以下、図面を参照して本発明の実施の形態を説明する。
〔1〕本実施形態の個人情報管理システムの構成
図1は本発明の一実施形態としての個人情報管理システムの構成を示すブロック図で、この図1に示すように、本実施形態の個人情報管理システム1は、複数のクライアント端末10のほかに個人情報管理サーバ20およびファイルアクセス管理サーバ30をそなえて構成され、これらの端末10およびサーバ20,30がネットワーク〔例えば、社内LAN(Local Area Network)〕40を介して相互に通信可能に接続されている。
各クライアント端末10は、企業等の社内において各社員(利用者)によって使用されるパーソナルコンピュータ(PC)等の端末装置によって構成され、図2および図3を参照しながら後述するような機能構成を有している。
個人情報管理サーバ20は、複数のクライアント端末10およびファイルアクセス管理サーバ30とネットワーク40を介して相互に通信可能に接続され、各クライアント端末10における個人情報ファイルを管理するもので、図4を参照しながら後述するような機能構成を有している。
本実施形態において、個人情報ファイル(個人情報集合体)は、個人情報を含むレコードを所定数以上保有しているものであり、個人情報は、前述した通り、単体もしくは組合せによって特定の個人を識別することのできる情報(各種個人情報要素)、例えば氏名,生年月日,連絡先(住所,居所,電話番号,メールアドレス)などを含むものである。なお、個人情報としては、これら以外に、役職名,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号なども挙げられる。
ファイルアクセス管理サーバ30は、複数のクライアント端末10および個人情報管理サーバ20とネットワーク40を介して相互に通信可能に接続され、電子ファイル(データ集合体;特に本実施形態では個人情報ファイル)に対するアクセスを管理するもので、図5を参照しながら後述するような機能構成を有している。
〔1−1〕本実施形態のクライアント端末の機能構成
図2は本実施形態の各クライアント端末10の機能構成を示すブロック図で、この図2に示すように、本実施形態のクライアント端末(個人情報管理機能付き情報処理装置)10は、各種処理を実行するCPU(Central Processin Unit;演算処理部)10aと、個人情報等のデータ集合体(電子ファイル)を保持しうる記憶部10bとをそなえるほか、個人情報管理サーバ20から提供される検疫テーブル10cや、記憶部10bに保持されるデータ集合体(電子ファイル)のPマーク(プライバシレベルマーク;個人情報ファイルである可能性の高さを示すレベルで、後述する判定値によって決定されるレベル)を保持するPマークテーブル10dをそなえて構成されている。
ここで、記憶部10bは、クライアント端末10に内蔵されるハードディスクや、クライアント端末10に接続・外付けされる記憶装置、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど),磁気ディスク,光ディスク,光磁気ディスクのほかICカード,ROMカートリッジ,磁気テープなどの記録媒体を用いる記憶装置である。なお、上述した検疫テーブル10cおよびPマークテーブル10dは、クライアント端末10を構成するRAM(Random Access Memory)やハードディスク等に保持される。
CPU10aは、個人情報探索手段11,CPU使用率監視手段12,入出力監視手段13,制御手段14,アクセス監視手段15および送受信手段16としての機能を果たすもので、これらの機能は、CPU10aが、後述するごとく個人情報管理サーバ20からインストールされた個人情報探索プログラムを実行することによって実現される。
個人情報探索手段11は、個人情報管理サーバ20からインストールされる個人情報探索プログラムを実行することにより、記憶部10bに保存されている電子ファイル(対象ファイル)をテキストファイルにするテキスト抽出エンジンとして機能するとともに、検疫テーブル10cを用いて記憶部10bにおけるデータの中から個人情報ファイルを探索する探索エンジンとして機能するものである。つまり、個人情報探索手段11は、個人情報管理サーバ20から指示された条件(検疫テーブル10c)に従って、クライアント端末10の記憶部10bに存在する各種電子ファイル(データ集合体)を参照して個人情報ファイルの探索を行ない、対象ファイル(個人情報ファイルであると判定されたファイル)をログ(ローカルキャッシュデータベース)に書き出すものである。また、本実施形態では、この個人情報探索手段11で得られた探索結果(判定値)に基づいて決定されたPマークがPマークテーブル10dに登録される。この個人情報探索手段11の機能構成の詳細については、図3を参照しながら後述する。
CPU使用率監視手段12は、本クライアント端末10で各種処理を実行するCPU10aの使用率を監視するものであり、入出力監視手段13は、記憶部10bにおけるデータの入出力動作(I/O動作)を監視するものである。
制御手段14は、個人情報管理サーバ20からインストールされる個人情報探索プログラムを実行することにより図7および図8を参照しながら後述するごとく動作するもので、CPU使用率監視手段12によって監視されているCPU10aの使用率が所定閾値以下である場合に個人情報探索手段11を作動させる一方、その使用率が所定閾値を超えている場合に個人情報探索手段11の動作を停止させるほか、入出力監視手段13によって入出力動作の発生を検知した時点で個人情報探索手段11を作動させるものである。特に、本実施形態の制御手段14は、CPU10aの使用率が所定閾値(最低閾値)を下回ると個人情報探索手段11を作動させ、CPU10aの使用率が所定閾値(最高閾値)を上回ると個人情報探索手段11をアイドル状態(探索ホール状態)にするもので、個人情報探索手段11をスクリーンセーバー的に動作させる。
アクセス監視手段15は、個人情報探索手段11で個人情報ファイルであると判定された電子ファイル(Pマークを付与された電子ファイル)を監視し、その電子ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じた場合にはその旨をログ情報として書き出し送受信手段16によって個人情報管理サーバ20に送信させるものである。
送受信手段16は、ネットワーク40を介して個人情報管理サーバ20(もしくはファイルアクセス管理サーバ30)との間で各種情報を送受信するもので、個人情報探索手段11による自己探索の結果を個人情報管理サーバ20へ送信する送信手段として機能するものである。送受信手段16が上記送信手段として機能する際、探索結果(個人情報ファイルのリンク先情報や判定値など)を、前回送信した探索結果との差分を得て、その差分を個人情報管理サーバ20へ送信するほか、送信すべき情報を暗号化するようになっている。
〔1−2〕本実施形態の個人情報探索手段の詳細な機能構成
図3は本実施形態の各クライアント端末10における個人情報探索手段11の詳細な機能構成を示すブロック図で、この図3に示すように、本実施形態の個人情報探索手段11は、抽出手段111,切出手段112,第1判定手段113,文字判定手段114,照合手段115および第2判定手段116としての機能を有しており、これらの機能も、CPU10aが、後述するごとく個人情報管理サーバ20からインストールされた個人情報探索プログラムを実行することによって実現される。
ここで、第1判定手段113,文字判定手段114,照合手段115および第2判定手段116が、個人情報ファイル判定手段として機能する。本実施形態の個人情報ファイル判定手段は、後述するごとく、切出手段112によって後述するごとく切り出された文字区間における文字列が個人情報要素であるか否かを判定し、個人情報要素であると判定された文字列の数(計数結果)に基づいて判定対象のデータ集合体が個人情報ファイルであるか否かを判定するものである。
抽出手段111は、記憶部10bにおける電子ファイルのテキストデータ〔例えばCSV(Comma Separated Value)形式のデータ〕を抽出し、ファイルバッファ(図示略)に格納するもので、前記テキスト抽出エンジンとして機能するものである。なお、上記ファイルバッファには、2バイトコード文字(全角文字)がファイルバッファの終端で欠けないように取り込まれる。また、切出手段112によってファイルバッファから後述するデータ整形用バッファ(図示略)へデータが切り出されて取り込まれると、その分だけデータが上記ファイルバッファに取り込まれるようになっている。
切出手段112は、抽出手段111によって抽出されたテキストデータから、所定の区切り位置で区切られた文字区間を切り出して、判定対象/照合対象として後述するバッファ(図示略)に順次書き出すものである。
ここで、上記所定の区切り位置としては、予め設定された区切り文字の出現位置、もしくは、1バイトコード文字と2バイトコード文字との境界位置(半角文字/ASCII文字のあとに全角文字が続く部分もしくは全角文字のあとに半角文字/ASCII文字が続く部分)、もしくは、全角算用数字「0」〜「9」と全角算用数字およびハイフンを除く文字との境界位置が含まれている。また、区切り文字は、データの区切りであるデリミタ(delimiter)、具体的には、半角スペース,半角カンマ(半角カンマ+半角スペースも半角カンマと見なす),タブ文字(半角),CR(Carrige Return),LF(Line Feed)のほか、「:(コロン)」,「;(セミコロン)」,「>」,「}」,「]」とする。
切出手段112は、ファイルバッファからテキストデータをデータ整形用バッファへ1文字ずつ切り出して取り込み、上述した区切り位置が出現すると、その区切り位置で取り込みを終了する。このときも2バイトコード文字(全角文字)がデータ整形用バッファの終端で欠けないようにデータ取込みを行なう。これにより、本実施形態では、例えば「佐藤太郎09012341234東京都港区」や「佐藤太郎sato@xxxx.com東京都港区」のごとく全角文字で記載された住所や氏名などと半角文字で記載された電話番号や電子メールアドレスなどの文字列とがテキストデータにおいて区切り文字によって区切られることなく混在する場合や、例えば「佐藤太郎09012341234東京都港区」のごとく全角文字で記載された住所や氏名などと全角文字で記載された電話番号などの数字列とがテキストデータにおいて区切り文字によって区切られることなく混在する場合であっても、住所,氏名,電話番号,電子メールアドレスなどの個人情報要素毎に文字区間「佐藤太郎」,「09012341234」,「東京都港区」,「sato@xxxx.com」,「09012341234」を切り出すことが可能になる。
このようにデータ整形用バッファに取り込まれたデータ(判定対象の文字区間)は、データ整形用バッファからデータ解析用バッファ(図示略)へ取り込まれるが、その際、その文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号等が取り除かれる。このとき除去されるもの(不要文字)としては、例えば、半角スペース,全角スペースのほか、半角ハイフン,全角ハイフン,アンダバー,括弧記号,!,#,$,%,=,+,*,?,¥,/,|などの記号文字が定義される。本実施形態では、切出手段112が、上述のような不要文字を除去する機能を有しているものとする。
第1判定手段113は、上記データ解析用バッファに取り込まれた文字列、つまり、切出手段112によって切り出され不要文字を除去された文字区間における文字列(以下、単に文字列という)が、氏名以外の個人情報要素(具体的に本実施形態では電話番号,電子メールアドレス,住所のうちのいずれか一つ)に該当するか否かを判定すべく、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cとしての機能をそなえている。なお、本実施形態の第1判定手段113では、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で、上記文字列の判定処理を行なっている。また、第1判定手段113は、上記データ解析用バッファに取り込まれたデータのサイズをチェックし、そのサイズが3バイト以下の場合、そのデータを個人情報と判断せず、判定処理を行なわないようにしてもよい。
