JP4175578B1 - 管理システムおよび管理プログラム - Google Patents
管理システムおよび管理プログラム Download PDFInfo
- Publication number
- JP4175578B1 JP4175578B1 JP2008032338A JP2008032338A JP4175578B1 JP 4175578 B1 JP4175578 B1 JP 4175578B1 JP 2008032338 A JP2008032338 A JP 2008032338A JP 2008032338 A JP2008032338 A JP 2008032338A JP 4175578 B1 JP4175578 B1 JP 4175578B1
- Authority
- JP
- Japan
- Prior art keywords
- user terminal
- file
- electronic
- management
- control means
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】保護対象情報ファイルを、効率よく確実に探査し、アクセスを管理する。
【解決手段】予め定められた所定の管理条件を利用者端末が満たすか否かを判断する判断手段と、前記判断手段による判断結果に基づいて、電子教育を前記利用者端末に実行させる電子教育制御手段と、周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段と、電子ファイルを外部に書出もしくは送信する際の制御を行うと共に、前記管理条件を満たしておらず前記電子教育が完了していないと判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルで前記電子ファイルを外部に書出もしくは送信しないように制御する送出制御手段と、をそなえて構成されていることを特徴とする管理システム。
【選択図】図1
【解決手段】予め定められた所定の管理条件を利用者端末が満たすか否かを判断する判断手段と、前記判断手段による判断結果に基づいて、電子教育を前記利用者端末に実行させる電子教育制御手段と、周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段と、電子ファイルを外部に書出もしくは送信する際の制御を行うと共に、前記管理条件を満たしておらず前記電子教育が完了していないと判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルで前記電子ファイルを外部に書出もしくは送信しないように制御する送出制御手段と、をそなえて構成されていることを特徴とする管理システム。
【選択図】図1
Description
本発明は、コンピュータからの情報の流出に配慮された管理システムおよび管理プログラムに関する。
近年、個人情報の保護の意識の高まりに伴い、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することが望まれている。また、個人情報保護法の施行に伴って、個人情報取扱事業者は、個人情報の流出・漏洩や不正利用を防止しながら、各個人から個人情報の開示要求や訂正要求を受けた場合にその個人情報の開示や訂正を行なうことが義務付けられている。
ここで、個人情報とは、単体もしくは組合せによって特定の個人を識別することのできる情報で、例えば氏名,生年月日,連絡先(住所,居所,電話番号,電子メールアドレス)などが含まれる。各種企業内で保存されて取り扱われる顧客情報,取引先情報などが個人情報に該当する場合が多く、今後、このような個人情報を多数取り扱う企業は、個人情報取扱事業者として上述のような義務を果たさなければならない。
上述のような義務を果たすためには、個人情報のための集中管理システムを導入して個人情報の一元化をはかることが必要不可欠となる。しかしながら、現実には、企業内において、顧客情報,取引先情報などの個人情報は、社員個人のパーソナルコンピュータ(以下、PCと略記する場合がある)や各部署のサーバに、ばらばらに分散して存在している場合が多い。より具体的には、個々の社員が各自の業務都合で自分のPCに個人情報(顧客情報等)を保存していたり、中央データベース、あるいは、各社員によって独自に収集された個人情報のサブセットが複数のPCにまちまちに存在していたりする。
このため、上記集中管理システムを構築する場合や分散状態のままで上記義務を果たそうとする場合、いずれの場合であっても、管理者は、まず最初に、企業内にばらばらに存在する個人情報の洗い出しを行ない、企業内のどこにどのような個人情報が存在しているかを把握する必要があるが、現状、個人情報の洗い出しは、管理者が各社員に指示し人間対人間で全社・全部門の人的な協力を得て行なわれることになる。
なお、例えば、下記特許文献1においては、個人情報保護法の施行に伴い、個人情報の流出・漏洩や不正利用を防止する個人情報保護サービスを提供するための技術「個人情報保護サービス事業の処理方法および装置」が提案・開示されている。しかし、下記特許文献1には、上述したような個人情報の洗い出しに関する技術については何ら開示されていない。
また、特許文献2には、従来技術として、プライバシーに関する情報が含まれている場合に、これらの重要な情報を不用意に印刷、表示させないために出力制限を行う技術や、印刷禁止情報をもつことで文書およびその複製の印刷や表示をコントロールしようという技術があることが記載されている。
特許文献3,特許文献4には、クライアント・サーバ形式の個人情報管理システムが開示されており、のクライアント端末における個人情報ファイルの探索を行うことが記載されている。
特許文献5には、所定のアプリケーションからの印刷命令をフックして印刷を禁止する
技術が記載されている。
特許文献6には、特定の箇所を墨塗り等で不可視状態にして印刷することが記載されている。
技術が記載されている。
特許文献6には、特定の箇所を墨塗り等で不可視状態にして印刷することが記載されている。
また、一般に、企業内等で構築される情報処理システム(内部システム)においては、各社員によって操作・使用されるPC(Personal Computer)等の利用者端末(情報処理
装置;以下、単に「端末」という場合がある)が、構内通信網〔LAN(Local Area Network)〕を介し他の利用者端末と相互に通信可能に接続されるとともに、各利用者端末は、LANに接続されたプロキシサーバを介してインターネット等の外部通信網に接続可能になっており、インターネット上の各種サーバによるサービスの提供を受けることができる(例えば下記特許文献8参照)。
装置;以下、単に「端末」という場合がある)が、構内通信網〔LAN(Local Area Network)〕を介し他の利用者端末と相互に通信可能に接続されるとともに、各利用者端末は、LANに接続されたプロキシサーバを介してインターネット等の外部通信網に接続可能になっており、インターネット上の各種サーバによるサービスの提供を受けることができる(例えば下記特許文献8参照)。
ところで、近年、企業内等で構築される情報処理システム(内部システム)のセキュリティに対する意識は高くなっており、大企業等では、情報漏洩対策やセキュリティ対策が企業内システム(各端末)に施されている場合が多くなってきている。
また、システム管理者をおけないような中小企業等においても、近年、端末台数が増大し、端末をLANで接続して上述のごとき内部システムを構築する場合が多くなってきているが、中小企業等では、大企業ほどセキュリティに対する意識は高くない場合が多く、何らセキュリティ上の対策を施すことなくインターネット等の外部通信網に接続可能な状態となっている場合がある。
そこで、大企業や中小企業の内部システムに対し、セキュリティ対策として、例えば、下記特許文献9や下記特許文献10に開示された技術を適用することも考えられる。
下記特許文献9では、業務処理を安全に行なう業務管理技術に関し、複数の業務処理装置全体のコンピュータウイルスに対する安全レベルを複数段階(この特許文献9では3段階)で診断し、その診断結果として得られた安全レベルを複数の業務処理装置に通知することが開示されている。
下記特許文献9では、業務処理を安全に行なう業務管理技術に関し、複数の業務処理装置全体のコンピュータウイルスに対する安全レベルを複数段階(この特許文献9では3段階)で診断し、その診断結果として得られた安全レベルを複数の業務処理装置に通知することが開示されている。
また、下記特許文献10では、セキュリティマネジメントのノウハウを標準化したシステムにより、高度なスキルをもたない者でも効率的かつ実効的にセキュリティマネジメントを行なうことのできる技術に関し、ユーザの端末に対しセキュリティに関する設問を提示し、端末からの設問の回答を評価し、その評価結果に基づいて教育プランを作成し、ユーザはそのプランに基づいた教育を受けることが開示されている。
また、以下の特許文献11に開示された技術は、ネットワーク内における各情報機器の資源の構成および利用状況、トラフィックをネットワーク外に配置した集中監視装置で監視する方法/システムに関し、コンピュータウィルス対策,ネットワーク内の情報資源への不正アクセス対策,ネットワークへの不正接続対策を一挙に解決することを目的としている。この特許文献11における、例えば請求項3や請求項5には、エージェントが収集した情報機器の資源の構成や利用状況の情報をインターネットを介して取得し、不正利用や不正接続を検出すると、ネットワーク管理者に通知することが開示されている。
また、特許文献12に開示された技術は、情報セキュリティの教育,管理,監査に、好ましく用いることのできるセキュリティ教育方法およびセキュリティ教育支援コンピュータに関し、この特許文献12における、例えば段落0018や0025には、クライアントコンピュータの要求に応じて、セキュリティに関する教育コンテンツの送受信によるセキュリティ教育の受講手続きが行なわれることが記載されている。
また、特許文献13に開示された技術は、業務処理を安全に行なう業務管理システム等
に関し、業務処理を行なっているユーザが意識せずに、セキュリティ対策を簡単かつ有効的に行なうことを目的としている。この特許文献13における、例えば請求項3には、各業務処理装置から受信されたセキュリティ情報に基づいて各業務処理装置のコンピュータウィルスに対する安全レベルを診断することが記載されているほか、例えば請求項4には、各業務処理装置のコンピュータウィルスに対する安全レベルに基づいて複数の業務処理装置全体のコンピュータウィルスに対する安全レベルを診断することが記載されている。
に関し、業務処理を行なっているユーザが意識せずに、セキュリティ対策を簡単かつ有効的に行なうことを目的としている。この特許文献13における、例えば請求項3には、各業務処理装置から受信されたセキュリティ情報に基づいて各業務処理装置のコンピュータウィルスに対する安全レベルを診断することが記載されているほか、例えば請求項4には、各業務処理装置のコンピュータウィルスに対する安全レベルに基づいて複数の業務処理装置全体のコンピュータウィルスに対する安全レベルを診断することが記載されている。
また、以下の非特許文献8に開示された技術は、セキュリティの運用に関するスタンダード(標準書)の作成に関し、この非特許文献8の第107頁左欄の「ポイント4」においては、セキュリティ違反者に対して、セキュリティの再教育を実施することが記載されている。この場合、同じ教育が再度行なわれるものと考えられる。
また、近年は、個人情報の保護の意識の高まりに伴い、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することが望まれている。特に、個人情報保護法の施行に伴って、個人情報取扱事業者は、個人情報の流出・漏洩や不正利用をより確実に防止する必要が生じている。ここで、個人情報とは、単体もしくは組合せによって特定の個人を識別することのできる情報で、例えば氏名,生年月日,連絡先(住所,居所,電話番号,電子メールアドレス等)などが含まれる。各種企業内で保存されて取り扱われる顧客情報,取引先情報などが個人情報に該当する場合が多い。
このような個人情報は、当然、企業にとっては秘匿性の高い機密情報に該当するが、企業にとっての機密情報としては、個人情報のほかにも、発表前の新製品,特許出願前の技術,経営戦略などに係る情報が該当する。なお、システム監査学会によれば、機密情報とは、情報資産の中で、許可した者以外に開示したり、目的外に利用された場合、経営資源としての価値を損なうおそれのある情報と定義されている。
上述のような個人情報や機密情報の流出・漏洩や不正利用を確実に防止するためには、集中管理システムを導入し、これらの個人情報や機密情報を一元的に管理することが望ましい。しかしながら、現実には、企業内において、顧客情報,取引先情報などの個人情報は、社員個人によって利用される複数の利用者端末〔パーソナルコンピュータ(以下、PCと略記する場合がある)〕や各部署のサーバに、ばらばらに分散して保存されている場合が多い。より具体的には、個々の社員が各自の業務都合で自分のPCに個人情報(顧客情報等)を保存していたり、中央データベース、あるいは、各社員によって独自に収集された個人情報のサブセットがPCにまちまちに存在していたりする。
このため、上記集中管理システムを構築する場合、管理者は、まず最初に、企業内にばらばらに存在する個人情報や機密情報の洗い出しを行ない、企業内のどこにどのような個人情報や機密情報が存在しているかを把握する必要があるが、個人情報や機密情報の洗い出しは、管理者が各社員に指示し人間対人間で全社・全部門の人的な協力を得て行なわれることになる。
なお、例えば下記特許文献14においては、個人情報保護法の施行に伴い、個人情報の流出・漏洩や不正利用を防止する個人情報保護サービスを提供するための技術「個人情報保護サービス事業の処理方法および装置」が提案・開示されている。この特許文献14では、個人情報を不適切に取得した企業を特定して警告することができ、且つ、適正に取得した企業から個人情報が不正に流出することを防止できるようにするための技術が開示されているが、上述のごとく企業内で個人情報が分散して存在している場合の対処については開示されていない。
特開2002−183367号公報
特開2006−338147号公報
特許第3840529号公報
特許第3840647号公報
特開2006−092566号公報
特開2006−155279号公報
特開2006−155283号公報
再公表特許WO2003/038634号公報
特開2005−202620号公報
特開2002−279057号公報
特開2002−149435号公報
特開2004−302585号公報
特開2005−202620号公報
特開2002−183367号公報
CS-ND-2004-00109-011,サンプルを見ながら策定するドンと来い!,情報セキュリティポリシー最終回セキュリティ対策の「スタンダード(標準書)」を作る7,N+I NETWORK,日本,ソフトバンクパブリッシング株式会社,佐藤慶浩他,2003年1月1日,第3巻,第1号,p.104-p.109
しかしながら、各社員からの申告といった人的な協力のもとで個人情報の洗い出しを行なうと、手間がかかるだけでなく全ての個人情報を確実に漏れなく洗い出すのは困難になる。特に、個人情報の分散化が進んでいると、個人情報の洗い出しは極めて困難になる。
また、個人情報の洗い出しに漏れがあると、上記義務を果たせなくなるだけでなく、その個人情報の状態を管理できず、個人情報の不用意な流出・漏洩や個人情報の不正利用を招くおそれもある。
従って、企業内の多数の端末に分散して存在する全ての個人情報ファイルを確実に探査し管理可能な状態に置くことが望まれている。
また、各端末において新たに作成・追加された個人情報ファイルを確実に洗い出すためには、例えば定期的に個人情報ファイルの探査を行なう必要がある。しかし、各端末における全てのデータを対象にして上述のような定期的な探査を行なうと、探査の都度、多大な処理時間を要することになってしまう。このため、各端末に応じた探査手法によって個人情報ファイルの探査を効率よく行なえるようにすることも望まれている。
また、各端末において新たに作成・追加された個人情報ファイルを確実に洗い出すためには、例えば定期的に個人情報ファイルの探査を行なう必要がある。しかし、各端末における全てのデータを対象にして上述のような定期的な探査を行なうと、探査の都度、多大な処理時間を要することになってしまう。このため、各端末に応じた探査手法によって個人情報ファイルの探査を効率よく行なえるようにすることも望まれている。
また、各PCの個人情報ファイルをサーバなどによって把握し、他のPCに対してコピーできないように管理したとしても、各PCからプリントアウトされた出力物(紙)から個人情報が流出する可能性がある。したがって、各PCの個人情報ファイルを管理する際ことに加え、プリントする行為についても管理を行う必要がある。しかし、各PCからのプリントについて配慮されたシステムは存在していないのが現状であった。
すなわち、以上の特許文献1−7では、各種の個別の技術については開示されているものの、そのままでは情報流出に有効に用いることができる状態ではない。また、以上の特許文献1−7を寄せ集めたとしても、確実に情報流出を抑止できるとは限らない。
しかしながら、上記特許文献9では、複数の業務処理装置全体の安全レベルを診断してその診断結果を業務処理装置に通知するだけであって、業務処理装置の利用者に対してセキュリティについての意識を徹底させるための処理(例えば電子教育)は行なわれていない。また、上記特許文献10では、セキュリティに関する設問に対する回答に基づいて教育プランを作成しており、各端末の利用者による回答を参照しているだけであって各端末
における実際の状況(実態)を参照することができないため、利用者が正直な回答をしていない限り、実態に応じた適切なセキュリティ教育を実行できているとは言い難い。
における実際の状況(実態)を参照することができないため、利用者が正直な回答をしていない限り、実態に応じた適切なセキュリティ教育を実行できているとは言い難い。
このため、大企業,中小企業などの企業規模にかかわらず、情報処理システムでのセキュリティを確保すべく、その情報処理システムを利用する利用者(社員,従業員)に対して、当該情報処理システムのセキュリティを確保するための電子教育を、各利用者端末の実態に即し且つ徹底して行なえるようにするほか、その情報処理システムにおけるセキュリティ状況を極めて正確かつ容易に把握できるようにすることが望まれている。
また、以上の特許文献8−13,非特許文献8では、セキュリティ全般についての電子教育後に利用者が故意に行なった可能性の高い違反事項について、その違反者に対して処置をすることができない。したがって、利用者教育(社員教育)を徹底して行なうことについては十分ではなく、安全な環境の確保・維持に寄与しているとは言えない状態であった。
また、セキュリティに関連して、企業内の多数の端末に分散して存在する個人情報ファイルなどの情報を確実に探査し管理可能な状態に置くことが望まれている。ここで、各端末において新たに作成・追加された個人情報ファイルを確実に洗い出すためには、例えば定期的に個人情報ファイルの探査を行なう必要がある。また、各PCの個人情報ファイルをサーバなどによって把握し管理したとしても、各端末から書出された記憶媒体(FD、CD−R(RW)、DVD−R(RW)、半導体メモリ)、電子メールやファイル転送ソフトによる送信から個人情報が流出する可能性がある。
したがって、各PCの個人情報ファイルを管理する際ことに加え、電子ファイルの外部記憶媒体への書出もしくは他のコンピュータへの送信を実行する行為についても管理を行う必要がある。しかし、各端末からの個人情報の書出もしくは送信などによる情報拡散について配慮されたシステムは存在していないのが現状であった。
また、以上の特許文献14などのように、上述のごとく各社員からの申告といった人的な協力のもとで個人情報や機密情報の洗い出しを行なうと、手間がかかるだけでなく全ての個人情報や機密情報を確実に漏れなく洗い出すのは困難になる。特に、個人情報や機密情報の分散化が進んでいると、個人情報や機密情報の洗い出しは極めて困難になる。また、個人情報や機密情報の洗い出しに漏れがあると、その個人情報や機密情報の状態を管理できず、不用意な流出・漏洩や不正利用を招くおそれもある。
従って、個人情報や機密情報(以下、総称して「保護対象情報」と呼ぶ)を効率的かつ有効に流出防止できるようにすることが望まれていた。
また、近年は、端末おいてデバイスドライバを使用せずに使用可能な周辺機器のプロトコルが提案されている。この場合、デバイスドライバを介さずにファイル転送が実行されるため、従来の手法によっては情報の拡散を防止できない恐れも生じている。
また、近年は、端末おいてデバイスドライバを使用せずに使用可能な周辺機器のプロトコルが提案されている。この場合、デバイスドライバを介さずにファイル転送が実行されるため、従来の手法によっては情報の拡散を防止できない恐れも生じている。
本発明は、このような状況に鑑み創案されたもので、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する保護対象情報ファイルを確実に探査し管理可能な状態に置けるようにして、保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することを目的としている。これに加え、本発明は、表示や印刷や周辺機器への保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することを目的としている。
上記目的を達成するために、本発明は以下のように構成されている。
(1)請求項1記載の発明は、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、を備えて構成され、該複数の利用者端末のそれぞれが、周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段と、前記管理条件を満たすか前記詳細電子教育を完了したと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可し、前記管理条件を満たしておらず前記詳細電子教育が完了していないと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの暗号化されない状態での外部への書出もしくは送信を許可せず、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの暗号化された状態での外部への書出もしくは送信を許可する制御手段と、をそなえて構成されていることを特徴とする管理システムである。
(1)請求項1記載の発明は、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、を備えて構成され、該複数の利用者端末のそれぞれが、周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段と、前記管理条件を満たすか前記詳細電子教育を完了したと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可し、前記管理条件を満たしておらず前記詳細電子教育が完了していないと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの暗号化されない状態での外部への書出もしくは送信を許可せず、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの暗号化された状態での外部への書出もしくは送信を許可する制御手段と、をそなえて構成されていることを特徴とする管理システムである。
(2)請求項2記載の発明は、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、を備えて構成され、該複数の利用者端末のそれぞれが、周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段と、前記管理条件を満たすか前記詳細電子教育を完了したと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可し、前記管理条件を満たしておらず前記詳細電子教育が完了していないと前記管理サーバにより判断された利用者端末では、該電子ファイルが保護対象情報ファイルである場合に、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの暗号化されない状態での外部への書出もしくは送信を許可せず、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの暗号化された状態での外部への書出もしくは送信を許可する制御手段と、をそなえて構成されていることを特徴とする管理システムである。
(3)請求項3記載の発明は、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、を備えて構成され、該複数の利用者端末のそれぞれが、周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段と、前記管理条件を満たすか前記詳細電子教育を完了したと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可し、前記管理条件を満たしておらず前記詳細電子教育が完了していないと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可しない制御手段と、をそなえて構成されていることを特徴とする管理システムである。
(4)請求項4記載の発明は、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティ全般についての全般電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、を備えて構成され、該複数の利用者端末のそれぞれが、周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段と、前記管理条件を満たすか前記詳細電子教育を完了したと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可し、前記管理条件を満たしておらず前記詳細電子教育が完了していないと前記管理サーバにより判断された利用者端末では、該電子ファイルが保護対象情報ファイルである場合に、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可しない制御手段と、をそなえて構成されていることを特徴とする管理システムである。
(5)請求項5記載の発明は、前記制御手段は、前記管理条件を満たしておらず前記電子教育が完了していないと判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信を行う場合、前記電子ファイルを暗号化して書出もしくは送信を許可する、ことを特徴とする請求項4記載の管理システムである。
(6)請求項6記載の発明は、前記周辺機器動作制御手段はデバイスドライバである、ことを特徴とする請求項1〜請求項5のいずれか一項に記載の管理システムである。
(7)請求項7記載の発明は、前記特定のプロトコルはピクチャトランスファプロトコルあるいはメディアトランスファプロトコルのいずれかである、ことを特徴とする請求項1〜請求項6のいずれか一項に記載の管理システムである。
(7)請求項7記載の発明は、前記特定のプロトコルはピクチャトランスファプロトコルあるいはメディアトランスファプロトコルのいずれかである、ことを特徴とする請求項1〜請求項6のいずれか一項に記載の管理システムである。
(8)請求項8記載の発明は、複数の利用者端末と管理サーバとが相互に通信可能に接続され、該複数の利用者端末を管理する管理システムとして、前記利用者端末のコンピュータと前記管理サーバのコンピュータを機能させる管理プログラムであって、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段、セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段、前記判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段、周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段、前記管理条件を満たすか前記詳細電子教育を完了したと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可し、前記管理条件を満たしておらず前記詳細電子教育が完了していないと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可しない制御手段、としてコンピュータを機能させることを特徴とする管理プログラムである。
(9)請求項9記載の発明は、複数の利用者端末と管理サーバとが相互に通信可能に接続され、該複数の利用者端末を管理する管理システムとして、前記利用者端末のコンピュータと前記管理サーバのコンピュータを機能させる管理プログラムであって、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段、セキュリティ全般についての全般電子教育を該複数の利用者端末に実行させる第一電子教育制御手段、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段、周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段、前記管理条件を満たすか前記詳細電子教育を完了したと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可し、前記管理条件を満たしておらず前記詳細電子教育が完了していないと前記管理サーバにより判断された利用者端末では、該電子ファイルが保護対象情報ファイルである場合に、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可しない制御手段、としてコンピュータを機能させることを特徴とする管理プログラムである。
(10)請求項10記載の発明は、複数の利用者端末と管理サーバとが相互に通信可能に接続され、該複数の利用者端末を管理する管理システムとして、前記利用者端末のコンピュータと前記管理サーバのコンピュータを機能させる管理プログラムであって、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段、セキュリティ全般についての全般電子教育を前記利用者端末に実行させる第一電子教育制御手段、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段、周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段、前記管理条件を満たすか前記詳細電子教育を完了したと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可し、前記管理条件を満たしておらず前記詳細電子教育が完了していないと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの暗号化されない状態での外部への書出もしくは送信を許可せず、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの暗号化された状態での外部への書出もしくは送信を許可する制御手段、としてコンピュータを機能させることを特徴とする管理プログラムである。
(11)請求項11記載の発明は、複数の利用者端末と管理サーバとが相互に通信可能に接続され、該複数の利用者端末を管理する管理システムとして、前記利用者端末のコンピュータと前記管理サーバのコンピュータを機能させる管理プログラムであって、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段、セキュリティ全般についての全般電子教育を前記利用者端末に実行させる第一電子教育制御手段、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段、周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段、前記管理条件を満たすか前記詳細電子教育を完了したと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可し、前記管理条件を満たしておらず前記詳細電子教育が完了していないと前記管理サーバにより判断された利用者端末では、該電子ファイルが保護対象情報ファイルである場合に、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの暗号化されない状態での外部への書出もしくは送信を許可せず、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの暗号化された状態での外部への書出もしくは送信を許可する制御手段と、としてコンピュータを機能させることを特徴とする管理プログラムである。
本願発明によれば、以下のような効果が得られる。
(1)以上の発明では、予め定められた所定の管理条件を利用者端末が満たすか否かを判断し、この判断結果に基づいて、電子教育を利用者端末に実行させ、管理条件を満たしておらず電子教育が完了していないと判断された利用者端末では、電子ファイルを周辺機器動作制御手段を介さない特定のプロトコルで外部に書出もしくは送信しないように制御する。
(1)以上の発明では、予め定められた所定の管理条件を利用者端末が満たすか否かを判断し、この判断結果に基づいて、電子教育を利用者端末に実行させ、管理条件を満たしておらず電子教育が完了していないと判断された利用者端末では、電子ファイルを周辺機器動作制御手段を介さない特定のプロトコルで外部に書出もしくは送信しないように制御する。
これにより、デバイスドライバを介さない特定のプロトコルによる電子ファイルの転送が制限されることになる。この結果、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する保護対象情報ファイルを確実に探査し管理可能な状態に置けるようにして、保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。これに加え、表示や印刷や周辺機器への保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。
(2)以上の発明では、予め定められた所定の管理条件を利用者端末が満たすか否かを判断し、この判断結果に基づいて、電子教育を利用者端末に実行させ、管理条件を満たしておらず電子教育が完了していないと管理サーバにより判断された利用者端末では、電子ファイルを周辺機器動作制御手段を介さない特定のプロトコルで外部に書出もしくは送信しないように制御する。
これにより、デバイスドライバを介さない特定のプロトコルによる電子ファイルの転送が制限されることになる。この結果、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する保護対象情報ファイルを確実に探査し管理可能な状態に置けるようにして、保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。これに加え、表示や印刷や周辺機器への保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。
(3)以上の発明では、管理サーバが、セキュリティ全般についての電子教育を該複数の利用者端末に実行させ、全般電子教育後に収集された各利用者端末における環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断し、管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させ、管理条件を満たしておらず詳細電子教育が完了していないと管理サーバにより判断された利用者端末では、電子ファイルを周辺機器動作制御手段を介さない特定のプロトコルで外部に書出もしくは送信しないように制御する。
これにより、デバイスドライバを介さない特定のプロトコルによる電子ファイルの転送が制限されることになる。この結果、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する保護対象情報ファイルを確実に探査し管理可能な状態に置けるようにして、保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。これに加え、表示や印刷や周
辺機器への保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。
辺機器への保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。
(4)以上の発明では、管理サーバが、セキュリティ全般についての電子教育を該複数の利用者端末に実行させ、全般電子教育後に収集された各利用者端末における環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断し、管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させ、管理条件を満たしておらず詳細電子教育が完了していないと管理サーバにより判断された利用者端末では、保護対象情報ファイルであると判定された電子ファイルを周辺機器動作制御手段を介さない特定のプロトコルで外部に書出もしくは送信しないように制御する。
これにより、デバイスドライバを介さない特定のプロトコルによる電子ファイルの転送が制限されることになる。この結果、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する保護対象情報ファイルを確実に探査し管理可能な状態に置けるようにして、保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。これに加え、表示や印刷や周辺機器への保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。
(5)以上の発明では、制御手段は、管理条件を満たしておらず電子教育が完了していないと判断された利用者端末では、電子ファイルを暗号化して書出もしくは送信することにより、情情報の不用意な流出・漏洩や保護対象情報の不正利用などをより一層確実に防止することができる。
(6)以上の発明では、周辺機器動作制御手段はデバイスドライバであり、このデバイスドライバを介さない特定のプロトコルによるデータ流出を有効に防止できる。
(7)以上の発明では、特定のプロトコルはピクチャトランスファプロトコルあるいはメディアトランスファプロトコルのいずれかであり、これら特定のプロトコルによるデータ流出を有効に防止できる。
(7)以上の発明では、特定のプロトコルはピクチャトランスファプロトコルあるいはメディアトランスファプロトコルのいずれかであり、これら特定のプロトコルによるデータ流出を有効に防止できる。
(8)以上の発明では、予め定められた所定の管理条件を利用者端末が満たすか否かを判断し、この判断結果に基づいて、電子教育を利用者端末に実行させ、管理条件を満たしておらず電子教育が完了していないと判断された利用者端末では、電子ファイルを周辺機器動作制御手段を介さない特定のプロトコルで外部に書出もしくは送信しないように制御する。
これにより、デバイスドライバを介さない特定のプロトコルによる電子ファイルの転送が制限されることになる。この結果、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する保護対象情報ファイルを確実に探査し管理可能な状態に置けるようにして、保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。これに加え、表示や印刷や周辺機器への保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。
(9)以上の発明では、予め定められた所定の管理条件を利用者端末が満たすか否かを判断し、この判断結果に基づいて、電子教育を利用者端末に実行させ、管理条件を満たしておらず電子教育が完了していないと管理サーバにより判断された利用者端末では、電子ファイルを周辺機器動作制御手段を介さない特定のプロトコルで外部に書出もしくは送信しないように制御する。
これにより、デバイスドライバを介さない特定のプロトコルによる電子ファイルの転送が制限されることになる。この結果、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する保護対象情報ファイルを確実に探査し管理可能な状態に置けるようにして、保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。これに加え、表示や印刷や周辺機器への保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。
(10)以上の発明では、予め定められた所定の管理条件を端末が満たすか否かを判断し、この判断結果に基づいて、電子教育を利用者端末に実行させ、管理条件を満たしておらず電子教育が完了していない端末では、少なくとも一部を制限した状態で電子ファイルのプリントが実行される。
この結果、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する保護対象情報ファイルを確実に探査し管理可能な状態に置けるようにして、保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。
(11)以上の発明では、予め定められた所定の管理条件を端末が満たすか否かを判断し、この判断結果に基づいて、電子教育を利用者端末に実行させ、管理条件を満たしておらず電子教育が完了していない端末では、少なくとも一部を制限した状態で電子ファイルのプリントが実行される。
この結果、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する保護対象情報ファイルを確実に探査し管理可能な状態に置けるようにして、保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。
以下、図面を参照して本発明の実施の形態を説明する。なお、個人情報や機密情報など保護すべき情報を総称して保護対象情報と呼ぶことにしている。そして、以下の実施形態では、保護対象情報として、個人情報を具体例に挙げて説明を行っている。
〔A〕第一実施形態:
〔A1〕第一実施形態の管理システムの概略:
図1は本発明の第一実施形態としての管理システムの構成を示すブロック図で、この図1に示すように、本実施形態の管理システム1は、複数のクライアント端末10のほかに情報管理サーバ20およびファイルアクセス管理サーバ30をそなえて構成され、これらの端末10およびサーバ20,30がネットワーク〔例えば、社内LAN(Local Area Network)〕40を介して相互に通信可能に接続されている。
〔A1〕第一実施形態の管理システムの概略:
図1は本発明の第一実施形態としての管理システムの構成を示すブロック図で、この図1に示すように、本実施形態の管理システム1は、複数のクライアント端末10のほかに情報管理サーバ20およびファイルアクセス管理サーバ30をそなえて構成され、これらの端末10およびサーバ20,30がネットワーク〔例えば、社内LAN(Local Area Network)〕40を介して相互に通信可能に接続されている。
各クライアント端末10は、企業等の社内において各社員(利用者)によって使用されるパーソナルコンピュータ(PC)等の端末装置によって構成されており、その内部の構成については第二の実施形態などにおいて後述する。
なお、クライアント端末10がノート型などの携帯端末装置の場合には、社内だけでなく、社外でも使用されることがあり得る。
そして、このクライアント端末10は、ハードディスク装置や不揮発性メモリなどの記憶装置としての外部メモリ70に各種電子ファイルや各種プログラムを保存することが可
能に構成されており、この電子ファイルとして後述する個人情報ファイルが存在する場合がある。
そして、このクライアント端末10は、ハードディスク装置や不揮発性メモリなどの記憶装置としての外部メモリ70に各種電子ファイルや各種プログラムを保存することが可
能に構成されており、この電子ファイルとして後述する個人情報ファイルが存在する場合がある。
また、同様にして、このクライアント端末10には、携帯電話装置やPDAや音楽情報再生装置などの各種携帯端末80が接続されうる状態になっている。また、同様にして、このクライアント端末10には、プリンタ60(60B)が接続されうる状態になっている。
なお、ハードディスク装置などの記憶装置70’については、ネットワーク40に直接接続されていてもよい。また、同様にして、携帯端末80がネットワーク40に直接接続されていてもよい。また、同様にして、プリンタ60(60A)がネットワーク40に直接接続されうる状態になっている。
情報管理サーバ20は、複数のクライアント端末10およびファイルアクセス管理サーバ30とネットワーク40を介して相互に通信可能に接続され、各クライアント端末10における個人情報ファイルやその拡散防止について管理するもので、その内容については第二/第三の実施形態などにおいて後述する。
ファイルアクセス管理サーバ30は、複数のクライアント端末10および情報管理サーバ20とネットワーク40を介して相互に通信可能に接続され、保護対象情報となる電子ファイル(本実施形態では個人情報ファイル)に対するアクセスを管理するものであり、その内容については第二/第三の実施形態などにおいて後述する。
まず、本システム1では、クライアント端末10が管理条件を満たしているか否かが判断され、この判断結果に応じて電子教育が実行される(図2中のステップS1001)。
ここで、上述した管理条件とは、管理者側が定めた利用者端末側でのセキュリティ対策などに関しての望ましい使用条件あるいは使用状態を意味している。なお、この管理条件の詳細や具体例については、第二実施形態で詳述する。
ここで、上述した管理条件とは、管理者側が定めた利用者端末側でのセキュリティ対策などに関しての望ましい使用条件あるいは使用状態を意味している。なお、この管理条件の詳細や具体例については、第二実施形態で詳述する。
なお、この管理条件と電子教育とについては、後述する第二実施形態で詳しく説明するが、ここでは、各クライアント端末10においてセキュリティに関する全般電子教育(第一電子教育)を実行し、その電子教育実行後に各クライアント端末10が管理条件を満たしているか否かを判断し、管理条件を満たさないクライアント端末10にはセキュリティに関する詳細電子教育(第二電子教育)を施すようにしている。
また、このクライアント端末10では、プリンタ60、外部メモリ70、携帯端末80といった各種のデバイス(周辺機器)との間でデータの授受を行う場合には、各デバイス毎に容易されたデバイスドライバあるいはこれに類する手段(本実施形態では、「周辺機器動作制御手段」)を介して行うことが一般的である。
ここで、周辺機器とは、クライアント端末10に有線,無線,光などを介して接続されうる各種の外部機器、または、クライアント端末10と信号の授受を行う各種の機器を意味している。ここで、クライアント端末10と周辺機器との間で、少なくとも電子ファイルの受け渡しが行われる。
また、この周辺機器としては、各種記憶媒体を用いた補助記憶装置、キーボードやスキャナなどの入力機器、プリンタやディスプレイなどの出力装置、モデムやルータなどの通信機器などが該当する。
また、周辺機器側が、ISO 15740として制定されたPTP(Picture Transfer Protocol
:ピクチャ・トランスファ・プロトコル)や、マイクロソフト社が提唱するMTP(Media Transfer Protocol:メディア・トランスファ・プロトコル)に対応しており、クライ
アント端末10においてもPTPやMTPに対応するプログラムを用いることで、上述したデバイスドライバを介さずに、該プロトコルにて通信が可能になっている。
:ピクチャ・トランスファ・プロトコル)や、マイクロソフト社が提唱するMTP(Media Transfer Protocol:メディア・トランスファ・プロトコル)に対応しており、クライ
アント端末10においてもPTPやMTPに対応するプログラムを用いることで、上述したデバイスドライバを介さずに、該プロトコルにて通信が可能になっている。
〔A2〕第一実施形態の管理システムの動作:
ここで、いずれかのクライアント端末10において、電子ファイルを周辺機器(プリンタ60、外部メモリ70、携帯端末80など)に対して書出もしくは送信する命令(送出命令)が発生したとする(図2中のステップS1002)。
ここで、いずれかのクライアント端末10において、電子ファイルを周辺機器(プリンタ60、外部メモリ70、携帯端末80など)に対して書出もしくは送信する命令(送出命令)が発生したとする(図2中のステップS1002)。
なお、送出(書出もしくは送信)とは、電子ファイルそのままの形でクライアント端末10から周辺機器に送られることだけではなく、印刷の場合のイメージデータのように、形式が変換されて送られることも含む。
従って、クライアント端末10においてプリント命令が発生した場合も、以上の送出命令発生に該当する。
この場合、この送出命令が発生した場合、該利用者端末が、上述した管理条件を満たしているか否かを基準として、管理条件を満たしていると判断される場合には(図2中のステップS1003でYES)、指定された電子ファイルの周辺機器への送出を実行する(図2中のステップS1006)。
この場合、この送出命令が発生した場合、該利用者端末が、上述した管理条件を満たしているか否かを基準として、管理条件を満たしていると判断される場合には(図2中のステップS1003でYES)、指定された電子ファイルの周辺機器への送出を実行する(図2中のステップS1006)。
また、この場合、この送出命令が発生した場合、該利用者端末が、上述した管理条件を満たしているか否かを基準として、管理条件を満たしていないと判断される場合には(図2中のステップS1003でNO)、上述した詳細電子教育の受講が該クライアント端末10において完了しているか否かを調べる。
ここで、該利用者端末が、上述した管理条件を満たしていないと判断される場合には(図2中のステップS1003でNO)であっても、上述した詳細電子教育の受講が該クライアント端末10において完了している(図2中のステップS1004でYES)場合には、指定された電子ファイルの周辺機器への送出を実行する(図2中のステップS1006)。
一方、該利用者端末が、上述した管理条件を満たしていないと判断される場合には(図2中のステップS1003でNO)であって、上述した詳細電子教育の受講が該クライアント端末10において完了していない(図2中のステップS1004でNO)場合には、該電子ファイルの周辺機器への送出がデバイスドライバを介するか否かが調べられる。
ここで、該利用者端末が、上述した管理条件を満たしていないと判断され(図2中のステップS1003でNO)、上述した詳細電子教育の受講が該クライアント端末10において完了していない(図2中のステップS1004でNO)場合に、該電子ファイルの周辺機器への送出がデバイスドライバを介するものであれば(図2中のステップS1005でYES)、後述する第三実施形態で示すように、予め定められた制限(中止、一部中止、一部不可視など)を付した状態で、指定された電子ファイルの周辺機器への送出を実行する(図2中のステップS1007)。この場合には、デバイスドライバとしての周辺機器動作制御手段により、予め定められた付きの電子ファイルの送出を行う。
また、ここで、該利用者端末が、上述した管理条件を満たしていないと判断され(図2中のステップS1003でNO)、上述した詳細電子教育の受講が該クライアント端末10において完了していない(図2中のステップS1004でNO)場合に、該電子ファイルの周辺機器への送出がデバイスドライバを介しないものであれば(図2中のステップS
1005でNO)、デバイスドライバを介さずに所定のプロトコルで通信が実行されることにより各種情報が不用意に拡散してしまうおそれがあるため、クライアント端末10の制御手段(CPU)などから、指定された電子ファイルの周辺機器への送出を禁止する(図2中のステップS1008)。
1005でNO)、デバイスドライバを介さずに所定のプロトコルで通信が実行されることにより各種情報が不用意に拡散してしまうおそれがあるため、クライアント端末10の制御手段(CPU)などから、指定された電子ファイルの周辺機器への送出を禁止する(図2中のステップS1008)。
なお、ここでは、周辺機器として、クライアント端末10に接続されたプリンタ60、外部メモリ70、携帯端末80について説明するが、ネットワーク上に存在する記憶装置70’や携帯端末80に対しても同様に行う。また、図示されていない各種の周辺機器、たとえば、表示を行う外部ディスプレイ(プロジェクタ)などに対しても、以上と同様に、行えばよい。
これにより、PTPやMTPのようなデバイスドライバを介さない特定のプロトコルによる電子ファイルの転送が制限されることになる。この結果、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する保護対象情報ファイルを確実に探査し管理可能な状態に置けるようにして、保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。これに加え、表示や印刷や周辺機器への保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。
なお、以上の制限なし送出(図2中のステップS1006)、一部制限あり送出(図2中のステップS1007)、送出禁止(図2中のステップS1008)については、管理条件の満足や詳細電子教育の完了有無(図2中のステップS1003,S1004)によって振り分けていたが、これに加えて、電子ファイル中に個人情報などの保護対象情報が含まれているかを監視して更に細かく動作制限を実行してもよい。
なお、管理条件と電子教育との関係については後述する第二実施形態、一部制限付きの電子ファイル送出や個人情報の有無による送出制限については、以下の第三実施形態において説明を行う。
なお、以上の管理条件判断や電子教育については、クライアント端末10自身が行ってもよいし、管理サーバ20が行うようにしてもよい。
〔B〕第二実施形態:
〔B1〕第二実施形態の構成:
図3は本発明の第二実施形態としての管理システム(管理サーバおよび利用者端末)の構成を示すブロック図で、この図3に示すように、第二実施形態の管理システム(セキュリティ評価サービス提供システム)1は、企業内システム1Aの管理者(システム管理者,当該企業の経営者等)の依頼を受け、後述する管理サーバ20によって評価対象(管理対象)である企業内システム1Aのセキュリティ評価および電子教育を行なうと共に情報漏洩を防止するサービス(セキュリティ評価サービス)を企業内システム1Aに提供するものである。
〔B〕第二実施形態:
〔B1〕第二実施形態の構成:
図3は本発明の第二実施形態としての管理システム(管理サーバおよび利用者端末)の構成を示すブロック図で、この図3に示すように、第二実施形態の管理システム(セキュリティ評価サービス提供システム)1は、企業内システム1Aの管理者(システム管理者,当該企業の経営者等)の依頼を受け、後述する管理サーバ20によって評価対象(管理対象)である企業内システム1Aのセキュリティ評価および電子教育を行なうと共に情報漏洩を防止するサービス(セキュリティ評価サービス)を企業内システム1Aに提供するものである。
従って、第二実施形態のシステム1においては、図3に示すように、評価対象となりうる複数の企業内システム1Aと、上記サービスを提供すべく各企業内システム1Aに属する複数の利用者端末10を管理しうる管理サーバ(セキュリティ評価サービス提供サーバ)20とが、外部通信網(ネットワーク)40を介して相互に通信可能に接続されている。ここで、外部通信網40は、インターネット,公衆回線網などを含むものである。
なお、この第二実施形態では、クライアント端末10を利用者端末10と呼ぶことにする。
企業内システム(内部システム)1Aにおいては、複数の利用者端末10が、共通の構
内通信網であるLAN40Aを介して相互に通信可能に接続されるとともに、LAN40Aにはプロキシサーバ13、プリンタ60が接続されている。
企業内システム(内部システム)1Aにおいては、複数の利用者端末10が、共通の構
内通信網であるLAN40Aを介して相互に通信可能に接続されるとともに、LAN40Aにはプロキシサーバ13、プリンタ60が接続されている。
そして、各利用者端末10は、LAN40Aおよびプロキシサーバ13を介して外部通信網40に接続されて外部の各種サーバ(管理サーバ20を含む)と通信接続できるように構成されている。つまり、各利用者端末10と管理サーバ20とは、LAN40A,プロキシサーバ13および外部通信網40を介して相互に通信可能に接続されるように構成されている。
企業内システム1Aに属する各利用者端末10は、当該企業の社員である利用者によって使用・携帯されるパーソナルコンピュータ等であり、ハードディスク等の記憶部(図示略)や、後述するエージェントファイルを含む各種プログラムを実行することにより後述する実行手段111,112,113,119として機能しうる処理部(CPU)110をそなえて構成されている。
また、管理サーバ20は、上述したように評価対象となりうる複数の企業内システム1Aに属する各利用者端末10と相互に通信可能に接続され、各利用者端末10を管理することによって、上記セキュリティ評価サービスを提供するもので、環境情報収集エージェントファイル送信手段21,環境情報受信手段22,評価手段23,評価結果通知手段24,第一電子教育制御手段25,判断手段26,警告手段27,第二電子教育制御手段28および送出制御手段29としての機能を果たすものである。
これらの各手段21〜29としての機能は、管理サーバ20を構成する処理部(CPU;図示略)によって、予めインストールされている管理プログラム(セキュリティ評価サービス提供プログラム)を実行することにより実現される。
環境情報収集エージェントファイル送信手段21は、環境情報収集エージェントファイルを、電子メールに添付するなどして、評価対象のシステム1Aにおける複数の利用者端末10のそれぞれに送信するものである。このとき、送信先の各利用者端末10に関する情報(メールアドレス等)は、企業内システム1Aの管理者等からセキュリティ評価の依頼とともに受けることになる。なお、各利用者端末10に送信されるべき環境情報収集エージェントファイルを、環境情報収集エージェントファイル送信手段21により、一旦、企業内システム1Aの管理端末等(図示略)に送信し、当該管理端末等からLAN40Aを通じて各利用者端末10に送信してもよい。
管理サーバ20では、各利用者端末10に実行させることを望む処理(タスク)がエージェントファイルとして予め作成されており、そのエージェントファイルが上記記憶部等に保存されている。ここで、環境情報収集エージェントファイルは、各利用者端末10における環境情報の収集処理とその収集結果の管理サーバ20への通知処理とを各利用者端末10に実行させるものである。
各利用者端末10に送信された環境情報収集エージェントファイルは、自動的に、または、利用者がそのファイルに対する所定操作(例えばマウスによるダブルクリック操作)を行なった場合に、利用者端末10上の処理部110で実行される。つまり、処理部110が環境情報収集エージェントファイル実行手段111として機能し、その実行動作に伴って、当該利用者端末10における環境情報が収集され、その収集結果が、LAN40A,プロキシサーバ13および外部通信網40を通じて管理サーバ20へ送信・通知されるようになっている。
ここで、各利用者端末10において収集される環境情報は、各利用者端末10における
動作環境に関する情報(資産情報/インベントリ情報/実行環境情報)であり、後述するごとく評価手段23での評価処理や判断手段26での判断処理に際して必要な情報(後述する管理条件の内容に係る情報;例えば、各利用者端末10にインストールされている全てのソフトウエアに関する情報)を含んでいれば十分であるが、必要に応じて、以下のような、利用者端末10におけるハードウエア資源やソフトウエア資源に関する情報を環境情報として収集することも可能である。
動作環境に関する情報(資産情報/インベントリ情報/実行環境情報)であり、後述するごとく評価手段23での評価処理や判断手段26での判断処理に際して必要な情報(後述する管理条件の内容に係る情報;例えば、各利用者端末10にインストールされている全てのソフトウエアに関する情報)を含んでいれば十分であるが、必要に応じて、以下のような、利用者端末10におけるハードウエア資源やソフトウエア資源に関する情報を環境情報として収集することも可能である。
ハードウエア資源に関する情報としては、例えば、コンピュータ名/OS/CPU/CPUスピード/キーボードタイプ/物理メモリ/利用可能メモリ/ビデオカード/解像度/プリンタ/スワップサイズ/ドメイン名/ログオンユーザ名/モデル名/ネットワークカード/MACアドレス/IPアドレス/ネットマスク/デフォルトゲートウェイ/DNSサーバ/ソケットバージョン/ローカルドライブ毎の総容量や空き容量/BIOSバージョン/BIOSメーカ/マシンメーカ/マシン名/マシンシリアルマシンUUID/マザーボードメーカ名/マザーボード名/CPU IDなどに関する情報が挙げられる。
ソフトウエア資源に関する情報としては、利用者端末10に保有されているソフトウエア(各種アプリケーションプログラム)に関する情報(例えば、製品名,詳細バージョン,ファイルサイズ,ファイル更新日など)が挙げられる。OSのセキュリティホールを修復するためのセキュリティパッチ更新ソフトウエア〔例えば“Windows(登録商標) Update”等〕を利用者端末10が保有している場合には、セキュリティパッチの更新情報(最新であるか否か)も収集される。また、ウイルス対策ソフトウエア〔例えば“Norton AntiVilus(登録商標)”等〕を利用者端末10が保有している場合には、そのウイルス対策ソフトウエアにおけるウイルス定義ファイルの更新情報(最新であるか否か)も収集される。さらに、セキュリティパッチ更新ソフトウエア,ウイルス対策ソフトウエア,スパイウエア対策ソフトウエア等のセキュリティソフトウエアを利用者端末10が保有している場合には、その設定状況(セキュリティ設定;オン/オフ状態など)も収集される。
環境情報受信手段22は、各利用者端末10から送信された環境情報を受信し、評価手段23や判断手段26に受け渡すものである。
第二実施形態の管理システム1では、管理サーバ20における環境情報収集エージェントファイル送信手段21および環境情報受信手段22と、各利用者端末10における環境情報収集エージェントファイル実行手段111とによって、複数の利用者端末10のそれぞれにおける環境情報を各利用者端末10から管理サーバ20に収集する環境情報収集手段が構成されている。
第二実施形態の管理システム1では、管理サーバ20における環境情報収集エージェントファイル送信手段21および環境情報受信手段22と、各利用者端末10における環境情報収集エージェントファイル実行手段111とによって、複数の利用者端末10のそれぞれにおける環境情報を各利用者端末10から管理サーバ20に収集する環境情報収集手段が構成されている。
評価手段23は、上記環境情報収集手段によって収集された各利用者端末10における環境情報、つまり環境情報受信手段22によって受信された、評価対象システム1Aの書く利用者端末10における環境情報に基づいて、各利用者端末10が少なくとも一つの管理条件(後述)を満たしているか否かを判断して複数の利用者端末10についての安全度合いを数値化することにより、企業内システム1A全体のセキュリティレベル(セキュリティ状況の評価レベル)を評価・決定するものである。
その際、評価手段23は、図5を参照しながら後述するごとく、評価対象システム1Aにおける複数の利用者端末10のうちで少なくとも一つの管理条件(後述)を満たしている利用者端末10の割合に基づいて上記安全度合いを数値化してもよいし、図6や図7を参照しながら後述するごとく、上記割合と管理条件の重要度(後述)とに基づいて上記安全度合いを数値化してもよい。
そして、第二実施形態の評価手段23は、安全度合いを数値化した結果(後述する割合Pや評価値V)に応じて、段階的に、評価対象システム1Aのセキュリティ状況の評価レ
ベル(セキュリティレベル)を決定するようになっている。例えば、評価レベルを1〜5の5段階とし、評価対象システム1Aの安全度合いが最も高い場合に評価レベル“5”とし、評価対象システム1Aの安全度合いが最も低い場合に評価レベル“1”とする。
ベル(セキュリティレベル)を決定するようになっている。例えば、評価レベルを1〜5の5段階とし、評価対象システム1Aの安全度合いが最も高い場合に評価レベル“5”とし、評価対象システム1Aの安全度合いが最も低い場合に評価レベル“1”とする。
また、上述した管理条件は、管理者側が定めた利用者端末の望ましい使用条件あるいは使用状態を意味しており、具体的には下記項目(1)〜(5)のものが挙げられる。いずれの管理条件も、各利用者端末10がその管理条件を満たす場合にその管理条件を満たさない場合よりも安全度合いが高くなるような条件である。
(1)利用者端末10にセキュリティ対策ソフトウエアがインストールされ、オン設定に
なっていること。
(2)利用者端末10における、セキュリティ対策ソフトウエアとしてのセキュリティパ
ッチ更新ソフトウエアのセキュリティパッチの更新情報が最新であること。
なっていること。
(2)利用者端末10における、セキュリティ対策ソフトウエアとしてのセキュリティパ
ッチ更新ソフトウエアのセキュリティパッチの更新情報が最新であること。
(3)利用者端末10における、セキュリティ対策ソフトウエアとしてのウイルス対策ソ
