づいて、各利用者端末10を管理すべく、各個人情報ファイルに対するアクセス状況に関する公開情報や、外部記憶媒体用ドライバ14をインストールされた利用者端末10に関する公開情報が作成され(ステップS213)、作成された公開情報が、表示制御部26を介して表示部20c上で表示されたり、ネットワーク30を介し全ての利用者端末10に対して公開されたり、ネットワーク30を介してメール等で全ての利用者端末10に対して通知されたりする(ステップS214)。
また、収集手段23によって収集・記録されたアクセスログ(閲覧禁止ログに対するアクセスログも含む)に応じて、各利用者端末10についてのセキュリティレベルが、管理手段25によって設定される(ステップS215)。このとき、管理手段25は、上述した項目(1)に記載されたセキュリティレベル設定基準に従って、個人情報ファイルにかかわる処理/操作(自端末10/他端末/サーバにおける個人情報ファイルに対する何らかのアクセス)を実行した利用者端末10についてはセキュリティレベルを高く設定し、ファイル(個人情報ファイルのみならず通常のファイルも含む)に対するアクセス制限を厳格化する一方、個人情報ファイルにかかわる処理/操作を所定期間にわたり一切実行していない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和し、さらに、上述した項目(5)に記載されたセキュリティレベル設定基準に従って、閲覧禁止サイトへのアクセスを行なっている利用者端末10についてはセキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、閲覧禁止サイトへのアクセスを行なっていない利用者端末10についてはセキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和する。
〔2−4〕公開情報の具体例
ここで、ステップS213で作成されステップS214で公開される公開情報の具体例について、図12〜図19を参照しながら説明する。なお、図12〜図19は、いずれも管理手段25によって作成され公開される公開情報(利用者端末10や管理サーバ20のディスプレイに表示される画面やリスト)の具体例を示す図である。
ここで、ステップS213で作成されステップS214で公開される公開情報の具体例について、図12〜図19を参照しながら説明する。なお、図12〜図19は、いずれも管理手段25によって作成され公開される公開情報(利用者端末10や管理サーバ20のディスプレイに表示される画面やリスト)の具体例を示す図である。
図12には、月毎に集計された個人情報ファイル数および個人情報保有数を棒グラフとしてディスプレイに表示する画面101と、この画面101から「件数」(ここでは「1000件〜100000件」)でドリルダウンされてディスプレイに表示されるリスト102と、画面101から「月」でドリルダウンされてディスプレイに表示される画面(部署毎の棒グラフ表示)103と、さらに、この画面103から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト104とが示されている。リスト102,104では、個人情報ファイル毎に、そのファイル名と、その個人情報ファイルに含まれる個人情報件数(例えば個人情報要素の数)と、その個人情報ファイルを保有する利用者端末10の所有者名と、その利用者端末10のPC名と、その利用者端末10の属する部署名や職務とが表示されている。
図13には、部署毎/アクセス種別毎に集計された個人情報ファイルに対するアクセス数(個人情報アクセス記録)を棒グラフとしてディスプレイに表示する画面105と、この画面105から、「部署名」および「アクセス種別」でドリルダウンされてディスプレイに表示されるリスト106,107とが示されている。リスト106は「営業部」および「ファイル保存」でドリルダウン表示されるものであり、リスト107は「営業部」および「USB」でドリルダウン表示されるものであり、これらのリスト106,107では、アクセスを行なった利用者端末10の所有者名毎に、その利用者端末10のPC名と、アクセス日時と、アクセスを行なった個人情報ファイルのファイル名と、ドキュメントパス/ドキュメント操作/プリンタ名/FTPサーバ/FTPコマンド等とが表示されている。なお、図中、アクセス種別「FTP」はFTPサーバとの間のアップロード/ダウンロード、「USB」は外部記憶媒体(USBメモリ)へのアクセス、「変更」はリネーム、「保存」はファイルの上書き保存のことである。このようなリスト106,107により、個人情報流出につながる可能性のある個人情報ファイルへのアクセスを記録し把握することができる。
図14は、図13に示した画面105を簡略化した例を示すもので、この図14には、部署毎に集計された個人情報ファイルに対するアクセス数(個人情報アクセス記録)を棒グラフとしてディスプレイに表示する画面108と、この画面108から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト109とが示されている。リスト109では、選択された部署における利用者端末10の所有者名毎に、その利用者端末10のPC名と、アクセス日時と、アクセスを行なった個人情報ファイルのファイル名と、ドキュメントパスおよび操作内容とが表示されている。このようなリスト109により、個人情報流出の可能性のあるユーザ操作を把握することができる。
図15には、部署毎に集計された、個人情報ファイルを保有し且つ大容量記憶デバイス(外部記憶媒体用ドライバ14)をインストール済みの対象PC数を棒グラフとしてディスプレイに表示する画面110と、この画面110から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト111とが示されている。リスト111では、アクセスを行なった利用者端末10の所有者名毎に、その利用者端末10のPC名と、その利用者端末10が保有する個人情報ファイルのファイル名,ドキュメントパスおよび操作内容とが表示されている。このようなリスト111により、個人情報流出の可能性のあるユーザ操作を把握することができる。
図16には、部署毎に集計された、個人情報ファイルの外部メディア(外部記憶媒体40)への書出し回数を棒グラフとしてディスプレイに表示する画面112と、この画面112から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト113とが示されている。リスト113では、選択された部署における利用者端末10の所有者名毎に、その利用者端末10のPC名と、書出し日時と、その書出し対象となった個人情報ファイルのファイル名,ドキュメントパスおよび操作内容とが表示されている。このようなリスト113により、個人情報流出の可能性のあるユーザ操作を把握することができる。
図17には、部署毎に集計された、個人情報ファイルのFTP転送回数を棒グラフとしてディスプレイに表示する画面114と、この画面114から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト115とが示されている。リスト115では、選択された部署における利用者端末10の所有者名毎に、その利用者端末10のPC名と、FTP転送日時と、その転送対象となった個人情報ファイルのファイル名,FTPサーバ名およびFTPコマンドとが表示されている。このようなリスト115により、個人情報流出の可能性のあるユーザ操作を把握することができる。
図18には、部署毎に集計された、個人情報ファイルのリネーム回数を棒グラフとしてディスプレイに表示する画面116と、この画面116から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト117とが示されている。リスト117では、選択された部署における利用者端末10の所有者名毎に、その利用者端末10のPC名と、リネーム日時と、そのリネーム対象となった個人情報ファイルのファイル名およびドキュメントパスとが表示されている。このようなリスト117により、個人情報流出の可能性のあるユーザ操作を把握することができる。
図19には、禁止閲覧サイト毎に集計されたアクセス回数を棒グラフとしてディスプレイに表示する画面118と、この画面118から「サイト名」(ここでは「ファイル便」)でドリルダウンされてディスプレイに表示されるリスト119とが示されている。リスト119では、選択されたサイトにアクセスした利用者端末10の所有者名毎に、その利用者端末10のPC名と、アクセス時間とが表示されている。このようなリスト119により、閲覧禁止サイトへのアクセスを監視することができる。
〔2−5〕Pマークに基づく個人情報管理サーバの管理動作
次に、探査手段11による探査結果として得られたPマークに基づく個人情報管理サーバ20(管理手段25)の管理動作について、図9に示すフローチャート(ステップS20〜S29)に従って説明する。
次に、探査手段11による探査結果として得られたPマークに基づく個人情報管理サーバ20(管理手段25)の管理動作について、図9に示すフローチャート(ステップS20〜S29)に従って説明する。
管理手段25では、データベース20bにおける個人情報ファイルの判定結果(Pマークテーブル)を参照し、個人情報ファイル(Pマークを付与されたファイル)の有無を判定する(ステップS20)。個人情報ファイルが存在する場合(ステップS21のYESルート)、個人情報ファイルの探査結果〔ここではPマークレベル(ランク)〕に応じて、管理手段25により、各個人情報ファイルに対する管理・操作が以下のように行なわれる(ステップS21〜S29)。