電話番号判定手段113aは、上記文字列が電話番号に該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている電話番号判定条件を満たす場合、上記文字列が電話番号に該当するものと判定し、その旨を第2判定手段116に通知し、上記文字列に対する第1判定手段113による判定処理を終了させるものである。本実施形態において、電話番号判定条件は、上記文字列が9〜11桁の半角数字もしくは全角数字の連続であり、且つ、1文字目(先頭文字)が「0」で2文字目が「0」以外であることとする。
電子メールアドレス判定手段113bは、電話番号判定手段113aによって上記文字列が電話番号に該当しないと判定された場合に、上記文字列が電話メールアドレスに該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている電子メールアドレス判定条件を満たす場合、上記文字列が電子メールアドレスに該当するものと判定し、その旨を第2判定手段116に通知し、上記文字列に対する第1判定手段113による判定処理を終了させるものである。
本実施形態において、電子メールアドレス判定条件は、上記文字列中に「一文字以上のASCII」+「@(アットマーク)」+「一文字以上のASCII」+「.(ドット)」+「一文字以上のASCII」となる文字列が含まれており、且つ、当該文字列の最後の文字が半角の英字であることとする。この場合、最短の電子メールアドレスは例えば「a@a.a」となり、また、例えば「123@45.67」のごとく英字以外の文字(例えば数字)で終わるような文字列は電子メールアドレスでないと判定されることになる。なお、上記電子メールアドレス判定条件によれば、5バイトに満たないデータは電子メールアドレスの判定対象にならず、判定処理を行なわない。
住所判定手段113cは、電子メールアドレス判定手段113bによって上記文字列が電子メールアドレスに該当しないと判定された場合に、上記文字列が住所(居所)に該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている住所判定条件を満たす場合、上記文字列が住所に該当するものと判定し、その旨を第2判定手段116に通知するものである。
本実施形態において、住所判定条件は、上記文字列中に「1文字以上13文字以下の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字または半角文字」となる文字列が含まれており、且つ、当該文字列の先頭文字が日本全国における47都道府県名もしくは市区郡名の頭文字と一致することとする。これにより、例えば「受入区分名」といった「区」を途中に含む文字列であるが住所とは全く関係の無い文字列を誤って住所として判定することがなくなる。このとき、CPU10aの演算処理能力が十分に高い場合には、上記文字列に加え、郵便番号に対応する7桁の数字が含まれていることを住所判定条件に加えてもよい。なお、上記住所判定条件によれば、5バイトに満たないデータは電子メールアドレスの判定対象にならず、判定処理を行なわない。
文字判定手段114は、第1判定手段113によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合に、その文字列が、検疫テーブル10cに設定されている文字判定条件を満たすか否か、具体的には、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であるか否か、さらに、上記文字列の先頭文字が、日本人に多い苗字上位所定数に属する苗字の頭文字と一致するか否かを判定するものである。
本実施形態において、文字判定条件は、上述したように、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であることであるが、ここで、上記所定範囲は、氏名の文字数として一般的(適切)な数の範囲、例えば2以上6以下に設定される。より具体的には、文字判定手段114による判定条件は、上記文字列が、4バイト〜12バイトの2バイトコード文字であり、且つ、0x889F〜0xEEECの範囲内のデータ(Shift-JISの漢字領域)であり、且つ、第2バイトは0x40〜0x7Eまたは0x80〜0xFC(Shift-JISの仕様)であり、先頭文字が、日本人に多い苗字上位3000個に属する苗字の頭文字と一致することである。上位3000個の苗字を対象とすることで、日本人の8割以上を網羅することができる。
照合手段115は、第1判定手段113によって電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された文字区間であって、さらに文字判定手段114によって上記所定範囲内であり且つ全ての文字が漢字であると判定された文字区間について、当該文字区間に含まれる文字/文字列と氏名において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列とを照合することにより、当該文字区間が不適切文字/不適切文字列を含むか否かを判定し、その照合判定結果を第2判定手段116に通知するものである。
ここで、不適切文字/不適切文字列は、検疫テーブル10cに予め設定されており、例えば、東京,大阪,名古屋,横浜,九州,北海道,京都,首都,個人,学園,店,株,県,大学,学院,東証,研究,管理,総務,経理,営業,統括,製薬,販売,学校,教育,専門,建築,機械,法人,工場,製,技術,商,図書,不明,次長,公開,出版,広告,放送,対象,卸売,小売,企画,人事,情報,部門,社長,取締,部長,課長,係長,役員,本社,支社,事業,業務,教務,精密,石油,運輸,経営,戦略,資材,技師,電気,生産,税務,広報,運送,主任,電算,財務,事務,開発,政策,制作,経済,産業,金融,銀行,調査,英語,品質,保証,設備,担当,主席,主事,監査,支援,設計,保険,金庫,事業,代表,交通,第一,第二,第三,第四,第五,第六,第七,第八,第九,特販,施設,氏名,郵便,名前,名称,市役,所属,特色,幼稚,基督,協会,教会,組合,教団,商工,全国,支部,連絡,議会,生活,消費,推進,市役所,区役所,総合,修正,機能,概要,構成,企業,組織,関連,削除,文書,期限,有効,整備といった、一般的な氏名において出現し得ない文字/文字列、つまり、氏名としては不適切な文字/文字列である。
第2判定手段(判定手段)116は、第1判定手段113における電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cによる判定結果と照合手段115による照合判定結果とに基づいて、対象ファイルが個人情報ファイルであるか否かを判定するものである。
より具体的に説明すると、第2判定手段116は、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cからの判定結果の通知を受け電話番号,電子メールアドレス,住所のそれぞれに該当すると見なされた文字区間の数を計数するとともに、照合手段115からの照合判定結果を受け、照合手段115によって不適切文字/不適切文字列を含まないと判定された文字区間を氏名に該当するものと見なし、その数を計数する。
そして、第2判定手段116は、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数結果(4つの計数値;電話番号数,電子メールアドレス数,住所数,氏名数)に基づいて、これらの計数値が大きくなるほど大きくなる判定値を算出する。例えば、第2判定手段116は、4つの計数値の総和を上記判定値として算出してもよいし、電話番号,電子メールアドレス,住所,氏名のそれぞれについて重み係数を予め設定しておき、各個人情報要素についての重み係数と計数値との乗算結果の総和を上記判定値として算出してもよく、上記判定値の算出手法は種々考えられる。
上述のような判定値が算出されると、第2判定手段116は、その判定値に基づいて、対象ファイルが個人情報ファイルであるか否かを判定する。具体的には、前記判定値が所定閾値を超えた場合に対象ファイルが個人情報ファイルであると判定する。このような判定を行なう際に、第2判定手段116は、さらに、判定値の大きさに応じたPマーク(プライベートレベルマーク)を、対象ファイルに付与して、Pマークテーブル10dに設定・登録し、ランク付けを行なう。このPマークは、前述した通り、対象ファイルが個人情報ファイルである可能性の高さを示すレベルであり、判定値が大きいほどPマークは高いランクに設定される。
例えば、前記判定値が10以上となった場合、対象ファイルが個人情報ファイルであると判定する。また、前記判定値が10以上100未満である場合、Pマークとして“P1”を付与し、前記判定値が100以上1000未満である場合、Pマークとして“P2”を付与し、前記判定値が1000以上10000未満である場合、Pマークとして“P3”を付与し、前記判定値が10000以上である場合、Pマークとして“P4”を付与する。なお、個人情報ファイルを判定するための所定閾値やPマークを決定するための基準値は、個人情報管理サーバ20(後述する管理コンソール24)から適宜設定される。また、ここではPマークを“P1”〜“P4”の4つにランク分けしているが、ランク分けの数はこれに限定されるものではない。
上述のように対象ファイルに付与されたPマーク(Pマークテーブル10d)は、送受信手段16およびネットワーク40を介して個人情報管理サーバ20へ送信され、図4を参照しながら後述するごとく、収集手段23によりデータベース20bに保存される。そして、Pマークを付与された電子ファイルは、そのPマークのランクに応じて、個人情報管理サーバ20(後述する個人情報管理手段25)により個人情報ファイルとして後述するごとく管理される。
〔1−3〕本実施形態の個人情報管理サーバの機能構成
図4は本実施形態の個人情報管理サーバ20の機能構成を示すブロック図で、この図4に示すように、本実施形態の個人情報管理サーバ20は、各種処理を実行するCPU20aと、各クライアント端末10からのログ情報や個人情報ファイルなどを格納・保存するデータベース(RDB:Relational DataBase)20bと、このデータベース20bに保存されたログ情報や個人情報を含む各種情報を表示する表示部20cとをそなえて構成されている。
CPU20aは、クライアント情報収集手段21,インストール手段22,収集手段23,管理コンソール24,個人情報管理手段25,表示制御手段26および送受信手段27としての機能を果たすもので、これらの機能は、CPU20aが、個人情報管理サーバ用プログラムを実行することによって実現される。
クライアント情報収集手段21は、個人情報ファイルの探索・管理を開始する際に、ネットワーク40を介して通信可能に接続された複数のクライアント端末10からクライアント情報(ホスト情報)を収集し、個人情報ファイルの探索・管理対象のクライアント端末10(もしくは上述した個人情報探索プログラムをインストールされていないクライアント端末10)を認識するものである。
インストール手段22は、ネットワーク40を介して、各クライアント端末10に、個人情報の自己探索を実行させる個人情報探索プログラム(クライアント端末10に個人情報探索手段11,CPU使用率監視手段12,入出力監視手段13,制御手段14,アクセス監視手段15および送受信手段16としての機能を実行させるプログラム)をインストールするものである。