フトウエアのウイルス定義ファイルの更新情報が最新であること。
(4)利用者端末10に危険ソフトウエアがインストールされていないこと。危険ソフト
ウエアとしては、仮想VPNソフトウエア,P2Pソフトウエア,スパイウエア,ファイル交換ソフトウエア(例えばWinny)などが挙げられる。
フトウエアのウイルス定義ファイルの更新情報が最新であること。
(4)利用者端末10に危険ソフトウエアがインストールされていないこと。危険ソフト
ウエアとしては、仮想VPNソフトウエア,P2Pソフトウエア,スパイウエア,ファイル交換ソフトウエア(例えばWinny)などが挙げられる。
(5)利用者端末10が、ソフトウエア等の不正コピーを保有していないこと。
または、管理条件は、管理者側が定めた利用者端末の望ましい使用条件あるいは使用状態として、上記(1)〜(5)に加えて、下記項目(a)〜(g)のものが挙げられる。いずれの管理条件も、各利用者端末10がその管理条件を満たす場合にその管理条件を満たさない場合よりも安全度合いが高くなるような条件である。
または、管理条件は、管理者側が定めた利用者端末の望ましい使用条件あるいは使用状態として、上記(1)〜(5)に加えて、下記項目(a)〜(g)のものが挙げられる。いずれの管理条件も、各利用者端末10がその管理条件を満たす場合にその管理条件を満たさない場合よりも安全度合いが高くなるような条件である。
(a)利用者端末に使用許可ソフトウエア以外のソフトウエアがインストールされていな
いこと、
(b)利用者端末に使用禁止ソフトウエアがインストールされていないこと、
(c)利用者端末に使用許可ソフトウエア以外のソフトウエア用のデータが保存されてい
ないこと、
(d)利用者端末に使用禁止ソフトウエア用のデータが保存されていないこと、
(e)利用者端末に使用許可されていない共有設定が存在しないこと、
(e)利用者端末に許可されていないフォルダが作成されていないこと、
(f)利用者端末に使用許可周辺機器以外の周辺機器が接続されていないこと、
(g)利用者端末に使用禁止周辺機器が周辺機器が接続されていないこと、
なお、この管理条件は、管理者側が定めた利用者端末の望ましい使用条件あるいは使用状態として、上記項目(1)〜(g)のうちのどの項目を満たすか、あるいは、幾つの項目数を満たすかを定めてもよい。
いこと、
(b)利用者端末に使用禁止ソフトウエアがインストールされていないこと、
(c)利用者端末に使用許可ソフトウエア以外のソフトウエア用のデータが保存されてい
ないこと、
(d)利用者端末に使用禁止ソフトウエア用のデータが保存されていないこと、
(e)利用者端末に使用許可されていない共有設定が存在しないこと、
(e)利用者端末に許可されていないフォルダが作成されていないこと、
(f)利用者端末に使用許可周辺機器以外の周辺機器が接続されていないこと、
(g)利用者端末に使用禁止周辺機器が周辺機器が接続されていないこと、
なお、この管理条件は、管理者側が定めた利用者端末の望ましい使用条件あるいは使用状態として、上記項目(1)〜(g)のうちのどの項目を満たすか、あるいは、幾つの項目数を満たすかを定めてもよい。
また、この管理条件は、複数の利用者端末に対して一律に設定されていてもよいし、個々の利用者端末毎に定められていてもよいし、さらには、状況に応じて変更されてもよい。
ここで、状況に応じて変更とは、管理条件違反の利用者端末に対して、更に管理条件を厳しく設定したり、個人情報を保有している利用者端末に対して更に管理条件を厳しく設定することや、逆に、違反や個人情報所有のない利用者端末に対して管理条件を緩く設定することなどが該当する。
評価手段23が図5や図6に示す手法で評価処理を行なう際、これらの項目(1)〜(5)あ
るいは(1)〜(5)と(a)〜(g)の管理条件を全て満たす利用者端末10の割合を算出して評価レベルを決定してもよいし、これらの項目(1)〜(5)あるいは(1)〜(5)と(a)〜(g)の管理条件のうちの少なくとも一つを満たす利用者端末10の割合を算出して評価レベルを決定してもよい。また、図6に示す手法で評価処理を行なう際には、後述するように、項目(1)
〜(5)あるいは(1)〜(5)と(a)〜(g)の管理条件のうちの少なくとも一つを、評価対象シス
テム1Aの安全性を確保するための重要度が極めて高いものとし、重要管理条件として予め設定されている。
るいは(1)〜(5)と(a)〜(g)の管理条件を全て満たす利用者端末10の割合を算出して評価レベルを決定してもよいし、これらの項目(1)〜(5)あるいは(1)〜(5)と(a)〜(g)の管理条件のうちの少なくとも一つを満たす利用者端末10の割合を算出して評価レベルを決定してもよい。また、図6に示す手法で評価処理を行なう際には、後述するように、項目(1)
〜(5)あるいは(1)〜(5)と(a)〜(g)の管理条件のうちの少なくとも一つを、評価対象シス
テム1Aの安全性を確保するための重要度が極めて高いものとし、重要管理条件として予め設定されている。
図7に示す手法で評価処理を行なう際には、各管理条件(1)〜(5)あるいは(1)〜(5)と(a)〜(g)に対して、内部システム1Aの安全性を確保するための重要度が設定されている。この場合、図7を参照しながら後述する評価値Vを算出するために用いられる、重みとしての重要度Mi(i=1〜5)が、管理条件(1)〜(5)あるいは(1)〜(5)と(a)〜(g)毎に予め設定されている。この重要度Miは、内部システム1Aの安全性を確保するためにその管理条件を満たしている必要性が高いものほど大きい値になるように設定されている。
評価結果通知手段(通知手段)24は、評価手段23によって得られた評価結果(算出された割合,表価値,評価レベルを含む)を、各利用者端末10や管理者等の端末(図示略)に送信して表示させ、複数の利用者端末10の利用者や管理者等(企業内システム1Aの管理者等)に通知するものである。
なお、評価対象システム1Aの評価依頼において定期的な評価を依頼されている場合、第二実施形態の管理システム1では、評価対象システム1Aの各利用者端末10の環境情報が上記環境情報収集手段によって定期的に収集され、評価手段23は、その定期的な収集結果に基づいて複数の利用者端末10(評価対象システム1A)についての安全度合い(セキュリティ状況の評価レベル/セキュリティレベル)を定期的に評価し、評価結果通知手段24が、その定期的な評価結果を複数の利用者端末10の管理者等や利用者に通知し、その管理者等の端末や利用者端末10において表示させる。
第一電子教育制御手段25は、少なくとも上記管理条件(1)〜(5)あるいは(1)〜(5)と(a)〜(g)に係る事項を含むセキュリティについての電子教育(eラーニング)、つまりは企業内システム1Aを利用する際のセキュリティ全般についての電子教育を、企業内システム1Aに属する複数の利用者端末10に実行させるもので、第一電子教育エージェントファイル作成/保持手段251および第一電子教育エージェントファイル送信手段252としての機能を有している。
第一電子教育エージェントファイル作成/保持手段251は、企業内システム1Aにおけるセキュリティ全般についての電子教育を、評価対象システム1Aに属する複数の利用者端末10のそれぞれに実行させる第一電子教育エージェントファイルを作成または保持するものである。前述したように、管理サーバ20において、各利用者端末10に実行させることを望む処理(タスク)がエージェントファイルとして作成される。
ここで、第一電子教育エージェントファイルは、企業内システム1Aにおけるセキュリティ全般についての電子教育を各利用者端末10に実行させるもので、必要に応じて第一電子教育エージェントファイル作成/保持手段251によって作成されてもよいし、企業内システム1Aにおけるセキュリティ全般についての第一電子教育エージェントファイルを予め作成して第一電子教育エージェントファイル作成/保持手段251に保持させておいてもよい。
第一電子教育エージェントファイル送信手段252は、第一電子教育エージェントファイル作成/保持手段251により作成または保持された、第一電子教育エージェントファ
イルを、作成後または読出後に電子メールに添付するなどして、評価対象のシステム1Aにおける複数の利用者端末10に送信するものである。このとき、送信先の各利用者端末10に関する情報(メールアドレス等)は、上述した通り、企業内システム1Aの管理者等からセキュリティ評価の依頼とともに受けることになる。なお、各利用者端末10に送信されるべき第一電子教育エージェントファイルを、第一電子教育エージェントファイル送信手段252により、一旦、企業内システム1Aの管理端末等(図示略)に送信し、当該管理端末等からLAN40Aを通じて各利用者端末10に送信してもよい。
イルを、作成後または読出後に電子メールに添付するなどして、評価対象のシステム1Aにおける複数の利用者端末10に送信するものである。このとき、送信先の各利用者端末10に関する情報(メールアドレス等)は、上述した通り、企業内システム1Aの管理者等からセキュリティ評価の依頼とともに受けることになる。なお、各利用者端末10に送信されるべき第一電子教育エージェントファイルを、第一電子教育エージェントファイル送信手段252により、一旦、企業内システム1Aの管理端末等(図示略)に送信し、当該管理端末等からLAN40Aを通じて各利用者端末10に送信してもよい。
なお、第二実施形態における第一電子教育制御手段25は、上述した機能(図4を参照しながら後述するごとく図4のステップS107,S108の処理に際して用いられる機能)に加え、評価手段23によって得られた評価結果(評価レベル等)に応じた電子教育(eラーニング)を、企業内システム1Aに属する複数の利用者端末10に対して実行させる機能を併せもっている。この機能は、図4を参照しながら後述するごとく図4のステップS118,S119の処理に際して用いられるものであるが、図4のステップS107,S108の処理に際して用いることも可能である。
この場合、第一電子教育エージェントファイル作成/保持手段251は、評価手段23によって得られた評価結果に応じた電子教育を、評価対象システム1Aに属する複数の利用者端末10のそれぞれに実行させる電子教育エージェントファイルを作成または保持するようになっている。この電子教育エージェントファイルは、評価手段23による評価結果に応じた電子教育を各利用者端末10に実行させるもので、評価結果が得られた時点で第一電子教育エージェントファイル作成/保持手段251によって作成されてもよいし、評価結果に応じた電子教育エージェントファイルを評価結果毎に予め作成して第一電子教育エージェントファイル作成/保持手段251に保持させておいてもよい。そして、第一電子教育エージェントファイル送信手段252は、第一電子教育エージェントファイル作成/保持手段251により作成または保持された、評価結果に応じた上記電子教育エージェントファイルを、上述した第一電子教育エージェントファイルの送信と同様、作成後または読出後に電子メールに添付するなどして、評価対象のシステム1Aにおける複数の利用者端末10に送信するようになっている。
各利用者端末10に送信された、上記第一電子教育エージェントファイルもしくは評価結果に応じた上記電子教育エージェントファイルは、自動的に、または、利用者がそのファイルに対する所定操作(例えばマウスによるダブルクリック操作)を行なった場合に、利用者端末10上の処理部110で実行される。つまり、処理部110が第一電子教育エージェントファイル実行手段112として機能し、その実行動作に伴って、当該利用者端末10において企業内システム1Aにおけるセキュリティ全般についての電子教育もしくは評価結果に応じた電子教育が、当該利用者端末10の利用者に対して実行される。
このとき、各利用者端末10における第一電子教育エージェントファイル実行手段112は、各利用者端末10で電子教育を修了したか否かに関する情報を、LAN40A,プロキシサーバ13および外部通信網40を通じて管理サーバ20へ送信・通知したり、評価対象システム1Aの管理者等に通知したりするように構成してもよい。これにより、管理サーバ20や管理者等は、電子教育を行なった利用者(社員)/行なっていない利用者(社員)を把握することができ、より徹底した電子教育を行なうことが可能になる。
また、各利用者端末10において利用者が電子教育を履修して修了するまで電子教育(セキュリティ全般についての電子教育もしくは評価結果に応じた電子教育)の動作を終了させないようにして電子教育を利用者に対して強制的に実行させるように構成してもよい。これにより、利用者の意志や意識に関係なく電子教育を確実かつ徹底して実行させることができる。
さらに、電子教育を修了した利用者端末10では、そのデスクトップ上に、電子教育を修了した旨を示す完了デスクトップスタンプを刻印表示させる一方、電子教育を修了していない利用者端末10では、そのデスクトップ上に、電子教育を修了していない旨を示す未完了デスクトップスタンプを刻印表示させるように構成してもよい。このデスクトップスタンプ(ビットマップ画像)は、利用者端末10側では削除/移動不可能な状態で、デスクトップの壁紙上に貼り付けられるため、利用者が自分で操作を行なってデスクトップスタンプを削除したり移動させたりすることができず、デスクトップ上で常に表示され、利用者本人だけでなく他の人の目にもさらされることになる。従って、完了デスクトップスタンプや未完了デスクトップスタンプがデスクトップ上で刻印表示されることにより、利用者が自発的に電子教育を実行するように利用者の意志や意識に働きかけることができ、電子教育(セキュリティ全般についての電子教育もしくは評価結果に応じた電子教育)を確実にかつ徹底して実行させることができる。
なお、評価対象システム1Aに属する複数の利用者端末10の全てが上記管理条件を満たしているような場合には、各利用者端末10に対する電子教育(セキュリティ全般についての電子教育や評価結果に応じた電子教育)は行なわなくてもよいが、このような場合でも、セキュリティ確保の確認・再認識のために電子教育を行なうことが好ましい。
判断手段26は、第一電子教育制御手段25による複数の利用者端末10に対する電子教育を行なった後に上述した環境報収集手段によって定期的に収集された各利用者端末10における環境情報に基づいて、各利用者端末10が少なくとも上記管理条件(1)〜(5)あるいは(1)〜(5)と(a)〜(g)を満たしているか否か(管理条件違反を行なっているか否か)を判断するものである。
警告手段27は、判断手段26によって管理条件を満たしていないと判断された利用者端末10の利用者や管理者に対し、管理条件違反を行なっている旨を示す警告を発するもので、その警告を、違反者の利用者端末10やその管理者等の端末に送信して表示させ、違反者や管理者等(企業内システム1Aの管理者等)に対する警告を行なうものである。
第二電子教育制御手段28は、判断手段26によって管理条件を満たしていないと判断された利用者端末10に、その管理条件(違反管理条件)に係る事項についての電子教育を実行させるもので、第二電子教育エージェントファイル作成/保持手段281および第二電子教育エージェントファイル送信手段282としての機能を有している。
第二電子教育エージェントファイル作成/保持手段281は、判断手段26によって満たされていないと判断された管理条件(違反管理条件)に係る事項についての詳細な電子教育を、判断手段26によって当該管理条件を満たしていないと判断された利用者端末10に実行させる第二電子教育エージェントファイルを作成もしくは保持するものである。前述したように、管理サーバ20において、各利用者端末10に実行させることを望む処理(タスク)がエージェントファイルとして作成される。
ここで、第二電子教育エージェントファイルは、違反管理条件に係る事項についての詳細な電子教育を、その違反を行なった利用者端末10に実行させるもので、判断手段26によって違反があると判断した時点で第二電子教育エージェントファイル作成/保持手段281によって作成されてもよいし、管理条件毎に違反者向けの第二電子教育エージェントファイルを予め作成して第二電子教育エージェントファイル作成/保持手段281に保持させておいてもよい。
第二電子教育エージェントファイル送信手段282は、第二電子教育エージェントファ
イル作成/保持手段281により作成または保持された、第二電子教育エージェントファイルを、作成後または読出後に電子メールに添付するなどして、当該違反を行なった利用者端末10に送信するようになっている。このとき、送信先の違反を行なった利用者端末10に関する情報(メールアドレス等)は、上述した通り、企業内システム1Aの管理者等からセキュリティ評価の依頼とともに既に受け取られ管理サーバ20において管理されているものとする。なお、利用者端末10に送信されるべき第二電子教育エージェントファイルを、第二電子教育エージェントファイル送信手段282により、一旦、企業内システム1Aの管理端末等(図示略)に送信し、当該管理端末等からLAN40Aを通じて該当する利用者端末10に送信してもよい。
イル作成/保持手段281により作成または保持された、第二電子教育エージェントファイルを、作成後または読出後に電子メールに添付するなどして、当該違反を行なった利用者端末10に送信するようになっている。このとき、送信先の違反を行なった利用者端末10に関する情報(メールアドレス等)は、上述した通り、企業内システム1Aの管理者等からセキュリティ評価の依頼とともに既に受け取られ管理サーバ20において管理されているものとする。なお、利用者端末10に送信されるべき第二電子教育エージェントファイルを、第二電子教育エージェントファイル送信手段282により、一旦、企業内システム1Aの管理端末等(図示略)に送信し、当該管理端末等からLAN40Aを通じて該当する利用者端末10に送信してもよい。
利用者端末10に送信された第二電子教育エージェントファイルは、自動的に、または、利用者がそのファイルに対する所定操作(例えばマウスによるダブルクリック操作)を行なった場合に、利用者端末10上の処理部110で実行される。つまり、処理部110が第二電子教育エージェントファイル実行手段113として機能し、その実行動作に伴って、当該利用者端末10において違反管理条件に係る事項についての詳細な電子教育が、当該利用者端末10の利用者(管理条件違反者)に対して実行される。
このとき、違反者の利用者端末10における第二電子教育エージェントファイル実行手段113は、利用者端末10で電子教育を修了したか否かに関する情報を、LAN40A,プロキシサーバ13および外部通信網40を通じて管理サーバ20へ送信・通知したり、評価対象システム1Aの管理者等に通知したりするように構成してもよい。これにより、管理サーバ20や管理者等は、違反者が電子教育を行なったか否かを把握することができ、より徹底した電子教育を行なうことが可能になる。
また、違反者の利用者端末10において違反者(利用者)が電子教育を履修して修了するまで電子教育(違反管理条件に係る事項についての詳細な電子教育)の動作を終了させないようにして電子教育を利用者に対して強制的に実行させるように構成してもよい。これにより、利用者の意志や意識に関係なく、違反管理条件に係る事項についての詳細な電子教育を確実かつ徹底して実行させることができる。
さらに、第一電子教育エージェントファイルによる電子教育を修了した場合と同様、違反管理条件に係る事項についての詳細な電子教育を修了した利用者端末10において、そのデスクトップ上に、電子教育を修了した旨を示す完了デスクトップスタンプを刻印表示させる一方、その電子教育を修了していない利用者端末10では、デスクトップ上に、電子教育を修了していない旨を示す未完了デスクトップスタンプを刻印表示させるように構成してもよい。これにより、完了デスクトップスタンプや未完了デスクトップスタンプがデスクトップ上で刻印表示されることにより、利用者が自発的に電子教育を実行するように利用者の意志や意識に働きかけることができ、違反管理条件に係る事項についての詳細な電子教育を確実にかつ徹底して実行させることができる。
送出制御手段29は、判断手段26によって管理条件を満たしていないと判断された利用者端末10に、電子ファイルの書出もしくは送信時に制限を課すもので、送出制限エージェントファイル作成/保持手段291および送出制限エージェントファイル送信手段292としての機能を有している。
ここで、送出制限エージェントファイル作成/保持手段291は、判断手段26によって満たされていないと判断された場合に、電子ファイルの送出(書出もしくは送信)の中止あるいは制限付きの送出(書出もしくは送信)を、判断手段26によって当該管理条件を満たしていないと判断された利用者端末10に実行させる送出制限エージェントファイルを作成もしくは保持するものである。前述したように、管理サーバ20において、各利
用者端末10に実行させることを望む処理(タスク)がエージェントファイルとして作成される。
用者端末10に実行させることを望む処理(タスク)がエージェントファイルとして作成される。
ここで、送出制限エージェントファイルは、電子ファイルの書出中止もしくは送信中止あるいは制限付きの電子ファイルの書出もしくは送信を、その違反を行なった利用者端末10に実行させるもので、判断手段26によって違反があると判断した時点で送出制限エージェントファイル作成/保持手段291によって作成されてもよいし、管理条件毎に違反者向けの送出制限エージェントファイルを予め作成して送出制限エージェントファイル作成/保持手段291に保持させておいてもよい。
送出制限エージェントファイル送信手段292は、送出制限エージェントファイル作成/保持手段291により作成または保持された、送出制限エージェントファイルを、作成後または読出後に電子メールに添付するなどして、当該違反を行なった利用者端末10に送信するようになっている。
このとき、送信先の違反を行なった利用者端末10に関する情報(メールアドレス等)は、上述した通り、企業内システム1Aの管理者等からセキュリティ評価の依頼とともに既に受け取られ管理サーバ20において管理されているものとする。なお、利用者端末10に送信されるべき送出制限エージェントファイルを、送出制限エージェントファイル送信手段292により、一旦、企業内システム1Aの管理端末等(図示略)に送信し、当該管理端末等からLAN40Aを通じて該当する利用者端末10に送信してもよい。
利用者端末10に送信された送出制限エージェントファイルは、自動的に、または、利用者がそのファイルに対する所定操作(例えばマウスによるダブルクリック操作)を行なった場合に、利用者端末10上の処理部110で実行が開始される。そして、処理部110が送出制限エージェントファイル実行手段119として機能し、その実行動作と電子ファイルの書出もしくは送信命令の発行とに伴って、当該利用者端末10において書出中止もしくは送信中止あるいは制限付きの電子ファイルの書出もしくは送信が実行される。
すなわち、送出制御エージェントファイル実行手段119が、電子ファイルの書出もしくは送信の制限を実行するものであり、利用者端末10における送出制御手段として動作することになる。
また、違反者の利用者端末10において違反者(利用者)が第二電子教育を履修して修了するまで電子教育(違反管理条件に係る事項についての詳細な電子教育)の動作を終了させないようにして第二電子教育を利用者に対して強制的に実行させるように構成しておいて、第二電子教育が完了した時点で電子ファイルの送出制限(書出もしくは送信の中止、あるいは制限付きの送出実行)を解除するようにしてもよい。これにより、利用者の意志や意識に関係なく、違反管理条件に係る事項についての詳細な電子教育を確実かつ徹底して実行させることができる。
さらに、電子教育を修了していない利用者端末10では、電子ファイルの書出もしくは送信実行時に、電子教育を修了していない旨を示す内容の説明文を電子ファイルに添付する、あるいは、電子教育を修了していない旨を示す内容の説明文ファイルを電子ファイルの代わりに書出もしくは送信する、ように構成してもよい。これにより、電子教育未完了を周囲に知らしめることになり、結果として、利用者が自発的に電子教育を実行するように利用者の意志や意識に働きかけることができ、違反管理条件に係る事項についての詳細な電子教育を確実にかつ徹底して実行させることができる。
〔B2〕第二実施形態の動作:
次に、上述のごとく構成された第二実施形態の管理システム1の動作について、図4以降を参照しながら説明する。
次に、上述のごとく構成された第二実施形態の管理システム1の動作について、図4以降を参照しながら説明する。
まず、図4に示すフローチャート(ステップS101〜S125)に従って、第二実施形態の管理サーバ20の動作について説明する。
この図4に示すように、管理サーバ(セキュリティ評価サービス提供サーバ)20では、外部通信網40を介して接続された企業内システム1Aについての新たなセキュリティ評価依頼があったか否か、および、定期的な評価タイミングになったか否かが定期的(所定制御周期毎)に監視されており(ステップS101,S111)、企業内システム1Aの管理者等から新たなセキュリティ評価依頼を受けると(ステップS101のYESルート)、そのセキュリティ評価依頼とともに送られてきた送信先の各利用者端末10に関する情報(メールアドレス等)に基づいて、環境情報収集エージェントファイル送信手段21により、環境情報収集エージェントファイルが、電子メールに添付するなどして、評価対象システム1Aにおける複数の利用者端末10のそれぞれに送信される(ステップS102)。
この図4に示すように、管理サーバ(セキュリティ評価サービス提供サーバ)20では、外部通信網40を介して接続された企業内システム1Aについての新たなセキュリティ評価依頼があったか否か、および、定期的な評価タイミングになったか否かが定期的(所定制御周期毎)に監視されており(ステップS101,S111)、企業内システム1Aの管理者等から新たなセキュリティ評価依頼を受けると(ステップS101のYESルート)、そのセキュリティ評価依頼とともに送られてきた送信先の各利用者端末10に関する情報(メールアドレス等)に基づいて、環境情報収集エージェントファイル送信手段21により、環境情報収集エージェントファイルが、電子メールに添付するなどして、評価対象システム1Aにおける複数の利用者端末10のそれぞれに送信される(ステップS102)。
ここで、図8に示すフローチャート(ステップS51〜S54)に従って、第二実施形態の評価対象システム1Aにおける各利用者端末10の環境情報収集動作について説明する。この図8に示すように、各利用者端末10では、管理サーバ20から環境情報収集エージェントファイルを受信したか否かを監視しており(ステップS51)、環境情報収集エージェントファイルを受信すると(ステップS51のYESルート)、自動的に、もしくは、利用者がそのファイルに対する所定操作(例えばマウスによるダブルクリック操作)を行なった場合に、その環境情報収集エージェントファイルが利用者端末10上の処理部110で実行される(ステップS52)。これにより、当該利用者端末10における環境情報(資産情報/インベントリ情報/実行環境情報;管理条件の内容に係る情報;例えば、各利用者端末10にインストールされている全てのソフトウエアに関する情報や、利用者端末10に接続されている外部記憶媒体などの周辺機器に関する情報)が収集され(ステップS53)、その収集結果が、LAN40A,プロキシサーバ13および外部通信網40を通じて管理サーバ20へ送信・通知される(ステップS54)。
管理サーバ20では、評価対象システム1Aに属する各利用者端末10からの環境情報が受信され(ステップS103)、評価対象システム1Aに属する全ての利用者端末10から環境情報が受信されると(ステップS104のYESルート)、評価手段23によるセキュリティ評価が実行される(ステップS105)。
なお、ステップS104では、評価対象システム1Aに属する全ての利用者端末10から環境情報が受信された場合にセキュリティ評価を行なっているが、所定時間を経過しても全ての利用者端末10からの環境情報を受信できない場合には、その所定時間を経過時点で受信した環境情報に基づいて、評価手段23によるセキュリティ評価を行なうようにしてもよい。
また、ステップS104において、上述のごとく全ての利用者端末10から環境情報を受信したか否かを判定するのではなく、評価対象システム1Aに属する利用者端末10のうちの所定数以上もしくは所定割合以上の利用者端末10から環境情報を受信したか否かを判定し、所定数以上もしくは所定割合以上の利用者端末10から環境情報を受信した場合に、受信された環境情報に基づいて、評価手段23によるセキュリティ評価を行なうようにしてもよい。
ついで、ステップS105で実行されうる、評価手段23によるセキュリティ評価手法の第一例〜第3例について、それぞれ図5〜図7を参照しながら説明する。
図5は第二実施形態の管理サーバ20における評価手段23の動作(セキュリティ評価手法の第一例)を説明するためのフローチャート(ステップS21〜S23)であり、この図5に示すように、セキュリティ評価手法の第一例では、予め、例えば上述した管理条件(1)〜(5)あるいは(1)〜(5)と(a)〜(g)のうちの少なくとも一つを管理条件として設定しておく。
図5は第二実施形態の管理サーバ20における評価手段23の動作(セキュリティ評価手法の第一例)を説明するためのフローチャート(ステップS21〜S23)であり、この図5に示すように、セキュリティ評価手法の第一例では、予め、例えば上述した管理条件(1)〜(5)あるいは(1)〜(5)と(a)〜(g)のうちの少なくとも一つを管理条件として設定しておく。
そして、評価手段23は、環境情報受信手段22によって受信された、評価対象システム1Aの各利用者端末10における環境情報を参照し、評価対象システム1Aに属する複数の利用者端末10について、1台ずつ、設定された管理条件を全て満たしているか否かを判定する(ステップS21)。環境情報を受信した全ての利用者端末10について管理条件の判定を終了した時点で、管理条件を満たす利用者端末10の割合(評価対象システム1Aにおける利用者端末10の総数に対する割合)Pを算出する(ステップS22)。
管理条件を満たしている利用者端末10の割合Pが高いほど、評価対象システム1Aにおいて何らかの悪影響を及ぼしうる利用者端末10(セキュリティ上の問題を生じさせたり、ウイルスに感染したり、ファイル交換ソフトウエア等による情報漏洩を生じさせたりする可能性の高い利用者端末10や、不正コピー行為を行なった利用者端末10)の割合(数)が低く、評価対象システム1Aの安全度合いが高い、つまりセキュリティ状況が良好であると考えられる。
そこで、評価対象システム1Aの安全度合い(セキュリティ状況)を、上述したように例えば5段階(評価レベル1〜5)で評価する場合、割合Pが90〜100%の場合に評価レベル“5”を割り当て、割合Pが80〜90%の場合に評価レベル“4”を割り当て、割合Pが70〜80%の場合に評価レベル“3”を割り当て、割合Pが50〜70%の場合に評価レベル“2”を割り当て、割合Pが50%未満の場合に評価レベル“1”を割り当てるように、予め設定しておく。このような評価レベル設定に基づき、評価手段23は、評価対象システム1Aに対し、ステップS22で算出された割合Pに応じた評価レベルを決定する(ステップS23)。
なお、図5に示すセキュリティ評価手法の第一例では、管理条件が項目(1)〜(5)あるいは(1)〜(5)と(a)〜(g)のうちの少なくとも一つである場合について説明したが、本発明は、これに限定されるものではなく、これらの項目(1)〜(5)あるいは(1)〜(5)と(a)〜(g)以外の管理条件であってもよいし、項目(1)〜(5)あるいは(1)〜(5)と(a)〜(g)以外の管理条件を含んでいてもよい。
図6は第二実施形態の管理サーバ20における評価手段23の動作(セキュリティ評価手法の第二例)を説明するためのフローチャート(ステップS31〜S36)であり、この図6に示すように、セキュリティ評価手法の第二例では、予め、例えば上述した管理条件(1)〜(3),(5)のうちの少なくとも一つを管理条件として設定しておくほか、特に、例えば管理条件(4)の「利用者端末に危険ソフトウエアがインストールされていないこと」に
ついては、評価対象システム1Aの安全性を確保するための重要度が極めて高いものとし、重要管理条件として設定しておく。
ついては、評価対象システム1Aの安全性を確保するための重要度が極めて高いものとし、重要管理条件として設定しておく。
そして、評価手段23は、環境情報受信手段22によって受信された、評価対象システム1Aの各利用者端末10における環境情報を参照し、まず、評価対象システム1Aに属する複数の利用者端末10について、1台ずつ、重要管理条件として設定された管理条件(4)を満たしているか否かを判定する(ステップS31)。このとき、管理条件(4)を満たさない利用者端末10が1台でも存在した場合(ステップS32のYESルート)、つまり危険ソフトウエアをインストールしている利用者端末10が1台でもあれば、他の管理条件の判定等を行なうことなく、そのような利用者端末10の属する評価対象システム1
Aの評価レベルとして、予め定められた低い評価レベル(例えば“1”)を決定し、その評価対象システム1Aに付与する(ステップS33)。
Aの評価レベルとして、予め定められた低い評価レベル(例えば“1”)を決定し、その評価対象システム1Aに付与する(ステップS33)。
一方、管理条件(4)を満たさない利用者端末10が1台も存在しない場合(ステップS
32のNOルート)、つまり危険ソフトウエアをインストールしている利用者端末10が1台もなければ、図5を参照しながら説明した第一例と同様の評価処理を行なう。
32のNOルート)、つまり危険ソフトウエアをインストールしている利用者端末10が1台もなければ、図5を参照しながら説明した第一例と同様の評価処理を行なう。
つまり、評価対象システム1Aに属する複数の利用者端末10について、1台ずつ、管理条件(4)を除いて設定された管理条件を全て満たしているか否かを判定する(ステップ
S34)。環境情報を受信した全ての利用者端末10の全てについて管理条件の判定を終了した時点で、管理条件を満たす利用者端末10の割合(評価対象システム1Aにおける利用者端末10の総数に対する割合)Pを算出する(ステップS35)。そして、第一例と同様の評価レベル設定に基づき、評価手段23は、評価対象システム1Aに対し、ステップS35で算出された割合Pに応じた評価レベルを決定する(ステップS36)。
S34)。環境情報を受信した全ての利用者端末10の全てについて管理条件の判定を終了した時点で、管理条件を満たす利用者端末10の割合(評価対象システム1Aにおける利用者端末10の総数に対する割合)Pを算出する(ステップS35)。そして、第一例と同様の評価レベル設定に基づき、評価手段23は、評価対象システム1Aに対し、ステップS35で算出された割合Pに応じた評価レベルを決定する(ステップS36)。
なお、図6に示すセキュリティ評価手法の第二例では、重要管理条件が項目(4)の管理
条件である場合について説明したが、本発明は、これに限定されるものではなく、他の項目(1)〜(3),(5)の管理条件を重要管理条件として設定してもよいし、これらの項目(1)〜(5)あるいは(1)〜(5)と(a)〜(g)以外の管理条件を重要管理条件として設定してもよいし、複数の管理条件を重要管理条件として設定してもよい。
条件である場合について説明したが、本発明は、これに限定されるものではなく、他の項目(1)〜(3),(5)の管理条件を重要管理条件として設定してもよいし、これらの項目(1)〜(5)あるいは(1)〜(5)と(a)〜(g)以外の管理条件を重要管理条件として設定してもよいし、複数の管理条件を重要管理条件として設定してもよい。
図7は第二実施形態の管理サーバ20における評価手段23の動作(セキュリティ評価手法の第3例)を説明するためのフローチャート(ステップS41〜S48)であり、この図7に示すように、セキュリティ評価手法の第3例では、予め、例えば上述した管理条件(1)〜(5)あるいは(1)〜(5)と(a)〜(g)の全てを管理条件として設定しておく。また、第3例では、前述したような重要度M1〜M5が予め設定されている。
そして、評価手段23は、環境情報受信手段22によって受信された、評価対象システム1Aの各利用者端末10における環境情報を参照し、評価対象システム1Aに属する複数の利用者端末10について、1台ずつ、管理条件(1)〜(5)あるいは(1)〜(5)と(a)〜(g)のそれぞれを満たしているか否かを判定する(ステップS41)。環境情報を受信した全ての利用者端末10の全てについて各管理条件(1)〜(5)あるいは(1)〜(5)と(a)〜(g)の判定を終了した時点で、各管理条件(1)〜(5)あるいは(1)〜(5)と(a)〜(g)を満たす利用者端末10の割合(評価対象システム1Aにおける利用者端末10の総数に対する割合)P1〜P5をそれぞれ算出する(ステップS42〜S46)。
この後、評価手段23は、重要度Mi(i=1〜5)の高い管理条件を満たさない利用者端末10の数(割合)が多いほど大きな値になる、評価値Vを、下記式によって算出する(ステップS47)。
評価値V=Σ(100−Pi)×Mi,
ここでは、Σは、iが1,2,3,4,5のそれぞれの時に算出される(100−Pi)×Miの総和を意味している。
ここでは、Σは、iが1,2,3,4,5のそれぞれの時に算出される(100−Pi)×Miの総和を意味している。
この評価値Vは、評価対象システム1Aに属する全ての利用者端末10が管理条件(1)
〜(5)あるいは(1)〜(5)と(a)〜(g)を全て満足している場合には、割合P1〜P5が全て
100%となるので、評価値Vは0になる。そして、管理条件(1)〜(5)あるいは(1)〜(5)と(a)〜(g)を満たしていない利用者端末10の数(割合)が増えるほど、特に、重要度Miの値の大きい管理条件を満たしていない利用者端末10の数(割合)が増えるほど、評価値Vは大きくなる。
〜(5)あるいは(1)〜(5)と(a)〜(g)を全て満足している場合には、割合P1〜P5が全て
100%となるので、評価値Vは0になる。そして、管理条件(1)〜(5)あるいは(1)〜(5)と(a)〜(g)を満たしていない利用者端末10の数(割合)が増えるほど、特に、重要度Miの値の大きい管理条件を満たしていない利用者端末10の数(割合)が増えるほど、評価値Vは大きくなる。
つまり、評価値Vの値が小さい(0に近い)ほど、評価対象システム1Aにおいて何らかの悪影響を及ぼしうる利用者端末10(セキュリティ上の問題を生じさせたり、ウイルスに感染したり、ファイル交換ソフトウエア等による情報漏洩を生じさせたりする可能性の高い利用者端末10や、不正コピー行為を行なった利用者端末10)の割合(数)が低く、評価対象システム1Aの安全度合いが高い、つまりセキュリティ状況が良好であると考えられる。
または、評価値Vの値が小さい(0に近い)ほど、評価対象システム1Aにおいて何らかの悪影響を及ぼしうる利用者端末10(電子ファイルの書出もしくは送信によって情報漏洩を生じさせたりする可能性の高い利用者端末10)の割合(数)が低く、評価対象システム1Aの信頼度合いが高い、つまりセキュリティ状況が良好であると考えられる。
そこで、評価対象システム1Aの安全度合い(セキュリティ状況)を、上述したように例えば5段階(評価レベル1〜5)で評価する場合、セキュリティ評価手法の第3例では、評価値Vが0〜K1の場合に評価レベル“5”を割り当て、評価値VがK1〜K2(>K1)の場合に評価レベル“4”を割り当て、評価値VがK2〜K3(>K2)の場合に評価レベル“3”を割り当て、評価値VがK3〜K4(>K3)の場合に評価レベル“2”を割り当て、評価値VがK4〜K5(>K4)の場合に評価レベル“1”を割り当てるように、予め設定しておく。このような評価レベル設定に基づき、評価手段23は、評価対象システム1Aに対し、ステップS47で算出された評価値Vに応じた評価レベルを決定する(ステップS48)。なお、評価値Vの最大値であるK5は、割合P1〜P5が全て0%のときの評価値Vの値、つまり、100×(M1+M2+M3+M4+M5)である。
なお、図7に示すセキュリティ評価手法の第3例では、管理条件が項目(1)〜(5)あるいは(1)〜(5)と(a)〜(g)である場合について説明したが、本発明は、これに限定されるものではなく、これらの項目(1)〜(5)あるいは(1)〜(5)と(a)〜(g)以外の管理条件であってもよいし、項目(1)〜(5)あるいは(1)〜(5)と(a)〜(g)以外の管理条件を含んでいてもよい。
上述のようにして、ステップS105(図5〜図7のいずれかのセキュリティ評価手法)により評価対象システム1Aのセキュリティ評価結果が得られると、評価結果通知手段24により、その評価結果が、複数の利用者端末10や管理者等(評価対象システム1Aの管理者等)の端末(図示略)において表示され、各利用者や管理者等に通知される(図4のステップS106)。
このとき、通知される評価結果としては、少なくともステップS105で得られた5段階の評価レベルが含まれ、この評価レベル以外に、より詳細な情報、例えば、算出された割合P,P1〜P5や評価値Vが含まれていてもよいし、さらに詳細な情報、例えば、どの利用者端末10がどの管理条件を満たさなかったかなどの情報が含まれていてもよい。なお、評価結果としてどのような情報を通知するかについては、管理サーバ20において予め決定されていてもよいし、セキュリティ評価依頼を行なった管理者等の指示に従って決定されてもよい。
そして、第二実施形態の管理サーバ20では、少なくとも上記管理条件(1)〜(5)あるいは(1)〜(5)と(a)〜(g)に係る事項を含むセキュリティについての電子教育(eラーニング)、つまりは企業内システム1Aを利用する際のセキュリティ全般についての電子教育を、企業内システム1Aに属する複数の利用者端末10に対して実行させるべく、その電子教育用のエージェントファイル(第一電子教育エージェントファイル)が、第一電子教育エージェントファイル作成/保持手段251によって作成されるか、もしくは、第一電子
教育エージェントファイル作成/保持手段251から読み出される(ステップS107)。
教育エージェントファイル作成/保持手段251から読み出される(ステップS107)。
なお、第一電子教育エージェントファイルは、上述した5段階の評価レベルのそれぞれに対応したものであってもよいし、評価結果の詳細情報に基づいて特に問題のある環境情報に係る電子教育を行なうものであってもよい。また、対応する電子教育を実行させるためのエージェントファイルが、第一電子教育エージェントファイル作成/保持手段251に保持されていれば、そのエージェントファイルが第一電子教育エージェントファイルとして読み出される一方、保持されていなければ、第一電子教育エージェントファイル作成/保持手段251によって作成されることになる。
このようにして、第一電子教育エージェントファイル作成/保持手段251から読み出されたエージェントファイル、もしくは、第一電子教育エージェントファイル作成/保持手段251によって作成されたエージェントファイルは、セキュリティ評価依頼とともに送られてきた送信先の各利用者端末10に関する情報(メールアドレス等)に基づき、第一電子教育エージェントファイル送信手段252により、電子メールに添付するなどして、評価対象システム1Aにおける複数の利用者端末10のそれぞれに送信される(ステップS108)。
ここで、図9に示すフローチャート(ステップS61〜S64)に従って、第二実施形態の評価対象システム1Aにおける各利用者端末10の電子教育動作について説明する。この図9に示すように、各利用者端末10では、管理サーバ20から第一電子教育エージェントファイルを受信したか否かを監視しており(ステップS61)、第一電子教育エージェントファイルを受信すると(ステップS61のYESルート)、自動的に、もしくは、利用者がそのファイルに対する所定操作(例えばマウスによるダブルクリック操作)を行なった場合に、その第一電子教育エージェントファイルが利用者端末10上の処理部110で実行される(ステップS62)。これにより、当該利用者端末10においてセキュリティ全般についての電子教育が、当該利用者端末10の利用者に対して実行され(ステップS63)、第二実施形態では、その電子教育結果(例えば、各利用者端末10で電子教育を修了したか否かに関する情報など)が、LAN40A,プロキシサーバ13および外部通信網40を通じて管理サーバ20へ送信・通知される(ステップS64)。
管理サーバ20では、評価対象システム1Aに属する各利用者端末10からの電子教育結果が受信され(ステップS109)、その電子教育結果が、管理サーバ20を経由して評価対象システム1Aの管理者等や各利用者端末10の利用者に通知される(ステップS110)。なお、電子教育結果は、各利用者端末10から評価対象システム1Aの管理者等に直接通知してもよい。
一方、上述のごときステップS102〜S110の処理(システム評価・通知処理およびセキュリティ全般についての電子教育処理)を終了している企業内システム1Aに対する定期評価タイミングになると(ステップS101のNOルートからステップS111YESルート)、新規セキュリティ評価依頼時に送られてきた送信先の各利用者端末10に関する情報(メールアドレス等)に基づいて、環境情報収集エージェントファイル送信手段21により、環境情報収集エージェントファイルが、電子メールに添付するなどして、評価対象システム1Aにおける複数の利用者端末10のそれぞれに送信される(ステップS112)。このとき、環境情報収集エージェントファイルを受信した各利用者端末10で実行される環境情報収集動作は、図8を参照しながら上述した手順と同様であるので、その説明は省略する。
管理サーバ20では、評価対象システム1Aに属する各利用者端末10からの環境情報
が受信され(ステップS113)、評価対象システム1Aに属する全ての利用者端末10から環境情報が受信されると(ステップS114のYESルート)、評価手段23によるセキュリティ評価が実行される(ステップS115)。
が受信され(ステップS113)、評価対象システム1Aに属する全ての利用者端末10から環境情報が受信されると(ステップS114のYESルート)、評価手段23によるセキュリティ評価が実行される(ステップS115)。
なお、ステップS114では、評価対象システム1Aに属する全ての利用者端末10から環境情報が受信された場合にセキュリティ評価を行なっているが、所定時間を経過しても全ての利用者端末10からの環境情報を受信できない場合には、その所定時間を経過時点で受信した環境情報に基づいて、評価手段23によるセキュリティ評価を行なうようにしてもよい。
また、ステップS114において、上述のごとく全ての利用者端末10から環境情報を受信したか否かを判定するのではなく、評価対象システム1Aに属する利用者端末10のうちの所定数以上もしくは所定割合以上の利用者端末10から環境情報を受信したか否かを判定し、所定数以上もしくは所定割合以上の利用者端末10から環境情報を受信した場合に、受信された環境情報に基づいて、評価手段23によるセキュリティ評価処理(ステップS115)や判断手段26による判断処理(ステップS120)を行なうようにしてもよい。
ステップS115において、例えば図5〜図7を参照しながら上述したセキュリティ評価手法により評価対象システム1Aのセキュリティ評価結果が得られると、評価結果通知手段24により、その評価結果が、複数の利用者端末10や管理者等(評価対象システム1Aの管理者等)の端末(図示略)において表示され、各利用者や管理者等に通知される(図4のステップS116)。
また、管理サーバ20では、ステップS115でのセキュリティ評価結果に基づいて、評価対象システム1Aに属する複数の利用者端末10の全てに対して共通の電子教育を行なう必要があるか否かが判断される(ステップS117)。例えば、評価対象システム1Aに属する複数の利用者端末10の全てが上記管理条件を満たしているような場合や、評価対象システム1Aに対する今回のセキュリティ評価結果が前回と変わらない場合や前回よりもよくなっている場合には、電子教育は不要であると判断して(ステップS117のNOルート)、処理を終了する(ステップS101に戻る)。
一方、そうでない場合、つまり評価対象システム1Aに対する今回のセキュリティ評価結果が前回よりも悪くなっているような場合には、電子教育が必要であると判断して(ステップS117のYESルート)、前述と同様のセキュリティ全般についての電子教育を行なうか、ステップS115で得られたセキュリティ評価結果に応じた電子教育(eラーニング)を行なう。第二実施形態では、後者の電子教育、つまりステップS115で得られたセキュリティ評価結果に応じた電子教育を行なうものとする。
このとき、第二実施形態の管理サーバ20では、ステップS115で得られたセキュリティ評価結果に従い、そのセキュリティ評価結果に応じた電子教育(eラーニング)を、企業内システム1Aに属する複数の利用者端末10に対して実行させるべく、その電子教育用のエージェントファイルが、第一電子教育エージェントファイル作成/保持手段251によって作成されるか、もしくは、第一電子教育エージェントファイル作成/保持手段251から読み出される(ステップS118)。
ここで、セキュリティ評価結果に応じた電子教育エージェントファイルは、上述した5段階の評価レベルのそれぞれに対応したものであってもよいし、評価結果の詳細情報に基づいて特に問題のある環境情報に係る電子教育を行なうものであってもよい。また、対応する電子教育を実行させるためのエージェントファイルが、第一電子教育エージェントフ
ァイル作成/保持手段251に保持されていれば、そのエージェントファイルが電子教育エージェントファイルとして読み出される一方、保持されていなければ、第一電子教育エージェントファイル作成/保持手段251によって作成されることになる。
ァイル作成/保持手段251に保持されていれば、そのエージェントファイルが電子教育エージェントファイルとして読み出される一方、保持されていなければ、第一電子教育エージェントファイル作成/保持手段251によって作成されることになる。
このようにして、第一電子教育エージェントファイル作成/保持手段251から読み出されたエージェントファイル、もしくは、第一電子教育エージェントファイル作成/保持手段251によって作成されたエージェントファイルは、新規セキュリティ評価依頼時に既に送られてきている送信先の各利用者端末10に関する情報(メールアドレス等)に基づき、第一電子教育エージェントファイル送信手段252により、電子メールに添付するなどして、評価対象システム1Aにおける複数の利用者端末10のそれぞれに送信される(ステップS119)。
このとき、電子教育エージェントファイルを受信した各利用者端末10で実行される電子教育動作は、図9を参照しながら上述した手順と同様であるので、その説明は省略する。この後、管理サーバ20では、評価対象システム1Aに属する各利用者端末10からの電子教育結果が受信され(ステップS109)、その電子教育結果が、管理サーバ20を経由して評価対象システム1Aの管理者等や各利用者端末10の利用者に通知される(ステップS110)。
なお、第二実施形態では、ステップS117において、評価対象システム1Aに対する今回のセキュリティ評価結果が前回よりも悪くなっているような場合に電子教育が必要であると判断しているが、評価対象システム1Aに属する複数の利用者端末10の全てが上記管理条件を満たしているような場合や、評価対象システム1Aに対する今回のセキュリティ評価結果が前回と変わらない場合や前回よりもよくなっている場合であっても、セキュリティ確保の確認・再認識のために各利用者端末10に対する電子教育(セキュリティ全般についての電子教育や評価結果に応じた電子教育)は行なうようにしてもよい。
さて、管理サーバ20においては、評価対象システム1Aに属する全ての利用者端末10から環境情報が受信されると(ステップS114のYESルート)、上述したステップS115〜S119と並行して以下のようなステップS120〜S124が実行される。
即ち、まず、判断手段26によって、ステップS113で受信された各利用者端末10における環境情報に基づき、各利用者端末10が少なくとも上記管理条件(1)〜(5)あるいは(1)〜(5)と(a)〜(g)を満たしているか否か(管理条件違反を行なっているか否か)が判断される(ステップS120)。
管理条件違反が無ければ(ステップS120のNOルート)、処理を終了する(ステップS101に戻る)。一方、管理条件違反があれば(ステップS120のYESルート)、警告手段27によって、管理条件違反を行なっている旨を示す警告が、違反者の利用者端末10やその管理者等の端末に送信されて表示され、違反者や管理者等(企業内システム1Aの管理者等)に対する警告が行なわれる。その警告は、端末表示部上でのポップアップ表示や警告音などによって行なわれる。
そして、第二実施形態の管理サーバ20では、違反管理条件に係る事項についての電子教育(eラーニング)を、違反者の利用者端末10に対して実行させるべく、その電子教育用のエージェントファイル(第二電子教育エージェントファイル)が、第二電子教育エージェントファイル作成/保持手段281によって作成されるか、もしくは、第二電子教育エージェントファイル作成/保持手段281から読み出される(ステップS123)。
なお、対応する電子教育を実行させるためのエージェントファイルが、第二電子教育エ
ージェントファイル作成/保持手段281に保持されていれば、そのエージェントファイルが第二電子教育エージェントファイルとして読み出される一方、保持されていなければ、第二電子教育エージェントファイル作成/保持手段281によって作成されることになる。
ージェントファイル作成/保持手段281に保持されていれば、そのエージェントファイルが第二電子教育エージェントファイルとして読み出される一方、保持されていなければ、第二電子教育エージェントファイル作成/保持手段281によって作成されることになる。
このようにして、第二電子教育エージェントファイル作成/保持手段281から読み出されたエージェントファイル、もしくは、第二電子教育エージェントファイル作成/保持手段281によって作成されたエージェントファイルは、セキュリティ評価依頼時に既に送られている、評価対象システム1Aに属する複数の各利用者端末10に関する情報(メールアドレス等)の中から、違反者の利用者端末10についてのメールアドレスを検索して、そのメールアドレスに基づき、第二電子教育エージェントファイル送信手段282により、電子メールに添付するなどして、管理条件違反者の利用者端末10に送信される(ステップS124)。
このとき、第二電子教育エージェントファイルを受信した違反者の利用者端末10で実行される電子教育動作(違反管理条件に係る事項についての詳細な電子教育)は、図9を参照しながら上述した手順と同様であるので、その説明は省略する。
そして、第二実施形態の管理サーバ20では、違反管理条件に係る事項についての電子教育(eラーニング)を、違反者の利用者端末10に対して実行させると共に、その書出もしくは送信の中止あるいは制限についての送出制限エージェントファイルが、送出制限エージェントファイル作成/保持手段291によって作成されるか、もしくは、送出制限エージェントファイル作成/保持手段291から読み出される(ステップS125)。
なお、電子ファイルの書出もしくは送信の中止あるいは制限を実行させるためのエージェントファイルが、送出制限エージェントファイル作成/保持手段291に保持されていれば、そのエージェントファイルが送出制限エージェントファイルとして読み出される一方、保持されていなければ、送出制限エージェントファイル作成/保持手段291によって作成されることになる。
このようにして、送出制限エージェントファイル作成/保持手段291から読み出されたエージェントファイル、もしくは、送出制限エージェントファイル作成/保持手段291によって作成されたエージェントファイルは、セキュリティ評価依頼時に既に送られている、評価対象システム1Aに属する複数の各利用者端末10に関する情報(メールアドレス等)の中から、違反者の利用者端末10についてのメールアドレスを検索して、そのメールアドレスに基づき、送出制限エージェントファイル送信手段292により、電子メールに添付するなどして、管理条件違反者の利用者端末10に送信される(ステップS125)。なお、上述した第二電子教育エージェントファイルと送出制限エージェントファイルとは、同一の利用者端末10に送られるが、同一タイミングであっても、異なるタイミングであってもよい。
このとき、送出制限エージェントファイルを受信した違反者の利用者端末10で実行される電子ファイルの書出もしくは送信制限動作(書出もしくは送信の中止あるいは制限)を、図10に示す。
まず、利用者端末10の処理部110内の実行手段119は、電子ファイルの外部記憶媒体への書出もしくは他のコンピュータなどへの送信命令発生時に(図10中のステップS2001)、実行手段113が第二電子教育を実行中であるか、あるいは、第二電子教育を未完了であるかを調べる(図10中のステップS2002)。この場合、処理部110内に第二電子教育エージェントファイルが存在しているか、あるいは、管理サーバに対
して完了の報告を通知したか、などを参照する。
して完了の報告を通知したか、などを参照する。
ここで、第二電子教育が既に完了していれば(図10中のステップS2003でNO)、中止あるいは制限なしの通常の状態で電子ファイルの外部記憶媒体への書出もしくは外部コンピュータへの送信を実行する(図10中のステップS2009)。
また、ここで、第二電子教育が既に完了していなければ(図10中のステップS2003でYES)、電子ファイルの書出中止もしくは送信中止あるいは一部制限など、設定されている制限の内容を調べる(図10中のステップS2004)。
なお、この電子ファイルの書出もしくは送信の制限の内容は、送出制限エージェントファイルにより設定されていてもよいし、利用者端末10内の不揮発性メモリ(図示せず)などに設定されていてもよい。
また、この書出もしくは送信の制限の内容は、各利用者端末で同一であってもよいし、利用者端末毎に異なっていてもよい。また、利用者端末毎に異なる場合には、違反の内容やレベルなどに応じて制限の状態を変更するものであってもよい。
電子ファイルの書出中止もしくは送信中止が設定されている場合には、電子ファイルの書出もしくは送信命令発生にもかかわらず、実行手段119は、外部記憶媒体への電子ファイルの書出や外部コンピュータへの電子ファイルの送信を禁止するように制御する(図10中のステップS2005)。この場合、電子ファイルの書出もしくは送信を完全禁止としてもよいし、第二電子教育未完了のため電子ファイルの送出制限が生じている旨のメッセージのファイルを書出もしくは送信してもよい。
なお、電子メールに添付された電子ファイルが送出される場合には、添付された電子ファイル部分を削除した状態で電子メール本文については送信をする、あるいは、電子メール本文と添付ファイルとの両方を送信しない、のいずれであってもよい。この場合、電子ファイルや電子メールが送信されないことを、利用者に伝えることが望ましい。
また、後述するように、電子ファイルが個人情報を含むか否かを検知して、個人情報を含まない場合には送出制限を設けず、個人情報を含む場合に送出制限を実行するようにしてもよい。
また、別途定められた制限の設定(図10中のステップS2006)に応じて、実行手段119は、予め管理者が定めたものであって利用者の知らないパスワードに基づいて電子ファイルを暗号化(図10中のステップS2007)、あるいは、電子ファイルの送出先を管理サーバに変更し(図10中のステップS2008)、電子ファイルの書出もしくは送信が実行される(図10中のステップS2009)。
なお、この暗号化の際の暗号化プログラムとパスワードとは、制限として暗号化を行う指定と共に、管理者側が送出制限エージェントファイルに含めておけばよい。この場合、送出制限エージェントファイル実行手段119が、暗号化手段を兼ねることになる。
なお、電子ファイルについて暗号化して書出もしくは送信した場合に、利用者端末10が上述した管理条件を満たした場合には、管理サーバ側より復号化に必要なパスワードが利用者端末10または電子ファイル宛先に送信される。
また、電子ファイルの送出先を管理サーバに変更する場合には、その管理サーバのメールアドレスあるいはIPアドレスを、宛先変更の指定と共に、送出制限エージェントファ
イルに含めておけばよい。
イルに含めておけばよい。
また、送出先を管理サーバに変更した場合には、該当する電子ファイルを利用者端末の記憶部から削除する指定を送出制限エージェントファイルに含めておくことで、該当する電子ファイルを管理サーバに回収することが可能になる。
なお、以上の中止、宛先変更、暗号化については、管理条件の程度に応じて定めてもよいが、送出しようとしている電子ファイルに個人情報が含まれているか否かに応じて決定してもよい。
この場合、送出制限エージェントファイルは、個人情報に該当するであろう単語が予め格納されたテーブルを用いて、このテーブルに合致あるいは類似する単語が存在すれば個人情報であると判定を行う。なお、電子ファイルに個人情報が含まれているか否かの判断については後述する。
また、利用者端末10が複数の電子ファイルを送出しようとした場合に、個人情報の有無により、各電子ファイル毎に制限の内容を変更することも可能である。
すなわち、利用者端末10が複数の電子ファイルを送出しようとした場合に、個人情報を有する電子ファイルは送出の制限あり、個人情報を有しない電子ファイルは送出の制限なし、とすることができる。
すなわち、利用者端末10が複数の電子ファイルを送出しようとした場合に、個人情報を有する電子ファイルは送出の制限あり、個人情報を有しない電子ファイルは送出の制限なし、とすることができる。
また、利用者端末10が複数の電子ファイルを送出しようとした場合に、後述する個人情報のPrマークに応じて、電子ファイルは送出の制限の程度(中止、暗号化、宛先変更、宛先変更+削除)を決定することも可能である。
〔B3〕第二実施形態の利用者端末10における個人情報の取り扱い:
第二実施形態では、電子ファイルの書出もしくは送信の制限を実行するにあたり、管理条件を満たさない利用者端末における書出もしくは送信全てを制限してもよいが、管理条件を満たさない利用者端末における個人情報を含む電子ファイルについて書出もしくは送信を制限するようにしてもよい。
第二実施形態では、電子ファイルの書出もしくは送信の制限を実行するにあたり、管理条件を満たさない利用者端末における書出もしくは送信全てを制限してもよいが、管理条件を満たさない利用者端末における個人情報を含む電子ファイルについて書出もしくは送信を制限するようにしてもよい。
ここで、各利用者端末10は、企業等の社内において各社員(利用者)によって使用されるパーソナルコンピュータ(PC)等の端末装置によって構成され図11〜図12を参照しながら後述するような機能構成を有している。
そして、第二実施形態では、複数の利用者端末10としては、電子ファイルの書出もしくは送信の制限に関連し、利用者端末10において、個人情報ファイルの探査を実行するための個人情報探査プログラム(後述)を用いる。なお、この個人情報探査プログラムは、上述した送出制限エージェントファイルに含まれているか、あるいは、別途利用者端末10が保有していてもよい。
〔B3−1〕第二実施形態の利用者端末10の機能構成:
図11は第二実施形態の利用者端末10(個人情報探査プログラム常駐端末)の機能構成を示すブロック図である。
図11は第二実施形態の利用者端末10(個人情報探査プログラム常駐端末)の機能構成を示すブロック図である。
なお、この図11のブロック図に示す利用者端末10の構成は、上述した送出制限エージェントファイル実行手段119が送出制限エージェントファイルを実行することにより実現される機能ブロック図である。
この図11に示すように、第二実施形態の利用者端末10は、各種処理を実行するCP
U(Central Processin Unit)110aと、個人情報等を含む電子ファイルを保持しうる記憶部1110bとをそなえるほか、管理サーバ20から提供される検疫テーブル1110cや、記憶部1110bに保持される電子ファイルのPrマーク(プライバシレベルマーク;個人情報ファイルである可能性の高さを示すレベルで、後述する判定値によって決定されるレベル)を保持するPrマークテーブル1110d、文字あるいは画像の表示を行う表示部1110eをそなえて構成されている。
U(Central Processin Unit)110aと、個人情報等を含む電子ファイルを保持しうる記憶部1110bとをそなえるほか、管理サーバ20から提供される検疫テーブル1110cや、記憶部1110bに保持される電子ファイルのPrマーク(プライバシレベルマーク;個人情報ファイルである可能性の高さを示すレベルで、後述する判定値によって決定されるレベル)を保持するPrマークテーブル1110d、文字あるいは画像の表示を行う表示部1110eをそなえて構成されている。
また、後述するごとく、管理サーバ20から、処理部(CPU)110を後述する個人情報探査手段1100として機能させるための個人情報探査プログラムをインストールされている。なお、この個人情報探査プログラムは、送出制御エージェントファイルに含まれたものであってもよい。
ここで、記憶部1110bは、利用者端末10に内蔵されるハードディスクや、利用者端末10に接続・外付けされる記憶装置、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど),磁気ディスク,光ディスク,光磁気ディスクのほかICカード,ROMカートリッジ,磁気テープなどの記録媒体を用いる記憶装置である。なお、上述した検疫テーブル1110cおよびPrマークテーブル1110dは、利用者端末10を構成するRAM(Random Access Memory)やハードディスク等に保持されてもよいし、記憶部1110bに保持されてもよい。
処理部(CPU)110は、送出制御エージェントファイルを実行することにより、個人情報探査手段1100,検知手段1200,第一制御手段1300,アクセス監視手段1400,送出要求監視手段1600,送受信手段1500,送出制御手段1800および表示制御手段1900としての機能を果たすものである。そして、これらの機能は、処理部(CPU)110が、後述するごとく管理サーバ20からインストールされた送出制御エージェントファイルに含まれる、個人情報探査プログラムや個人情報管理プログラムを実行することによって実現されるものとする。