まず、Pマークレベル“P1”の個人情報ファイルの有無が判定され(ステップS21)、Pマークレベル“P1”の個人情報ファイルがある場合(ステップS21のYESルート)、その個人情報ファイルをアクセス監視対象(アクセスログの記録対象)として設定・登録する(ステップS22)。なお、ステップS22の処理は、図8のステップS208と同一の処理と重複するので、ステップS21およびS22は省略してもよい。
Pマークレベル“P1”の個人情報ファイルがない場合(ステップS21のNOルート)、もしくは、ステップS22での登録後、Pマークレベル“P2”の個人情報ファイルの有無が判定され(ステップS23)、Pマークレベル“P2”の個人情報ファイルがある場合(ステップS23のYESルート)、その個人情報ファイルをアクセス監視対象として設定・登録するとともに、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報が通知される(ステップS24)。
Pマークレベル“P2”の個人情報ファイルがない場合(ステップS23のNOルート)、もしくは、ステップS24での注意情報通知後、Pマークレベル“P3”の個人情報ファイルの有無が判定され(ステップS25)、Pマークレベル“P3”の個人情報ファイルがある場合(ステップS25のYESルート)、その個人情報ファイルをアクセス監視対象として設定・登録するとともに、その個人情報ファイルを保管している利用者が存在する旨が、システム管理者に対し警告情報としてメール等により通知されるとともに、その個人情報ファイルの返却が利用者に指示される(ステップS26)。
Pマークレベル“P3”の個人情報ファイルがない場合(ステップS25のNOルート)、もしくは、ステップS26で警報情報通知および返却指示を行なった後、Pマークレベル“P4”の個人情報ファイルの有無が判定され(ステップS27)、Pマークレベル“P4”の個人情報ファイルがある場合(ステップS27のYESルート)、その個人情報ファイルがクライアント端末10から強制的に捕獲・回収され(ステップS28)、さらに、その個人情報ファイルをファイルアクセス管理サーバ20の管理下に置き、その個人情報ファイルに対するアクセスをファイルアクセス管理サーバ20に管理させる(ステップS29)。Pマークレベル“P4”の個人情報ファイルがない場合(ステップS27のNOルート)、もしくは、ステップS29での処理終了後、管理動作を終了する。
なお、前述した通り、Pマークレベル“P4”の個人情報ファイルについては、その個人情報ファイルが利用者端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したりしてもよい。また、Pマークレベル“P3”の個人情報ファイルが所定日数放置された場合、Pマークレベル“P4”の個人情報ファイルと同様の処置を実行してもよい。さらに、Pマークレベル“P1”〜“P4”の個人情報ファイルの全てをファイルアクセス管理サーバ20の管理下に置くようにしてもよい。
〔2−6〕ファイルアクセス管理サーバの動作
次に、図10および図11を参照しながら、ファイルアクセス管理サーバ20の動作について説明する。
まず、図10に示すフローチャート(ステップS31〜S34)に従って、本実施形態のファイルアクセス管理サーバ20によるファイル変換動作を説明する。
次に、図10および図11を参照しながら、ファイルアクセス管理サーバ20の動作について説明する。
まず、図10に示すフローチャート(ステップS31〜S34)に従って、本実施形態のファイルアクセス管理サーバ20によるファイル変換動作を説明する。
ファイルアクセス管理サーバ20において、管理対象のファイルが、ファイルアクセス管理サーバ20による管理対象として登録されるべく各利用者端末10からネットワーク30経由で個人情報ファイル受信手段27aにより受信されると(ステップS31のYESルート)、そのファイルが、暗号化手段28により、PDFファイルに変換され(ステップS32)、さらに、所定の暗号鍵を用いて暗号化処理(鍵掛け処理)が行なわれる(ステップS33)。そして、暗号化ファイルは、暗号化ファイル送信手段27bによりネットワーク30経由で利用者端末10に送信される(ステップS34)。
ついで、図11に示すフローチャート(ステップS41〜S45)に従って、本実施形態のファイルアクセス管理サーバ20による認証動作について説明する。
利用者端末10の利用者が、暗号化ファイルの内容を閲覧しようとする場合、その利用者によって認証情報が入力されファイルアクセス管理サーバ20へ送信される。そして、その認証情報がネットワーク30経由で認証情報受信手段27cにより受信されると(ステップS41のYESルート)、判定手段29は、認証情報に含まれるユーザIDによってデータベース20bを検索し、そのユーザIDに対応する登録パスワードをデータベース20bから読み出し、認証情報に含まれるパスワードと、データベース20bから読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定(利用者認証;ステップS42)を行なう。
利用者端末10の利用者が、暗号化ファイルの内容を閲覧しようとする場合、その利用者によって認証情報が入力されファイルアクセス管理サーバ20へ送信される。そして、その認証情報がネットワーク30経由で認証情報受信手段27cにより受信されると(ステップS41のYESルート)、判定手段29は、認証情報に含まれるユーザIDによってデータベース20bを検索し、そのユーザIDに対応する登録パスワードをデータベース20bから読み出し、認証情報に含まれるパスワードと、データベース20bから読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定(利用者認証;ステップS42)を行なう。
これらのパスワードが一致し、利用者端末10の利用者が正当な登録者(正当な送信先)であることが認証されると(ステップS43のYESルート)、復号鍵送信手段27dにより、暗号化ファイルを復号化するための復号鍵がデータベース20bから読み出され、その利用者端末10にネットワーク30経由で送信される(ステップS44)。
そして、利用者端末10において、復号鍵が受信されると、その復号鍵を用いて暗号化ファイルが復号化されて元のファイルが復元され、そのファイルに対し、予め与えられたアクセス権限に応じたアクセスが実行される。例えば、前述したようにアクセス権限として閲覧権限のみが与えられている場合、利用者は、復元されたファイルの内容を閲覧することはできるが、閲覧以外のアクセス、例えばプリンタによる印刷出力や他の記録媒体へのコピーや画面コピー(画面キャプチャ)や別名保存などのアクセスは一切行なうことができない。
一方、ファイルアクセス管理サーバ20の判定手段29によりパスワードが不一致であると判定された場合、もしくは、ユーザIDに対応する登録パスワードがデータベース20bに登録されていなかった場合には、利用者が正当な登録者(正当な送信先)ではないと判定され(ステップS43のNOルート)、ファイルアクセス管理サーバ20から利用者端末10にネットワーク30経由でエラー通知が行なわれる(ステップS45)。
〔3〕本実施形態の個人情報管理システムの効果
このように本発明の一実施形態としての管理システム1や管理サーバ20によれば、各利用者端末10において個人情報ファイルが探査され、管理サーバ20(管理手段25)によってその探査の結果や管理対象ファイルに対するアクセスログに基づいて利用者端末10が管理される。これにより、個人情報が複数の利用者端末10に分散して保存されていても、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、個人情報ファイルの状態を管理することができ、個人情報の不用意な流出・漏洩や不正利用などを確実に防止することができる。
このように本発明の一実施形態としての管理システム1や管理サーバ20によれば、各利用者端末10において個人情報ファイルが探査され、管理サーバ20(管理手段25)によってその探査の結果や管理対象ファイルに対するアクセスログに基づいて利用者端末10が管理される。これにより、個人情報が複数の利用者端末10に分散して保存されていても、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、個人情報ファイルの状態を管理することができ、個人情報の不用意な流出・漏洩や不正利用などを確実に防止することができる。
このとき、例えば図12〜図19に示したように、個人情報象ファイルに対するアクセス状況(例えば、個人情報ファイルのファイル名,PC名,所有者名,個人情報ファイルの数の集計結果,個人情報ファイルに対するアクセスの回数の集計結果など)が公開されることで、利用者が、自発的に、個人情報ファイルに対するアクセスを行なわなくなるような環境が提供されることになり、個人情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
また、外部記憶媒体用ドライバ14をインストールされた利用者端末10に関する情報(例えば、その利用者端末のPC名,その利用者端末の所有者名,個人情報ファイルのファイル名,その個人情報ファイルの書出し回数など)が公開されることで、利用者が、自発的に、外部記憶媒体用ドライバ14をインストールしなくなるようになったり、インストールしていてもそのドライバ14を用いて個人情報ファイルの書出しを行なわなくなるような環境が提供されることになり、個人情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
さらに、個人情報ファイルの不用意な流出・漏洩や不正利用などが発生する可能性の高い利用者端末10(例えば、個人情報ファイルにかかわる処理/操作を実行した利用者端末10,記憶部10bに個人情報ファイルを保有している利用者端末10,暗号化手段/登録手段15としての機能を設定されていない利用者端末10,外部記憶媒体用ドライバ14をインストールしている利用者端末10など)についてはセキュリティレベルを高く設定してアクセス制限を厳格化する一方でその可能性の低い利用者端末についてはセキュリティレベルを低く設定してアクセス制限を解除もしくは緩和することによって、上記可能性の低い場合には利用者端末10を効率よく使用できる環境が提供されることになるので、利用者は、自発的に、自分の端末10を上記可能性の低い状態に移行させるようになり、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
特に、本実施形態では、上記項目(1)〜(5)に記載された基準に従ったセキュリティレベルの設定(ファイルに対するアクセス制限の設定)を管理手段25が行なうことにより、個人情報ファイルの不用意な流出・漏洩や不正利用などが発生する可能性の低い利用者端末10、具体的には、個人情報ファイルに対するアクセスを所定期間にわたり一切行なっておらず、且つ、個人情報ファイルを保有しておらず、且つ、外部送出ファイルを暗号化するための機能を有しており、且つ、外部記憶媒体ドライバ14をインストールしておらず、且つ、閲覧禁止サイトへのアクセスを一切行なっていない利用者端末10に対しては、アクセス制限を解除もしくは緩和して、利用者端末10を効率よく使用できる環境が利用者に提供される。
なお、個人情報ファイルの探査を行なう探査手段11およびアクセス検知手段12としての機能をもたない利用者端末10がネットワークに接続されると、個人情報管理サーバ20により、その機能を実現するための利用者端末用プログラムがインストールされ、その機能が自動的に利用者端末10に導入され、さらに、その探査手段11により利用者端末10における個人情報ファイルの有無が判定されるので、新たな利用者端末10がネットワーク30に接続された場合でも、その利用者端末10における個人情報ファイルを確実に探査して洗い出して管理可能な状態に置くことが可能になり、個人情報の不用意な流出・漏洩や、個人情報の不正利用などを確実に防止することができる。
また、本実施形態では、特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルを管理対象ファイルとし、探査手段11において、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。
従って、第1判定手段113で電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についてのみ、照合手段115により不適切文字/不適切文字列との照合処理が行なわれ、さらに、不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探査処理を高速に行なうことが可能になる。
また、不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まないファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高いファイルを確実に探査することが可能になる。つまり、本実施形態の探査手段11により個人情報ファイルであると判定されるファイルの数が多くなり、個人情報ファイルである可能性の高いファイル(疑わしいファイル)を確実に洗い出すことができる。
さらに、文字判定手段114により文字区間の文字数が所定範囲内であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合対象としているので、照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が所定範囲を超える長い文字区間が、照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探査処理のさらなる高速化に寄与することになる。
そして、個人情報管理サーバ20の管理手段25により、第2判定手段116で得られた計数結果(判定値レベル)に応じて、個人情報ファイルであると判定された電子ファイルの管理を行なうことにより、個人情報ファイル毎に、判定値レベル(個人情報ファイルである可能性の高さ/個人情報要素数の多さ)に応じた管理手法を選択して実行することができるほか、企業内などにおいて多数の端末が存在し個人情報ファイルが分散して保存されていても、これらの個人情報ファイルを一元的に管理することができ、個人情報ファイルを集中管理するシステムを容易に構築して導入することが可能になる。
一方、利用者端末10から外部へ送出されるファイルを、利用者端末10もしくはファイルアクセス管理サーバ20において暗号化ファイルに変換することで、外部送出対象のファイルについては暗号化ファイルに変換された上で送出されるので、そのファイルが、万人が参照可能な状態で各端末10から外部へ持ち出されるのを抑止でき、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止することができる。
このとき、暗号化ファイルの正当な利用者については、ファイルアクセス管理サーバ20により正当な利用者であることを認証されれば、ファイルアクセス管理サーバ20から受信した復号鍵で暗号化ファイルを復号し、暗号化ファイルの内容に対するアクセスが可能になるが、その他の利用者は、暗号化ファイルを復号することができず、その内容に対するアクセスを行なうことは不可能になっている。つまり、ファイルは、正当な利用者のみがアクセス可能な暗号化ファイルに変換された上で外部に送出されるので、上述のごとく個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止しながら、正当な利用者のアクセスは可能になるので、正当な利用者についての利便性を損なうことがない。
なお、このとき、ファイルのオリジナルは完全文書ファイルに格納されて暗号化されることになるので、そのファイルのオリジナルは、そのままの状態、即ち利用者端末10において万人が参照可能な状態で残ることがないので、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
〔4〕本実施形態の変形例
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
例えば、上述した実施形態では、管理対象ファイルが個人情報ファイルである場合について説明したが、本発明は、これに限定されるものではなく、個人情報以外の機密情報を含む機密情報ファイルを管理対象ファイルとしてもよい。この場合、機密情報ファイルを判定するための所定条件は、機密情報を含むレコード(機密情報要素)を所定数以上保有していることであり、機密情報要素は、例えば、発表前の新製品,特許出願前の技術,経営戦略などで使用される文字列である。なお、このような機密情報ファイルについても、個人情報ファイルと同様にして、探査手段11によって探査することができ、上述した実施形態と同様の作用効果を得ることができる。
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
例えば、上述した実施形態では、管理対象ファイルが個人情報ファイルである場合について説明したが、本発明は、これに限定されるものではなく、個人情報以外の機密情報を含む機密情報ファイルを管理対象ファイルとしてもよい。この場合、機密情報ファイルを判定するための所定条件は、機密情報を含むレコード(機密情報要素)を所定数以上保有していることであり、機密情報要素は、例えば、発表前の新製品,特許出願前の技術,経営戦略などで使用される文字列である。なお、このような機密情報ファイルについても、個人情報ファイルと同様にして、探査手段11によって探査することができ、上述した実施形態と同様の作用効果を得ることができる。
また、上述した実施形態では、探査手段11としての機能が、利用者端末10にそなえられている場合について説明したが、この機能は、利用者端末10に代えて、利用者端末10と通信可能に接続された個人情報管理サーバ(管理サーバ)20にそなえてもよい。
ただし、この場合、利用者端末10の記憶部10bにおけるファイルが、一旦、個人情報管理サーバ20に吸い上げられ、そのファイルについて、管理サーバ20側の探査手段11としての機能による探査処理が施されることになる。これにより、利用者が、利用者端末10における、メモリ容量や、他プログラムとの相性の問題などの理由で、探査手段11を実現するためのプログラムの非常駐を要望する場合、その要望に対応することができ、利便性が高められる。
ただし、この場合、利用者端末10の記憶部10bにおけるファイルが、一旦、個人情報管理サーバ20に吸い上げられ、そのファイルについて、管理サーバ20側の探査手段11としての機能による探査処理が施されることになる。これにより、利用者が、利用者端末10における、メモリ容量や、他プログラムとの相性の問題などの理由で、探査手段11を実現するためのプログラムの非常駐を要望する場合、その要望に対応することができ、利便性が高められる。
〔5〕その他
上述した探査手段11,アクセス検知手段12,利用者情報収集手段21,インストール手段22,収集手段23および管理手段25としての機能(各手段の全部もしくは一部の機能)は、コンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラム(管理プログラム)を実行することによって実現される。
上述した探査手段11,アクセス検知手段12,利用者情報収集手段21,インストール手段22,収集手段23および管理手段25としての機能(各手段の全部もしくは一部の機能)は、コンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラム(管理プログラム)を実行することによって実現される。
そのプログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体から管理プログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。
ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたプログラムを読み取るための手段とをそなえている。上記管理プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、探査手段11,アクセス検知手段12,利用者情報収集手段21,インストール手段22,収集手段23および管理手段25としての機能を実現させるプログラムコードを含んでいる。また、その機能の一部は、アプリケーションプログラムではなくOSによって実現されてもよい。
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROMなどのメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。
〔6〕付記
(付記1)
電子ファイルを含むデータを保持する記憶部を有する利用者端末と、
該利用者端末とネットワークを介して相互に通信可能に接続され、該利用者端末における、所定条件を満たす管理対象ファイルを管理する管理サーバとをそなえ、
該利用者端末が、
該記憶部におけるデータの中から前記所定条件を満たす管理対象ファイルを特定して探査する探査手段と、
該ネットワークを介して該探査手段による探査の結果を該管理サーバへ送信する送信手段とをそなえて構成されるとともに、
該管理サーバが、
該利用者端末から送信されてきた前記探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段と、
前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段とをそなえて構成されていることを特徴とする、管理システム。
(付記1)
電子ファイルを含むデータを保持する記憶部を有する利用者端末と、
該利用者端末とネットワークを介して相互に通信可能に接続され、該利用者端末における、所定条件を満たす管理対象ファイルを管理する管理サーバとをそなえ、
該利用者端末が、
該記憶部におけるデータの中から前記所定条件を満たす管理対象ファイルを特定して探査する探査手段と、
該ネットワークを介して該探査手段による探査の結果を該管理サーバへ送信する送信手段とをそなえて構成されるとともに、
該管理サーバが、
該利用者端末から送信されてきた前記探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段と、
前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段とをそなえて構成されていることを特徴とする、管理システム。
(付記2)
該管理手段が、該利用者端末から送信されてきた前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする、付記1記載の管理システム。
該管理手段が、該利用者端末から送信されてきた前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする、付記1記載の管理システム。
(付記3)
該公開情報として、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とが含まれていることを特徴とする、付記2記載の管理システム。
(付記4)
該公開情報として、該管理対象ファイルの数の集計結果が含まれていることを特徴とする、付記2または付記3に記載の管理システム。
該公開情報として、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とが含まれていることを特徴とする、付記2記載の管理システム。
(付記4)
該公開情報として、該管理対象ファイルの数の集計結果が含まれていることを特徴とする、付記2または付記3に記載の管理システム。
(付記5)
該公開情報として、該管理対象ファイルに対するアクセスの数の集計結果が含まれていることを特徴とする、付記2〜付記4のいずれか一項に記載の管理システム。
(付記6)
該管理サーバが、該利用者端末において外部記憶媒体用のドライバがインストールされているか否かを調査する調査手段をさらにそなえて構成され、
該管理手段が、該利用者端末から送信されてきた前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該利用者端末を管理することを特徴とする、付記1〜付記5のいずれか一項に記載の管理システム。
該公開情報として、該管理対象ファイルに対するアクセスの数の集計結果が含まれていることを特徴とする、付記2〜付記4のいずれか一項に記載の管理システム。
(付記6)
該管理サーバが、該利用者端末において外部記憶媒体用のドライバがインストールされているか否かを調査する調査手段をさらにそなえて構成され、
該管理手段が、該利用者端末から送信されてきた前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該利用者端末を管理することを特徴とする、付記1〜付記5のいずれか一項に記載の管理システム。
(付記7)
該管理手段が、該利用者端末から送信されてきた前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該外部記憶媒体用のドライバをインストールされた利用者端末に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする、付記6記載の管理システム。
該管理手段が、該利用者端末から送信されてきた前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該外部記憶媒体用のドライバをインストールされた利用者端末に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする、付記6記載の管理システム。
(付記8)
該公開情報として、該管理対象ファイルを保有するとともに該外部記憶媒体用のドライバをインストールしている利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報と、当該利用者端末において保有されている該管理対象ファイルのファイル名とが含まれていることを特徴とする、付記7記載の管理システム。
(付記9)
該公開情報として、該利用者端末で実行された該外部記憶媒体への該管理対象ファイルの書出し回数が含まれていることを特徴とする、付記8記載の管理システム。
該公開情報として、該管理対象ファイルを保有するとともに該外部記憶媒体用のドライバをインストールしている利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報と、当該利用者端末において保有されている該管理対象ファイルのファイル名とが含まれていることを特徴とする、付記7記載の管理システム。
(付記9)
該公開情報として、該利用者端末で実行された該外部記憶媒体への該管理対象ファイルの書出し回数が含まれていることを特徴とする、付記8記載の管理システム。
(付記10)
該管理手段が、該利用者端末から送信されてきた前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末からの該管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更することを特徴とする、付記1〜付記9のいずれか一項に記載の管理システム。
該管理手段が、該利用者端末から送信されてきた前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末からの該管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更することを特徴とする、付記1〜付記9のいずれか一項に記載の管理システム。
(付記11)
該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、付記10記載の管理システム。
該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、付記10記載の管理システム。
(付記12)
該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、付記10または付記11に記載の管理システム。
該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、付記10または付記11に記載の管理システム。
(付記13)
該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、付記10〜付記12のいずれか一項に記載の管理システム。
該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、付記10〜付記12のいずれか一項に記載の管理システム。
(付記14)
該管理サーバが、該探査手段としてコンピュータを機能させるプログラムを該利用者端末にインストールするインストール手段をさらにそなえて構成されるとともに、
該利用者端末における該探査手段としての機能が、該インストール手段によって該利用者端末にインストールされた該プログラムを実行することで実現されることを特徴とする、付記1〜付記13のいずれか一項に記載の管理システム。
該管理サーバが、該探査手段としてコンピュータを機能させるプログラムを該利用者端末にインストールするインストール手段をさらにそなえて構成されるとともに、
該利用者端末における該探査手段としての機能が、該インストール手段によって該利用者端末にインストールされた該プログラムを実行することで実現されることを特徴とする、付記1〜付記13のいずれか一項に記載の管理システム。
(付記15)
該管理サーバのインストール手段が、該プログラムをインストールされていない利用者端末が該ネットワークに接続されたことを検知すると、当該利用者端末に該プログラムをインストールし、該プログラムを当該利用者端末に実行させて管理対象ファイルの探査を実行させることを特徴とする、付記14記載の管理システム。
該管理サーバのインストール手段が、該プログラムをインストールされていない利用者端末が該ネットワークに接続されたことを検知すると、当該利用者端末に該プログラムをインストールし、該プログラムを当該利用者端末に実行させて管理対象ファイルの探査を実行させることを特徴とする、付記14記載の管理システム。
(付記16)
前記所定条件が、特定の個人を識別可能な個人情報要素を所定数以上保有していることであり、該探査手段が、該記憶部におけるデータの中から前記所定条件を満たす管理対象ファイルつまり個人情報ファイルを特定して探査することを特徴とする、付記1〜付記15のいずれか一項に記載の管理システム。
前記所定条件が、特定の個人を識別可能な個人情報要素を所定数以上保有していることであり、該探査手段が、該記憶部におけるデータの中から前記所定条件を満たす管理対象ファイルつまり個人情報ファイルを特定して探査することを特徴とする、付記1〜付記15のいずれか一項に記載の管理システム。
(付記17)
該探査手段が、
判定対象ファイルに含まれるテキストデータを抽出する抽出手段と、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段とをそなえて構成されていることを特徴とする、付記16記載の管理システム。
該探査手段が、
判定対象ファイルに含まれるテキストデータを抽出する抽出手段と、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段とをそなえて構成されていることを特徴とする、付記16記載の管理システム。
(付記18)
利用者端末とネットワークを介して相互に通信可能に接続され、該利用者端末における、所定条件を満たす管理対象ファイルを管理する管理サーバであって、
該利用者端末の記憶部におけるデータの中から探査手段によって探査された、前記所定条件を満たす管理対象ファイルについての探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段と、
該探査手段による探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段とをそなえて構成されていることを特徴とする、管理サーバ。
利用者端末とネットワークを介して相互に通信可能に接続され、該利用者端末における、所定条件を満たす管理対象ファイルを管理する管理サーバであって、
該利用者端末の記憶部におけるデータの中から探査手段によって探査された、前記所定条件を満たす管理対象ファイルについての探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段と、
該探査手段による探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段とをそなえて構成されていることを特徴とする、管理サーバ。
(付記19)
該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする、付記18記載の管理サーバ。
該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする、付記18記載の管理サーバ。
(付記20)
該公開情報として、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とが含まれていることを特徴とする、付記19記載の管理サーバ。
該公開情報として、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とが含まれていることを特徴とする、付記19記載の管理サーバ。
(付記21)
該公開情報として、該管理対象ファイルの数の集計結果が含まれていることを特徴とする、付記19または付記20に記載の管理サーバ。
(付記22)
該公開情報として、該管理対象ファイルに対するアクセスの数の集計結果が含まれていることを特徴とする、付記19〜付記21のいずれか一項に記載の管理サーバ。
該公開情報として、該管理対象ファイルの数の集計結果が含まれていることを特徴とする、付記19または付記20に記載の管理サーバ。
(付記22)
該公開情報として、該管理対象ファイルに対するアクセスの数の集計結果が含まれていることを特徴とする、付記19〜付記21のいずれか一項に記載の管理サーバ。
(付記23)
該利用者端末において外部記憶媒体用のドライバがインストールされているか否かを調査する調査手段をさらにそなえて構成され、
該管理手段が、前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該利用者端末を管理することを特徴とする、付記18〜付記22のいずれか一項に記載の管理サーバ。
該利用者端末において外部記憶媒体用のドライバがインストールされているか否かを調査する調査手段をさらにそなえて構成され、
該管理手段が、前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該利用者端末を管理することを特徴とする、付記18〜付記22のいずれか一項に記載の管理サーバ。
(付記24)
該管理手段が、前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該外部記憶媒体用のドライバをインストールされた利用者端末に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする、付記23記載の管理サーバ。
該管理手段が、前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該外部記憶媒体用のドライバをインストールされた利用者端末に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする、付記23記載の管理サーバ。
(付記25)
該公開情報として、該管理対象ファイルを保有するとともに該外部記憶媒体用のドライバをインストールしている利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報と、当該利用者端末において保有されている該管理対象ファイルのファイル名とが含まれていることを特徴とする、付記24記載の管理サーバ。
(付記26)
該公開情報として、該利用者端末で実行された該外部記憶媒体への該管理対象ファイルの書出し回数が含まれていることを特徴とする、付記25記載の管理サーバ。
該公開情報として、該管理対象ファイルを保有するとともに該外部記憶媒体用のドライバをインストールしている利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報と、当該利用者端末において保有されている該管理対象ファイルのファイル名とが含まれていることを特徴とする、付記24記載の管理サーバ。
(付記26)
該公開情報として、該利用者端末で実行された該外部記憶媒体への該管理対象ファイルの書出し回数が含まれていることを特徴とする、付記25記載の管理サーバ。
(付記27)
該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末からの該管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更することを特徴とする、付記18〜付記26のいずれか一項に記載の管理サーバ。
該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末からの該管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更することを特徴とする、付記18〜付記26のいずれか一項に記載の管理サーバ。
(付記28)
該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、付記27記載の管理サーバ。
該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、付記27記載の管理サーバ。
(付記29)
該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、付記27または付記28に記載の管理サーバ。
該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、付記27または付記28に記載の管理サーバ。
(付記30)
該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、付記27〜付記29のいずれか一項に記載の管理サーバ。
該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、付記27〜付記29のいずれか一項に記載の管理サーバ。
(付記31)
該探査手段としてコンピュータを機能させるプログラムを該利用者端末にインストールするインストール手段をさらにそなえて構成されることを特徴とする、付記18〜付記30のいずれか一項に記載の管理サーバ。
該探査手段としてコンピュータを機能させるプログラムを該利用者端末にインストールするインストール手段をさらにそなえて構成されることを特徴とする、付記18〜付記30のいずれか一項に記載の管理サーバ。
(付記32)
該インストール手段が、該プログラムをインストールされていない利用者端末が該ネットワークに接続されたことを検知すると、当該利用者端末に該プログラムをインストールし、該プログラムを当該利用者端末に実行させて管理対象ファイルの有無を判定させることを特徴とする、付記31記載の管理サーバ。
該インストール手段が、該プログラムをインストールされていない利用者端末が該ネットワークに接続されたことを検知すると、当該利用者端末に該プログラムをインストールし、該プログラムを当該利用者端末に実行させて管理対象ファイルの有無を判定させることを特徴とする、付記31記載の管理サーバ。
(付記33)
ネットワークを介して相互に通信可能に接続された利用者端末における、所定条件を満たす管理対象ファイルを管理する管理サーバとして、コンピュータを機能させるプログラムであって、
該利用者端末の記憶部におけるデータの中から探査手段によって探査された、前記所定条件を満たす管理対象ファイルについての探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段、および、
該探査手段による探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段として、該コンピュータを機能させることを特徴とする、管理プログラム。
ネットワークを介して相互に通信可能に接続された利用者端末における、所定条件を満たす管理対象ファイルを管理する管理サーバとして、コンピュータを機能させるプログラムであって、
該利用者端末の記憶部におけるデータの中から探査手段によって探査された、前記所定条件を満たす管理対象ファイルについての探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段、および、
該探査手段による探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段として、該コンピュータを機能させることを特徴とする、管理プログラム。
(付記34)
該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開するように、該コンピュータを機能させることを特徴とする、付記33記載の管理プログラム。
該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開するように、該コンピュータを機能させることを特徴とする、付記33記載の管理プログラム。
(付記35)
該公開情報として、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とが含まれていることを特徴とする、付記34記載の管理プログラム。
該公開情報として、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とが含まれていることを特徴とする、付記34記載の管理プログラム。
(付記36)
該公開情報として、該管理対象ファイルの数の集計結果が含まれていることを特徴とする、付記34または付記35に記載の管理プログラム。
(付記37)
該公開情報として、該管理対象ファイルに対するアクセスの数の集計結果が含まれていることを特徴とする、付記34〜付記36のいずれか一項に記載の管理プログラム。
該公開情報として、該管理対象ファイルの数の集計結果が含まれていることを特徴とする、付記34または付記35に記載の管理プログラム。
(付記37)
該公開情報として、該管理対象ファイルに対するアクセスの数の集計結果が含まれていることを特徴とする、付記34〜付記36のいずれか一項に記載の管理プログラム。
(付記38)
該利用者端末において外部記憶媒体用のドライバがインストールされているか否かを調査する調査手段として、該コンピュータを機能させ、
該管理手段が、前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該利用者端末を管理するように、該コンピュータを機能させることを特徴とする、付記33〜付記37のいずれか一項に記載の管理プログラム。
該利用者端末において外部記憶媒体用のドライバがインストールされているか否かを調査する調査手段として、該コンピュータを機能させ、
該管理手段が、前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該利用者端末を管理するように、該コンピュータを機能させることを特徴とする、付記33〜付記37のいずれか一項に記載の管理プログラム。
(付記39)
該管理手段が、前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該外部記憶媒体用のドライバをインストールされた利用者端末に関する公開情報を作成し、作成された該公開情報を公開するように、該コンピュータを機能させることを特徴とする、付記38記載の管理プログラム。
該管理手段が、前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該外部記憶媒体用のドライバをインストールされた利用者端末に関する公開情報を作成し、作成された該公開情報を公開するように、該コンピュータを機能させることを特徴とする、付記38記載の管理プログラム。
(付記40)
該公開情報として、該管理対象ファイルを保有するとともに該外部記憶媒体用のドライバをインストールしている利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報と、当該利用者端末において保有されている該管理対象ファイルのファイル名とが含まれていることを特徴とする、付記39記載の管理プログラム。
(付記41)
該公開情報として、該利用者端末で実行された該外部記憶媒体への該管理対象ファイルの書出し回数が含まれていることを特徴とする、付記40記載の管理プログラム。
該公開情報として、該管理対象ファイルを保有するとともに該外部記憶媒体用のドライバをインストールしている利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報と、当該利用者端末において保有されている該管理対象ファイルのファイル名とが含まれていることを特徴とする、付記39記載の管理プログラム。
(付記41)
該公開情報として、該利用者端末で実行された該外部記憶媒体への該管理対象ファイルの書出し回数が含まれていることを特徴とする、付記40記載の管理プログラム。
(付記42)
該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末からの該管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更するように、該コンピュータを機能させることを特徴とする、付記33〜付記41のいずれか一項に記載の管理プログラム。
該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末からの該管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更するように、該コンピュータを機能させることを特徴とする、付記33〜付記41のいずれか一項に記載の管理プログラム。
(付記43)
該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和するように、該コンピュータを機能させることを特徴とする、付記42記載の管理プログラム。
該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和するように、該コンピュータを機能させることを特徴とする、付記42記載の管理プログラム。
(付記44)
該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和するように、該コンピュータを機能させることを特徴とする、付記42または付記43に記載の管理プログラム。
該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和するように、該コンピュータを機能させることを特徴とする、付記42または付記43に記載の管理プログラム。
(付記45)
該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和するように、該コンピュータを機能させることを特徴とする、付記42〜付記44のいずれか一項に記載の管理プログラム。
該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和するように、該コンピュータを機能させることを特徴とする、付記42〜付記44のいずれか一項に記載の管理プログラム。
(付記46)
該探査手段とし該利用者端末を機能させるプログラムを該利用者端末にインストールするインストール手段として、該コンピュータを機能させることを特徴とする、付記33〜付記45のいずれか一項に記載の管理プログラム。
該探査手段とし該利用者端末を機能させるプログラムを該利用者端末にインストールするインストール手段として、該コンピュータを機能させることを特徴とする、付記33〜付記45のいずれか一項に記載の管理プログラム。
(付記47)
該インストール手段が、該プログラムをインストールされていない利用者端末が該ネットワークに接続されたことを検知すると、当該利用者端末に該プログラムをインストールし、該プログラムを当該利用者端末に実行させて管理対象ファイルの有無を判定させるように、該コンピュータを機能させることを特徴とする、付記46記載の管理プログラム。
該インストール手段が、該プログラムをインストールされていない利用者端末が該ネットワークに接続されたことを検知すると、当該利用者端末に該プログラムをインストールし、該プログラムを当該利用者端末に実行させて管理対象ファイルの有無を判定させるように、該コンピュータを機能させることを特徴とする、付記46記載の管理プログラム。
1 個人情報管理システム(管理システム)
10 利用者端末
10a CPU
10b 記憶部
10c 検疫テーブル
10d Pマークテーブル
11 探査手段
111 抽出手段
112 切出手段
113 第1判定手段
113a 電話番号判定手段
113b 電子メールアドレス判定手段
113c 住所判定手段
114 文字判定手段
115 照合手段
116 第2判定手段
12 アクセス検知手段
13 送受信手段(送信手段)
14 外部記憶媒体用ドライバ(USBドライバ)
15 暗号化手段/登録手段(暗号化機能)
20 個人情報管理サーバ(管理サーバ/ファイルアクセス管理サーバ)
20a CPU
20b データベース
20c 表示部
21 利用者情報収集手段(調査手段)
22 インストール手段
23 収集手段(ログ収集手段)
24 管理コンソール
25 管理手段
26 表示制御手段
27 送受信手段
27a ファイル受信手段
27b 暗号化ファイル送信手段
27c 認証情報受信手段
27d 復号鍵送信手段
28 暗号化手段
29 判定手段
30 ネットワーク(社内LAN)
40 外部記憶媒体(USBメモリ)
101,103,105,108,110,112,114,116,118 画面(公開情報)
102,104,106,107,109,111,113,115,117,119 リスト(公開情報)
10 利用者端末
10a CPU
10b 記憶部
10c 検疫テーブル
10d Pマークテーブル
11 探査手段
111 抽出手段
112 切出手段
113 第1判定手段
113a 電話番号判定手段
113b 電子メールアドレス判定手段
113c 住所判定手段
114 文字判定手段
115 照合手段
116 第2判定手段
12 アクセス検知手段
13 送受信手段(送信手段)
14 外部記憶媒体用ドライバ(USBドライバ)
15 暗号化手段/登録手段(暗号化機能)
20 個人情報管理サーバ(管理サーバ/ファイルアクセス管理サーバ)
20a CPU
20b データベース
20c 表示部
21 利用者情報収集手段(調査手段)
22 インストール手段
23 収集手段(ログ収集手段)
24 管理コンソール
25 管理手段
26 表示制御手段
27 送受信手段
27a ファイル受信手段
27b 暗号化ファイル送信手段
27c 認証情報受信手段
27d 復号鍵送信手段
28 暗号化手段
29 判定手段
30 ネットワーク(社内LAN)
40 外部記憶媒体(USBメモリ)
101,103,105,108,110,112,114,116,118 画面(公開情報)
102,104,106,107,109,111,113,115,117,119 リスト(公開情報)
Claims (16)
- 電子ファイルを含むデータを保持する記憶部を有する利用者端末と、
該利用者端末とネットワークを介して相互に通信可能に接続され、該利用者端末における、個人情報要素もしくは機密情報要素を所定数以上保有しているという条件を満たす管理対象ファイルを管理する管理サーバとをそなえ、
該利用者端末が、
該記憶部におけるデータの中から前記所定条件を満たす管理対象ファイルを特定して探査する探査手段と、
該ネットワークを介して該探査手段による探査の結果を該管理サーバへ送信する送信手段とをそなえて構成されるとともに、
該管理サーバが、
該利用者端末から送信されてきた前記探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段と、
前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段とをそなえて構成され、
該管理手段が、該利用者端末から送信されてきた前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更し、該利用者端末からの該管理対象ファイルの流出を防止することを特徴とする、管理システム。 - 該管理手段が、該利用者端末から送信されてきた前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする、請求項1記載の管理システム。
- 該管理サーバが、該利用者端末において外部記憶媒体用のドライバがインストールされているか否かを調査する調査手段をさらにそなえて構成され、
該管理手段が、該利用者端末から送信されてきた前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該利用者端末を管理することを特徴とする、請求項1または請求項2に記載の管理システム。 - 該管理手段が、該利用者端末から送信されてきた前記探査の結果、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログ、および、該調査手段による調査の結果に基づいて、該外部記憶媒体用のドライバをインストールされた利用者端末に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする、請求項3記載の管理システム。
- 該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、請求項1〜請求項4のいずれか一項に記載の管理システム。
- 該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、請求項1〜請求項5のいずれか一項に記載の管理システム。
- 該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和することを特徴とする、請求項1〜請求項6のいずれか一項に記載の管理システム。
- 該管理手段が、閲覧禁止サイトへのアクセスを行なっている利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、閲覧禁止サイトへのアクセスを行なっていない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和することを特徴とする、請求項1〜請求項7のいずれか一項に記載の管理システム。
- 前記条件が、特定の個人を識別可能な個人情報要素を所定数以上保有していることであり、該探査手段が、該記憶部におけるデータの中から前記所定条件を満たす管理対象ファイルつまり個人情報ファイルを特定して探査することを特徴とする、請求項1〜請求項8のいずれか一項に記載の管理システム。
- 該探査手段が、
判定対象ファイルに含まれるテキストデータを抽出する抽出手段と、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段とをそなえて構成されていることを特徴とする、請求項9記載の管理システム。 - ネットワークを介して相互に通信可能に接続された利用者端末における、個人情報要素もしくは機密情報要素を所定数以上保有しているという条件を満たす管理対象ファイルを管理する管理サーバとして、コンピュータを機能させるプログラムであって、
該利用者端末の記憶部におけるデータの中から探査手段によって探査された、前記所定条件を満たす管理対象ファイルについての探査の結果に基づいて該利用者端末における該管理対象ファイルを把握し、該管理対象ファイルに対するアクセスログを該利用者端末から収集して記録するログ収集手段、および、
該探査手段による探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末を管理する管理手段として、該コンピュータを機能させるとともに、
該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該利用者端末におけるセキュリティレベルを変更・設定し、該セキュリティレベルに応じて、該利用者端末におけるファイルに対するアクセスの制限を変更し、該利用者端末からの該管理対象ファイルの流出を防止するように、該コンピュータを機能させることを特徴とする、管理プログラム。 - 該管理手段が、前記探査の結果、および、該ログ収集手段によって収集・記録された、該管理対象ファイルに対する該アクセスログに基づいて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開するように、該コンピュータを機能させることを特徴とする、請求項11記載の管理プログラム。
- 該管理手段が、該管理対象ファイルにかかわる処理/操作を実行した利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該管理対象ファイルにかかわる処理/操作を所定期間にわたり実行していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和するように、該コンピュータを機能させることを特徴とする、請求項11または請求項12に記載の管理プログラム。
- 該管理手段が、該記憶部に該管理対象ファイルを保有している利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該記憶部に該管理対象ファイルを保有していない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和するように、該コンピュータを機能させることを特徴とする、請求項11〜請求項13のいずれか一項に記載の管理プログラム。
- 該管理手段が、外部へ送出されるファイルを自動的に暗号化する暗号化機能を設定されていない利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセスの制限を厳格化する一方、該暗号化機能を設定されている利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセスの制限を解除もしくは緩和するように、該コンピュータを機能させることを特徴とする、請求項11〜請求項14のいずれか一項に記載の管理プログラム。
- 該管理手段が、閲覧禁止サイトへのアクセスを行なっている利用者端末については該セキュリティレベルを高く設定してファイルに対するアクセス制限を厳格化する一方、閲覧禁止サイトへのアクセスを行なっていない利用者端末については該セキュリティレベルを低く設定してファイルに対するアクセス制限を解除もしくは緩和するように、該コンピュータを機能させることを特徴とする、請求項11〜請求項15のいずれか一項に記載の管理プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005239284A JP3890367B1 (ja) | 2005-08-22 | 2005-08-22 | 管理システムおよび管理プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005239284A JP3890367B1 (ja) | 2005-08-22 | 2005-08-22 | 管理システムおよび管理プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP3890367B1 true JP3890367B1 (ja) | 2007-03-07 |
| JP2007058257A JP2007058257A (ja) | 2007-03-08 |
Family
ID=37921747
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005239284A Expired - Fee Related JP3890367B1 (ja) | 2005-08-22 | 2005-08-22 | 管理システムおよび管理プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3890367B1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4799486B2 (ja) * | 2007-06-12 | 2011-10-26 | 東日本電信電話株式会社 | 検査システム、サーバ装置及びプログラム |
| JP4608522B2 (ja) * | 2007-07-12 | 2011-01-12 | Sky株式会社 | ファイル管理システム |
| JP2009182603A (ja) * | 2008-01-30 | 2009-08-13 | Sky Co Ltd | ネットワーク監視システム及びネットワーク監視プログラム |
-
2005
- 2005-08-22 JP JP2005239284A patent/JP3890367B1/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007058257A (ja) | 2007-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3814655B1 (ja) | ファイル管理システム,情報処理装置およびファイル管理プログラム | |
| JP4742010B2 (ja) | 個人情報ファイルの監視システム | |
| JP3918023B2 (ja) | 個人情報管理システム | |
| JP3878975B1 (ja) | 管理サーバおよび管理プログラム | |
| JP3762935B1 (ja) | 情報処理装置,ファイル管理システムおよびファイル管理プログラム | |
| JP3705439B1 (ja) | 個人情報探索プログラム,個人情報管理システムおよび個人情報管理機能付き情報処理装置 | |
| JP4206459B2 (ja) | 個人情報管理端末および個人情報管理システムならびに個人情報管理プログラム | |
| JP3909362B1 (ja) | 個人情報管理システム,個人情報管理サーバおよび個人情報管理プログラム | |
| JP4168188B2 (ja) | 管理システムおよび管理サーバならびに管理プログラム | |
| JP2009230763A (ja) | 情報管理システム、情報処理端末装置、および情報管理システムプログラム | |
| JP2014013474A (ja) | ログ監査システム | |
| JP4082520B2 (ja) | 個人情報探索プログラム | |
| JP4175578B1 (ja) | 管理システムおよび管理プログラム | |
| Accorsi | Automated privacy audits to complement the notion of control for identity management | |
| JP3890367B1 (ja) | 管理システムおよび管理プログラム | |
| JP3799479B1 (ja) | 個人情報管理システム,個人情報管理サーバおよび個人情報管理プログラム | |
| JP2007199981A (ja) | 個人情報管理システム、個人情報管理サーバ、および個人情報管理サーバ用プログラム | |
| JP4251369B2 (ja) | 個人情報管理システムおよび個人情報管理プログラム | |
| JP3823168B1 (ja) | 管理サーバおよび管理プログラム | |
| JP3928006B2 (ja) | 顧客情報管理システム | |
| JP4139919B2 (ja) | 個人情報探索プログラム | |
| JP5430618B2 (ja) | 動的アイコンオーバーレイシステムおよび動的オーバーレイを作成する方法 | |
| JP4175575B2 (ja) | 個人情報探索プログラム | |
| JP4206466B2 (ja) | 個人情報探索プログラム | |
| JP4370536B2 (ja) | 管理システムおよび管理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091215 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101215 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |