以下、本発明の実施の形態を図面に基づいて説明する。
本発明の実施例を、以下に詳細に説明する。
先ず、ドキュメントに関する取り扱いのルールを記述したセキュリティポリシーについて説明する。
本実施例では、異なるタイプのシステムでドキュメントに対するセキュリティポリシーを共有するために、以下のような仕組みを使用して、セキュリティポリシーを記述する。ここでは、記述したセキュリティポリシーのことをドキュメントセキュリティポリシー(DSP)と呼ぶ。
図1は、セキュリティポリシーの例を示す。ユーザの属する組織は、例えば、機密文書、丸秘文書、社外秘文書のような、文書の機密レベルごとに、ドキュメントに対して、例えば、図1のようなセキュリティポリシーを掲げることが想定される。
このようなポリシーをDSPとして記述できるようにするために,以下のような方法を使用する。
まず最初に、ドキュメントを機密レベル(極秘、丸秘、社外秘など)と、カテゴリー(人事文書、技術関連文書など)に応じて分類する。この、機密レベルとカテゴリーの組みを、ドキュメントのセキュリティラベルと呼ぶ。このセキュリティラベルは、実際には、個々のドキュメントに属性情報として付与される。
上記のような、分類の仕方の一例を図2に示す。図2は、ドキュメントラベル用語ファイルの例を示す。図2に示されるようなドキュメントラベル用語ファイル300は、個々のドキュメントに属性情報として付与されるラベルのリストを管理するファイルであり、例えば、XMLによって記述される。
DSPには、ドキュメントの機密レベル及びカテゴリーに応じて、ドキュメントに対して許可される操作(オペレーション)を規定し、そして、その操作を許可する際に実行されるべき要件(管理責任者の許可を得る、ラベルを印刷する、など)を指定できるようにする必要がある。そのような、ドキュメントの機密レベル及びカテゴリーを記述するのが、図2のドキュメントラベル用語ファイル300である。
図2において、<enumeration>から</enumeration>で示される記述311及び記述321によって、2種類のカテゴリーが示される。
記述311において、<enum_id>doc_category</enum_id>を示す記述312は、カテゴリーの識別情報が「doc_category」であることを示す。<enum_name>Document Category</enum_name>を示す記述313は、カテゴリーの名称が「Document Category」であることを示す。<description>文書カテゴリーの種類</description>を示す記述314は、このカテゴリーが何を分類するか示す説明「文書カテゴリーの種類」を示す。
<item>から</item>を示す記述315、記述316及び記述317によって、3つのカテゴリーの項目が示される。記述315は、<name>internal_doc</name>を示す記述によって、項目名が「internal_doc」であることを示し、<description>社内一般文書</description>を示す記述によって、その項目の説明「社内一般文書」を示す。
記述316は、<name>human_resource_doc</name>を示す記述によって、項目名が「human_resource_doc」であることを示し、<description>人事関連文書</description>を示す記述によって、その項目の説明「人事関連文書」を示す。
記述317は、<name>technical_doc</name>を示す記述によって、項目名が「technical_doc」であることを示し、<description>技術関連文書</description>を示す記述によって、その項目の説明「技術関連文書」を示す。
同様に、記述321において、<enum_id>doc_security_level</enum_id>を示す記述322は、カテゴリーの識別情報が「doc_security_level」であることを示す。<enum_name>Document Security Level</enum_name>を示す記述323は、カテゴリーの名称が「Document Security Level」であることを示す。<description>文書のセキュリティレベルの種類</description>を示す記述324は、このカテゴリーが何を分類するか示す説明「文書のセキュリティレベルの種類」を示す。
<item>から</item>を示す記述325、記述326及び記述327によって、3つのカテゴリーの項目が示される。記述325は、<name>basic</name>を示す記述によって、項目名が「basic」であることを示し、<description>社外秘</description>を示す記述によって、その項目の説明「社外秘」を示す。
記述326は、<name>medium</name>を示す記述によって、項目名が「medium」であることを示し、<description>秘</description>を示す記述によって、その項目の説明「秘」を示す。
記述327は、<name>high</name>を示す記述によって、項目名が「high」であることを示し、<description>極秘</description>を示す記述によって、その項目の説明「極秘」を示す。
このように、ドキュメントラベル用語ファイル300によって、社内一般文書、人事関連文書及び技術関連文書のような、文書カテゴリーの種類が規定される。また、社外秘、秘、極秘のような、文書のセキュリティレベルの種類が規定される。
図3から図13は、ポリシー用語ファイルの例を示す図を示す。図3から図13により、1つのポリシー用語ファイル400を構成する。
図3から図13に示されるようなポリシー用語ファイル400は、システムタイプの分類を記述し、そのシステムタイプごとに、オペレーションを列挙する。そして、そのオペレーションごとに、オペレーションの実行の際にサポート可能な要件を列挙しておく。ポリシー用語ファイル400は、例えば、XMLによって記述される。
図3において、列挙して記述する方法は、図2に示すドキュメントラベルファイル300での記述方法と同様に<enumeration>から</enumeration>までの記述を繰り返すことによって示される。<enumeration>から</enumeration>までの詳細な記述は、図2に示すドキュメントラベルファイル300での記述方法と同様であるので、ここでは、簡単な説明のみとする。
例えば、図3においては、記述411によってシステムタイプが列挙される。記述411によると、「システムタイプの種類」として、「複写機」、「プリンタ」、「ファクシミリ」、「スキャナ」、「文書リポジトリ」、及び、「電子会議システム」が記述される。
そして、例えば、図4に示されたように、記述421から記述471によってシステムタイプごとの各オペレーションが列挙される。
記述421において、「複写機に関わるオペレーション」として、「紙から紙への複写」が記述される。記述431において、「プリンタに係わるオペレーション」として、「電子文書を紙へ印刷」が記載される。記述441において、「ファックスに関わるオペレーション」として、「ファックス送信」及び「ファックス受信」が記載される。記述451において、「スキャナに関わるオペレーション」として、「紙文書をスキャンして電子文書にする」が記載される。
記述461において、「文書リポジトリに関わるオペレーション」として、「保存する」、「改訂・編集する」、「削除・破棄する」、「参照する」、「ネットワークで配布する(送信する)」、「ディスクで配布する(送付する)」、及び、「アーカイブ・バックアップする」が記述される。記述471において、「電子会議システムに関わるオペレーション」として、「会議で利用する」が記述される。
更に、例えば、図6から図13示すように、記述481から記述601によってオペレーション毎に適用できる要件が列挙される。
記述481において、「複写に関わる要件」として、「明示的な許可」、「監査証跡の記録」、及び、「監査証跡のイメージ付き記録」が記載される。
記述491において、「印刷に関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、「監査証跡のイメージ付き記録」、「プリントした本人による紙出力」、「信頼チャネルの利用(印刷データの暗号化)」、及び、「プリントアウトに追跡情報埋め込み(透かし、ラベル、バーコード)」が記載される。
記述501において、「ファックス送信に関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、「監査証跡のイメージ付き記録」、「宛先制限」、「親展モードでの送信」、「信頼チャネルの利用」、「送信ファックスに追跡情報埋め込み(透かし、ラベル、バーコード)」、及び、「否認防止(受取証の取得)」が記載される。
記述511において、「ファックス受信に関わる要件」として、「監査証跡の記録」、「監査証跡のイメージ付き記録」、「親展ファックスの宛先本人による取り出し」、「信頼タイムスタンプ」、及び、「受信ファックスに追跡情報埋め込み(透かし、ラベル、バーコード)」が記載される。
記述521において、「スキャンに関わる要件(保存した後については保存要件を適用する)」として、「明示的な許可(利用制限)」、「監査証跡の記録」、「監査証跡のイメージ付き記録」、及び、「スキャン画像に追跡情報埋め込み(透かし、ラベル、バーコード)」が記載される。
記述531において、「保存に関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、「保存データの暗号化」、及び、「保存データの改ざん保護」が記載される。
記述541において、「改訂に関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、及び、「バージョン管理」が記載される。
記述551において、「削除・破棄に関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、「監査証跡のイメージ付き記録」、及び、「完全消去」が記載される。
記述561において、「参照に関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、「編集禁止のデータのみ参照許可」、「印刷禁止のデータのみ参照許可」、「参照場所限定のデータのみ参照許可」、及び、「ユーザ限定のデータのみ参照許可」が記載される。
記述571において、「ネットワーク配信(送信)に関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、「監査証跡のイメージ付き記録」、「信頼チャネルの利用(送信データの暗号化)」、「宛先制限(社内のみ配信可能など)」、「編集禁止のデータのみ配信許可」、「印刷禁止のみ配信許可」、「参照場所限定のデータのみ配信許可」、及び、「ユーザ限定のデータのみ配信許可」が記載される。
記述581において、「ディスク配布(送付)に関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、「監査証跡のイメージ付き記録」、「送付データの暗号化」、「送付データの改ざん保護」、「編集禁止のデータのみ送付許可」、「印刷禁止のみ送付許可」、「参照場所限定のデータのみ送付許可」、及び、「ユーザ限定のデータのみ送付許可」が記載される。
記述591において、「アーカイブ・バックアップに関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、「アーカイブデータの暗号化」、及び、「アーカイブデータの改ざん保護」が記載される。
記述601において、「会議での利用に関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、及び、「監査証跡のイメージ付き記録」が記載される。
図2のドキュメントラベル用語ファイルと図3から図13のポリシー用語ファイルとに基づくDSPについて図14から図22で説明する。図14から図22は、ポリシーファイルの例を示す図である。上述の図2に示すドキュメントラベル用語ファイル300と、図3から図13のポリシー用語ファイル400とに基づいて、ユーザの組織内でのセキュリティに対するポリシーが、例えば図14から図22に示すDSP2000のようにXMLで記述され、1つのポリシーファイルを構成する。
図14から図22に示されるようなDSP2000は、<policy>で示される記述2001から</policy>で示される記述2002にてポリシーが示される。
図14の<acc_rule>を示す記述2011から図16の</acc_rule>を示す記述2012において、<doc_category>ANY</doc_category>及び<doc_security_level>basic</doc_security_level>を示す記述2013によって、ドキュメントカテゴリ「ANY(非限定)」かつドキュメントセキュリティレベル「basic(基本レベル)」であるドキュメント属性を有するドキュメントに対して、<user_category>ANY</user_category>及び<user_security_level>ANY</user_security_level>を示す記述2017によって、ユーザカテゴリ「ANY(非限定)」かつユーザセキュリティレベル「ANY(非限定)」であるユーザ属性を有するユーザが行うオペレーション毎のポリシーが記述される。<operation>から</operation>までの記述毎に、オペレーションの許可(<allowed/>)又は不許可(<denied/>)が規定される。更に、オペレーションが許可される場合は、許可するための要件(<requirement>)が規定される。
図16の<acc_rule>を示す記述2021から図19の</acc_rule>を示す記述2022において、<doc_category>ANY</doc_category>及び<doc_security_level>medium</doc_security_level>を示す記述2023によって、ドキュメントカテゴリ「ANY(非限定)」かつドキュメントセキュリティレベル「medium(中レベル)」であるドキュメント属性を有するドキュメントに対して、<user_category>DOC-CATEGORY</user_category>及び<user_security_level>ANY</user_security_level>を示す記述2027によって、ユーザカテゴリ「DOC-CATEGORY(文書カテゴリーの種類)」(後述の段落番号0084参照)かつユーザセキュリティレベル「ANY(非限定)」であるユーザ属性を有するユーザが行うオペレーション毎のポリシーが記述される。<operation>から</operation>までの記述毎に、オペレーションの許可(<allowed/>)又は不許可(<denied/>)が規定される。更に、オペレーションが許可される場合は、許可するための要件(<requirement>)が規定される。
また、同様のドキュメント属性を有するドキュメントに対して、図18の<user_category>ANY</user_category>及び<user_security_level>ANY</user_security_level>を示す記述2028によって、ユーザカテゴリ「ANY(非限定)」かつユーザセキュリティレベル「ANY(非限定)」であるユーザ属性を有するユーザが行うオペレーション毎のポリシーが記述される。<operation>から</operation>までの記述毎に、オペレーションの許可(<allowed/>)又は不許可(<denied/>)が規定される。更に、オペレーションが許可される場合は、許可するための要件(<requirement>)が規定される。
図19の<acc_rule>を示す記述2031から図19の</acc_rule>を示す記述2032において、<doc_category>ANY</doc_category>及び<doc_security_level>high</doc_security_level>を示す記述2023によって、ドキュメントカテゴリ「ANY(非限定)」かつドキュメントセキュリティレベル「high(高レベル)」であるドキュメント属性を有するドキュメントに対して、<user_category>DOC-CATEGORY</user_category>及び<user_security_level>ANY</user_security_level>を示す記述2037によって、ユーザカテゴリ「DOC-CATEGORY(文書カテゴリーの種類)」(後述の段落番号0084参照)かつユーザセキュリティレベル「ANY(非限定)」であるユーザ属性を有するユーザが行うオペレーション毎のポリシーが記述される。<operation>から</operation>までの記述毎に、オペレーションの許可(<allowed/>)又は不許可(<denied/>)が規定される。更に、オペレーションが許可される場合は、許可するための要件(<requirement>)が規定される。
次に、図14から図22のDSP2000の構造を、図23から図25を参照して、以下に、詳しく説明する。
図23は、DSPの識別情報の例を示す図である。DSP2000の識別情報210において、<about_this_policy>と</about_this_policy>とで囲まれた範囲の記述211〜213には、DSP2000を識別するための識別情報が記述される。
<serial_number>RDSP2023</serial_number>を示す記述211には、DSP2000を他のDSPと区別するためのシリアル番号が記述される。
<terminology_applied>RDST9487</terminology_applied>で示される記述212には、DSP2000に対応するポリシー用語ファイル400のシリアル番号が記述される。尚、この定義ファイルは更新される可能性があるため、このDSP2000がどのポリシー用語ファイルに基づいて記述されているのかを明確にするために記録しておく。記述213には、<title> DOCUMENT-SECURITY-POLICY</title>を示す記述によってDSP2000のタイトル、<version>1.20</version>を示す記述によってバージョン番号、<creation_date>2002/02/18 22:30:24</creation_date>を示す記述によって作成日時、<creator>Taro Tokyo</creator>を示す記述によって作成者、<description>sample document security policy.</description>を示す記述によって説明などの一般的な書誌情報が記述される。
そして、DSP2000の識別情報は、</about_this_policy>により終了する。
次に、上述のDSP200の識別情報に続いて、ポリシーの内容を<policy>と</policy>で囲まれた範囲に記述する。図24は、DSPの構造を説明するための記述例を示す図である。
図24に示されるポリシーの内容220は、以下に説明するように、階層構造を用いて記録する。
ポリシー<policy>は、複数のアクセス制御ルール<acc_rule>(記述221)で構成される。一つのアクセス制御ルール<acc_rule>(記述221)は、対象とするドキュメントのカテゴリー<doc_category>とレベル<doc_security_level>を一意に指定し(記述222),さらにアクセス制御リスト<acl>(記述223)を一つ含むように構成される。
アクセス制御リスト<acl>(記述223)は、複数のアクセス制御エレメント<ace>(記述224)で構成される。
各アクセス制御エレメント<ace>(記述224)は、対象とするユーザのカテゴリー<user_category>(記述225)とレベル<user_security_level>(記述226)を一意に指定し,さらに複数のオペレーション<operation>(記述227)で構成される。
各<operation>(記述227)は、一つのオペレーション名<name>(記述228)と、一つの禁止<denied/>(記述229)、または一つの許可<allowed/>(記述232)、または複数の<requirement>(記述230及び記述231)で構成される。
記述232、226において、ドキュメントのカテゴリー<doc_category>やユーザのカテゴリー<user_security_level>に記述している"ANY"は、どのカテゴリー、及び、レベルにも適用されることを示している。また、記述225によって示されるユーザのカテゴリー<user_category>の"DOC-CATEGORY"は、ユーザのカテゴリーがドキュメントのカテゴリーと同じときに適用されることを示している。
この実施例では、禁止するオペレーションには<denied/>(記述229)を指定するようにしているが、DSP2000に記載されていなければアクセスは許可されていないことを表している、というように構成してもよい。
このように、DSPを記述することにより、ドキュメントのタイプ(カテゴリー、レベル)に応じて,どのようなユーザタイプ(カテゴリー、レベル)が、ドキュメントに対してどのようなオペレーションが可能なのかを記述できる。そして更に、そのドキュメントについて、ユーザが、オペレーションが可能な場合には、どのような要件を満たさなければならないのかを明確に記述することができる。
そして、DSPを、上記のようにプラットフォームに依存しないXMLで記述することにより、異なるタイプのシステム間で、このDSPを共通に利用することができる。特に、セキュリティポリシーを適用したい対象は、電子的なドキュメントに限らず、紙のドキュメントに対しても適用できなければならないため、図3から図13のドキュメントラベルファイルや図14から図22のDSP2000に記述しているように、紙ドキュメントに関するオペレーション(hardcopy,scanなど)も規定できる。
本実施例の、図24に示す要件の中に、以下の<requirement>explicit_authorization</requirement>を示す記述231が存在する。これは、「ドキュメントの管理責任者により明示的な許可が得られた場合には、そのオペレーションを許可する」という要件である。すべて、このDSPに従ってオペレーションがコントロールされるようになると、自由度が無くなる恐れが生じる。しかし、この明示的な許可という要件を指定できるようにすることにより、柔軟なオペレーションコントロールが可能となる。
また、本実施例の特徴として、その「明示的な許可」という要件を指定可能にすることによって、明示的な許可が得られれば実行してもよいオペレーションと,明示的な許可が得られたとしても禁止しなければならないオペレーションとを区別することができるということである。
従って、DSPに記載しないか又は、<denied/>で指定されたオペレーションは明示的な許可が得られたとしても禁止しなければならないオペレーションである。これにより、ポリシーを記述している側の意図を、的確に規定できるようになり、誤って許可を与えてしまってオペレーションが実行されてしまうというような事態をあらかじめ防ぐように規定することができる。
次に本発明のDSPの別の記述形を図25で説明する。図25は、DSPの他の記述例を示す図である。図25に示すポリシーの内容240は、無条件で許可するオペレーションや、禁止するオペレーションが多くなった場合には、オペレーションごとに<operation><allowed/></operation>というような入れ子構造を記述するのは効率が悪いので、無条件で許可するオペレーションを列挙する、<allowed_operations>を示す記述243と、許可しないオペレーションを列挙する、<denied_operations>を示す記述241を使用するようにしても良い。
また、<requirement>explicit_authorization</requirement>を示す記述242は、図24での説明と同様である。
図26は、上述のDSPを蓄積し且つ配布する種々の媒体を示す。
以上で説明したように、図26に示されたDSP2000は、XML(Extensible Markup Language)で記述されている。そして、電子的なファイルとして記録しておくことができる。また、その電子的なファイルを格納した、例えば、ハードディスク51、光磁気ディスク52、フレキシブルディスク53、又は、CD−ROM、CD−R、CD−RW、DVD、DVD−R、DVD−RAM、DVD−RW、DVD+RW、DVD+Rのような光ディスク54のような記憶媒体を作成することができる。また、その電子的なDSP2000をコンピュータ55を使用して、ネットワーク56を介してで伝送することができる。
このDSP2000は、特定のシステム向けのセキュリティポリシーの記述ではなく、異なる複数のシステムで共通に利用できるセキュリティポリシーの記述である。従って、このセキュリティポリシー記述を記憶した記憶媒体を作成し、そして配布したり又は、ネットワーク経由して伝送したりすることにより、複数のシステムで共通に利用しやすくなる。
図27は、本発明の一実施例に係る画像形成装置のハードウェア構成を示すブロック図である。図27において、画像形成装置1000は、コンピュータによって制御される装置であって、CPU(中央処理装置)11と、ROM(Read-Only Memory)12と、RAM(Random Access Memory)13と、不揮発性RAM(non-volatile Random Access Memory)14と、リアルタイムクロック15、イーサネット(登録商標)I/F(Ethernet(登録商標) Interface)21と、USB(Universal Serial Bus)22と、IEEE(Institute of Electrical and Electronics Engineers)1284 23と、ハードディスクI/F24と、エンジンI/F25と、RS−232C I/F26と、ドライバ27とで構成され、システムバスBに接続される。
CPU11は、ROM12に格納されたプログラムに従って画像形成装置1000を制御する。RAM13には、例えば、各インターフェース21から26に接続される資源に領域が割り当てられる。不揮発性RAM14には、画像形成装置1000を制御するためにCPU11による処理で必要な情報が格納される。リアルタイムクロック15は、現時刻を計ると共に、処理を同期させる場合にCPU11によって使用される。
イーサネット(登録商標)I/F21には、10BASE−T又は100BASE−TX等のイーサネット(登録商標)用インターフェースケーブルが接続される。USB22には、USB用インターフェースケーブルが接続される。IEEE1284 23には、IEEE1284用インターフェースケーブルが接続される。
ハードディスクI/F24には、ハードディスク34が接続され、ネットワークを介して送信された印刷すべき文書の文書データ、又は、印刷処理後の画像データがハードディスクI/F24を介してハードディスク34に格納される。エンジンI/F25には、文書データに基づいて所定媒体に印刷を行うプロッタ35−1及び画像データを取り込むスキャナ35−2等が接続される。RS−232C I/F26には、オペレーションパネル36が接続され、ユーザへの情報の表示及びユーザから入力情報又は設定情報の取得が行われる。
画像形成装置1000によって行われる処理を実現するプログラムは、例えば、CD−ROM等の記憶媒体37によって画像形成装置1000に提供される。即ち、プログラムが保存された記憶媒体37がドライバ27にセットされると、ドライバ27が記憶媒体37からプログラムを読み出し、その読み出されたプログラムがシステムバスBを介してハードディスク34にインストールされる。そして、プログラムが起動されると、ハードディスク34にインストールされたプログラムに従ってCPU11がその処理を開始する。尚、プログラムを格納する記憶媒体37としてCD−ROMに限定するものではなく、コンピュータが読み取り可能な記憶媒体であればよい。プログラムをネットワークを介してダウンロードし、ハードディスク34にインストールするようにしても良い。
セキュリティポリシーに従って動作するの画像形成装置のについて図28、図29及び図30を参照して以下に詳細に説明する。
図28は、セキュリティポリシーに従って動作する読み取り装置としての画像形成装置の機能構成を示す図である。
図28に示す読み取り装置としての画像形成装置1000は、主に、読み取り部71と、読み取り条件取得部72と、データ送信先取得部73と、データ処理部74と、データ送信部75と、ポリシー実行部1001と、読み取り画像データ61と、蓄積データ62とを有する。
また、ポリシー実行部1001は、ドキュメント属性取得部1011と、動作要件選択部1012と、動作制御部1013と、ユーザ属性取得部1021とを有する。ドキュメント属性取得部1011は紙原稿60から又は読み取り画像データ61からドキュメント属性を取得して、動作要件選択部1012へ通知する。
一方、ユーザ属性取得部1021は、ユーザによって入力されたユーザ情報を取得すると、動作要件選択部1012に通知する。動作要件選択部1012は、DSP2000に従って許可される場合の要件を選択し、その結果を動作制御部1013に通知する。動作制御部1013は、読み取った紙原稿60の画像データに対するデータ処理を指示する。
ポリシー実行部1001において、点線で示される部分1002について省略しても良い。
読み取り部71は、読み取り条件取得部72から通知されるユーザによって入力された読み取り条件に従って、紙原稿60を読み取る(スキャン)する処理部であり、読み取った画像データは、読み取り画像データ61に格納される。また、画像データ61から取得したドキュメント属性をドキュメント属性取得部1011に通知する。
読み取り条件取得部72は、ユーザによって入力された読み取り条件を取得し、読み取り部71とデータ処理部74とへ通知する。
データ送信先取得部73は、ユーザによって入力されたデータ送信先を取得し、データ送信部75に通知する処理部である。
データ処理部74は、動作制御部1013から提供される要件を満たすように読み取り条件取得部72から通知されるユーザによって入力された読み取り条件に従って、データ処理を読み取った画像データに行い、データ処理された画像データを蓄積データ62に蓄積する。
データ送信部75は、動作制御部1013から通知される要件を満たすように、蓄積データ62から取り出した処理対象となる画像データをデータ送信先取得部73から通知された送信先へ送信する。
画像データを外部に送信する必要がない場合、データ送信部75を省略しても良い。また、画像データを記憶媒体37に記憶するようにしても良い。
図28において、読み取り装置としての画像形成装置1000は、専用のハードウェアにより構成するように記載されているが、汎用のコンピュータとそのコンピュータ上で実行されるプログラムにより構成されても良い。
また、以下に説明する本発明の実施例をコンピュータ上で実行するプログラムは、コンピュータにより読み出し可能な記憶媒体に記録され、その実行前に、コンピュータにより読みこまれる。また、このようなプログラムは、コンピュータネットワークを介して配信されることも可能である。
図29は、簡略化したDSPの例を示す図である。説明の便宜のため、DSP2000を簡略化したDSPで説明する。図29に示されるDSP2100において、つぎのようにルール1からルール3を示す。
ルール1は、図29の第4行目の<acc_rule>から、第10行目の<user_security_level>ANY</user_security_level>までの部分及び、第11行目<operation>から、第14行目</operation>までの部分により記述される。
第5行目の <doc_category>ANY</doc_category>は、文書カテゴリーにかかわりなくルール1が適用されることを示す。
第6行目の<doc_security_level>basic</doc_security_level>は、文書のセキュリティレベルがbasicのときを示す。
第9行目の<user_category>ANY</user_category>は、ユーザのカテゴリーにかかわりないこととを示す。
第10行目の<user_security_level>ANY</user_security_level>は、ユーザのセキュリティレベルにかかわりないことを示す。
更に第12行目と第13行目の<name>scan</name>及び<allowed/>は、読み取りは要件なく許可されることを示す。
従って、ルール1では、第5行目、第6行目、第9行目、第10行目、第12行目及び第13行目により、文書カテゴリーにかかわりなく、文書のセキュリティレベルが"basic"の場合には、ユーザのカテゴリーにかかわりなく、且つ、ユーザのセキュリティレベルにかかわりなく、読み取りは要件なく許可される。
次に、ルール2は、図29の第4行目の<acc_rule>から、第10行目の<user_security_level>ANY</user_security_level>までの部分及び、第15行目<operation>から、第20行目</operation>までの部分により記述される。
第5行目の <doc_category>ANY</doc_category>は、文書カテゴリーにかかわりなくルール2が適用されることを示している。
第6行目の<doc_security_level>basic</doc_security_level>は、文書のセキュリティレベルがbasicのときを示す。
第9行目の<user_category>ANY</user_category>は、ユーザのカテゴリーにかかわりないことを示す。
第10行目の<user_security_level>ANY</user_security_level>は、ユーザのセキュリティレベルにかかわりないことを示す。
更に、第16行目から第19行目の
<name>net_delivery</name>
<requirement>audit</requirement>
<requirement>print_restriction</requirement>
<requirement>trusted_channel</requirement>
は、ネットワーク配信は、「ログを記録すること」と、「プリント制限をかけること」、「信頼できるチャネルを使用すること」の要件を満たすときに許可されることを示す。
従って、ルール2では、第5行目、第6行目、第9行目、第10行目、第16行目から第19行目により、文書カテゴリーにかかわりなく、文書のセキュリティレベルが"basic"の場合には、ユーザのカテゴリーにかかわりなく、且つ、ユーザのセキュリティレベルにかかわりなく、ネットワーク配信は、ログを記録することと、プリント制限をかけること、信頼できるチャネルを使用することの要件を満たすときに許可されることを示している。
そして、ルール3は、図29の第24行目の<acc_rule>から、第30行目の<user_security_level>ANY</user_security_level>までの部分及び、第31行目<operation>から、第35行目</operation>までの部分により記述される。
第25行目の<doc_category>ANY</doc_category>は、文書カテゴリーにかかわりないことを示す。
第26行目の<doc_security_level>high</doc_security_level>は、
文書のセキュリティレベルがhighの場合を示す。
第29行目の<user_category>DOC-CATEGORY</user_category>は、ユーザのカテゴリーが文書のカテゴリーと同じであることを示す。
第30行目の<user_security_level>ANY</user_security_level>は、ユーザのセキュリティレベルにかかわりないことを示す。
第32行目から第34行目の、
<name>scan</name>
<requirement>audit</requirement>
<requirement>embed_trace_info</requirement>
は、読み取りは、「ログを記録すること」及び、「追跡可能な情報を埋め込むこと」の要件を満たすときに許可される。
従って、ルール3では、第25行目、第26行目、第29行目、第30行目、第31行目から第34行目により、文書カテゴリーにかかわりなく、文書のセキュリティレベルが"high"の場合には、ユーザのカテゴリーが文書のカテゴリーと同じであり、且つ、ユーザのセキュリティレベルにかかわりなく、読み取りは、ログを記録することと、追跡可能な情報を埋め込むことの要件を満たすときに許可されることを示している。
ここで、「追跡可能な情報を埋め込むこと」には、例えば、電子すかしの埋め込み、表示可能なラベルの埋め込み、文書属性情報の追加などを含んでも良い。また、表示可能なラベルは、読み取りを指示したユーザの認証データと読み取りを指示した時点のタイムスタンプを含んでもよい。さらに、「ログを記録すること」には、読み取りを指示したユーザの認証データと、読み取り対象の文書データと、読み取りを指示した時点のタイムスタンプをログに記録するようにしてもよい。また、「ログを記録すること」には、ネットワーク配信を指示したユーザの認証データとネットワーク配信先の情報と、読み取り対象の文書データと、読み取りを指示した時点のタイムスタンプをログに記録するようにしてもよい。
図28を参照しつつ、詳細な動作について説明する。
上述の図29に示すDSP2100に基づいて、例えば、セキュリティレベルが"basic"の文書を読み取りしようとしている場合には、抽出すべき要件はない。
また、上述の図29に示すセキュリティポリシーに基づいて、例えば、セキュリティレベルが"high"の文書を読み取りしようとしている場合には、前述のように、「ログを記録すること」及び「追跡可能な情報を埋め込むこと」が、読み取りの要件となる。「ログを記録すること」及び「追跡可能な情報を埋め込むこと」の内容に関しては、上述と同様である。
次に、セキュリティレベルが"basic"のときの場合のように、抽出すべき要件がない場合には、動作制御部1013は、データ処理部74に対して、文書の読み取りを指示し、ユーザは文書データを取得して終了する。
一方、キュリティレベルが"high"のときの場合のように、抽出すべき要件がある場合には、動作要件選択部1012は、その要件をすべて満たすことができるかを判定し、その判断結果を動作制御部1013に通知する。
動作要件選択部1012による判断結果がすべての要件を満たすことができないことを示す場合は、動作制御部1013は、データ処理部74に対してデータ処理を禁止するように指示し、データ処理部74は読み取りデータを破棄して終了する。ユーザに対してはデータ処理が行えないことを通知する。
一方、動作要件選択部1012による判断結果がすべての要件を満たすことができることを示す場合は、動作制御部1013データ処理部74に対して、その要件を満たすようにデータ処理を行うように指示する。ユーザは文書データを取得して終了する。
この場合には、以下の処理が実行される。
ユーザ属性取得部1021は、オペレーションパネル36から読み取り指示を出したユーザに、ユーザIDの入力要求を出す。ユーザは、オペレーションパネル36からユーザIDを入力する。ユーザ属性取得部1021は、ユーザIDからデータベース102に登録されている入力されたユーザIDに対応するカテゴリー、セキュリティレベルを取得し、動作要件選択部1012に通知する。
ログを記録する場合、読み取った文書データに追跡可能な情報の埋め込み(例えば、電子すかしの埋め込み、表示可能なラベルの埋め込み、文書属性情報の追加など)を行う。表示可能なラベルは、読み取りを指示したユーザの認証データと読み取りを指示した時点のタイムスタンプを含んでもよい。
最後に、ユーザは紙原稿60の画像データを蓄積データ62内に取得して終了する。
以上のように、図29に示したセキュリティポリシーに従って、紙原稿(ドキュメント)60を読み取ることができる。
次に、画像形成装置1000が紙原稿60を読み取り且つ読み取った文書をネットワークに配信する場合について説明する。
先ず、ユーザが、画像形成装置1000に紙原稿60をセットし、オペレーションパネル36から、読み取り条件の入力、読み取りデータの配信先の指定及び紙原稿60の読み取り指示を出す。
読み取り部71が、紙文書の読み取りを行う。ドキュメント属性取得部1011は、読み取った紙原稿60の画像データのバーコードや電子透かしなどの画像情報から文書IDを抽出し、カテゴリー、セキュリティレベルを取得して、動作要件選択部1012に通知する。
動作要件選択部1012は、ドキュメント属性取得部1011が通知したドキュメント属性に従って、DSP2100の中の対応するエントリを検索し、要件を抽出する。
上述の図29に示すDSP2100に基づいて、例えば、セキュリティレベルが"basic"の文書を読み取り、ネットワーク配信しようとしている場合には、読み取りに関する要件はない。しかし、上述のように、ネットワークに配信する時には、「ログを記録すること」と「プリント制限をかけること」と「信頼できるチャネルを使用すること」が要件となる。
また、上述の図29に示すDSP2100に基づいて、例えば、セキュリティレベルが"high"の文書を読み取りしようとしている場合には、読み取りに関する要件として、「ログを記録すること」と「追跡可能な情報を埋め込むこと(例えば、上述のような、電子すかしの埋め込み、表示可能なラベルの埋め込み、文書属性情報の追加など)」が要件となる。しかし、ネットワークに配信することを許可するルールがないため、許可されない。
例えば、ドキュメントをネットワークへ配信する際の要件が、DSP2100内に存在しない場合には、動作制御部1013は、データ送信部75に対して配信の指示を行い、ドキュメントをネットワークへ配信して、処理を終了する。
一方、例えば、ドキュメントをネットワークへ配信する際の要件が、DSP2100内に存在する場合には、動作要件選択部1012が、その要件をすべて満たすことができるかを判定する。
ネットワークに配信することを許可するルールがない場合には、動作制御部1013が、ユーザに、「ネットワークに配信することを許可するルールがない」ことを通知をして、紙原稿60の画像データを破棄して終了する。例えば、セキュリティレベルが"high"の場合である。
動作要件選択部1012によってすべての要件を満たすことができないと判断した場合は、動作制御部1013が、ユーザに通知をして、データ処理部74に対して紙原稿60の画像データを破棄するように指示して終了する。
例えば、上述のセキュリティレベルが"basic"の場合のように、すべての要件を満たすことができる場合は、動作制御部1013は、その要件を満たした読み取りをデータ処理部74に指示し、また、データ送信部75にドキュメントをネットワークに配信するように指示して終了する。
そして、ユーザ属性取得部1012は、オペレーションパネル36から読み取り指示を出したユーザに、ユーザIDの入力要求を出す。
ユーザが、オペレーションパネル36からユーザIDを入力すると、ユーザ属性取得部1021は、ユーザIDに対応するカテゴリー、セキュリティレベルを取得し、動作要件選択部1012に通知する。動作制御部1013は、動作要件選択部1012から通知される要件に従ってログを記録する。
更に、動作制御部1013は、データ処理部74に対して、読み取った紙原稿60の画像データを、印刷不可能なデータ(たとえばADOBE(登録商標)の印刷禁止属性を持ったPDFなど)に変換するように指示を行う。
最後に、動作制御部1013は、データ送信部75に対して配信指示を行い、データ送信部75は、信頼できる通信経路(たとえばIPsecやVPNなど)を通じて、ドキュメントをネットワークへ配信し、終了する。
以上のように、図29に示したDSP2100を使用して、図28に示した文書読み取り装置としての画像形成装置1000が、文書を読み取り且つ読み取った文書をネットワークに配信することができる。
セキュリティポリシーに従った動作を実現する複写装置としての画像形成装置の機能構成について図30で説明する。図30は、セキュリティポリシーに従って動作する複写装置としての画像形成装置の機能構成を示す図である。図30中、図28と同様の処理部には同一符号を付しその詳細な説明を省略する。
図30において、複写装置としての画像形成装置1000−2は、図28に示す画像形成装置1000の読み取り条件取得部72及びデータ送信先取得部73の代わりに複写条件取得部81と、図28に示す画像形成装置1000のデータ送信部75の代わりに印刷部82とを有する点において、図28に示す画像形成装置1000と異なっている。
しかしながら、画像形成装置1000が画像形成装置1000−2の複写条件取得部81と、印刷部82とを更に有するように構成しても良い。点線で示される部分1002は省略しても良い。
複写条件取得部81は、ユーザがオペレーションパネル36に入力した複写条件を取得して、読み取り部71とデータ処理部74とへ複写条件を通知すると共に、印刷部82へも通知する。
印刷部82は、動作制御部1013からの指示に応じて、蓄積データ62から紙原稿60の画像データを取得し、動作制御部1013から通知された要件を満たすように複写条件取得部81から通知されて複写条件に従って印刷処理を行い、用紙に画像データが形成された複写原稿60bを出力する。
以下に、外部から画像形成装置1000又は1000−2に対してポリシーを設定する方法について説明する。例えば、ポリシーとして図14から図22に記載されるDSP2000が配布される。ポリシーとしてDSP2000が、外部サーバから画像形成装置1000又は1000−2へ配布される際には、SOAP(Simple Object Access Protocol)に従った通信によって行われる。
図31から図44に示される画像形成装置1000又は1000−2は、読み取り装置又は複写装置としての画像形成装置に限定されず、読み取り機能と複写機能とを有する、或いは、それ以上の(例えば、スキャナ、コピー、FAX、プリンタ等)複数の異なる画像形成処理を可能とする画像形成装置であっても良い。
先ず、画像形成装置1000又は1000−2が一方的に送り付けられるポリシーを受信する第一のポリシー設定方法について図31で説明する。
図31は、外部サーバからポリシーが配布される第一のポリシー設定方法を示す図である。図31において、ポリシーを設定しようとする管理者が使用する管理者コンソール4001と、外部サーバとしてポリシーを配布するポリシー配布サーバ4000と、画像形成装置1000又は1000−2とがネットワーク5を介して接続される。ポリシー配布サーバ4000は、サーバコンピュータであって、SOAPクライアント機能4021を有し、画像形成装置1000は、SOAPサーバ機能4022を有する。図31中、画像形成装置1000又は1000−2を画像形成装置1000として説明する。
図31に示す第一のポリシー設定方法では、管理者が管理者コンソール4001からポリシーとしてDSP2000をポリシー配布サーバ4000に送信する(ステップS11)。そして、ポリシー配布サーバ4000がSOAPクライアント機能4021を利用して、ポリシーとしてDSP2000を配布し(ステップS12)、画像形成装置1000は、SOAPサーバ機能4022でDSP2000をポリシーとして受信し、受信結果を返す。
そして、画像形成装置1000は、配布されたDSP2000に従って、動作要件の選択を行い、動作要件を満たすように動作する(ステップS13)。
このような構成の場合に、画像形成装置1000は、ポリシーを送信するポリシー配布サーバ4000が信頼できるものであるか否かを確かめることで、間違ったポリシーの受信や悪意あるポリシーの設定などを防ぐこともできる。すなわち、ポリシー配布サーバ4000がポリシーの配布をする時に、以下のような動作を実行する。
上記ステップS12において、ポリシー配布サーバ4000は、自分自身の認証情報とポリシーとしてDSP2000を画像形成装置1000に送信する。
次に、画像形成装置1000は、送信されたポリシー配布サーバ4000の認証情報を検証する(ステップS12−2)。
そして、このポリシー配布サービス4000の認証情報が正しいと確認された場合、画像形成装置1000は、ポリシーとして送信されたDSP2000を正式なものと見なして、配布されたDSP2000に従って、動作要件の選択を行い、動作要件を満たすように動作する(ステップS13)。
このようなポリシー配布サーバ4000の認証を行うことによって、画像形成装置1000は、間違ったポリシーの受信や悪意あるポリシーの設定などを防ぐことができる。
次に、画像形成装置1000又は1000−2が、ポリシー配布サーバ4000からポリシーの配布通知を受けてポリシーを取得しにいく第二のポリシー設定方法について図32で説明する。
図32は、外部サーバからポリシーを取得する第二のポリシー設定方法を示す図である。図32において、図31と同様に、管理者コンソール4001と、ポリシー配布サーバ4000と、画像形成装置1000又は1000−2とがネットワーク5を介して接続される。ポリシー配布サーバ4000は、SOAPクライアント機能4021とSOAPサーバ機能2024とを有し、画像形成装置1000又は1000−2は、SOAPサーバ機能4022とSOAPクライアント機能4023とを有する。図32中、画像形成装置1000又は1000−2を画像形成装置1000として説明する。
図32に示す第二のポリシー設定方法では、管理者が管理者コンソール4001からポリシーとしてDSP2000をポリシー配布サーバ4000に送信する(ステップS21)。そして、ポリシー配布サーバ4000がSOAPクライアント機能4020を利用して、ポリシーとしてDSP2000の配布があったことを通知し(ステップS22)、画像形成装置1000は、SOAPサーバ機能4022でその配布通知を受信し、受信結果を返す。
その後、画像形成装置1000は、SOAPクライアント機能4023を利用して、ポリシー取得要求を送信すると、ポリシー配布サーバ4000は、SOAPサーバ機能2024でそのポリシー取得要求を受信して、受信結果としてポリシー(管理者コンソール4001から受信したDSP2000)を送信する(ステップS23)。
そして、画像形成装置1000は、配布されたDSP2000に従って、動作要件の選択を行い、動作要件を満たすように動作する(ステップS24)。
ステップS22にて、ポリシー配布サーバ4000は、画像形成装置1000にDSP2000を識別する識別情報を送信することによってポリシー配布通知を行うようにしても良い。この場合、ステップS23において、画像形成装置1000は、ポリシー配布サーバ4000から受信した識別情報を送信することによってポリシー取得要求を行うようにすれば良い。
更に、このような場合には、ポリシーを受信する画像形成装置1000が信頼できるものであるか否かを確かめることで情報の漏洩(ここではポリシー)を防ぐことができる。即ち、画像形成装置がポリシー配布サーバ4000からポリシーを取得する際に以下のような動作を実行する。
先ず、上記ステップS23において、画像形成装置1000は、自分自身の認証情報をポリシー取得要求に付加して、ポリシー配布サーバ4000に送信する。
次に、ポリシー配布サーバ4000は、画像形成装置1000から受信した認証情報を検証する(ステップS23−2)。そして、ポリシー配布サーバ4000は、画像形成装置1000の認証情報が正しいと確認した場合、ポリシーとしてDSP2000を画像形成装置1000へ送信する(ステップS23−4)。
このような画像形成装置1000の認証を行うことによって、ポリシー配布サーバ4000は、情報の漏洩(ここではポリシー)を防ぐことができる。
第二のポリシー設定方法は、画像形成装置1000が比較的容量のあるポリシーを次々に受信すると記憶領域が不足してしまうような場合に、画像形成装置1000が必要な時にポリシーを取得するようにすることができる点で有効である。
この第二のポリシー設定方法において、画像形成装置1000は、配布通知を受けて速やかにポリシー取得要求を行っても良いし、配布通知を受けたことを装置内部に記憶しておいて、所定のタイミングでポリシー取得要求を行っても良い。
所定のタイミングでポリシー取得要求を行うポリシー設定方法の変形例について図33、図34及び図35について説明する。
図33は、電源投入時にポリシーを取得する第三のポリシー設定方法を示す図である。図33中、画像形成装置1000又は1000−2を画像形成装置1000として説明する。図33に示す第三のポリシー設定方法は、画像形成装置1000が最初にネットワーク5に接続した場合などのように、まだセキュリティポリシーを持っていない場合のポリシー設定方法である。
図33において、画像形成装置1000に電源投入されると(ステップS31)、ネットワーク5を介して、ポリシー配布サーバ4000に対して、SOAPクライアント機能4023を利用して、ポリシー取得要求を行う(ステップS32)。ポリシー配布サーバ4000は、SOAPサーバ機能を利用して、ポリシー取得要求を受信し、ポリシー(管理者コンソール4001から受信したDSP2000)を受信結果として送信する。
画像形成装置1000は、ポリシー配布サーバ4000からポリシーを受信すると、動作要件を満たすように動作する(ステップS33)。
図34は、電源投入時にポリシーを取得する第四のポリシー設定方法を示す図である。図34中、図33と同様の部分には同一の符号を付し、その説明を省略する。また、画像形成装置1000又は1000−2を画像形成装置1000として説明する。図34において、ポリシー配布サーバ4000は、更に、識別情報比較部4029を有することである。
画像形成装置1000に電源投入されると(ステップS41)、ネットワーク5を介して、ポリシー配布サーバ4000に対して、SOAPクライアント機能4023を利用して、ポリシー取得要求を行うと同時に、現在のDSP2000の識別情報(例えば、図23の記述211で示される「RDSP2023」)を同時に送信する(ステップS42)。
ポリシー配布サーバ4000は、SOAPサーバ機能を利用して、ポリシー取得要求を受信すると、識別情報比較部4029によって、受信した識別情報(例えば、「RDSP2023」)と、配布するポリシーの識別情報とを比較する(ステップS43)。同じ場合は、同じ識別情報であるという受信結果だけを送信するようにする。同じでない場合に、ポリシー配布サーバ4000は画像形成装置1000に対して、受信結果としてポリシー(管理者コンソール4001から受信したDSP2000)を送信する(ステップS44)。
画像形成装置1000は、ポリシー配布サーバ4000からポリシーを受信すると、受信したポリシーで保持していたポリシーを書き換えて、ポリシーに従って動作要件の選択を行い、動作要件を満たすように動作する(ステップS45)。
この第四のポリシー設定方法では、識別情報が同一である場合、ポリシーを配布しないため、無駄なトラフィックを軽減することができる。
図35は、電源投入時にポリシーを取得する第五のポリシー設定方法を示す図である。図35中、図33と同様の部分には同一の符号を付し、その説明を省略する。また、画像形成装置1000又は1000−2を画像形成装置1000として説明する。
画像形成装置1000に電源投入されると(ステップS51)、ネットワーク5を介して、ポリシー配布サーバ4000に対して、SOAPクライアント機能4023を利用して、ポリシー配布要求を行う(ステップS52)。ポリシー配布サーバ4000は、SOAPサーバ機能4024によってポリシー配布要求を受信すると、受信結果を画像形成装置1000に送信する。
その後、ポリシー配布サーバ4000は、SOAPクライアント機能4021によって、ポリシーを送信し、画像形成装置1000がそのポリシーを受信して、受信結果をポリシー配布サーバ4000へ返す(ステップS53)。
画像形成装置1000は、ポリシー配布サーバ4000からポリシーを受信すると、ポリシーに従って動作要件の選択を行い、動作要件を満たすように動作する(ステップS54)。
この第五のポリシー設定方法において、ポリシー配布サーバ4000は、画像形成装置1000からポリシー取得要求を受けた後速やかにポリシーを配布しても良いし、ポリシー取得要求を受けたことをポリシー配布サーバ4000の内部に記憶しておいて、所定のタイミングでポリシーを配布するようにしても良い。
また、この第五のポリシー設定方法において、図34に示す第四のポリシー設定方法のように、ポリシー配布サーバ4000に識別情報比較部4029を備える構成としても良い。このような構成とすることによって、無駄なトラヒックを軽減することができる。
図31から図35にて説明した第一及び第五のポリシー設定方法を実現するための機能構成について図36で説明する。図36は、第一から第五のポリシー設定方法を実現するための機能構成の例を示す図である。図36における説明において、画像形成装置1000と画像形成装置1000−2とは、同様の動作要件選択部1012を有するため、画像形成装置1000で説明する。また、点線の部分1002は、省略可能であることを示す。
図36において、画像形成装置1000の動作要件選択部1012は、ポリシー解釈部4101と、選択要件検証部4102と、通信部4103と、ポリシー書き換え部4104と、DSP2000aと、システム属性91aとを有する。
ポリシー解釈部4101は、ドキュメント属性取得部1011によって取得されたドキュメント属性と、ユーザ属性取得部1021によって取得されたユーザ属性とに対するポリシーを、DSP2000aに基づいて解釈する。そして、ポリシー解釈部4101は、その解釈結果として動作要件を選択要件検証部4102に通知する。つまり、ユーザが指定する動作を実行する際に満たさなければならない動作要件が通知される。
選択要件検証部4102は、システム属性91aを参照することによって、ポリシー解釈部4101から通知された動作要件を満たすことができるか否かを判断する。そして、選択要件検証部4102は、その判断結果を動作制御部1013へ通知する。
通信部4103は、SOAPに従ってポリシー配布サーバ4000との通信を制御する処理部であり、図31から図35に示すSOAPサーバ機能4022及びSOAPクライアント機能4023の少なくとも1つ以上を備えている。通信部4103は、ポリシー配布サーバ4000からポリシーとしてDSP2000bを受信すると、ポリシー書き換え部4104に通知する。また、図32に示すように、ポリシー配布サーバ4000に対して、ポリシー取得要求を行う際には、画像形成装置1000を認証するための認証情報を同時に送信する。
ポリシー書き換え部4104は、受信したDSP2000bでDSP2000aを書き換える。また、ポリシー書き換え部4104は、図31に示されるように、認証情報がDSP2000bと同時に配布された場合、その認証情報に基づいてポリシー配布サーバ4000を認証し、ポリシー配布サーバ4000が認証された場合のみ、受信したDSP2000bでDSP2000aを書き換える。
ポリシー配布サーバ4000は、通信部4123と、ポリシー管理部4124と、DSP2000bとを有する。
通信部4123は、SOAPに従って画像形成装置1000との通信を制御する処理部であり、図31から図35に示すSOAPサーバ機能4021及びSOAPクライアント機能4024の少なくとも1つ以上を備えている。通信部4123は、DSP2000bを配布する。
ポリシー管理部4124は、配布するDSP2000bを管理する。ポリシー管理部4124は、図31に示すように、通信部4123によって、DSP2000bを配布する際に、ポリシー配布サーバ4000を認証するための認証情報を同時に送信させる。また、ポリシー管理部4124は、ポリシー取得要求に画像形成装置1000の認証情報が同時に送信された場合、その認証情報に基づいて画像形成装置1000を認証し、認証できた場合のみ、ポリシーとしてDSP2000bを通信部4123によって送信する。
次に、タイマーによってポリシーを取得する第六のポリシー設定方法について図37で説明する。
図37は、タイマーによってポリシーを取得する第六のポリシー設定方法を示す図である。図37中、図33と同様の部分には同一の符号を付し、その説明を省略する。また、画像形成装置1000又は1000−2を画像形成装置1000として説明する。
図37において、画像形成装置1000は、タイマー管理による処理時間が経過すると(ステップS51)、SOAPクライアント機能4023を利用して、ポリシー配布サーバ4000にポリシー取得要求を送信し、ポリシー配布サーバ4000からSOAPサーバ機能4021によって受信結果としてポリシー(管理コンソール4001から受信したDSP2000)を送信する(ステップS52)。
この第六のポリシー設定方法において、ポリシー配布サーバ4000はSOAPクライアント機能4021とSOAPサーバ機能4024とを有するようにし、また、画像形成装置1000はSOAPサーバ機能22とSOAPクライアント機能4023とを有するようにして、画像形成装置1000がポリシー取得要求を行った後にポリシーを配布するように構成しても良い。
図37に示す第六のポリシー設定方法を実現する機能構成について図38で説明する。図38は、第六のポリシー設定方法を実現するための機能構成の例を示す図である。図38中、図36と同様の処理部には同一の符号を付し、その説明を省略する。また、画像形成装置1000と画像形成装置1000−2とは、同様の動作要件選択部1012−2を有するため、画像形成装置1000で説明する。また、点線の部分1002は、省略可能であることを示す。
図36に示す動作要件選択部1012との違いは、動作要件選択部1012−2が、タイマー部4105を更に有することである。
タイマー部4105は、所定時間が経過すると、所定時間が経過したことを通信部4103に通知する。この通知に応じて、通信部4103は、ポリシー配布サーバ4000からSOAPに従ってDSP2000bを取得し、ポリシー書き換え部4104がDSP2000aをDSP2000bで書き換える。
次に、オフラインでポリシーを設定する方法について図39で説明する。図39は、オフラインでポリシーを設定する第七のポリシー設定方法を示す図である。図39中、図31と同様の部分には同一の符号を付し、その説明を省略する。また、画像形成装置1000又は1000−2を画像形成装置1000として説明する。
図39において、例えば、図26に示すようなハードディスク51、光磁気ディスク52、フレキシブルディスク53、又は、光ディスク54の記憶媒体50にDSP2000を格納し、その記憶媒体50を画像形成装置1000に設定してDSP2000を画像形成装置1000の所定記憶領域に格納することによって、オフラインでポリシーを設定する(ステップS71)。
その後、画像形成装置1000は、所定格納領域にポリシーとして格納されたDSP2000に従って動作する(ステップS72)。
図39に示す第七のポリシー設定方法を実現する機能構成について説明する。図40は、第七のポリシー設定方法を実現するための機能構成の例を示す図である。図40中、図36と同様の処理部には同一の符号を付し、その説明を省略する。図40における説明において、画像形成装置1000と画像形成装置1000−2とは、同様の動作要件選択部1012−3を有するため、画像形成装置1000で説明する。また、点線の部分1002は、省略可能であることを示す。
動作要件選択部1012−3は、記憶媒体50から記憶媒体50に格納されているDSP2000を読み取るためのインターフェース4106を有するが、通信部4103を含めない。
ポリシー書き換え部4104は、インターフェース4106によって読み込まれたDSP2000を、動作要件選択部1012−3が現在保持しているDSP2000aと書き換える。このようにして、オフラインの場合に、ポリシーが設定される。また、例えば、DSP2000が格納された記憶媒体50によってオフラインでポリシーを設定する場合には、改ざん検知コードなどを追加することによって、ポリシーの信頼性を向上させることができる。
次に、ポリシーをオフラインで設定し、オンラインで選択する方法について図41で説明する。図41は、ポリシーをオフラインで設定し、オンラインで選択する第八のポリシー設定方法を示す。図41中、図31と同様の部分には同一の符号を付し、その説明を省略する。また、画像形成装置1000又は1000−2を画像形成装置1000として説明する。
図41において、管理者コンソール4001からポリシー配布サーバ4000へネットワーク5を介して、例えば、ポリシーとしてDSP2000が設定される(ステップS81)。
また、オフラインでDSP2000が格納された記憶媒体50(図26に示すようなハードディスク51、光磁気ディスク52、フレキシブルディスク53、又は、光ディスク54)が、画像形成装置1000のセキュリティポリシーのデータベースに設定される(ステップS82)。
その後、管理コンソール4001から、ネットワーク5を介して、ポリシー配布サーバ4000にポリシーの選択が指定される(ステップS83)。ここで、ポリシーの選択とは、ポリシーの識別情報によってポリシーの1つが選択される。
ポリシー配布サーバ4000は、管理コンソール4001からのポリシー選択に応じて、SOAPクライアント機能4021を利用して、画像形成装置1000へポリシー選択を通知する(ステップS84)。画像形成装置1000は、SOAPサーバ機能4022を利用して、ポリシー選択通知を受信し、ポリシー配布サーバ4000に対して受信結果を返す。つまり、執行すべきポリシーの識別情報が画像形成装置1000に通知される。
画像形成装置1000は、ポリシー選択に従って、識別情報で指定されるポリシーを選択し、その選択したポリシーに従って動作する(ステップS85)。
このような第八のポリシー設定方法を実現する機能構成について図42で説明する。図42は、第八のポリシー設定方法を実現するための機能構成の例を示す図である。図42中、図36及び図40と同様の処理部には同一の符号を付し、その説明を省略する。図42における説明において、画像形成装置1000と画像形成装置1000−2とは、同様の動作要件選択部1012−4を有するため、画像形成装置1000で説明する。また、点線の部分1002は、省略可能であることを示す。
動作要件選択部1012−4は、通信部4103を有すると共に、記憶媒体50から記憶媒体50に格納されているDSP2000を読み取るための記憶媒体50に対応したインターフェース4106を有する。
通信部4103は、SOAPに従ってポリシー配布サーバ4000−2から受信したポリシー選択をポリシー書き換え部4104−2に通知する。
ポリシー書き換え部4012−2は、例えば、オフラインのポリシー設定によって、インターフェース4106によって記憶媒体50に格納されたDSP2000を読み込んで、ドキュメントセキュリティポリシーDB92に格納する。ポリシー書き換え部4104−2は、通信部4103から通知されたポリシー選択に基づいて、執行すべきポリシーで置き換える。つまり、以前の執行すべきポリシーがDSP2000aであって、識別情報によってDSP2000が指定された場合、執行すべきポリシーとしてDSP2000aをDSP2000で書き換える。
また、ポリシー配布サーバ4000−2が、DSP2000bを記憶媒体50に書き込むためのインターフェース4126を有する構成とすることによって、オフラインでポリシーを設定するために、ポリシー管理部4124がポリシー配布サーバ4000−2のDSP2000bを配布するポリシー(DSP2000)として記憶媒体50に書き込むようにしても良い。この場合の記憶媒体50は、図26に示すようなハードディスク51、光磁気ディスク52、フレキシブルディスク53、又は、光ディスク54等である。
ポリシー配布サーバ4000−2において、通信部4123は、SOAPに従って、ポリシー選択を画像形成装置1000へ送信する。
次に、ドキュメント属性とユーザ属性とに基づくポリシーの解釈を外部サーバに問い合わせる機能構成について図43及び44で説明する。
図43は、外部サーバがポリシーを解釈する機能構成の例を示す図である。図43中、図36と同様の処理部には同一の符号を付し、その説明を省略する。図43における説明において、画像形成装置1000と画像形成装置1000−2とは、同様の動作要件選択部1012−3を有するため、画像形成装置1000で説明する。また、点線の部分1002は、省略可能であることを示す。
画像形成装置1000側において、動作要件選択部1012−5は、通信部4103−2と、選択要件検証部4102と、システム属性91aのみを有する。
通信部4103−2は、ポリシー解釈サーバ4200とSOAPに従って通信を制御する処理部である。通信部4103−2は、ドキュメント属性取得部1011から通知されたドキュメント属性と、ユーザ属性取得部1021から通知されたユーザ属性とを、SOAPに従ってポリシー解釈サーバ4200に送信する。また、通信部4103−2は、ポリシー解釈サーバ4200からドキュメント属性とユーザ属性とに応じたルールを受信すると、選択要件検証部4102に通知する。ルールには、動作に対して許可する場合、満たさなければならない動作要件が示される。
選択要件検証部4102は、システム属性91aを参照しつつ、動作要件を満たすことができるか否かを判断し、その判断結果を動作制御部1013に通知する。
外部サーバとしてのポリシー解釈サーバ4200は、サーバコンピュータであって、通信部4213と、ポリシー解釈部4124と、DSP2000bとを有する。
通信部4123は、SOAPに従って、画像形成装置1000との通信を制御する処理部であって、画像形成装置1000から受信したドキュメント属性とユーザ属性とをポリシー解釈部4124に通知し、ポリシー解釈部4124から通知されたドキュメント属性とユーザ属性とに対応するルールを画像形成装置1000へ送信する。ルールには動作が許可される場合の動作要件が含まれる。
ポリシー解釈部4124は、通信部4123から取得したドキュメント属性とユーザ属性とに基づいて、DSP2000bを参照することによって、動作が許可される場合の動作要件を含むルールを取得する。そのルールを通信部4213へ通知する。
このような機能構成によって、画像形成装置1000がポリシーを保持していなくても、画像形成装置1000での動作に対してセキュリティポリシーを執行することができる。
次に、外部サーバが、ポリシーを解釈し、更に選択要件を検証する機能構成について図44で説明する。
図44は、外部サーバがポリシーを解釈し、選択要件を検証する機能構成の例を示す図である。図44中、図43と同様の処理部には同一の符号を付し、その説明を省略する。図43における説明において、画像形成装置1000と画像形成装置1000−2とは、同様の動作要件選択部1012−3を有するため、画像形成装置1000で説明する。また、点線の部分1002は、省略可能であることを示す。
画像形成装置1000側において、動作要件選択部1012−6は、通信部4103−3のみを有する。
通信部4103−3は、ポリシー解釈サーバ4200−2とSOAPに従って通信を制御する処理部である。通信部4103−3は、ドキュメント属性取得部1011から通知されたドキュメント属性と、ユーザ属性取得部1021から通知されたユーザ属性とを、SOAPに従ってポリシー解釈サーバ4200−2に送信する。また、通信部4103−2は、ポリシー解釈サーバ4200から動作に対する許可又は不許可と、許可する場合には動作要件とを受信し、動作制御部1013へ通知する。
外部サーバとしての動作要件選択サーバ4200−2は、図43に示される構成に加えて、更に、選択要件検査部4226と、システム属性91bとを有する。
ポリシー解釈部4124は、通信部4123から取得したドキュメント属性とユーザ属性とに基づいて、DSP2000bを参照することによって、動作が許可される場合の動作要件を含むルールを取得して、選択要件検証部4226へ通知する。
選択要件検証部4226は、システム属性91bを参照することによって、画像形成装置1000が動作要件を満たすことができるか否かを判断し、その判断結果を通信部4123によって画像形成装置1000へ送信する。動作要件を画像形成装置1000が満たすことができないと判断した場合、判断結果は不許可を示す。一方、動作要件を画像形成装置1000が満たすと判断した場合、判断結果は許可を示すと共に、動作要件を指定する。
次に、画像形成装置1000の選択要件検証部4102によって参照される、画像形成装置1000内に備えられたシステム属性91aについて図45で説明する。図45は、画像形成装置内に備えられてシステム属性の例を示す図である。
図45において、システム属性91aは、通常、ユーザの選択によって実行可能な動作条件の項目を管理するテーブルであって、動作条件、サポートの可否を示すサポート等の項目を有する。動作条件として、ログの記録、イメージログの記録、機密ラベルの印字、操作者ラベルの印字、識別バーコードの印字、識別パターンの印字等が示される。
通常、動作条件は、動作する際の選択可能な機能として画像形成装置1000に備えられている。このような動作条件が、ポリシーによって動作を許可する場合の要件として指定される場合、動作要件となる。
図46は、外部サーバに備えられたシステム属性の例を示す図である。図46において、システム属性91bは、動作条件毎に、複数の画像形成装置におけるサポート可否を、画像形成装置の識別情報(装置01、装置02、装置03、装置04、...)と対応付けて管理するテーブルである。動作条件として、ログの記録、イメージログの記録、機密ラベルの印字、操作者ラベルの印字、識別バーコードの印字、識別パターンの印字等が示される。
通常、動作条件は、動作する際の選択可能な機能である。このような動作条件が、ポリシーによって動作を許可する場合の要件として指定される場合、動作要件となる。
次に、画像形成装置1000又は1000−2とポリシー配布サーバ4000とで行われるポリシーを設定するためのSOAPの例について図47から図56で説明する。図47から図56の説明において、読み取り装置としての画像形成装置1000と複写装置としての画像形成装置1000−2とに何ら差異はないため、画像形成装置1000で説明する。
先ず、図31に示されるように、ポリシー配布サーバ4000が、SOAPクライアント機能4021を利用して、画像形成装置1000にポリシー配布を行う場合のSOAPについて図47で説明する。図47は、SOAPに従って送信されるポリシー配布を示すXMLデータの例を示す図である。
図47において、XMLデータ800は、ポリシーを配布するためのSOAPに従ったXMLによる記述である。XMLデータ800において、<ns1:policyDistribution>を示す記述801から</ns1:policyDistribution>を示す記述802までに、配布されるポリシーに関する情報と、ポリシー自身が示される。
記述801において、「policyDistribution」により、このXMLデータ800がポリシーを配布することを示している。
<policyId xsi:type="xsd:string">RDSP2023</policyId>を示す記述803は、ポリシーを識別するための識別情報「RDSP2023」が設定されている。そして、<policy xsi:type="xsd:string">から</policy>の記述804でポリシーが記述される。例えば、識別情報「RDSP2023」で識別されるDSP2000(図14から図22参照)そのものが記述される。
そして、このようなポリシー配布を示すXMLデータ800を受信した画像形成装置1000は、SOAPサーバ機能4022を利用して、図48に示されるような受信結果をポリシー配布サーバ4000へ送信する。図48は、SOAPに従って送信されるポリシー配布に対する受信結果を示すXMLデータの例を示す図である。
図48において、XMLデータ810は、ポリシー配布に対する受信結果を示すXMLによる記述である。XMLデータ810において、<ns1:policyDistributionResponse>を示す記述811から</ns1:policyDistributionResponse>を示す記述812までに、ポリシー配布に対する受信結果に関する情報が示される。
記述812において、「policyDistributionResponse」によりこのXMLデータ810がポリシー配布に対する応答であることを示している。
<result xsi:type="xsd:boolean">true</result>を示す記述813は、ポリシー配布を正常に受信したか否かを示す。この場合、「true」が示されるため、正常に受信したことを示している。
図32に示されるように、ポリシー配布サーバ4000が、SOAPクライアント機能4021を利用して、画像形成装置1000にポリシー配布通知を行う場合のSOAPについて図49で説明する。図49は、SOAPに従って送信されるポリシー配布通知を示すXMLデータの例を示す図である。
図49において、XMLデータ820は、ポリシー配布を通知するためのSOAPに従ったXMLによる記述である。XMLデータ820において、<ns1:policyDistributionReport>を示す記述821から</ns1:policyDistributionReport>を示す記述822までに、ポリシー配布通知に関する情報が示される。
記述821において、「policyDistributionReport」により、このXMLデータ820がポリシー配布を通知することを示している。
<policyId xsi:type="xsd:string">RDSP2023</policyId>を示す記述823は、ポリシーを識別するための識別情報「RDSP2023」が設定されている。
そして、このようなポリシー配布通知を示すXMLデータ820を受信した画像形成装置1000は、SOAPサーバ機能4022を利用して受信結果を送信した後、SOAPクライアント機能4023を利用して、図50に示されるようなポリシー取得要求をポリシー配布サーバ4000へ送信する。図50は、SOAPに従って送信されるポリシー取得要求を示すXMLデータの例を示す図である。
図50において、XMLデータ830は、ポリシーを配布するためのSOAPに従ったXMLによる記述である。XMLデータ830において、<ns1:policyRequest>を示す記述831から</ns1:policyRequest>を示す記述832までに、ポリシー取得要求に関する情報が示される。
記述831において、「policyRequest」により、このXMLデータ830がポリシーの取得を要求していることを示している。
<policyId xsi:type="xsd:string">RDSP2023</policyId>を示す記述833は、図49に示されるポリシー配布通知を示すXMLデータ820で通知されたポリシーを識別するための識別情報「RDSP2023」が設定されている。
このポリシー取得要求を示すXMLデータ830は、ポリシー配布通知を受信後、又は、処理のタイミングでポリシー配布サーバ4000に送信される。
そして、このようなポリシー取得要求を示すXMLデータ830を受信したポリシー配布サーバ4000は、SOAPサーバ機能4024を利用して、図51に示されるような受信結果を画像形成装置1000へ送信する。図51は、SOAPに従って送信されるポリシー取得要に求対する受信結果を示すXMLデータの例を示す図である。
図51において、XMLデータ840は、ポリシー取得要求に対する受信結果を示すXMLによる記述である。XMLデータ840において、<ns1:policyDistribution>を示す記述841から</ns1:policyDistribution>を示す記述842までに、配布されるポリシーに関する情報と、ポリシー自身が示される。
記述841において、「policyDistribution」により、このXMLデータ840がポリシーを配布することを示している。
<policyId xsi:type="xsd:string">RDSP2023</policyId>を示す記述843は、ポリシーを識別するための識別情報「RDSP2023」が設定されている。そして、<policy xsi:type="xsd:string">から</policy>の記述844でポリシーが記述される。例えば、識別情報「RDSP2023」で識別されるDSP2000(図14から図22参照)そのものが記述される。
図52に示されるように、画像形成装置1000が、SOAPクライアント機能4023を利用して、ポリシー配布サーバ4000にポリシー配布要求を行う場合のSOAPについて図52で説明する。図52は、SOAPに従って送信されるポリシー配布要求を示すXMLデータの例を示す図である。
図52において、XMLデータ850は、ポリシー配布を要求するためのSOAPに従ったXMLによる記述である。XMLデータ850において、<ns1:policyDistributionRequest>を示す記述851から</ns1:policyDistributionRequest>を示す記述852までに、ポリシー配布要求に関する情報が示される。
記述851において、「policyDistributionRequest」により、このXMLデータ850がポリシー配布を通知することを示している。
<policyId xsi:type="xsd:string">RDSP2023</policyId>を示す記述853は、ポリシーを識別するための識別情報「RDSP2023」が設定されている。
そして、このようなポリシー配布要求を示すXMLデータ850を受信したポリシー配布サーバ4000は、受信後直に、或いは、所定のタイミングで図47に示すXMLデータ800によってポリシー配布を行う。
図41に示されるように、ポリシー配布サーバ4000が、SOAPクライアント機能4021を利用して、画像形成装置1000へポリシー選択通知を行う場合のSOAPについて図53で説明する。図53は、SOAPに従って送信されるポリシー選択通知を示すXMLデータの例を示す図である。
図53において、XMLデータ860は、ポリシー選択を通知するためのSOAPに従ったXMLによる記述である。XMLデータ860において、<ns1:policyChangeRequest>を示す記述861から</ns1:policyChangeRequest>を示す記述862までに、選択すべきポリシーに関する情報が示される。
記述861において、「policyChangeRequest」により、このXMLデータ860がポリシー選択の通知であることを示している。
<policyId xsi:type="xsd:string">RDSP2023</policyId>を示す記述863は、ポリシーを識別するための識別情報「RDSP2023」が設定されている。画像形成装置1000は、識別情報「RDSP2023」で識別されるポリシーを執行用のポリシーとして設定する。
次に、図43又は図44において、画像形成装置1000がポリシーの解釈を行う外部サーバに動作要件取得要求を行う場合のSOAPについて図54及び図55で説明する。図54及び図55は、SOAPに従って送信される動作要件取得要求を示すXMLデータの例を示す図である。図54及び図55によって、一つのXMLデータ870が示される。
XMLデータ870において、図54の<ns1:isAllowed>を示す記述871から図55の</ns1:isAllowed>を示す記述872までに、ユーザ属性、ドキュメント属性、動作情報とが示される。
<userTicketInfo>を示す記述873から</userTicketInfo>を示す記述874によって、ユーザ属性が必要な場合のユーザチケットが指定される。例えば、図43において、外部サーバとしてのポリシー解釈サーバ4200が、ポリシーを解釈するために、ユーザ属性が必要であると判断した場合、指定されるユーザチケットを用いてユーザ属性を取得する。
<docInfo xsi:type="ns1:DocInfo">から</docInfo>で示される記述881は、ドキュメント属性に関する情報を示す。記述881において、<catgory xsi:type="xsd:string">Technical_doc</category>を示す記述882は、ドキュメントのカテゴリーが「Technical_doc(技術関連文書)」であることを示し、<level xsi:type="xsd:string">High</level>を示す記述883は、ドキュメントのレベルが「High(高レベル)」であることを示し、<zone xsi:type="xsd:string">99.99.99.99</zone>を示す記述884は、ゾーンが「99.99.99.99」であることを示している。
また、<accessInfo>から</accessinfo>を示す記述885は、動作情報を示す。記述885において、<operation xsi:type="xsd:string">COPY</operation>を示す記述886は、動作がコピーであることを示している。
図43に示す外部サーバとしてのポリシー解釈サーバ4200は、このようなXMLデータ870を受信すると、図56に示すようなポリシー解釈部4224によるポリシー解釈結果を画像形成装置1000へ送信する。図56は、SOAPに従って送信されるポリシー解釈結果を示すXMLデータの例を示す図である。
図56において、XMLデータ890は、ポリシー解釈結果を通知するためのSOAPに従ったXMLによる記述である。XMLデータ890において、<ns1:isAllowedResponse>を示す記述891から</ns1:isAllowedResponse>を示す記述892までに、ポリシー解釈結果に関する情報が示される。
記述891において、「isAllowedResponse」により、このXMLデータ890がポリシー解釈結果の通知を示している。
<allowed xsi:type="xsd:boolean">true</allowed>を示す記述895は、動作が許可されたことを示す。
また、<requirements>から</requirements>までの記述896は、動作を許可するための動作要件が示される。記述896において、<item>から</item>までの記述897は、動作要件を示す。<requirement xsi:type="xsd:string">audit</requirement>を示す記述によって、動作要件として監査証跡の記録(「audit」)が指定される。
次に、動作制御部1013の機能構成について図57及び図58で説明する。先ず、図28に示す読み取り装置としての画像形成装置1000の動作制御部1013の機能構成について説明する。図57は、読み取り装置としての画像形成装置における動作制御部の機能構成の例を示す図である。
図57において、読み取り装置としての画像形成装置1000において、動作制御部1013は、データ処理部74を制御するデータ処理制御部74aと、データ送信部75を制御するデータ送信制御部75aとを有する。
読み取り装置としての画像形成装置1000において、データ処理制御部74aは、例えば、動作要件選択部1012から通知された動作要件に従って、読み取り処理を停止し、必要に応じて読み取ったデータを全て消去する、読み取ったデータの一部を黒くする、白くする、又はページを削除する等によって消去する、カラー情報を消去する、情報量を低減する、「丸秘」スタンプを印字することよって機密ラベルを追加する、また、バーコード、数字、文字、パターン、セキュリティ属性を印字することによって識別情報を追加する、などを実行するようにデータ処理部74を制御する。
読み取り装置としての画像形成装置1000において、データ送信制御部75aは、例えば、動作要件選択部1012から通知された動作要件に従って、送信を停止する、動作要件で指定された送信先だけに送信する、動作要件で指定された送信先にも送信する、などを実行するようにデータ送信部75を制御する。
図58は、複写装置としての画像形成装置における動作制御部の機能構成の例を示す図である。
図58において、複写装置としての画像形成装置1000−2において、動作制御部1013は、データ処理部74を制御するデータ処理制御部74aと、印刷部76を制御する印刷制御部76aとを有する。
複写装置としての画像形成装置1000−2において、データ処理制御部74aは、図57の読み取り装置としての画像形成装置1000におけるデータ処理制御部74aと同様であって、例えば、動作要件選択部1012から通知された動作要件に従って、読み取り処理を停止し、必要に応じて読み取ったデータを全て消去する、読み取ったデータの一部を黒くする、白くする、又はページを削除する等によって消去する、カラー情報を消去する、情報量を低減する、「丸秘」スタンプを印字することよって機密ラベルを追加する、また、バーコード、数字、文字、パターン、セキュリティ属性を印字することによって識別情報を追加する、などを実行するようにデータ処理部74を制御する。
複写装置としての画像形成装置1000−2において、印刷制御部76aは、例えば、印刷を停止する、動作要件で指定されたトレイの用紙に印刷する、などを実行するように印刷制御部76aを制御する。
上記実施例において、読み取り装置としての画像形成装置1000と、複写装置としての画像形成装置1000−2について例示したが、プリンタ、FAX、コピー等の複数の異なる画像形成機能の少なくとも1つを有する装置又はこのような複数の異なる画像形成機能を有する装置であっても良い。
本発明によれば、ドキュメントに関する企業内のセキュリティポリシーを外部から設定できるため、企業内を一貫したセキュリティポリシーによってドキュメントの取り扱いを制御することができる。また、ドキュメントが紙原稿であっても電子データ(ドキュメントデータ)であっても、セキュリティポリシーに従った制御を実行することができる。