収集手段23は、ネットワーク40および送受信手段27を介して、各クライアント端末10で実行された自己探索の結果(個人情報ファイルのリンク先情報,判定値,Pマークなど)を受信・収集し、データベース20bに格納するものである。
管理コンソール24は、各クライアント端末10に対して指示する判定条件(上記検疫テーブル10cや、個人情報ファイルやPマークを判定するために必要になる所定閾値など)を設定して管理するものである。検疫テーブル10cには、上述した電話番号判定条件,電子メールアドレス判定条件,住所判定条件,文字判定条件(上記所定範囲)や不適切文字/不適切文字列が設定される。
個人情報管理手段25は、収集手段23によって収集されデータベース20bに格納された探索結果に基づいて、各クライアント端末10における個人情報ファイルを管理するもので、各クライアント端末10の個人情報探索手段11で個人情報ファイルであると判定された電子ファイル(Pマークの付与された電子ファイル;以下、個人情報ファイルという)を管理対象としている。
この個人情報管理手段25は、各クライアント端末10から送信されてきた個人情報ファイルの判定値(またはPマーク)に応じて、個人情報ファイルの利用者(保有者)に注意情報/警告情報を通知したり、個人情報ファイルを、その個人情報ファイルを保存しているクライアント端末10から強制的に捕獲・回収したり、その個人情報ファイルがクライアント端末10から外部へ出力されるのを強制的に禁止したり、その個人情報ファイルを管理者のみがアクセス可能なフォルダ(図示略)に格納したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させたりするものである。
例えば、Pマークのランクが“P1”である場合、警告情報によるリコメンドは行なわないが“P1”の個人情報ファイルが存在することをログとして記録する。Pマークのランクが“P2”である場合、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報を通知する。Pマークのランクが“P3”である場合、その個人情報ファイルを保管している利用者が存在する旨を、システム管理者に対し警告情報としてメール等により通知するとともに、その個人情報ファイルの返却を利用者に指示する。Pマークのランクが“P4”である場合、その個人情報ファイルをクライアント端末10から強制的に捕獲・回収したり、個人情報ファイルがクライアント端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させたりする。なお、Pマークのランクが“P4”でなくても、“P3”の個人情報ファイルが所定日数放置された場合には、その個人情報ファイルに対して、Pマークのランクが“P4”である場合と同様の処置を実行するようにしてもよい。
また、個人情報管理手段25は、各クライアント端末10もしくはデータベース20bに格納された個人情報ファイルを種々の確度で探索する機能や、表示制御手段26によってその探索結果等を表示部20cに表示させる機能を有している。
表示制御手段26は、表示部20cに各種情報を表示させるべく表示部20cの表示状態を制御するものであり、送受信手段27は、ネットワーク40を介して各クライアント端末10との間で各種情報を送受信するものである。
〔1−4〕本実施形態のファイルアクセス管理サーバの機能構成
図5は本実施形態のファイルアクセス管理サーバ30の機能構成を示すブロック図で、この図5に示すように、本実施形態のファイルアクセス管理サーバ30は、例えば、個人情報管理サーバ20(個人情報管理手段25)から指示された個人情報ファイル(Pマークのランクが“P4”の個人情報ファイル)を管理対象とするもので、各種処理を実行するCPU30aと、後述するごとく暗号鍵や復号鍵などを保存する記憶部30bとをそなえて構成されている。なお、ここでは、Pマークのランクが“P4”の個人情報ファイルを管理対象としているが、Pマークのランクに関係なく、個人情報探索手段11によって個人情報ファイルであると判定された全ての電子ファイルをファイルアクセス管理サーバ30の管理対象としてもよい。
CPU30aは、後述する送受信手段31,変換手段32,暗号化手段33および判定手段34としての機能を果たすもので、これらの機能は、CPU30aが、ファイルアクセス管理サーバ用のプログラムを実行することによって実現される。また、記憶部30bは、後述するごとく、個人情報ファイルを暗号化するための暗号鍵や、暗号化された個人情報ファイルを復号化するための復号鍵や、暗号化された個人情報ファイルに対するアクセス権限(後述)や、予め登録されている利用者〔暗号化ファイルの閲覧を許可された登録者(社員)〕のユーザID/パスワードなどを保存するもので、例えばハードディスクやRAMによって構成されている。
送受信手段31は、ファイルアクセス管理サーバ30が本来有している通信機能によって実現されるものであって、後述する個人情報ファイル受信手段31a,暗号化ファイル送信手段31b,認証情報受信手段31cおよび復号鍵送信手段31dとしての機能を果たす。
個人情報ファイル受信手段31aは、個人情報管理サーバ20からネットワーク30経由で管理対象の個人情報ファイルを受信するものである。
変換手段32は、個人情報ファイル受信手段31aによって受信された管理対象の個人情報ファイルを、改竄操作の困難なPDF(Portable Document Format)ファイル等の完成文書ファイルに変換するものである。この変換手段32は例えばPDFドライバによって実現され、このPDFドライバを起動することにより、個人情報ファイルがPDF化され、完成文書ファイルとしてのPDFファイルが生成されるようになっている。
暗号化手段33は、変換手段32で得られたPDFファイルを、所定の暗号鍵を用いて暗号化するものである。
暗号化ファイル送信手段31bは、暗号化手段33によって暗号化(鍵掛け)されたファイル(以下、暗号化ファイルという)を、ネットワーク40経由で個人情報管理サーバ20に送信するものである。
なお、ファイルアクセス管理サーバ30による管理に際しては、上述のような暗号化手段33による暗号化時に、ポリシー設定によって、各暗号化ファイルに対する各種アクセス権限(閲覧,印刷,コピー等の権限)が利用者毎や暗号化ファイル毎に設定される。その際、システム運用を簡易化すべく1種類のポリシを設定し、そのポリシ設定によって、全ての暗号化ファイルに対する各クライアント端末10でのアクセス権限〔例えば、本システム1を導入している社内の全社員/全利用者(ファイルアクセス管理サーバ30に登録されている全登録者)のアクセス権限〕として、閲覧権限のみを自動的(強制的)に設定・付与し、閲覧以外のアクセス、例えば印刷,コピー,別名保存,画面キャプチャ(スクリーンショット)などのアクセスを一切行なえないようにしてもよい。。
認証情報受信手段31cは、クライアント端末10もしくは個人情報管理サーバ20での暗号化ファイルに対するアクセス時にクライアント端末10もしくは個人情報管理サーバ20からネットワーク40経由で送信されてくる認証情報を受信するものである。ここで、認証情報は、暗号化ファイルを開こうとしているクライアント端末10もしくは個人情報管理サーバ20の利用者がその暗号化ファイルの正当な送信先(利用者/登録者)であることをファイルアクセス管理サーバ30で判定・認証するために必要な情報であり、ファイルアクセス管理サーバ30によるサービスの利用者についてこのファイルアクセス管理サーバ30(記憶部30b)に予め登録されたユーザIDおよびパスワードを含んでいる。これらのユーザIDおよびパスワードは、暗号化ファイルを開く際に利用者がキーボードやマウスを操作することにより入力される。
判定手段34は、認証情報受信手段31cによって受信された認証情報に基づいて、認証情報を送信したクライアント端末10/個人情報管理サーバ20が暗号化ファイルの正当な送信先であるか否かを判定するもので、実際には、利用者によって入力されたユーザIDおよびパスワードが、ファイルアクセス管理サーバ30の記憶部30bに予め登録・保存されているユーザIDおよびパスワードと一致するか否かを判定することにより、その利用者が正当な登録者であるか否かを判定・認証するものである。
復号鍵送信手段31dは、判定手段34によって利用者が正当な登録者であることが認証された場合に、暗号化ファイルを復号化するための復号鍵を記憶部30bから読み出してクライアント端末10もしくは個人情報管理サーバ20にネットワーク40経由で送信するものである。
そして、クライアント端末10もしくは個人情報管理サーバ20においては、ファイルアクセス管理サーバ30から復号鍵を受信すると、その復号鍵を用いて暗号化ファイルの復号化を行ない元の個人情報ファイルを復元し、復元された個人情報ファイルに対し、与えられたアクセス権限に応じたアクセス(例えば閲覧)が行なわれるようになる。
〔2〕本実施形態の個人情報管理システムの動作
次に、図6〜図10を参照しながら、上述のごとく構成された本実施形態の個人情報管理システム1の動作について説明する。
〔2−1〕クライアント端末における個人情報探索手段の動作
本実施形態の個人情報探索手段11では、以下のように、電話番号,電子メールアドレス,住所および氏名の出現頻度をそれぞれ数値化し、個人情報ファイルの特定・探索を行なっている。その際、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれている場合、その文字区間は、個人情報要素(本実施形態では氏名)には該当しないものと見なされて除外される一方、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれていない場合、その文字区間は、個人情報をなす個人情報要素に該当するものと見なされて、つまり個人情報要素が出現したものと見なされ、出現回数のカウントアップを行なっている。
本実施形態の各クライアント端末10において、上述した個人情報探索手段11(個人情報探索プログラム)によって実行される個人情報ファイルの探索動作の一連の手順を、図6に示すフローチャート(ステップS101〜S118)に従って説明する。
本実施形態の個人情報管理システム1を構築する際には、まず、個人情報管理サーバ20として機能すべきコンピュータに個人情報管理サーバ用プログラムをインストールし、そのコンピュータが個人情報管理サーバ用プログラムを実行することにより個人情報管理サーバ20としての機能を果たす。そして、個人情報ファイルの探索・管理を開始する際には、図9(ステップS401〜S403)を参照しながら後述するごとく、個人情報管理サーバ20により、個人情報ファイルの探索・管理対象のクライアント端末10が認識され、認識されたクライアント端末10に対しネットワーク40経由で個人情報探索プログラムがインストールされる。
このようにインストールされた個人情報探索プログラムをクライアント端末10のCPU10aで実行することにより、CPU10aが個人情報探索手段11,CPU使用率監視手段12,入出力監視手段13,制御手段14,アクセス監視手段15および送受信手段16としての機能を果たす。なお、個人情報探索プログラムをインストールする際には、検疫テーブル10cも併せて送信される。また、個人情報探索プログラムは、個人情報管理サーバ用プログラムに予め含まれている。
クライアント端末10においては、図7および図8を参照しながら後述するタイミングで個人情報探索手段11が作動すると、Pマークテーブル10dおよび記憶部10bが参照され、この記憶部10bにおけるPマーク未設定の電子ファイルの有無が判定される(ステップS101)。
Pマーク未設定の電子ファイルが存在する場合(ステップS101のYESルート)、記憶部10bからPマーク未設定の電子ファイルが対象ファイルとして一つ選択されて読み出され(ステップS102)、その対象ファイルから抽出手段(テキスト抽出エンジン)111によりテキストデータが抽出され、上記ファイルバッファに取り込まれる(ステップS103)。
このようにファイルバッファに取り込まれたテキストからは、切出手段112により、文字区間が、上述した所定の区切り位置で区切られて切り出され、判定対象/照合対象として上記データ整形用バッファを経由して上記データ解析用バッファに順次書き出される(ステップS104)。文字区間の切り出しに際し、前述したように、切出手段112により、文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の不要文字、例えば半角スペース,全角スペースのほか、半角ハイフン,全角ハイフン,アンダバー,括弧記号,!,#,$,%,=,+,*,?,¥,/,|などの記号文字が除去される。
そして、切出手段112によって切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当するか否かを、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cによって順次判定する(ステップS105,S107,S109)。
まず、電話番号判定手段113aにより、上記文字列が電話番号に該当するか否かが判定される(ステップS105)。その際、上記文字列が検疫テーブル10cに設定されている電話番号判定条件を満たしていれば、つまり上記文字列が9〜11桁の半角数字もしくは全角数字の連続であり、且つ、1文字目(先頭文字)が「0」で2文字目が「0」以外であれば、上記文字列が電話番号に該当するものと判定され(ステップS105のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、電話番号の出現回数に対応する計数値が1だけカウントアップされ(ステップS106)、ステップS114の処理へ移行する。
上記文字列が電話番号に該当しないと判定された場合(ステップS105のNOルート)、電子メールアドレス判定手段113bにより、上記文字列が電話メールアドレスに該当するか否かが判定される(ステップS107)。その際、上記文字列が検疫テーブル10cに設定されている電子メールアドレス判定条件を満たしていれば、つまり上記文字列中に「一文字以上のASCII」+「@(アットマーク)」+「一文字以上のASCII」+「.(ドット)」+「一文字以上のASCII」となる文字列が含まれており、且つ、当該文字列の最後の文字が半角の英字であれば、上記文字列が電子メールアドレスに該当するものと判定され(ステップS107のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、電子メールアドレスの出現回数に対応する計数値が1だけカウントアップされ(ステップS108)、ステップS114の処理へ移行する。
上記文字列が電子メールアドレスに該当しないと判定された場合(ステップS107のNOルート)、住所判定手段113cにより、上記文字列が住所(居所)に該当するか否かが判定される(ステップS109)。その際、上記文字列が検疫テーブル10cに設定されている住所判定条件を満たしていれば、つまり上記文字列中に「1文字以上13文字以下の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字または半角文字」となる文字列が含まれており、且つ、当該文字列の先頭文字が日本全国における47都道府県名もしくは市区郡名の頭文字と一致していれば、上記文字列が住所に該当するものと判定され(ステップS109のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、住所(居所)の出現回数に対応する計数値が1だけカウントアップされ(ステップS110)、ステップS114の処理へ移行する。
上記文字列が住所に該当しないと判定された場合(ステップS109のNOルート)、つまり第1判定手段113によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合、文字判定手段114により、その文字列が、検疫テーブル10cに設定されている文字判定条件(文字数が2以上6以下であり且つ全ての文字が漢字であり且つ上記文字列の先頭文字が日本人に多い苗字上位所定数に属する苗字の頭文字と一致すること)を満たすか否かが判定される(ステップS111)。この文字判定条件を満たさない場合(ステップS111のNOルート)、ステップS114の処理へ移行する。
一方、この文字判定条件を満たす場合(ステップS111のYESルート)、照合手段115により、当該文字区間(上記文字列)に含まれる文字/文字列と検疫テーブル10cに設定されている氏名についての不適切文字/不適切文字列とが照合され、当該文字区間に不適切文字/不適切文字列が含まれるか否かが判定される(ステップS112)。当該文字区間に、一つでも不適切文字/不適切文字列と一致する文字/文字列が存在した場合(ステップS112のYESルート)には、その時点で不適切文字/不適切文字列との照合処理を直ちに終了し、ステップS114の処理へ移行する。
また、当該文字区間に不適切文字/不適切文字列が含まれていない場合(ステップS112のNOルート)、その照合判定結果が第2判定手段116に通知され、この第2判定手段116において、当該文字区間が氏名に該当するものと見なされ、氏名の出現回数に対応する計数値が1だけカウントアップされ(ステップS113)、ステップS114の処理へ移行する。
ステップS114では、対象ファイルから抽出されたテキストデータから未だ切り出されていない文字区間の有無が判定され、有る場合(YESルート)には、ステップS104に戻り、上述と同様の処理(ステップS104〜S113)を繰り返し実行する。このようにして全ての文字区間がテキストデータから切り出され全ての文字区間に対する判定処理,照合処理,計数処理等を終了すると(ステップS114のNOルート)、第2判定手段116において、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数値に基づいて、上述した判定値が算出される(ステップS115)。
そして、第2判定手段116においては、ステップS115で算出された判定値に基づいて、上述したように、対象ファイルが個人情報ファイルであるか否かが判定されるとともに、Pマークのランク付け(本実施形態では“P1”〜“P4”の4つ)が行なわれる(ステップS116)。個人情報ファイルの判定結果やPマークのランク付けの結果は、Pマークテーブル10dに登録されるとともに、送受信手段16およびネットワーク40を介して、個人情報管理サーバ20にも送信され(ステップS117)、個人情報管理サーバ20において、収集手段23によりデータベース20bに保存される(図9のステップS404参照)。
この後、再度、記憶部10bにおけるPマーク未設定の電子ファイルの有無を判定し(ステップS118)、他にPマーク未設定の電子ファイルが存在する場合(ステップS118のYESルート)、ステップS112に戻り上述と同様の処理を実行する一方、Pマーク未設定の電子ファイルが存在しない場合(ステップS118のNOルート)、個人情報ファイルの探索動作を終了する。
〔2−2〕クライアント端末における制御手段およびアクセス監視手段の動作
次に、図7および図8を参照しながら、個人情報探索手段11(個人情報探索プログラム)の作動タイミングについて説明する。ここで、図7および図8は本実施形態の各クライアント端末10における制御手段14の動作を説明するためのフローチャートである。
本実施形態の制御手段14は、図7に示すフローチャート(ステップS21〜S27)に従うCPU使用率による作動制御と、図8に示すフローチャート(ステップS31〜S33)に従う入出力動作(I/O動作)による作動制御とを実行するようになっている。
CPU使用率による作動制御では、CPU使用率監視手段12によりCPU10aの使用率を監視し(ステップS21)、その使用率が所定閾値以下であるか否かを判定し(ステップS22)、使用率が所定閾値以下である場合(ステップS22のYESルート)、個人情報探索手段11を作動させる(ステップS23)。作動後、探索を終了したか否かを判定し(ステップS24)、終了していない場合(ステップS24のNOルート)、ステップS21に戻る。ステップS24で探索を終了したと判定された場合(YESルート)、探索結果の通知後(ステップS25)、ステップS21に戻る。
ステップS22で使用率が所定閾値よりも大きいと判定された場合(NOルート)、個人情報探索手段11が作動中か否かを判定し(ステップS26)、作動中でなければ(ステップS26のNOルート)、ステップS21に戻る一方、作動中であれば(ステップS26のYESルート)、個人情報探索手段11による探索動作を中断させてから(ステップS27)、ステップS21に戻る。このようにして、個人情報探索手段11をスクリーンセーバー的に動作させることができる。
入出力動作による作動制御では、入出力監視手段13により、記憶部10bにおけるデータの入出力動作(I/O動作)を監視し(ステップS31)、入出力動作の発生を検知した場合(ステップS31のYESルート)、直ちに個人情報探索手段11を作動させ(ステップS32)、探索結果の通知後(ステップS33)、ステップS31に戻る。このとき、入出力対象の電子ファイルを上記対象ファイルとして、この対象ファイルが個人情報ファイルであるか否かの判定処理(図6のステップS103〜S117の処理)のみを行なってもよい。
なお、上述した2種類のタイミングによる作動制御は、両方とも採用して同時並列的に実行してもよいし、いずれか一方のみを採用して実行してもよい。
また、各クライアント端末10においては、アクセス監視手段15により、Pマークを付与された電子ファイル(個人情報探索手段11で個人情報ファイルであると判定された電子ファイル)が監視され、その電子ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じた場合には、その旨が、ログ情報として書き出され、送受信手段16およびネットワーク40を介して個人情報管理サーバ20に送信され、個人情報管理サーバ20において、収集手段23によりデータベース20bに保存される。
〔2−3〕個人情報管理サーバの動作
次に、個人情報管理サーバ20の動作について、図9に示すフローチャート(ステップS401〜S413)に従って説明する。
前述した通り、本実施形態の個人情報管理システム1を構築する際には、まず、個人情報管理サーバ20として機能すべきコンピュータに個人情報管理サーバ用プログラムをインストールし、そのコンピュータが個人情報管理サーバ用プログラムを実行することにより個人情報管理サーバ20としての機能(クライアント情報収集手段21,インストール手段22,収集手段23,管理コンソール24,個人情報管理手段25,表示制御手段26および送受信手段27)を果たす。
そして、個人情報ファイルの探索・管理を開始する際には、クライアント情報収集手段21により、ネットワーク40を介して通信可能に接続された複数のクライアント端末10からクライアント情報が収集され(ステップS401)、個人情報ファイルの探索・管理対象のクライアント端末10、もしくは、個人情報探索プログラムを未だインストールされていないクライアント端末10の有無が認識され(ステップS402)、そのようなクライアント端末10が存在する場合(ステップS402のYESルート)、そのクライアント端末10に対し、インストール手段22により、ネットワーク40経由で個人情報探索プログラムがインストールされる(ステップS403)。
個人情報探索プログラムのインストール後、もしくは、上述のようなクライアント端末10が存在しない場合(ステップS402のNOルート)、各クライアント端末10において個人情報探索プログラムを実行することにより行なわれた個人情報ファイルの自己検索の結果(個人情報ファイルのリンク先情報,判定値,Pマークなど)が、収集手段23により、ネットワーク40および送受信手段27を介して受信・収集され、データベース20bに格納される(ステップS404)。
この後、収集された個人情報ファイルの自己検索結果〔ここではPマークレベル(ランク)〕に応じて、個人情報管理手段25により、各個人情報ファイルに対する管理・操作が以下のように行なわれる(ステップS405〜S413)。
まず、Pマークレベル“P1”の個人情報ファイルの有無が判定され(ステップS405)、Pマークレベル“P1”の個人情報ファイルがある場合(ステップS405のYESルート)、その旨がログとしてデータベース20bに記録される(ステップS406)。
Pマークレベル“P1”の個人情報ファイルがない場合(ステップS405のNOルート)、もしくは、ステップS406でのログ記録後、Pマークレベル“P2”の個人情報ファイルの有無が判定され(ステップS407)、Pマークレベル“P2”の個人情報ファイルがある場合(ステップS407のYESルート)、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報が通知される(ステップS408)。
Pマークレベル“P2”の個人情報ファイルがない場合(ステップS407のNOルート)、もしくは、ステップS408での注意情報通知後、Pマークレベル“P3”の個人情報ファイルの有無が判定され(ステップS409)、Pマークレベル“P3”の個人情報ファイルがある場合(ステップS409のYESルート)、その個人情報ファイルを保管している利用者が存在する旨が、システム管理者に対し警告情報としてメール等により通知されるとともに、その個人情報ファイルの返却が利用者に指示される(ステップS410)。
Pマークレベル“P3”の個人情報ファイルがない場合(ステップS409のNOルート)、もしくは、ステップS410で警報情報通知および返却指示を行なった後、Pマークレベル“P4”の個人情報ファイルの有無が判定され(ステップS411)、Pマークレベル“P4”の個人情報ファイルがある場合(ステップS411のYESルート)、その個人情報ファイルがクライアント端末10から強制的に捕獲・回収され(ステップS412)、さらに、その個人情報ファイルをファイルアクセス管理サーバ30の管理下に置き、その個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させる(ステップS413)。Pマークレベル“P4”の個人情報ファイルがない場合(ステップS411のNOルート)、もしくは、ステップS413での処理終了後、ステップS401に戻る。
なお、前述した通り、Pマークレベル“P4”の個人情報ファイルについては、その個人情報ファイルがクライアント端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したりしてもよい。また、Pマークレベル“P3”の個人情報ファイルが所定日数放置された場合、Pマークレベル“P4”の個人情報ファイルと同様の処置を実行してもよい。さらに、Pマークレベル“P1”〜“P4”の個人情報ファイルの全てをファイルアクセス管理サーバ30の管理下に置くようにしてもよい。
〔2−4〕ファイルアクセス管理サーバの動作
次に、図10および図11を参照しながら、ファイルアクセス管理サーバ30の動作について説明する。
まず、図10に示すフローチャート(ステップS51〜S54)に従って、本実施形態のファイルアクセス管理サーバ30によるファイル変換動作を説明する。
ファイルアクセス管理サーバ30において、ファイルアクセス管理サーバ30の管理下に置くように指示された個人情報ファイル(管理対象の電子ファイル)が、個人情報管理サーバ20(個人情報管理手段25)からネットワーク40経由で個人情報ファイル受信手段31aにより受信されると(ステップS51のYESルート)、その個人情報ファイルが、変換手段32によりPDFファイルに変換され(ステップS52)、さらに暗号化手段33により、所定の暗号鍵を用いて暗号化処理(鍵掛け処理)が行なわれる(ステップS53)。そして、暗号化ファイルは、暗号化ファイル送信手段31bによりネットワーク40経由で個人情報管理サーバ20に送信される(ステップS54)。
ついで、図11に示すフローチャート(ステップS61〜S65)に従って、本実施形態のファイルアクセス管理サーバ30による認証動作について説明する。
クライアント端末10の利用者や個人情報管理サーバ20の利用者(管理者)が、暗号化ファイルの内容を閲覧しようとする場合、その利用者によって認証情報が入力されファイルアクセス管理サーバ30へ送信される。そして、その認証情報がネットワーク40経由で認証情報受信手段31cにより受信されると(ステップS61のYESルート)、判定手段34は、認証情報に含まれるユーザIDによって記憶部30bを検索し、そのユーザIDに対応する登録パスワードを記憶部30bから読み出し、認証情報に含まれるパスワードと、記憶部30bから読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定(クライアント認証;ステップS62)を行なう。
これらのパスワードが一致し、クライアント端末10もしくは個人情報管理サーバ20の利用者が正当な登録者(正当な送信先)であることが認証されると(ステップS63のYESルート)、復号鍵送信手段31dにより、暗号化ファイルを復号化するための復号鍵が記憶部30bから読み出され、そのクライアント端末10もしくは個人情報管理サーバ20にネットワーク40経由で送信される(ステップS64)。
そして、クライアント端末10もしくは個人情報管理サーバ20において、復号鍵が受信されると、その復号鍵を用いて暗号化ファイルが復号化されて元の個人情報ファイルが復元され、その個人情報ファイルに対し、予め与えられたアクセス権限に応じたアクセスが実行される。例えば、前述したようにアクセス権限として閲覧権限のみが与えられている場合、利用者は、復元された個人情報ファイルの内容を閲覧することはできるが、閲覧以外のアクセス、例えばプリンタによる印刷出力や他の記録媒体へのコピーや画面コピー(画面キャプチャ)や別名保存などのアクセスは一切行なうことができない。
一方、ファイルアクセス管理サーバ30の判定手段34によりパスワードが不一致であると判定された場合、もしくは、ユーザIDに対応する登録パスワードが記憶部30bに登録されていなかった場合には、利用者が正当な登録者(正当な送信先)ではないと判定され(ステップS63のNOルート)、ファイルアクセス管理サーバ30からクライアント端末10もしくは個人情報管理サーバ20にネットワーク40経由でエラー通知が行なわれる(ステップS65)。
〔3〕本実施形態の個人情報探索プログラムおよび個人情報管理システムの効果
このように、本発明の一実施形態としての個人情報探索プログラムをコンピュータ(CPU10a)において実行することによって実現される個人情報探索手段11によれば、第2判定手段116において、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。
従って、第1判定手段113において電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についてのみ不適切文字/不適切文字列との照合処理が行なわれ、さらに、照合手段115において不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう従来手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探索処理を高速に行なうことが可能になる。
このとき、第1判定手段113において、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で文字区間における文字列の判定処理を行なうことで、判定処理をより高速に効率良く実行することが可能になる。
また、第2判定手段116において不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まない電子ファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高い電子ファイルを確実に探索することが可能になる。つまり、本実施形態によって個人情報ファイルであると判定される電子ファイルの数は、従来手法よりも多くなり、個人情報ファイルである可能性の高い電子ファイル(疑わしい電子ファイル)を確実に洗い出すことができる。
さらに、本実施形態では、文字判定手段114により、文字区間の文字数が1以上6以下であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合手段115による照合対象としているので、照合手段115による照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が6を超える長い文字区間が、照合手段115による照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探索処理のさらなる高速化に寄与することになる。
特に、本実施形態の個人情報探索プログラムによれば、切出手段112によりテキストデータから判定対象の文字区間として切り出す際、テキストデータ内の要素が明確な区切り文字によって区切られていない場合であっても、1バイトコード文字と2バイトコード文字との境界位置つまり半角文字と全角文字との境界位置(半角文字のあとに全角文字が続く部分もしくは全角文字のあとに半角文字が続く部分)や、全角算用数字と全角算用数字およびハイフンを除く文字との境界位置で、テキストデータが区切られて文字区間として切り出されることになる。
これにより、全角文字で記載された住所や氏名などと半角文字で記載された電話番号や電子メールアドレスなどの文字列とがテキストデータにおいて区切り文字によって区切られることなく混在する場合や、全角文字で記載された住所や氏名などと全角文字で記載された電話番号などの数字列とがテキストデータにおいて区切り文字によって区切られることなく混在する場合であっても、住所,氏名,電話番号,電子メールアドレスなどの個人情報要素毎に文字区間を切り出すことができる。従って、住所,氏名,電話番号,電子メールアドレスなどの個人情報要素の判定を確実に行なえるようになり、個人情報ファイルを効率よく短時間で確実に探索することができる。
また、電子メールアドレス判定手段113bによる電子メールアドレス判定条件として、判定対象の文字区間における文字列に「一文字以上のASCII文字」+「@(アットマーク)」+「一文字以上のASCII文字」+「.(ドット)」+「一文字以上のASCII文字」となる文字列が含まれており、且つ、当該文字列の最後の文字が半角の英字であることを設定することにより、「@(アットマーク)」を単価や単位の表示に用いている文字列であって、「@(アットマーク)」のあとに「一文字以上の半角数字」+「.(ドット)」+「一文字以上の半角数字」となる数字列(例えば「123@45.67」)を、電子メールアドレスとして誤って判定することを確実に防止することができる。従って、電子メールアドレスなどの個人情報要素の判定を確実に行なえるようになり、個人情報ファイルを効率よく短時間で確実に探索することができる。
電子メールアドレスにおいて“@”以降の最後の「.(ドット)」以降の文字列は、現在のところ、必ず、例えば“com”,“net”,“jp”などの英字列になっている。また、“@”は、一般に、単価や単位の表示に用いられることが多々ある。例えば、ある物品の1個当たりの値段や重さを表示する際、“@100.00”とか“@10.55”というように“@”を用いる場合がある。このため、電子メールアドレス判定条件が、単に判定対象の文字区間における文字列に「一文字以上のASCII文字」+「@(アットマーク)」+「一文字以上のASCII文字」+「.(ドット)」+「一文字以上のASCII文字」となる文字列が含まれていることとすると、上記のような“@100.00”や“@10.55”を含む文字列も電子メールアドレスとして誤って認識してしまうことになるが、文字列の最後の文字が半角の英字であることを電子メールアドレス判定条件に追加することで、上述のような数字列“@100.00”や“@10.55”を含む文字列を電子メールアドレスとして誤認識するのを確実に防止することができるのである。
さらに、住所判定手段113cによる住所判定条件として、判定対象の文字区間における文字列に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字または半角文字」となる文字列が含まれていることに加え、判定対象の文字区間の先頭文字と47都道府県名もしくは市区郡名の頭文字との一致をみることで、「市」,「区」,「郡」を途中に含む文字列であるが住所とは全く関係の無い文字列を誤って住所として判定することがなくなり、47都道府県名もしくは市区郡名の完全一致を判定する場合に比べ極めて短時間で、住所としての確度の高い文字区間を効率よく確実に探索することができる。
またさらに、文字判定手段114による文字判定条件(氏名判定条件)に、判定対象の文字列の先頭文字が、日本人に多い苗字上位所定数(例えば上位3000種類)に属する苗字の頭文字と一致することを追加することにより、苗字の完全一致を判定する場合に比べ極めて短時間で、氏名としての確度の高い文字区間を効率よく確実に探索することができる。
一方、本発明の一実施形態としての個人情報管理システム1によれば、各クライアント端末10において上述した個人情報探索プログラムを実行することで、個人情報ファイルを自動的に特定して探索することができるので、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイル(個人情報ファイルである可能性の高い電子ファイル)を確実に探索して洗い出し管理可能な状態に置くことができる。従って、個人情報の開示要求や訂正要求に確実に対応することができるとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
このとき、各クライアント端末10においてCPU10aの使用率(使用負荷)を監視し、その使用率が所定閾値以下である場合に個人情報探索手段(探索エンジン)11を作動させることにより、CPU10aに負荷を掛けることなく個人情報ファイルの洗い出しを行なうことができる。
また、各クライアント端末10において記憶部10bに対するデータの入出力動作(I/O動作)を監視し、入出力動作の発生時に個人情報探索手段(探索エンジン)11を作動させることにより、クライアント端末10における記憶部10bに新たなデータが入力される場合や、クライアント端末10における記憶部10bからデータが出力される場合(例えば、データをメールに添付すべく記憶部10bから出力する場合だけでなく、データをCD,DVD,磁気ディスク,光ディスク,光磁気ディスクなどの外部記憶媒体へ書き込むべく記憶部10bから出力する場合など)に、その入出力データに含まれる電子ファイルが個人情報ファイルであるか否かを判定して、個人情報ファイルの移動を監視することができるので、個人情報の不用意な流出・漏洩をより確実に防止することができる。
さらに、各クライアント端末10においてアクセス監視手段15により個人情報ファイルであると判定された電子ファイル(本実施形態ではPマークを付与されたファイル)が監視され、その電子ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じた場合にはその旨がログ情報として個人情報管理サーバ20に送信されるので、個人情報ファイルである可能性の高い電子ファイルに対するアクセス(操作・変更履歴)が、個人情報管理サーバ20で追跡管理(トラッキング)されることになり、個人情報の不正利用をより確実に防止することができる。
また、個人情報探索手段11によって探索された個人情報ファイルは、各個人情報ファイルに付与されたPマーク(ランク/レベル)に応じ、個人情報管理サーバ20(個人情報管理手段25)によって管理され、個人情報ファイルの利用者(保有者)やシステム管理者に注意情報/警告情報を通知したり、個人情報ファイルをクライアント端末10(記憶部10b)から強制的に捕獲・回収したり、個人情報ファイルがクライアント端末10(記憶部10b)から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させたりすることが可能で、個人情報の不用意な流出・漏洩や個人情報の不正利用などをより確実に防止することができる。
〔4〕変形例
上述した実施形態では、クライアント−サーバ構成を採用した個人情報管理システム1について説明したが、クライアント−サーバシステムを構築することなく、図12に示すような構成のシステム(個人情報管理システム1A)によっても、上述した実施形態と同様の個人情報の管理を行なうことができる。ここで、図12は本発明の個人情報管理システムの変形例(個人情報管理システム1A)の構成を示すブロック図である。
図12に示すシステム1Aは、複数の端末(PC)50と、これらの端末50とネットワーク(社内LAN)40を介して通信可能に接続された管理端末(PC)60とをそなえて構築されている。
端末50は、上述したクライアント端末10と同様、企業等の社内において各社員(利用者)によって使用されるパーソナルコンピュータ(PC)等の端末装置であり、個人情報管理対象となるものである。
管理端末60は、ネットワーク40を介して複数の端末50からインベントリ情報をエージェントレスで収集する情報収集機能を有するものである。この情報収集機能は、例えばWMI〔Windows(登録商標) Management Instrumentation〕によって実現されるもので、このWMIを用いることにより、各端末〔具体的には、NAT(Network Address Translator)越えの無い同一ネットワーク内のWindows(登録商標) PC〕50から、各端末50を特定しうる識別情報〔例えば、ホスト名,MAC(Medium Access Control)アドレス,IP(Internet Protocol)アドレスなど〕が、インベントリ情報としてエージェントレスで収集される。そして、収集されたインベントリ情報に基づいて、指定されたセグメント(アドレスブロック)の中に何台の端末(PC)50が存在するかを、管理端末60で把握することができる。これにより、図12に示すような一般的な構成のシステムに本発明の個人情報管理システム1Aを導入する際に、クライアントプログラムのインストールを行なうことなく、個人情報管理対象とすべき端末50の台数や識別情報(IPアドレス等)を把握することが可能になる。
そして、管理端末60は、上述のごとくWMIによって収集されたインベントリ情報をCSV(Comma Separated Value)形式のファイルデータとして出力し、そのファイルデータに基づいて、個人情報管理システム1Aの導入時に、上述した個人情報探索プログラムを、後述する配布手段によって配布するための配布計画が作成される。この配布計画は、管理端末60上で自動的に作成されてもよいし、管理端末60での表示もしくは管理端末60からの印刷出力を参照したオペレータ等によって作成されてもよい。
また、インベントリ情報として、各端末50のリソース情報(CPUの性能,記憶部の空き容量,ソフトウエア情報やそのバージョン情報など)を収集し上記ファイルデータに上記リソース情報が含まれている場合、そのリソース情報を加味して配布計画を作成することもできる。この場合、例えば、そのリソース情報に基づいて、端末50の環境(CPUの性能,記憶部の空き容量,ソフトウエア情報やそのバージョン情報など)が、上記個人情報探索プログラムのインストールや実行に適しているか否かを判断し、適した環境を有している端末50に上記個人情報探索プログラムの配布を行なうように配布計画を作成する。
さらに、図12に示すシステム1Aでは、一般的な電子メール機能によって、各端末50や管理端末60の相互間で電子メールのやり取りを行なうことが可能になっており、この電子メール機能を用いて、後述する配布手段および収集手段としての機能が実現されている。
ここで、配布手段は、上述のごとく作成された配布計画に従って、複数の端末50のうちの一部もしくは全部に、個人情報ファイルの自己探索を実行させるべく上記個人情報探索プログラムを配布するためのもので、図12に示すシステム1Aでは、上記個人情報探索プログラムを添付した電子メールを送信することにより、上記個人情報端末プログラムが各端末50に配布されるようになっている。
上記個人情報探索プログラムを添付した電子メールは、管理端末60から送信してもよいし、複数の端末50における資産(リソース)を管理する資産管理サーバ(図示省略)を、配布手段の一部として、ネットワーク40に接続してそなえ、この資産管理サーバから上記個人情報探索プログラムを配布してもよい。
上述のようにして各端末50に配布された上記個人情報探索プログラムは、管理端末60から絶対パスを通じて、そのプログラムを指定して実行されるようになっている。
また、収集手段は、各端末50において上記個人情報探索プログラムを実行することによって行なわれた自己探索の結果を管理者指定の場所(例えば管理端末60の記憶部等)に収集するためのもので、図12に示すシステム1Aでは、各端末50が上記自己探索の結果を添付した電子メールを上記管理者指定の場所に送信することにより、上記自己探索の結果が上記管理者指定の場所に収集されるようになっている。
次に、図12に示すようなシステムに本発明の個人情報管理システム1Aを導入する手順について、図13に示すフローチャート(ステップS71〜S76)に従い、図14を参照しながら説明する。
まず、ネットワーク40に管理端末60を接続して、管理端末60のWMIにより各端末50からインベントリ情報を収集する(ステップS71;図14の矢印A1参照)。これにより、前述した通り、クライアントプログラムのインストールを行なうことなく、指定されたセグメント(アドレスブロック;同一ネットワーク)内における個人情報管理対象の端末50の台数およびIPアドレスが把握される。
このようにして収集されたインベントリ情報は、CSV形式のファイルデータとして出力され(ステップS72)、そのファイルデータ(インベントリ情報)に基づいて、セグメント内における個人情報管理対象の端末50を特定し、上記個人情報探索プログラムの配布計画が作成される(ステップS73)。なお、上述のごとく収集・出力されたファイルデータを、数世代分、蓄積・保管し、新たに取得したインベントリ情報のファイルデータと蓄積・保管されたファイルデータとを比較し、新規導入端末や削除端末といった差分リストデータを配布計画として出力してもよい。
この後、一般的な電子メール機能を用い、上述のごとく作成された配布計画に従って、個人情報管理対象の端末50に対し、上記個人情報探索プログラムを添付した電子メールを送信することにより、上記個人情報端末プログラムが個人情報管理対象の端末50に配布される(ステップS74;図14の矢印A2参照)。このとき、端末50における資産(リソース)を管理する資産管理サーバがネットワーク40に接続されている場合には、この資産管理サーバから上記個人情報探索プログラムを配布することもできる。
そして、個人情報管理対象の端末50に配布された上記個人情報探索プログラムは、管理端末60から絶対パスを通じて、そのプログラムを指定して実行される(ステップS75;図14の矢印A3参照)。個人情報探索プログラムが起動されると、上述と同様にして各端末50における個人情報ファイルの探索が行なわれ、その探索結果は、電子メールに添付され、管理者指定の場所(例えば管理端末60の記憶部等)に送信されて収集され(ステップS76)、その収集結果に基づいて、上述した実施形態と同様にして個人情報ファイルの管理が行なわれることになる。
このように、図12に示すシステム1Aによれば、管理端末60のWMIにより各端末50のインベントリ情報がエージェントレスで収集され、そのインベントリ情報に基づいて個人情報探索プログラムが配布されるので、クライアント−サーバシステムを構築することなく、極めて簡易な構成で個人情報探索プログラムを各端末50に配布し、各端末50における個人情報ファイルを管理することができる。
このとき、各端末50から収集されたインベントリ情報に基づいて作成された配布計画に従って、個人情報探索プログラムを配布することにより、個人情報探索プログラムの配布を効率的に行なうことができる。その際、各端末50のリソース情報(CPUの性能,記憶部の空き容量,ソフトウエア情報やそのバージョン情報など)に基づいて、配布計画を作成することで、個人情報探索プログラムを実行することが可能な環境をもつ端末50に対して個人情報探索プログラムを配布することができ、個人情報探索プログラムを実行した際にリソース上の問題によりトラブルが発生するような事態を未然に防止することができる。
そして、管理端末60により個人情報探索プログラムを各端末50で実行させるとともに、各端末50で個人情報探索プログラムを実行することによって行なわれた自己探索の結果を、電子メールによって管理者指定の場所に収集することにより、クライアント−サーバシステムを構築することなく、極めて簡易な構成で、各端末50における自己探索の実行させ、その自己探索の結果を収集することができる。従って、上述した個人情報管理システム1と同様、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイルを確実に探索して洗い出し管理可能な状態に置くことができる。従って、個人情報の開示要求や訂正要求に確実に対応することができるとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
〔5〕その他
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
例えば、上述した実施形態では、個人情報ファイルを探索・管理する場合について説明したが、本発明は、企業内等で守秘情報(守秘義務のある情報)を探索・管理する場合にも上述と同様に適用され、上記実施形態と同様の作用効果を得ることができ、守秘情報の不用意な流出・漏洩や守秘情報の不正利用などを確実に防止することができる。その場合、不適切文字や不適切文字列としては、その守秘情報において出現し得ない文字もしくは文字列を設定することになる。
また、上述した実施形態では、氏名の判定条件に、氏名において出現し得ない漢字/漢字列として予め設定された不適切文字/不適切文字列を判定対象の文字区間に含まないことを設定しているが、住所判定条件にも、住所において出現し得ない漢字/漢字列として予め設定された不適切文字/不適切文字列を判定対象の文字区間に含まないことをさらに追加してもよい。
さらに、上述した実施形態では、氏名以外の個人情報要素が、電話番号,電子メールアドレス,住所の3要素である場合について説明したが、本発明は、これに限定されるものでなく、氏名以外の個人情報要素としては、例えば、生年月日,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号などを用いてもよい。
またさらに、各クライアント端末10の個人情報探索手段11による探索(記憶部10bに保存されている全ての電子ファイルに対する探索)を完了しない間は、そのクライアント端末10の記憶部10bにおける電子ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更など;より具体的には、外部記録媒体への出力,メール添付など)を禁止するように構成してもよい。この場合、個人情報ファイルであると判定される電子ファイルの有無が確認され、個人情報ファイルであると判定された電子ファイルを個人情報管理サーバ20(もしくはファイルアクセス管理サーバ30)の管理下に置くまでは、そのクライアント端末10の記憶部10bにおける電子ファイルに対するアクセスが禁止されることになるので、より確実に個人情報の流出・漏洩を防止することが可能になる。
また、上述した実施形態では、各クライアント端末10で個人情報探索プログラムを実行することにより各クライアント端末10における個人情報ファイルを自己探索させているが、個人情報管理サーバ20が、各クライアント端末10に格納されているデータを吸い上げ、個人情報管理サーバ20で個人情報探索プログラムを実行することにより、吸い上げたデータにおける個人情報ファイルを探索するように構成することもでき、この場合も上述した実施形態と同様の作用効果を得ることができる。
ところで、各クライアント端末10における、上述した個人情報探索手段11,CPU使用率監視手段12,入出力監視手段13,制御手段14,アクセス監視手段15および送受信手段16としての機能(各手段の全部もしくは一部の機能)は、上述した通り、コンピュータ(CPU,情報処理装置,各種端末を含む)が、個人情報管理サーバ20からインストールされた所定のアプリケーションプログラム(個人情報探索プログラム)を実行することによって実現される。
また、個人情報管理サーバ20における、上述したクライアント情報収集手段21,インストール手段22,収集手段23,管理コンソール24,個人情報管理手段25,表示制御手段26および送受信手段27としての機能(各手段の全部もしくは一部の機能)は、上述した通りコンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラム(個人情報管理サーバ用プログラム)を実行することによって実現される。
個人情報探索プログラムを含む個人情報管理サーバ用プログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体から個人情報管理サーバ用プログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。
ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたコンピュータプログラムを読み取るための手段とをそなえている。上記個人情報探索プログラムや上記個人情報管理サーバ用プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、個人情報探索手段11,CPU使用率監視手段12,入出力監視手段13,制御手段14,アクセス監視手段15,送受信手段16,クライアント情報収集手段21,インストール手段22,収集手段23,管理コンソール24,個人情報管理手段25,表示制御手段26および送受信手段27としての機能を実現させるプログラムコードを含んでいる。また、その機能の一部は、アプリケーションプログラムではなくOSによって実現されてもよい。
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROM等のメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。
〔6〕付記
(付記1)
記憶部におけるデータの中から、特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルを探索する個人情報探索機能をコンピュータに実現させる個人情報探索プログラムであって、
前記データに含まれるデータ集合体のテキストデータを抽出する抽出手段、
該抽出手段によって抽出されたテキストデータから、所定の区切り位置で区切られた文字区間を切り出す切出手段、および、
該切出手段によって切り出された文字区間における文字列が個人情報要素であるか否かを判定し、個人情報要素であると判定された文字列の数に基づいて当該データ集合体が個人情報ファイルであるか否かを判定する個人情報ファイル判定手段として、該コンピュータを機能させ、
前記所定の区切り位置として、予め設定された区切り文字の出現位置、もしくは、1バイトコード文字と2バイトコード文字との境界位置が含まれていることを特徴とする、個人情報探索プログラム。
(付記2)
前記所定の区切り位置として、全角算用数字と全角算用数字およびハイフンを除く文字との境界位置がさらに含まれていることを特徴とする、付記1記載の個人情報探索プログラム。
(付記3)
記憶部におけるデータの中から、特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルを探索する個人情報探索機能をコンピュータに実現させる個人情報探索プログラムであって、
前記データに含まれるデータ集合体のテキストデータを抽出する抽出手段、
該抽出手段によって抽出されたテキストデータから、所定の区切り位置で区切られた文字区間を切り出す切出手段、および、
該切出手段によって切り出された文字区間における文字列が個人情報要素であるか否かを判定し、個人情報要素であると判定された文字列の数に基づいて当該データ集合体が個人情報ファイルであるか否かを判定する個人情報ファイル判定手段として、該コンピュータを機能させ、
該個人情報ファイル判定手段が、該切出手段によって切り出された文字区間における文字列に「一文字以上のASCII(American Standard Code for Information Interchange)文字」+「@(アットマーク)」+「一文字以上のASCII文字」+「.(ドット)」+「一文字以上のASCII文字」となる文字列が含まれており、且つ、当該文字列の最後の文字が半角の英字であることを電子メールアドレス判定条件として、該切出手段によって切り出された文字区間における文字列が前記個人情報要素としての電子メールアドレスであるか否かを判定することを特徴とする、個人情報探索プログラム。
(付記4)
記憶部におけるデータの中から、特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルを探索する個人情報探索機能をコンピュータに実現させる個人情報探索プログラムであって、
前記データに含まれるデータ集合体のテキストデータを抽出する抽出手段、
該抽出手段によって抽出されたテキストデータから、所定の区切り位置で区切られた文字区間を切り出す切出手段、および、
該切出手段によって切り出された文字区間における文字列が個人情報要素であるか否かを判定し、個人情報要素であると判定された文字列の数に基づいて当該データ集合体が個人情報ファイルであるか否かを判定する個人情報ファイル判定手段として、該コンピュータを機能させ、
該個人情報ファイル判定手段が、該切出手段によって切り出された文字区間における文字列に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれており、且つ、当該文字列の先頭文字が日本全国における47都道府県名もしくは市区郡名の頭文字と一致することを住所判定条件として、該切出手段によって切り出された文字区間における文字列が前記個人情報要素としての住所であるか否かを判定することを特徴とする、個人情報探索プログラム。
(付記5)
記憶部におけるデータの中から、特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルを探索する個人情報探索機能をコンピュータに実現させる個人情報探索プログラムであって、
前記データに含まれるデータ集合体のテキストデータを抽出する抽出手段、
該抽出手段によって抽出されたテキストデータから、所定の区切り位置で区切られた文字区間を切り出す切出手段、および、
該切出手段によって切り出された文字区間における文字列が個人情報要素であるか否かを判定し、個人情報要素であると判定された文字列の数に基づいて当該データ集合体が個人情報ファイルであるか否かを判定する個人情報ファイル判定手段として、該コンピュータを機能させ、
該個人情報ファイル判定手段が、該切出手段によって切り出された文字区間における文字の数が所定範囲内であり、且つ、同文字区間における文字が漢字であり、且つ、同文字区間における文字列の先頭文字が、日本人に多い苗字上位所定数に属する苗字の頭文字と一致し、且つ、氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列を同文字区間に含まないことを氏名定条件として、該切出手段によって切り出された文字区間における文字列が前記個人情報要素としての氏名であるか否かを判定することを特徴とする、個人情報探索プログラム。
(付記6)
前記所定の区切り位置として、予め設定された区切り文字の出現位置、もしくは、1バイトコード文字と2バイトコード文字との境界位置が含まれていることを特徴とする、付記3〜付記5のいずれか一項に記載の個人情報探索プログラム。
(付記7)
前記所定の区切り位置として、全角算用数字と全角算用数字およびハイフンを除く文字との境界位置がさらに含まれていることを特徴とする、付記6記載の個人情報探索プログラム。
(付記8)
該個人情報ファイル判定手段として該コンピュータを機能させる際、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段、および、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該データ集合体が個人情報ファイルであるか否かを判定する第2判定手段として、該コンピュータを機能させることを特徴とする、付記1〜付記4のいずれか一項に記載の個人情報探索プログラム。
(付記9)
該文字判定手段が、さらに、同文字区間における文字列の先頭文字が、日本人に多い苗字上位所定数に属する苗字の頭文字と一致するか否かを判定し、
該照合手段が、該文字判定手段によって前記所定範囲内であり且つ漢字であり且つ前記先頭文字が日本人に多い苗字上位所定数に属する苗字の頭文字と一致すると判定された文字区間について、前記の不適切文字もしくは不適切文字列との照合を行なうことを特徴とする、付記8記載の個人情報探索プログラム。
(付記10)
該第2判定手段が、該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間における文字列を氏名に該当する個人情報要素と見なして、当該データ集合体が個人情報ファイルであるか否かを判定することを特徴とする、付記8または付記9に記載の個人情報探索プログラム。
(付記11)
該第2判定手段が、前記計数結果に基づいて、該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とが多いほど大きくなる判定値を算出し、算出された判定値が所定閾値を超えた場合に当該データ集合体が個人情報ファイルであると判定することを特徴とする、付記8〜付記10のいずれか一項に記載の個人情報探索プログラム。
(付記12)
該第1判定手段において、該切出手段によって切り出された文字区間における文字列が、電話番号に該当するか否かを判定し、電話番号に該当しない場合に電子メールアドレスに該当するか否かを判定し、電子メールアドレスに該当しない場合に住所に該当するか否かを判定し、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当すると判定された時点で、当該文字列についての判定処理を終了することを特徴とする、付記8〜付記11のいずれか一項に記載の個人情報探索プログラム。
(付記13)
複数のクライアント端末と、
該複数のクライアント端末とネットワークを介して相互に通信可能に接続され、該複数のクライアント端末の記憶部における個人情報ファイルを管理する個人情報管理サーバとをそなえ、
該個人情報管理サーバが、
該ネットワークを介して、各クライアント端末に、個人情報ファイルの自己探索を実行させるべく付記1〜付記12のいずれか一項に記載された個人情報探索プログラムをインストールするインストール手段と、
該ネットワークを介して、各クライアント端末で実行された自己探索の結果を受信し、データベースに格納する収集手段とをそなえて構成されるとともに、
該複数のクライアント端末のそれぞれが、
該個人情報管理サーバからインストールされた前記個人情報探索プログラムを実行することにより、各クライアント端末の該記憶部におけるデータの中から個人情報ファイルを探索する個人情報探索手段と、
該ネットワークを介して該個人情報探索手段による自己探索の結果を該個人情報管理サーバへ送信する送信手段とをそなえて構成されていることを特徴とする、個人情報管理システム。
(付記14)
該個人情報管理サーバが、該収集手段によって受信された探索結果に基づいて、該個人情報探索手段で探索された個人情報ファイルを管理する個人情報管理手段をさらにそなえて構成されていることを特徴とする、付記13記載の個人情報管理システム。
(付記15)
該複数のクライアント端末のそれぞれが、自端末における該個人情報ファイルを監視し、自端末において該個人情報ファイルに対するアクセスが生じた場合にはその旨を該送信手段によって該個人情報管理サーバに送信させるアクセス監視手段をさらにそなえて構成されていることを特徴とする、付記14記載の個人情報管理システム。
(付記16)
該個人情報管理手段が、該個人情報ファイルの利用者に警告情報を通知することを特徴とする、付記14または付記15に記載の個人情報管理システム。
(付記17)
該個人情報管理手段が、該個人情報ファイルを保存しているクライアント端末から該個人情報ファイルを強制的に回収することを特徴とする、付記14〜付記16のいずれか一項に記載の個人情報管理システム。
(付記18)
該個人情報管理手段が、該個人情報ファイルを保存しているクライアント端末から該個人情報ファイルが外部へ出力されるのを強制的に禁止することを特徴とする、付記14〜付記16のいずれか一項に記載の個人情報管理システム。
(付記19)
該個人情報管理手段が、該個人情報ファイルを管理者のみがアクセス可能なフォルダに格納することを特徴とする、付記17または付記18に記載の個人情報管理システム。
(付記20)
該個人情報管理サーバと相互に通信可能に接続され、電子ファイルに対するアクセスを管理するファイルアクセス管理サーバをさらにそなえ、
該個人情報管理手段が、該個人情報ファイルに対するアクセスを該ファイルアクセス管理サーバに管理させることを特徴とする、付記14〜付記19のいずれか一項に記載の個人情報管理システム。
(付記21)
複数のクライアント端末とネットワークを介して相互に通信可能に接続され、該複数のクライアント端末における個人情報ファイルを管理する個人情報管理サーバであって、
該ネットワークを介して、各クライアント端末に、個人情報ファイルの自己探索を実行させるべく付記1〜付記12のいずれか一項に記載された個人情報探索プログラムをインストールするインストール手段と、
該ネットワークを介して、各クライアント端末で実行された自己探索の結果を受信し、データベースに格納する収集手段とをそなえて構成されていることを特徴とする、個人情報管理サーバ。
(付記22)
個人情報管理サーバの管理対象として、該個人情報管理サーバとネットワークを介して相互に通信可能に接続された情報処理装置であって、
付記1〜付記12のいずれか一項に記載された個人情報探索プログラムを実行することにより、該情報処理装置の記憶部におけるデータの中から個人情報ファイルを探索する個人情報探索手段と、
該ネットワークを介して該個人情報探索手段による自己探索の結果を該個人情報管理サーバへ送信する送信手段とをそなえて構成されていることを特徴とする、個人情報管理機能付き情報処理装置。
(付記23)
該情報処理装置での処理を実行する演算処理部の使用率を監視する使用率監視手段と、
該使用率監視手段によって監視されている前記使用率が所定閾値以下である場合に該個人情報探索手段を作動させる一方、前記使用率が所定閾値を超えている場合に該個人情報探索手段の動作を停止させる制御手段とをさらにそなえて構成されていることを特徴とする、付記22記載の個人情報管理機能付き情報処理装置。
(付記24)
該情報処理装置の該記憶部におけるデータの入出力動作を監視する入出力監視手段と、
該入出力監視手段によって前記入出力動作の発生を検知した時点で該個人情報探索手段を作動させる制御手段とをさらにそなえて構成されていることを特徴とする、付記22または付記23に記載の個人情報管理機能付き情報処理装置。
(付記25)
該個人情報探索手段で探索された個人情報ファイルを監視し、当該個人情報ファイルに対するアクセスが生じた場合にはその旨を該送信手段によって該個人情報管理サーバに送信させるアクセス監視手段をさらにそなえて構成されていることを特徴とする、付記22〜付記24のいずれか1項に記載の個人情報管理機能付き情報処理装置。
(付記26)
ネットワークを介して相互に通信可能に接続された複数のクライアント端末における個人情報ファイルを管理する個人情報管理サーバとして、コンピュータを機能させるプログラムであって、
付記1〜付記12のいずれか一項に記載された個人情報探索プログラムを含むとともに、
該ネットワークを介して、各クライアント端末に、個人情報ファイルの自己探索を実行させるべく前記個人情報探索プログラムをインストールするインストール手段、および、
該ネットワークを介して、各クライアント端末で実行された自己探索の結果を受信し、データベースに格納する収集手段として、該コンピュータを機能させることを特徴とする、個人情報管理サーバ用プログラム。
(付記27)
複数の端末と通信可能に接続され、該複数の端末からインベントリ情報をエージェントレスで収集する情報収集機能を有する管理端末と、
該管理端末の該情報収集機能によって収集された前記インベントリ情報に基づき、該複数の端末のうちの一部もしくは全部に、個人情報ファイルの自己探索を実行させるべく付記1〜付記12のいずれか一項に記載された個人情報探索プログラムを配布する配布手段とをそなえて構成されたことを特徴とする、個人情報管理システム。
(付記28)
該管理端末が、該情報収集機能によって収集された前記インベントリ情報を、CSV(Comma Separated Value)形式のファイルデータとして出力し、
該配布手段が、前記ファイルデータに基づいて作成された該個人情報探索プログラムの配布計画に従って、該個人情報探索プログラムを配布することを特徴とする、付記27記載の個人情報管理システム。
(付記29)
前記配布計画が、前記ファイルデータに含まれる各端末のリソース情報に基づいて作成されていることを特徴とする、付記28記載の個人情報管理システム。
(付記30)
該配布手段が、電子メールを用いて該個人情報探索プログラムを配布することを特徴とする、付記27〜付記29のいずれか一項に記載の個人情報管理システム。
(付記31)
該複数の端末における資産を管理する資産管理サーバが該配布手段としてそなえられ、該資産管理サーバが該個人情報探索プログラムを配布することを特徴とする、付記27〜付記29のいずれか一項に記載の個人情報管理システム。
(付記32)
該管理端末が、該複数の端末の一部もしくは全部に配布されてインストールされた該個人情報探索プログラムを実行させることを特徴とする、付記27〜付記31のいずれか一項に記載の個人情報管理システム。
(付記33)
該複数の端末の一部もしくは全部において該個人情報探索プログラムを実行することによって行なわれた自己探索の結果を管理者指定の場所に収集する収集手段をさらにそなえて構成されたことを特徴とする、付記27〜付記32のいずれか一項に記載の個人情報管理システム。
(付記34)
電子メールが、該収集手段として用いられることを特徴とする、付記33記載の個人情報管理システム。