個人情報探査手段1100は、管理サーバ20からインストールされる個人情報探査プログラムを実行することにより、記憶部1110bに保存されている電子ファイルをテキストファイルにするテキスト抽出エンジンとして機能するとともに、検疫テーブル1110cを用いて記憶部1110bにおけるデータの中から個人情報ファイルを探査する探査エンジンとして機能するものである。つまり、個人情報探査手段1100は、管理サーバ20から指示された条件(検疫テーブル1110c)に従って、利用者端末10の記憶部1110bに存在する各種電子ファイルを参照して個人情報ファイルの探査を行ない、個人情報ファイルであると判定された電子ファイルをログ(ローカルキャッシュデータベース)に書き出すものである。また、第二実施形態では、この個人情報探査手段1100で得られた判定結果(判定値)に基づいて決定されたPrマークがPrマークテーブル1110dに登録される。
この個人情報探査手段1100の機能構成の詳細については、図12を参照しながら後述する。
検知手段1200は、利用者端末10の記憶部1110bに既に保存されている電子ファイルに対する変更や、その記憶部1110bへの新たな電子ファイルの追加を検知するものである。
検知手段1200は、利用者端末10の記憶部1110bに既に保存されている電子ファイルに対する変更や、その記憶部1110bへの新たな電子ファイルの追加を検知するものである。
第一制御手段1300は、個人情報探査手段1100に、図15を参照しながら後述する手順で、最初(本管理システム1の立ち上げ時/個人情報探査プログラムのインストール時/利用者端末10の新規接続時)に利用者端末10の記憶部1110bにおける全デ
ータを対象にして個人情報ファイルの探査を一度だけ実行させてから、検知手段1200により電子ファイルの追加・変更を検知する都度、個人情報探査プログラムを起動し、追加・変更された電子ファイルが個人情報ファイルであるか否かを判定するリアルタイム探査を個人情報探査手段1100に実行させるものである。
ータを対象にして個人情報ファイルの探査を一度だけ実行させてから、検知手段1200により電子ファイルの追加・変更を検知する都度、個人情報探査プログラムを起動し、追加・変更された電子ファイルが個人情報ファイルであるか否かを判定するリアルタイム探査を個人情報探査手段1100に実行させるものである。
アクセス監視手段1400,は、個人情報探査手段1100によって探査され個人情報ファイルであると判定された電子ファイル(Prマークを付与された電子ファイル)を監視し、その電子ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じた場合にはその旨をログ情報として書き出し送受信手段1500を通じて管理サーバ20に通知するものである。
送受信手段1500は、ネットワークを介して管理サーバ20(もしくはファイルアクセス管理サーバ30)との間で各種情報を送受信するもので、個人情報探査手段1100による判定結果を管理サーバ20へ送信する送信手段として機能するものである。送受信手段1500が上記送信手段として機能する際、判定結果(個人情報ファイルのリンク先情報や判定値など)を、前回送信した探査結果との差分を得て、その差分を管理サーバ20へ送信するほか、送信すべき情報を暗号化するように構成してもよい。
送出要求監視手段1600は、個人情報探査手段1100によって探査され個人情報ファイルであると判定された電子ファイル(Prマークを付与された電子ファイル)を監視し、その電子ファイルに対するアクセスとしての書出もしくは送信要求が生じた場合にはその旨をログ情報として書き出し、送出制御手段1800や送受信手段1500を通じて、所定の送出制限を実行するものである。
送出制御手段1800は、送出制限の指定に応じて、電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルの書出もしくは送信を制限(個人情報ファイル全体の書出中止もしくは送信中止、あるいは個人情報部分での書出中止もしくは送信中止、暗号化、宛先変更など)するものである。
また、送出制御手段1800は、送出制限の指定に応じて、電子ファイルが個人情報ファイルであると判定されない場合であっても、電子ファイルの書出もしくは送信を制限(書出中止もしくは送信中止、暗号化、宛先変更など)するものである。なお、この第二実施形態において、送出制御手段1800は、周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段として作用する。
表示制御手段1900は、表示部1110eへの表示用データの送出するものであり、送出制限の指定に応じて、電子ファイルが個人情報ファイルであるか否かに応じて、利用者端末10の位置などに応じて表示部1110eへの表示用データの送出を制限する制御を行うものである。また、この表示制御手段1900は、周辺機器(外部ディスプレイ)に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段として作用する。
〔B3−2〕利用者端末における個人情報探査の詳細な機能構成:
図12は第二実施形態の利用者端末10における処理部(CPU)110に含まれる個人情報探査手段1100の詳細な機能構成を示すブロック図である。
図12は第二実施形態の利用者端末10における処理部(CPU)110に含まれる個人情報探査手段1100の詳細な機能構成を示すブロック図である。
この図12に示すように、第二実施形態の個人情報探査手段1100は、抽出手段1110,切出手段1120,第一判定手段1130,文字判定手段1140,照合手段1150および第二判定手段1160としての機能を有しており、これらの機能も、処理部(CPU)110が、管理サーバ20から送られた送出制限エージェントファイルに含まれ
る個人情報探査プログラムを実行することによって実現される。
る個人情報探査プログラムを実行することによって実現される。
抽出手段1110は、記憶部1110bにおける電子ファイル(判定対象ファイル)のテキストデータ〔例えばCSV(Comma Separated Value)形式のデータ〕を抽出するも
ので、前記テキスト抽出エンジンとして機能するものである。
ので、前記テキスト抽出エンジンとして機能するものである。
切出手段1120は、抽出手段1110によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出して、判定対象/照合対象としてバッファ(図示略)に順次書き出すものである。ここで、区切り文字は、例えば半角スペース,半角カンマ(半角カンマ+半角スペースも半角カンマと見なす),タブ文字(半角),CR(Carrige Return),LF(Line Feed)である。
また、切出手段1120によって切り出される文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。第二実施形態では、切出手段1120が、上述のような記号文字を除去する機能を有しているものとする。
第一判定手段1130は、切出手段1120によって切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、氏名以外の個人情報要素(具体的に第二実施形態では電話番号,電子メールアドレス,住所のうちのいずれか一つ)に該当するか否かを判定すべく、電話番号判定手段1130a,電子メールアドレス判定手段1130bおよび住所判定手段1130cとしての機能をそなえている。なお、第二実施形態の第一判定手段1130では、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で、上記文字列の判定処理を行なっている。
電話番号判定手段1130aは、上記文字列が電話番号に該当するか否かを判定するもので、上記文字列が検疫テーブル1110cに設定されている電話番号判定条件を満たす場合、上記文字列が電話番号に該当するものと判定し、その旨を第二判定手段1160に通知し、上記文字列に対する第一判定手段1130による判定処理を終了させるものである。第二実施形態において、電話番号判定条件は、上記文字列中に9〜15桁の数字が含まれていることとする。
電子メールアドレス判定手段1130bは、電話番号判定手段1130aによって上記文字列が電話番号に該当しないと判定された場合に、上記文字列が電話メールアドレスに該当するか否かを判定するもので、上記文字列が検疫テーブル1110cに設定されている電子メールアドレス判定条件を満たす場合、上記文字列が電子メールアドレスに該当するものと判定し、その旨を第二判定手段1160に通知し、上記文字列に対する第一判定手段1130による判定処理を終了させるものである。
第二実施形態において、電子メールアドレス判定条件は、上記文字列中に「一文字以上のASCII(American Standard Code for Information Interchange)」+「@(アットマーク)」+「一文字以上のASCII」+「.(ドット)」+「一文字以上のASCII」となる文字列が含まれていることとする。この場合、最短の電子メールアドレスは例えば「a@a.a」となる。
住所判定手段1130cは、電子メールアドレス判定手段1130bによって上記文字列が電子メールアドレスに該当しないと判定された場合に、上記文字列が住所(居所)に該当するか否かを判定するもので、上記文字列が検疫テーブル1110cに設定されている住所判定条件を満たす場合、上記文字列が住所に該当するものと判定し、その旨を第二判定手段1160に通知するものである。第二実施形態において、住所判定条件は、上記
文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていることとする。このとき、処理部(CPU)110の演算処理能力が十分に高い場合には、上記文字列に加え、郵便番号に対応する7桁の数字が含まれていることを住所判定条件に加えてもよい。また、住所判定条件は、上述した条件に代え、上記文字列中に、郵便番号に対応する7桁ちょうどの数字列が含まれていること、あるいは、「3桁の数字列」+「−(ハイフン)」+「4桁の数字列」となる数字列が含まれていることとしてもよい。
文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていることとする。このとき、処理部(CPU)110の演算処理能力が十分に高い場合には、上記文字列に加え、郵便番号に対応する7桁の数字が含まれていることを住所判定条件に加えてもよい。また、住所判定条件は、上述した条件に代え、上記文字列中に、郵便番号に対応する7桁ちょうどの数字列が含まれていること、あるいは、「3桁の数字列」+「−(ハイフン)」+「4桁の数字列」となる数字列が含まれていることとしてもよい。
文字判定手段1140は、第一判定手段1130によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合に、その文字列が、検疫テーブル1110cに設定されている文字判定条件を満たすか否か、具体的には、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であるか否かを判定するものである。第二実施形態において、文字判定条件は、上述したように、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であることであるが、ここで、上記所定範囲は、氏名(苗字だけの場合や名前だけの場合を含む)の文字数として一般的(適切)な数の範囲、例えば1以上6以下に設定される。
照合手段1150は、第一判定手段1130によって電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された文字区間であって、さらに文字判定手段1140によって上記所定範囲内であり且つ全ての文字が漢字であると判定された文字区間について、当該文字区間に含まれる文字/文字列と氏名において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列とを照合することにより、当該文字区間が不適切文字/不適切文字列を含むか否かを判定し、その照合判定結果を第二判定手段1160に通知するものである。
ここで、不適切文字/不適切文字列は、検疫テーブル1110cに予め設定されており、例えば、東京,大阪,横浜,九州,北海道,京都,首都,個人,学園,店,株,県,大学,学院,東証,研究,管理,総務,経理,営業,統括,製薬,販売,学校,教育,専門,建築,機械,法人,工場,製,技術,商,図書,不明,次長,公開,出版,広告,放送,対象,卸売,小売,企画,人事,情報,部門,社長,取締,部長,課長,係長,役員,本社,支社,事業,業務,教務,精密,石油,運輸,経営,戦略,資材,技師,電気,生産,税務,広報,運送,主任,電算,財務,事務,開発,政策,制作,経済,産業,金融,銀行,調査,英語,品質,保証,設備,担当,主席,主事,監査,支援,設計,保険,金庫,事業,代表,交通,第一,第二,第三,第四,第五,第六,第七,第八,第九,特販,施設,氏名,郵便,名前,名称,市役,所属,特色,幼稚,基督,協会,教会,組合,教団,商工,全国,支部,連絡,議会,生活,消費,推進,市役所,区役所,総合,修正,機能,概要,構成,企業,組織,関連,削除,文書,期限,有効といった、一般的な氏名において出現し得ない文字/文字列、つまり氏名としては不適切な文字/文字列である。
第二判定手段(判定手段)116は、第一判定手段1130における電話番号判定手段1130a,電子メールアドレス判定手段1130bおよび住所判定手段1130cによる判定結果と照合手段1150による照合判定結果とに基づいて、判定対象ファイルが個人情報ファイルであるか否かを判定するものである。
より具体的に説明すると、第二判定手段1160は、電話番号判定手段1130a,電子メールアドレス判定手段1130bおよび住所判定手段1130cからの判定結果の通知を受け電話番号,電子メールアドレス,住所のそれぞれに該当すると見なされた文字区間の数を計数するとともに、照合手段1150からの照合判定結果を受け、照合手段11
50によって不適切文字/不適切文字列を含まないと判定された文字区間を氏名に該当するものと見なし、その数を計数する。
50によって不適切文字/不適切文字列を含まないと判定された文字区間を氏名に該当するものと見なし、その数を計数する。
そして、第二判定手段1160は、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数結果(4つの計数値;電話番号数,電子メールアドレス数,住所数,氏名数)に基づいて、これらの計数値が大きくなるほど大きくなる判定値を算出する。例えば、第二判定手段1160は、4つの計数値の総和を上記判定値として算出してもよいし、電話番号,電子メールアドレス,住所,氏名のそれぞれについて重み係数を予め設定しておき、各個人情報要素についての重み係数と計数値との乗算結果の総和を上記判定値として算出してもよく、上記判定値の算出手法は種々考えられる。
上述のような判定値が算出されると、第二判定手段1160は、その判定値に基づいて、判定対象ファイルが個人情報ファイルであるか否かを判定する。具体的には、前記判定値が所定閾値を超えた場合に判定対象ファイルが個人情報ファイルであると判定する。このような判定を行なう際に、第二判定手段1160は、さらに、判定値の大きさに応じたPrマーク(プライベートレベルマーク)を、判定対象ファイルに付与して、Prマークテーブル1110dに設定・登録し、ランク付けを行なう。このPrマークは、前述した通り、判定対象ファイルが個人情報ファイルである可能性の高さを示すレベルであり、判定値が大きいほどPrマークは高いランクに設定される。
例えば、前記判定値が10以上となった場合、判定対象ファイルが個人情報ファイルであると判定する。また、前記判定値が10以上100未満である場合、Prマークとして“Pr1”を付与し、前記判定値が100以上1000未満である場合、Prマークとして“Pr2”を付与し、前記判定値が1000以上10000未満である場合、Prマークとして“Pr3”を付与し、前記判定値が10000以上である場合、Prマークとして“Pr4”を付与する。なお、個人情報ファイルを判定するための所定閾値やPrマークを決定するための基準値は、管理サーバ20(後述する管理コンソール24)から適宜設定される。また、ここではPrマークを“Pr1”〜“Pr4”の4つにランク分けしているが、ランク分けの数はこれに限定されるものではない。
なお、以上が一般的なPrマークのランク付けであるが、さらに、以下のように扱うことも可能である。たとえば、病名(病歴)、病院名(通院歴、入院歴)、薬品名(投薬履歴)、年収、職業、前科(犯罪履歴)などの文字列が一般的な文章中に個人情報と関係なく出現しているときには何ら問題ないが、住所や氏名や電話番号や電子メールアドレスなどの個人情報と関連している場合には、他人に知られたくない個人情報であるとして、特に高いPrマークレベルを設定する必要がある。
すなわち、病名(病歴)、病院名(通院歴、入院歴)、薬品名(投薬履歴)、年収、職業、前科(犯罪履歴)などの文字列と、住所や氏名や電話番号や電子メールアドレスなどの個人情報とが関連した文字列として存在する場合には、重み係数を特に大きく設定して計算したPrマークを判定対象ファイルに付与して、Prマークテーブル1110dに設定・登録し、ランク付けを行なう。
また、以上のように電子ファイルが個人情報ファイルであると判定された場合に、記憶手段としてのPrマークテーブル1110dに、上述したPrマークの情報に関連づけされた状態で、当該電子ファイルの個人情報に該当する箇所(電子ファイル中のアドレス)が記憶される。
上述のように判定対象ファイルに付与されたPrマーク(Prマークテーブル1110d)に応じて、上述した個人情報の有無に基づいた電子ファイルの書出もしくは送信の制
限が実行される。
限が実行される。
たとえば、
Pr1では該当する電子ファイルについて暗号化して書出もしくは送信し、上述した管理条件を満たした場合に管理サーバ側より復号化に必要なパスワードが送信される。
Pr2では該当する電子ファイルの書出もしくは送信が中止される。
Pr3では該当する電子ファイルの書出もしくは送信の際に送信宛先が管理サーバに変更される。
Pr4が存在する場合には、該利用者端末では、Pr4に該当しない全ての電子ファイルを含めて書出もしくは送信禁止され、該当する電子ファイルは利用者端末から削除される。
などの段階的な電子ファイルの書出もしくは送信制限が可能である。
Pr1では該当する電子ファイルについて暗号化して書出もしくは送信し、上述した管理条件を満たした場合に管理サーバ側より復号化に必要なパスワードが送信される。
Pr2では該当する電子ファイルの書出もしくは送信が中止される。
Pr3では該当する電子ファイルの書出もしくは送信の際に送信宛先が管理サーバに変更される。
Pr4が存在する場合には、該利用者端末では、Pr4に該当しない全ての電子ファイルを含めて書出もしくは送信禁止され、該当する電子ファイルは利用者端末から削除される。
などの段階的な電子ファイルの書出もしくは送信制限が可能である。
ここで、このようにPrマークに応じて書出もしくは送信の制限を課すだけでなく、安全についての評価レベルと、個人情報Prのランクとの和や積に応じて、書出もしくは送信の制限の内容を変更することも可能である。
〔B3−3〕管理サーバのその他の機能構成:
以上の説明では、利用者端末10側で、安全度合いや個人情報の有無に応じて電子ファイルの書出もしくは送信制限を実行していたが、この個人情報の有無を管理サーバ20側で管理してもよい。
以上の説明では、利用者端末10側で、安全度合いや個人情報の有無に応じて電子ファイルの書出もしくは送信制限を実行していたが、この個人情報の有無を管理サーバ20側で管理してもよい。
図13は、個人情報の有無を管理サーバ側で管理する際の、第二実施形態の管理サーバ20の機能構成を示すブロック図で、この図13に示すように、第二実施形態の管理サーバ20は、各種処理を実行するCPU20aと、各利用者端末10からのログ情報や個人情報ファイルなどを格納・保存するデータベース(RDB:Relational DataBase)20
bと、このデータベース20bに保存されたログ情報や個人情報を含む各種情報を表示する表示部20cとをそなえて構成されている。
bと、このデータベース20bに保存されたログ情報や個人情報を含む各種情報を表示する表示部20cとをそなえて構成されている。
CPU20aは、クライアント情報収集手段201,インストール手段202,収集手段203,第二個人情報探査手段204,差分抽出手段205,第二制御手段206,管理コンソール207,個人情報管理手段208,表示制御手段209,送受信手段210およびデジタル署名手段211としての機能を果たすもので、これらの機能は、CPU20aが、個人情報管理サーバ用プログラム(個人情報探査プログラムを含む)を実行することによって実現される。
クライアント情報収集手段201は、本管理システム1の立ち上げ時や、新規の利用者端末10をネットワークに接続した時など、個人情報ファイルの探査・管理を開始する際に、ネットワークおよび送受信手段210を介して通信可能に接続された利用者端末10からクライアント情報(ホスト情報)を収集し、個人情報ファイルの探査・管理対象の利用者端末10を認識するものである。その際、各利用者端末10が、上述した個人情報探査プログラムのインストールを要求しているか否か(個人情報探査プログラムの常駐を望むか否か)についての情報も収集される。
インストール手段202は、ネットワークに接続された利用者端末10に対し、当該利用者端末10の利用者からの要求に応じて、上述した個人情報探査プログラムを、ネットワークおよび送受信手段210を介してインストールするものである。
このインストール手段202によって個人情報探査プログラムをインストールされた利用者端末10が利用者端末10(個人情報探査プログラム常駐端末)となり、個人情報探
査プログラムをインストールされなかった利用者端末10が利用者端末10(個人情報探査プログラム非常駐端末)となる。
査プログラムをインストールされなかった利用者端末10が利用者端末10(個人情報探査プログラム非常駐端末)となる。
収集手段203は、ネットワークおよび送受信手段210を介して、利用者端末10で実行された個人情報ファイルの探査結果(個人情報ファイルのリンク先情報,判定値,Prマークなど)を受信・収集し、データベース20bに格納する機能を果たすほか、利用者端末10における個人情報ファイルの探査を行なうべく、初回探査時に、利用者端末10における全てのファイルを、ネットワークおよび送受信手段210を介して吸い上げる機能や、初回探査時以後の定期探査時に、利用者端末10における差分ファイル(後述)を、ネットワークおよび送受信手段210を介して吸い上げる機能や、初回探査時や定期探査時に、利用者端末10における最新のファイル情報(後述)を、ネットワークおよび送受信手段210を介して吸い上げる機能も果たすものである。
第二個人情報探査手段204は、上述した個人情報探査プログラムをCPU20aで実行することにより、ネットワークを介して利用者端末10における個人情報ファイルの探査を行なうもので、第二実施形態では、収集手段203により利用者端末10から吸い上げられたファイルを判定対象とし、そのファイルが個人情報ファイルであるか否かの判定を行なう。
この第二個人情報探査手段204も、上述した個人情報探査手段1100と同様、判定対象ファイルをテキストファイルにするテキスト抽出エンジンとして機能するとともに、データベース20bにおける検疫テーブル20b−1(上述した利用者端末10における検疫テーブル1110cと同じもの)を用いて利用者端末10の記憶部1110bにおけるデータの中から個人情報ファイルを探査する探査エンジンとして機能するものである。つまり、第二個人情報探査手段204は、検疫テーブル20b−1に従って、利用者端末10の記憶部1110bに存在する各種電子ファイルを参照して個人情報ファイルの探査を行ない、個人情報ファイルであると判定された電子ファイルをログに書き出すものである。また、第二実施形態では、この第二個人情報探査手段204で得られた判定結果(判定値)に基づいて決定されたPrマークが、データベース20bにおけるPrマークテーブル20b−2(上述した利用者端末10におけるPrマークテーブル1110dと同様のもの)に登録される。
なお、第二個人情報探査手段204も、図12に示した個人情報探査手段1100と同様の機能構成を有しているが、第二個人情報探査手段204では、抽出手段1110には記憶部1110bに代えて収集手段203が接続され、検疫テーブル1110cおよびPrマークテーブル1110dに代えて検疫テーブル20b−1およびPrマークテーブル20b−2が用いられる。また、第二判定手段1160には、送受信手段に代えて送受信手段210が接続され、第二個人情報探査手段204による判定結果は、利用者端末10に通知されるようになっている。
そして、以上のようにして利用者端末10に通知された判定結果と、当該電子ファイルの個人情報に該当する箇所(電子ファイル中のアドレス)のデータとが、記憶部1110bなどの記憶手段に記憶される。
ここで、管理サーバ20のデータベース20bには、利用者端末10に提供すべき検疫テーブル1110cと同じ検疫テーブル20b−1と、利用者端末10の個人情報探査手段1100による判定結果(Prマーク)および第二個人情報探査手段204による判定結果(Prマーク)を保持するPrマークテーブル20b−2と、後述する電子ファイル情報保存手段20b−3とがそなえられている。
ファイル情報保存手段20b−3は、初回探査時や定期探査時に、収集手段203によって利用者端末10から吸い上げられた最新のファイル情報を、第二個人情報探査手段204により最後に個人情報ファイルの定期探査を行なった時点での、利用者端末10における電子ファイルに関する情報として保存するものである。ここで、ファイル情報は、上述した通り、利用者端末10(記憶部1110b)における全てのファイルに関する情報、具体的にはファイル作成/更新日時,ファイルサイズ,ファイル名である。
差分抽出手段205は、定期探査時に、利用者端末10における電子ファイルに関する最新情報(最新ファイル情報)とファイル情報保存手段20b−3に保存されている情報(最後に個人情報ファイルの定期探査を行なった時点でのファイル情報)とを比較し、最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更された電子ファイルを、差分ファイルとして、ネットワーク,送受信手段410および収集手段203を介して利用者端末10から定期的に抽出するものである。
第二制御手段206は、第二個人情報探査手段204に、図15を参照しながら後述する手順で、最初(本管理システム1の立ち上げ時/利用者端末10の新規接続時)に利用者端末10の記憶部1110bにおける全データを対象にして個人情報ファイルの探査を一度だけ実行させてから、必要に応じて、定期探査タイミングになる都度、個人情報探査プログラムを起動し、差分抽出手段205により抽出された差分ファイルが個人情報ファイルであるか否かを判定する定期探査を第二個人情報探査手段204に実行させるものである。
管理コンソール207は、個人情報ファイルの判定条件(上記検疫テーブル1110c,20b−1や、個人情報ファイルやPrマークを判定するために必要になる所定閾値など)を設定して管理するものである。検疫テーブル1110c,20b−1には、上述した電話番号判定条件,電子メールアドレス判定条件,住所判定条件,文字判定条件(上記所定範囲)や不適切文字/不適切文字列が設定される。
個人情報管理手段208は、収集手段203によって収集されデータベース20bに格納された探査結果に基づいて、各利用者端末10における個人情報ファイルを管理するもので、個人情報探査手段11,204で個人情報ファイルであると判定された電子ファイル(Prマークの付与された電子ファイル;以下、個人情報ファイルという)を管理対象としている。
この個人情報管理手段208は、データベース20bのPrマークテーブル20b−2に登録されている個人情報ファイルの判定値(またはPrマーク)に応じて、個人情報ファイルの利用者(保有者)に注意情報/警告情報を通知したり、個人情報ファイルを、その個人情報ファイルを保存している利用者端末10から強制的に捕獲・回収したり、その個人情報ファイルが利用者端末10から外部へ出力されるのを強制的に禁止したり、その個人情報ファイルを管理者のみがアクセス可能なフォルダ(図示略)に格納したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させたりするものである。
例えば、Prマークのランクが“Pr1”である場合、警告情報によるリコメンドは行なわないが“Pr1”の個人情報ファイルが存在することをログとして記録する。Prマークのランクが“Pr2”である場合、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報を通知する。Prマークのランクが“Pr3”である場合、その個人情報ファイルを保管している利用者が存在する旨を、システム管理者に対し警告情報としてメール等により通知するとともに、その個人情報ファイルの返却を利用者に指示する。Prマークのランクが“Pr4”である場合、その個人情報ファイル
を利用者端末10から強制的に捕獲・回収したり、個人情報ファイルが利用者端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させたりする。なお、Prマークのランクが“Pr4”でなくても、“Pr3”の個人情報ファイルが所定日数放置された場合には、その個人情報ファイルに対して、Prマークのランクが“Pr4”である場合と同様の処置を実行するようにしてもよい。
を利用者端末10から強制的に捕獲・回収したり、個人情報ファイルが利用者端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させたりする。なお、Prマークのランクが“Pr4”でなくても、“Pr3”の個人情報ファイルが所定日数放置された場合には、その個人情報ファイルに対して、Prマークのランクが“Pr4”である場合と同様の処置を実行するようにしてもよい。
また、個人情報管理手段208は、各利用者端末10もしくはデータベース20bに格納された個人情報ファイルを種々の確度で探査する機能や、表示制御手段26によってその探査結果等を表示部20cに表示させる機能を有している。
表示制御手段209は、表示部20cに各種情報を表示させるべく表示部20cの表示状態を制御するものであり、送受信手段210は、ネットワークを介して各利用者端末10との間で各種情報を送受信するものである。
デジタル署名手段211は、個人情報探査手段1100もしくは第二個人情報探査手段204によって探査された個人情報ファイルに対し、デジタル署名を付与するものである。ここで、デジタル署名は、デジタル文書の正当性を保証するために付けられる暗号化された署名情報で、公開鍵暗号方式の応用によって、デジタル文書(ここでは個人情報ファイル)の作成者を証明し、且つその文書が改竄されていないことを保証するものである。署名者(管理サーバ20側の管理者)は、自身の秘密鍵を用いて暗号化した署名をデジタル文書に付加して送る。受取人(利用者端末10側の利用者)は、署名者の公開鍵を用いて署名を復号し、正しい内容かどうか確認する。これにより、第三者による偽造防止のほか、署名者がそのデジタル文書を作成したことの証明にも用いることができる。
なお、利用者端末10の個人情報ファイルについては、利用者端末10からネットワークを介して管理サーバ20へ送信され、デジタル署名手段211によってデジタル署名を付与されてから利用者端末10に返送され、デジタル署名を付与されていない元の個人情報ファイルは削除されることになる。また、利用者端末10の個人情報ファイルは、管理サーバ20側での判定後にデジタル署名手段211によってデジタル署名を付与されてから利用者端末10に返送され、デジタル署名を付与されていない元の個人情報ファイルは削除されることになる。
図14は第二実施形態のファイルアクセス管理サーバ30の機能構成を示すブロック図で、この図13に示すように、第二実施形態のファイルアクセス管理サーバ30は、例えば、管理サーバ20(個人情報管理手段208)から指示された個人情報ファイル(Prマークのランクが“Pr4”の個人情報ファイル)を管理対象とするもので、各種処理を実行するCPU30aと、後述するごとく暗号鍵や復号鍵などを保存する記憶部30bとをそなえて構成されている。なお、ここでは、Prマークのランクが“Pr4”の個人情報ファイルを管理対象としているが、Prマークのランクに関係なく、個人情報探査手段11,204によって個人情報ファイルであると判定された全ての電子ファイルをファイルアクセス管理サーバ30の管理対象としてもよい。
CPU30aは、後述する送受信手段31,変換手段32,暗号化手段33および判定手段34としての機能を果たすもので、これらの機能は、CPU30aが、ファイルアクセス管理サーバ用のプログラムを実行することによって実現される。また、記憶部30bは、後述するごとく、個人情報ファイルを暗号化するための暗号鍵や、暗号化された個人情報ファイルを復号化するための復号鍵や、暗号化された個人情報ファイルに対するアクセス権限(後述)や、予め登録されている利用者〔暗号化ファイルの閲覧を許可された登
録者(社員)〕のユーザID/パスワードなどを保存するもので、例えばハードディスクやRAMによって構成されている。
録者(社員)〕のユーザID/パスワードなどを保存するもので、例えばハードディスクやRAMによって構成されている。
送受信手段31は、ファイルアクセス管理サーバ30が本来有している通信機能によって実現されるものであって、後述する個人情報ファイル受信手段31a,暗号化ファイル送信手段31b,認証情報受信手段31cおよび復号鍵送信手段31dとしての機能を果たす。
個人情報ファイル受信手段31aは、管理サーバ20からネットワーク30経由で管理対象の個人情報ファイルを受信するものである。
変換手段32は、個人情報ファイル受信手段31aによって受信された管理対象の個人情報ファイルを、改竄操作の困難なPDF(Portable Document Format)ファイル等の完成文書ファイルに変換するものである。この変換手段32は例えばPDFドライバによって実現され、このPDFドライバを起動することにより、個人情報ファイルがPDF化され、完成文書ファイルとしてのPDFファイルが生成されるようになっている。
変換手段32は、個人情報ファイル受信手段31aによって受信された管理対象の個人情報ファイルを、改竄操作の困難なPDF(Portable Document Format)ファイル等の完成文書ファイルに変換するものである。この変換手段32は例えばPDFドライバによって実現され、このPDFドライバを起動することにより、個人情報ファイルがPDF化され、完成文書ファイルとしてのPDFファイルが生成されるようになっている。
暗号化手段33は、変換手段32で得られたPDFファイルを、所定の暗号鍵を用いて暗号化するものである。
暗号化ファイル送信手段31bは、暗号化手段33によって暗号化(鍵掛け)されたファイル(以下、暗号化ファイルという)を、ネットワーク経由で管理サーバ20に送信するものである。
暗号化ファイル送信手段31bは、暗号化手段33によって暗号化(鍵掛け)されたファイル(以下、暗号化ファイルという)を、ネットワーク経由で管理サーバ20に送信するものである。
なお、ファイルアクセス管理サーバ30による管理に際しては、上述のような暗号化手段33による暗号化時に、ポリシー設定によって、各暗号化ファイルに対する各種アクセス権限(閲覧,書出もしくは送信,コピー等の権限)が利用者毎や暗号化ファイル毎に設定される。その際、システム運用を簡易化すべく1種類のポリシを設定し、そのポリシ設定によって、全ての暗号化ファイルに対する各利用者端末10でのアクセス権限〔例えば、本システム1を導入している社内の全社員/全利用者(ファイルアクセス管理サーバ30に登録されている全登録者)のアクセス権限〕として、閲覧権限のみを自動的(強制的)に設定・付与し、閲覧以外のアクセス、例えば書出もしくは送信,コピー,別名保存,画面キャプチャ(スクリーンショット)などのアクセスを一切行なえないようにしてもよい。
認証情報受信手段31cは、利用者端末10もしくは管理サーバ20での暗号化ファイルに対するアクセス時に利用者端末10もしくは管理サーバ20からネットワーク経由で送信されてくる認証情報を受信するものである。ここで、認証情報は、暗号化ファイルを開こうとしている利用者端末10もしくは管理サーバ20の利用者がその暗号化ファイルの正当な送信先(利用者/登録者)であることをファイルアクセス管理サーバ30で判定・認証するために必要な情報であり、ファイルアクセス管理サーバ30によるサービスの利用者についてこのファイルアクセス管理サーバ30(記憶部30b)に予め登録されたユーザIDおよびパスワードを含んでいる。これらのユーザIDおよびパスワードは、暗号化ファイルを開く際に利用者がキーボードやマウスを操作することにより入力される。
判定手段34は、認証情報受信手段31cによって受信された認証情報に基づいて、認証情報を送信した利用者端末10/管理サーバ20が暗号化ファイルの正当な送信先であるか否かを判定するもので、実際には、利用者によって入力されたユーザIDおよびパスワードが、ファイルアクセス管理サーバ30の記憶部30bに予め登録・保存されているユーザIDおよびパスワードと一致するか否かを判定することにより、その利用者が正当な登録者であるか否かを判定・認証するものである。
復号鍵送信手段31dは、判定手段34によって利用者が正当な登録者であることが認証された場合に、暗号化ファイルを復号化するための復号鍵を記憶部30bから読み出して利用者端末10もしくは管理サーバ20にネットワーク経由で送信するものである。
そして、利用者端末10もしくは管理サーバ20においては、ファイルアクセス管理サーバ30から復号鍵を受信すると、その復号鍵を用いて暗号化ファイルの復号化を行ない元の個人情報ファイルを復元し、復元された個人情報ファイルに対し、与えられたアクセス権限に応じたアクセス(例えば閲覧)が行なわれるようになる。
〔B3−4〕第二実施形態の個人情報管理の動作:
次に、図15以降を参照しながら、上述のごとく構成された第二実施形態の書出もしくは送信制限時における個人情報の取り扱い動作について説明する。
次に、図15以降を参照しながら、上述のごとく構成された第二実施形態の書出もしくは送信制限時における個人情報の取り扱い動作について説明する。
〔B3−4−1〕個人情報探査手段の動作:
第二実施形態の個人情報探査手段1100,204では、以下のように、電話番号,電子メールアドレス,住所および氏名の出現頻度をそれぞれ数値化し、個人情報ファイルの特定・探査を行なっている。その際、切出手段1120によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれている場合、その文字区間は、個人情報要素(第二実施形態では氏名)には該当しないものと見なされて除外される一方、切出手段1120によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれていない場合、その文字区間は、個人情報をなす個人情報要素に該当するものと見なされて、つまり個人情報要素が出現したものと見なされ、出現回数のカウントアップを行なっている。
第二実施形態の個人情報探査手段1100,204では、以下のように、電話番号,電子メールアドレス,住所および氏名の出現頻度をそれぞれ数値化し、個人情報ファイルの特定・探査を行なっている。その際、切出手段1120によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれている場合、その文字区間は、個人情報要素(第二実施形態では氏名)には該当しないものと見なされて除外される一方、切出手段1120によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれていない場合、その文字区間は、個人情報をなす個人情報要素に該当するものと見なされて、つまり個人情報要素が出現したものと見なされ、出現回数のカウントアップを行なっている。
第二実施形態の利用者端末10もしくは管理サーバ20において、上述した個人情報探査手段1100,204(個人情報探査プログラム)によって実行される、初回の個人情報ファイルの探査動作の一連の手順を、図15に示すフローチャート(ステップS1802〜S1818)に従って説明する。
第二実施形態の管理システム1を構築する際には、まず、管理サーバ20として機能すべきコンピュータに個人情報管理サーバ用プログラムをインストールし、そのコンピュータが個人情報管理サーバ用プログラムを実行することにより管理サーバ20としての機能を果たす。そして、個人情報ファイルの探査・管理を開始する際には、管理サーバ20により、個人情報探査プログラムの常駐を希望する利用者端末10に対しネットワーク経由で個人情報探査プログラムがインストールされる。このようにインストールされた個人情報探査プログラムを利用者端末10の処理部(CPU)110で実行することにより、処理部(CPU)110が個人情報探査手段1100,検知手段1200,第一制御手段1300,アクセス監視手段1400,送受信手段1500、および、送出要求監視手段1600としての機能を果たす。なお、個人情報探査プログラムをインストールする際には、検疫テーブル1110cも併せて送信される。また、個人情報探査プログラムは、個人情報管理サーバ用プログラムに予め含まれており、その個人情報探査プログラムが利用者端末10にインストールされるとともに、その個人情報探査プログラムを管理サーバ20で実行することにより、管理サーバ20のCPU20aが第二個人情報探査手段としての機能を果たす。
そして、図15は、本管理システム1の立ち上げ時/個人情報探査プログラムのインストール時/利用者端末10の新規接続時に、利用者端末10において、個人情報探査手段1100によって実行される、初回の個人情報ファイルの探査動作の手順、もしくは、本管理システム1の立ち上げ時/利用者端末10の新規接続時に、管理サーバ20において
、第二個人情報探査手段によって実行される、初回の個人情報ファイルの探査動作の手順を示している。
、第二個人情報探査手段によって実行される、初回の個人情報ファイルの探査動作の手順を示している。
利用者端末10の全てのデータの中から、まだ判定対象となっていない電子ファイルが判定対象ファイルとして一つ選択されて読み出され(ステップS1802)、その判定対象ファイルから抽出手段(テキスト抽出エンジン)111によりテキストデータが抽出される(ステップS1803)。
このように抽出されたテキストからは、切出手段1120により、上述した区切り文字で区切られる文字区間が切り出され、判定対象/照合対象としてバッファ(図示略)に順次書き出される(ステップS1804)。文字区間の切り出しに際し、前述したように、切出手段1120により、文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。
そして、切出手段1120によって切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当するか否かを、電話番号判定手段1130a,電子メールアドレス判定手段1130bおよび住所判定手段1130cによって順次判定する(ステップS1805,S1807,S1809)。
まず、電話番号判定手段1130aにより、上記文字列が電話番号に該当するか否かが判定される(ステップS1805)。その際、上記文字列が検疫テーブル1110cに設定されている電話番号判定条件を満たしていれば、つまり上記文字列中に9〜15桁の数字が含まれていれば、上記文字列が電話番号に該当するものと判定され(ステップS1805のYESルート)、その旨が第二判定手段1160に通知され、この第二判定手段1160において、電話番号の出現回数に対応する計数値が1だけカウントアップされ(ステップS1806)、ステップS1814の処理へ移行する。
上記文字列が電話番号に該当しないと判定された場合(ステップS1805のNOルート)、電子メールアドレス判定手段1130bにより、上記文字列が電話メールアドレスに該当するか否かが判定される(ステップS1807)。その際、上記文字列が検疫テーブル1110cに設定されている電子メールアドレス判定条件を満たしていれば、つまり上記文字列中に「一文字以上のASCII」+「@」+「一文字以上のASCII」+「.」+「一文字以上のASCII」となる文字列が含まれていれば、上記文字列が電子メールアドレスに該当するものと判定され(ステップS1807のYESルート)、その旨が第二判定手段1160に通知され、この第二判定手段1160において、電子メールアドレスの出現回数に対応する計数値が1だけカウントアップされ(ステップS1808)、ステップS1814の処理へ移行する。
上記文字列が電子メールアドレスに該当しないと判定された場合(ステップS1807のNOルート)、住所判定手段1130cにより、上記文字列が住所(居所)に該当するか否かが判定される(ステップS1809)。その際、上記文字列が検疫テーブル1110cに設定されている住所判定条件を満たしていれば、つまり上記文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていれば、上記文字列が住所に該当するものと判定され(ステップS1809のYESルート)、その旨が第二判定手段1160に通知され、この第二判定手段1160において、住所(居所)の出現回数に対応する計数値が1だけカウントアップされ(ステップS1810)、ステップS1814の処理へ移行する。
上記文字列が住所に該当しないと判定された場合(ステップS1809のNOルート)
、つまり第一判定手段1130によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合、文字判定手段1140により、その文字列が、検疫テーブル1110cに設定されている文字判定条件(文字数が1以上6以下であり全ての文字が漢字であること)を満たすか否かが判定される(ステップS1811)。この文字判定条件を満たさない場合(ステップS1811のNOルート)、ステップS1814の処理へ移行する。
、つまり第一判定手段1130によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合、文字判定手段1140により、その文字列が、検疫テーブル1110cに設定されている文字判定条件(文字数が1以上6以下であり全ての文字が漢字であること)を満たすか否かが判定される(ステップS1811)。この文字判定条件を満たさない場合(ステップS1811のNOルート)、ステップS1814の処理へ移行する。
一方、この文字判定条件を満たす場合(ステップS1811のYESルート)、照合手段1150により、当該文字区間(上記文字列)に含まれる文字/文字列と検疫テーブル1110cに設定されている氏名についての不適切文字/不適切文字列とが照合され、当該文字区間に不適切文字/不適切文字列が含まれるか否かが判定される(ステップS1812)。当該文字区間に、一つでも不適切文字/不適切文字列と一致する文字/文字列が存在した場合(ステップS1812のYESルート)には、その時点不適切文字/不適切文字列との照合処理を直ちに終了し、ステップS1814の処理へ移行する。
また、当該文字区間に不適切文字/不適切文字列が含まれていない場合(ステップS1812のNOルート)、その照合判定結果が第二判定手段1160に通知され、この第二判定手段1160において、当該文字区間が氏名に該当するものと見なされ、氏名の出現回数に対応する計数値が1だけカウントアップされ(ステップS18130)、ステップS1814の処理へ移行する。
ステップS1814では、判定対象ファイルから抽出されたテキストデータから未だ切り出されていない文字区間の有無が判定され、有る場合(YESルート)には、ステップS1804に戻り、上述と同様の処理(ステップS1804〜S18130)を繰り返し実行する。このようにして全ての文字区間がテキストデータから切り出され全ての文字区間に対する判定処理,照合処理,計数処理等を終了すると(ステップS1814のNOルート)、第二判定手段1160において、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数値に基づいて、上述した判定値が算出される(ステップS1815)。
そして、第二判定手段1160においては、ステップS1815で算出された判定値に基づいて、上述したように、判定対象ファイルが個人情報ファイルであるか否かが判定されるとともに、Prマークのランク付け(第二実施形態では“Pr1”〜“Pr4”の4つ)が行なわれる(ステップS1816)。
この後、利用者端末10における全ての電子ファイルについて個人情報の探査を行なったか否かを判定し(ステップS1817)、まだ未探査の電子ファイルが存在する場合(ステップS1817のNOルート)、ステップS1802に戻り上述と同様の処理を実行する一方、全ての電子ファイルについて探査を完了した場合(ステップS1817のYESルート)、ステップS1816での個人情報ファイルの判定結果やPrマークのランク付けの結果は、Prマークテーブル1110dもしくは20b−2に登録され、送受信手段1500およびネットワークを介して管理サーバ20に送信され、管理サーバ20において、収集手段203によりデータベース20bに登録・保存される(ステップS1818)。また、利用者端末10の判定結果等については、管理サーバ20側の第二個人情報探査手段からデータベース20bに登録・保存する(ステップS1818)。このようなステップS1818の処理完了後、個人情報ファイルの探査動作を終了する。
〔B3−4−2〕利用者端末10の動作:
次に、利用者端末10の動作について説明する。より具体的に、ここでは、図15を参照しながら上述した初回の個人情報ファイルの探査後に利用者端末10で実行される、リ
アルタイム探査動作およびアクセス監視動作について説明する。
次に、利用者端末10の動作について説明する。より具体的に、ここでは、図15を参照しながら上述した初回の個人情報ファイルの探査後に利用者端末10で実行される、リ
アルタイム探査動作およびアクセス監視動作について説明する。
利用者端末10では、検知手段1200により、記憶部1110bに既に保存されている電子ファイルに対する変更やその記憶部1110bへの新たな電子ファイルの追加が監視されており、ファイルの追加・変更が検知されると、その都度、第一制御手段1300により直ちに個人情報探査プログラムが起動され、個人情報探査手段1100により、追加・変更された電子ファイルを判定対象ファイルとして図15のステップS1803〜S1816による判定処理を実行する。これにより、追加・変更された電子ファイルが個人情報ファイルであるか否かを判定するリアルタイム探査が実行され、判定結果が管理サーバ20に通知される。
また、利用者端末10では、アクセス監視手段1400により、個人情報ファイル(つまり、Prマークを付与された電子ファイル/個人情報探査手段1100により個人情報ファイルであると判定された電子ファイル)が監視されており、その個人情報ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じると、その旨が、ログ情報として書き出され、送受信手段1500およびネットワークを介して管理サーバ20に送信され、管理サーバ20において、収集手段203によりデータベース20bに登録・保存される。
また、利用者端末10では、管理条件違反があった場合には、送出要求監視手段1600により、個人情報ファイル(つまり、Prマークを付与された電子ファイル/個人情報探査手段1100により個人情報ファイルであると判定された電子ファイル)が監視されており、その個人情報ファイルに対するアクセスが書出もしくは送信要求であれば、Prマークの有無が調べられる。
そして、電子ファイルにPrマークの付与があれば、送出要求監視手段1600からの指示を受けた送出制御手段1800が、送出制限エージェントファイルなどに定められた所定の制限状態で電子ファイルの書出もしくは送信を実行する。
すなわち、該電子ファイルの書出もしくは送信時に、該個人情報ファイルが存在すれば、暗号化して書出もしくは送信、書出もしくは送信の中止、書出もしくは送信の際に送信宛先を管理サーバに変更、Prに該当しない全ての電子ファイルを含めて書出もしくは送信禁止、該当する電子ファイルは利用者端末から削除、など、所定の制限を実行するよう制御する。
また、電子ファイルにPrマークの付与がなければ、送出要求監視手段1600からの指示を受けた送出制御手段1800が、制限なし状態で電子ファイルの書出もしくは送信を実行する。
また、その個人情報ファイルに対するアクセスが表示部1110eへの表示要求(閲覧要求)であれば、同様にして、表示制御手段によりPrマークの有無が調べられる。
ここで、電子ファイルにPrマークの付与がなければ、表示制御手段が、制限なし状態で表示部1110eに電子ファイルの表示を実行する。
ここで、電子ファイルにPrマークの付与がなければ、表示制御手段が、制限なし状態で表示部1110eに電子ファイルの表示を実行する。
そして、電子ファイルにPrマークの付与があれば、表示制御手段は、処理部(CPU)110が取得している利用者端末10の位置が所定の位置(たとえば、社内)であるか否かを判定する。この利用者端末10の位置情報は、図示されないGPS装置からのGPS情報、携帯電話装置などから得た基地局情報、送受信手段1500を介して得たネットワーク接続時のIP情報などから得る。
ここで、利用者端末10の位置が予め定められた所定の位置(社内など)に存在していれば、表示制御手段が、制限なし状態で表示部1110eに電子ファイルの表示を実行する。
また、利用者端末10の位置が予め定められた所定の位置(社内など)に存在していなければ、表示制御手段が、制限あり状態で表示部1110eに電子ファイルの表示を実行する。
すなわち、表示制御手段から表示部1110eへの該個人情報ファイルの送出時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にして表示部1110eに表示するよう制御する。
ここで、不可視状態とは、文字色を背景の色と同じ状態にする、あるいは、文字周辺を文字色と同じ色で塗りつぶす、見えにくい透かしを付加する、意味のない一定の文字に置換するなどの処理を実行する。
たとえば、地の色が透明あるいは白で、文字色が黒であれば、文字色を白くするか、あるいは、文字と共に文字周辺を黒色で塗りつぶした状態にするか、あるいは、文字を黒丸などの一定の文字に置換する。
これにより、個人情報ファイルの個人情報部分がディスプレイに表示されなくなり、表示媒体を介した個人情報の流出が防止される。また、個人情報部分を薄い色で表示したりすることも可能である。また、Prマークのランクに応じて、高いレベルの個人情報ファイルについては、個人情報ファイル全体の表示を禁止、あるいは、不可視状態での表示としてもよい。
なお、以上の電子ファイルの書出もしくは送信や表示における制限時に、単純に中止するだけでなく、個人情報ファイルであるために書出もしくは送信や表示ができない旨のメッセージファイルを書出もしくは送信や表示するようにしてもよい。
〔B4〕第二実施形態の効果:
このように、本発明の第二実施形態としての管理システム1によれば、各利用者端末10において少なくとも一つの管理条件(例えば上記項目(1)〜(5)あるいは(1)〜(5)と(a)
〜(g)のうちの少なくとも一つ)に係る事項を含むセキュリティについての電子教育(例
えば企業等の内部システム1Aを利用する際のセキュリティ全般についての電子教育)を実行させた後に、各利用者端末10における環境情報が各利用者端末から管理サーバ20に収集され、この管理サーバ20(判断手段26)において、収集された環境情報に基づいて、各利用者端末10が管理条件を満たしているか否かが判断され、警告手段27により管理条件を満たしていないと判断された利用者端末10の利用者(管理条件違反者)や管理者に対し警告が発せられるとともに、その利用者端末10に対し、違反管理条件に係る事項についての詳細な電子教育が実行される。つまり、セキュリティ全般の電子教育を行なった後に管理条件違反があった場合、その違反は利用者の故意による可能性が高く、その違反についての警告が利用者や管理者に対して行なわれるとともに、違反者である利用者に対して違反事項についての電子教育が実行されることになる。
このように、本発明の第二実施形態としての管理システム1によれば、各利用者端末10において少なくとも一つの管理条件(例えば上記項目(1)〜(5)あるいは(1)〜(5)と(a)
〜(g)のうちの少なくとも一つ)に係る事項を含むセキュリティについての電子教育(例
えば企業等の内部システム1Aを利用する際のセキュリティ全般についての電子教育)を実行させた後に、各利用者端末10における環境情報が各利用者端末から管理サーバ20に収集され、この管理サーバ20(判断手段26)において、収集された環境情報に基づいて、各利用者端末10が管理条件を満たしているか否かが判断され、警告手段27により管理条件を満たしていないと判断された利用者端末10の利用者(管理条件違反者)や管理者に対し警告が発せられるとともに、その利用者端末10に対し、違反管理条件に係る事項についての詳細な電子教育が実行される。つまり、セキュリティ全般の電子教育を行なった後に管理条件違反があった場合、その違反は利用者の故意による可能性が高く、その違反についての警告が利用者や管理者に対して行なわれるとともに、違反者である利用者に対して違反事項についての電子教育が実行されることになる。
従って、警告によって管理者のセキュリティに対する意識が高められ、管理者は、システムの状況を確実に把握して、企業等の内部システム1Aにおける安全な環境を確保・維持することができる。また、利用者(違反者)に対する警告が行なわれるとともに、利用者(違反者)に対してセキュリティを確保するための電子教育を、各利用者端末10の実態に即し且つ徹底して行なえ、利用者(違反者)のセキュリティに対する意識を高め、企
業等の内部システム1Aにおける安全な環境の確保・維持にさらなる寄与を果たすことができる。つまり、セキュリティ全般についての電子教育後に利用者が故意に行なった可能性の高い違反事項について、その違反者に対して電子教育を行なうことができるので、利用者教育(社員教育)を徹底して行なうことが可能になり、その内部システム1Aについて安全な環境の確保・維持に寄与することになる。
業等の内部システム1Aにおける安全な環境の確保・維持にさらなる寄与を果たすことができる。つまり、セキュリティ全般についての電子教育後に利用者が故意に行なった可能性の高い違反事項について、その違反者に対して電子教育を行なうことができるので、利用者教育(社員教育)を徹底して行なうことが可能になり、その内部システム1Aについて安全な環境の確保・維持に寄与することになる。
また、複数の利用者端末のそれぞれ11における環境情報(例えば企業等の内部システム1Aに属する複数の利用者端末10のそれぞれにおける環境情報)が、各利用者端末10から管理サーバ20に収集され、この管理サーバ20において、収集された各利用者端末10における環境情報に基づいて、複数の利用者端末10についてのセキュリティレベル、つまりは企業等における内部システム11のセキュリティ状況が評価され、その評価結果が利用者や管理者に通知される。
これにより、企業等における内部システム1Aのセキュリティ状況を評価するサービスが、当該企業等に対して提供可能になり、システム管理者が置かれていなくても、また経営者や管理者がセキュリティ対策に無頓着であっても、内部システム1Aや各端末10におけるセキュリティ状況を極めて正確かつ容易に把握でき、経営者,管理者,利用者のセキュリティに対する意識を高めて、企業等の内部システム1Aにおける安全な環境を確保・維持することができる。特に、このように管理サーバ20によって提供されるサービスは、大企業ほどセキュリティに対する意識が高くない中小企業等に対して有効であり、このサービスを利用することで、当該中小企業等の管理者や経営者は、自社のシステム1Aのセキュリティ状況の把握や電子教育を極めて容易に徹底して行なえる。
このとき、管理サーバ20において、図5に示すように複数の利用者端末10のうちで少なくとも一つの管理条件(例えば上記項目(1)〜(5)あるいは(1)〜(5)と(a)〜(g)のうちの少なくとも一つ)を満たしている利用者端末10の割合Pに基づいて、もしくは、図6に示した第二例のごとく設定された重要管理条件に基づいて、もしくは、図7に示すように各管理条件(1)〜(5)あるいは(1)〜(5)と(a)〜(g)を満たす利用者端末10の割合P1〜P5および各管理条件(1)〜(5)あるいは(1)〜(5)と(a)〜(g)の重要度M1〜M5に基づいて、複数の利用者端末10(評価対象システム1A)についての安全度合いを数値化して評価することが可能である。
図5に示した第一手法によれば、例えば、上記項目(1)〜(5)あるいは(1)〜(5)と(a)〜(g)の管理条件のうちの少なくとも一つを満たす利用者端末の割合が100%であれば最高評価を下し、以下、その割合に応じた段階的な評価レベル(セキュリティレベル)を評価対象部システム1Aに対して付与することができる。つまり、管理条件(1)〜(5)あるいは(1)〜(5)と(a)〜(g)を満たす利用者端末10が多いシステム1Aほど、高い数値が得られて高い評価レベルを付与でき、安全性の高さに応じた評価を評価対象システム1Aに対して下すことができる。
また、図6に示した第二手法のごとく、上記項目(4)の管理条件「利用者端末に危険ソ
フトウエアがインストールされていないこと」は、内部システムの安全性を確保するための重要度が極めて高いので、重要管理条件として設定することにより、上記項目(4)を満
たさない利用者端末10が1台でもあれば、つまり危険ソフトウエアをインストールしている利用者端末10が1台でもあれば、他の項目の割合に関係なく、低い評価レベルを評価対象システム1Aに対して付与することで、評価対象システム1Aの安全度合い(セキュリティ状況,セキュリティレベル)を簡易かつ確実に評価することができる。
フトウエアがインストールされていないこと」は、内部システムの安全性を確保するための重要度が極めて高いので、重要管理条件として設定することにより、上記項目(4)を満
たさない利用者端末10が1台でもあれば、つまり危険ソフトウエアをインストールしている利用者端末10が1台でもあれば、他の項目の割合に関係なく、低い評価レベルを評価対象システム1Aに対して付与することで、評価対象システム1Aの安全度合い(セキュリティ状況,セキュリティレベル)を簡易かつ確実に評価することができる。
さらに、図7に示した第3手法のごとく、重要度Mi(i=1〜5)の高い管理条件を満たさない利用者端末10の数(割合)が多いほど大きくなる評価値Vを算出して評価レ
ベルを決定することで、重要度の高い管理条件を満たさない利用者端末10が存在するシステム1Aについては、低い評価レベル(セキュリティレベル)を付与でき、安全性の高さに応じた評価を評価対象システム1Aに対して下すことができる。
ベルを決定することで、重要度の高い管理条件を満たさない利用者端末10が存在するシステム1Aについては、低い評価レベル(セキュリティレベル)を付与でき、安全性の高さに応じた評価を評価対象システム1Aに対して下すことができる。
この場合、評価レベルに応じて書出もしくは送信制限の内容を変更することが可能である。
たとえば、
評価レベル5:制限無く電子ファイルの書出もしくは送信、
評価レベル4:電子ファイルについて暗号化して書出もしくは送信し、上述した管理条件を満たした場合に管理サーバ側より復号化に必要なパスワードが送信される。
評価レベル3:電子ファイルの書出もしくは送信が中止される。
評価レベル2:電子ファイルの書出もしくは送信の際に送信宛先が管理サーバに変更される。
評価レベル1:電子ファイルの書出もしくは送信禁止され、該当する電子ファイルは利用者端末から削除される。
などの段階的な電子ファイルの書出もしくは送信制限が可能である。
たとえば、
評価レベル5:制限無く電子ファイルの書出もしくは送信、
評価レベル4:電子ファイルについて暗号化して書出もしくは送信し、上述した管理条件を満たした場合に管理サーバ側より復号化に必要なパスワードが送信される。
評価レベル3:電子ファイルの書出もしくは送信が中止される。
評価レベル2:電子ファイルの書出もしくは送信の際に送信宛先が管理サーバに変更される。
評価レベル1:電子ファイルの書出もしくは送信禁止され、該当する電子ファイルは利用者端末から削除される。
などの段階的な電子ファイルの書出もしくは送信制限が可能である。
ここで、この場合に、個人情報ファイルについて書出もしくは送信の制限を課すことが可能である。また、評価レベルと、個人情報Prのランクとの和や積に応じて、書出もしくは送信の制限の内容を変更することも可能である。
なお、電子ファイルについて暗号化して書出もしくは送信し、上述した管理条件を満たした場合には、送出制限エージェントファイルが管理サーバにアクセスし、管理サーバ側より復号化に必要なパスワードが該利用者端末もしくは電子ファイル送信先に送信される。
このとき、環境情報収集エージェントファイルを管理サーバ20から複数の利用者端末10に送信し、各利用者端末10において環境情報収集エージェントファイルを実行させることで当該利用者端末10における環境情報を管理サーバ20に収集することが可能である。従って、管理サーバ20は、環境情報収集エージェントファイルを作成し、その環境情報収集エージェントファイルを評価対象システム1Aに属する複数の利用者端末10に対して一斉に送信するだけで、複数の利用者端末10における環境情報を極めて容易に収集することができる。
さらに、第一,第二電子教育エージェントファイルや評価結果に応じた電子教育エージェントファイルを管理サーバ20から各利用者端末10に送信し、各利用者端末10においてこれらの電子教育エージェントファイルを実行させることで、セキュリティ全般についての電子教育や違反事項についての電子教育のほか、評価結果に応じた電子教育を当該利用者端末10の利用者に対して実行させることが可能である。従って、管理サーバ20は、第一電子教育エージェントファイルや評価結果に応じた電子教育エージェントファイルを評価対象ネットワーク10に属する複数の利用者端末10に対して一斉に送信するだけで、複数の利用者端末10に対するセキュリティ全般についての電子教育や評価結果に応じた電子教育を極めて容易に実行することができるほか、第二電子教育エージェントファイルを違反者の利用者端末10に対して送信するだけで、違反者に対する違反事項についての詳細な電子教育を極めて容易に実行することができる。これにより、企業内システム1Aにおけるセキュリティ上の利用者教育(社員教育)を徹底して行なうことが可能になる。
なお、定期的に収集される環境情報に基づいて、複数の利用者端末10(評価対象システム1A)についてのセキュリティレベル(安全度合い)を定期的に評価し、その定期的
な評価結果を複数の利用者端末10の利用者や管理者等に通知することにより、利用者や管理者等は、企業内システム1Aのセキュリティ状況を定期的に把握することができ、その企業内システム1Aについて安全な環境の確保・維持に寄与することになる。
な評価結果を複数の利用者端末10の利用者や管理者等に通知することにより、利用者や管理者等は、企業内システム1Aのセキュリティ状況を定期的に把握することができ、その企業内システム1Aについて安全な環境の確保・維持に寄与することになる。
また、管理条件を満たしていないと管理サーバにより判断された利用者端末では、電子ファイルの書出もしくは送信を制限することで、違反者の端末からの書出もしくは送信による情報の拡散が有効に防止される。この場合、管理条件を満たす利用者端末では、書出もしくは送信についての制限は生じないため、利用者端末の使用について、何ら支障をきたすことはない。
また、管理サーバにより判断された管理条件の程度に応じて、電子ファイルの書出もしくは送信の制限を変更することによっても、違反者の端末からの書出もしくは送信による情報の拡散が適切、かつ、有効に防止される。また、管理条件を満たす利用者端末では、書出もしくは送信についての制限は生じないため、利用者端末の使用について、何ら支障をきたすことはない。
そして、第二電子教育を実行させる利用者端末に対して、書出もしくは送信の制限(書出中止もしくは送信中止、あるいは、個人情報を除いた状態にした書出もしくは送信)を実行することで、違反者の端末からの書出もしくは送信による情報の拡散が有効に防止される。また、第二電子教育を受けず第一電子教育を受けただけの利用者端末では、書出もしくは送信についての制限は生じないため、利用者端末の使用について、何ら支障をきたすことはない。
すなわち、第二電子教育を受けている利用者端末では、電子ファイルの書出もしくは送信命令が発生した場合、送出制御手段が、該個人情報ファイルの書出もしくは送信を制限(書出中止もしくは送信中止、あるいは、個人情報を除いた状態にした書出もしくは送信)するよう制御する。これにより、個人情報ファイルが外部記憶媒体やネットワークに書出もしくは送信されなくなり、外部記憶媒体やネットワークを介した個人情報の流出が防止される。また、同様に、当該電子ファイルが個人情報ファイルであると判定されていれば、送出制御手段が、該個人情報ファイルの書出もしくは送信を制限(書出中止もしくは送信中止、あるいは、個人情報を除いた状態にした書出もしくは送信)するよう制御する。これにより、個人情報ファイルが外部記憶媒体やネットワークに書出もしくは送信されなくなり、外部記憶媒体やネットワークを介した個人情報の流出が防止される。
また、管理サーバをさらにそなえ、該管理サーバが、探査された個人情報ファイルに対する書出もしくは送信要求を管理することで、個人情報の書出もしくは送信による不用意な流出・漏洩や個人情報の不正利用などをより確実に防止することが可能になる。
〔B5〕その他:
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
例えば、上述した実施形態では、管理サーバ20を企業外部にそなえ、外部の管理サーバ20が、企業内システム1Aのセキュリティ評価および電子教育を行なうサービス(セキュリティ評価サービス)を企業内システム1Aに提供するように構成しているが、本発明は、これに限定されるものではなく、上述した管理サーバ20としての機能を企業内管理サーバ等にそなえ、この企業内管理サーバ等が、企業内システム1Aに対するサービスとしてではなく、企業内システム1Aを管理すべく、上述した企業内システム1Aのセキュリティ評価および電子教育を行なうように構成してもよい。
上述した環境情報収集エージェントファイル送信手段21,環境情報受信手段22,評価手段23,評価結果通知手段24,第一電子教育制御手段25,判断手段26,警告手段27および第二電子教育制御手段28としての機能(各手段の全部もしくは一部の機能)は、コンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラム(管理プログラム/セキュリティ評価サービス提供プログラム)を実行することによって実現される。
そのプログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体から管理プログラム/セキュリティ評価サービス提供プログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。
ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたプログラムを読み取るための手段とをそなえている。上記管理プログラム/セキュリティ評価サービス提供プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、環境情報収集エージェントファイル送信手段21,環境情報受信手段22,評価手段23,評価結果通知手段24,第一電子教育制御手段25,判断手段26,警告手段27および第二電子教育制御手段28としての機能を実現させるプログラムコードを含んでいる。また、その機能の一部は、アプリケーションプログラムではなくOSによって実現されてもよい。
さらに、第二実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROMなどのメモリ),外部記憶装置等や、バーコードなどの符号が書出もしくは送信された書出もしくは送信物等の、コンピュータ読取可能な種々の媒体を利用することもできる。
〔C〕第三実施形態:
〔C1〕第三実施形態の構成:
図16は本発明の第三実施形態としての管理システムの構成を示すブロック図で、この図16に示すように、第三実施形態の管理システム1は、複数のクライアント端末10のほかに情報管理サーバ20およびファイルアクセス管理サーバ30をそなえて構成され、これらの端末10およびサーバ20,30がネットワーク〔例えば、社内LAN(Local Area Network)〕40を介して相互に通信可能に接続されている。
〔C1〕第三実施形態の構成:
図16は本発明の第三実施形態としての管理システムの構成を示すブロック図で、この図16に示すように、第三実施形態の管理システム1は、複数のクライアント端末10のほかに情報管理サーバ20およびファイルアクセス管理サーバ30をそなえて構成され、これらの端末10およびサーバ20,30がネットワーク〔例えば、社内LAN(Local Area Network)〕40を介して相互に通信可能に接続されている。
各クライアント端末10は、企業等の社内において各社員(利用者)によって使用されるパーソナルコンピュータ(PC)等の端末装置によって構成され、図17〜図19を参照しながら後述するような機能構成を有している。
なお、クライアント端末10がノート型などの携帯端末装置の場合には、社内だけでなく、社外でも使用されることがあり得る。
そして、このクライアント端末10は、ハードディスク装置や不揮発性メモリなどの記憶手段に各種電子ファイルや各種プログラムを保存することが可能に構成されており、こ
の電子ファイルとして後述する個人情報ファイルが存在する場合がある。
そして、このクライアント端末10は、ハードディスク装置や不揮発性メモリなどの記憶手段に各種電子ファイルや各種プログラムを保存することが可能に構成されており、こ
の電子ファイルとして後述する個人情報ファイルが存在する場合がある。
情報管理サーバ20は、複数のクライアント端末10およびファイルアクセス管理サーバ30とネットワーク40を介して相互に通信可能に接続され、各クライアント端末10における個人情報ファイルを管理するもので、図20を参照しながら後述するような機能構成を有している。
第三実施形態において、個人情報ファイルは、個人情報を含むレコードを所定数以上保有しているものであり、個人情報は、前述した通り、単体もしくは組合せによって特定の個人を識別することのできる情報(各種個人情報要素)、例えば氏名,生年月日,連絡先(住所,居所,電話番号,メールアドレス)などを含むものである。なお、個人情報としては、これら以外に、役職名,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号なども挙げられる。
ファイルアクセス管理サーバ30は、複数のクライアント端末10および情報管理サーバ20とネットワーク40を介して相互に通信可能に接続され、電子ファイル(第三実施形態では個人情報ファイル)に対するアクセスを管理するもので、図21を参照しながら後述するような機能構成を有している。
そして、第三実施形態では、複数のクライアント端末10としては、個人情報ファイルの探査を実行するための個人情報探査プログラム(後述)を常駐させている第一クライアント端末(個人情報探査プログラム常駐端末(情報管理端末))10Aと、前記個人情報探査プログラムを常駐させていない第二クライアント端末(個人情報探査プログラム非常駐端末)10Bとが混在している。第一クライアント端末10Aは、図17および図18を参照しながら後述するような機能構成を有し、第二クライアント端末10Bは、図19を参照しながら後述するような機能構成を有している。なお、以下の説明において、第一クライアント端末と第二クライアント端末とを特定する必要がある場合にはそれぞれ符号10A,10Bを使用し、特定する必要がない場合には符号10を使用する。
〔C1−1〕第三実施形態の第一クライアント端末の機能構成:
図17は第三実施形態の第一クライアント端末(個人情報探査プログラム常駐端末)10Aの機能構成を示すブロック図で、この図17に示すように、第三実施形態の第一クライアント端末10Aは、各種処理を実行するCPU(Central Processin Unit)10aと、個人情報等を含む電子ファイルを保持しうる記憶部10bとをそなえるほか、情報管理サーバ20から提供される検疫テーブル10cや、記憶部10bに保持される電子ファイルのPマーク(プライバシレベルマーク;個人情報ファイルである可能性の高さを示すレベルで、後述する判定値によって決定されるレベル)を保持するPマークテーブル10d、文字あるいは画像の表示を行う表示部10eをそなえて構成されている。また、後述するごとく、情報管理サーバ20から、CPU10aを後述する第一個人情報探査手段11として機能させるための個人情報探査プログラムをインストールされている。
図17は第三実施形態の第一クライアント端末(個人情報探査プログラム常駐端末)10Aの機能構成を示すブロック図で、この図17に示すように、第三実施形態の第一クライアント端末10Aは、各種処理を実行するCPU(Central Processin Unit)10aと、個人情報等を含む電子ファイルを保持しうる記憶部10bとをそなえるほか、情報管理サーバ20から提供される検疫テーブル10cや、記憶部10bに保持される電子ファイルのPマーク(プライバシレベルマーク;個人情報ファイルである可能性の高さを示すレベルで、後述する判定値によって決定されるレベル)を保持するPマークテーブル10d、文字あるいは画像の表示を行う表示部10eをそなえて構成されている。また、後述するごとく、情報管理サーバ20から、CPU10aを後述する第一個人情報探査手段11として機能させるための個人情報探査プログラムをインストールされている。
ここで、記憶部10bは、クライアント端末10A(10)に内蔵されるハードディスクや、クライアント端末10A(10)に接続・外付けされる記憶装置、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど),磁気ディスク,光ディスク,光磁気ディスクのほかICカード,ROMカートリッジ,磁気テープなどの記録媒体を用いる記憶装置である。なお、上述した検疫テーブル10cおよびPマークテーブル10dは、クライアント端末10Aを構成するRAM(Random Access Memory)やハードディスク等に保持されてもよいし、記憶部10bに保持されてもよい。
CPU10aは、第一個人情報探査手段11,検知手段12,第一制御手段13,アクセス監視手段14,プリント要求監視手段16,送受信手段15,プリント制御手段18および表示制御手段としての機能を果たすものである。そして、これらの機能は、CPU10aが、後述するごとく情報管理サーバ20からインストールされた個人情報探査プログラムや管理プログラムを実行することによって実現されるものとする。
第一個人情報探査手段11は、情報管理サーバ20からインストールされる個人情報探査プログラムを実行することにより、記憶部10bに保存されている電子ファイルをテキストファイルにするテキスト抽出エンジンとして機能するとともに、検疫テーブル10cを用いて記憶部10bにおけるデータの中から個人情報ファイルを探査する探査エンジンとして機能するものである。つまり、第一個人情報探査手段11は、情報管理サーバ20から指示された条件(検疫テーブル10c)に従って、第一クライアント端末10Aの記憶部10bに存在する各種電子ファイルを参照して個人情報ファイルの探査を行ない、個人情報ファイルであると判定された電子ファイルをログ(ローカルキャッシュデータベース)に書き出すものである。また、第三実施形態では、この第一個人情報探査手段11で得られた判定結果(判定値)に基づいて決定されたPマークがPマークテーブル10dに登録される。この第一個人情報探査手段11の機能構成の詳細については、図19を参照しながら後述する。
検知手段12は、第一クライアント端末10Aの記憶部10bに既に保存されている電子ファイルに対する変更や、その記憶部10bへの新たな電子ファイルの追加を検知するものである。
第一制御手段13は、第一個人情報探査手段11に、図22を参照しながら後述する手順で、最初(本管理システム1の立ち上げ時/個人情報探査プログラムのインストール時/第一クライアント端末10Aの新規接続時)に第一クライアント端末10Aの記憶部10bにおける全データを対象にして個人情報ファイルの探査を一度だけ実行させてから、図23を参照しながら後述するごとく、検知手段12により電子ファイルの追加・変更を検知する都度、個人情報探査プログラムを起動し、追加・変更された電子ファイルが個人情報ファイルであるか否かを判定するリアルタイム探査を第一個人情報探査手段11に実行させるものである。
アクセス監視手段14,は、第一個人情報探査手段11によって探査され個人情報ファイルであると判定された電子ファイル(Pマークを付与された電子ファイル)を監視し、その電子ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じた場合にはその旨をログ情報として書き出し送受信手段15を通じて情報管理サーバ20に通知するものである。
送受信手段15は、ネットワーク40を介して情報管理サーバ20(もしくはファイルアクセス管理サーバ30)との間で各種情報を送受信するもので、第一個人情報探査手段11による判定結果を情報管理サーバ20へ送信する送信手段として機能するものである。送受信手段15が上記送信手段として機能する際、判定結果(個人情報ファイルのリンク先情報や判定値など)を、前回送信した探査結果との差分を得て、その差分を情報管理サーバ20へ送信するほか、送信すべき情報を暗号化するように構成してもよい。
プリント要求監視手段16は、第一個人情報探査手段11によって探査され個人情報ファイルであると判定された電子ファイル(Pマークを付与された電子ファイル)を監視し、その電子ファイルに対するアクセスとしてのプリント要求が生じた場合にはその旨をログ情報として書き出し、プリント制御手段18や送受信手段15を通じて情報管理サーバ
20に通知するものである。
20に通知するものである。
プリント制御手段18は、電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を制限(個人情報ファイル全体のプリント中止、あるいは個人情報部分でのプリント中止)するものである。
表示制御手段19は、表示部10eへの表示用データの送出するものであり、電子ファイルが個人情報ファイルであると判定された場合に、クライアント端末10の位置などに応じて表示部10eへの表示用データの送出を制限する制御を行うものである。
なお、この第三実施形態において、プリント制御手段18は、周辺機器(プリンタ)に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段として作用する。同様に、表示制御手段19は、周辺機器(外部ディスプレイ)に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段として作用する。
〔C1−2〕第三実施形態の第二クライアント端末の機能構成:
図18は第三実施形態の第二クライアント端末(個人情報探査プログラム常駐非端末)10Bの機能構成を示すブロック図で、この図18に示すように、第三実施形態の第二クライアント端末10Bも、第一クライアント端末10Aと同様のCPU10aおよび記憶部10bをそなえて構成されているが、この第二クライアント端末10Bには、CPU10aを第一個人情報探査手段11として機能させるための個人情報探査プログラムがインストールされておらず、第二クライアント端末10BのCPU10aは、上述とほぼ同様のアクセス監視手段14,プリント要求監視手段16、送受信手段15、プリント制御手段18としての機能を果たすようになっている。
図18は第三実施形態の第二クライアント端末(個人情報探査プログラム常駐非端末)10Bの機能構成を示すブロック図で、この図18に示すように、第三実施形態の第二クライアント端末10Bも、第一クライアント端末10Aと同様のCPU10aおよび記憶部10bをそなえて構成されているが、この第二クライアント端末10Bには、CPU10aを第一個人情報探査手段11として機能させるための個人情報探査プログラムがインストールされておらず、第二クライアント端末10BのCPU10aは、上述とほぼ同様のアクセス監視手段14,プリント要求監視手段16、送受信手段15、プリント制御手段18としての機能を果たすようになっている。
その機能は、第二クライアント端末10Bに予めインストールされているプログラム、あるいは、情報管理サーバ20からインストールされたプログラムを実行することによって実現されるものとする。
第二クライアント端末10Bのアクセス監視手段14は、後述するごとく情報管理サーバ20側の第二個人情報探査手段204(図20参照)によって探査され個人情報ファイルであると判定された電子ファイル(Pマークを付与された電子ファイル)を監視し、その電子ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じた場合にはその旨をログ情報として書き出し送受信手段15を通じて情報管理サーバ20に通知するものである。
プリント要求監視手段16は、第二個人情報探査手段204(図20参照)によって探査され個人情報ファイルであると判定された電子ファイル(Pマークを付与された電子ファイル)を監視し、その電子ファイルに対するアクセスとしてのプリント要求が生じた場合にはその旨をログ情報として書き出し、プリント制御手段18や送受信手段15を通じて情報管理サーバ20に通知するものである。
プリント制御手段18は、電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を制限(ファイル全体のプリント中止、あるいは個人情報部分でのプリント中止)するものである。
ここで、第二個人情報探査手段204(図20参照)による判定結果であるPマークに関する情報を各電子ファイルにフラグとして付与しておき、アクセス監視手段14,プリント要求監視手段16がそのフラグを参照することで個人情報ファイル(Pマーク)を認識できるようにしてもよいし、第一クライアント端末10Aと同様のPマークテーブル1
0dを第二クライアント端末10Bにそなえておき、アクセス監視手段14,プリント要求監視手段16がそのPマークテーブル10dを参照することで個人情報ファイル(Pマーク)を認識できるようにしてもよい。
0dを第二クライアント端末10Bにそなえておき、アクセス監視手段14,プリント要求監視手段16がそのPマークテーブル10dを参照することで個人情報ファイル(Pマーク)を認識できるようにしてもよい。
また、第二クライアント端末10Bの送受信手段15は、第一クライアント端末10Aと同様、ネットワーク40を介して情報管理サーバ20(もしくはファイルアクセス管理サーバ30)との間で各種情報を送受信するもので、上述した通り、アクセス監視手段14によって監視されているアクセスのログを情報管理サーバ20に通知する機能を果たすほか、情報管理サーバ20からの要求に応じて、第二クライアント端末10Bにおける全てのファイルもしくは後述する差分ファイルを情報管理サーバ20に送信したり、第二クライアント端末10B(記憶部10b)における全てのファイルに関する情報(例えばファイル作成/更新日時,ファイルサイズ,ファイル名)の最新のものをファイルディレクトリから抽出して送信したりする機能も果たすようになっている。
なお、この第三実施形態において、プリント制御手段18は、周辺機器(プリンタ)に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段として作用する。同様に、表示制御手段19は、周辺機器(外部ディスプレイ)に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段として作用する。
〔C1−3〕第三実施形態の第一個人情報探査手段の詳細な機能構成:
図19は第三実施形態の第一クライアント端末10Aにおける第一個人情報探査手段11の詳細な機能構成を示すブロック図で、この図19に示すように、第三実施形態の第一個人情報探査手段11は、抽出手段111,切出手段112,第一判定手段113,文字判定手段114,照合手段115および第二判定手段116としての機能を有しており、これらの機能も、CPU10aが、後述するごとく情報管理サーバ20からインストールされた個人情報探査プログラムを実行することによって実現される。
図19は第三実施形態の第一クライアント端末10Aにおける第一個人情報探査手段11の詳細な機能構成を示すブロック図で、この図19に示すように、第三実施形態の第一個人情報探査手段11は、抽出手段111,切出手段112,第一判定手段113,文字判定手段114,照合手段115および第二判定手段116としての機能を有しており、これらの機能も、CPU10aが、後述するごとく情報管理サーバ20からインストールされた個人情報探査プログラムを実行することによって実現される。
抽出手段111は、記憶部10bにおける電子ファイル(判定対象ファイル)のテキストデータ〔例えばCSV(Comma Separated Value)形式のデータ〕を抽出するもので、
前記テキスト抽出エンジンとして機能するものである。
前記テキスト抽出エンジンとして機能するものである。
切出手段112は、抽出手段111によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出して、判定対象/照合対象としてバッファ(図示略)に順次書き出すものである。ここで、区切り文字は、例えば半角スペース,半角カンマ(半角カンマ+半角スペースも半角カンマと見なす),タブ文字(半角),CR(Carrige Return),LF(Line Feed)である。
また、切出手段112によって切り出される文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。第三実施形態では、切出手段112が、上述のような記号文字を除去する機能を有しているものとする。
第一判定手段113は、切出手段112によって切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、氏名以外の個人情報要素(具体的に第三実施形態では電話番号,電子メールアドレス,住所のうちのいずれか一つ)に該当するか否かを判定すべく、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cとしての機能をそなえている。なお、第三実施形態の第一判定手段113では、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で、上記文字列の判定処理を行なっている。
電話番号判定手段113aは、上記文字列が電話番号に該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている電話番号判定条件を満たす場合、上記文字列が電話番号に該当するものと判定し、その旨を第二判定手段116に通知し、上記文字列に対する第一判定手段113による判定処理を終了させるものである。第三実施形態において、電話番号判定条件は、上記文字列中に9〜15桁の数字が含まれていることとする。
電子メールアドレス判定手段113bは、電話番号判定手段113aによって上記文字列が電話番号に該当しないと判定された場合に、上記文字列が電話メールアドレスに該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている電子メールアドレス判定条件を満たす場合、上記文字列が電子メールアドレスに該当するものと判定し、その旨を第二判定手段116に通知し、上記文字列に対する第一判定手段113による判定処理を終了させるものである。第三実施形態において、電子メールアドレス判定条件は、上記文字列中に「一文字以上のASCII(American Standard Code for Information Interchange)」+「@(アットマーク)」+「一文字以上のASCII」+「.(ドット)」+「一文字以上のASCII」となる文字列が含まれていることとする。この場合、最短の電子メールアドレスは例えば「a@a.a」となる。
住所判定手段113cは、電子メールアドレス判定手段113bによって上記文字列が電子メールアドレスに該当しないと判定された場合に、上記文字列が住所(居所)に該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている住所判定条件を満たす場合、上記文字列が住所に該当するものと判定し、その旨を第二判定手段116に通知するものである。第三実施形態において、住所判定条件は、上記文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていることとする。このとき、CPU10aの演算処理能力が十分に高い場合には、上記文字列に加え、郵便番号に対応する7桁の数字が含まれていることを住所判定条件に加えてもよい。また、住所判定条件は、上述した条件に代え、上記文字列中に、郵便番号に対応する7桁ちょうどの数字列が含まれていること、あるいは、「3桁の数字列」+「−(ハイフン)」+「4桁の数字列」となる数字列が含まれていることとしてもよい。
文字判定手段114は、第一判定手段113によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合に、その文字列が、検疫テーブル10cに設定されている文字判定条件を満たすか否か、具体的には、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であるか否かを判定するものである。第三実施形態において、文字判定条件は、上述したように、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であることであるが、ここで、上記所定範囲は、氏名(苗字だけの場合や名前だけの場合を含む)の文字数として一般的(適切)な数の範囲、例えば1以上6以下に設定される。
照合手段115は、第一判定手段113によって電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された文字区間であって、さらに文字判定手段114によって上記所定範囲内であり且つ全ての文字が漢字であると判定された文字区間について、当該文字区間に含まれる文字/文字列と氏名において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列とを照合することにより、当該文字区間が不適切文字/不適切文字列を含むか否かを判定し、その照合判定結果を第二判定手段116に通知するものである。
ここで、不適切文字/不適切文字列は、検疫テーブル10cに予め設定されており、例えば、東京,大阪,横浜,九州,北海道,京都,首都,個人,学園,店,株,県,大学,
学院,東証,研究,管理,総務,経理,営業,統括,製薬,販売,学校,教育,専門,建築,機械,法人,工場,製,技術,商,図書,不明,次長,公開,出版,広告,放送,対象,卸売,小売,企画,人事,情報,部門,社長,取締,部長,課長,係長,役員,本社,支社,事業,業務,教務,精密,石油,運輸,経営,戦略,資材,技師,電気,生産,税務,広報,運送,主任,電算,財務,事務,開発,政策,制作,経済,産業,金融,銀行,調査,英語,品質,保証,設備,担当,主席,主事,監査,支援,設計,保険,金庫,事業,代表,交通,第一,第二,第三,第四,第五,第六,第七,第八,第九,特販,施設,氏名,郵便,名前,名称,市役,所属,特色,幼稚,基督,協会,教会,組合,教団,商工,全国,支部,連絡,議会,生活,消費,推進,市役所,区役所,総合,修正,機能,概要,構成,企業,組織,関連,削除,文書,期限,有効といった、一般的な氏名において出現し得ない文字/文字列、つまり氏名としては不適切な文字/文字列である。
学院,東証,研究,管理,総務,経理,営業,統括,製薬,販売,学校,教育,専門,建築,機械,法人,工場,製,技術,商,図書,不明,次長,公開,出版,広告,放送,対象,卸売,小売,企画,人事,情報,部門,社長,取締,部長,課長,係長,役員,本社,支社,事業,業務,教務,精密,石油,運輸,経営,戦略,資材,技師,電気,生産,税務,広報,運送,主任,電算,財務,事務,開発,政策,制作,経済,産業,金融,銀行,調査,英語,品質,保証,設備,担当,主席,主事,監査,支援,設計,保険,金庫,事業,代表,交通,第一,第二,第三,第四,第五,第六,第七,第八,第九,特販,施設,氏名,郵便,名前,名称,市役,所属,特色,幼稚,基督,協会,教会,組合,教団,商工,全国,支部,連絡,議会,生活,消費,推進,市役所,区役所,総合,修正,機能,概要,構成,企業,組織,関連,削除,文書,期限,有効といった、一般的な氏名において出現し得ない文字/文字列、つまり氏名としては不適切な文字/文字列である。
第二判定手段(判定手段)116は、第一判定手段113における電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cによる判定結果と照合手段115による照合判定結果とに基づいて、判定対象ファイルが個人情報ファイルであるか否かを判定するものである。
より具体的に説明すると、第二判定手段116は、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cからの判定結果の通知を受け電話番号,電子メールアドレス,住所のそれぞれに該当すると見なされた文字区間の数を計数するとともに、照合手段115からの照合判定結果を受け、照合手段115によって不適切文字/不適切文字列を含まないと判定された文字区間を氏名に該当するものと見なし、その数を計数する。
そして、第二判定手段116は、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数結果(4つの計数値;電話番号数,電子メールアドレス数,住所数,氏名数)に基づいて、これらの計数値が大きくなるほど大きくなる判定値を算出する。例えば、第二判定手段116は、4つの計数値の総和を上記判定値として算出してもよいし、電話番号,電子メールアドレス,住所,氏名のそれぞれについて重み係数を予め設定しておき、各個人情報要素についての重み係数と計数値との乗算結果の総和を上記判定値として算出してもよく、上記判定値の算出手法は種々考えられる。
上述のような判定値が算出されると、第二判定手段116は、その判定値に基づいて、判定対象ファイルが個人情報ファイルであるか否かを判定する。具体的には、前記判定値が所定閾値を超えた場合に判定対象ファイルが個人情報ファイルであると判定する。このような判定を行なう際に、第二判定手段116は、さらに、判定値の大きさに応じたPマーク(プライベートレベルマーク)を、判定対象ファイルに付与して、Pマークテーブル10dに設定・登録し、ランク付けを行なう。このPマークは、前述した通り、判定対象ファイルが個人情報ファイルである可能性の高さを示すレベルであり、判定値が大きいほどPマークは高いランクに設定される。
例えば、前記判定値が10以上となった場合、判定対象ファイルが個人情報ファイルであると判定する。また、前記判定値が10以上100未満である場合、Pマークとして“P1”を付与し、前記判定値が100以上1000未満である場合、Pマークとして“P2”を付与し、前記判定値が1000以上10000未満である場合、Pマークとして“P3”を付与し、前記判定値が10000以上である場合、Pマークとして“P4”を付与する。なお、個人情報ファイルを判定するための所定閾値やPマークを決定するための基準値は、情報管理サーバ20(後述する管理コンソール24)から適宜設定される。また、ここではPマークを“P1”〜“P4”の4つにランク分けしているが、ランク分けの数はこれに限定されるものではない。
なお、以上が一般的なPマークのランク付けであるが、さらに、以下のように扱うことも可能である。たとえば、病名(病歴)、病院名(通院歴、入院歴)、薬品名(投薬履歴)、年収、職業、前科(犯罪履歴)などの文字列が一般的な文章中に個人情報と関係なく出現しているときには何ら問題ないが、住所や氏名や電話番号や電子メールアドレスなどの個人情報と関連している場合には、他人に知られたくない個人情報であるとして、特に高いPマークレベルを設定する必要がある。
すなわち、病名(病歴)、病院名(通院歴、入院歴)、薬品名(投薬履歴)、年収、職業、前科(犯罪履歴)などの文字列と、住所や氏名や電話番号や電子メールアドレスなどの個人情報とが関連した文字列として存在する場合には、重み係数を特に大きく設定して計算したPマークを判定対象ファイルに付与して、Pマークテーブル10dに設定・登録し、ランク付けを行なう。
上述のように判定対象ファイルに付与されたPマーク(Pマークテーブル10d)は、送受信手段15およびネットワーク40を介して情報管理サーバ20へ送信され、図20を参照しながら後述するごとく、収集手段23によりデータベース20bに保存される。そして、Pマークを付与された電子ファイル(判定対象ファイル/個人情報ファイル)は、そのPマークのランクに応じて、情報管理サーバ20(後述する個人情報管理手段208)により個人情報ファイルとして後述するごとく管理される。
また、以上のように電子ファイルが個人情報ファイルであると判定された場合に、記憶手段としてのPマークテーブル10dに、上述したPマークの情報に関連づけされた状態で、当該電子ファイルの個人情報に該当する箇所(電子ファイル中のアドレス)が記憶される。
〔C1−4〕第三実施形態の個人情報管理サーバの機能構成:
図20は第三実施形態の情報管理サーバ20の機能構成を示すブロック図で、この図20に示すように、第三実施形態の情報管理サーバ20は、各種処理を実行するCPU20aと、各クライアント端末10からのログ情報や個人情報ファイルなどを格納・保存するデータベース(RDB:Relational DataBase)20bと、このデータベース20bに保
存されたログ情報や個人情報を含む各種情報を表示する表示部20cとをそなえて構成されている。
図20は第三実施形態の情報管理サーバ20の機能構成を示すブロック図で、この図20に示すように、第三実施形態の情報管理サーバ20は、各種処理を実行するCPU20aと、各クライアント端末10からのログ情報や個人情報ファイルなどを格納・保存するデータベース(RDB:Relational DataBase)20bと、このデータベース20bに保
存されたログ情報や個人情報を含む各種情報を表示する表示部20cとをそなえて構成されている。
CPU20aは、クライアント情報収集手段201,インストール手段202,収集手段203,第二個人情報探査手段204,差分抽出手段205,第二制御手段206,管理コンソール207,個人情報管理手段208,表示制御手段209,送受信手段210およびデジタル署名手段211としての機能を果たすもので、これらの機能は、CPU20aが、個人情報管理サーバ用プログラム(個人情報探査プログラムを含む)を実行することによって実現される。
クライアント情報収集手段201は、本管理システム1の立ち上げ時や、新規のクライアント端末10をネットワーク40に接続した時など、個人情報ファイルの探査・管理を開始する際に、ネットワーク40および送受信手段210を介して通信可能に接続されたクライアント端末10からクライアント情報(ホスト情報)を収集し、個人情報ファイルの探査・管理対象のクライアント端末10を認識するものである。その際、各クライアント端末10が、上述した個人情報探査プログラムのインストールを要求しているか否か(個人情報探査プログラムの常駐を望むか否か)についての情報も収集される。
インストール手段202は、ネットワーク40に接続されたクライアント端末10(1
0B)に対し、当該クライアント端末10(10B)の利用者からの要求に応じて、上述した個人情報探査プログラムを、ネットワーク40および送受信手段210を介してインストールするものである。このインストール手段202によって個人情報探査プログラムをインストールされたクライアント端末10が第一クライアント端末(個人情報探査プログラム常駐端末)10Aとなり、個人情報探査プログラムをインストールされなかったクライアント端末10が第二クライアント端末(個人情報探査プログラム非常駐端末)10Bとなる。
0B)に対し、当該クライアント端末10(10B)の利用者からの要求に応じて、上述した個人情報探査プログラムを、ネットワーク40および送受信手段210を介してインストールするものである。このインストール手段202によって個人情報探査プログラムをインストールされたクライアント端末10が第一クライアント端末(個人情報探査プログラム常駐端末)10Aとなり、個人情報探査プログラムをインストールされなかったクライアント端末10が第二クライアント端末(個人情報探査プログラム非常駐端末)10Bとなる。
収集手段203は、ネットワーク40および送受信手段210を介して、第一クライアント端末10Aで実行された個人情報ファイルの探査結果(個人情報ファイルのリンク先情報,判定値,Pマークなど)を受信・収集し、データベース20bに格納する機能を果たすほか、第二クライアント端末10Bにおける個人情報ファイルの探査を行なうべく、初回探査時に、第二クライアント端末10Bにおける全てのファイルを、ネットワーク40および送受信手段210を介して吸い上げる機能や、初回探査時以後の定期探査時に、第二クライアント端末10Bにおける差分ファイル(後述)を、ネットワーク40および送受信手段210を介して吸い上げる機能や、初回探査時や定期探査時に、第二クライアント端末10Bにおける最新のファイル情報(後述)を、ネットワーク40および送受信手段210を介して吸い上げる機能も果たすものである。
第二個人情報探査手段204は、上述した個人情報探査プログラムをCPU20aで実行することにより、ネットワーク40を介して第二クライアント端末10Bにおける個人情報ファイルの探査を行なうもので、第三実施形態では、収集手段203により第二クライアント端末10Bから吸い上げられたファイルを判定対象とし、そのファイルが個人情報ファイルであるか否かの判定を行なう。
この第二個人情報探査手段204も、上述した第一個人情報探査手段11と同様、判定対象ファイルをテキストファイルにするテキスト抽出エンジンとして機能するとともに、データベース20bにおける検疫テーブル20b−1(上述した第一クライアント端末10Aにおける検疫テーブル10cと同じもの)を用いて第二クライアント端末10Bの記憶部10bにおけるデータの中から個人情報ファイルを探査する探査エンジンとして機能するものである。つまり、第二個人情報探査手段204は、検疫テーブル20b−1に従って、第二クライアント端末10Bの記憶部10bに存在する各種電子ファイルを参照して個人情報ファイルの探査を行ない、個人情報ファイルであると判定された電子ファイルをログに書き出すものである。また、第三実施形態では、この第二個人情報探査手段204で得られた判定結果(判定値)に基づいて決定されたPマークが、データベース20bにおけるPマークテーブル20b−2(上述した第一クライアント端末10AにおけるPマークテーブル10dと同様のもの)に登録される。
なお、第二個人情報探査手段204も、図19に示した第一個人情報探査手段11と同様の機能構成を有しているが、第二個人情報探査手段204では、抽出手段111には記憶部10bに代えて収集手段203が接続され、検疫テーブル10cおよびPマークテーブル10dに代えて検疫テーブル20b−1およびPマークテーブル20b−2が用いられる。また、第二判定手段116には、送受信手段15に代えて送受信手段210が接続され、第二個人情報探査手段204による判定結果は、第二クライアント端末10Bに通知されるようになっている。
そして、以上のようにして第二クライアント端末10Bに通知された判定結果と、当該電子ファイルの個人情報に該当する箇所(電子ファイル中のアドレス)のデータとが、記憶部10bなどの記憶手段に記憶される。
ここで、情報管理サーバ20のデータベース20bには、第一クライアント端末10Aに提供すべき検疫テーブル10cと同じ検疫テーブル20b−1と、第一クライアント端末10の第一個人情報探査手段11による判定結果(Pマーク)および第二個人情報探査手段204による判定結果(Pマーク)を保持するPマークテーブル20b−2と、後述する電子ファイル情報保存手段20b−3とがそなえられている。
ファイル情報保存手段20b−3は、初回探査時や定期探査時に、収集手段203によって第二クライアント端末10Bから吸い上げられた最新のファイル情報を、第二個人情報探査手段204により最後に個人情報ファイルの定期探査を行なった時点での、第二クライアント端末10Bにおける電子ファイルに関する情報として保存するものである。ここで、ファイル情報は、上述した通り、第二クライアント端末10B(記憶部10b)における全てのファイルに関する情報、具体的にはファイル作成/更新日時,ファイルサイズ,ファイル名である。
差分抽出手段205は、定期探査時に、第二クライアント端末10Bにおける電子ファイルに関する最新情報(最新ファイル情報)とファイル情報保存手段20b−3に保存されている情報(最後に個人情報ファイルの定期探査を行なった時点でのファイル情報)とを比較し、最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更された電子ファイルを、差分ファイルとして、ネットワーク40,送受信手段410および収集手段203を介して第二クライアント端末10Bから定期的に抽出するものである。
第二制御手段206は、第二個人情報探査手段204に、図22を参照しながら後述する手順で、最初(本管理システム1の立ち上げ時/第二クライアント端末10Bの新規接続時)に第二クライアント端末10Bの記憶部10bにおける全データを対象にして個人情報ファイルの探査を一度だけ実行させてから、図25を参照しながら後述するごとく、定期探査タイミングになる都度、個人情報探査プログラムを起動し、差分抽出手段205により抽出された差分ファイルが個人情報ファイルであるか否かを判定する定期探査を第二個人情報探査手段204に実行させるものである。
管理コンソール207は、個人情報ファイルの判定条件(上記検疫テーブル10c,20b−1や、個人情報ファイルやPマークを判定するために必要になる所定閾値など)を設定して管理するものである。検疫テーブル10c,20b−1には、上述した電話番号判定条件,電子メールアドレス判定条件,住所判定条件,文字判定条件(上記所定範囲)や不適切文字/不適切文字列が設定される。
個人情報管理手段208は、収集手段203によって収集されデータベース20bに格納された探査結果に基づいて、各クライアント端末10(10A,10B)における個人情報ファイルを管理するもので、個人情報探査手段11,204で個人情報ファイルであると判定された電子ファイル(Pマークの付与された電子ファイル;以下、個人情報ファイルという)を管理対象としている。
この個人情報管理手段208は、データベース20bのPマークテーブル20b−2に登録されている個人情報ファイルの判定値(またはPマーク)に応じて、個人情報ファイルの利用者(保有者)に注意情報/警告情報を通知したり、個人情報ファイルを、その個人情報ファイルを保存しているクライアント端末10から強制的に捕獲・回収したり、その個人情報ファイルがクライアント端末10から外部へ出力されるのを強制的に禁止したり、その個人情報ファイルを管理者のみがアクセス可能なフォルダ(図示略)に格納したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させたりするものである。
例えば、Pマークのランクが“P1”である場合、警告情報によるリコメンドは行なわないが“P1”の個人情報ファイルが存在することをログとして記録する。Pマークのランクが“P2”である場合、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報を通知する。Pマークのランクが“P3”である場合、その個人情報ファイルを保管している利用者が存在する旨を、システム管理者に対し警告情報としてメール等により通知するとともに、その個人情報ファイルの返却を利用者に指示する。Pマークのランクが“P4”である場合、その個人情報ファイルをクライアント端末10から強制的に捕獲・回収したり、個人情報ファイルがクライアント端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させたりする。なお、Pマークのランクが“P4”でなくても、“P3”の個人情報ファイルが所定日数放置された場合には、その個人情報ファイルに対して、Pマークのランクが“P4”である場合と同様の処置を実行するようにしてもよい。
また、個人情報管理手段208は、各クライアント端末10もしくはデータベース20bに格納された個人情報ファイルを種々の確度で探査する機能や、表示制御手段26によってその探査結果等を表示部20cに表示させる機能を有している。
表示制御手段209は、表示部20cに各種情報を表示させるべく表示部20cの表示状態を制御するものであり、送受信手段210は、ネットワーク40を介して各クライアント端末10との間で各種情報を送受信するものである。
デジタル署名手段211は、第一個人情報探査手段11もしくは第二個人情報探査手段204によって探査された個人情報ファイルに対し、デジタル署名を付与するものである。ここで、デジタル署名は、デジタル文書の正当性を保証するために付けられる暗号化された署名情報で、公開鍵暗号方式の応用によって、デジタル文書(ここでは個人情報ファイル)の作成者を証明し、且つその文書が改竄されていないことを保証するものである。署名者(情報管理サーバ20側の管理者)は、自身の秘密鍵を用いて暗号化した署名をデジタル文書に付加して送る。受取人(クライアント端末10側の利用者)は、署名者の公開鍵を用いて署名を復号し、正しい内容かどうか確認する。これにより、第三者による偽造防止のほか、署名者がそのデジタル文書を作成したことの証明にも用いることができる。
なお、第一クライアント端末10Aの個人情報ファイルについては、第一クライアント端末10Aからネットワーク40を介して情報管理サーバ20へ送信され、デジタル署名手段211によってデジタル署名を付与されてから第一クライアント端末10Aに返送され、デジタル署名を付与されていない元の個人情報ファイルは削除されることになる。また、第二クライアント端末10Bの個人情報ファイルは、情報管理サーバ20側での判定後にデジタル署名手段211によってデジタル署名を付与されてから第二クライアント端末10Bに返送され、デジタル署名を付与されていない元の個人情報ファイルは削除されることになる。
〔C1−5〕第三実施形態のファイルアクセス管理サーバの機能構成:
図21は第三実施形態のファイルアクセス管理サーバ30の機能構成を示すブロック図で、この図20に示すように、第三実施形態のファイルアクセス管理サーバ30は、例えば、情報管理サーバ20(個人情報管理手段208)から指示された個人情報ファイル(Pマークのランクが“P4”の個人情報ファイル)を管理対象とするもので、各種処理を実行するCPU30aと、後述するごとく暗号鍵や復号鍵などを保存する記憶部30bとをそなえて構成されている。なお、ここでは、Pマークのランクが“P4”の個人情報フ
ァイルを管理対象としているが、Pマークのランクに関係なく、個人情報探査手段11,204によって個人情報ファイルであると判定された全ての電子ファイルをファイルアクセス管理サーバ30の管理対象としてもよい。
図21は第三実施形態のファイルアクセス管理サーバ30の機能構成を示すブロック図で、この図20に示すように、第三実施形態のファイルアクセス管理サーバ30は、例えば、情報管理サーバ20(個人情報管理手段208)から指示された個人情報ファイル(Pマークのランクが“P4”の個人情報ファイル)を管理対象とするもので、各種処理を実行するCPU30aと、後述するごとく暗号鍵や復号鍵などを保存する記憶部30bとをそなえて構成されている。なお、ここでは、Pマークのランクが“P4”の個人情報フ
ァイルを管理対象としているが、Pマークのランクに関係なく、個人情報探査手段11,204によって個人情報ファイルであると判定された全ての電子ファイルをファイルアクセス管理サーバ30の管理対象としてもよい。
CPU30aは、後述する送受信手段31,変換手段32,暗号化手段33および判定手段34としての機能を果たすもので、これらの機能は、CPU30aが、ファイルアクセス管理サーバ用のプログラムを実行することによって実現される。また、記憶部30bは、後述するごとく、個人情報ファイルを暗号化するための暗号鍵や、暗号化された個人情報ファイルを復号化するための復号鍵や、暗号化された個人情報ファイルに対するアクセス権限(後述)や、予め登録されている利用者〔暗号化ファイルの閲覧を許可された登録者(社員)〕のユーザID/パスワードなどを保存するもので、例えばハードディスクやRAMによって構成されている。
送受信手段31は、ファイルアクセス管理サーバ30が本来有している通信機能によって実現されるものであって、後述する個人情報ファイル受信手段31a,暗号化ファイル送信手段31b,認証情報受信手段31cおよび復号鍵送信手段31dとしての機能を果たす。
個人情報ファイル受信手段31aは、情報管理サーバ20からネットワーク30経由で管理対象の個人情報ファイルを受信するものである。
変換手段32は、個人情報ファイル受信手段31aによって受信された管理対象の個人情報ファイルを、改竄操作の困難なPDF(Portable Document Format)ファイル等の完成文書ファイルに変換するものである。この変換手段32は例えばPDFドライバによって実現され、このPDFドライバを起動することにより、個人情報ファイルがPDF化され、完成文書ファイルとしてのPDFファイルが生成されるようになっている。
変換手段32は、個人情報ファイル受信手段31aによって受信された管理対象の個人情報ファイルを、改竄操作の困難なPDF(Portable Document Format)ファイル等の完成文書ファイルに変換するものである。この変換手段32は例えばPDFドライバによって実現され、このPDFドライバを起動することにより、個人情報ファイルがPDF化され、完成文書ファイルとしてのPDFファイルが生成されるようになっている。
暗号化手段33は、変換手段32で得られたPDFファイルを、所定の暗号鍵を用いて暗号化するものである。
暗号化ファイル送信手段31bは、暗号化手段33によって暗号化(鍵掛け)されたファイル(以下、暗号化ファイルという)を、ネットワーク40経由で情報管理サーバ20に送信するものである。
暗号化ファイル送信手段31bは、暗号化手段33によって暗号化(鍵掛け)されたファイル(以下、暗号化ファイルという)を、ネットワーク40経由で情報管理サーバ20に送信するものである。
なお、ファイルアクセス管理サーバ30による管理に際しては、上述のような暗号化手段33による暗号化時に、ポリシー設定によって、各暗号化ファイルに対する各種アクセス権限(閲覧,印刷,コピー等の権限)が利用者毎や暗号化ファイル毎に設定される。その際、システム運用を簡易化すべく1種類のポリシを設定し、そのポリシ設定によって、全ての暗号化ファイルに対する各クライアント端末10でのアクセス権限〔例えば、本システム1を導入している社内の全社員/全利用者(ファイルアクセス管理サーバ30に登録されている全登録者)のアクセス権限〕として、閲覧権限のみを自動的(強制的)に設定・付与し、閲覧以外のアクセス、例えば印刷,コピー,別名保存,画面キャプチャ(スクリーンショット)などのアクセスを一切行なえないようにしてもよい。
認証情報受信手段31cは、クライアント端末10もしくは情報管理サーバ20での暗号化ファイルに対するアクセス時にクライアント端末10もしくは情報管理サーバ20からネットワーク40経由で送信されてくる認証情報を受信するものである。ここで、認証情報は、暗号化ファイルを開こうとしているクライアント端末10もしくは情報管理サーバ20の利用者がその暗号化ファイルの正当な送信先(利用者/登録者)であることをファイルアクセス管理サーバ30で判定・認証するために必要な情報であり、ファイルアクセス管理サーバ30によるサービスの利用者についてこのファイルアクセス管理サーバ30(記憶部30b)に予め登録されたユーザIDおよびパスワードを含んでいる。これら
のユーザIDおよびパスワードは、暗号化ファイルを開く際に利用者がキーボードやマウスを操作することにより入力される。
のユーザIDおよびパスワードは、暗号化ファイルを開く際に利用者がキーボードやマウスを操作することにより入力される。
判定手段34は、認証情報受信手段31cによって受信された認証情報に基づいて、認証情報を送信したクライアント端末10/情報管理サーバ20が暗号化ファイルの正当な送信先であるか否かを判定するもので、実際には、利用者によって入力されたユーザIDおよびパスワードが、ファイルアクセス管理サーバ30の記憶部30bに予め登録・保存されているユーザIDおよびパスワードと一致するか否かを判定することにより、その利用者が正当な登録者であるか否かを判定・認証するものである。
復号鍵送信手段31dは、判定手段34によって利用者が正当な登録者であることが認証された場合に、暗号化ファイルを復号化するための復号鍵を記憶部30bから読み出してクライアント端末10もしくは情報管理サーバ20にネットワーク40経由で送信するものである。
そして、クライアント端末10もしくは情報管理サーバ20においては、ファイルアクセス管理サーバ30から復号鍵を受信すると、その復号鍵を用いて暗号化ファイルの復号化を行ない元の個人情報ファイルを復元し、復元された個人情報ファイルに対し、与えられたアクセス権限に応じたアクセス(例えば閲覧)が行なわれるようになる。
〔C2〕第三実施形態の管理システムの動作:
次に、図22〜図28を参照しながら、上述のごとく構成された第三実施形態の管理システム1の動作について説明する。
次に、図22〜図28を参照しながら、上述のごとく構成された第三実施形態の管理システム1の動作について説明する。
〔C2−1〕個人情報探査手段の動作:
第三実施形態の個人情報探査手段11,204では、以下のように、電話番号,電子メールアドレス,住所および氏名の出現頻度をそれぞれ数値化し、個人情報ファイルの特定・探査を行なっている。その際、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれている場合、その文字区間は、個人情報要素(第三実施形態では氏名)には該当しないものと見なされて除外される一方、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれていない場合、その文字区間は、個人情報をなす個人情報要素に該当するものと見なされて、つまり個人情報要素が出現したものと見なされ、出現回数のカウントアップを行なっている。
第三実施形態の個人情報探査手段11,204では、以下のように、電話番号,電子メールアドレス,住所および氏名の出現頻度をそれぞれ数値化し、個人情報ファイルの特定・探査を行なっている。その際、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれている場合、その文字区間は、個人情報要素(第三実施形態では氏名)には該当しないものと見なされて除外される一方、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれていない場合、その文字区間は、個人情報をなす個人情報要素に該当するものと見なされて、つまり個人情報要素が出現したものと見なされ、出現回数のカウントアップを行なっている。
第三実施形態の第一クライアント端末10Aもしくは情報管理サーバ20において、上述した個人情報探査手段11,204(個人情報探査プログラム)によって実行される、初回の個人情報ファイルの探査動作の一連の手順を、図22に示すフローチャート(ステップS102〜S118)に従って説明する。
第三実施形態の管理システム1を構築する際には、まず、情報管理サーバ20として機能すべきコンピュータに個人情報管理サーバ用プログラムをインストールし、そのコンピュータが個人情報管理サーバ用プログラムを実行することにより情報管理サーバ20としての機能を果たす。そして、個人情報ファイルの探査・管理を開始する際には、情報管理サーバ20により、図25(ステップS402,S403,S411)を参照しながら後述するごとく個人情報探査プログラムの常駐を希望するクライアント端末10に対しネットワーク40経由で個人情報探査プログラムがインストールされる。このようにインストールされた個人情報探査プログラムを第一クライアント端末10AのCPU10aで実行することにより、CPU10aが個人情報探査手段11,検知手段12,第一制御手段1
3,アクセス監視手段14,送受信手段、および、プリント要求監視手段16としての機能を果たす。なお、個人情報探査プログラムをインストールする際には、検疫テーブル10cも併せて送信される。また、個人情報探査プログラムは、個人情報管理サーバ用プログラムに予め含まれており、その個人情報探査プログラムがクライアント端末10にインストールされるとともに、その個人情報探査プログラムを情報管理サーバ20で実行することにより、情報管理サーバ20のCPU20aが第二個人情報探査手段204としての機能を果たす。
3,アクセス監視手段14,送受信手段、および、プリント要求監視手段16としての機能を果たす。なお、個人情報探査プログラムをインストールする際には、検疫テーブル10cも併せて送信される。また、個人情報探査プログラムは、個人情報管理サーバ用プログラムに予め含まれており、その個人情報探査プログラムがクライアント端末10にインストールされるとともに、その個人情報探査プログラムを情報管理サーバ20で実行することにより、情報管理サーバ20のCPU20aが第二個人情報探査手段204としての機能を果たす。
そして、図22は、本管理システム1の立ち上げ時/個人情報探査プログラムのインストール時/第一クライアント端末10Aの新規接続時に、第一クライアント端末10Aにおいて、第一個人情報探査手段11によって実行される、初回の個人情報ファイルの探査動作の手順、もしくは、本管理システム1の立ち上げ時/第二クライアント端末10Bの新規接続時に、情報管理サーバ20において、第二個人情報探査手段204によって実行される、初回の個人情報ファイルの探査動作の手順を示している。
クライアント端末10の全てのデータの中から、まだ判定対象となっていない電子ファイルが判定対象ファイルとして一つ選択されて読み出され(ステップS102)、その判定対象ファイルから抽出手段(テキスト抽出エンジン)111によりテキストデータが抽出される(ステップS103)。
このように抽出されたテキストからは、切出手段112により、上述した区切り文字で区切られる文字区間が切り出され、判定対象/照合対象としてバッファ(図示略)に順次書き出される(ステップS104)。文字区間の切り出しに際し、前述したように、切出手段112により、文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。
そして、切出手段112によって切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当するか否かを、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cによって順次判定する(ステップS105,S107,S109)。
まず、電話番号判定手段113aにより、上記文字列が電話番号に該当するか否かが判定される(ステップS105)。その際、上記文字列が検疫テーブル10cに設定されている電話番号判定条件を満たしていれば、つまり上記文字列中に9〜15桁の数字が含まれていれば、上記文字列が電話番号に該当するものと判定され(ステップS105のYESルート)、その旨が第二判定手段116に通知され、この第二判定手段116において、電話番号の出現回数に対応する計数値が1だけカウントアップされ(ステップS106)、ステップS114の処理へ移行する。
上記文字列が電話番号に該当しないと判定された場合(ステップS105のNOルート)、電子メールアドレス判定手段113bにより、上記文字列が電話メールアドレスに該当するか否かが判定される(ステップS107)。その際、上記文字列が検疫テーブル10cに設定されている電子メールアドレス判定条件を満たしていれば、つまり上記文字列中に「一文字以上のASCII」+「@」+「一文字以上のASCII」+「.」+「一文字以上のASCII」となる文字列が含まれていれば、上記文字列が電子メールアドレスに該当するものと判定され(ステップS107のYESルート)、その旨が第二判定手段116に通知され、この第二判定手段116において、電子メールアドレスの出現回数に対応する計数値が1だけカウントアップされ(ステップS108)、ステップS114の処理へ移行する。
上記文字列が電子メールアドレスに該当しないと判定された場合(ステップS107のNOルート)、住所判定手段113cにより、上記文字列が住所(居所)に該当するか否かが判定される(ステップS109)。その際、上記文字列が検疫テーブル10cに設定されている住所判定条件を満たしていれば、つまり上記文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていれば、上記文字列が住所に該当するものと判定され(ステップS109のYESルート)、その旨が第二判定手段116に通知され、この第二判定手段116において、住所(居所)の出現回数に対応する計数値が1だけカウントアップされ(ステップS110)、ステップS114の処理へ移行する。
上記文字列が住所に該当しないと判定された場合(ステップS109のNOルート)、つまり第一判定手段113によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合、文字判定手段114により、その文字列が、検疫テーブル10cに設定されている文字判定条件(文字数が1以上6以下であり全ての文字が漢字であること)を満たすか否かが判定される(ステップS111)。この文字判定条件を満たさない場合(ステップS111のNOルート)、ステップS114の処理へ移行する。
一方、この文字判定条件を満たす場合(ステップS111のYESルート)、照合手段115により、当該文字区間(上記文字列)に含まれる文字/文字列と検疫テーブル10cに設定されている氏名についての不適切文字/不適切文字列とが照合され、当該文字区間に不適切文字/不適切文字列が含まれるか否かが判定される(ステップS112)。当該文字区間に、一つでも不適切文字/不適切文字列と一致する文字/文字列が存在した場合(ステップS112のYESルート)には、その時点不適切文字/不適切文字列との照合処理を直ちに終了し、ステップS114の処理へ移行する。
また、当該文字区間に不適切文字/不適切文字列が含まれていない場合(ステップS112のNOルート)、その照合判定結果が第二判定手段116に通知され、この第二判定手段116において、当該文字区間が氏名に該当するものと見なされ、氏名の出現回数に対応する計数値が1だけカウントアップされ(ステップS113)、ステップS114の処理へ移行する。
ステップS114では、判定対象ファイルから抽出されたテキストデータから未だ切り出されていない文字区間の有無が判定され、有る場合(YESルート)には、ステップS104に戻り、上述と同様の処理(ステップS104〜S113)を繰り返し実行する。このようにして全ての文字区間がテキストデータから切り出され全ての文字区間に対する判定処理,照合処理,計数処理等を終了すると(ステップS114のNOルート)、第二判定手段116において、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数値に基づいて、上述した判定値が算出される(ステップS115)。
そして、第二判定手段116においては、ステップS115で算出された判定値に基づいて、上述したように、判定対象ファイルが個人情報ファイルであるか否かが判定されるとともに、Pマークのランク付け(第三実施形態では“P1”〜“P4”の4つ)が行なわれる(ステップS116)。
この後、クライアント端末における全ての電子ファイルについて個人情報の探査を行なったか否かを判定し(ステップS117)、まだ未探査の電子ファイルが存在する場合(ステップS117のNOルート)、ステップS102に戻り上述と同様の処理を実行する一方、全ての電子ファイルについて探査を完了した場合(ステップS117のYESルー
ト)、ステップS116での個人情報ファイルの判定結果やPマークのランク付けの結果は、Pマークテーブル10dもしくは20b−2に登録され、送受信手段15およびネットワーク40を介して情報管理サーバ20に送信され、情報管理サーバ20において、収集手段203によりデータベース20bに登録・保存される(ステップS118)。また、第二クライアント端末10Bの判定結果等については、第二個人情報探査手段204からデータベース20bに登録・保存する(ステップS118)。このようなステップS118の処理完了後、個人情報ファイルの探査動作を終了する。
ト)、ステップS116での個人情報ファイルの判定結果やPマークのランク付けの結果は、Pマークテーブル10dもしくは20b−2に登録され、送受信手段15およびネットワーク40を介して情報管理サーバ20に送信され、情報管理サーバ20において、収集手段203によりデータベース20bに登録・保存される(ステップS118)。また、第二クライアント端末10Bの判定結果等については、第二個人情報探査手段204からデータベース20bに登録・保存する(ステップS118)。このようなステップS118の処理完了後、個人情報ファイルの探査動作を終了する。
〔C2−2〕第一クライアント端末(個人情報探査プログラム常駐端末)の動作:
次に、図23に示すフローチャート(ステップS21〜S26)に従って、第一クライアント端末10Aの動作について説明する。より具体的に、ここでは、図22を参照しながら上述した初回の個人情報ファイルの探査後に第一クライアント端末10Aで実行される、リアルタイム探査動作およびアクセス監視動作について説明する。
次に、図23に示すフローチャート(ステップS21〜S26)に従って、第一クライアント端末10Aの動作について説明する。より具体的に、ここでは、図22を参照しながら上述した初回の個人情報ファイルの探査後に第一クライアント端末10Aで実行される、リアルタイム探査動作およびアクセス監視動作について説明する。
第一クライアント端末10Aでは、検知手段12により、記憶部10bに既に保存されている電子ファイルに対する変更やその記憶部10bへの新たな電子ファイルの追加が監視されており(ステップS21)、ファイルの追加・変更が検知されると(ステップS21のYESルート)、その都度、第一制御手段13により直ちに個人情報探査プログラムが起動され(ステップS22)、第一個人情報探査手段11により、追加・変更された電子ファイルを判定対象ファイルとして図22のステップS103〜S116による判定処理を実行する(ステップS23)。これにより、追加・変更された電子ファイルが個人情報ファイルであるか否かを判定するリアルタイム探査が実行され、判定結果が情報管理サーバ20に通知される(ステップS24)。
また、第一クライアント端末10Aでは、アクセス監視手段14により、個人情報ファイル(つまり、Pマークを付与された電子ファイル/第一個人情報探査手段11により個人情報ファイルであると判定された電子ファイル)が監視されており(ステップS25)、その個人情報ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じると(ステップS21のNOルートからステップS25のYESルート)、その旨が、ログ情報として書き出され、送受信手段15およびネットワーク40を介して情報管理サーバ20に送信され(ステップS26)、情報管理サーバ20において、収集手段203によりデータベース20bに登録・保存される。
また、第一クライアント端末10Aでは、プリント要求監視手段16により、個人情報ファイル(つまり、Pマークを付与された電子ファイル/第一個人情報探査手段11により個人情報ファイルであると判定された電子ファイル)が監視されており(図23中のステップS25、図29中のステップS1401)、その個人情報ファイルに対するアクセスがプリント要求であれば(図29中のステップS1402でYES)、Pマークの有無が調べられる。
そして、電子ファイルにPマークの付与があれば(図29中のステップS1403でYES)、プリント要求監視手段16からの指示を受けたプリント制御手段18が、制限状態でプリントを実行する(図29中のステップS1404)。
すなわち、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するよう制御する。
ここで、「不可視状態」とは、該当する文字を見えなくした状態、あるいは、該当する文字を極めて認識しづらくした状態である。具体的には、文字色変更(文字色を地の色(白など)と同じ状態にする)、塗りつぶし(文字周辺を文字色と同じ色で塗りつぶす)、文字置換(黒丸あるいは黒四角などの一定文字への置き換え、一定の法則に従って文字コ
ードを別な文字コードにシフトさせて意味をなさない文字への置き換え)、などの各種の処理が該当する。また、これら、幾つかの処理を組み合わせて実行してもよい。
ここで、「不可視状態」とは、該当する文字を見えなくした状態、あるいは、該当する文字を極めて認識しづらくした状態である。具体的には、文字色変更(文字色を地の色(白など)と同じ状態にする)、塗りつぶし(文字周辺を文字色と同じ色で塗りつぶす)、文字置換(黒丸あるいは黒四角などの一定文字への置き換え、一定の法則に従って文字コ
ードを別な文字コードにシフトさせて意味をなさない文字への置き換え)、などの各種の処理が該当する。また、これら、幾つかの処理を組み合わせて実行してもよい。
ここで、黒丸や黒四角などの他の文字に置換した場合、文字の存在自体は可視状態であるが、情報の内容としては不可視状態であり、本願明細書における不可視状態の一態様である。
たとえば、図30(a)と図30(b)の2種類のデータが存在するとする。ここで、データ#Aは病院のデータであり、個人情報ではないため、Pマークは付与されない。一方、データ#Bは氏名と通院歴と投薬データを含む個人情報であり、Pマークが付与される。
ここで、データ#Aとデータ#Bとの両方をプリントする場合には、以下のようにプリントの処理を実行する。
たとえば、地の色が透明あるいは白で、文字色が黒であれば、図30(c)のように個人情報に該当する文字色を白くするか、あるいは、図31のように個人情報に該当する文字と共に文字周辺を黒色で塗りつぶした状態にする。これにより、個人情報ファイルの個人情報部分が紙媒体にプリントアウトされなくなり、紙媒体を介した個人情報の流出が防止される。
たとえば、地の色が透明あるいは白で、文字色が黒であれば、図30(c)のように個人情報に該当する文字色を白くするか、あるいは、図31のように個人情報に該当する文字と共に文字周辺を黒色で塗りつぶした状態にする。これにより、個人情報ファイルの個人情報部分が紙媒体にプリントアウトされなくなり、紙媒体を介した個人情報の流出が防止される。
また、Pマークのランクに応じて、高いレベルの個人情報ファイルについては、個人情報ファイル全体のプリントを禁止、あるいは、不可視状態でのプリントとしてもよい。この図30や図31の例であれば、氏名だけでなく、薬品名、病院名、あるいは、全体もあわせて不可視状態としてもよい。
また、Pマークのランクに応じて、低いPマークであれば、図32のように、少なくとも個人情報部分に、複写不可とする透かしを入れた状態でプリントする。これにより、プリントされた原本では読み取ることが可能であるものの、複写ができないようになる。この場合も、氏名部分のみ、あるいは、他の部分、全体、と必要に応じて制限する部分を決定することができる。
あるいは、透かしの代わりに、個人情報の部分については、複写できない程度の薄い濃度でプリントすることも可能である。
また、電子ファイルにPマークの付与がなければ(図29中のステップS1403でNO)、プリント要求監視手段16からの指示を受けたプリント制御手段18が、制限なし状態でプリントを実行する(図29中のステップS1405)。
また、電子ファイルにPマークの付与がなければ(図29中のステップS1403でNO)、プリント要求監視手段16からの指示を受けたプリント制御手段18が、制限なし状態でプリントを実行する(図29中のステップS1405)。
また、その個人情報ファイルに対するアクセスが表示部10eへの表示要求(閲覧要求)であれば(図29中のステップS1406でYES)、表示制御手段19によりPマークの有無が調べられる(図29中のステップS1407)。
ここで、電子ファイルにPマークの付与がなければ(図29中のステップS1407でNO)、表示制御手段19が、制限なし状態で表示部10eに電子ファイルの表示を実行する(図29中のステップS1409)。
そして、電子ファイルにPマークの付与があれば(図29中のステップS1407でYES)、表示制御手段19は、CPU10aが取得しているクライアント端末10の位置が所定の位置(たとえば、社内)であるか否かを判定する(図29中のステップS1408)。このクライアント端末10の位置情報は、図示されないGPS装置からのGPS情報、携帯電話装置などから得た基地局情報、送受信手段15を介して得たネットワーク接
続時のIP情報などから得る。
続時のIP情報などから得る。
ここで、クライアント端末10の位置が予め定められた所定の位置(社内など)に存在していれば(図29中のステップS1408でYES)、表示制御手段19が、制限なし状態で表示部10eに電子ファイルの表示を実行する(図29中のステップS1409)。
また、クライアント端末10の位置が予め定められた所定の位置(社内など)に存在していなければ(図29中のステップS1408でNO)、表示制御手段19が、制限あり状態で表示部10eに電子ファイルの表示を実行する(図29中のステップS1410)。
すなわち、表示制御手段19から表示部10eへの該個人情報ファイルの送出時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にして表示部10eに表示するよう制御する。
ここで、不可視状態とは、文字色を背景の色と同じ状態にする(図30(c))、あるいは、文字周辺を文字色と同じ色で塗りつぶす(図31)、見えにくい透かしを付加する(図32)、意味のない一定の文字に置換する(図33)などの処理を実行する。
たとえば、地の色が透明あるいは白で、文字色が黒であれば、文字色を白くするか、あるいは、文字と共に文字周辺を黒色で塗りつぶした状態にするか、あるいは、文字を黒丸などの一定の文字に置換する。
これにより、個人情報ファイルの個人情報部分がディスプレイに表示されなくなり、表示媒体を介した個人情報の流出が防止される。また、個人情報部分を薄い色で表示したりすることも可能である。また、Pマークのランクに応じて、高いレベルの個人情報ファイルについては、個人情報ファイル全体の表示を禁止、あるいは、不可視状態での表示としてもよい。
なお、以上のプリントや表示における制限時に、単純に不可視状態にするだけでなく、個人情報ファイルであるためにプリントや表示ができない旨のメッセージをプリントや表示するようにしてもよい。
また、以上の具体例では、個人情報ファイルにおける個人情報の基本部分を不可視状態にする具体例を示してきたが、これに限定されるものではない。
たとえば、氏名と年収、氏名と病歴などのデータが存在する場合に、氏名部分を不可視状態にするのではなく、予め定められた設定、あるいは、プリント指示時の設定により、氏名を明らかにして、年収部分や病歴部分を不可視状態としてプリントしてもよい。すなわち、プリントの目的により、氏名部分が必要であるが、他の部分が不用の場合に、このような状態でプリントを実行する。
たとえば、氏名と年収、氏名と病歴などのデータが存在する場合に、氏名部分を不可視状態にするのではなく、予め定められた設定、あるいは、プリント指示時の設定により、氏名を明らかにして、年収部分や病歴部分を不可視状態としてプリントしてもよい。すなわち、プリントの目的により、氏名部分が必要であるが、他の部分が不用の場合に、このような状態でプリントを実行する。
ここで、第一クライアント端末10Aでは、プリント要求監視手段16により、個人情報ファイル(つまり、Pマークを付与された電子ファイル/第一個人情報探査手段11により個人情報ファイルであると判定された電子ファイル)が監視されており、その個人情報ファイルに対するアクセスがプリント要求であれば(図35中のステップS2001)、Pマークの有無、制限設定の有無や状態が調べられる(図35中のステップS2002)。
そして、電子ファイルにPマークの付与がなければ(図35中のステップS2003で
NO)、プリント要求監視手段16からの指示を受けたプリント制御手段18が、制限状態なしでプリントを実行する(図35中のステップS2009)。
NO)、プリント要求監視手段16からの指示を受けたプリント制御手段18が、制限状態なしでプリントを実行する(図35中のステップS2009)。
そして、電子ファイルにPマークの付与があれば(図35中のステップS2003でYES)、プリント制御手段18は制限の状態を調べ(図35中のステップS2004)、プリント全体が制限されていれば(図35中のステップS2004でNO(全体))、プリントを中止する。すなわち、電子ファイルをプリンタに送信しない(図35中のステップS2005)。
そして、電子ファイルにPマークの付与があれば(図35中のステップS2003でYES)、プリント制御手段18は制限の状態を調べ(図35中のステップS2004)、プリントの一部が制限されていれば(図35中のステップS2004でYES(一部))、制限の設定を調べる。この制限の設定は、予めなされているものでもよいし、予めなされていなければ、その場で利用者に問い合わせてもよい。
氏名部分を不可視状態にするような制限が設定されていれば、図31〜図33あるいは図34(b)のように氏名部分を不可視状態にして(図35中のステップS2007)、電子ファイルをプリンタに送信してプリントを実行する。
一方、図34(a)のような病名によるデータが存在する場合であって、必要に応じて氏名のプリントが必要な場合には、病名部分を不可視状態にする設定(図35中のステップS2006で氏名以外)により、図34(c)のように氏名以外を不可視状態にして(図35中のステップS2008)、プリントを実行する(図35中のステップS2009)。なお、年収、職業、所属派閥、などの場合にも同様に、氏名以外の部分を不可視と設定することが可能である。
また、この場合、氏名以外のデータに含まれる各種項目毎に、住所、年齢、性別、年収、病歴、負債の有無、負債額、預貯金額、などがある場合に、電子ファイル全体をプリント禁止、氏名部分を不可視にしてプリント、氏名以外の部分を不可視にしてプリント、氏名以外の特定の項目を指定して不可視にしてプリント、など、各種の変形が可能である。
また、各項目毎に、可視、不可視、薄くプリント(コピー不可)、などのように細かく設定することも可能である。そして、この図35における処理はプリントだけでなく、表示の場合も同様に行えばよい。
また、同じ項目の内部であっても、所定の年収未満あるいは以上の特定の所得者のみ年収の項目を不可視にする、あるいは、精神疾患など、特定の病名について不可視状態にする、といった設定を行うことも可能である。
〔C2−3〕第二クライアント端末(個人情報探査プログラム非常駐端末)の動作:
次に、図24に示すフローチャート(ステップS31〜S36)に従って、第二クライアント端末10Bの動作について説明する。より具体的に、ここでは、図22を参照しながら上述した初回の個人情報ファイルの探査後に第二クライアント端末10Bで実行される、ファイル/ファイル情報の送信動作およびアクセス監視動作について説明する。
次に、図24に示すフローチャート(ステップS31〜S36)に従って、第二クライアント端末10Bの動作について説明する。より具体的に、ここでは、図22を参照しながら上述した初回の個人情報ファイルの探査後に第二クライアント端末10Bで実行される、ファイル/ファイル情報の送信動作およびアクセス監視動作について説明する。
第二クライアント端末10Bでは、送受信手段15により、情報管理サーバ20からのファイル情報送信要求が監視されており(ステップS31)、ファイル情報送信要求を受けると(ステップS31のYESルート)、ファイルディレクトリを参照し、全ファイルの最新ファイル情報(例えばファイル作成/更新日時,ファイルサイズ,ファイル名)が送受信手段15およびネットワーク40を介して情報管理サーバ20に送信される(ステ
ップS32)。
ップS32)。
また、第二クライアント端末10Bでは、送受信手段15により、情報管理サーバ20からの定期探査時の差分ファイルの送信要求が監視されており(ステップS33)、ファイル送信要求を受けると(ステップS31のNOルートからステップS33のYESルート)、その送信要求に応じた差分ファイルが、記憶部10bから読み出され、送受信手段15およびネットワーク40を介して情報管理サーバ20に送信される(ステップS34)。
さらに、第二クライアント端末10Bでも、第一クライアント端末10Aと同様、アクセス監視手段14により、個人情報ファイル(つまり、Pマークを付与された電子ファイル/情報管理サーバ20の第二個人情報探査手段204により個人情報ファイルであると判定された電子ファイル)が監視されており(ステップS35)、その個人情報ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じると(ステップS33のNOルートからステップS35のYESルート)、その旨が、ログ情報として書き出され、送受信手段15およびネットワーク40を介して情報管理サーバ20に送信され(ステップS36)、情報管理サーバ20において、収集手段203によりデータベース20bに登録・保存される。
また、第二クライアント端末10Bでは、プリント制御手段18により、個人情報ファイル(つまり、Pマークを付与された電子ファイル/第二個人情報探査手段204により個人情報ファイルであると判定された電子ファイル)が監視されており(図23中のステップS25、図29中のステップS1401)、その個人情報ファイルに対するアクセスがプリント要求であれば(図29中のステップS1402でYES)、Pマークの有無が調べられる。
そして、電子ファイルにPマークの付与があれば(図29中のステップS1403でYES)、プリント制御手段18が、制限状態でプリントを実行する(図29中のステップS1404)。
すなわち、該個人情報ファイルのプリンタへの送信時に、図30〜図33に示したように、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するよう制御する。
ここで、不可視状態とは、文字色を地の色(白など)と同じ状態にする、あるいは、文字周辺を文字色と同じ色で塗りつぶす、などの処理を実行する。
たとえば、地の色が透明あるいは白で、文字色が黒であれば、文字色を白くするか、あるいは、文字と共に文字周辺を黒色で塗りつぶした状態にしたり、または、氏名などの個人情報部分を黒丸などの文字に置換する。
たとえば、地の色が透明あるいは白で、文字色が黒であれば、文字色を白くするか、あるいは、文字と共に文字周辺を黒色で塗りつぶした状態にしたり、または、氏名などの個人情報部分を黒丸などの文字に置換する。
これにより、個人情報ファイルの個人情報部分が紙媒体にプリントアウトされなくなり、紙媒体を介した個人情報の流出が防止される。また、Pマークのランクに応じて、高いレベルの個人情報ファイルについては、個人情報ファイル全体のプリントを禁止、あるいは、不可視状態でのプリントとしてもよい。
また、Pマークのランクに応じて、低いPマークであれば、図32のように、少なくとも個人情報部分に、複写不可とする透かしを入れた状態でプリントする。これにより、プリントされた原本では読み取ることが可能であるものの、複写ができないようになる。この場合も、氏名部分のみ、あるいは、他の部分、全体、と必要に応じて制限する部分を決定することができる。
また、電子ファイルにPマークの付与がなければ(図29中のステップS1403でNO)、プリント制御手段18が、制限なし状態でプリントを実行する(図29中のステップS1405)。
また、その個人情報ファイルに対するアクセスが表示部10eへの表示要求(閲覧要求)であれば(図29中のステップS1406でYES)、表示制御手段19によりPマークの有無が調べられる(図29中のステップS1407)。
ここで、電子ファイルにPマークの付与がなければ(図29中のステップS1407でNO)、表示制御手段19が、制限なし状態で表示部10eに電子ファイルの表示を実行する(図29中のステップS1409)。
そして、電子ファイルにPマークの付与があれば(図29中のステップS1407でYES)、表示制御手段19は、CPU10aが取得しているクライアント端末10の位置が所定の位置(たとえば、社内)であるか否かを判定する(図29中のステップS1408)。このクライアント端末10の位置情報は、図示されないGPS装置からのGPS情報、携帯電話装置などから得た基地局情報、送受信手段15を介して得たネットワーク接続時のIP情報などから得る。
ここで、クライアント端末10の位置が予め定められた所定の位置(社内など)に存在していれば(図29中のステップS1408でYES)、表示制御手段19が、制限なし状態で表示部10eに電子ファイルの表示を実行する(図29中のステップS1409)。
また、クライアント端末10の位置が予め定められた所定の位置(社内など)に存在していなければ(図29中のステップS1408でNO)、表示制御手段19が、制限あり状態で表示部10eに電子ファイルの表示を実行する(図29中のステップS1410)。
すなわち、表示制御手段19から表示部10eへの該個人情報ファイルの送出時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にして表示部10eに表示するよう制御する。
ここで、不可視状態とは、文字色を背景の色と同じ状態にする(図30(c))、あるいは、文字周辺を文字色と同じ色で塗りつぶす(図31)、見えにくい透かしを付加する(図32)、意味のない一定の文字に置換する(図33)、などの処理を実行する。
たとえば、地の色が透明あるいは白で、文字色が黒であれば、文字色を白くするか、あるいは、文字と共に文字周辺を黒色で塗りつぶした状態にしたり、または、氏名などの個人情報部分を黒丸などの文字に置換する。
これにより、個人情報ファイルの個人情報部分がディスプレイに表示されなくなり、表示媒体を介した個人情報の流出が防止される。また、個人情報部分を薄い色で表示したりすることも可能である。また、Pマークのランクに応じて、高いレベルの個人情報ファイルについては、個人情報ファイル全体の表示を禁止、あるいは、不可視状態での表示としてもよい。
なお、以上のプリントや表示における制限時に、単純に不可視状態にするだけでなく、個人情報ファイルであるためにプリントや表示ができない旨のメッセージをプリントや表
示するようにしてもよい。
示するようにしてもよい。
また、この第二クライアント端末10Bにおいても、第一クライアント端末10Aの場合と同様に、氏名と年収、氏名と病歴などのデータが存在する場合に、氏名部分を不可視状態にするのではなく、予め定められた設定、あるいは、プリント指示時の設定により、氏名を明らかにして、年収部分や病歴部分を不可視状態としてプリントしてもよい。すなわち、プリントの目的により、氏名部分が必要であるが、他の部分が不用の場合に、このような状態でプリントを実行する。
そして、このような設定に基づく不可視処理はプリントだけでなく、表示の場合も同様に行えばよい。
また、同じ項目の内部であっても、所定の年収未満あるいは以上の特定の所得者のみ年収の項目を不可視にする、あるいは、精神疾患など、特定の病名について不可視状態にする、といった設定を行うことも可能である。
また、同じ項目の内部であっても、所定の年収未満あるいは以上の特定の所得者のみ年収の項目を不可視にする、あるいは、精神疾患など、特定の病名について不可視状態にする、といった設定を行うことも可能である。
〔C2−4〕個人情報管理サーバの動作:
次に、情報管理サーバ20の動作について、図25に示すフローチャート(ステップS401〜S428)および図26に示すフローチャート(ステップS501〜S511)に従って説明する。
次に、情報管理サーバ20の動作について、図25に示すフローチャート(ステップS401〜S428)および図26に示すフローチャート(ステップS501〜S511)に従って説明する。
情報管理サーバ20においては、本管理システム1の立ち上げ、または、ネットワーク40に対するクライアント端末10の新規接続を認識すると(ステップS401のYESルート)、クライアント情報収集手段201により、ネットワーク40を介して通信可能に接続されたクライアント端末10からクライアント情報が収集される(ステップS402)。
収集されたクライアント情報から個人情報探査プログラムのインストール要求を発行しているクライアント端末10の有無が認識され(ステップS403)、インストール要求を発行しているクライアント端末10が存在しない場合(ステップS403のNOルート)、個人情報探査プログラムをインストールされていない第二クライアント端末10Bの一つから、ネットワーク40,送受信手段210および収集手段203を介して、その第二クライアント端末10Bの記憶部10bにおける全ファイルを吸い上げ、第二クライアント端末10Bにおける最新ファイル情報とともに受信する(ステップS404)。
この後、当該第二クライアント端末10Bの全ファイルに対する初回の個人情報ファイルの探査を図22に示したステップS102〜S117の手順に従って実行し(ステップS405)、これにより得られた判定結果やPマークのランク付けの結果は、第二個人情報探査手段204からデータベース20bに登録・保存される(ステップS406,S117)。このとき、第二クライアント端末10Bから送信されてきた最新ファイル情報が、最後の定期探査時のファイル情報として、データベース20bのファイル情報保存手段20b−3に登録・保存される(ステップS407)。
そして、全ての第二クライアント端末10Bに対する初回探査を完了したか否かを判定し(ステップS408)、まだ未探査の第二クライアント端末10Bが存在する場合(ステップS408のNOルート)、ステップS404に戻り上述と同様の処理を実行する一方、全ての第二クライアント端末10Bに対する初回探査を完了した場合(ステップS408のYESルート)、データベース20bに登録・保存された探査結果〔ここではPマークレベル(ランク)〕に応じて、個人情報管理手段208により、各個人情報ファイルに対する管理・操作が行なわれる(ステップS409)。個人情報管理手段208による管理・操作の詳細については、図26を参照しながら後述する。
一方、インストール要求を発行しているクライアント端末10が存在する場合(ステップS403のYESルート)、そのクライアント端末10に対し、インストール手段202により、ネットワーク40経由で個人情報探査プログラムがインストールされる(ステップS410)。個人情報探査プログラムのインストール後、個人情報探査プログラムのインストール要求を発行していないクライアント端末10(つまり第二クライアント端末10B)の有無を認識し(ステップS411)、第二クライアント端末10Bが存在する場合(ステップS411のYESルート)、前述したステップS404〜S408と同様の処理を実行して第二クライアント端末10Bに対する初回探査を実行する(ステップS412)。
第二クライアント端末10Bが存在しない場合(ステップS411のNOルート)、もしくは、ステップS412による初回探査を完了した後、個人情報探査プログラムをインストールされた第一クライアント端末10Aにおいて個人情報探査プログラムを実行することにより行なわれた個人情報ファイルの初回探査の結果(個人情報ファイルのリンク先情報,判定値,Pマークなど)が、収集手段203により、ネットワーク40および送受信手段210を介して受信・収集され、データベース20bに登録・保存されるのを待機し(ステップS413)、第一クライアント端末10Aの初回探査結果が得られると(ステップS413のYESルート)、データベース20bに登録・保存された探査結果に応じて、個人情報管理手段208により、後述するごとく各個人情報ファイルに対する管理・操作が行なわれる(ステップS409)。
また、情報管理サーバ20が、第一クライアント端末10Aからリアルタイム探査結果を受信したことを認識すると(ステップS401のNOルートからステップS414のYESルート)、データベース20bに登録・保存されたリアルタイム探査結果に応じて、個人情報管理手段208により、後述するごとく各個人情報ファイルに対する管理・操作が行なわれる(ステップS409)。
さらに、情報管理サーバ20が、第二クライアント端末10Bに対する定期探査を実行するタイミングを認識すると(ステップS414のNOルートからステップS415のYESルート)、定期探査対象の第二クライアント端末10Bに対し、最新のファイル情報を送信するようファイル情報送信要求を発行し、第二クライアント端末10Bからネットワーク40,送受信手段210および収集手段203を介して第二クライアント端末10Bにおける全てのファイルについての最新ファイル情報(ファイル作成/更新日時,ファイルサイズ,ファイル名)を取得する(ステップS416)。
そして、差分抽出手段205により、ステップS416で取得された最新ファイル情報と、ファイル情報保存手段20b−3に保存されている、前回(最後に)個人情報ファイルの定期探査を行なった時点での当該第二クライアント端末10Bについてのファイル情報とを比較し、ファイル作成/更新日時,ファイルサイズ,ファイル名の変化の有無を判定する(ステップS417)。これにより、これらの情報が新規追加されたファイルや、これらの情報の少なくとも一部が変更されている電子ファイル、つまり最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更された電子ファイルが、差分ファイルとして認識されることになる(ステップS418)。
差分ファイルが存在することが認識された場合(ステップS418のYESルート)、当該第二クライアント端末10Bに対し、追加・変更された電子ファイル(差分ファイル)を送信するようファイル送信要求を発行し、当該第二クライアント端末10Bからネットワーク40,送受信手段210および収集手段203を介して差分ファイルを受信・抽出する(ステップS419)。
この後、第二制御手段206により個人情報探査プログラムが起動され(ステップS420)、第二個人情報探査手段204により、差分ファイルを判定対象ファイルとして図22のステップ103〜S116による判定処理を実行する(ステップS421)。これにより、差分ファイルが個人情報ファイルであるか否かを判定する定期探査が実行され、その判定結果(定期探査結果)がデータベース20bに登録・保存される(ステップS422)。
このとき、ステップS416で取得された最新ファイル情報は、最後に個人情報ファイルの定期探査を行なった時点でのファイル情報として、データベース20bのファイル情報保存手段20b−3に登録・保存される(ステップS423)。
そして、データベース20bに登録・保存された定期探査結果に応じて、個人情報管理手段208により、後述するごとく各個人情報ファイルに対する管理・操作が行なわれる(ステップS409)。
一方、情報管理サーバ20では、ネットワーク40に既に接続されている第二クライアント端末10Bから、個人情報探査プログラムのインストール要求を受けると(ステップS415のNOルートからステップS424のYESルート)、その第二クライアント端末10Bに対し、インストール手段202により、ネットワーク40経由で個人情報探査プログラムがインストールされる(ステップS425)。
これにより、第二クライアント端末10Bには、個人情報探査プログラムが常駐することになり、以降、第一クライアント端末10Aとして扱われることになる。このとき、データベース20bに保存されていた、その第一クライアント端末10Aに対応するPマークテーブル20b−2が、Pマークテーブル10dとして第一クライアント端末10Aに転送される(ステップS426)。
さらに、情報管理サーバ20において、クライアント端末10からアクセスログ情報(図23のステップS25や図24のステップS36で通知されたログ情報)を受信すると(ステップS424のNOルートからステップS427のYESルート)、そのアクセスログ情報が、データベース20bに記録・保存される(ステップS428)。
ついで、ステップS409で行なわれる、個人情報管理手段208による各個人情報ファイルに対する管理・操作について、図26を参照しながら説明する。
個人情報管理手段208では、データベース20bにおける初回探査結果,リアルタイム探査結果および定期探査結果(Pマークテーブル20b−2)を参照し、個人情報ファイル(Pマークを付与されたファイル)の有無を判定する(ステップS501)。
個人情報管理手段208では、データベース20bにおける初回探査結果,リアルタイム探査結果および定期探査結果(Pマークテーブル20b−2)を参照し、個人情報ファイル(Pマークを付与されたファイル)の有無を判定する(ステップS501)。
個人情報ファイルが存在する場合(ステップS501のYESルート)、その個人情報ファイルに対し、デジタル署名付与手段211によってデジタル署名を付与させた後(ステップS502)、個人情報ファイルの探査結果〔ここではPマークレベル(ランク)〕に応じて、個人情報管理手段208により、各個人情報ファイルに対する管理・操作が以下のように行なわれる(ステップS503〜S511)。
まず、Pマークレベル“P1”の個人情報ファイルの有無が判定され(ステップS503)、Pマークレベル“P1”の個人情報ファイルがある場合(ステップS503のYESルート)、その個人情報ファイルをアクセス監視対象(アクセスログの記録対象)として設定・登録する(ステップS504)。
Pマークレベル“P1”の個人情報ファイルがない場合(ステップS503のNOルート)、もしくは、ステップS504での登録後、Pマークレベル“P2”の個人情報ファイルの有無が判定され(ステップS505)、Pマークレベル“P2”の個人情報ファイルがある場合(ステップS505のYESルート)、その個人情報ファイルをアクセス監視対象として設定・登録するとともに、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報が通知される(ステップS506)。
Pマークレベル“P2”の個人情報ファイルがない場合(ステップS505のNOルート)、もしくは、ステップS506での注意情報通知後、Pマークレベル“P3”の個人情報ファイルの有無が判定され(ステップS507)、Pマークレベル“P3”の個人情報ファイルがある場合(ステップS507のYESルート)、その個人情報ファイルをアクセス監視対象として設定・登録するとともに、その個人情報ファイルを保管している利用者が存在する旨が、システム管理者に対し警告情報としてメール等により通知されるとともに、その個人情報ファイルの返却が利用者に指示される(ステップS508)。
Pマークレベル“P3”の個人情報ファイルがない場合(ステップS507のNOルート)、もしくは、ステップS508で警報情報通知および返却指示を行なった後、Pマークレベル“P4”の個人情報ファイルの有無が判定され(ステップS509)、Pマークレベル“P4”の個人情報ファイルがある場合(ステップS509のYESルート)、その個人情報ファイルがクライアント端末10から強制的に捕獲・回収され(ステップS510)、さらに、その個人情報ファイルをファイルアクセス管理サーバ30の管理下に置き、その個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させる(ステップS511)。Pマークレベル“P4”の個人情報ファイルがない場合(ステップS509のNOルート)、もしくは、ステップS511での処理終了後、処理を終了する。
なお、前述した通り、Pマークレベル“P4”の個人情報ファイルについては、その個人情報ファイルがクライアント端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したりしてもよい。また、Pマークレベル“P3”の個人情報ファイルが所定日数放置された場合、Pマークレベル“P4”の個人情報ファイルと同様の処置を実行してもよい。さらに、Pマークレベル“P1”〜“P4”の個人情報ファイルの全てをファイルアクセス管理サーバ30の管理下に置くようにしてもよい。
〔C2−5〕ファイルアクセス管理サーバの動作:
次に、図27および図28を参照しながら、ファイルアクセス管理サーバ30の動作について説明する。
次に、図27および図28を参照しながら、ファイルアクセス管理サーバ30の動作について説明する。
まず、図27に示すフローチャート(ステップS61〜S64)に従って、第三実施形態のファイルアクセス管理サーバ30による電子ファイル変換動作を説明する。
ファイルアクセス管理サーバ30において、ファイルアクセス管理サーバ30の管理下に置くように指示された個人情報ファイル(管理対象の電子ファイル)が、情報管理サーバ20(個人情報管理手段208)からネットワーク40経由で個人情報ファイル受信手段31aにより受信されると(ステップS61のYESルート)、その個人情報ファイルが、変換手段32によりPDFファイルに変換され(ステップS62)、さらに暗号化手段33により、所定の暗号鍵を用いて暗号化処理(鍵掛け処理)が行なわれる(ステップS63)。そして、暗号化ファイルは、暗号化ファイル送信手段31bによりネットワーク40経由で情報管理サーバ20に送信される(ステップS64)。
ファイルアクセス管理サーバ30において、ファイルアクセス管理サーバ30の管理下に置くように指示された個人情報ファイル(管理対象の電子ファイル)が、情報管理サーバ20(個人情報管理手段208)からネットワーク40経由で個人情報ファイル受信手段31aにより受信されると(ステップS61のYESルート)、その個人情報ファイルが、変換手段32によりPDFファイルに変換され(ステップS62)、さらに暗号化手段33により、所定の暗号鍵を用いて暗号化処理(鍵掛け処理)が行なわれる(ステップS63)。そして、暗号化ファイルは、暗号化ファイル送信手段31bによりネットワーク40経由で情報管理サーバ20に送信される(ステップS64)。
ついで、図28に示すフローチャート(ステップS71〜S75)に従って、第三実施
形態のファイルアクセス管理サーバ30による認証動作について説明する。
クライアント端末10の利用者や情報管理サーバ20の利用者(管理者)が、暗号化ファイルの内容を閲覧しようとする場合、その利用者によって認証情報が入力されファイルアクセス管理サーバ30へ送信される。そして、その認証情報がネットワーク40経由で認証情報受信手段31cにより受信されると(ステップS71のYESルート)、判定手段34は、認証情報に含まれるユーザIDによって記憶部30bを検索し、そのユーザIDに対応する登録パスワードを記憶部30bから読み出し、認証情報に含まれるパスワードと、記憶部30bから読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定(クライアント認証;ステップS72)を行なう。
形態のファイルアクセス管理サーバ30による認証動作について説明する。
クライアント端末10の利用者や情報管理サーバ20の利用者(管理者)が、暗号化ファイルの内容を閲覧しようとする場合、その利用者によって認証情報が入力されファイルアクセス管理サーバ30へ送信される。そして、その認証情報がネットワーク40経由で認証情報受信手段31cにより受信されると(ステップS71のYESルート)、判定手段34は、認証情報に含まれるユーザIDによって記憶部30bを検索し、そのユーザIDに対応する登録パスワードを記憶部30bから読み出し、認証情報に含まれるパスワードと、記憶部30bから読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定(クライアント認証;ステップS72)を行なう。
これらのパスワードが一致し、クライアント端末10もしくは情報管理サーバ20の利用者が正当な登録者(正当な送信先)であることが認証されると(ステップS73のYESルート)、復号鍵送信手段31dにより、暗号化ファイルを復号化するための復号鍵が記憶部30bから読み出され、そのクライアント端末10もしくは情報管理サーバ20にネットワーク40経由で送信される(ステップS74)。
そして、クライアント端末10もしくは情報管理サーバ20において、復号鍵が受信されると、その復号鍵を用いて暗号化ファイルが復号化されて元の個人情報ファイルが復元され、その個人情報ファイルに対し、予め与えられたアクセス権限に応じたアクセスが実行される。例えば、前述したようにアクセス権限として閲覧権限のみが与えられている場合、利用者は、復元された個人情報ファイルの内容を閲覧することはできるが、閲覧以外のアクセス、例えばプリンタによる印刷出力や他の記録媒体へのコピーや画面コピー(画面キャプチャ)や別名保存などのアクセスは一切行なうことができない。
一方、ファイルアクセス管理サーバ30の判定手段34によりパスワードが不一致であると判定された場合、もしくは、ユーザIDに対応する登録パスワードが記憶部30bに登録されていなかった場合には、利用者が正当な登録者(正当な送信先)ではないと判定され(ステップS73のNOルート)、ファイルアクセス管理サーバ30からクライアント端末10もしくは情報管理サーバ20にネットワーク40経由でエラー通知が行なわれる(ステップS75)。
なお、以上の第三実施形態の説明は、プリント制御手段18がプリンタに対するデバイスドライバ(周辺機器動作制御手段)として作用しており、同様に、表示制御手段19が外部ディスプレイに対してデバイスドライバとして作用している。
このため、図2ステップS1005〜S1007のように、所定の状態において、設定された制限に合わせて中止や一部不可視状態でプリントや表示を実行していた(図29S1404,S1405,S1409,S1410)。
これに対し、上述したPTPやMTPのようなデバイスドライバを介さない特定のプロトコルによる電子ファイルの転送の場合には、情報の拡散が生じやすいため、利用者端末10の制御手段としてのCPU110aが該プロトコルによる通信を検知した場合に、第二実施形態で説明した管理条件違反無しや詳細電子教育受講済みを条件にして、電子ファイルの送出を許可する(図2中のステップS1003,S1004,S1005,S1008)。
これにより、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する保護対象情報ファイルを確実に探査し管理可能な状態に置けるようにして、保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。これに加え、表示や印刷や周辺機器への保護対象情
報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。
報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。
〔C3〕第三実施形態の管理システムの効果:
このように、本発明の第三実施形態としての管理システム1によれば、個人情報探査プログラムを常駐させている第一クライアント端末10Aでは、ファイルの追加・変更が検知されると、個人情報探査プログラムが起動されてリアルタイム探査が実行され、追加・変更された電子ファイルが個人情報ファイルであるか否かの判定が行なわれ、その判定結果が情報管理サーバ20に送信される。これに対し、個人情報探査プログラムを常駐させていない第二クライアント端末10Bにおける電子ファイルについては情報管理サーバ20によって管理され、第二クライアント端末10Bにおける電子ファイルに関する最新情報と最後に個人情報ファイルの定期探査を行なった時点のファイルに関する情報との差分が定期的に監視され、その差分に対応する電子ファイルが第二クライアント端末10Bから情報管理サーバ20側に抽出されて(吸い上げられて)定期探査が実行され、吸い上げられたファイルが個人情報ファイルであるか否かの判定が情報管理サーバ20で行なわれる。
このように、本発明の第三実施形態としての管理システム1によれば、個人情報探査プログラムを常駐させている第一クライアント端末10Aでは、ファイルの追加・変更が検知されると、個人情報探査プログラムが起動されてリアルタイム探査が実行され、追加・変更された電子ファイルが個人情報ファイルであるか否かの判定が行なわれ、その判定結果が情報管理サーバ20に送信される。これに対し、個人情報探査プログラムを常駐させていない第二クライアント端末10Bにおける電子ファイルについては情報管理サーバ20によって管理され、第二クライアント端末10Bにおける電子ファイルに関する最新情報と最後に個人情報ファイルの定期探査を行なった時点のファイルに関する情報との差分が定期的に監視され、その差分に対応する電子ファイルが第二クライアント端末10Bから情報管理サーバ20側に抽出されて(吸い上げられて)定期探査が実行され、吸い上げられたファイルが個人情報ファイルであるか否かの判定が情報管理サーバ20で行なわれる。
これにより、個人情報探査プログラム常駐の端末10Aにおける個人情報ファイルついても、また、個人情報探査プログラム非常駐の端末10Bにおける個人情報ファイルについても、自動的に探査して情報管理サーバ20の管理下に置くことが可能になる。
その際、最初に、個人情報探査プログラム常駐の端末10Aにおいて全データを対象にして個人情報ファイルの探査を1回だけ実行するとともに個人情報探査プログラム非常駐の端末10Bについては情報管理サーバ20がネットワーク40を介して全データを対象にして個人情報ファイルの探査を1回だけ実行しておけば、それ以降は、上述のごとく、追加・変更された電子ファイルや差分ファイルに対する探査(判定)を行なうだけで、毎回、全てのデータを対象にした探査を行なうことなく、各端末10において新たに作成・追加された個人情報ファイルを、極めて効率よく確実に探査することができる。
従って、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイル(個人情報ファイルである可能性の高い電子ファイル)を確実に探査し管理可能な状態に置くことができる。従って、個人情報の開示要求や訂正要求に確実に対応できるようにするとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することを目的としている。
このとき、第二クライアント端末10Bにおける差分ファイルを抽出するための、ファイル情報としては、少なくともファイル作成/更新日時,ファイルサイズ,ファイル名を用いることができ、その情報を参照しその情報の変更・追加を認識するだけで、差分ファイルを極めて容易に認識して抽出することができる。
また、情報管理サーバ20が、ネットワーク40に接続されたクライアント端末10に対し、そのクライアント端末10の利用者からの要求に応じて個人情報探査プログラムをインストールするように構成することにより、クライアント端末10毎に、その利用者が個人情報探査プログラムの常駐/非常駐を選択して設定できるので、利用者が、メモリ容量や、他プログラムとの相性の問題などの理由で個人情報探査プログラムの非常駐を要望する場合、その要望に対応することができ、利便性が高められる。非常駐を選択・設定された端末は、上述した第二クライアント端末10Bとして取り扱われ、情報管理サーバ20による定期探査対象となる。
さらに、第三実施形態の管理システム1において探査された個人情報ファイルに対しデジタル署名を付与することにより、個人情報ファイルが改竄されていないことを保証する
ことができ、第三者による偽造を防止することができる。
ことができ、第三者による偽造を防止することができる。
また、第三実施形態の管理システム1において探査された個人情報ファイルは、各個人情報ファイルに付与されたPマーク(ランク/レベル)に応じ、情報管理サーバ20(個人情報管理手段208)によって管理され、個人情報ファイルをクライアント端末10(記憶部10b)から強制的に捕獲・回収したり、回収された個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したり、個人情報ファイルがクライアント端末10(記憶部10b)から外部へ出力されるのを強制的に禁止したり、個人情報ファイルの利用者(保有者)やシステム管理者に注意情報/警告情報を通知したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させたりすることが可能で、個人情報の不用意な流出・漏洩や個人情報の不正利用などをより確実に防止することができる。
さらに、各クライアント端末10においてアクセス監視手段14,プリント要求監視手段16により、個人情報ファイルであると判定された電子ファイル(第三実施形態ではPマークを付与されたファイル)が監視され、その電子ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更、あるいは、プリント要求など)が生じた場合にはその旨がログ情報として情報管理サーバ20に送信されデータベース20bに登録・保存されるので、個人情報ファイルである可能性の高い電子ファイルに対するアクセス(操作・変更履歴)が、情報管理サーバ20で追跡管理(トラッキング)されることになり、個人情報の不正利用をより確実に防止することができる。
一方、第三実施形態の管理システム1において、個人情報探査プログラムをコンピュータ(CPU10a,20a)で実行することによって実現される個人情報探査機能によれば、第二判定手段116において、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。
従って、第一判定手段113において電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についてのみ不適切文字/不適切文字列との照合処理が行なわれ、さらに、照合手段115において不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう従来手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探査処理を高速に行なうことが可能になる。
このとき、第一判定手段113において、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で文字区間における文字列の判定処理を行なうことで、判定処理をより高速に効率良く実行することが可能になる。
また、第二判定手段116において不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まない電子ファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高い電子ファイルを確実に探査することが可能になる。つまり、第三実施形態によって個人情報ファイルであると判定される電子ファイルの数は、従来手法に比べよりも多くなり、個人情報ファイルである可能性の高い電子ファイル(疑わしい電子ファイル)を確実に洗い出すことができる。
さらに、第三実施形態では、文字判定手段114により、文字区間の文字数が1以上6以下であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合手段115による照合対象としているので、照合手段115による照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が6を超える長い文字区間が、照合手段115による照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探査処理のさらなる高速化に寄与することになる。
そして、情報管理サーバ20が、上述した個人情報探査プログラムを実行することにより判定対象ファイル毎に算出された判定値(Pマーク)に応じて、判定対象ファイルや個人情報ファイルを管理することにより、判定対象ファイルや個人情報ファイル毎に、判定値レベル(個人情報ファイルである可能性の高さ/個人情報要素数の多さ)に応じた管理手法を選択して実行することができる。
そして、以上の第三実施形態において、PTPやMTPのようなデバイスドライバを介さない特定のプロトコルによる電子ファイルの転送の場合には、管理条件違反無しや詳細電子教育受講済みを条件に送出を許可することにより、該プロトコルによる情報の拡散が未然に防止される。
従って、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する保護対象情報ファイルを確実に探査し管理可能な状態に置けるようにして、保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。これに加え、表示や印刷や周辺機器への保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。
従って、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する保護対象情報ファイルを確実に探査し管理可能な状態に置けるようにして、保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。これに加え、表示や印刷や周辺機器への保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。
〔C4〕その他:
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
例えば、上述した実施形態では、個人情報ファイルを探査・管理する場合について説明したが、本発明は、企業内等で守秘情報(守秘義務のある情報)を探査・管理する場合にも上述と同様に適用され、上記実施形態と同様の作用効果を得ることができ、守秘情報の不用意な流出・漏洩や守秘情報の不正利用などを確実に防止することができる。その場合、不適切文字や不適切文字列としては、その守秘情報において出現し得ない文字もしくは文字列を設定することになる。
また、上述した実施形態では、氏名以外の個人情報要素が、電話番号,電子メールアドレス,住所の3要素である場合について説明したが、本発明は、これに限定されるものでなく、氏名以外の個人情報要素としては、例えば、生年月日,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号などを用いてもよい。
さらに、各クライアント端末10の個人情報探査手段11,204による探査(記憶部10bに保存されている全ての電子ファイルに対する探査)を完了しない間は、そのクライアント端末10の記憶部10bにおける電子ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更など;より具体的には、外部記録媒体への出力,メール添付など)を禁止するように構成してもよい。この場合、個人情報ファイルであると判定される電子ファイルの有無が確認され、個人情報ファイルであると判定された電子ファイルを情報管理サーバ20(もしくはファイルアクセス管理サーバ30)の管理下に置くまでは、そのクライアント端末10の記憶部10bにおける電子ファイルに対するアクセスが禁止されることになるので、より確実に個人情報の流出・漏洩を防止す
ることが可能になる。
ることが可能になる。
ところで、第一クライアント端末10Aにおける、上述した第一個人情報探査手段11,検知手段12,第一制御手段13,アクセス監視手段14,送受信手段,プリント要求監視手段16,プリント制御手段18および表示制御手段19としての機能(各手段の全部もしくは一部の機能)は、上述した通り、コンピュータ(CPU,情報処理装置,各種端末を含む)が、情報管理サーバ20からインストールされた所定のアプリケーションプログラム(個人情報探査プログラム)を実行することによって実現される。
また、情報管理サーバ20における、上述したクライアント情報収集手段201,インストール手段202,収集手段203,第二個人情報探査手段204,差分抽出手段205,第二制御手段206,管理コンソール207,個人情報管理手段208,表示制御手段209,送受信手段210およびデジタル署名手段211としての機能(各手段の全部もしくは一部の機能)は、上述した通りコンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラム(個人情報管理サーバ用プログラム)を実行することによって実現される。
個人情報探査プログラムを含む個人情報管理サーバ用プログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体から個人情報管理サーバ用プログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。
ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたコンピュータプログラムを読み取るための手段とをそなえている。
上記個人情報探査プログラムや上記個人情報管理サーバ用プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、個人情報探査手段11,(第一)制御手段13,アクセス監視手段14,送受信手段15,プリント要求監視手段16,プリント制御手段18,表示制御手段19,クライアント情報収集手段201,インストール手段202,収集手段203,第二個人情報探査手段204,差分抽出手段205,第二制御手段206,管理コンソール207,個人情報管理手段208,表示制御手段209,送受信手段210およびデジタル署名手段211としての機能を実現させるプログラムコードを含んでいる。また、その機能の一部はアプリケーションプログラムではなくOSによって実現されてもよい。
さらに、第三実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROM等のメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。
〔D〕第四実施形態:
〔D1〕第四実施形態の管理システムの概略:
ここで、第四実施形態について説明する。上述した第一実施形態の図1のブロック図に示される管理システムに適用することができるものである。
〔D1〕第四実施形態の管理システムの概略:
ここで、第四実施形態について説明する。上述した第一実施形態の図1のブロック図に示される管理システムに適用することができるものである。
すなわち、本実施形態の管理システム1は、複数のクライアント端末10のほかに情報管理サーバ20およびファイルアクセス管理サーバ30をそなえて構成され、これらの端末10およびサーバ20,30がネットワーク〔例えば、社内LAN(Local Area Network)〕40を介して相互に通信可能に接続されている。
そして、このクライアント端末10は、ハードディスク装置や不揮発性メモリなどの記憶装置としての外部メモリ70に各種電子ファイルや各種プログラムを保存することが可能に構成されており、この電子ファイルとして個人情報ファイルなどの保護対象情報ファイルが存在する場合がある。
また、同様にして、このクライアント端末10には、携帯電話装置やPDAや音楽情報再生装置などの各種携帯端末80が接続されうる状態になっている。また、同様にして、このクライアント端末10には、プリンタ60(60B)が接続されうる状態になっている。
なお、ハードディスク装置などの記憶装置70’については、ネットワーク40に直接接続されていてもよい。また、同様にして、携帯端末80がネットワーク40に直接接続されていてもよい。また、同様にして、プリンタ60(60A)がネットワーク40に直接接続されうる状態になっている。
情報管理サーバ20は、複数のクライアント端末10およびファイルアクセス管理サーバ30とネットワーク40を介して相互に通信可能に接続され、各クライアント端末10における個人情報ファイルやその拡散防止について管理するもので、その内容については第二/第三の実施形態などにおいて説明したものである。
ファイルアクセス管理サーバ30は、複数のクライアント端末10および情報管理サーバ20とネットワーク40を介して相互に通信可能に接続され、保護対象情報となる電子ファイル(本実施形態では個人情報ファイル)に対するアクセスを管理するものであり、その内容については第二/第三の実施形態などにおいて説明したものである。
まず、本システム1では、クライアント端末10が管理条件を満たしているか否かが判断され、この判断結果に応じて電子教育が実行される(図36中のステップS3601)。
ここで、上述した管理条件とは、管理者側が定めた利用者端末側でのセキュリティ対策などに関しての望ましい使用条件あるいは使用状態を意味している。なお、この管理条件の詳細や具体例については、第二実施形態で詳述する。
なお、この管理条件と電子教育とについては、第二実施形態で詳しく説明したが、ここでは、各クライアント端末10においてセキュリティに関する全般電子教育(第一電子教育)を実行し、その電子教育実行後に各クライアント端末10が管理条件を満たしているか否かを判断し、管理条件を満たさないクライアント端末10にはセキュリティに関する詳細電子教育(第二電子教育)を施すようにしている。
また、このクライアント端末10では、プリンタ60、外部メモリ70、携帯端末80といった各種のデバイス(周辺機器)との間でデータの授受を行う場合には、各デバイス
毎に容易されたデバイスドライバあるいはこれに類する手段(本実施形態では、「周辺機器動作制御手段」)を介して行うことが一般的である。
毎に容易されたデバイスドライバあるいはこれに類する手段(本実施形態では、「周辺機器動作制御手段」)を介して行うことが一般的である。
ここで、周辺機器とは、クライアント端末10に有線,無線,光などを介して接続されうる各種の外部機器、または、クライアント端末10と信号の授受を行う各種の機器を意味している。ここで、クライアント端末10と周辺機器との間で、少なくとも電子ファイルの受け渡しが行われる。
また、この周辺機器としては、各種記憶媒体を用いた補助記憶装置、キーボードやスキャナなどの入力機器、プリンタやディスプレイなどの出力装置、モデムやルータなどの通信機器などが該当する。
〔A2〕第四実施形態の管理システムの動作:
以下、第四実施形態の動作説明を行う。なお、ここでは、周辺機器としてプリンタを用いて具体的説明を行う。
以下、第四実施形態の動作説明を行う。なお、ここでは、周辺機器としてプリンタを用いて具体的説明を行う。
なお、管理条件の判断や電子教育については第二実施形態で説明しており、重複した説明は省略する。また、プリンタにおける各種制限や個人情報の収集については第三実施形態で説明しており、重複した説明は省略する。
ここで、いずれかのクライアント端末10において、電子ファイルを周辺機器(プリンタ60、外部メモリ70、携帯端末80など)に対して書出もしくは送信する命令(送出命令)が発生したとする(図36中のステップS3602)。
なお、送出(書出もしくは送信)とは、電子ファイルそのままの形でクライアント端末10から周辺機器に送られることだけではなく、印刷の場合のイメージデータのように、形式が変換されて送られることも含む。
従って、クライアント端末10においてプリント命令が発生した場合も、以上の送出命令発生に該当する。
この場合、この送出命令が発生した場合、該利用者端末が、上述した管理条件を満たしているか否かを基準として、管理条件を満たしていると判断される場合には(図36中のステップS3603でYES)、指定された電子ファイルの周辺機器への送出、ここでは、プリンタへでプリントイメージファイルの送出を実行する(図36中のステップS3605)。
この場合、この送出命令が発生した場合、該利用者端末が、上述した管理条件を満たしているか否かを基準として、管理条件を満たしていると判断される場合には(図36中のステップS3603でYES)、指定された電子ファイルの周辺機器への送出、ここでは、プリンタへでプリントイメージファイルの送出を実行する(図36中のステップS3605)。
また、この場合、このプリント命令が発生した場合、該利用者端末が、上述した管理条件を満たしているか否かを基準として、管理条件を満たしていないと判断される場合には(図36中のステップS3603でNO)、上述した詳細電子教育の受講が該クライアント端末10において完了しているか否かを調べる。
ここで、該利用者端末が、上述した管理条件を満たしていないと判断される場合には(図36中のステップS3603でNO)であっても、上述した詳細電子教育の受講が該クライアント端末10において完了している(図36中のステップS3604でYES)場合には、指定された電子ファイルの周辺機器への送出を実行する(図36中のステップS3605)。
一方、該利用者端末が、上述した管理条件を満たしていないと判断される場合には(図36中のステップS3603でNO)であって、上述した詳細電子教育の受講が該クライアント端末10において完了していない(図36中のステップS3604でNO)場合に
は、第三実施形態で示すように、予め定められた制限(プリント中止、プリント一部中止、プリント一部不可視など)を付した状態で、指定された電子ファイルのプリントを実行する(図36中のステップS3606)。
は、第三実施形態で示すように、予め定められた制限(プリント中止、プリント一部中止、プリント一部不可視など)を付した状態で、指定された電子ファイルのプリントを実行する(図36中のステップS3606)。
なお、この際に、管理条件を満たさない利用者端末10,あるいは詳細電子教育を完了していない利用者端末10において、第三実施形態と同様にして、探査された個人情報(保護対象情報)のうちのいずれかの部分あるいは必要な部分または全体で不可視状態など所定状態のプリントを実行すればよい。
なお、ここでは、周辺機器として、クライアント端末10に接続されたプリンタ60について具体例を説明したが、外部メモリ70、携帯端末80、さらに、ネットワーク上に存在する記憶装置70’や携帯端末80に対しても同様に行う。また、図示されていない各種の周辺機器、たとえば、表示を行う外部ディスプレイ(プロジェクタ)などに対しても、以上と同様に、行えばよい。
これにより、管理者側が定めた利用者端末側でのセキュリティ対策などの管理条件を満たさない利用者端末からの電子ファイルの拡散が制限されることになる。この結果、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する保護対象情報ファイルを確実に探査し管理可能な状態に置けるようにして、保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。これに加え、表示や印刷や周辺機器への保護対象情報の不用意な流出・漏洩や保護対象情報の不正利用などを確実に防止することができる。
なお、以上の管理条件判断や電子教育や個人情報であるかの判断については、クライアント端末10自身が行ってもよいし、管理サーバ20が行うようにしてもよい。
〔E〕その他の実施形態:
以上の各実施形態で、電子教育を二段階にしていたが、これに限定されるものではなく、一段階であっても良いし、三段階以上にしてもよい。
〔E〕その他の実施形態:
以上の各実施形態で、電子教育を二段階にしていたが、これに限定されるものではなく、一段階であっても良いし、三段階以上にしてもよい。
付記:
以下の付記も本実施形態の一態様である。
(A1)付記A1:
個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう個人情報探査手段と、前記個人情報探査プログラムを起動し、保持する電子ファイルが個人情報ファイルであるか否かの判定を前記個人情報探査手段に実行させる制御手段と、前記個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該個人情報探査手段による前記判定結果を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を中止するプリント制御手段と、をそなえて構成された、ことを特徴とする情報管理端末。
以下の付記も本実施形態の一態様である。
(A1)付記A1:
個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう個人情報探査手段と、前記個人情報探査プログラムを起動し、保持する電子ファイルが個人情報ファイルであるか否かの判定を前記個人情報探査手段に実行させる制御手段と、前記個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該個人情報探査手段による前記判定結果を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を中止するプリント制御手段と、をそなえて構成された、ことを特徴とする情報管理端末。
(A2)付記A2:
個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう個人情報探査手段と、前記個人情報探査プログラムを起動し、保持する電子ファイルが個人情報ファイルであるか否かの判定を前記個人情報探査手段に実行させる制御手段と、前記個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該個人情報探査手段による前記判定結果と、当該電子ファイルの個人情報に該当する箇所とを記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人
情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段と、をそなえて構成された、ことを特徴とする情報管理端末。
個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう個人情報探査手段と、前記個人情報探査プログラムを起動し、保持する電子ファイルが個人情報ファイルであるか否かの判定を前記個人情報探査手段に実行させる制御手段と、前記個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該個人情報探査手段による前記判定結果と、当該電子ファイルの個人情報に該当する箇所とを記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人
情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段と、をそなえて構成された、ことを特徴とする情報管理端末。
(A3)付記A3:
個人情報探査プログラムを常駐させていないクライアント端末と、ネットワークを介して前記クライアント端末と相互に通信可能に接続され、クライアント端末における個人情報ファイルを管理する個人情報管理サーバと、をそなえ、該個人情報管理サーバが、前記個人情報探査プログラムを実行することにより該ネットワークを介して該クライアント端末における個人情報ファイルの探査を行なう個人情報探査手段と、該個人情報探査手段により個人情報ファイルの探査を行なった時点での、該クライアント端末における電子ファイルに関する情報を保存する電子ファイル情報保存手段と、電子ファイルが個人情報ファイルであるか否かを判定する探査を該個人情報探査手段に実行させる制御手段とをそなえて構成され、該クライアント端末が、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報探査手段による判定結果を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を中止するプリント制御手段と、をそなえて構成されていることを特徴とする管理システム。
個人情報探査プログラムを常駐させていないクライアント端末と、ネットワークを介して前記クライアント端末と相互に通信可能に接続され、クライアント端末における個人情報ファイルを管理する個人情報管理サーバと、をそなえ、該個人情報管理サーバが、前記個人情報探査プログラムを実行することにより該ネットワークを介して該クライアント端末における個人情報ファイルの探査を行なう個人情報探査手段と、該個人情報探査手段により個人情報ファイルの探査を行なった時点での、該クライアント端末における電子ファイルに関する情報を保存する電子ファイル情報保存手段と、電子ファイルが個人情報ファイルであるか否かを判定する探査を該個人情報探査手段に実行させる制御手段とをそなえて構成され、該クライアント端末が、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報探査手段による判定結果を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を中止するプリント制御手段と、をそなえて構成されていることを特徴とする管理システム。
(A4)付記A4:
個人情報探査プログラムを常駐させていないクライアント端末と、ネットワークを介して前記クライアント端末と相互に通信可能に接続され、クライアント端末における個人情報ファイルを管理する個人情報管理サーバと、をそなえ、該個人情報管理サーバが、前記個人情報探査プログラムを実行することにより該ネットワークを介して該クライアント端末における個人情報ファイルの探査を行なう個人情報探査手段と、該個人情報探査手段により個人情報ファイルの探査を行なった時点での、該クライアント端末における電子ファイルに関する情報を保存する電子ファイル情報保存手段と、電子ファイルが個人情報ファイルであるか否かを判定する探査を該個人情報探査手段に実行させる制御手段とをそなえて構成され、該クライアント端末が、前記個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該個人情報探査手段による前記判定結果と、当該電子ファイルの個人情報に該当する箇所とを記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段と、をそなえて構成されていることを特徴とする管理システム。
個人情報探査プログラムを常駐させていないクライアント端末と、ネットワークを介して前記クライアント端末と相互に通信可能に接続され、クライアント端末における個人情報ファイルを管理する個人情報管理サーバと、をそなえ、該個人情報管理サーバが、前記個人情報探査プログラムを実行することにより該ネットワークを介して該クライアント端末における個人情報ファイルの探査を行なう個人情報探査手段と、該個人情報探査手段により個人情報ファイルの探査を行なった時点での、該クライアント端末における電子ファイルに関する情報を保存する電子ファイル情報保存手段と、電子ファイルが個人情報ファイルであるか否かを判定する探査を該個人情報探査手段に実行させる制御手段とをそなえて構成され、該クライアント端末が、前記個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該個人情報探査手段による前記判定結果と、当該電子ファイルの個人情報に該当する箇所とを記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段と、をそなえて構成されていることを特徴とする管理システム。
(A5)付記A5:
複数のクライアント端末と、該複数のクライアント端末とネットワークを介して相互に通信可能に接続され、該複数のクライアント端末における個人情報ファイルを管理する個人情報管理サーバとをそなえるとともに、該複数のクライアント端末が、個人情報ファイルの探査を実行するための個人情報探査プログラムを常駐させている第一クライアント端末と、前記個人情報探査プログラムを常駐させていない第二クライアント端末とを含み、該第一クライアント端末が、前記個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう第一個人情報探査手段と、該第一クライアント端末における電子ファイルの追加・変更を検知する検知手段と、該検知手段により電子ファイルの追加・変更を検知した場合に、前記個人情報探査プログラムを起動し、追加・変更された当該電子ファイルが個人情報ファイルであるか否かを判定するリアルタイム探査を該第一個人情報
探査手段に実行させる第一制御手段と、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該ネットワークを介して該第一個人情報探査手段による判定結果を該個人情報管理サーバへ送信する送信手段と、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該第一個人情報探査手段による判定結果を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を中止するプリント制御手段と、をそなえて構成され、該個人情報管理サーバが、前記個人情報探査プログラムを実行することにより該ネットワークを介して該第二クライアント端末における個人情報ファイルの探査を行なう第二個人情報探査手段と、該第二個人情報探査手段により最後に個人情報ファイルの定期探査を行なった時点での、該第二クライアント端末における電子ファイルに関する情報を保存する電子ファイル情報保存手段と、該第二クライアント端末における電子ファイルに関する最新情報と該ファイル情報保存手段に保存されている情報とを比較し、最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更された電子ファイルを、差分ファイルとして、該ネットワークを介して該第二クライアント端末から定期的に抽出する差分抽出手段と、該差分抽出手段により抽出された前記差分ファイルが個人情報ファイルであるか否かを判定する定期探査を該第二個人情報探査手段に実行させる第二制御手段とをそなえて構成され、該第二クライアント端末が、該第二個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該第二個人情報探査手段による判定結果を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該第二個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を中止するプリント制御手段と、をそなえて構成されている、ことを特徴とする管理システム。
複数のクライアント端末と、該複数のクライアント端末とネットワークを介して相互に通信可能に接続され、該複数のクライアント端末における個人情報ファイルを管理する個人情報管理サーバとをそなえるとともに、該複数のクライアント端末が、個人情報ファイルの探査を実行するための個人情報探査プログラムを常駐させている第一クライアント端末と、前記個人情報探査プログラムを常駐させていない第二クライアント端末とを含み、該第一クライアント端末が、前記個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう第一個人情報探査手段と、該第一クライアント端末における電子ファイルの追加・変更を検知する検知手段と、該検知手段により電子ファイルの追加・変更を検知した場合に、前記個人情報探査プログラムを起動し、追加・変更された当該電子ファイルが個人情報ファイルであるか否かを判定するリアルタイム探査を該第一個人情報
探査手段に実行させる第一制御手段と、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該ネットワークを介して該第一個人情報探査手段による判定結果を該個人情報管理サーバへ送信する送信手段と、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該第一個人情報探査手段による判定結果を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を中止するプリント制御手段と、をそなえて構成され、該個人情報管理サーバが、前記個人情報探査プログラムを実行することにより該ネットワークを介して該第二クライアント端末における個人情報ファイルの探査を行なう第二個人情報探査手段と、該第二個人情報探査手段により最後に個人情報ファイルの定期探査を行なった時点での、該第二クライアント端末における電子ファイルに関する情報を保存する電子ファイル情報保存手段と、該第二クライアント端末における電子ファイルに関する最新情報と該ファイル情報保存手段に保存されている情報とを比較し、最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更された電子ファイルを、差分ファイルとして、該ネットワークを介して該第二クライアント端末から定期的に抽出する差分抽出手段と、該差分抽出手段により抽出された前記差分ファイルが個人情報ファイルであるか否かを判定する定期探査を該第二個人情報探査手段に実行させる第二制御手段とをそなえて構成され、該第二クライアント端末が、該第二個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該第二個人情報探査手段による判定結果を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該第二個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を中止するプリント制御手段と、をそなえて構成されている、ことを特徴とする管理システム。
(A6)付記A6:
複数のクライアント端末と、該複数のクライアント端末とネットワークを介して相互に通信可能に接続され、該複数のクライアント端末における個人情報ファイルを管理する個人情報管理サーバとをそなえるとともに、該複数のクライアント端末が、個人情報ファイルの探査を実行するための個人情報探査プログラムを常駐させている第一クライアント端末と、前記個人情報探査プログラムを常駐させていない第二クライアント端末とを含み、該第一クライアント端末が、前記個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう第一個人情報探査手段と、該第一クライアント端末における電子ファイルの追加・変更を検知する検知手段と、該検知手段により電子ファイルの追加・変更を検知した場合に、前記個人情報探査プログラムを起動し、追加・変更された当該電子ファイルが個人情報ファイルであるか否かを判定するリアルタイム探査を該第一個人情報探査手段に実行させる第一制御手段と、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該ネットワークを介して該第一個人情報探査手段による判定結果を該個人情報管理サーバへ送信する送信手段と、前記第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該第一個人情報探査手段による前記判定結果に基づいて、当該電子ファイルの個人情報に該当する箇所を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段と、をそなえて構成され、該個人情報管理サーバが、前記個人情報探査プログラムを実行することにより該ネットワークを介して該第二クライアント端末における個人情報ファイルの探査を行なう第二個人情報探査手段と、該第二個人情報探査手段により最後に個人情報ファイルの定期探査を行なった時点での、該第
二クライアント端末における電子ファイルに関する情報を保存する電子ファイル情報保存手段と、該第二クライアント端末における電子ファイルに関する最新情報と該ファイル情報保存手段に保存されている情報とを比較し、最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更された電子ファイルを、差分ファイルとして、該ネットワークを介して該第二クライアント端末から定期的に抽出する差分抽出手段と、該差分抽出手段により抽出された前記差分ファイルが個人情報ファイルであるか否かを判定する定期探査を該第二個人情報探査手段に実行させる第二制御手段とをそなえて構成され、該第二クライアント端末が、該第二個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段と、をそなえて構成されている、ことを特徴とする管理システム。
複数のクライアント端末と、該複数のクライアント端末とネットワークを介して相互に通信可能に接続され、該複数のクライアント端末における個人情報ファイルを管理する個人情報管理サーバとをそなえるとともに、該複数のクライアント端末が、個人情報ファイルの探査を実行するための個人情報探査プログラムを常駐させている第一クライアント端末と、前記個人情報探査プログラムを常駐させていない第二クライアント端末とを含み、該第一クライアント端末が、前記個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう第一個人情報探査手段と、該第一クライアント端末における電子ファイルの追加・変更を検知する検知手段と、該検知手段により電子ファイルの追加・変更を検知した場合に、前記個人情報探査プログラムを起動し、追加・変更された当該電子ファイルが個人情報ファイルであるか否かを判定するリアルタイム探査を該第一個人情報探査手段に実行させる第一制御手段と、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該ネットワークを介して該第一個人情報探査手段による判定結果を該個人情報管理サーバへ送信する送信手段と、前記第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該第一個人情報探査手段による前記判定結果に基づいて、当該電子ファイルの個人情報に該当する箇所を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段と、をそなえて構成され、該個人情報管理サーバが、前記個人情報探査プログラムを実行することにより該ネットワークを介して該第二クライアント端末における個人情報ファイルの探査を行なう第二個人情報探査手段と、該第二個人情報探査手段により最後に個人情報ファイルの定期探査を行なった時点での、該第
二クライアント端末における電子ファイルに関する情報を保存する電子ファイル情報保存手段と、該第二クライアント端末における電子ファイルに関する最新情報と該ファイル情報保存手段に保存されている情報とを比較し、最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更された電子ファイルを、差分ファイルとして、該ネットワークを介して該第二クライアント端末から定期的に抽出する差分抽出手段と、該差分抽出手段により抽出された前記差分ファイルが個人情報ファイルであるか否かを判定する定期探査を該第二個人情報探査手段に実行させる第二制御手段とをそなえて構成され、該第二クライアント端末が、該第二個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段と、をそなえて構成されている、ことを特徴とする管理システム。
(A7)付記A7:
前記クライアント端末は、文字あるいは画像を表示する表示手段と、前記表示手段への表示の制御を行う表示制御手段とをさらにそなえ、前記表示制御手段は、前記個人情報ファイルであると判定された電子ファイルについても制限なく表示を実行する制御を行う、ことを特徴とする付記A3〜付記A6のいずれか1項に記載の管理システム。
前記クライアント端末は、文字あるいは画像を表示する表示手段と、前記表示手段への表示の制御を行う表示制御手段とをさらにそなえ、前記表示制御手段は、前記個人情報ファイルであると判定された電子ファイルについても制限なく表示を実行する制御を行う、ことを特徴とする付記A3〜付記A6のいずれか1項に記載の管理システム。
(A8)付記A8:
前記クライアント端末は、文字あるいは画像を表示する表示手段と、前記表示手段への表示の制御を行う表示制御手段と、該クライアント端末の位置を検出する位置検出手段とをさらにそなえ、前記表示制御手段は、前記位置検出手段で検出された位置に応じて、前記個人情報ファイルであると判定された電子ファイルについての表示に制限を加える、ことを特徴とする付記A3〜付記A6のいずれか1項に記載の管理システム。
前記クライアント端末は、文字あるいは画像を表示する表示手段と、前記表示手段への表示の制御を行う表示制御手段と、該クライアント端末の位置を検出する位置検出手段とをさらにそなえ、前記表示制御手段は、前記位置検出手段で検出された位置に応じて、前記個人情報ファイルであると判定された電子ファイルについての表示に制限を加える、ことを特徴とする付記A3〜付記A6のいずれか1項に記載の管理システム。
(A9)付記A9:
クライアント端末における個人情報ファイルを管理する個人情報管理サーバとネットワークを介して相互に通信可能に接続されたクライアント端末において個人情報ファイルの探査を行なう個人情報探査手段、該クライアント端末における電子ファイルの追加・変更を検知する検知手段、該検知手段により電子ファイルの追加・変更を検知した場合に、追加・変更された当該電子ファイルが個人情報ファイルであるか否かを判定するリアルタイム探査を該個人情報探査手段に実行させる制御手段、個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該個人情報探査手段による前記判定結果に基づいて、当該電子ファイルの個人情報に該当する箇所を記憶する記憶手段、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段、として該クライアント端末を機能させることを特徴とする管理プログラム。
クライアント端末における個人情報ファイルを管理する個人情報管理サーバとネットワークを介して相互に通信可能に接続されたクライアント端末において個人情報ファイルの探査を行なう個人情報探査手段、該クライアント端末における電子ファイルの追加・変更を検知する検知手段、該検知手段により電子ファイルの追加・変更を検知した場合に、追加・変更された当該電子ファイルが個人情報ファイルであるか否かを判定するリアルタイム探査を該個人情報探査手段に実行させる制御手段、個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該個人情報探査手段による前記判定結果に基づいて、当該電子ファイルの個人情報に該当する箇所を記憶する記憶手段、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段、として該クライアント端末を機能させることを特徴とする管理プログラム。
(A10)付記A10:
個人情報ファイルを管理する個人情報管理サーバとネットワークを介して相互に通信可能に接続されたクライアント端末において、電子ファイルが個人情報ファイルであると前記個人情報管理サーバにより判定された場合に、該判定結果に基づいて、当該電子ファイルの個人情報に該当する箇所を記憶する記憶手段、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段、として該クライアント端末を機能させることを特徴とする
管理プログラム。
個人情報ファイルを管理する個人情報管理サーバとネットワークを介して相互に通信可能に接続されたクライアント端末において、電子ファイルが個人情報ファイルであると前記個人情報管理サーバにより判定された場合に、該判定結果に基づいて、当該電子ファイルの個人情報に該当する箇所を記憶する記憶手段、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段、として該クライアント端末を機能させることを特徴とする
管理プログラム。
(A11a)付記A11a:
最初に情報管理端末あるいはクライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、リアルタイム探査を実行させる、ことを特徴とす
る付記A1〜付記A8記載の管理システム。
最初に情報管理端末あるいはクライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、リアルタイム探査を実行させる、ことを特徴とす
る付記A1〜付記A8記載の管理システム。
(A11b)付記A11b:
最初に該クライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、前記定期探査を実行させる、ことを特徴とする付記A3〜付記A8記載の管理システム。
最初に該クライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、前記定期探査を実行させる、ことを特徴とする付記A3〜付記A8記載の管理システム。
(A12)付記A12:
該個人情報管理サーバが、探査された個人情報ファイルを保存しているクライアント端末から当該個人情報ファイルが外部へ出力されるのを強制的に禁止する、ことを特徴とする付記A3〜付記A8記載の管理システム。
該個人情報管理サーバが、探査された個人情報ファイルを保存しているクライアント端末から当該個人情報ファイルが外部へ出力されるのを強制的に禁止する、ことを特徴とする付記A3〜付記A8記載の管理システム。
(A13)付記A13:
該複数のクライアント端末のそれぞれが、探査された個人情報ファイルを監視し、当該個人情報ファイルに対するプリント要求が生じた場合にはその旨を該個人情報管理サーバに通知するプリント要求監視手段をさらにそなえて構成されている、ことを特徴とする付記A3〜付記A8記載の管理システム。
該複数のクライアント端末のそれぞれが、探査された個人情報ファイルを監視し、当該個人情報ファイルに対するプリント要求が生じた場合にはその旨を該個人情報管理サーバに通知するプリント要求監視手段をさらにそなえて構成されている、ことを特徴とする付記A3〜付記A8記載の管理システム。
また、該個人情報管理サーバと相互に通信可能に接続され、電子ファイルに対するアクセスを管理する電子ファイルアクセス管理サーバをさらにそなえ、該個人情報管理サーバが、探査された個人情報ファイルに対するプリント要求を該ファイルアクセス管理サーバに管理させる、ことを特徴とする付記A3〜付記A8記載の管理システム。
(A14)付記A14:
個人情報探査プログラムが、判定対象ファイルが特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルであるか否かを判定する機能をコンピュータに実現させるためのものであって、当該判定対象ファイルに含まれるテキストデータを抽出する抽出手段、該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段、該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第一判定手段、該第一判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段、該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段、および、該第一判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第二判定手段として、該コンピュータを機能させる管理プログラム。
個人情報探査プログラムが、判定対象ファイルが特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルであるか否かを判定する機能をコンピュータに実現させるためのものであって、当該判定対象ファイルに含まれるテキストデータを抽出する抽出手段、該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段、該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第一判定手段、該第一判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段、該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段、および、該第一判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第二判定手段として、該コンピュータを機能させる管理プログラム。
(A15)付記A15:
該第一判定手段において、該切出手段によって切り出された文字区間における文字列が、電話番号に該当するか否かを判定し、電話番号に該当しない場合に電子メールアドレスに該当するか否かを判定し、電子メールアドレスに該当しない場合に住所に該当するか否かを判定し、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当すると判定された時点で、当該文字列についての判定処理を終了する付記A14記載の個人情報探査プログラム。
該第一判定手段において、該切出手段によって切り出された文字区間における文字列が、電話番号に該当するか否かを判定し、電話番号に該当しない場合に電子メールアドレスに該当するか否かを判定し、電子メールアドレスに該当しない場合に住所に該当するか否かを判定し、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当すると判定された時点で、当該文字列についての判定処理を終了する付記A14記載の個人情報探査プログラム。
(A16)付記A16:
該第二判定手段が、該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間における文字列を氏名に該当する個人情報要素と見なして、当該判定対象ファイルが個人情報ファイルであるか否かを判定する付記A14記載の個人情報探査プログラム。
該第二判定手段が、該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間における文字列を氏名に該当する個人情報要素と見なして、当該判定対象ファイルが個人情報ファイルであるか否かを判定する付記A14記載の個人情報探査プログラム。
(A17)付記A17:
さらに、該第二判定手段が、前記計数結果に基づいて、該第一判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とが多いほど大きくなる判定値を算出し、算出された判定値が所定閾値を超えた場合に当該判定対象ファイルが個人情報ファイルであると判定する付記A14記載の個人情報探査プログラム。
さらに、該第二判定手段が、前記計数結果に基づいて、該第一判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とが多いほど大きくなる判定値を算出し、算出された判定値が所定閾値を超えた場合に当該判定対象ファイルが個人情報ファイルであると判定する付記A14記載の個人情報探査プログラム。
(A18)付記A18:
そして、該個人情報管理サーバが、該第二判定手段によって算出された前記判定値に応じて、当該判定対象ファイルを管理したり、該第一個人情報探査手段もしくは該第二個人情報探査手段によって探査された個人情報ファイルを管理対象とし、該第二判定手段によって算出された前記判定値に応じて、当該個人情報ファイルを管理する付記A14記載の個人情報探査プログラム。
そして、該個人情報管理サーバが、該第二判定手段によって算出された前記判定値に応じて、当該判定対象ファイルを管理したり、該第一個人情報探査手段もしくは該第二個人情報探査手段によって探査された個人情報ファイルを管理対象とし、該第二判定手段によって算出された前記判定値に応じて、当該個人情報ファイルを管理する付記A14記載の個人情報探査プログラム。
(B1)付記B1:
複数のクライアント端末と、
該複数のクライアント端末とネットワークを介して相互に通信可能に接続され、該複数のクライアント端末における個人情報ファイルを管理する個人情報管理サーバとをそなえるとともに、
該複数のクライアント端末が、個人情報ファイルの探査を実行するための個人情報探査プログラムを常駐させている第一クライアント端末と、前記個人情報探査プログラムを常駐させていない第二クライアント端末とを含み、
該第一クライアント端末が、
前記個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう第一個人情報探査手段と、
該第一クライアント端末におけるファイルの追加・変更を検知する検知手段と、
該検知手段によりファイルの追加・変更を検知した場合に、前記個人情報探査プログラムを起動し、追加・変更された当該ファイルが個人情報ファイルであるか否かを判定するアルタイム探査を該第一個人情報探査手段に実行させる第一制御手段と、
該第一個人情報探査手段により当該ファイルが個人情報ファイルであると判定された場合、該ネットワークを介して該第一個人情報探査手段による判定結果を該個人情報管理サーバへ送信する送信手段とをそなえて構成され、
該個人情報管理サーバが、
前記個人情報探査プログラムを実行することにより該ネットワークを介して該第二クライアント端末における個人情報ファイルの探査を行なう第二個人情報探査手段と、
該第二個人情報探査手段により最後に個人情報ファイルの定期探査を行なった時点での、該第二クライアント端末におけるファイルに関する情報を保存するファイル情報保存手段と、
該第二クライアント端末におけるファイルに関する最新情報と該ファイル情報保存手段に保存されている情報とを比較し、最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更されたファイルを、差分ファイルとして、該ネットワークを介して該第二クライアント端末から定期的に抽出する差分抽出手段と、
該差分抽出手段により抽出された前記差分ファイルが個人情報ファイルであるか否かを判定する定期探査を該第二個人情報探査手段に実行させる第二制御手段とをそなえて構成されていることを特徴とする、管理システム。
複数のクライアント端末と、
該複数のクライアント端末とネットワークを介して相互に通信可能に接続され、該複数のクライアント端末における個人情報ファイルを管理する個人情報管理サーバとをそなえるとともに、
該複数のクライアント端末が、個人情報ファイルの探査を実行するための個人情報探査プログラムを常駐させている第一クライアント端末と、前記個人情報探査プログラムを常駐させていない第二クライアント端末とを含み、
該第一クライアント端末が、
前記個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう第一個人情報探査手段と、
該第一クライアント端末におけるファイルの追加・変更を検知する検知手段と、
該検知手段によりファイルの追加・変更を検知した場合に、前記個人情報探査プログラムを起動し、追加・変更された当該ファイルが個人情報ファイルであるか否かを判定するアルタイム探査を該第一個人情報探査手段に実行させる第一制御手段と、
該第一個人情報探査手段により当該ファイルが個人情報ファイルであると判定された場合、該ネットワークを介して該第一個人情報探査手段による判定結果を該個人情報管理サーバへ送信する送信手段とをそなえて構成され、
該個人情報管理サーバが、
前記個人情報探査プログラムを実行することにより該ネットワークを介して該第二クライアント端末における個人情報ファイルの探査を行なう第二個人情報探査手段と、
該第二個人情報探査手段により最後に個人情報ファイルの定期探査を行なった時点での、該第二クライアント端末におけるファイルに関する情報を保存するファイル情報保存手段と、
該第二クライアント端末におけるファイルに関する最新情報と該ファイル情報保存手段に保存されている情報とを比較し、最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更されたファイルを、差分ファイルとして、該ネットワークを介して該第二クライアント端末から定期的に抽出する差分抽出手段と、
該差分抽出手段により抽出された前記差分ファイルが個人情報ファイルであるか否かを判定する定期探査を該第二個人情報探査手段に実行させる第二制御手段とをそなえて構成されていることを特徴とする、管理システム。
(B2)付記B2:
該第一制御手段が、該第一個人情報探査手段に、最初に該第一クライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、前記リアルタイム探査を実行させることを特徴とする、付記B1記載の管理システム。
該第一制御手段が、該第一個人情報探査手段に、最初に該第一クライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、前記リアルタイム探査を実行させることを特徴とする、付記B1記載の管理システム。
(B3)付記B3:
該第二制御手段が、該第二個人情報探査手段に、最初に該第二クライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、前記定期探査を実行させることを特徴とする、付記B1または付記B2に記載の管理システム。
該第二制御手段が、該第二個人情報探査手段に、最初に該第二クライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、前記定期探査を実行させることを特徴とする、付記B1または付記B2に記載の管理システム。
(B4)付記B4:
該ファイル情報保存手段が、ファイルに関する情報として、少なくともファイル作成/更新日時,ファイルサイズ,ファイル名を保存していることを特徴とする、付記B1〜付記B3のいずれか一項に記載の管理システム。
該ファイル情報保存手段が、ファイルに関する情報として、少なくともファイル作成/更新日時,ファイルサイズ,ファイル名を保存していることを特徴とする、付記B1〜付記B3のいずれか一項に記載の管理システム。
(B5)付記B5:
該個人情報管理サーバが、
該ネットワークに接続されたクライアント端末に対し、当該クライアント端末の利用者からの要求に応じて前記個人情報探査プログラムをインストールするインストール手段をさらにそなえて構成されていることを特徴とする、付記B1〜付記B4のいずれか一項に記載の管理システム。
該個人情報管理サーバが、
該ネットワークに接続されたクライアント端末に対し、当該クライアント端末の利用者からの要求に応じて前記個人情報探査プログラムをインストールするインストール手段をさらにそなえて構成されていることを特徴とする、付記B1〜付記B4のいずれか一項に記載の管理システム。
(B6)付記B6:
該個人情報管理サーバが、
該第一個人情報探査手段もしくは該第二個人情報探査手段によって探査された個人情報ファイルに対し、デジタル署名を付与するデジタル署名手段をさらにそなえて構成されていることを特徴とする、付記B1〜付記B5のいずれか一項に記載の管理システム。
該個人情報管理サーバが、
該第一個人情報探査手段もしくは該第二個人情報探査手段によって探査された個人情報ファイルに対し、デジタル署名を付与するデジタル署名手段をさらにそなえて構成されていることを特徴とする、付記B1〜付記B5のいずれか一項に記載の管理システム。
(B7)付記B7:
該個人情報管理サーバが、該第一個人情報探査手段もしくは該第二個人情報探査手段によって探査された個人情報ファイルを保存しているクライアント端末から当該個人情報ファイルを強制的に回収することを特徴とする、付記B1〜付記B6のいずれか一項に記載の管理システム。
該個人情報管理サーバが、該第一個人情報探査手段もしくは該第二個人情報探査手段によって探査された個人情報ファイルを保存しているクライアント端末から当該個人情報ファイルを強制的に回収することを特徴とする、付記B1〜付記B6のいずれか一項に記載の管理システム。
(B8)付記B8:
該個人情報管理サーバが、回収された個人情報ファイルを管理者のみがアクセス可能なフォルダに格納することを特徴とする、付記B7記載の管理システム。
該個人情報管理サーバが、回収された個人情報ファイルを管理者のみがアクセス可能なフォルダに格納することを特徴とする、付記B7記載の管理システム。
(B9)付記B9:
該個人情報管理サーバが、該第一個人情報探査手段もしくは該第二個人情報探査手段によって探査された個人情報ファイルを保存しているクライアント端末から当該個人情報ファイルが外部へ出力されるのを強制的に禁止することを特徴とする、付記B1〜付記B6のいずれか一項に記載の管理システム。
該個人情報管理サーバが、該第一個人情報探査手段もしくは該第二個人情報探査手段によって探査された個人情報ファイルを保存しているクライアント端末から当該個人情報ファイルが外部へ出力されるのを強制的に禁止することを特徴とする、付記B1〜付記B6のいずれか一項に記載の管理システム。
(B10)付記B10:
該個人情報管理サーバが、該第一個人情報探査手段もしくは該第二個人情報探査手段によって探査された個人情報ファイルを保存しているクライアント端末に対し警告情報を通知することを特徴とする、付記B1〜付記B6のいずれか一項に記載の管理システム。
該個人情報管理サーバが、該第一個人情報探査手段もしくは該第二個人情報探査手段によって探査された個人情報ファイルを保存しているクライアント端末に対し警告情報を通知することを特徴とする、付記B1〜付記B6のいずれか一項に記載の管理システム。
(B11)付記B11:
該複数のクライアント端末のそれぞれが、
該第一個人情報探査手段もしくは該第二個人情報探査手段によって探査された個人情報ファイルを監視し、当該個人情報ファイルに対するアクセスが生じた場合にはその旨を該個人情報管理サーバに通知するアクセス監視手段をさらにそなえて構成されていることを特徴とする、付記B1〜付記B6のいずれか一項に記載の管理システム。
該複数のクライアント端末のそれぞれが、
該第一個人情報探査手段もしくは該第二個人情報探査手段によって探査された個人情報ファイルを監視し、当該個人情報ファイルに対するアクセスが生じた場合にはその旨を該個人情報管理サーバに通知するアクセス監視手段をさらにそなえて構成されていることを特徴とする、付記B1〜付記B6のいずれか一項に記載の管理システム。
(B12)付記B12:
該個人情報管理サーバと相互に通信可能に接続され、電子ファイルに対するアクセスを管理するファイルアクセス管理サーバをさらにそなえ、
該個人情報管理サーバが、該第一個人情報探査手段もしくは該第二個人情報探査手段によって探査された個人情報ファイルに対するアクセスを該ファイルアクセス管理サーバに管理させることを特徴とする、付記B1〜付記B11のいずれか一項に記載の管理システム。
該個人情報管理サーバと相互に通信可能に接続され、電子ファイルに対するアクセスを管理するファイルアクセス管理サーバをさらにそなえ、
該個人情報管理サーバが、該第一個人情報探査手段もしくは該第二個人情報探査手段によって探査された個人情報ファイルに対するアクセスを該ファイルアクセス管理サーバに管理させることを特徴とする、付記B1〜付記B11のいずれか一項に記載の管理システム。
(B13)付記B13:
前記個人情報探査プログラムが、
判定対象ファイルが特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルであるか否かを判定する機能をコンピュータに実現させるためのものであって、
当該判定対象ファイルに含まれるテキストデータを抽出する抽出手段、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第一判定手段、
該第一判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段、および、
該第一判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第二判定手段として、該コンピュータを機能させることを特徴とする、付記B1〜付記B12のいず
れか一項に記載の管理システム。
前記個人情報探査プログラムが、
判定対象ファイルが特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルであるか否かを判定する機能をコンピュータに実現させるためのものであって、
当該判定対象ファイルに含まれるテキストデータを抽出する抽出手段、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第一判定手段、
該第一判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段、および、
該第一判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第二判定手段として、該コンピュータを機能させることを特徴とする、付記B1〜付記B12のいず
れか一項に記載の管理システム。
(B14)付記B14:
該第一判定手段において、該切出手段によって切り出された文字区間における文字列が、電話番号に該当するか否かを判定し、電話番号に該当しない場合に電子メールアドレスに該当するか否かを判定し、電子メールアドレスに該当しない場合に住所に該当するか否かを判定し、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当すると判定された時点で、当該文字列についての判定処理を終了することを特徴とする、付記B13記載の管理システム。
該第一判定手段において、該切出手段によって切り出された文字区間における文字列が、電話番号に該当するか否かを判定し、電話番号に該当しない場合に電子メールアドレスに該当するか否かを判定し、電子メールアドレスに該当しない場合に住所に該当するか否かを判定し、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当すると判定された時点で、当該文字列についての判定処理を終了することを特徴とする、付記B13記載の管理システム。
(B15)付記B15:
該第二判定手段が、該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間における文字列を氏名に該当する個人情報要素と見なして、当該判定対象ファイルが個人情報ファイルであるか否かを判定することを特徴とする、付記B13または付記B14に記載の管理システム。
該第二判定手段が、該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間における文字列を氏名に該当する個人情報要素と見なして、当該判定対象ファイルが個人情報ファイルであるか否かを判定することを特徴とする、付記B13または付記B14に記載の管理システム。
(B16)付記B16:
該第二判定手段が、前記計数結果に基づいて、該第一判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とが多いほど大きくなる判定値を算出し、算出された判定値が所定閾値を超えた場合に当該判定対象ファイルが個人情報ファイルであると判定することを特徴とする、付記B13〜付記B15のいずれか一項に記載の管理システム。
該第二判定手段が、前記計数結果に基づいて、該第一判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とが多いほど大きくなる判定値を算出し、算出された判定値が所定閾値を超えた場合に当該判定対象ファイルが個人情報ファイルであると判定することを特徴とする、付記B13〜付記B15のいずれか一項に記載の管理システム。
(B17)付記B17:
該個人情報管理サーバが、該第二判定手段によって算出された前記判定値に応じて、当該判定対象ファイルを管理することを特徴とする、付記B16記載の管理システム。
該個人情報管理サーバが、該第二判定手段によって算出された前記判定値に応じて、当該判定対象ファイルを管理することを特徴とする、付記B16記載の管理システム。
(B18)付記B18:
該個人情報管理サーバが、該第一個人情報探査手段もしくは該第二個人情報探査手段によって探査された個人情報ファイルを管理対象とし、該第二判定手段によって算出された前記判定値に応じて、当該個人情報ファイルを管理することを特徴とする、付記B16または付記B17に記載の管理システム。
該個人情報管理サーバが、該第一個人情報探査手段もしくは該第二個人情報探査手段によって探査された個人情報ファイルを管理対象とし、該第二判定手段によって算出された前記判定値に応じて、当該個人情報ファイルを管理することを特徴とする、付記B16または付記B17に記載の管理システム。
(B19)付記B19:
当該電子ファイルが個人情報ファイルであると判定された場合の判定結果を記憶する記憶手段と、
電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を中止するプリント制御手段と、をそなえて構成されている、
ことを特徴とする付記B1〜付記B18記載の管理システム。
当該電子ファイルが個人情報ファイルであると判定された場合の判定結果を記憶する記憶手段と、
電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を中止するプリント制御手段と、をそなえて構成されている、
ことを特徴とする付記B1〜付記B18記載の管理システム。
(B20)付記B20:
当該電子ファイルが個人情報ファイルであると判定された場合の判定結果を記憶する記憶手段と、
電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を制限するプリント制御手段と、をそなえて構成されている、
ことを特徴とする付記B1〜付記B19記載の管理システム。
当該電子ファイルが個人情報ファイルであると判定された場合の判定結果を記憶する記憶手段と、
電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を制限するプリント制御手段と、をそなえて構成されている、
ことを特徴とする付記B1〜付記B19記載の管理システム。
(B21)付記B21:
当該電子ファイルが個人情報ファイルであると判定された場合の判定結果を記憶する記憶手段と、
電子ファイルの表示命令に応じて電子ファイルの内容を表示部に表示する機能を備えると共に、当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルの表示部の表示を中止する表示制御手段と、をそなえて構成されている、
ことを特徴とする付記B1〜付記B20記載の管理システム。
当該電子ファイルが個人情報ファイルであると判定された場合の判定結果を記憶する記憶手段と、
電子ファイルの表示命令に応じて電子ファイルの内容を表示部に表示する機能を備えると共に、当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルの表示部の表示を中止する表示制御手段と、をそなえて構成されている、
ことを特徴とする付記B1〜付記B20記載の管理システム。
(B22)付記B22:
当該電子ファイルが個人情報ファイルであると判定された場合の判定結果を記憶する記憶手段と、
電子ファイルの表示命令に応じて電子ファイルの内容を表示部に表示する機能を備えると共に、当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルの表示部への表示を制限する表示制御手段と、をそなえて構成されている、
ことを特徴とする付記B1〜付記B20記載の管理システム。
当該電子ファイルが個人情報ファイルであると判定された場合の判定結果を記憶する記憶手段と、
電子ファイルの表示命令に応じて電子ファイルの内容を表示部に表示する機能を備えると共に、当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルの表示部への表示を制限する表示制御手段と、をそなえて構成されている、
ことを特徴とする付記B1〜付記B20記載の管理システム。
(C1)付記C1:
本発明の管理システムは、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティについての電子教育を該複数の利用者端末に実行させる電子教育制御手段と、該電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末の管理条件を判断する判断手段と、を備えて構成され、該複数の利用者端末のそれぞれが、前記管理条件を満たしていないと前記管理サーバにより判断された利用者端末では、電子ファイルの書出もしくは送信を制限する送出制御手段と、をそなえて構成されている、ことを特徴とする。
本発明の管理システムは、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティについての電子教育を該複数の利用者端末に実行させる電子教育制御手段と、該電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末の管理条件を判断する判断手段と、を備えて構成され、該複数の利用者端末のそれぞれが、前記管理条件を満たしていないと前記管理サーバにより判断された利用者端末では、電子ファイルの書出もしくは送信を制限する送出制御手段と、をそなえて構成されている、ことを特徴とする。
(C2)付記C2:
本発明の管理システムは、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティについての電子教育を該複数の利用者端末に実行させる電子教育制御手段と、該電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末の管理条件を判断する判断手段と、を備えて構成され、該複数の利用者端末のそれぞれが、前記管理サーバにより判断された前記管理条件の程度に応じて、電子ファイルの書出もしくは送信の制限を変更する送出制御手段と、をそなえて構成されている、ことを特徴とする。
本発明の管理システムは、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティについての電子教育を該複数の利用者端末に実行させる電子教育制御手段と、該電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末の管理条件を判断する判断手段と、を備えて構成され、該複数の利用者端末のそれぞれが、前記管理サーバにより判断された前記管理条件の程度に応じて、電子ファイルの書出もしくは送信の制限を変更する送出制御手段と、をそなえて構成されている、ことを特徴とする。
(C3)付記C3:
本発明の管理システムは、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細
電子教育を実行させる第二電子教育制御手段と、を備えて構成され、該複数の利用者端末のそれぞれが、前記管理条件を満たしていないと前記管理サーバにより判断された利用者端末では、電子ファイルの書出もしくは送信を中止する送出制御手段と、をそなえて構成されている、ことを特徴とする。
本発明の管理システムは、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細
電子教育を実行させる第二電子教育制御手段と、を備えて構成され、該複数の利用者端末のそれぞれが、前記管理条件を満たしていないと前記管理サーバにより判断された利用者端末では、電子ファイルの書出もしくは送信を中止する送出制御手段と、をそなえて構成されている、ことを特徴とする。
(C4)付記C4:
本発明の管理システムは、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、を備えて構成され、該複数の利用者端末のそれぞれが、前記管理条件を満たしていないと前記管理サーバにより判断された利用者端末では、個人情報ファイルであると判定された電子ファイルの書出もしくは送信を中止する送出制御手段と、をそなえて構成されている、ことを特徴とする。
本発明の管理システムは、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、を備えて構成され、該複数の利用者端末のそれぞれが、前記管理条件を満たしていないと前記管理サーバにより判断された利用者端末では、個人情報ファイルであると判定された電子ファイルの書出もしくは送信を中止する送出制御手段と、をそなえて構成されている、ことを特徴とする。
(C5)付記C5:
本発明の管理システムは、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、を備えて構成され、該複数の利用者端末のそれぞれが、前記管理条件を満たしていないと前記管理サーバにより判断された利用者端末では、電子ファイルを暗号化して書出もしくは送信する送出制御手段と、をそなえて構成されている、ことを特徴とする。
本発明の管理システムは、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、を備えて構成され、該複数の利用者端末のそれぞれが、前記管理条件を満たしていないと前記管理サーバにより判断された利用者端末では、電子ファイルを暗号化して書出もしくは送信する送出制御手段と、をそなえて構成されている、ことを特徴とする。
(C6)付記C6:
本発明の管理システムは、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、を備えて構成され、該複数の利用者端末のそれぞれが、前記管理条件を満たしていないと前記管理サーバにより判断された利用者端末では、個人情報ファイルであると判定された電子ファイルを暗号化して書出もしくは送信する送出制御手段と、をそなえて構成されている、ことを特徴とする。
本発明の管理システムは、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、を備えて構成され、該複数の利用者端末のそれぞれが、前記管理条件を満たしていないと前記管理サーバにより判断された利用者端末では、個人情報ファイルであると判定された電子ファイルを暗号化して書出もしくは送信する送出制御手段と、をそなえて構成されている、ことを特徴とする。
(C7)付記C7:
本発明の管理システムは、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞ
れにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、を備えて構成され、該複数の利用者端末のそれぞれが、前記管理条件を満たしていないと前記管理サーバにより判断された利用者端末では、電子ファイルの書出もしくは送信を中止すると共に、該電子ファイルを管理サーバに送信する送出制御手段と、をそなえて構成されている、ことを特徴とする。
本発明の管理システムは、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞ
れにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、を備えて構成され、該複数の利用者端末のそれぞれが、前記管理条件を満たしていないと前記管理サーバにより判断された利用者端末では、電子ファイルの書出もしくは送信を中止すると共に、該電子ファイルを管理サーバに送信する送出制御手段と、をそなえて構成されている、ことを特徴とする。
なお、この際には、送出制御手段が、該当する電子ファイルを、利用者端末から削除することも望ましい。
(C8)付記C8:
本発明の管理システムは、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、を備えて構成され、該複数の利用者端末のそれぞれが、前記管理条件を満たしていないと前記管理サーバにより判断された利用者端末では、個人情報ファイルであると判定された電子ファイルの書出もしくは送信を中止すると共に、該電子ファイルを管理サーバに送信する送出制御手段と、をそなえて構成されている、ことを特徴とする。
(C8)付記C8:
本発明の管理システムは、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、を備えて構成され、該複数の利用者端末のそれぞれが、前記管理条件を満たしていないと前記管理サーバにより判断された利用者端末では、個人情報ファイルであると判定された電子ファイルの書出もしくは送信を中止すると共に、該電子ファイルを管理サーバに送信する送出制御手段と、をそなえて構成されている、ことを特徴とする。
なお、この際には、送出制御手段が、該当する電子ファイルを、利用者端末から削除することも望ましい。
(C9)付記C9:
本発明の管理システムは、上記(付記C1)〜(付記C8)において、前記利用者端末のそれぞれは、電子ファイルの書出もしくは送信の指示があったことを管理者に通知する通知手段を更に備える、ことを特徴とする。
(C9)付記C9:
本発明の管理システムは、上記(付記C1)〜(付記C8)において、前記利用者端末のそれぞれは、電子ファイルの書出もしくは送信の指示があったことを管理者に通知する通知手段を更に備える、ことを特徴とする。
(C10)付記C10:
本発明の管理システムは、上記(付記C1)〜(付記C9)において、前記送出制御手段は、電子メールの添付により前記電子ファイルの書出もしくは送信が行われようとした場合において、該電子ファイルの添付を中止する、ことを特徴とする。
本発明の管理システムは、上記(付記C1)〜(付記C9)において、前記送出制御手段は、電子メールの添付により前記電子ファイルの書出もしくは送信が行われようとした場合において、該電子ファイルの添付を中止する、ことを特徴とする。
(C11)付記C11:
本発明の管理プログラムは、該環境情報収集手段が、該管理サーバにおける環境情報収集エージェントファイル送信手段および環境情報受信手段と、該複数の利用者端末のそれぞれにおける環境情報収集エージェントファイル実行手段とから構成され、該管理サーバにおける該環境情報収集エージェントファイル送信手段が、該複数の利用者端末のそれぞれに前記環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信し、各利用者端末における該環境情報収集エージェントファイル実行手段が、該管理サーバから送信された該環境情報収集エージェントファイルを実行することにより、当該利用者端末における前記環境情報を収集し、その収集結果を該管理サーバへ送信して通知し、該管理サーバにおける該環境情
報受信手段が、各利用者端末から送信された前記環境情報を受信し、該評価手段もしくは該判断手段に受け渡す、ことを特徴とする請求項1乃至請求項10のいずれか一項に記載の管理システム。
本発明の管理プログラムは、該環境情報収集手段が、該管理サーバにおける環境情報収集エージェントファイル送信手段および環境情報受信手段と、該複数の利用者端末のそれぞれにおける環境情報収集エージェントファイル実行手段とから構成され、該管理サーバにおける該環境情報収集エージェントファイル送信手段が、該複数の利用者端末のそれぞれに前記環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信し、各利用者端末における該環境情報収集エージェントファイル実行手段が、該管理サーバから送信された該環境情報収集エージェントファイルを実行することにより、当該利用者端末における前記環境情報を収集し、その収集結果を該管理サーバへ送信して通知し、該管理サーバにおける該環境情
報受信手段が、各利用者端末から送信された前記環境情報を受信し、該評価手段もしくは該判断手段に受け渡す、ことを特徴とする請求項1乃至請求項10のいずれか一項に記載の管理システム。
(C12)付記C12:
本発明の管理システムは、複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段、各利用者端末から送信された前記環境情報を受信する環境情報受信手段、少なくとも一つの管理条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段、該第一電子教育制御手段による電子教育後に該環境情報収集エージェントファイル送信手段が送信した環境情報収集エージェントファイルに応じ該環境情報受信手段によって受信された各利用者端末における前記環境情報に基づいて、各利用者端末が前記少なくとも一つの管理条件を満たしているか否かを判断する判断手段、該判断手段によって管理条件を満たしていないと判断された利用者端末の利用者および/もしくは管理者に対し、警告を発する警告手段、および、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての電子教育を実行させる第二電子教育制御手段、該判断手段によって管理条件を満たしていないと判断された利用者端末に、電子ファイルの書出もしくは送信命令が発生した場合であっても電子ファイルの書出もしくは送信を制限させる送出制御手段、として該コンピュータを機能させることを特徴とする。
本発明の管理システムは、複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段、各利用者端末から送信された前記環境情報を受信する環境情報受信手段、少なくとも一つの管理条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段、該第一電子教育制御手段による電子教育後に該環境情報収集エージェントファイル送信手段が送信した環境情報収集エージェントファイルに応じ該環境情報受信手段によって受信された各利用者端末における前記環境情報に基づいて、各利用者端末が前記少なくとも一つの管理条件を満たしているか否かを判断する判断手段、該判断手段によって管理条件を満たしていないと判断された利用者端末の利用者および/もしくは管理者に対し、警告を発する警告手段、および、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての電子教育を実行させる第二電子教育制御手段、該判断手段によって管理条件を満たしていないと判断された利用者端末に、電子ファイルの書出もしくは送信命令が発生した場合であっても電子ファイルの書出もしくは送信を制限させる送出制御手段、として該コンピュータを機能させることを特徴とする。
(C13)付記C13:
本発明の管理プログラムは、複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段、各利用者端末から送信された前記環境情報を受信する環境情報受信手段、少なくとも一つの管理条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段、該第一電子教育制御手段による電子教育後に該環境情報収集エージェントファイル送信手段が送信した環境情報収集エージェントファイルに応じ該環境情報受信手段によって受信された各利用者端末における前記環境情報に基づいて、各利用者端末が前記少なくとも一つの管理条件を満たしているか否かを判断する判断手段、該判断手段によって管理条件を満たしていないと判断された利用者端末の利用者および/もしくは管理者に対し、警告を発する警告手段、および、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての電子教育を実行させる第二電子教育制御手段、該利用者端末が管理条件を満たしていないと判断された場合に電子ファイルの書出もしくは送信命令が発生した場合であっても書出もしくは送信の制限を実行させる送出制限エージェントファイルを、該複数の利用者端末に送信する送出制限エージェントファイル送信手段、として該コンピュータを機能させることを特徴とする。
本発明の管理プログラムは、複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段、各利用者端末から送信された前記環境情報を受信する環境情報受信手段、少なくとも一つの管理条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段、該第一電子教育制御手段による電子教育後に該環境情報収集エージェントファイル送信手段が送信した環境情報収集エージェントファイルに応じ該環境情報受信手段によって受信された各利用者端末における前記環境情報に基づいて、各利用者端末が前記少なくとも一つの管理条件を満たしているか否かを判断する判断手段、該判断手段によって管理条件を満たしていないと判断された利用者端末の利用者および/もしくは管理者に対し、警告を発する警告手段、および、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての電子教育を実行させる第二電子教育制御手段、該利用者端末が管理条件を満たしていないと判断された場合に電子ファイルの書出もしくは送信命令が発生した場合であっても書出もしくは送信の制限を実行させる送出制限エージェントファイルを、該複数の利用者端末に送信する送出制限エージェントファイル送信手段、として該コンピュータを機能させることを特徴とする。
(C14)付記C14:
本発明の管理プログラムは、上記(付記C12)または(付記C13)において前記送出制御手段における電子ファイルの書出もしくは送信の制限として、該電子ファイルの書出もしくは送信の中止、書出もしくは送信する該電子ファイルを暗号化する、書出もしくは送信の宛先を管理サーバに変更する、のいずれかを実行する、ことを特徴とする。
本発明の管理プログラムは、上記(付記C12)または(付記C13)において前記送出制御手段における電子ファイルの書出もしくは送信の制限として、該電子ファイルの書出もしくは送信の中止、書出もしくは送信する該電子ファイルを暗号化する、書出もしくは送信の宛先を管理サーバに変更する、のいずれかを実行する、ことを特徴とする。
(C15)付記C15:
以上の(付記C1)〜(付記C14)において、電子教育あるいは第二電子教育の完了により管理条件を満たすと判断手段に判断された時点で、制限手段による電子ファイルの書出もしくは送信の制限が解除されることが望ましい。また、電子教育の完了により管理条件の程度が変化したと判断手段に判断された時点で、制限手段による電子ファイルの書出もしくは送信の制限が変更されることが望ましい。
以上の(付記C1)〜(付記C14)において、電子教育あるいは第二電子教育の完了により管理条件を満たすと判断手段に判断された時点で、制限手段による電子ファイルの書出もしくは送信の制限が解除されることが望ましい。また、電子教育の完了により管理条件の程度が変化したと判断手段に判断された時点で、制限手段による電子ファイルの書出もしくは送信の制限が変更されることが望ましい。
(CA)付記CA:
上記の管理システムまたは管理プログラムにおいて、該複数の利用者端末が、共通の構内通信網に接続されて内部システムを構成するとともに、該管理サーバが、該構内通信網に接続された外部通信網と該構内通信網とを介して該複数の利用者端末と相互に通信可能に接続され、該管理サーバの該評価手段が、該複数の利用者端末についてのセキュリティレベルを評価することにより、該内部システム全体のセキュリティレベルを評価するように構成してもよい。
上記の管理システムまたは管理プログラムにおいて、該複数の利用者端末が、共通の構内通信網に接続されて内部システムを構成するとともに、該管理サーバが、該構内通信網に接続された外部通信網と該構内通信網とを介して該複数の利用者端末と相互に通信可能に接続され、該管理サーバの該評価手段が、該複数の利用者端末についてのセキュリティレベルを評価することにより、該内部システム全体のセキュリティレベルを評価するように構成してもよい。
(CB)付記CB:
上記の管理システムまたは管理プログラムにおいて、該管理サーバにおける該評価手段が、該複数の利用者端末のうちで前記少なくとも一つの管理条件を満たしている利用者端末の割合に基づいて、該複数の利用者端末についてのセキュリティレベルを数値化して評価してもよい。
上記の管理システムまたは管理プログラムにおいて、該管理サーバにおける該評価手段が、該複数の利用者端末のうちで前記少なくとも一つの管理条件を満たしている利用者端末の割合に基づいて、該複数の利用者端末についてのセキュリティレベルを数値化して評価してもよい。
(CC)付記CC:
上記の管理システムまたは管理プログラムにおいて、該複数の利用者端末のうちで前記少なくとも一つの管理条件を満たしている利用者端末の割合と、前記管理条件の重要度とに基づいて、該複数の利用者端末についてのセキュリティレベルを数値化して評価してもよい。
上記の管理システムまたは管理プログラムにおいて、該複数の利用者端末のうちで前記少なくとも一つの管理条件を満たしている利用者端末の割合と、前記管理条件の重要度とに基づいて、該複数の利用者端末についてのセキュリティレベルを数値化して評価してもよい。
(CD)付記CD:
上記の管理システムまたは管理プログラムにおいて、前記セキュリティレベルを評価するための複数の管理条件が予め設定されるとともに、前記複数の管理条件のうち、重要度が他の管理条件よりも高いものが重要管理条件として予め設定され、該管理サーバにおける該評価手段が、まず該複数の利用者端末のそれぞれが前記重要管理条件を満たしているか否かを判定し、該複数の利用者端末のうち1台でも前記重要管理条件を満たさないものがある場合には、該複数の利用者端末についてのセキュリティレベルを最低レベルとして決定する一方、前記重要管理条件を満たさない利用者端末が1台も存在しない場合には、前記重要管理条件以外の管理条件のうちで少なくとも一つの管理条件を満たしている利用者端末の割合に基づいて該複数の利用者端末についてのセキュリティレベルを数値化して評価してもよい。
上記の管理システムまたは管理プログラムにおいて、前記セキュリティレベルを評価するための複数の管理条件が予め設定されるとともに、前記複数の管理条件のうち、重要度が他の管理条件よりも高いものが重要管理条件として予め設定され、該管理サーバにおける該評価手段が、まず該複数の利用者端末のそれぞれが前記重要管理条件を満たしているか否かを判定し、該複数の利用者端末のうち1台でも前記重要管理条件を満たさないものがある場合には、該複数の利用者端末についてのセキュリティレベルを最低レベルとして決定する一方、前記重要管理条件を満たさない利用者端末が1台も存在しない場合には、前記重要管理条件以外の管理条件のうちで少なくとも一つの管理条件を満たしている利用者端末の割合に基づいて該複数の利用者端末についてのセキュリティレベルを数値化して評価してもよい。
(CE)付記CE:
上記の管理システムまたは管理プログラムにおいて、前記管理条件としては、管理者側が定めた利用者端末の望ましい使用条件あるいは使用状態として、
(1)利用者端末にセキュリティ対策ソフトウエアがインストールされ、オン設定になっ
ていること、
(2)利用者端末における、セキュリティ対策ソフトウエアとしてのセキュリティパッチ
更新ソフトウエアのセキュリティパッチの更新情報が最新であること、
(3)利用者端末における、セキュリティ対策ソフトウエアとしてのウイルス対策ソフト
ウエアのウイルス定義ファイルの更新情報が最新であること、
(4)利用者端末に危険ソフトウエアがインストールされていないこと、
(5)利用者端末が不正コピーを保有していないこと、
のうちの少なくとも一つが含まれていることが好ましい。
上記の管理システムまたは管理プログラムにおいて、前記管理条件としては、管理者側が定めた利用者端末の望ましい使用条件あるいは使用状態として、
(1)利用者端末にセキュリティ対策ソフトウエアがインストールされ、オン設定になっ
ていること、
(2)利用者端末における、セキュリティ対策ソフトウエアとしてのセキュリティパッチ
更新ソフトウエアのセキュリティパッチの更新情報が最新であること、
(3)利用者端末における、セキュリティ対策ソフトウエアとしてのウイルス対策ソフト
ウエアのウイルス定義ファイルの更新情報が最新であること、
(4)利用者端末に危険ソフトウエアがインストールされていないこと、
(5)利用者端末が不正コピーを保有していないこと、
のうちの少なくとも一つが含まれていることが好ましい。
また、上記の管理システムまたは管理プログラムにおいて、前記管理条件としては、更に、
(a)利用者端末に使用許可ソフトウエア以外のソフトウエアがインストールされていな
いこと、
(b)利用者端末に使用禁止ソフトウエアがインストールされていないこと、
(c)利用者端末に使用許可ソフトウエア以外のソフトウエア用のデータが保存されてい
ないこと、
(d)利用者端末に使用禁止ソフトウエア用のデータが保存されていないこと、
(e)利用者端末に使用許可されていない共有設定が存在しないこと、
(e)利用者端末に許可されていないフォルダが作成されていないこと、
(f)利用者端末に使用許可周辺機器以外の周辺機器が接続されていないこと、
(g)利用者端末に使用禁止周辺機器が周辺機器が接続されていないこと、
(CF)付記CF:
上記の管理システムまたは管理プログラムにおいて、該環境情報収集手段が、該管理サーバにおける環境情報収集エージェントファイル送信手段および環境情報受信手段と、該複数の利用者端末のそれぞれにおける環境情報収集エージェントファイル実行手段とから構成され、該管理サーバにおける該環境情報収集エージェントファイル送信手段が、該複数の利用者端末のそれぞれに前記環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信し、各利用者端末における該環境情報収集エージェントファイル実行手段が、該管理サーバから送信された該環境情報収集エージェントファイルを実行することにより、当該利用者端末における前記環境情報を収集し、その収集結果を該管理サーバへ送信して通知し、該管理サーバにおける該環境情報受信手段が、各利用者端末から送信された前記環境情報を受信し、該評価手段もしくは該判断手段に受け渡すように構成してもよい。
(a)利用者端末に使用許可ソフトウエア以外のソフトウエアがインストールされていな
いこと、
(b)利用者端末に使用禁止ソフトウエアがインストールされていないこと、
(c)利用者端末に使用許可ソフトウエア以外のソフトウエア用のデータが保存されてい
ないこと、
(d)利用者端末に使用禁止ソフトウエア用のデータが保存されていないこと、
(e)利用者端末に使用許可されていない共有設定が存在しないこと、
(e)利用者端末に許可されていないフォルダが作成されていないこと、
(f)利用者端末に使用許可周辺機器以外の周辺機器が接続されていないこと、
(g)利用者端末に使用禁止周辺機器が周辺機器が接続されていないこと、
(CF)付記CF:
上記の管理システムまたは管理プログラムにおいて、該環境情報収集手段が、該管理サーバにおける環境情報収集エージェントファイル送信手段および環境情報受信手段と、該複数の利用者端末のそれぞれにおける環境情報収集エージェントファイル実行手段とから構成され、該管理サーバにおける該環境情報収集エージェントファイル送信手段が、該複数の利用者端末のそれぞれに前記環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信し、各利用者端末における該環境情報収集エージェントファイル実行手段が、該管理サーバから送信された該環境情報収集エージェントファイルを実行することにより、当該利用者端末における前記環境情報を収集し、その収集結果を該管理サーバへ送信して通知し、該管理サーバにおける該環境情報受信手段が、各利用者端末から送信された前記環境情報を受信し、該評価手段もしくは該判断手段に受け渡すように構成してもよい。
(CG)付記CG:
上記の管理システムまたは管理プログラムにおいて、該管理サーバにおける該第一電子教育制御手段が、前記少なくとも一つの管理条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末のそれぞれに実行させる第一電子教育エージェントファイルを作成もしくは保持する第一電子教育エージェントファイル作成/保持手段と、該第一電子教育エージェントファイル作成/保持手段により作成/保持された、該第一電子教育エージェントファイルを、該複数の利用者端末に送信する第一電子教育エージェントファイル送信手段とから構成され、該複数の利用者端末のそれぞれが、該管理サーバから送信された該第一電子教育エージェントファイルを実行することにより、当該利用者端末では、前記少なくとも一つの管理条件に係る事項を含むセキュリティについての電子教育を当該利用者端末の利用者に対して実行する第一電子教育エージェントファイル実行手段をそなえていてもよい。
上記の管理システムまたは管理プログラムにおいて、該管理サーバにおける該第一電子教育制御手段が、前記少なくとも一つの管理条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末のそれぞれに実行させる第一電子教育エージェントファイルを作成もしくは保持する第一電子教育エージェントファイル作成/保持手段と、該第一電子教育エージェントファイル作成/保持手段により作成/保持された、該第一電子教育エージェントファイルを、該複数の利用者端末に送信する第一電子教育エージェントファイル送信手段とから構成され、該複数の利用者端末のそれぞれが、該管理サーバから送信された該第一電子教育エージェントファイルを実行することにより、当該利用者端末では、前記少なくとも一つの管理条件に係る事項を含むセキュリティについての電子教育を当該利用者端末の利用者に対して実行する第一電子教育エージェントファイル実行手段をそなえていてもよい。
(CH)付記CH:
上記の管理システムまたは管理プログラムにおいて、該管理サーバにおける該第二電子教育制御手段が、該判断手段によって満たされていないと判断された管理条件に係る事項についての電子教育を、該判断手段によって当該管理条件を満たしていないと判断された利用者端末に実行させる第二電子教育エージェントファイルを作成もしくは保持する第二電子教育エージェントファイル作成/保持手段と、該第二電子教育エージェントファイル作成/保持手段により作成/保持された、該第二電子教育エージェントファイルを、当該利用者端末に送信する第二電子教育エージェントファイル送信手段とから構成され、当該利用者端末が、該管理サーバから送信された該第二電子教育エージェントファイルを実行することにより、当該利用者端末では、該判断手段によって満たされていないと判断された管理条件に係る事項についての電子教育を当該利用者端末の利用者に対して実行する第二
電子教育エージェントファイル実行手段をそなえていてもよい。
上記の管理システムまたは管理プログラムにおいて、該管理サーバにおける該第二電子教育制御手段が、該判断手段によって満たされていないと判断された管理条件に係る事項についての電子教育を、該判断手段によって当該管理条件を満たしていないと判断された利用者端末に実行させる第二電子教育エージェントファイルを作成もしくは保持する第二電子教育エージェントファイル作成/保持手段と、該第二電子教育エージェントファイル作成/保持手段により作成/保持された、該第二電子教育エージェントファイルを、当該利用者端末に送信する第二電子教育エージェントファイル送信手段とから構成され、当該利用者端末が、該管理サーバから送信された該第二電子教育エージェントファイルを実行することにより、当該利用者端末では、該判断手段によって満たされていないと判断された管理条件に係る事項についての電子教育を当該利用者端末の利用者に対して実行する第二
電子教育エージェントファイル実行手段をそなえていてもよい。
(CI)付記CI:
なお、上記項目 (付記C1)〜(付記C15)、(付記CA)〜(付記CH)の管理システムまたは管理プログラムにおいて、該管理サーバにおける該評価手段が、該環境情報収集手段によって定期的に収集される前記環境情報に基づいて、該複数の利用者端末についてのセキュリティレベルを定期的に評価し、該管理サーバにおける該通知手段が、定期的な評価結果を該複数の利用者端末の利用者および/もしくは管理者に通知してもよい。
なお、上記項目 (付記C1)〜(付記C15)、(付記CA)〜(付記CH)の管理システムまたは管理プログラムにおいて、該管理サーバにおける該評価手段が、該環境情報収集手段によって定期的に収集される前記環境情報に基づいて、該複数の利用者端末についてのセキュリティレベルを定期的に評価し、該管理サーバにおける該通知手段が、定期的な評価結果を該複数の利用者端末の利用者および/もしくは管理者に通知してもよい。
(CJ)付記CJ:
本発明の管理サーバは、複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理するものであって、該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段、各利用者端末から送信された前記環境情報を受信する環境情報受信手段、少なくとも一つの管理条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段、該第一電子教育制御手段による電子教育後に該環境情報収集エージェントファイル送信手段が送信した環境情報収集エージェントファイルに応じ該環境情報受信手段によって受信された各利用者端末における前記環境情報に基づいて、各利用者端末が前記少なくとも一つの管理条件を満たしているか否かを判断する判断手段、該判断手段によって管理条件を満たしていないと判断された利用者端末の利用者および/もしくは管理者に対し、警告を発する警告手段、および、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての電子教育を実行させる第二電子教育制御手段、該判断手段によって管理条件を満たしていないと判断された利用者端末に、電子ファイルの書出もしくは送信命令が発生した場合であっても電子ファイルの書出もしくは送信を中止させる送出制御手段、をそなえて構成されていることを特徴としている。
本発明の管理サーバは、複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理するものであって、該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段、各利用者端末から送信された前記環境情報を受信する環境情報受信手段、少なくとも一つの管理条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段、該第一電子教育制御手段による電子教育後に該環境情報収集エージェントファイル送信手段が送信した環境情報収集エージェントファイルに応じ該環境情報受信手段によって受信された各利用者端末における前記環境情報に基づいて、各利用者端末が前記少なくとも一つの管理条件を満たしているか否かを判断する判断手段、該判断手段によって管理条件を満たしていないと判断された利用者端末の利用者および/もしくは管理者に対し、警告を発する警告手段、および、該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての電子教育を実行させる第二電子教育制御手段、該判断手段によって管理条件を満たしていないと判断された利用者端末に、電子ファイルの書出もしくは送信命令が発生した場合であっても電子ファイルの書出もしくは送信を中止させる送出制御手段、をそなえて構成されていることを特徴としている。
以上の付記C1〜付記CJによると、以下のようになる。
(付記Ci)各利用者端末において少なくとも一つの管理条件(例えば上記項目(1)〜(5)のうちの少なくとも一つ、または、上記項目(1)〜(5)と(a)〜(g)のうちの少なくとも一つ)に係る事項を含むセキュリティについての電子教育を実行させた後に、各利用者端末における環境情報が各利用者端末から管理サーバに収集され、この管理サーバにおいて、収集された環境情報に基づいて、各利用者端末が管理条件を満たしているか否かが判断され、管理条件を満たしていないと判断された利用者端末に対し、満たされていない管理条件に係る事項についての電子教育が実行される。つまり、セキュリティ全般の電子教育を行なった後に管理条件違反があった場合、その違反は利用者の故意による可能性が高く、違反者である利用者に対して違反事項についての電子教育が実行されることになる。
(付記Ci)各利用者端末において少なくとも一つの管理条件(例えば上記項目(1)〜(5)のうちの少なくとも一つ、または、上記項目(1)〜(5)と(a)〜(g)のうちの少なくとも一つ)に係る事項を含むセキュリティについての電子教育を実行させた後に、各利用者端末における環境情報が各利用者端末から管理サーバに収集され、この管理サーバにおいて、収集された環境情報に基づいて、各利用者端末が管理条件を満たしているか否かが判断され、管理条件を満たしていないと判断された利用者端末に対し、満たされていない管理条件に係る事項についての電子教育が実行される。つまり、セキュリティ全般の電子教育を行なった後に管理条件違反があった場合、その違反は利用者の故意による可能性が高く、違反者である利用者に対して違反事項についての電子教育が実行されることになる。
従って、利用者に対してセキュリティを確保するための電子教育を、各利用者端末の実態に即し且つ徹底して行なえ、利用者のセキュリティに対する意識を高め、企業等の内部システムにおける安全な環境の確保・維持にさらなる寄与を果たすことができる。つまり、セキュリティ全般についての電子教育後に利用者が故意に行なった可能性の高い違反事項について、その違反者に対して電子教育を行なうことができるので、利用者教育(社員教育)を徹底して行なうことが可能になり、その内部システムについて安全な環境の確保・維持に寄与することになる。
(付記Cii)複数の利用者端末のそれぞれにおける環境情報が、各利用者端末から管理サーバに収集され、この管理サーバにおいて、収集された各利用者端末における環境情報
に基づいて、複数の利用者端末についてのセキュリティレベル、つまりは企業等における内部システムのセキュリティ状況が評価され、その評価結果が利用者や管理者に通知される。これにより、企業等における内部システムのセキュリティ状況を評価するサービスが、当該企業等に対して提供可能になり、システム管理者が置かれていなくても、また経営者や管理者がセキュリティ対策に無頓着であっても、内部システムや各端末におけるセキュリティ状況を極めて正確かつ容易に把握でき、経営者,管理者,利用者のセキュリティに対する意識を高めて、企業等の内部システムにおける安全な環境を確保・維持することができる。特に、上述のようなサービスは、大企業ほどセキュリティに対する意識が高くない中小企業等に対して有効であり、このサービスを利用することで、当該中小企業等の管理者や経営者は、自社のシステムのセキュリティ状況の把握や電子教育を極めて容易に徹底して行なえる。
に基づいて、複数の利用者端末についてのセキュリティレベル、つまりは企業等における内部システムのセキュリティ状況が評価され、その評価結果が利用者や管理者に通知される。これにより、企業等における内部システムのセキュリティ状況を評価するサービスが、当該企業等に対して提供可能になり、システム管理者が置かれていなくても、また経営者や管理者がセキュリティ対策に無頓着であっても、内部システムや各端末におけるセキュリティ状況を極めて正確かつ容易に把握でき、経営者,管理者,利用者のセキュリティに対する意識を高めて、企業等の内部システムにおける安全な環境を確保・維持することができる。特に、上述のようなサービスは、大企業ほどセキュリティに対する意識が高くない中小企業等に対して有効であり、このサービスを利用することで、当該中小企業等の管理者や経営者は、自社のシステムのセキュリティ状況の把握や電子教育を極めて容易に徹底して行なえる。
(付記Ciii)管理サーバにおいて、複数の利用者端末のうちで少なくとも一つの管理
条件(例えば上記項目(1)〜(5)のうちの少なくとも一つ、または、上記項目(1)〜(5)と(a)〜(g)のうちの少なくとも一つ)を満たしている利用者端末の割合に基づいて、もしくは、同割合および各管理条件の重要度に基づいて、複数の利用者端末(内部システム)についてのセキュリティレベルを数値化して評価することが可能である。上記割合のみに基づいて数値化/評価を行なう場合、例えば、上記項目(1)〜(5)または上記項目(1)〜(5)と(a)〜(g)のうちの少なくとも一つの管理条件うちの少なくとも一つを満たす利用者端末の割合が100%であれば最高評価を下し、以下、その割合に応じた段階的な評価レベルを評価対象の内部システムに対して付与することができる。つまり、管理条件を満たす利用者端末が多いシステムほど高い評価レベルを付与でき、安全性の高さに応じた評価を評価対象の内部システムに対して下すことができる。また、管理条件の重要度に基づいて数値化/評価を行なうことで、重要度の高い管理条件を満たさない利用者端末が存在するシステムについては、低い評価レベルを付与でき、安全性の高さに応じた評価を評価対象の内部システムに対して下すことができる。
条件(例えば上記項目(1)〜(5)のうちの少なくとも一つ、または、上記項目(1)〜(5)と(a)〜(g)のうちの少なくとも一つ)を満たしている利用者端末の割合に基づいて、もしくは、同割合および各管理条件の重要度に基づいて、複数の利用者端末(内部システム)についてのセキュリティレベルを数値化して評価することが可能である。上記割合のみに基づいて数値化/評価を行なう場合、例えば、上記項目(1)〜(5)または上記項目(1)〜(5)と(a)〜(g)のうちの少なくとも一つの管理条件うちの少なくとも一つを満たす利用者端末の割合が100%であれば最高評価を下し、以下、その割合に応じた段階的な評価レベルを評価対象の内部システムに対して付与することができる。つまり、管理条件を満たす利用者端末が多いシステムほど高い評価レベルを付与でき、安全性の高さに応じた評価を評価対象の内部システムに対して下すことができる。また、管理条件の重要度に基づいて数値化/評価を行なうことで、重要度の高い管理条件を満たさない利用者端末が存在するシステムについては、低い評価レベルを付与でき、安全性の高さに応じた評価を評価対象の内部システムに対して下すことができる。
(付記Civ)複数の管理条件(例えば上記項目(1)〜(5)、または、例えば上記項目(1)
〜(5)と(a)〜(g)のうちの少なくとも一つ)のうちの少なくとも一つについて、内部シス
テムの安全性を確保するための重要度が極めて高い場合、その管理条件を重要管理条件として設定することにより、その重要管理条件を満たさない利用者端末が1台でもあれば、他の項目の割合に関係なく、低い評価レベルを評価対象の内部システムに対して付与することで、評価対象の内部システムのセキュリティレベル(セキュリティ状況)を簡易かつ確実に評価することができる。
〜(5)と(a)〜(g)のうちの少なくとも一つ)のうちの少なくとも一つについて、内部シス
テムの安全性を確保するための重要度が極めて高い場合、その管理条件を重要管理条件として設定することにより、その重要管理条件を満たさない利用者端末が1台でもあれば、他の項目の割合に関係なく、低い評価レベルを評価対象の内部システムに対して付与することで、評価対象の内部システムのセキュリティレベル(セキュリティ状況)を簡易かつ確実に評価することができる。
(付記Cv)環境情報収集エージェントファイルを管理サーバから複数の利用者端末に送信し、各利用者端末において環境情報収集エージェントファイルを実行させることで当該利用者端末における環境情報を管理サーバに収集することが可能である。従って、管理サーバは、環境情報収集エージェントファイルを作成し、その環境情報収集エージェントファイルを評価対象の内部システムに属する複数の利用者端末に対して一斉に送信するだけで、複数の利用者端末における環境情報を極めて容易に収集することができる。
(付記Cvi)第一もしくは第二電子教育エージェントファイルを管理サーバから利用者端末に送信し、各利用者端末において第一もしくは第二電子教育エージェントファイルを実行させることでセキュリティ全般についての電子教育や違反事項についての電子教育を当該利用者端末の利用者に対して実行させることが可能である。従って、管理サーバは、第一電子教育エージェントファイルを評価対象の内部ネットワークに属する複数の利用者端末に対して一斉に送信するだけで、複数の利用者端末に対するセキュリティ全般についての電子教育を極めて容易に実行することができるほか、第二電子教育エージェントファイルを違反者の利用者端末に対して送信するだけで、違反者に対する違反事項についての
電子教育を極めて容易に実行することができる。
電子教育を極めて容易に実行することができる。
(付記Cvii)定期的に収集される環境情報に基づいて、複数の利用者端末(評価対象
の内部システム)についてのセキュリティレベルを定期的に評価し、その定期的な評価結果を複数の利用者端末の利用者や管理者に通知することにより、利用者や管理者は、内部システムのセキュリティ状況を定期的に把握することができ、その内部システムについて安全な環境の確保・維持に寄与することになる。
の内部システム)についてのセキュリティレベルを定期的に評価し、その定期的な評価結果を複数の利用者端末の利用者や管理者に通知することにより、利用者や管理者は、内部システムのセキュリティ状況を定期的に把握することができ、その内部システムについて安全な環境の確保・維持に寄与することになる。
(付記Cviii)管理条件を満たしていないと管理サーバにより判断された利用者端末では、電子ファイルの書出もしくは送信を制限することで、違反者の端末からの書出もしくは送信による情報の拡散が有効に防止される。また、管理条件を満たす利用者端末では、書出もしくは送信についての制限は生じないため、利用者端末の使用について、何ら支障をきたすことはない。また、管理サーバにより判断された管理条件の程度に応じて、電子ファイルの書出もしくは送信の制限を変更することによっても、違反者の端末からの書出もしくは送信による情報の拡散が適切、かつ、有効に防止される。また、管理条件を満たす利用者端末では、書出もしくは送信についての制限は生じないため、利用者端末の使用について、何ら支障をきたすことはない。
これにより、個人情報や機密情報が複数の利用者端末に分散して保存されていても、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、各端末において個人情報や機密情報を含む電子ファイルが外部媒体に書出/送信されるのを禁止でき、その電子ファイルが外部へ持ち出されたり送信されたりするのを抑止でき、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止することができる。
(付記Cix)そして、第二電子教育を実行させる利用者端末に対して、書出もしくは送信の制限(書出中止もしくは送信中止、あるいは、個人情報を除いた状態にした書出もしくは送信)を実行することで、違反者の端末からの書出もしくは送信による情報の拡散が有効に防止される。また、第二電子教育を受けず第一電子教育を受けただけの利用者端末では、書出もしくは送信についての制限は生じないため、利用者端末の使用について、何ら支障をきたすことはない。
すなわち、第二電子教育を受けている利用者端末では、電子ファイルの書出もしくは送信命令が発生した場合、送出制御手段が、該個人情報ファイルの書出もしくは送信を制限(書出中止もしくは送信中止、あるいは、個人情報を除いた状態にした書出もしくは送信)するよう制御する。これにより、個人情報ファイルが外部記憶媒体やネットワークに書出もしくは送信されなくなり、外部記憶媒体やネットワークを介した個人情報の流出が防止される。また、同様に、当該電子ファイルが個人情報ファイルであると判定されていれば、送出制御手段が、該個人情報ファイルの書出もしくは送信を制限(書出中止もしくは送信中止、あるいは、個人情報を除いた状態にした書出もしくは送信)するよう制御する。これにより、個人情報ファイルが外部記憶媒体やネットワークに書出もしくは送信されなくなり、外部記憶媒体やネットワークを介した個人情報の流出が防止される。
また、管理サーバをさらにそなえ、該管理サーバが、探査された個人情報ファイルに対する書出もしくは送信要求を管理することで、個人情報の書出もしくは送信による不用意な流出・漏洩や個人情報の不正利用などをより確実に防止することが可能になる。
(D1)付記D1:
個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう個人情報探査手段と、前記個人情報探査プログラムを起動し、保持する電子ファイルが個人情報ファイルであるか否かの判定を前記個人情報探査手段に実行させる制御手段と、前記個人
情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該個人情報探査手段による前記判定結果を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を中止するプリント制御手段と、をそなえて構成された、ことを特徴とする情報管理端末である。
個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう個人情報探査手段と、前記個人情報探査プログラムを起動し、保持する電子ファイルが個人情報ファイルであるか否かの判定を前記個人情報探査手段に実行させる制御手段と、前記個人
情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該個人情報探査手段による前記判定結果を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を中止するプリント制御手段と、をそなえて構成された、ことを特徴とする情報管理端末である。
本付記の情報管理端末によれば、個人情報探査プログラムを常駐させている第一クライアント端末では、電子ファイルのプリント命令が発生した場合、当該電子ファイルが個人情報ファイルであると判定されていれば、プリント制御手段が、該個人情報ファイルのプリンタへの送信を中止するよう制御する。これにより、個人情報ファイルが紙媒体にプリントアウトされなくなり、紙媒体を介した個人情報の流出が防止される。
(D2)付記D2:
個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう個人情報探査手段と、前記個人情報探査プログラムを起動し、保持する電子ファイルが個人情報ファイルであるか否かの判定を前記個人情報探査手段に実行させる制御手段と、前記個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該個人情報探査手段による前記判定結果と、当該電子ファイルの個人情報に該当する箇所とを記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段と、をそなえて構成された、ことを特徴とする情報管理端末である。
個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう個人情報探査手段と、前記個人情報探査プログラムを起動し、保持する電子ファイルが個人情報ファイルであるか否かの判定を前記個人情報探査手段に実行させる制御手段と、前記個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該個人情報探査手段による前記判定結果と、当該電子ファイルの個人情報に該当する箇所とを記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段と、をそなえて構成された、ことを特徴とする情報管理端末である。
本付記の情報管理端末によれば、個人情報探査プログラムを常駐させている第一クライアント端末では、電子ファイルのプリント命令が発生した場合、当該電子ファイルが個人情報ファイルであると判定されていれば、プリント制御手段が、個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するよう制御する。これにより、個人情報ファイルの個人情報部分が紙媒体にプリントアウトされなくなり、紙媒体を介した個人情報の流出が防止される。
(D3)付記D3:
個人情報探査プログラムを常駐させていないクライアント端末と、ネットワークを介して前記クライアント端末と相互に通信可能に接続され、クライアント端末における個人情報ファイルを管理する個人情報管理サーバと、をそなえ、該個人情報管理サーバが、前記個人情報探査プログラムを実行することにより該ネットワークを介して該クライアント端末における個人情報ファイルの探査を行なう個人情報探査手段と、該個人情報探査手段により個人情報ファイルの探査を行なった時点での、該クライアント端末における電子ファイルに関する情報を保存する電子ファイル情報保存手段と、電子ファイルが個人情報ファイルであるか否かを判定する探査を該個人情報探査手段に実行させる制御手段とをそなえて構成され、該クライアント端末が、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報探査手段による判定結果を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を中止するプリント制御手段と、をそなえて構成されていることを特徴とする管理システムである。
個人情報探査プログラムを常駐させていないクライアント端末と、ネットワークを介して前記クライアント端末と相互に通信可能に接続され、クライアント端末における個人情報ファイルを管理する個人情報管理サーバと、をそなえ、該個人情報管理サーバが、前記個人情報探査プログラムを実行することにより該ネットワークを介して該クライアント端末における個人情報ファイルの探査を行なう個人情報探査手段と、該個人情報探査手段により個人情報ファイルの探査を行なった時点での、該クライアント端末における電子ファイルに関する情報を保存する電子ファイル情報保存手段と、電子ファイルが個人情報ファイルであるか否かを判定する探査を該個人情報探査手段に実行させる制御手段とをそなえて構成され、該クライアント端末が、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報探査手段による判定結果を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を中止するプリント制御手段と、をそなえて構成されていることを特徴とする管理システムである。
本付記の管理システムによれば、個人情報探査プログラムを常駐させていない第二クラ
イアント端末では、電子ファイルのプリント命令が発生した場合、当該電子ファイルが個人情報ファイルであると個人情報管理サーバにより判定されていれば、プリント制御手段が、該個人情報ファイルのプリンタへの送信を中止するよう制御する。これにより、個人情報ファイルが紙媒体にプリントアウトされなくなり、紙媒体を介した個人情報の流出が防止される。
イアント端末では、電子ファイルのプリント命令が発生した場合、当該電子ファイルが個人情報ファイルであると個人情報管理サーバにより判定されていれば、プリント制御手段が、該個人情報ファイルのプリンタへの送信を中止するよう制御する。これにより、個人情報ファイルが紙媒体にプリントアウトされなくなり、紙媒体を介した個人情報の流出が防止される。
(D4)付記D4:
個人情報探査プログラムを常駐させていないクライアント端末と、ネットワークを介して前記クライアント端末と相互に通信可能に接続され、クライアント端末における個人情報ファイルを管理する個人情報管理サーバと、をそなえ、該個人情報管理サーバが、前記個人情報探査プログラムを実行することにより該ネットワークを介して該クライアント端末における個人情報ファイルの探査を行なう個人情報探査手段と、該個人情報探査手段により個人情報ファイルの探査を行なった時点での、該クライアント端末における電子ファイルに関する情報を保存する電子ファイル情報保存手段と、電子ファイルが個人情報ファイルであるか否かを判定する探査を該個人情報探査手段に実行させる制御手段とをそなえて構成され、該クライアント端末が、前記個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該個人情報探査手段による前記判定結果と、当該電子ファイルの個人情報に該当する箇所とを記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段と、をそなえて構成されていることを特徴とする管理システムである。
個人情報探査プログラムを常駐させていないクライアント端末と、ネットワークを介して前記クライアント端末と相互に通信可能に接続され、クライアント端末における個人情報ファイルを管理する個人情報管理サーバと、をそなえ、該個人情報管理サーバが、前記個人情報探査プログラムを実行することにより該ネットワークを介して該クライアント端末における個人情報ファイルの探査を行なう個人情報探査手段と、該個人情報探査手段により個人情報ファイルの探査を行なった時点での、該クライアント端末における電子ファイルに関する情報を保存する電子ファイル情報保存手段と、電子ファイルが個人情報ファイルであるか否かを判定する探査を該個人情報探査手段に実行させる制御手段とをそなえて構成され、該クライアント端末が、前記個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該個人情報探査手段による前記判定結果と、当該電子ファイルの個人情報に該当する箇所とを記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段と、をそなえて構成されていることを特徴とする管理システムである。
本付記の管理システムによれば、個人情報探査プログラムを常駐させていない第二クライアント端末では、電子ファイルのプリント命令が発生した場合、当該電子ファイルが個人情報ファイルであると個人情報管理サーバにより判定されていれば、プリント制御手段が、個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するよう制御する。これにより、個人情報ファイルの個人情報部分が紙媒体にプリントアウトされなくなり、紙媒体を介した個人情報の流出が防止される。
付記D5:
複数のクライアント端末と、該複数のクライアント端末とネットワークを介して相互に通信可能に接続され、該複数のクライアント端末における個人情報ファイルを管理する個人情報管理サーバとをそなえるとともに、該複数のクライアント端末が、個人情報ファイルの探査を実行するための個人情報探査プログラムを常駐させている第一クライアント端末と、前記個人情報探査プログラムを常駐させていない第二クライアント端末とを含み、該第一クライアント端末が、前記個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう第一個人情報探査手段と、該第一クライアント端末における電子ファイルの追加・変更を検知する検知手段と、該検知手段により電子ファイルの追加・変更を検知した場合に、前記個人情報探査プログラムを起動し、追加・変更された当該電子ファイルが個人情報ファイルであるか否かを判定するリアルタイム探査を該第一個人情報探査手段に実行させる第一制御手段と、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該ネットワークを介して該第一個人情報探査手段による判定結果を該個人情報管理サーバへ送信する送信手段と、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該第一個人情報探査手段による判定結果を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を中止するプリント制御手段と、をそなえて構成され、該個人情
報管理サーバが、前記個人情報探査プログラムを実行することにより該ネットワークを介して該第二クライアント端末における個人情報ファイルの探査を行なう第二個人情報探査手段と、該第二個人情報探査手段により最後に個人情報ファイルの定期探査を行なった時点での、該第二クライアント端末における電子ファイルに関する情報を保存する電子ファイル情報保存手段と、該第二クライアント端末における電子ファイルに関する最新情報と該ファイル情報保存手段に保存されている情報とを比較し、最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更された電子ファイルを、差分ファイルとして、該ネットワークを介して該第二クライアント端末から定期的に抽出する差分抽出手段と、該差分抽出手段により抽出された前記差分ファイルが個人情報ファイルであるか否かを判定する定期探査を該第二個人情報探査手段に実行させる第二制御手段とをそなえて構成され、該第二クライアント端末が、該第二個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該第二個人情報探査手段による判定結果を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該第二個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を中止するプリント制御手段と、をそなえて構成されている、ことを特徴とする管理システムである。
複数のクライアント端末と、該複数のクライアント端末とネットワークを介して相互に通信可能に接続され、該複数のクライアント端末における個人情報ファイルを管理する個人情報管理サーバとをそなえるとともに、該複数のクライアント端末が、個人情報ファイルの探査を実行するための個人情報探査プログラムを常駐させている第一クライアント端末と、前記個人情報探査プログラムを常駐させていない第二クライアント端末とを含み、該第一クライアント端末が、前記個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう第一個人情報探査手段と、該第一クライアント端末における電子ファイルの追加・変更を検知する検知手段と、該検知手段により電子ファイルの追加・変更を検知した場合に、前記個人情報探査プログラムを起動し、追加・変更された当該電子ファイルが個人情報ファイルであるか否かを判定するリアルタイム探査を該第一個人情報探査手段に実行させる第一制御手段と、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該ネットワークを介して該第一個人情報探査手段による判定結果を該個人情報管理サーバへ送信する送信手段と、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該第一個人情報探査手段による判定結果を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を中止するプリント制御手段と、をそなえて構成され、該個人情
報管理サーバが、前記個人情報探査プログラムを実行することにより該ネットワークを介して該第二クライアント端末における個人情報ファイルの探査を行なう第二個人情報探査手段と、該第二個人情報探査手段により最後に個人情報ファイルの定期探査を行なった時点での、該第二クライアント端末における電子ファイルに関する情報を保存する電子ファイル情報保存手段と、該第二クライアント端末における電子ファイルに関する最新情報と該ファイル情報保存手段に保存されている情報とを比較し、最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更された電子ファイルを、差分ファイルとして、該ネットワークを介して該第二クライアント端末から定期的に抽出する差分抽出手段と、該差分抽出手段により抽出された前記差分ファイルが個人情報ファイルであるか否かを判定する定期探査を該第二個人情報探査手段に実行させる第二制御手段とをそなえて構成され、該第二クライアント端末が、該第二個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該第二個人情報探査手段による判定結果を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該第二個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信を中止するプリント制御手段と、をそなえて構成されている、ことを特徴とする管理システムである。
上述した本付記の管理システムによれば、個人情報探査プログラムを常駐させている第一クライアント端末では、ファイルの追加・変更が検知されると、個人情報探査プログラムが起動されてリアルタイム探査が実行され、追加・変更された電子ファイルが個人情報ファイルであるか否かの判定が行なわれ、その判定結果が個人情報管理サーバに送信される。これに対し、個人情報探査プログラムを常駐させていない第二クライアント端末における電子ファイルについては個人情報管理サーバによって管理され、第二クライアント端末における電子ファイルに関する最新情報と最後に個人情報ファイルの定期探査を行なった時点のファイルに関する情報との差分が定期的に監視され、その差分に対応する電子ファイルが第二クライアント端末から個人情報管理サーバ側に抽出されて(吸い上げられて)定期探査が実行され、吸い上げられたファイルが個人情報ファイルであるか否かの判定が個人情報管理サーバで行なわれる。
これにより、個人情報探査プログラム常駐の端末における個人情報ファイルついても、また、個人情報探査プログラム非常駐の端末における個人情報ファイルについても、自動的に探査して個人情報管理サーバの管理下に置くことが可能になる。
そして、電子ファイルのプリント命令が発生した場合、当該電子ファイルが個人情報ファイルであると判定されていれば、プリント制御手段が、該個人情報ファイルのプリンタへの送信を中止するよう制御する。これにより、個人情報ファイルが紙媒体にプリントアウトされなくなり、紙媒体を介した個人情報の流出が防止される。
(D6)付記D6:
複数のクライアント端末と、該複数のクライアント端末とネットワークを介して相互に通信可能に接続され、該複数のクライアント端末における個人情報ファイルを管理する個人情報管理サーバとをそなえるとともに、該複数のクライアント端末が、個人情報ファイルの探査を実行するための個人情報探査プログラムを常駐させている第一クライアント端末と、前記個人情報探査プログラムを常駐させていない第二クライアント端末とを含み、該第一クライアント端末が、前記個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう第一個人情報探査手段と、該第一クライアント端末における電子ファイルの追加・変更を検知する検知手段と、該検知手段により電子ファイルの追加・変更を検知した場合に、前記個人情報探査プログラムを起動し、追加・変更された当該電子ファイルが個人情報ファイルであるか否かを判定するリアルタイム探査を該第一個人情報
探査手段に実行させる第一制御手段と、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該ネットワークを介して該第一個人情報探査手段による判定結果を該個人情報管理サーバへ送信する送信手段と、前記第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該第一個人情報探査手段による前記判定結果に基づいて、当該電子ファイルの個人情報に該当する箇所を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段と、をそなえて構成され、該個人情報管理サーバが、前記個人情報探査プログラムを実行することにより該ネットワークを介して該第二クライアント端末における個人情報ファイルの探査を行なう第二個人情報探査手段と、該第二個人情報探査手段により最後に個人情報ファイルの定期探査を行なった時点での、該第二クライアント端末における電子ファイルに関する情報を保存する電子ファイル情報保存手段と、該第二クライアント端末における電子ファイルに関する最新情報と該ファイル情報保存手段に保存されている情報とを比較し、最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更された電子ファイルを、差分ファイルとして、該ネットワークを介して該第二クライアント端末から定期的に抽出する差分抽出手段と、該差分抽出手段により抽出された前記差分ファイルが個人情報ファイルであるか否かを判定する定期探査を該第二個人情報探査手段に実行させる第二制御手段とをそなえて構成され、該第二クライアント端末が、該第二個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段と、をそなえて構成されている、ことを特徴とする管理システムである。
複数のクライアント端末と、該複数のクライアント端末とネットワークを介して相互に通信可能に接続され、該複数のクライアント端末における個人情報ファイルを管理する個人情報管理サーバとをそなえるとともに、該複数のクライアント端末が、個人情報ファイルの探査を実行するための個人情報探査プログラムを常駐させている第一クライアント端末と、前記個人情報探査プログラムを常駐させていない第二クライアント端末とを含み、該第一クライアント端末が、前記個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう第一個人情報探査手段と、該第一クライアント端末における電子ファイルの追加・変更を検知する検知手段と、該検知手段により電子ファイルの追加・変更を検知した場合に、前記個人情報探査プログラムを起動し、追加・変更された当該電子ファイルが個人情報ファイルであるか否かを判定するリアルタイム探査を該第一個人情報
探査手段に実行させる第一制御手段と、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該ネットワークを介して該第一個人情報探査手段による判定結果を該個人情報管理サーバへ送信する送信手段と、前記第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合に、該第一個人情報探査手段による前記判定結果に基づいて、当該電子ファイルの個人情報に該当する箇所を記憶する記憶手段と、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該第一個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段と、をそなえて構成され、該個人情報管理サーバが、前記個人情報探査プログラムを実行することにより該ネットワークを介して該第二クライアント端末における個人情報ファイルの探査を行なう第二個人情報探査手段と、該第二個人情報探査手段により最後に個人情報ファイルの定期探査を行なった時点での、該第二クライアント端末における電子ファイルに関する情報を保存する電子ファイル情報保存手段と、該第二クライアント端末における電子ファイルに関する最新情報と該ファイル情報保存手段に保存されている情報とを比較し、最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更された電子ファイルを、差分ファイルとして、該ネットワークを介して該第二クライアント端末から定期的に抽出する差分抽出手段と、該差分抽出手段により抽出された前記差分ファイルが個人情報ファイルであるか否かを判定する定期探査を該第二個人情報探査手段に実行させる第二制御手段とをそなえて構成され、該第二クライアント端末が、該第二個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段と、をそなえて構成されている、ことを特徴とする管理システムである。
上述した本付記の管理システムによれば、個人情報探査プログラムを常駐させている第一クライアント端末では、ファイルの追加・変更が検知されると、個人情報探査プログラムが起動されてリアルタイム探査が実行され、追加・変更された電子ファイルが個人情報ファイルであるか否かの判定が行なわれ、その判定結果が個人情報管理サーバに送信される。これに対し、個人情報探査プログラムを常駐させていない第二クライアント端末における電子ファイルについては個人情報管理サーバによって管理され、第二クライアント端末における電子ファイルに関する最新情報と最後に個人情報ファイルの定期探査を行なった時点のファイルに関する情報との差分が定期的に監視され、その差分に対応する電子ファイルが第二クライアント端末から個人情報管理サーバ側に抽出されて(吸い上げられて)定期探査が実行され、吸い上げられたファイルが個人情報ファイルであるか否かの判定が個人情報管理サーバで行なわれる。
これにより、個人情報探査プログラム常駐の端末における個人情報ファイルついても、また、個人情報探査プログラム非常駐の端末における個人情報ファイルについても、自動的に探査して個人情報管理サーバの管理下に置くことが可能になる。
そして、電子ファイルのプリント命令が発生した場合、当該電子ファイルが個人情報ファイルであると判定されていれば、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するよう制御する。これにより、個人情報ファイルの個人情報部分が紙媒体にプリントアウトされなくなり、紙媒体を介した個人情報の流出が防止される。
(D7)付記D7:
前記クライアント端末は、文字あるいは画像を表示する表示手段と、前記表示手段への
表示の制御を行う表示制御手段とをさらにそなえ、前記表示制御手段は、前記個人情報ファイルであると判定された電子ファイルについても制限なく表示を実行する制御を行う、ことを特徴とする付記D3〜付記D6のいずれか1項に記載の管理システムである。
前記クライアント端末は、文字あるいは画像を表示する表示手段と、前記表示手段への
表示の制御を行う表示制御手段とをさらにそなえ、前記表示制御手段は、前記個人情報ファイルであると判定された電子ファイルについても制限なく表示を実行する制御を行う、ことを特徴とする付記D3〜付記D6のいずれか1項に記載の管理システムである。
上述した本付記の管理システムによれば、前記クライアント端末の表示制御手段は、個人情報ファイルであると判定された電子ファイルについて、プリントに制限を加えるものの、制限なく表示を実行する制御を行うため、個人情報ファイルが紙媒体にプリントアウトされなくなり、紙媒体を介した個人情報の流出が防止される。
(D8)付記D8:
前記クライアント端末は、文字あるいは画像を表示する表示手段と、前記表示手段への表示の制御を行う表示制御手段と、該クライアント端末の位置を検出する位置検出手段とをさらにそなえ、前記表示制御手段は、前記位置検出手段で検出された位置に応じて、前記個人情報ファイルであると判定された電子ファイルについての表示に制限を加える、ことを特徴とする付記D3〜付記D6のいずれか1項に記載の管理システムである。
前記クライアント端末は、文字あるいは画像を表示する表示手段と、前記表示手段への表示の制御を行う表示制御手段と、該クライアント端末の位置を検出する位置検出手段とをさらにそなえ、前記表示制御手段は、前記位置検出手段で検出された位置に応じて、前記個人情報ファイルであると判定された電子ファイルについての表示に制限を加える、ことを特徴とする付記D3〜付記D6のいずれか1項に記載の管理システムである。
なお、最初に情報管理端末あるいはクライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、リアルタイム探査を実行させる、ことが、(D1)〜(D8)において、望ましい。
また、最初に該クライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、前記定期探査を実行させる、ことが、(D3)〜(D8)において、望ましい。
また、該個人情報管理サーバが、探査された個人情報ファイルを保存しているクライアント端末から当該個人情報ファイルが外部へ出力されるのを強制的に禁止する、ことが、(D3)〜(D8)において、望ましい。
また、該複数のクライアント端末のそれぞれが、探査された個人情報ファイルを監視し、当該個人情報ファイルに対するプリント要求が生じた場合にはその旨を該個人情報管理サーバに通知するプリント要求監視手段をさらにそなえて構成されている、ことが、(D3)〜(D8)において、望ましい。
また、該個人情報管理サーバと相互に通信可能に接続され、電子ファイルに対するアクセスを管理する電子ファイルアクセス管理サーバをさらにそなえ、該個人情報管理サーバが、探査された個人情報ファイルに対するプリント要求を該ファイルアクセス管理サーバに管理させる、ことが、(D3)〜(D8)において、望ましい。
上述した本付記の管理システムによれば、クライアント端末の位置を検出する位置検出手段とをさらにそなえ、表示制御手段は、位置検出手段で検出された位置に応じて、個人情報ファイルであると判定された電子ファイルについての表示に制限を加えるため、個人情報ファイルが紙媒体にプリントアウトされなくなって紙媒体を介した個人情報の流出が防止されると共に、社外などでの個人情報の表示も抑制されて個人情報の流出が防止される。
なお、上述した本付記の管理システムによれば、最初にクライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、リアルタイム探査を実行させる。その際、最初に、個人情報探査プログラム常駐の端末において全データを対象にして個人情報ファイルの探査を1回だけ実行しておけば、それ以降は、上述のごとく、追加・変更された電子ファイルや差分ファイルに対する探査(判定)を行なうだけで、毎回、
全てのデータを対象にした探査を行なうことなく、各端末において新たに作成・追加された個人情報ファイルを、極めて効率よく確実に探査することができる。
全てのデータを対象にした探査を行なうことなく、各端末において新たに作成・追加された個人情報ファイルを、極めて効率よく確実に探査することができる。
従って、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイルを確実に探査し管理可能な状態に置けるようにして、個人情報の開示要求や訂正要求に確実に対応できるようにするとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することを目的としている。
また、上述した本付記の管理システムによれば、最初に第二クライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、定期探査を実行させる。その際、最初に、個人情報探査プログラム非常駐の端末については個人情報管理サーバがネットワークを介して全データを対象にして個人情報ファイルの探査を1回だけ実行しておけば、それ以降は、上述のごとく、追加・変更された電子ファイルや差分ファイルに対する探査(判定)を行なうだけで、毎回、全てのデータを対象にした探査を行なうことなく、各端末において新たに作成・追加された個人情報ファイルを、極めて効率よく確実に探査することができる。
従って、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイルを確実に探査し管理可能な状態に置けるようにして、個人情報の開示要求や訂正要求に確実に対応できるようにするとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することを目的としている。
また、上述した本付記の管理システムによれば、個人情報管理サーバが、個人情報ファイルを保存しているクライアント端末から当該個人情報ファイルが外部へ出力されるのを強制的に禁止することで、個人情報の不用意な流出・漏洩や個人情報の不正利用などをより確実に防止することができる。
また、上述した本付記の管理システムによれば、複数のクライアント端末のそれぞれが、探査された個人情報ファイルを監視し、当該個人情報ファイルに対するプリント要求が生じた場合にはその旨を該個人情報管理サーバに通知するプリント要求監視手段をさらにそなえて構成されているため、プリント要求を個人情報管理サーバに管理させることが可能になり、個人情報の不用意な流出・漏洩や個人情報の不正利用などをより確実に防止することができる。
また、上述した本付記の管理システムによれば、電子ファイルに対するアクセスを管理する電子ファイルアクセス管理サーバをさらにそなえ、該個人情報管理サーバが、探査された個人情報ファイルに対するプリント要求を該ファイルアクセス管理サーバに管理させるため、プリント要求をファイルアクセス管理サーバに管理させることが可能になり、個人情報の不用意な流出・漏洩や個人情報の不正利用などをより確実に防止することができる。
(D9)付記D9:
クライアント端末における個人情報ファイルを管理する個人情報管理サーバとネットワークを介して相互に通信可能に接続されたクライアント端末において個人情報ファイルの探査を行なう個人情報探査手段、該クライアント端末における電子ファイルの追加・変更を検知する検知手段、該検知手段により電子ファイルの追加・変更を検知した場合に、追加・変更された当該電子ファイルが個人情報ファイルであるか否かを判定するリアルタイム探査を該個人情報探査手段に実行させる制御手段、個人情報探査手段により当該電子フ
ァイルが個人情報ファイルであると判定された場合に、該個人情報探査手段による前記判定結果に基づいて、当該電子ファイルの個人情報に該当する箇所を記憶する記憶手段、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段、として該クライアント端末を機能させることを特徴とする管理プログラムである。
クライアント端末における個人情報ファイルを管理する個人情報管理サーバとネットワークを介して相互に通信可能に接続されたクライアント端末において個人情報ファイルの探査を行なう個人情報探査手段、該クライアント端末における電子ファイルの追加・変更を検知する検知手段、該検知手段により電子ファイルの追加・変更を検知した場合に、追加・変更された当該電子ファイルが個人情報ファイルであるか否かを判定するリアルタイム探査を該個人情報探査手段に実行させる制御手段、個人情報探査手段により当該電子フ
ァイルが個人情報ファイルであると判定された場合に、該個人情報探査手段による前記判定結果に基づいて、当該電子ファイルの個人情報に該当する箇所を記憶する記憶手段、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、該個人情報探査手段により当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段、として該クライアント端末を機能させることを特徴とする管理プログラムである。
上述した本付記の管理プログラムによれば、個人情報探査プログラムを常駐させている第一クライアント端末では、ファイルの追加・変更が検知されると、個人情報探査プログラムが起動されてリアルタイム探査が実行され、追加・変更された電子ファイルが個人情報ファイルであるか否かの判定が行なわれ、その判定結果が個人情報管理サーバに送信される。これに対し、個人情報探査プログラムを常駐させていない第二クライアント端末における電子ファイルについては個人情報管理サーバによって管理され、第二クライアント端末における電子ファイルに関する最新情報と最後に個人情報ファイルの定期探査を行なった時点のファイルに関する情報との差分が定期的に監視され、その差分に対応する電子ファイルが第二クライアント端末から個人情報管理サーバ側に抽出されて(吸い上げられて)定期探査が実行され、吸い上げられたファイルが個人情報ファイルであるか否かの判定が個人情報管理サーバで行なわれる。これにより、個人情報探査プログラム常駐の端末における個人情報ファイルついても、また、個人情報探査プログラム非常駐の端末における個人情報ファイルについても、自動的に探査して個人情報管理サーバの管理下に置くことが可能になる。そして、電子ファイルのプリント命令が発生した場合、当該電子ファイルが個人情報ファイルであると判定されていれば、プリント制御手段が、該個人情報ファイルのプリンタへの送信を中止するよう制御する。これにより、個人情報ファイルが紙媒体にプリントアウトされなくなり、紙媒体を介した個人情報の流出が防止される。
(D10)付記D10:
個人情報ファイルを管理する個人情報管理サーバとネットワークを介して相互に通信可能に接続されたクライアント端末において、電子ファイルが個人情報ファイルであると前記個人情報管理サーバにより判定された場合に、該判定結果に基づいて、当該電子ファイルの個人情報に該当する箇所を記憶する記憶手段、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段、として該クライアント端末を機能させることを特徴とする管理プログラムである。
個人情報ファイルを管理する個人情報管理サーバとネットワークを介して相互に通信可能に接続されたクライアント端末において、電子ファイルが個人情報ファイルであると前記個人情報管理サーバにより判定された場合に、該判定結果に基づいて、当該電子ファイルの個人情報に該当する箇所を記憶する記憶手段、電子ファイルのプリント命令に応じて電子ファイルの内容をプリンタに送信する機能を備えると共に、当該電子ファイルが個人情報ファイルであると判定された場合、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するプリント制御手段、として該クライアント端末を機能させることを特徴とする管理プログラムである。
そして、前記個人情報探査プログラムが、判定対象ファイルが特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルであるか否かを判定する機能をコンピュータに実現させるためのものであって、当該判定対象ファイルに含まれるテキストデータを抽出する抽出手段、該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段、該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第一判定手段、該第一判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段、該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字
もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段、および、該第一判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第二判定手段として、該コンピュータを機能させてもよい。
もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段、および、該第一判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第二判定手段として、該コンピュータを機能させてもよい。
このとき、該第一判定手段において、該切出手段によって切り出された文字区間における文字列が、電話番号に該当するか否かを判定し、電話番号に該当しない場合に電子メールアドレスに該当するか否かを判定し、電子メールアドレスに該当しない場合に住所に該当するか否かを判定し、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当すると判定された時点で、当該文字列についての判定処理を終了してもよい。
また、該第二判定手段が、該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間における文字列を氏名に該当する個人情報要素と見なして、当該判定対象ファイルが個人情報ファイルであるか否かを判定してもよい。
さらに、該第二判定手段が、前記計数結果に基づいて、該第一判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とが多いほど大きくなる判定値を算出し、算出された判定値が所定閾値を超えた場合に当該判定対象ファイルが個人情報ファイルであると判定してもよい。
そして、該個人情報管理サーバが、該第二判定手段によって算出された前記判定値に応じて、当該判定対象ファイルを管理したり、該第一個人情報探査手段もしくは該第二個人情報探査手段によって探査された個人情報ファイルを管理対象とし、該第二判定手段によって算出された前記判定値に応じて、当該個人情報ファイルを管理したりしてもよい。
上述した本付記の管理プログラムによれば、個人情報探査プログラムを常駐させている第一クライアント端末では、ファイルの追加・変更が検知されると、個人情報探査プログラムが起動されてリアルタイム探査が実行され、追加・変更された電子ファイルが個人情報ファイルであるか否かの判定が行なわれ、その判定結果が個人情報管理サーバに送信される。これに対し、個人情報探査プログラムを常駐させていない第二クライアント端末における電子ファイルについては個人情報管理サーバによって管理され、第二クライアント端末における電子ファイルに関する最新情報と最後に個人情報ファイルの定期探査を行なった時点のファイルに関する情報との差分が定期的に監視され、その差分に対応する電子ファイルが第二クライアント端末から個人情報管理サーバ側に抽出されて(吸い上げられて)定期探査が実行され、吸い上げられたファイルが個人情報ファイルであるか否かの判定が個人情報管理サーバで行なわれる。これにより、個人情報探査プログラム常駐の端末における個人情報ファイルついても、また、個人情報探査プログラム非常駐の端末における個人情報ファイルについても、自動的に探査して個人情報管理サーバの管理下に置くことが可能になる。そして、電子ファイルのプリント命令が発生した場合、当該電子ファイルが個人情報ファイルであると判定されていれば、該個人情報ファイルのプリンタへの送信時に、該個人情報ファイルの個人情報に該当する箇所について不可視状態にしてプリンタへの送信を実行するよう制御する。これにより、個人情報ファイルの個人情報部分が紙媒体にプリントアウトされなくなり、紙媒体を介した個人情報の流出が防止される。
なお、このとき、第二クライアント端末における差分ファイルを抽出するための、ファイルに関する情報としては、少なくともファイル作成/更新日時,ファイルサイズ,ファ
イル名を用いることができ、その情報を参照しその情報の変更・追加を認識するだけで、差分ファイルを極めて容易に認識して抽出することができる。
イル名を用いることができ、その情報を参照しその情報の変更・追加を認識するだけで、差分ファイルを極めて容易に認識して抽出することができる。
また、個人情報管理サーバが、ネットワークに接続されたクライアント端末に対し、そのクライアント端末の利用者からの要求に応じて個人情報探査プログラムをインストールするように構成することにより、クライアント端末毎に、その利用者が個人情報探査プログラムの常駐/非常駐を選択して設定できるので、利用者が、メモリ容量や、他プログラムとの相性の問題などの理由で個人情報探査プログラムの非常駐を要望する場合、その要望に対応することができ、利便性が高められる。非常駐を選択・設定された端末は、上述した第二クライアント端末として取り扱われ、個人情報管理サーバによる定期探査対象となる。
さらに、本付記の管理システムにおいて探査された個人情報ファイルに対しデジタル署名を付与することにより、個人情報ファイルが改竄されていないことを保証することができ、第三者による偽造を防止することができる。
また、本付記の管理システムにおいて探査された個人情報ファイルは個人情報管理サーバによって管理され、個人情報ファイルをクライアント端末から強制的に捕獲・回収したり、回収された個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したり、個人情報ファイルがクライアント端末から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを保存しているクライアント端末に対し警告情報を通知したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバに管理させたりすることが可能で、個人情報の不用意な流出・漏洩や個人情報の不正利用などをより確実に防止することができる。
さらに、各クライアント端末において、探査された個人情報ファイルでを監視し、その個人情報ファイルに対するプリント要求が生じた場合にはその旨を個人情報管理サーバに通知することにより、個人情報ファイルに対するアクセスが、個人情報管理サーバで追跡管理されることになり、個人情報の不正利用をより確実に防止することができる。
一方、本付記の管理システムにおいて、個人情報探査プログラムをコンピュータで実行することによって実現される個人情報探査機能によれば、氏名以外の個人情報要素(電話番号,電子メールアドレス,住所のいずれか一つ)に該当せず且つ不適切文字もしくは不適切文字列を含む文字区間は個人情報に関するものではないと見なされる一方、氏名以外の個人情報要素に該当せず且つ不適切文字もしくは不適切文字列を含まない文字区間は個人情報、特に氏名に関するものであると見なされる。
従って、氏名以外の個人情報要素(電話番号,電子メールアドレス,住所のいずれか一つ)に該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、氏名以外の個人情報要素に該当しないと判定された文字区間についてのみ不適切文字もしくは不適切文字列との照合処理が行なわれ、不適切文字もしくは不適切文字列が一つでも文字区間に含まれると判定された時点でその照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう従来手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探査処理を高速に行なうことが可能になる。また、不適切文字もしくは不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字もしくは不適切文字列を含まないデータ集合体、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高い電子ファイルを確実に探査することが可能になる。
なお、上記文字判定手段をさらにそなえることで、氏名以外の個人情報要素に該当せず
且つ不適切文字もしくは不適切文字列を含まない文字区間であって、その文字区間における文字の数が所定範囲内であり且つその文字区間における文字が漢字であるものを、氏名に関する情報であると見なすことが可能になり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。このとき、前記所定範囲を、氏名の文字数として一般的(適切)な数の範囲、例えば1以上6以下に設定することで、氏名の照合精度をより向上させることができるとともに、氏名の照合処理をより高速に行なうことができる。また、上記所定範囲を超える長い文字区間を照合手段による照合対象から除外することができるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探査処理のさらなる高速化に寄与することになる。
且つ不適切文字もしくは不適切文字列を含まない文字区間であって、その文字区間における文字の数が所定範囲内であり且つその文字区間における文字が漢字であるものを、氏名に関する情報であると見なすことが可能になり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。このとき、前記所定範囲を、氏名の文字数として一般的(適切)な数の範囲、例えば1以上6以下に設定することで、氏名の照合精度をより向上させることができるとともに、氏名の照合処理をより高速に行なうことができる。また、上記所定範囲を超える長い文字区間を照合手段による照合対象から除外することができるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探査処理のさらなる高速化に寄与することになる。
そして、個人情報管理サーバが、上述した個人情報探査プログラムを実行することにより判定対象ファイル毎に算出された判定値に応じて、判定対象ファイルや個人情報ファイルを管理することにより、判定対象ファイルや個人情報ファイル毎に、判定値レベル(個人情報ファイルである可能性の高さ/個人情報要素数の多さ)に応じた管理手法を選択して実行することができる。
(E1)付記E1:
複数の利用者端末と、
該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、
該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、
該管理サーバが、
少なくとも一つの安全条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末に実行させる第1電子教育制御手段と、
該第1電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が前記少なくとも一つの安全条件を満たしているか否かを判断する判断手段と、
該判断手段によって安全条件を満たしていないと判断された利用者端末の利用者および/もしくは管理者に対し、警告を発する警告手段と、
該判断手段によって安全条件を満たしていないと判断された利用者端末に、当該安全条件に係る事項についての電子教育を実行させる第2電子教育制御手段とをそなえて構成されていることを特徴とする、管理システム。
複数の利用者端末と、
該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、
該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、
該管理サーバが、
少なくとも一つの安全条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末に実行させる第1電子教育制御手段と、
該第1電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が前記少なくとも一つの安全条件を満たしているか否かを判断する判断手段と、
該判断手段によって安全条件を満たしていないと判断された利用者端末の利用者および/もしくは管理者に対し、警告を発する警告手段と、
該判断手段によって安全条件を満たしていないと判断された利用者端末に、当該安全条件に係る事項についての電子教育を実行させる第2電子教育制御手段とをそなえて構成されていることを特徴とする、管理システム。
(E2)付記E2:
複数の利用者端末と、
該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、
該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、
該管理サーバが、
該環境情報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が少なくとも一つの安全条件を満たしているか否かを判断し該複数の利用者端末についてのセキュリティレベルを評価する評価手段と、
該評価手段によって得られた評価結果を、該複数の利用者端末の利用者および/もしくは管理者に通知する通知手段と、
前記少なくとも一つの安全条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末に実行させる第1電子教育制御手段と、
該第1電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が前記少なくとも一つの安全条
件を満たしているか否かを判断する判断手段と、
該判断手段によって安全条件を満たしていないと判断された利用者端末の利用者および/もしくは管理者に対し、警告を発する警告手段と、
該判断手段によって安全条件を満たしていないと判断された利用者端末に、当該安全条件に係る事項についての電子教育を実行させる第2電子教育制御手段とをそなえて構成されていることを特徴とする、管理システム。
複数の利用者端末と、
該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、
該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、
該管理サーバが、
該環境情報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が少なくとも一つの安全条件を満たしているか否かを判断し該複数の利用者端末についてのセキュリティレベルを評価する評価手段と、
該評価手段によって得られた評価結果を、該複数の利用者端末の利用者および/もしくは管理者に通知する通知手段と、
前記少なくとも一つの安全条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末に実行させる第1電子教育制御手段と、
該第1電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が前記少なくとも一つの安全条
件を満たしているか否かを判断する判断手段と、
該判断手段によって安全条件を満たしていないと判断された利用者端末の利用者および/もしくは管理者に対し、警告を発する警告手段と、
該判断手段によって安全条件を満たしていないと判断された利用者端末に、当該安全条件に係る事項についての電子教育を実行させる第2電子教育制御手段とをそなえて構成されていることを特徴とする、管理システム。
(E3)付記E3:
該複数の利用者端末が、共通の構内通信網に接続されて内部システムを構成するとともに、
該管理サーバが、該構内通信網に接続された外部通信網と該構内通信網とを介して該複数の利用者端末と相互に通信可能に接続され、
該管理サーバの該評価手段が、該複数の利用者端末についてのセキュリティレベルを評価することにより、該内部システム全体のセキュリティレベルを評価することを特徴とする、付記E2記載の管理システム。
該複数の利用者端末が、共通の構内通信網に接続されて内部システムを構成するとともに、
該管理サーバが、該構内通信網に接続された外部通信網と該構内通信網とを介して該複数の利用者端末と相互に通信可能に接続され、
該管理サーバの該評価手段が、該複数の利用者端末についてのセキュリティレベルを評価することにより、該内部システム全体のセキュリティレベルを評価することを特徴とする、付記E2記載の管理システム。
(E4)付記E4:
該管理サーバにおける該評価手段が、該複数の利用者端末のうちで前記少なくとも一つの安全条件を満たしている利用者端末の割合に基づいて、該複数の利用者端末についてのセキュリティレベルを数値化して評価することを特徴とする、付記E2または付記E3に記載の管理システム。
該管理サーバにおける該評価手段が、該複数の利用者端末のうちで前記少なくとも一つの安全条件を満たしている利用者端末の割合に基づいて、該複数の利用者端末についてのセキュリティレベルを数値化して評価することを特徴とする、付記E2または付記E3に記載の管理システム。
(E5)付記E5:
該管理サーバにおける該評価手段が、該複数の利用者端末のうちで前記少なくとも一つの安全条件を満たしている利用者端末の割合と、前記安全条件の重要度とに基づいて、該複数の利用者端末についてのセキュリティレベルを数値化して評価することを特徴とする、付記E2または付記E3に記載の管理システム。
該管理サーバにおける該評価手段が、該複数の利用者端末のうちで前記少なくとも一つの安全条件を満たしている利用者端末の割合と、前記安全条件の重要度とに基づいて、該複数の利用者端末についてのセキュリティレベルを数値化して評価することを特徴とする、付記E2または付記E3に記載の管理システム。
(E6)付記E6:
前記セキュリティレベルを評価するための複数の安全条件が予め設定されるとともに、前記複数の安全条件のうち、重要度が他の安全条件よりも高いものが重要安全条件として予め設定され、
該管理サーバにおける該評価手段が、まず該複数の利用者端末のそれぞれが前記重要安全条件を満たしているか否かを判定し、該複数の利用者端末のうち1台でも前記重要安全条件を満たさないものがある場合には、該複数の利用者端末についてのセキュリティレベルを最低レベルとして決定する一方、前記重要安全条件を満たさない利用者端末が1台も存在しない場合には、前記重要安全条件以外の安全条件のうちで少なくとも一つの安全条件を満たしている利用者端末の割合に基づいて該複数の利用者端末についてのセキュリティレベルを数値化して評価することを特徴とする、付記E2または付記E3に記載の管理システム。
前記セキュリティレベルを評価するための複数の安全条件が予め設定されるとともに、前記複数の安全条件のうち、重要度が他の安全条件よりも高いものが重要安全条件として予め設定され、
該管理サーバにおける該評価手段が、まず該複数の利用者端末のそれぞれが前記重要安全条件を満たしているか否かを判定し、該複数の利用者端末のうち1台でも前記重要安全条件を満たさないものがある場合には、該複数の利用者端末についてのセキュリティレベルを最低レベルとして決定する一方、前記重要安全条件を満たさない利用者端末が1台も存在しない場合には、前記重要安全条件以外の安全条件のうちで少なくとも一つの安全条件を満たしている利用者端末の割合に基づいて該複数の利用者端末についてのセキュリティレベルを数値化して評価することを特徴とする、付記E2または付記E3に記載の管理システム。
(E7)付記E7:
前記安全条件が、
(1)利用者端末にセキュリティ対策ソフトウエアがインストールされ、オン設定になっ
ていること、
(2)利用者端末における、セキュリティ対策ソフトウエアとしてのセキュリティパッチ
更新ソフトウエアのセキュリティパッチの更新情報が最新であること、
(3)利用者端末における、セキュリティ対策ソフトウエアとしてのウイルス対策ソフト
ウエアのウイルス定義ファイルの更新情報が最新であること、
(4)利用者端末に危険ソフトウエアがインストールされていないこと、
(5)利用者端末が不正コピーを保有していないこと、
のうちの少なくとも一つを含んでいることを特徴とする、付記E1〜付記E6のいずれか一項に記載の管理システム。
前記安全条件が、
(1)利用者端末にセキュリティ対策ソフトウエアがインストールされ、オン設定になっ
ていること、
(2)利用者端末における、セキュリティ対策ソフトウエアとしてのセキュリティパッチ
更新ソフトウエアのセキュリティパッチの更新情報が最新であること、
(3)利用者端末における、セキュリティ対策ソフトウエアとしてのウイルス対策ソフト
ウエアのウイルス定義ファイルの更新情報が最新であること、
(4)利用者端末に危険ソフトウエアがインストールされていないこと、
(5)利用者端末が不正コピーを保有していないこと、
のうちの少なくとも一つを含んでいることを特徴とする、付記E1〜付記E6のいずれか一項に記載の管理システム。
(E8)付記E8:
該環境情報収集手段が、該管理サーバにおける環境情報収集エージェントファイル送信手段および環境情報受信手段と、該複数の利用者端末のそれぞれにおける環境情報収集エージェントファイル実行手段とから構成され、
該管理サーバにおける該環境情報収集エージェントファイル送信手段が、該複数の利用者端末のそれぞれに前記環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信し、
各利用者端末における該環境情報収集エージェントファイル実行手段が、該管理サーバから送信された該環境情報収集エージェントファイルを実行することにより、当該利用者端末における前記環境情報を収集し、その収集結果を該管理サーバへ送信して通知し、
該管理サーバにおける該環境情報受信手段が、各利用者端末から送信された前記環境情報を受信し、該評価手段もしくは該判断手段に受け渡すことを特徴とする、付記E1〜付記E7のいずれか一項に記載の管理システム。
該環境情報収集手段が、該管理サーバにおける環境情報収集エージェントファイル送信手段および環境情報受信手段と、該複数の利用者端末のそれぞれにおける環境情報収集エージェントファイル実行手段とから構成され、
該管理サーバにおける該環境情報収集エージェントファイル送信手段が、該複数の利用者端末のそれぞれに前記環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信し、
各利用者端末における該環境情報収集エージェントファイル実行手段が、該管理サーバから送信された該環境情報収集エージェントファイルを実行することにより、当該利用者端末における前記環境情報を収集し、その収集結果を該管理サーバへ送信して通知し、
該管理サーバにおける該環境情報受信手段が、各利用者端末から送信された前記環境情報を受信し、該評価手段もしくは該判断手段に受け渡すことを特徴とする、付記E1〜付記E7のいずれか一項に記載の管理システム。
(E9)付記E9:
該管理サーバにおける該第1電子教育制御手段が、
前記少なくとも一つの安全条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末のそれぞれに実行させる第1電子教育エージェントファイルを作成もしくは保持する第1電子教育エージェントファイル作成/保持手段と、
該第1電子教育エージェントファイル作成/保持手段により作成/保持された、該第1電子教育エージェントファイルを、該複数の利用者端末に送信する第1電子教育エージェントファイル送信手段とから構成され、
該複数の利用者端末のそれぞれが、
該管理サーバから送信された該第1電子教育エージェントファイルを実行することにより、当該利用者端末において、前記少なくとも一つの安全条件に係る事項を含むセキュリティについての電子教育を当該利用者端末の利用者に対して実行する第1電子教育エージェントファイル実行手段をそなえていることを特徴とする、付記E1〜付記E8のいずれか一項に記載の管理システム。
該管理サーバにおける該第1電子教育制御手段が、
前記少なくとも一つの安全条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末のそれぞれに実行させる第1電子教育エージェントファイルを作成もしくは保持する第1電子教育エージェントファイル作成/保持手段と、
該第1電子教育エージェントファイル作成/保持手段により作成/保持された、該第1電子教育エージェントファイルを、該複数の利用者端末に送信する第1電子教育エージェントファイル送信手段とから構成され、
該複数の利用者端末のそれぞれが、
該管理サーバから送信された該第1電子教育エージェントファイルを実行することにより、当該利用者端末において、前記少なくとも一つの安全条件に係る事項を含むセキュリティについての電子教育を当該利用者端末の利用者に対して実行する第1電子教育エージェントファイル実行手段をそなえていることを特徴とする、付記E1〜付記E8のいずれか一項に記載の管理システム。
(E10)付記E10:
該管理サーバにおける該第2電子教育制御手段が、
該判断手段によって満たされていないと判断された安全条件に係る事項についての電子教育を、該判断手段によって当該安全条件を満たしていないと判断された利用者端末に実行させる第2電子教育エージェントファイルを作成もしくは保持する第2電子教育エージェントファイル作成/保持手段と、
該第2電子教育エージェントファイル作成/保持手段により作成/保持された、該第2電子教育エージェントファイルを、当該利用者端末に送信する第2電子教育エージェントファイル送信手段とから構成され、
当該利用者端末が、
該管理サーバから送信された該第2電子教育エージェントファイルを実行することにより、当該利用者端末において、該判断手段によって満たされていないと判断された安全条件に係る事項についての電子教育を当該利用者端末の利用者に対して実行する第2電子教育エージェントファイル実行手段をそなえていることを特徴とする、付記E1〜付記E9のいずれか一項に記載の管理システム。
該管理サーバにおける該第2電子教育制御手段が、
該判断手段によって満たされていないと判断された安全条件に係る事項についての電子教育を、該判断手段によって当該安全条件を満たしていないと判断された利用者端末に実行させる第2電子教育エージェントファイルを作成もしくは保持する第2電子教育エージェントファイル作成/保持手段と、
該第2電子教育エージェントファイル作成/保持手段により作成/保持された、該第2電子教育エージェントファイルを、当該利用者端末に送信する第2電子教育エージェントファイル送信手段とから構成され、
当該利用者端末が、
該管理サーバから送信された該第2電子教育エージェントファイルを実行することにより、当該利用者端末において、該判断手段によって満たされていないと判断された安全条件に係る事項についての電子教育を当該利用者端末の利用者に対して実行する第2電子教育エージェントファイル実行手段をそなえていることを特徴とする、付記E1〜付記E9のいずれか一項に記載の管理システム。
(E11)付記E11:
複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバであって、
該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段と、
各利用者端末から送信された前記環境情報を受信する環境情報受信手段と、
少なくとも一つの安全条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末に実行させる第1電子教育制御手段と、
該第1電子教育制御手段による電子教育後に該環境情報収集エージェントファイル送信手段が送信した環境情報収集エージェントファイルに応じ該環境情報受信手段によって受信された各利用者端末における前記環境情報に基づいて、各利用者端末が前記少なくとも一つの安全条件を満たしているか否かを判断する判断手段と、
該判断手段によって安全条件を満たしていないと判断された利用者端末の利用者および/もしくは管理者に対し、警告を発する警告手段と、
該判断手段によって安全条件を満たしていないと判断された利用者端末に、当該安全条件に係る事項についての電子教育を実行させる第2電子教育制御手段とをそなえて構成されていることを特徴とする、管理サーバ。
複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバであって、
該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段と、
各利用者端末から送信された前記環境情報を受信する環境情報受信手段と、
少なくとも一つの安全条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末に実行させる第1電子教育制御手段と、
該第1電子教育制御手段による電子教育後に該環境情報収集エージェントファイル送信手段が送信した環境情報収集エージェントファイルに応じ該環境情報受信手段によって受信された各利用者端末における前記環境情報に基づいて、各利用者端末が前記少なくとも一つの安全条件を満たしているか否かを判断する判断手段と、
該判断手段によって安全条件を満たしていないと判断された利用者端末の利用者および/もしくは管理者に対し、警告を発する警告手段と、
該判断手段によって安全条件を満たしていないと判断された利用者端末に、当該安全条件に係る事項についての電子教育を実行させる第2電子教育制御手段とをそなえて構成されていることを特徴とする、管理サーバ。
(E12)付記E12:
複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバであって、
該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段と、
各利用者端末から送信された前記環境情報を受信する環境情報受信手段と、
該環境情報受信手段によって受信された各利用者端末における前記環境情報に基づいて、各利用者端末が少なくとも一つの安全条件を満たしているか否かを判断し該複数の利用者端末についてのセキュリティレベルを評価する評価手段と、
該評価手段によって得られた評価結果を、該複数の利用者端末の利用者および/もしくは管理者に通知する通知手段と、
前記少なくとも一つの安全条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末に実行させる第1電子教育制御手段と、
該第1電子教育制御手段による電子教育後に該環境情報収集エージェントファイル送信手段が送信した環境情報収集エージェントファイルに応じ該環境情報受信手段によって受信された各利用者端末における前記環境情報に基づいて、各利用者端末が前記少なくとも一つの安全条件を満たしているか否かを判断する判断手段と、
該判断手段によって安全条件を満たしていないと判断された利用者端末の利用者および/もしくは管理者に対し、警告を発する警告手段と、
該判断手段によって安全条件を満たしていないと判断された利用者端末に、当該安全条件に係る事項についての電子教育を実行させる第2電子教育制御手段とをそなえて構成されていることを特徴とする、管理サーバ。
複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバであって、
該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段と、
各利用者端末から送信された前記環境情報を受信する環境情報受信手段と、
該環境情報受信手段によって受信された各利用者端末における前記環境情報に基づいて、各利用者端末が少なくとも一つの安全条件を満たしているか否かを判断し該複数の利用者端末についてのセキュリティレベルを評価する評価手段と、
該評価手段によって得られた評価結果を、該複数の利用者端末の利用者および/もしくは管理者に通知する通知手段と、
前記少なくとも一つの安全条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末に実行させる第1電子教育制御手段と、
該第1電子教育制御手段による電子教育後に該環境情報収集エージェントファイル送信手段が送信した環境情報収集エージェントファイルに応じ該環境情報受信手段によって受信された各利用者端末における前記環境情報に基づいて、各利用者端末が前記少なくとも一つの安全条件を満たしているか否かを判断する判断手段と、
該判断手段によって安全条件を満たしていないと判断された利用者端末の利用者および/もしくは管理者に対し、警告を発する警告手段と、
該判断手段によって安全条件を満たしていないと判断された利用者端末に、当該安全条件に係る事項についての電子教育を実行させる第2電子教育制御手段とをそなえて構成されていることを特徴とする、管理サーバ。
(E13)付記E13:
複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、
該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段、
各利用者端末から送信された前記環境情報を受信する環境情報受信手段、
少なくとも一つの安全条件に係る事項を含むセキュリティについての電子教育を該複数
の利用者端末に実行させる第1電子教育制御手段、
該第1電子教育制御手段による電子教育後に該環境情報収集エージェントファイル送信手段が送信した環境情報収集エージェントファイルに応じ該環境情報受信手段によって受信された各利用者端末における前記環境情報に基づいて、各利用者端末が前記少なくとも一つの安全条件を満たしているか否かを判断する判断手段、
該判断手段によって安全条件を満たしていないと判断された利用者端末の利用者および/もしくは管理者に対し、警告を発する警告手段、および、
該判断手段によって安全条件を満たしていないと判断された利用者端末に、当該安全条件に係る事項についての電子教育を実行させる第2電子教育制御手段として、該コンピュータを機能させることを特徴とする、管理プログラム。
複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、
該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段、
各利用者端末から送信された前記環境情報を受信する環境情報受信手段、
少なくとも一つの安全条件に係る事項を含むセキュリティについての電子教育を該複数
の利用者端末に実行させる第1電子教育制御手段、
該第1電子教育制御手段による電子教育後に該環境情報収集エージェントファイル送信手段が送信した環境情報収集エージェントファイルに応じ該環境情報受信手段によって受信された各利用者端末における前記環境情報に基づいて、各利用者端末が前記少なくとも一つの安全条件を満たしているか否かを判断する判断手段、
該判断手段によって安全条件を満たしていないと判断された利用者端末の利用者および/もしくは管理者に対し、警告を発する警告手段、および、
該判断手段によって安全条件を満たしていないと判断された利用者端末に、当該安全条件に係る事項についての電子教育を実行させる第2電子教育制御手段として、該コンピュータを機能させることを特徴とする、管理プログラム。
(E14)付記E14:
複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、
該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段、
各利用者端末から送信された前記環境情報を受信する環境情報受信手段、
該環境情報受信手段によって受信された各利用者端末における前記環境情報に基づいて、各利用者端末が少なくとも一つの安全条件を満たしているか否かを判断し該複数の利用者端末についてのセキュリティレベルを評価する評価手段、
該評価手段によって得られた評価結果を、該複数の利用者端末の利用者および/もしくは管理者に通知する通知手段、
前記少なくとも一つの安全条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末に実行させる第1電子教育制御手段、
該第1電子教育制御手段による電子教育後に該環境情報収集エージェントファイル送信手段が送信した環境情報収集エージェントファイルに応じ該環境情報受信手段によって受信された各利用者端末における前記環境情報に基づいて、各利用者端末が前記少なくとも一つの安全条件を満たしているか否かを判断する判断手段、
該判断手段によって安全条件を満たしていないと判断された利用者端末の利用者および/もしくは管理者に対し、警告を発する警告手段、および、
該判断手段によって安全条件を満たしていないと判断された利用者端末に、当該安全条件に係る事項についての電子教育を実行させる第2電子教育制御手段として、該コンピュータを機能させることを特徴とする、管理プログラム。
複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、
該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段、
各利用者端末から送信された前記環境情報を受信する環境情報受信手段、
該環境情報受信手段によって受信された各利用者端末における前記環境情報に基づいて、各利用者端末が少なくとも一つの安全条件を満たしているか否かを判断し該複数の利用者端末についてのセキュリティレベルを評価する評価手段、
該評価手段によって得られた評価結果を、該複数の利用者端末の利用者および/もしくは管理者に通知する通知手段、
前記少なくとも一つの安全条件に係る事項を含むセキュリティについての電子教育を該複数の利用者端末に実行させる第1電子教育制御手段、
該第1電子教育制御手段による電子教育後に該環境情報収集エージェントファイル送信手段が送信した環境情報収集エージェントファイルに応じ該環境情報受信手段によって受信された各利用者端末における前記環境情報に基づいて、各利用者端末が前記少なくとも一つの安全条件を満たしているか否かを判断する判断手段、
該判断手段によって安全条件を満たしていないと判断された利用者端末の利用者および/もしくは管理者に対し、警告を発する警告手段、および、
該判断手段によって安全条件を満たしていないと判断された利用者端末に、当該安全条件に係る事項についての電子教育を実行させる第2電子教育制御手段として、該コンピュータを機能させることを特徴とする、管理プログラム。
(F1)付記F1:
上記Cに属する各付記と、上記Dに属する各付記と、を組み合わせた、管理システム、管理サーバ、管理プログラム。
上記Cに属する各付記と、上記Dに属する各付記と、を組み合わせた、管理システム、管理サーバ、管理プログラム。
(F2)付記F2:
上記Dに属する各付記と、上記Eに属する各付記と、を組み合わせた、管理システム、管理サーバ、管理プログラム。
上記Dに属する各付記と、上記Eに属する各付記と、を組み合わせた、管理システム、管理サーバ、管理プログラム。
1 管理システム
10 クライアント端末(利用者端末)
10a CPU
10b 記憶部
10c 検疫テーブル
10d Pマークテーブル
11 第一個人情報探査手段(探査エンジン,テキスト抽出エンジン)
12 検知手段
13 第一制御手段
14 アクセス監視手段
15 送受信手段(送信手段)
16 プリント要求監視手段
18 プリント制御手段
19 表示制御手段
20 個人情報管理サーバ
20a CPU
20b データベース
20b−1 検疫テーブル
20b−2 Pマークテーブル
20b−3 ファイル情報保存手段
20c 表示部
30 ファイルアクセス管理サーバ
40 ネットワーク(社内LAN)
60 プリンタ
10 クライアント端末(利用者端末)
10a CPU
10b 記憶部
10c 検疫テーブル
10d Pマークテーブル
11 第一個人情報探査手段(探査エンジン,テキスト抽出エンジン)
12 検知手段
13 第一制御手段
14 アクセス監視手段
15 送受信手段(送信手段)
16 プリント要求監視手段
18 プリント制御手段
19 表示制御手段
20 個人情報管理サーバ
20a CPU
20b データベース
20b−1 検疫テーブル
20b−2 Pマークテーブル
20b−3 ファイル情報保存手段
20c 表示部
30 ファイルアクセス管理サーバ
40 ネットワーク(社内LAN)
60 プリンタ
Claims (11)
- 複数の利用者端末と、
該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、
該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、
該管理サーバが、
セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、
該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、
該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、
を備えて構成され、
該複数の利用者端末のそれぞれが、
周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段と、
前記管理条件を満たすか前記詳細電子教育を完了したと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可し、前記管理条件を満たしておらず前記詳細電子教育が完了していないと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの暗号化されない状態での外部への書出もしくは送信を許可せず、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの暗号化された状態での外部への書出もしくは送信を許可する制御手段と、
をそなえて構成されていることを特徴とする管理システム。 - 複数の利用者端末と、
該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、
該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、
該管理サーバが、
セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、
該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、
該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、
を備えて構成され、
該複数の利用者端末のそれぞれが、
周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段と、
前記管理条件を満たすか前記詳細電子教育を完了したと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可し、前記管理条件を満たしておらず前記詳細電子教育が完了していないと前記管理サーバにより判断された利用者端末では、該電子ファイルが保護対象情報ファイルである場合に、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの暗号化されない状態での外部への書出もしくは送信を許可せず、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの暗号化された状態での外部への書出もしくは送信を許可する制御手段と、
をそなえて構成されていることを特徴とする管理システム。 - 複数の利用者端末と、
該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、
該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、
該管理サーバが、
セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、
該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、
該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、
を備えて構成され、
該複数の利用者端末のそれぞれが、
周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段と、
前記管理条件を満たすか前記詳細電子教育を完了したと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可し、前記管理条件を満たしておらず前記詳細電子教育が完了していないと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可しない制御手段と、
をそなえて構成されていることを特徴とする管理システム。 - 複数の利用者端末と、
該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、
該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、
該管理サーバが、
セキュリティ全般についての全般電子教育を該複数の利用者端末に実行させる第一電子教育制御手段と、
該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段と、
該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段と、
を備えて構成され、
該複数の利用者端末のそれぞれが、
周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段と、
前記管理条件を満たすか前記詳細電子教育を完了したと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可し、前記管理条件を満たしておらず前記詳細電子教育が完了していないと前記管理サーバにより判断された利用者端末では、該電子ファイルが保護対象情報ファイルである場合に、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可しない制御手段と、
をそなえて構成されていることを特徴とする管理システム。 - 前記制御手段は、前記管理条件を満たしておらず前記電子教育が完了していないと判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信を行う場合、前記電子ファイルを暗号化して書出もしくは送信を許可する、
ことを特徴とする請求項4記載の管理システム。 - 前記周辺機器動作制御手段はデバイスドライバである、
ことを特徴とする請求項1〜請求項5のいずれか一項に記載の管理システム。 - 前記特定のプロトコルはピクチャトランスファプロトコルあるいはメディアトランスファプロトコルのいずれかである、
ことを特徴とする請求項1〜請求項6のいずれか一項に記載の管理システム。 - 複数の利用者端末と管理サーバとが相互に通信可能に接続され、該複数の利用者端末を管理する管理システムとして、前記利用者端末のコンピュータと前記管理サーバのコンピュータを機能させる管理プログラムであって、
該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段、
セキュリティ全般についての電子教育を該複数の利用者端末に実行させる第一電子教育制御手段、
該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段、
前記判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段、
周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段、
前記管理条件を満たすか前記詳細電子教育を完了したと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可し、前記管理条件を満たしておらず前記詳細電子教育が完了していないと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可しない制御手段、
としてコンピュータを機能させることを特徴とする管理プログラム。 - 複数の利用者端末と管理サーバとが相互に通信可能に接続され、該複数の利用者端末を管理する管理システムとして、前記利用者端末のコンピュータと前記管理サーバのコンピュータを機能させる管理プログラムであって、
該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段、
セキュリティ全般についての全般電子教育を該複数の利用者端末に実行させる第一電子教育制御手段、
該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段、
該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段、
周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段、
前記管理条件を満たすか前記詳細電子教育を完了したと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可し、前記管理条件を満たしておらず前記詳細電子教育が完了していないと前記管理サーバにより判断された利用者端末では、該電子ファイルが保護対象情報ファイルである場合に、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可しない制御手段、
としてコンピュータを機能させることを特徴とする管理プログラム。 - 複数の利用者端末と管理サーバとが相互に通信可能に接続され、該複数の利用者端末を管理する管理システムとして、前記利用者端末のコンピュータと前記管理サーバのコンピュータを機能させる管理プログラムであって、
該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段、
セキュリティ全般についての全般電子教育を前記利用者端末に実行させる第一電子教育制御手段、
該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段、
該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段、
周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段、
前記管理条件を満たすか前記詳細電子教育を完了したと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可し、前記管理条件を満たしておらず前記詳細電子教育が完了していないと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの暗号化されない状態での外部への書出もしくは送信を許可せず、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの暗号化された状態での外部への書出もしくは送信を許可する制御手段、
としてコンピュータを機能させることを特徴とする管理プログラム。 - 複数の利用者端末と管理サーバとが相互に通信可能に接続され、該複数の利用者端末を管理する管理システムとして、前記利用者端末のコンピュータと前記管理サーバのコンピュータを機能させる管理プログラムであって、
該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段、
セキュリティ全般についての全般電子教育を前記利用者端末に実行させる第一電子教育制御手段、
該第一電子教育制御手段による電子教育後に該環境報収集手段によって収集された各利用者端末における前記環境情報に基づいて、各利用者端末が管理条件を満たしているか否かを判断する判断手段、
該判断手段によって管理条件を満たしていないと判断された利用者端末に、当該管理条件に係る事項についての詳細電子教育を実行させる第二電子教育制御手段、
周辺機器に対する電子ファイルの書出もしくは送信を制御する周辺機器動作制御手段、
前記管理条件を満たすか前記詳細電子教育を完了したと前記管理サーバにより判断された利用者端末では、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの外部への書出もしくは送信を許可し、前記管理条件を満たしておらず前記詳細電子教育が完了していないと前記管理サーバにより判断された利用者端末では、該電子ファイルが保護対象情報ファイルである場合に、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの暗号化されない状態での外部への書出もしくは送信を許可せず、前記周辺機器動作制御手段を介さない特定のプロトコルの通信による前記電子ファイルの暗号化された状態での外部への書出もしくは送信を許可する制御手段と、
としてコンピュータを機能させることを特徴とする管理プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008032338A JP4175578B1 (ja) | 2008-02-13 | 2008-02-13 | 管理システムおよび管理プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008032338A JP4175578B1 (ja) | 2008-02-13 | 2008-02-13 | 管理システムおよび管理プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP4175578B1 true JP4175578B1 (ja) | 2008-11-05 |
| JP2009193259A JP2009193259A (ja) | 2009-08-27 |
Family
ID=40056067
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008032338A Expired - Fee Related JP4175578B1 (ja) | 2008-02-13 | 2008-02-13 | 管理システムおよび管理プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4175578B1 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6103797B2 (ja) * | 2010-11-17 | 2017-03-29 | エンカレッジ・テクノロジ株式会社 | 機密管理装置、機密管理方法、及びプログラム |
| JP5812805B2 (ja) * | 2011-10-31 | 2015-11-17 | 三菱スペース・ソフトウエア株式会社 | 文書秘匿システム、文書秘匿プログラムおよび文書秘匿方法 |
| JP2013109683A (ja) * | 2011-11-24 | 2013-06-06 | Ibis Inc | 個人情報保護と緊急時サポートとを両立したウェブアプリケーションシステム |
| KR101670496B1 (ko) * | 2014-08-27 | 2016-10-28 | 주식회사 파수닷컴 | 데이터 관리 방법, 이를 위한 컴퓨터 프로그램, 그 기록매체, 데이터 관리 방법을 실행하는 사용자 클라이언트 |
| JP6332369B2 (ja) * | 2016-09-08 | 2018-05-30 | 株式会社ニコン | 情報処理装置及びプログラム |
| JP2018200602A (ja) | 2017-05-29 | 2018-12-20 | パナソニックIpマネジメント株式会社 | データ転送方法およびコンピュータプログラム |
-
2008
- 2008-02-13 JP JP2008032338A patent/JP4175578B1/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2009193259A (ja) | 2009-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8645866B2 (en) | Dynamic icon overlay system and method of producing dynamic icon overlays | |
| JP4175578B1 (ja) | 管理システムおよび管理プログラム | |
| JP3814655B1 (ja) | ファイル管理システム,情報処理装置およびファイル管理プログラム | |
| JP3918023B2 (ja) | 個人情報管理システム | |
| JP3762935B1 (ja) | 情報処理装置,ファイル管理システムおよびファイル管理プログラム | |
| JP4206459B2 (ja) | 個人情報管理端末および個人情報管理システムならびに個人情報管理プログラム | |
| JP3705439B1 (ja) | 個人情報探索プログラム,個人情報管理システムおよび個人情報管理機能付き情報処理装置 | |
| JP4168188B2 (ja) | 管理システムおよび管理サーバならびに管理プログラム | |
| JP3878975B1 (ja) | 管理サーバおよび管理プログラム | |
| JP3909362B1 (ja) | 個人情報管理システム,個人情報管理サーバおよび個人情報管理プログラム | |
| JP4082520B2 (ja) | 個人情報探索プログラム | |
| JP2009230763A (ja) | 情報管理システム、情報処理端末装置、および情報管理システムプログラム | |
| JP3799479B1 (ja) | 個人情報管理システム,個人情報管理サーバおよび個人情報管理プログラム | |
| JP4251369B2 (ja) | 個人情報管理システムおよび個人情報管理プログラム | |
| JP2007199981A (ja) | 個人情報管理システム、個人情報管理サーバ、および個人情報管理サーバ用プログラム | |
| JP3890367B1 (ja) | 管理システムおよび管理プログラム | |
| JP4370536B2 (ja) | 管理システムおよび管理プログラム | |
| JP4206465B1 (ja) | 管理システムおよび管理プログラム | |
| JP2006344000A (ja) | 電子メールシステム,電子メール送受信プログラムおよび電子メールシステム用プログラム | |
| JP5430618B2 (ja) | 動的アイコンオーバーレイシステムおよび動的オーバーレイを作成する方法 | |
| JP4139919B2 (ja) | 個人情報探索プログラム | |
| JP3823168B1 (ja) | 管理サーバおよび管理プログラム | |
| JP2006099795A (ja) | 顧客情報管理システム | |
| JP4175575B2 (ja) | 個人情報探索プログラム | |
| JP4206466B2 (ja) | 個人情報探索プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080731 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080815 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110829 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |