JP4832744B2 - 文書管理システム - Google Patents
文書管理システム Download PDFInfo
- Publication number
- JP4832744B2 JP4832744B2 JP2004283790A JP2004283790A JP4832744B2 JP 4832744 B2 JP4832744 B2 JP 4832744B2 JP 2004283790 A JP2004283790 A JP 2004283790A JP 2004283790 A JP2004283790 A JP 2004283790A JP 4832744 B2 JP4832744 B2 JP 4832744B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- document
- information
- log
- usage right
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
この発明は文書管理システムに関し、特に、電子データまたは紙データによる文書のライフサイクル全般にわたる不正流出・不正利用を防止するための文書管理システムに関する。
従来の文書管理システムとして、印字データにユーザ名とパスワードを設定させる手段を設け、パスワードが設定されている印字データをプリンタで印刷処理する場合に、オペレータに対してパスワードの入力を要求し、正しいパスワードが入力されるまで印刷処理を停止するようにしたものが提案されている(例えば、特許文献1参照。)。
また、他の文書管理システムとして、暗号化されたプリントデータについてはプリントアウトせずに、認証の受信があった場合にのみ復号化プリントデータを印刷するというものがある(例えば、特許文献2参照。)。
上述のような従来の文書管理システムにおいては、いずれのものも、印刷する前に認証を行ってセキュリティを確保しながら印刷を行っているが、印刷された紙そのものについてのセキュリティ対策については考慮されていないので、印刷された紙の不正流出および不正利用を防止することができないという問題点があった。
この発明はかかる問題点を解決するためになされたものであり、電子化された文書のライフサイクル全般にわたる不正流出・不正利用を防止することが可能な文書管理システムを得ることを目的としている。
この発明は、ネットワークを介して、クライアント端末、マルチファンクション複合機およびシュレッダーと接続されている文書管理システムであって、生成された電子化文書に単一なコンテンツIDを付与し、ユーザIDごとの利用権の設定を行うとともに、コンテンツIDに対応するユーザIDごとの利用権設定情報を生成する利用権設定手段と、ユーザ固有の情報が入力されて、当該情報により前記電子化文書を暗号化するためのユーザ認証を行う第1の認証手段と、前記第1の認証手段による認証が成功した場合に、前記利用権設定手段が生成した利用権設定情報に応じて前記電子化文書を暗号化し、利用権設定ファイルを生成する暗号化手段と、ユーザ固有の情報が入力されて、当該情報により前記電子化文書を利用するためのユーザ認証を行う第2の認証手段と、前記第2の認証手段による認証が成功した場合に、前記電子化文書の前記クライアント端末および前記マルチファンクション複合機の利用に関して前記利用権設定ファイルを参照することにより、ユーザIDに付与された利用権を特定し、特定された利用権に基づき前記クライアント端末および前記マルチファンクション複合機に当該ユーザIDによる前記電子化文書の利用を許可するとともに、前記電子化文書の前記シュレッダー利用に関して、前記電子化文書が印刷された廃棄書類のコンテンツIDを読み込み、前記コンテンツIDに対応するユーザIDごとに付与された利用権を特定し、特定された利用権に基づき前記シュレッダーに当該ユーザIDによる前記電子化文書の利用を許可する利用実行手段と、前記電子化文書のコピー、スキャン、FAX送受信の利用に関して前記マルチファンクション複合機からログ情報を取得してログを生成し、前記電子化文書の印刷の利用に関して前記クライアント端末からログ情報を取得してログを生成し、さらに前記電子化文書のシュレッダー利用に関して前記シュレッダーからログ情報を取得してログを生成して、それらのログをログファイルに記憶するログ管理手段とを備え、前記ログは、前記コンテンツIDに対応してコピー、スキャン、FAX送受信、印刷、シュレッダー利用のうちのいずれの処理が行われたかの情報と、当該処理によって生成された印刷枚数または廃棄された廃棄枚数の情報とを含み、前記ログファイルにより、前記コンテンツIDに対応する前記電子化文書の前記印刷枚数の集計情報と前記廃棄枚数の集計情報とを管理する文書管理システムである。
この発明は、ネットワークを介して、クライアント端末、マルチファンクション複合機およびシュレッダーと接続されている文書管理システムであって、生成された電子化文書に単一なコンテンツIDを付与し、ユーザIDごとの利用権の設定を行うとともに、コンテンツIDに対応するユーザIDごとの利用権設定情報を生成する利用権設定手段と、ユーザ固有の情報が入力されて、当該情報により前記電子化文書を暗号化するためのユーザ認証を行う第1の認証手段と、前記第1の認証手段による認証が成功した場合に、前記利用権設定手段が生成した利用権設定情報に応じて前記電子化文書を暗号化し、利用権設定ファイルを生成する暗号化手段と、ユーザ固有の情報が入力されて、当該情報により前記電子化文書を利用するためのユーザ認証を行う第2の認証手段と、前記第2の認証手段による認証が成功した場合に、前記電子化文書の前記クライアント端末および前記マルチファンクション複合機の利用に関して前記利用権設定ファイルを参照することにより、ユーザIDに付与された利用権を特定し、特定された利用権に基づき前記クライアント端末および前記マルチファンクション複合機に当該ユーザIDによる前記電子化文書の利用を許可するとともに、前記電子化文書の前記シュレッダー利用に関して、前記電子化文書が印刷された廃棄書類のコンテンツIDを読み込み、前記コンテンツIDに対応するユーザIDごとに付与された利用権を特定し、特定された利用権に基づき前記シュレッダーに当該ユーザIDによる前記電子化文書の利用を許可する利用実行手段と、前記電子化文書のコピー、スキャン、FAX送受信の利用に関して前記マルチファンクション複合機からログ情報を取得してログを生成し、前記電子化文書の印刷の利用に関して前記クライアント端末からログ情報を取得してログを生成し、さらに前記電子化文書のシュレッダー利用に関して前記シュレッダーからログ情報を取得してログを生成して、それらのログをログファイルに記憶するログ管理手段とを備え、前記ログは、前記コンテンツIDに対応してコピー、スキャン、FAX送受信、印刷、シュレッダー利用のうちのいずれの処理が行われたかの情報と、当該処理によって生成された印刷枚数または廃棄された廃棄枚数の情報とを含み、前記ログファイルにより、前記コンテンツIDに対応する前記電子化文書の前記印刷枚数の集計情報と前記廃棄枚数の集計情報とを管理する文書管理システムであるので、電子化された文書の不正流出・不正利用を防止することができ、問題発生時にも、確実に利用状況を追跡することができる。
実施の形態1.
本実施の形態では、電子化文書を機密文書として登録し、登録した機密文書を利用するとき、決められたプリンタのみへの出力に制限するとともに、決められたシュレッダーにより破棄することにより、機密文書の生成、利用、破棄のライフサイクルを管理することが可能となる。また、あらゆる操作にログを残すので、問題やトラブルの発生時あるいは監査時などに、操作履歴を完全にすべて追跡可能である。また、機密文書には、一意のコンテンツIDが振られるので、機密文書の操作履歴の追跡が可能になる。また、機密文書の生成、利用、破棄などの操作に対しては、ICカードで認証を行うので、だれが操作したかを追跡することが可能となる。従って、機密文書に対して、どれを、いつ、だれが、なにを行ったかが追跡できるので、問題が発生したときの追跡が可能となる。問題発生時の追跡が可能であるため、ユーザの不正行為を抑止することができる。これにより、電子データまたは紙データによる文書のライフサイクル全般にわたる不正流出・不正利用を防止することができる。
また本実施の形態において、機密文書(電子化文書)は、なんらかのアプリケーションにより作成される、スキャンニングにより生成される、またはFAX受信により生成されるとし、また機密文書の利用については、閲覧、印刷、コピー、FAX送信、シュレッダーによる廃棄に関して説明する。
図1は、この発明の実施の形態1に係る文書管理システムの全体の構成を示した図である。図1に示すように、複数のマルチファンクション複合機1(以下、MFP1とする。)が、管理サーバ2を介して、イントラネット等のネットワーク3に接続されている。各管理サーバ2には、ICカードに記憶された情報を読み取るためのカードリーダ4が設けられているとともに、プリントデータやFAXデータ等の各種データ、暗号鍵、後述するログファイルとを記憶するためのメモリ5が内部に設けられている。また、複数のクライアント端末6がネットワーク3に接続されている。各クライアント端末6には、ICカードに記憶された情報を読み取るためのカードリーダ7と、各種データを記憶するための記憶装置8が設けられている。また、ネットワーク3には、カードリーダ9を備えたシュレッダー10、管理対象の文書ファイルが記憶されるファイルサーバ11、および、操作履歴を含むログの集計を行う集計サーバ14が接続されている。さらに、ネットワーク3には、インターネット12を介して、タイムスタンプを管理するタイムサーバ13が接続されている。
本実施の形態では、電子化文書を機密文書として登録し、登録した機密文書を利用するとき、決められたプリンタのみへの出力に制限するとともに、決められたシュレッダーにより破棄することにより、機密文書の生成、利用、破棄のライフサイクルを管理することが可能となる。また、あらゆる操作にログを残すので、問題やトラブルの発生時あるいは監査時などに、操作履歴を完全にすべて追跡可能である。また、機密文書には、一意のコンテンツIDが振られるので、機密文書の操作履歴の追跡が可能になる。また、機密文書の生成、利用、破棄などの操作に対しては、ICカードで認証を行うので、だれが操作したかを追跡することが可能となる。従って、機密文書に対して、どれを、いつ、だれが、なにを行ったかが追跡できるので、問題が発生したときの追跡が可能となる。問題発生時の追跡が可能であるため、ユーザの不正行為を抑止することができる。これにより、電子データまたは紙データによる文書のライフサイクル全般にわたる不正流出・不正利用を防止することができる。
また本実施の形態において、機密文書(電子化文書)は、なんらかのアプリケーションにより作成される、スキャンニングにより生成される、またはFAX受信により生成されるとし、また機密文書の利用については、閲覧、印刷、コピー、FAX送信、シュレッダーによる廃棄に関して説明する。
図1は、この発明の実施の形態1に係る文書管理システムの全体の構成を示した図である。図1に示すように、複数のマルチファンクション複合機1(以下、MFP1とする。)が、管理サーバ2を介して、イントラネット等のネットワーク3に接続されている。各管理サーバ2には、ICカードに記憶された情報を読み取るためのカードリーダ4が設けられているとともに、プリントデータやFAXデータ等の各種データ、暗号鍵、後述するログファイルとを記憶するためのメモリ5が内部に設けられている。また、複数のクライアント端末6がネットワーク3に接続されている。各クライアント端末6には、ICカードに記憶された情報を読み取るためのカードリーダ7と、各種データを記憶するための記憶装置8が設けられている。また、ネットワーク3には、カードリーダ9を備えたシュレッダー10、管理対象の文書ファイルが記憶されるファイルサーバ11、および、操作履歴を含むログの集計を行う集計サーバ14が接続されている。さらに、ネットワーク3には、インターネット12を介して、タイムスタンプを管理するタイムサーバ13が接続されている。
図2は、MFP1の構成を示した概略構成図である。図2に示すように、MFP1は、コピー手段20と、スキャナ手段21と、FAX手段22と、プリンタ手段23、とを有している。なお、セキュリティを確保すべき管理対象の機密文書をユーザが利用する時には、セキュアな処理を行うことができるこれらの手段20〜23がクライアント端末6からの指示に基づき、管理サーバ2により自動的に選択されるように予め設定されている(他の機器による印刷やコピーはできないように設定されている)。当該機密文書を利用した際には、これらの手段20〜23は、実行した操作の種類(閲覧、印刷、コピー等)、文書名、利用した時刻、利用したユーザ名(またはユーザID)、実行部数などの情報を含むログを生成して、管理サーバ2に送信し、保管する。
図18は、管理サーバ2、クライアント端末6、ファイルサーバ11に注目したシステム構成図である。簡略化のため、MFP1、管理サーバ2、クライアント端末6、ファイルサーバ11は、1台のみ記載しているが、図18は図1の構成の一部を抜粋したものである。管理サーバ2の認証手段(第1の認証手段、第2の認証手段)31は、カードリーダ4に挿入されたICカードによりユーザ認証を行うものであり、具体的にはスキャンにて電子化文書(電子ファイル)が登録されるときにユーザ認証し(第1の認証手段)、またコピー、FAX送信、実行時にユーザ認証する(第2の認証手段)。送受信手段32は、クライアント端末6及びファイルサーバ11との間でファイルまたは、情報を送受信し、利用権設定手段33は電子化文書にユニーク(単一)なコンテンツIDを付与するとともに、ユーザID毎の利用権の設定を行う。また暗号化手段34は、利用権が設定された電子化文書を設定された利用権に応じて暗号化し、暗号化の結果得られたファイルを利用権設定ファイル38とする。
利用実行手段35は、認証手段(第2の認証手段)31による認証が成功したら、その後対象の利用権設定ファイル38に付与されたコンテンツIDの利用権を照会する。認証手段(第2の認証手段)31で認証されたユーザIDが指定した利用の利用権を有しているとき、該当の利用を許可する。具体的にはMFP1に対して、スキャン、印刷、コピー、FAX送信に関する実行を指示し、またクライアント端末6に対して閲覧を許可し、シュレッダー10に対して廃棄を許可する。
ログ生成手段40は利用に応じたログ情報を生成して、ログ管理手段36はクライアント端末6及びMFP1から送信されたログ情報も合わせて、ログファイル37に記憶する。ログ管理手段36は、コピー、スキャン、FAX受信、FAX送信に関しては、MFP1からログ情報を受け渡されログを生成し、印刷に関してはクライアント端末6の指定を記憶してログ管理手段36がログを生成する。
また図18には記載していないが、シュレッダーによる廃棄時にはシュレッダーからログ情報が受け渡され、閲覧時にはクライアント端末6からログ情報が受け渡される。これらのログ情報がログファイル37として記憶される。またログファイル37と利用権設定ファイル38は上述したメモリ5に記憶される。
クライタント端末6の認証手段41は、カードリーダ7に挿入されたICカードによりユーザ認証を行うものであり、具体的にはクライアント端末6で電子化文書(電子ファイル)を作成、登録されるときにユーザ認証し(第1の認証手段)、また電子化文書の閲覧、印刷実行時にユーザ認証する(第2の認証手段)。送受信手段42は、管理サーバ2、ファイルサーバ11との間でファイルまたは情報を送受信し、入力手段43は、表示装置(図示せず)、入力装置(図示せず)を用いてユーザからの電子文書作成と利用権の入力を受け付ける。電子化文書登録手段44は、入力手段43からの入力により電子化文書をメモリ(図示せず)に、例えば電子ファイル45として記憶する。
送受信手段42は、管理サーバ2に対して電子ファイル45と、入力手段43が受け付けた利用権設定情報を送信し、管理サーバ2から利用権設定ファイル46を受信する。利用権設定ファイル46は、メモリ(図示せず)に記憶される。またログ生成手段は、ユーザの指定による該当の利用権設定ファイル46の閲覧の実行に関するログファイル47をメモリ(図示せず)に記憶する。
ファイルサーバ11の送受信手段51は、管理サーバ2からコンテンツ情報52とユーザ情報53と利用権設定ファイル54を受信する。コンテンツ情報52、ユーザ情報53、また利用権設定ファイル54は、メモリ(図示せず)に記憶される。
図18は、管理サーバ2、クライアント端末6、ファイルサーバ11に注目したシステム構成図である。簡略化のため、MFP1、管理サーバ2、クライアント端末6、ファイルサーバ11は、1台のみ記載しているが、図18は図1の構成の一部を抜粋したものである。管理サーバ2の認証手段(第1の認証手段、第2の認証手段)31は、カードリーダ4に挿入されたICカードによりユーザ認証を行うものであり、具体的にはスキャンにて電子化文書(電子ファイル)が登録されるときにユーザ認証し(第1の認証手段)、またコピー、FAX送信、実行時にユーザ認証する(第2の認証手段)。送受信手段32は、クライアント端末6及びファイルサーバ11との間でファイルまたは、情報を送受信し、利用権設定手段33は電子化文書にユニーク(単一)なコンテンツIDを付与するとともに、ユーザID毎の利用権の設定を行う。また暗号化手段34は、利用権が設定された電子化文書を設定された利用権に応じて暗号化し、暗号化の結果得られたファイルを利用権設定ファイル38とする。
利用実行手段35は、認証手段(第2の認証手段)31による認証が成功したら、その後対象の利用権設定ファイル38に付与されたコンテンツIDの利用権を照会する。認証手段(第2の認証手段)31で認証されたユーザIDが指定した利用の利用権を有しているとき、該当の利用を許可する。具体的にはMFP1に対して、スキャン、印刷、コピー、FAX送信に関する実行を指示し、またクライアント端末6に対して閲覧を許可し、シュレッダー10に対して廃棄を許可する。
ログ生成手段40は利用に応じたログ情報を生成して、ログ管理手段36はクライアント端末6及びMFP1から送信されたログ情報も合わせて、ログファイル37に記憶する。ログ管理手段36は、コピー、スキャン、FAX受信、FAX送信に関しては、MFP1からログ情報を受け渡されログを生成し、印刷に関してはクライアント端末6の指定を記憶してログ管理手段36がログを生成する。
また図18には記載していないが、シュレッダーによる廃棄時にはシュレッダーからログ情報が受け渡され、閲覧時にはクライアント端末6からログ情報が受け渡される。これらのログ情報がログファイル37として記憶される。またログファイル37と利用権設定ファイル38は上述したメモリ5に記憶される。
クライタント端末6の認証手段41は、カードリーダ7に挿入されたICカードによりユーザ認証を行うものであり、具体的にはクライアント端末6で電子化文書(電子ファイル)を作成、登録されるときにユーザ認証し(第1の認証手段)、また電子化文書の閲覧、印刷実行時にユーザ認証する(第2の認証手段)。送受信手段42は、管理サーバ2、ファイルサーバ11との間でファイルまたは情報を送受信し、入力手段43は、表示装置(図示せず)、入力装置(図示せず)を用いてユーザからの電子文書作成と利用権の入力を受け付ける。電子化文書登録手段44は、入力手段43からの入力により電子化文書をメモリ(図示せず)に、例えば電子ファイル45として記憶する。
送受信手段42は、管理サーバ2に対して電子ファイル45と、入力手段43が受け付けた利用権設定情報を送信し、管理サーバ2から利用権設定ファイル46を受信する。利用権設定ファイル46は、メモリ(図示せず)に記憶される。またログ生成手段は、ユーザの指定による該当の利用権設定ファイル46の閲覧の実行に関するログファイル47をメモリ(図示せず)に記憶する。
ファイルサーバ11の送受信手段51は、管理サーバ2からコンテンツ情報52とユーザ情報53と利用権設定ファイル54を受信する。コンテンツ情報52、ユーザ情報53、また利用権設定ファイル54は、メモリ(図示せず)に記憶される。
図3は、この発明の実施の形態1に係る文書管理システムのおおまかな動作について示した図である。なお電子化文書の生成、または利用によって、管理サーバ2またはクライアント端末6で処理されるときは、詳細な説明は図5以降で説明することし、図3においては、全体の流れを確認する。図3に示すように、クライアント端末6により電子化文書を作成するか(ステップS1)、MFP1のスキャナ手段21により紙データをスキャニングするか(ステップS2)、あるいは、MFP1のFAX手段22によりFAX受信するかして(ステップS3)、文書を電子化して電子化文書を生成する(ステップS4)。次に、生成された電子化文書に対して当該電子化文書の固有識別情報であるコンテンツID(電子化文書ID)を付与し、ユーザ毎の利用権を設定する(ステップS5)。利用権の設定は、例えば、図4に示すような画面にて行う。当該画面にて、各ユーザごとに、許可する利用権について、該当する項目の欄をクリックすることにより、「レ」点が挿入され、設定できる。なお、利用権の設定を行う前には、ユーザがICカードの情報をカードリーダ7により読み込むことによるユーザ認証操作を行う。その結果がクライアント端末6から管理サーバ2に送信され、管理サーバ2にてコンテンツID付与などの処理を行った後、管理サーバ2からファイルサーバ11にコンテンツ情報52と、ユーザ情報53として送信される。図17に、ファイルサーバ11内のコンテンツ情報52およびユーザ情報53の一例を示す。当該一例においては、ユーザごとに利用権を設定せずに、複数のユーザから構成されるユーザグループを設定して、ユーザグループごとに利用権を設定している。このように、ファイルサーバ11には、コンテンツID別に、ユーザごとあるいはユーザグループごとの利用権の設定情報が格納されている。次に、当該電子化文書の暗号化を行い生成された、利用権設定ファイル46をファイルサーバ11に保存する(ステップS6)。場合によって、クライアント端末6でも重ねて利用権設定ファイル46を保存するように構成してもよく、またクライアント端末6だけで保存してもよい。なお、当該保存の際には、保存された文書の文書名、コンテンツID、保存した日時、ユーザID(必要に応じてユーザ名も)、操作機器のID、管理サーバIDなどの情報を含むログが生成されて管理サーバ2で保管される。ユーザが暗号化された文書を利用する場合には、ICカードを用いてユーザがユーザ認証を行った後に(ステップS7)、利用したい文書をコンテンツIDによりファイルサーバ11からダウンロードして、利用権に応じた利用を行うための指示を入力する(ステップS8〜S12)。ステップS8の閲覧指示の場合はクライアント端末6により文書の画面表示が実行され(ステップS13)、当該閲覧が実行されたことを示すログが管理サーバ2に送信される(ステップS14)。ステップS9〜S11の印刷指示、コピー指示、FAX送信指示の場合は、ICカードによる認証が行われ(ステップS15)、MFP1により実行され(ステップS16)、当該実行が行われたことを示すログが管理サーバ2に生成される(ステップS17)。ステップS12のシュレッダーによる印刷文書の廃棄指示の場合は、シュレッダー10によりICカードによる認証が行われ(ステップS18)、シュレッダーにより印刷文書の廃棄が実行され(ステップS19)、当該廃棄が行われたことを示すログが管理サーバ2に送信される(ステップS20)。ステップS14,S17およびS20により送信されたログ情報は管理サーバ2により受信され、集計される(ステップS21)。なお、当該ログには、利用された文書のコンテンツID、利用した日時、操作内容(閲覧、印刷、コピー、FAX送信、破棄)、ユーザID(必要に応じてユーザ名も)、操作機器のID、管理サーバIDなどの情報が含まれる。このように、本実施の形態においては、各種の利用が行われる際に、すべて、ユーザのICカードによる認証が行われ、かつ、当該利用が実行されるたびに、すべて、ログが生成され、管理サーバ2により集計されるので、いつ、どのような処理が、誰によって行われたかの記録がすべて管理サーバ2により管理されるので、不正利用および不正流出を防止することができる。また、各電子化文書には、ファイル名とは別に、重複のない一意のコンテンツIDが付与され、当該コンテンツIDは一切変更できない構成になっているので、ユーザがファイル名を変更して印刷を行ったりした場合においても、どのファイルを印刷したかを確実に管理することができる。
次に、本実施の形態に係る文書管理システムの図3の各動作について図に基づいて詳細に説明する。まずはじめに、図3にステップS1及びS4〜S6の処理について、図5に従って詳細に説明する。クライアント端末6により、ユーザが、電子化文書を作成する(ステップS31)。当該文書とは、例えば、ワード文書や、エクセルブック等のすべての任意の電子文書の種類が含まれるものとする。その電子化文書は、電子化文書登録手段44により電子ファイル45として登録される。次に、認証手段(第1の認証手段)41及び入力手段43により図6に示すような画面をWeb上で表示させて(ステップS32)、当該画面により、ユーザがユーザ名とパスワードとを入力するとともに、クライアント端末6に設けられたカードリーダ7によりユーザ所有のICカード内の情報を読み取らせて、ユーザ認証操作を行う(ステップS33)。当該ユーザ名、パスワードおよびICカードの情報は、ネットワーク3を介して、管理サーバ2に送信されて、管理サーバ2により、クライアントの認証とICカードの認証とが行われる(ステップS34)。認証が成功した場合には、生成した文書をクライアント端末6から管理サーバ2にアップロードさせる(ステップS35,S36)。次に、入力手段43により図4の画面を用いて、ユーザごとの利用権の設定入力を受け付け、送受信手段42は該当の電子ファイル45と利用権設定情報とを管理サーバ2へ送信する(ステップS37,S38)。利用権の種類としては、例えば、図4に示すように、閲覧、印刷、コピー、保存、利用可能回数が挙げられる。また、それ以外にも、図4においては図示を省略しているが、FAX送信や、シュレッダーによる廃棄などが挙げられる。以下の説明においては、これら全ての利用権を含んで説明する。次に、管理サーバ2の送受信手段32は、該当の電子ファイル45と利用権設定情報とを受信し、利用権設定手段33がユニークなコンテンツIDを付与するとともに、利用権設定情報に基づき該当の電子ファイル45に利用権を設定する(ステップS38)。その後、暗号化手段34がステップS38で設定した利用権に従い、メモリ5に記憶されているユーザ毎の暗号鍵を用いて、受信した電子ファイル45を暗号化し、利用権設定ファイル38を生成する(ステップS39)。当該暗号化の際には、図1に示すように、インターネット12を介してタイムサーバ13からタイムスタンプをダウンロードするとともに、電子署名を付加する。なお、電子署名は、PKI認証局等の認証局から発行される秘密鍵と電子証明書とを用いて行われる。また、必要に応じて、印影データを付加するようにしてもよい。次に、暗号化した文書をクライアント端末6にダウンロードして格納するか、あるいは、ファイルサーバ11に送信して格納する。また合わせて、コンテンツ情報とユーザ情報とをファイルサーバ11に送信し、ファイルサーバ11ではコンテンツ情報52及びユーザ情報53に追加、更新して保管する(ステップS40,S41)。上述の処理にて、機密文書である利用権設定ファイル38が生成される。利用権設定ファイル38を利用しようとするとき、利用権設定ファイル38を復号することになるが、設定された利用権に応じて暗号化がされているので、復号後は設定された利用権の範囲での利用に限定することができる。
また上述したように、クライアント端末6へダウンロードするか、ファイルサーバ11に送信してファイルサーバ11で一括管理するかは、文書作成時にユーザから指定を受け付けてもよい。どちらにしても、本実施の形態では利用の度ごとに、利用権の確認、ユーザ認証を行う構成であるので、利用権設定ファイル46の保管場所はその都度選択できる。
その後、管理サーバ2は、保存された文書の文書名、コンテンツID、保存した日時、ユーザID(必要に応じてユーザ名も)、操作機器のID、管理サーバIDなどの情報を含むログファイル37をログ生成手段40により生成して(ステップS42)、当該文書ファイル自体は削除する(ステップS43)。当該削除は、ステップS40,41が終了した時点でその都度行ってもよいが、予め設定した一定周期で行うようにしてもよい。
また上述したように、クライアント端末6へダウンロードするか、ファイルサーバ11に送信してファイルサーバ11で一括管理するかは、文書作成時にユーザから指定を受け付けてもよい。どちらにしても、本実施の形態では利用の度ごとに、利用権の確認、ユーザ認証を行う構成であるので、利用権設定ファイル46の保管場所はその都度選択できる。
その後、管理サーバ2は、保存された文書の文書名、コンテンツID、保存した日時、ユーザID(必要に応じてユーザ名も)、操作機器のID、管理サーバIDなどの情報を含むログファイル37をログ生成手段40により生成して(ステップS42)、当該文書ファイル自体は削除する(ステップS43)。当該削除は、ステップS40,41が終了した時点でその都度行ってもよいが、予め設定した一定周期で行うようにしてもよい。
次に、図3のステップS2及びS4〜S6の処理について図7に基づいて詳細に説明する。まずはじめに、MFP1に、スキャンする用紙をセットする(ステップS51)。次に、管理サーバ2に設けられているカードリーダ4によりICカードを用いたユーザ認証およびICカード認証を行う(ステップS52)。次に、MFP1で利用の選択、利用権の設定を行うための、タッチパネル画面を表示し(ステップS53)、ユーザはパネル選択により利用権の中のスキャニングを選択し、利用権の選択をする(ステップS54)。これにより、MFP1のスキャナ手段21により用紙のスキャンが実行されて(ステップS55)、イメージファイルが作成される(ステップS56)。当該イメージファイルは電子ファイルに変換される(ステップS57)。当該電子ファイルとステップS53で入力された利用権とが管理サーバ2に転送され(ステップS58)、管理サーバ2により受信される(ステップS59)。つぎに、利用権設定手段33が電子ファイルにユニークなコンテンツIDを付与し、受信した利用権に基づきユーザID毎の利用権の設定を行う。次に利用権設定手段33は、メモリ5内の暗号鍵を用いて、当該電子ファイルの暗号化を行い(ステップS60)、利用権設定ファイル38としてメモリ5内に保管する(ステップS61)。次に、ユーザがクライアント端末6のカードリーダ7にICカードをかざしてユーザ認証を行う(ステップS62)。これにより、管理サーバ2およびクライアント端末6のポートがオープンされ(ステップS63,S64)、クライアント端末6の該当のアプリケーションプログラムが起動される(ステップS65)。その後、管理サーバ2からクライアント端末6に対して利用権設定ファイル38が転送され(ステップS66)、受信される(ステップS67)。ステップS66、ステップS67で利用権設定ファイル38は、ファイルサーバ11に転送されるように構成してもよい。その後、保存された文書の文書名、コンテンツID、保存した日時、ユーザID(必要に応じてユーザ名も)、操作機器のID、管理サーバIDなどの情報を含むログファイル37をログ生成手段40が生成する。また合わせて、コンテンツ情報とユーザ情報とをファイルサーバ11に送信し、ファイルサーバ11ではコンテンツ情報52及びユーザ情報53に追加、更新して保管する(ステップS68)。上述の処理にて、機密文書である利用権設定ファイル38が生成される。
次に、図3のステップS3〜S6の処理について図8に基づいて詳細に説明する。まずはじめに、MFP1がFAX文書を受信する(ステップS71)。受信されたFAX文書は、FAXの送信者番号別に予め設定されている管理サーバ2のメモリ5内の受信フォルダに転送される(ステップS72)。管理サーバ2は転送されたFAX文書(TIFファイル)を電子ファイル39に変換する(ステップS73)。次に、管理サーバ2は、受信フォルダ別に予め設定されている権限を当該電子ファイル39に付与する(ステップS74)。図9に、受信フォルダ別に、権限を設定するための画面の一例を示す。当該画面で、該当する項目をクリックすることにより、受信フォルダ別に、ユーザ毎の利用権を設定することができる。次に、利用権設定手段33は、当該電子ファイル39にユニークなコンテンツIDを付与して受信フォルダ別に設定されている利用権を設定する。その後、受信フォルダ別に設定されているIDにて該当する暗号鍵をメモリ5から取り出して暗号化し、利用権設定ファイル38を生成する(ステップS75)。次に、管理サーバ2は、受信フォルダに対応する指定された担当者のクライアント端末6にFAXを受信した旨を連絡するためのFAX受信情報を転送する(ステップS76)。当該情報の転送は、メッセンジャーか、あるいは、電子メール等を用いて行う。当該担当者のクライアント端末6はFAX受信情報を受信すると(ステップS77)、ICカードをカードリーダ7にかざして、ユーザ認証を行う(ステップS78)。ユーザ認証が成功した場合には、ダウンロードしたアプリケーションプログラムが起動され(ステップS79)、ポートがオープンされる(ステップS80)。同時に、管理サーバ2のポートもオープンされ(ステップS81)、FAXにより受信されて暗号化された利用権設定ファイル38が管理サーバ2からクライアント端末6に転送され(ステップS82)、受信される(ステップS83)。なお、ステップS82の転送処理が終わると、管理サーバ2により、FAXされた文書をクライアント端末6に転送した旨のログが作成され、メモリ5に記憶される。また合わせて、コンテンツ情報とユーザ情報とをファイルサーバ11に送信し、ファイルサーバ11ではコンテンツ情報52及びユーザ情報53に追加、更新して保管する(ステップS84)。ステップS82、ステップS83で利用権設定ファイル38は、ファイルサーバ11に転送されるように構成してもよい。上述の処理にて、機密文書である利用権設定ファイル38が生成される。
次に、図3のステップS7〜S8,S13〜S14およびS21の処理について、図10に基づいて詳細に説明する。まずはじめに、クライアント端末6により、利用したい利用権設定ファイル38を読み出す(ステップS91)。次に、ICカードをカードリーダ7に挿入または載置する(図16(a)参照)とともに、図6に示すような画面により、ユーザ名とパスワードとを入力して、ユーザ認証およびICカード認証を行う(ステップS92)。認証が成功すると、管理サーバ2にユーザIDと閲覧が指定された旨が送信される。利用実行手段35はコンテンツIDとユーザIDとに基づき、閲覧の利用権が設定されているかどうかを確認し、ユーザIDに利用権が設定されているときに、閲覧を許可し、利用権設定ファイル38を復号するための復号鍵を発行する(ステップS93)。クライアント端末6は、当該復号鍵を受信して、権限に応じた利用を行うための指示を入力する(ステップS94)。図10においては、閲覧を行う指示を入力したこととする。これにより、該当の機密文書がクライアント端末6の画面に表示され、閲覧が実行される(ステップS95)。次に、当該閲覧が実行された旨のログファイル47が、クライアント端末6から管理サーバ2に転送される(ステップS96)。管理サーバ2には、当該ログファイル47に記憶されているログ情報を集計するとともに(ステップS97)、ログデータを集計サーバ14に転送し、そこで保管する(ステップS98)。クライアント端末6に保管されているログファイル47は、管理サーバ2に転送後、メモリ(図示せず)から削除するように構成してもよい。
次に、図3のステップS7,S9,S15〜S17,S21の処理について、図11に基づいて詳細に説明する。まずはじめに、クライアント端末6により、利用したい利用権設定ファイル38を指定する(ステップS101)。次に、図6(a)に示すように、ICカードをカードリーダ7に挿入または載置するとともに、図6に示すような画面により、ユーザ名とパスワードとを入力して、認証手段(第2の認証手段)41により、ユーザ認証およびICカード認証を行う(ステップS102)。認証が成功すると、管理サーバ2にユーザIDと印刷指示が指定された旨とが送信される。利用実行手段35はコンテンツIDとユーザIDとに基づき、印刷の利用権が設定されているかどうかを確認し、ユーザIDに利用権が設定されているときに、印刷を許可し、利用権設定ファイル38を復号するための復号鍵を発行する(ステップS103)。クライアント端末6は、当該復号鍵を受信して、権限に応じた利用を行うための指示を入力する(ステップS104)。図11においては、印刷を行う指示を入力したこととする(ステップS105)。なお、印刷の指示の入力の際には、プリンタを特に指定せずに、デフォルト値として設定されているセキュア印刷用のMFP1で印刷を行う。あるいは、予め登録されているセキュア印刷用のMFP1のリストの中からユーザが選択することができるようにしてもよいが、それ以外のプリンタまたは複合機を指定することはできないように設定されている。次に、再度、認証手段(第2の認証手段)41は、カードリーダ7に挿入または載置されているICカードの認証を行う(ステップS106)。認証が成功した場合に、印刷イメージ作成手段(図示せず)は、印刷イメージファイルを作成する(ステップS107)。この際に、当該印刷イメージのヘッダもしくはフッターに、ステップS106で認証されたユーザ名、コンテンツIDを強制的に付加する。また、コピーやスキャンあるいはFAX送信を一切禁止する場合には、コピー禁止コードも強制的に付加する。次に、印刷イメージ暗号化手段(図示せず)は、当該印刷イメージファイルを暗号化する(ステップS108)。次に、送受信手段42は、暗号化された印刷イメージファイルを管理サーバ2に送信し(ステップS109)、管理サーバ2が受信する(ステップS110)。ステップS110までの処理により、ユーザはいつでもMFP1から該当の印刷文書を出力することができるようになる。
ユーザが印刷文書を出力しようとしたとき、認証手段(第2の認証手段)31は管理サーバ2のカードリーダ4にICカードをかざすように画面表示または音声ガイダンスにより要求される。当該要求に従って、ユーザが管理サーバ2のカードリーダ4にICカードをかざすことにより、ICカード認証が行われる(ステップS111)。認証が成功した場合に、管理サーバ2にユーザIDと印刷が指定された旨とが送信される。利用実行手段35はコンテンツIDとユーザIDとに基づき、印刷の利用権が設定されているかどうかを確認し、ユーザIDに利用権が設定されているときに、印刷を許可し、それをMFP1に通知する。その後、MFP1のプリンタ手段23により暗号化された印刷イメージファイルが復号され、印刷が行われ排紙(出力)される(ステップS112)。印刷イメージファイルは削除される。認証が成功しない場合は、印刷処理は待機状態となり、一定時間経過しても、認証が成功しない場合には、自動的に管理サーバ2内の印刷イメージファイルは削除される。なお、当該印刷の際には、印刷文書のヘッダもしくはフッターに、ステップS107で付加された、ユーザ名(または、ユーザID)、コンテンツID(必要に応じて、コピー禁止コードも)が印刷されている。なお、これらの情報は、そのまま文字として印刷してもよいが、図16(c)に示すように、これらの情報を盛り込んだ2次元コードまたはバーコード等のコードを生成して、それを印刷するようにしてもよい。また、同時に、図16(c)に示すように、ユーザ名(または、ユーザID)と印刷した日時とを、紙媒体の全面に地模様として印刷するようにしてもよい。あるいは、印刷文書のヘッダもしくはフッターにではなく、ユーザ名(または、ユーザID)、コンテンツID(必要に応じて、コピー禁止コードも)を、紙媒体の全面に地模様として印刷するようにしてもよい。さらに、印刷文書のヘッダもしくはフッターと、紙媒体の全面(地模様)との両方に、コンテンツIDおよびユーザID等の情報を印刷するようにしてもよい。この場合、両方に同じ情報を印刷してもよく、あるいは、印刷文書のヘッダもしくはフッターにはユーザIDとコンテンツIDの情報、紙媒体の全面(地模様)にはユーザ名と日時の情報というように、異なる情報を印刷するようにしてもよい。また、地模様は、図16(c)のように、文字で印字してもよいが、2次元コード等のコードを印刷するようにしてもよい。なお、これらの印刷は、黒色インクで行ってもよいが、あるいは、目視はしずらいが、MFP1およびシュレッダー10では十分に認識できる黄色インク等で行うようにしてもよい。なお、印刷のインクの色は、黒または黄色に限定されるものではなく、いずれの色でも構わないため、デフォルトの色を設定しておき、ユーザ側で適宜変更できる構成にしておいてもよい。次に、当該印刷が実行された旨のログが、ログ管理手段36により、クライアント端末6での指定情報と、MFP1での入力情報に基づき、集計されるとともに(ステップS113)、ログデータが集計サーバ14に転送され、そこで保管される(ステップS114)。このように、印刷する際に、ICカードを用いた認証を行い、さらに利用権が設定されていることを確認した上で、印刷した紙を排紙するようにしたので、印刷時の取り忘れや取りに行くまでの間に別の人に持ち去られたり、盗み見られることを防止することができる。
またステップ107で印刷イメージを作成するとき、ヘッダもしくはフッターに、ユーザ名、コンテンツIDを付与したり、ユーザ名と印刷した日時とを地模様として紙の全面に印刷するのは、万一機密文書が持ち出されたとき、印刷したユーザ名を特定することに、持ち出されたルートを特定するためである。また、ユーザID等を印刷することにより、機密文書の持ち出しに関して、抑止力を持たせることができる。
ユーザが印刷文書を出力しようとしたとき、認証手段(第2の認証手段)31は管理サーバ2のカードリーダ4にICカードをかざすように画面表示または音声ガイダンスにより要求される。当該要求に従って、ユーザが管理サーバ2のカードリーダ4にICカードをかざすことにより、ICカード認証が行われる(ステップS111)。認証が成功した場合に、管理サーバ2にユーザIDと印刷が指定された旨とが送信される。利用実行手段35はコンテンツIDとユーザIDとに基づき、印刷の利用権が設定されているかどうかを確認し、ユーザIDに利用権が設定されているときに、印刷を許可し、それをMFP1に通知する。その後、MFP1のプリンタ手段23により暗号化された印刷イメージファイルが復号され、印刷が行われ排紙(出力)される(ステップS112)。印刷イメージファイルは削除される。認証が成功しない場合は、印刷処理は待機状態となり、一定時間経過しても、認証が成功しない場合には、自動的に管理サーバ2内の印刷イメージファイルは削除される。なお、当該印刷の際には、印刷文書のヘッダもしくはフッターに、ステップS107で付加された、ユーザ名(または、ユーザID)、コンテンツID(必要に応じて、コピー禁止コードも)が印刷されている。なお、これらの情報は、そのまま文字として印刷してもよいが、図16(c)に示すように、これらの情報を盛り込んだ2次元コードまたはバーコード等のコードを生成して、それを印刷するようにしてもよい。また、同時に、図16(c)に示すように、ユーザ名(または、ユーザID)と印刷した日時とを、紙媒体の全面に地模様として印刷するようにしてもよい。あるいは、印刷文書のヘッダもしくはフッターにではなく、ユーザ名(または、ユーザID)、コンテンツID(必要に応じて、コピー禁止コードも)を、紙媒体の全面に地模様として印刷するようにしてもよい。さらに、印刷文書のヘッダもしくはフッターと、紙媒体の全面(地模様)との両方に、コンテンツIDおよびユーザID等の情報を印刷するようにしてもよい。この場合、両方に同じ情報を印刷してもよく、あるいは、印刷文書のヘッダもしくはフッターにはユーザIDとコンテンツIDの情報、紙媒体の全面(地模様)にはユーザ名と日時の情報というように、異なる情報を印刷するようにしてもよい。また、地模様は、図16(c)のように、文字で印字してもよいが、2次元コード等のコードを印刷するようにしてもよい。なお、これらの印刷は、黒色インクで行ってもよいが、あるいは、目視はしずらいが、MFP1およびシュレッダー10では十分に認識できる黄色インク等で行うようにしてもよい。なお、印刷のインクの色は、黒または黄色に限定されるものではなく、いずれの色でも構わないため、デフォルトの色を設定しておき、ユーザ側で適宜変更できる構成にしておいてもよい。次に、当該印刷が実行された旨のログが、ログ管理手段36により、クライアント端末6での指定情報と、MFP1での入力情報に基づき、集計されるとともに(ステップS113)、ログデータが集計サーバ14に転送され、そこで保管される(ステップS114)。このように、印刷する際に、ICカードを用いた認証を行い、さらに利用権が設定されていることを確認した上で、印刷した紙を排紙するようにしたので、印刷時の取り忘れや取りに行くまでの間に別の人に持ち去られたり、盗み見られることを防止することができる。
またステップ107で印刷イメージを作成するとき、ヘッダもしくはフッターに、ユーザ名、コンテンツIDを付与したり、ユーザ名と印刷した日時とを地模様として紙の全面に印刷するのは、万一機密文書が持ち出されたとき、印刷したユーザ名を特定することに、持ち出されたルートを特定するためである。また、ユーザID等を印刷することにより、機密文書の持ち出しに関して、抑止力を持たせることができる。
また、上記の説明においては、印刷者が自分のために印刷する例について説明したが、その場合に限らず、他のユーザに受け取らせることを可能にしておいてもよい。すなわち、印刷者が印刷指定時に受取人を指定して印刷をする。印刷と同時に管理サーバ2がユーザ情報を引き出し、印刷者から指定された方法で受取人に受取の指示を送信する。受取人は、最寄りのセキュア用のMFP1及び管理サーバ2でICカードを用いた認証を行い、印刷を行う。そのとき、印刷イメージファイルは格納されている管理サーバ2からユーザ認証された管理サーバ2へ送信されるので、最寄りのMFP1から印刷文書を得ることができる。一定時間受け取らない場合には、自動的に管理サーバ2内の印刷イメージファイルを削除する。また、受取場所がコピーサービスを行う店舗などで、本人確認の方法が決済機能をもったICカードや携帯電話機などの場合には、受取と同時に決済を行う。
次に、図3のステップS7,S10,S15〜S17,S21の処理について、図12に基づいて詳細に説明する。ユーザが印刷された文書のコピーを行う場合には、まずはじめに、管理サーバ2のカードリーダ4にICカードをかざすことにより、認証手段(第2の認証手段)31がICカード認証を行う(ステップS121)。認証が成功すると、MFP1が使用可能な状態になる(ステップS122)。次に、MFP1は、セットされた印刷文書にコピー禁止コードが有るか否かを判定する(ステップS123)。コピー禁止コードが無かった場合には、管理サーバ2にユーザIDとコピーが指定された旨が送信される。利用実行手段35はコンテンツIDとユーザIDとに基づき、コピーの利用権が設定されているかどうかを確認し、ユーザIDに利用権が設定されているときに、コピーを許可する。それにより、MFP1のコピー手段20はコピー動作を開始する(ステップS124)。一方、コピー禁止コードがあった場合には、そこで処理は終了する(すなわち、コピーは中止され、コピー禁止指定によりコピーができない旨がMFP1の画面に表示される。)。次に、当該コピーが実行された旨のログ情報が、MFP1より管理サーバ2に転送されて(ステップS125)、集計されるとともに(ステップS126)、ログデータが集計サーバ14に転送され、そこで保管される(ステップS127)。なお、コピー処理の際のログ情報には、コピーされた部数情報(コピー枚数の情報)が含まれているものとする。
次に、図3のステップS7,S11,S15〜S17,S21の処理について、図13に基づいて詳細に説明する。ユーザが印刷された文書をFAXで送信する場合には、まずはじめに、管理サーバ2のカードリーダ4にICカードをかざすことにより、ICカード認証を行う(ステップS131)。認証が成功すると、MFP1が使用可能な状態になる(ステップS132)。次に、管理サーバ2は、ICカード内に記憶されているIDに応じた送信先のリストをタッチパネルに表示する(ステップS133)。これにより、ユーザは、当該リストの中から、送信先を選択する(ステップS134)。すなわち、ユーザはFAXの送信先を予め登録されている送信先のリストの中からは選択することができるが、それ以外の送信先を指定することはできないように設定されている。その送信先リストは、ユーザIDまたはユーザグループにより予め定められて、ファイルサーバ11に保管されているユーザ情報53に格納され、FAX送信が選択されたときに、ユーザ情報53の内容が参照されて、送信可能な送信先のリストを表示する。また、送信先のファクシミリ装置または複合機も、図1に示したMFP1のように、FAXを受信したことを示すログが残る構成となっている。次に、MFP1は、セットされた印刷文書にコピー禁止コードが有るか否かを判定する(ステップS135)。コピー禁止コードが無かった場合には、管理サーバ2にユーザIDとFAX送信が指定された旨が送信される。利用実行手段35はコンテンツIDとユーザIDとに基づき、FAX送信の利用権が設定されているかどうかを確認し、ユーザIDに利用権が設定されているときに、FAX送信を許可する。それにより、MFP1のFAX手段22はFAX送信動作を開始する(ステップS136)。一方、コピー禁止コードがあった場合には、そこで処理は終了する(すなわち、FAX送信は中止され、コピー禁止指定によりFAX送信ができない旨がMFP1の画面に表示される。)。次に、当該FAX送信が実行された旨のログ情報が、MFP1より管理サーバ2に転送されて(ステップS138)、集計されるとともに(ステップS139)、ログデータが集計サーバ14に転送され、そこで保管される(ステップS127)。なお、FAX送信処理の際のログ情報には、FAX送信された送信先の情報が含まれているものとする。
なおステップS136で利用権についてコンテンツIDとユーザIDとに基づき照会しているが、図4で示した利用権設定画面及び図17のコンテンツ情報52には、FAX送信に関する利用権は設定していない。FAX送信は、コピーと同様に機密文書の複写に該当するので、FAX送信については、コピーと同等に考え、コピーの利用権有無にてFAX送信を許可するかどうか定めている。また、図4及び図17に示した利用権の種別に、FAX送信を設けるように構成してもよい。
なおステップS136で利用権についてコンテンツIDとユーザIDとに基づき照会しているが、図4で示した利用権設定画面及び図17のコンテンツ情報52には、FAX送信に関する利用権は設定していない。FAX送信は、コピーと同様に機密文書の複写に該当するので、FAX送信については、コピーと同等に考え、コピーの利用権有無にてFAX送信を許可するかどうか定めている。また、図4及び図17に示した利用権の種別に、FAX送信を設けるように構成してもよい。
次に、図3のステップS7,S12,S18〜S21の処理について、図14に基づいて詳細に説明する。ユーザが印刷された文書をシュレッダーにより廃棄する場合には、まずはじめに、シュレッダー10のカードリーダ9にICカードをかざすことにより、ICカード認証を行う(ステップS151)。認証が成功したら、ユーザは、シュレッダー10に廃棄書類をセットし、スタートボタンをONにする(ステップS152)。これにより、シュレッダー10は、当該廃棄書類の枚数をカウントする(ステップS153)。次に、シュレッダー10は、廃棄書類に埋め込まれたコンテンツIDを読み込む(ステップS154)。読み込みが終了すると、廃棄書類を保持したまま(ステップS155)、ICカードから読み取ったユーザIDとコンテンツIDを管理サーバ2に転送し(ステップS156)、当該ユーザによる廃棄が許可されているか否かを判定し、承認する(ステップS157)。一方、廃棄できない書類は、シュレッダーせずに、シュレッダー10から排出されるとともに、シュレッダー処理(廃棄処理)ができない旨がシュレッダー10の画面に表示される。管理サーバ2に承認された場合には、シュレッダー10はシュレッダー動作を開始する(ステップS158)。次に、当該シュレッダー処理が実行された旨のログ情報が、シュレッダー10から管理サーバ2に転送されて(ステップS159)、集計されるとともに(ステップS160)、ログデータが集計サーバ14に転送され、そこで保管される(ステップS161)。なお、シュレッダー処理の際のログ情報には、廃棄された廃棄書類のコンテンツID別の廃棄枚数の情報が含まれているものとする。なお、ログ情報には、上述したように、コピーした枚数や印刷した枚数がすべて残っているので、印刷やコピーしたもののうちの何枚がシュレッダー10で破棄されて、現在残っているものが何枚というように、すべて、管理者が管理することができる。
なお、図1及び図14において、シュレッダー10による廃棄を行うとき、シュレッダー10に備えられたカードリーダ9によりICカードを認証するとしているが、シュレッダー10にはカードリーダ9を設けずに、管理サーバ2とシュレッダー10とを近接して設置し、管理サーバ2のカードリーダ4によりICカードの認証を行う構成としてもよい。
なお、図1及び図14において、シュレッダー10による廃棄を行うとき、シュレッダー10に備えられたカードリーダ9によりICカードを認証するとしているが、シュレッダー10にはカードリーダ9を設けずに、管理サーバ2とシュレッダー10とを近接して設置し、管理サーバ2のカードリーダ4によりICカードの認証を行う構成としてもよい。
以上のように、本実施の形態においては、機密文書は電子化(元々電子のもの、紙をスキャニングしたもの、FAXデータを受信)し、かつ、決められたプリンタのみへの出力に制限するとともに、決められたシュレッダーにより破棄することにより、機密文書の生成、利用、破棄のライフサイクルを管理することが可能となる。また、あらゆる操作にログを残すので、問題やトラブルの発生時あるいは監査時などに、操作履歴を完全にすべて追跡可能である。また、電子化された文書には、一意のコンテンツIDが振られ、閲覧、印刷、コピー、FAX送信、シュレッダーによる廃棄と言った利用の度ごとに、利用権を照会するので不正利用を防止することができる。またコンテンツIDにより、機密文書の操作履歴の追跡が可能になる。また、文書の生成、利用、破棄などの操作に対しては、ICカードで認証を行うので、だれが操作したかを追跡することが可能となる。従って、機密文書に対して、どれを、いつ、だれが、なにを行ったかが追跡できるので、問題が発生したときの追跡が可能となる。問題発生時の追跡が可能であるため、ユーザの不正行為を抑止することができる。これにより、電子データまたは紙データによる文書のライフサイクル全般にわたる不正流出・不正利用を防止することができる。
また本実施の形態において、電子化文書は、なんらかのアプリケーションにより作成される、スキャンニングにより生成される、またはFAX受信により生成されるときを想定した。また電子化文書(利用権設定ファイル)の利用については、閲覧、印刷、コピー、FAX送信、シュレッダーによる廃棄について述べた。電子化文書生成、利用に関しては、本実施の形態の一部で実施することもできるし、上述以外の方法により電子化文書を、管理サーバ2またはクライアント端末6に生成してもよい。
なお、上述の説明においては、廃棄として、シュレッダー10による印刷物および複写物の廃棄について説明したが、ファイルサーバ11またはクライアント端末6に保存されている電子化文書の電子データそのものが削除された場合も、管理サーバ2は、削除された文書の文書名、コンテンツID、削除した日時、ユーザID(必要に応じてユーザ名も)、操作機器のID、管理サーバIDなどの情報を含むログファイル37をログ生成手段40により生成して、当該電子データの廃棄の記録を残すことは言うまでもない。
また本実施の形態において、電子化文書は、なんらかのアプリケーションにより作成される、スキャンニングにより生成される、またはFAX受信により生成されるときを想定した。また電子化文書(利用権設定ファイル)の利用については、閲覧、印刷、コピー、FAX送信、シュレッダーによる廃棄について述べた。電子化文書生成、利用に関しては、本実施の形態の一部で実施することもできるし、上述以外の方法により電子化文書を、管理サーバ2またはクライアント端末6に生成してもよい。
なお、上述の説明においては、廃棄として、シュレッダー10による印刷物および複写物の廃棄について説明したが、ファイルサーバ11またはクライアント端末6に保存されている電子化文書の電子データそのものが削除された場合も、管理サーバ2は、削除された文書の文書名、コンテンツID、削除した日時、ユーザID(必要に応じてユーザ名も)、操作機器のID、管理サーバIDなどの情報を含むログファイル37をログ生成手段40により生成して、当該電子データの廃棄の記録を残すことは言うまでもない。
実施の形態2.
上記の実施の形態1においては、MFP1ごとに管理サーバ2を設けて、個々にログを集計して、集計サーバ14に転送する例について説明した。本実施の形態においては、図15に示すように、管理サーバ2のうちの1つを親管理サーバ2Aとしておき、他の管理サーバ2を子管理サーバ2aとする。生成されたログは、子管理サーバ2aから、親管理サーバ2Aに、所定の一定周期で、すべて転送され、親管理サーバ2Aで集計するようにする。また、シュレッダー10やクライアント端末6で生成されたログ情報もすべて親管理サーバ2Aに送信され、集計される。なお、他の構成については、図1に示した実施の形態1と同様であるため、図1と同一符号を付して示し、ここでは説明を省略する。
上記の実施の形態1においては、MFP1ごとに管理サーバ2を設けて、個々にログを集計して、集計サーバ14に転送する例について説明した。本実施の形態においては、図15に示すように、管理サーバ2のうちの1つを親管理サーバ2Aとしておき、他の管理サーバ2を子管理サーバ2aとする。生成されたログは、子管理サーバ2aから、親管理サーバ2Aに、所定の一定周期で、すべて転送され、親管理サーバ2Aで集計するようにする。また、シュレッダー10やクライアント端末6で生成されたログ情報もすべて親管理サーバ2Aに送信され、集計される。なお、他の構成については、図1に示した実施の形態1と同様であるため、図1と同一符号を付して示し、ここでは説明を省略する。
また、親管理サーバ2Aのメモリ5には、すべてのユーザに関する情報が記憶されているユーザマスタと、すべての暗号鍵とが記憶されていることとする。
これにより、任意の箇所で行ったあらゆる操作に対してログが残され、当該ログがすべて親管理サーバ2Aで集計されるので、ユーザが異なるMFP1やクライアント端末6により操作を行っても、ログがすべて親管理サーバ2Aに転送されて、そこで一括集計されるので、問題やトラブルが発生して、管理者がログを閲覧する際に、即座に全体を見渡すことができる。
なお、子管理サーバ2aの代わりに、カードリーダ4のみを設置しておき、ネットワーク3を介して、ICカードから読み取った情報を転送して、親管理サーバ2Aにより認証処理を行うようにしてもよい。また、親管理サーバ2AにはMFP1を接続せずに、親管理サーバ2Aにおいてはログの集計・管理等のみを行うようにしてもよい。
実施の形態3.
本実施の形態においては、電子化文書を印刷またはコピーされた紙に対して、すべて、コンテンツIDもしくはコンテンツIDを盛り込んだ2次元コードを付加するようにする。万一、ユーザが印刷またはコピーされた紙を外部に持ち出す場合には、スキャナ手段21により、当該コンテンツIDを読み込み、その紙が外部に持ちだされる情報を含むログを生成して、管理サーバ2に送信する。その後、外部から戻ってきたユーザは、再度、スキャナ手段21により、当該コンテンツIDを読み込み、その紙が外部から戻ってきた情報を含むログを生成して、管理サーバ2に送信する。
本実施の形態においては、電子化文書を印刷またはコピーされた紙に対して、すべて、コンテンツIDもしくはコンテンツIDを盛り込んだ2次元コードを付加するようにする。万一、ユーザが印刷またはコピーされた紙を外部に持ち出す場合には、スキャナ手段21により、当該コンテンツIDを読み込み、その紙が外部に持ちだされる情報を含むログを生成して、管理サーバ2に送信する。その後、外部から戻ってきたユーザは、再度、スキャナ手段21により、当該コンテンツIDを読み込み、その紙が外部から戻ってきた情報を含むログを生成して、管理サーバ2に送信する。
本実施の形態においては、電子化文書を印刷またはコピーされた紙を外部に持ち出す場合には、当該紙に印刷されているコンテンツIDをスキャナ手段21により読み込んで、ログを生成して登録しておき、持ち帰ったときに、再度、スキャナ手段21により読み込んで、当該紙が無事に戻ったことを示すログを生成して登録するようにしたので、誰がいつ持ち出したかの記録が残るので、外部で、不正にコピーをすることを抑止することができる。
また本実施の形態において、2次元コードによりコンテンツIDを読み取る例示をしたが、2次元コードに限定されず、コンテンツIDから生成されるコード類で構成することができる。
また本実施の形態において、2次元コードによりコンテンツIDを読み取る例示をしたが、2次元コードに限定されず、コンテンツIDから生成されるコード類で構成することができる。
実施の形態4.
本実施の形態においては、印刷またはコピーされた紙に対して、すべて、RFIDタグが自動的にMFP1により貼付されるようにするとともに、オフィスの出入口にRFIDリーダを設けておくようにする。これにより、外部に、当該RFIDタグが付与された紙が流出される際には、RFIDリーダにより全てチェックされる。なお、RFIDタグには、利用権情報が記憶されている。
本実施の形態においては、印刷またはコピーされた紙に対して、すべて、RFIDタグが自動的にMFP1により貼付されるようにするとともに、オフィスの出入口にRFIDリーダを設けておくようにする。これにより、外部に、当該RFIDタグが付与された紙が流出される際には、RFIDリーダにより全てチェックされる。なお、RFIDタグには、利用権情報が記憶されている。
また、万一、RFIDタグが剥がされてゴミ箱に廃棄されたとしても、ゴミとして当該RFIDタグが外部に持ち出される際にRFIDリーダによりチェックされるので、不正流出されたことを少なくとも検知することができる。
本実施の形態においては、これにより、外部に紙を持ち出して、外部のコピー機によりコピーを行って不正流出させることを防止することができる。また本実施の形態において、RFIDタグを機密文書に貼付する構成を例示したが、RFIDタグに限定されず、外部持ち出しが検知できる同等のコード、タグ類で、構成することができる。
実施の形態5.
本実施の形態においては、各電子化文書に対する管理責任者(例えば、暗号化を行ったユーザなど)を予め決めておき、各電子化文書のコンテンツIDごとに、管理責任者のメールアドレスを記憶したテーブルを用意しておく。このとき、各電子化文書の印刷、コピー、シュレッダーによる廃棄が行われた際には、当該操作を行ったユーザ名とそれによる処理部数(印刷枚数、コピー枚数、廃棄枚数)と現在の残り枚数とを知らせるメールを管理サーバ2およびシュレッダー10が自動的に生成して、管理責任者に対して送信する。
本実施の形態においては、各電子化文書に対する管理責任者(例えば、暗号化を行ったユーザなど)を予め決めておき、各電子化文書のコンテンツIDごとに、管理責任者のメールアドレスを記憶したテーブルを用意しておく。このとき、各電子化文書の印刷、コピー、シュレッダーによる廃棄が行われた際には、当該操作を行ったユーザ名とそれによる処理部数(印刷枚数、コピー枚数、廃棄枚数)と現在の残り枚数とを知らせるメールを管理サーバ2およびシュレッダー10が自動的に生成して、管理責任者に対して送信する。
本実施の形態においては、印刷、コピー、廃棄が行われるたびに、管理責任者に対して、その利用状況がメールにより通知されるので、管理責任者は常に利用状況を把握しておくことができるとともに、第三者による不正利用・不正流出の抑制になる。
1 MFP、2 管理サーバ、2A 親管理サーバ、2a 子管理サーバ、3 ネットワーク、4,9 カードリーダ、5 メモリ、6 クライアント端末、7 カードリーダ、8 記憶装置、10 シュレッダー、11 ファイルサーバ、12 インターネット、13 タイムサーバ、14 集計サーバ、20 コピー手段、21 スキャナ手段、22 FAX手段、23 プリンタ手段、44 電子化文書登録手段、33 利用権設定手段、31、41 認証手段(第1の認証手段、第2の認証手段)、34 暗号化手段、35 利用実行手段、40,48 ログ生成手段 36 ログ管理手段。
Claims (2)
- ネットワークを介して、クライアント端末、マルチファンクション複合機およびシュレッダーと接続されている文書管理システムであって、
生成された電子化文書に単一なコンテンツIDを付与し、ユーザIDごとの利用権の設定を行うとともに、コンテンツIDに対応するユーザIDごとの利用権設定情報を生成する利用権設定手段と、
ユーザ固有の情報が入力されて、当該情報により前記電子化文書を暗号化するためのユーザ認証を行う第1の認証手段と、
前記第1の認証手段による認証が成功した場合に、前記利用権設定手段が生成した利用権設定情報に応じて前記電子化文書を暗号化し、利用権設定ファイルを生成する暗号化手段と、
ユーザ固有の情報が入力されて、当該情報により前記電子化文書を利用するためのユーザ認証を行う第2の認証手段と、
前記第2の認証手段による認証が成功した場合に、前記電子化文書の前記クライアント端末および前記マルチファンクション複合機の利用に関して前記利用権設定ファイルを参照することにより、ユーザIDに付与された利用権を特定し、特定された利用権に基づき前記クライアント端末および前記マルチファンクション複合機に当該ユーザIDによる前記電子化文書の利用を許可するとともに、前記電子化文書の前記シュレッダー利用に関して、前記電子化文書が印刷された廃棄書類のコンテンツIDを読み込み、前記コンテンツIDに対応するユーザIDごとに付与された利用権を特定し、特定された利用権に基づき前記シュレッダーに当該ユーザIDによる前記電子化文書の利用を許可する利用実行手段と、
前記電子化文書のコピー、スキャン、FAX送受信の利用に関して前記マルチファンクション複合機からログ情報を取得してログを生成し、前記電子化文書の印刷の利用に関して前記クライアント端末からログ情報を取得してログを生成し、さらに前記電子化文書のシュレッダー利用に関して前記シュレッダーからログ情報を取得してログを生成して、それらのログをログファイルに記憶するログ管理手段と
を備え、
前記ログは、前記コンテンツIDに対応してコピー、スキャン、FAX送受信、印刷、シュレッダー利用のうちのいずれの処理が行われたかの情報と、当該処理によって生成された印刷枚数または廃棄された廃棄枚数の情報とを含み、
前記ログファイルにより、前記コンテンツIDに対応する前記電子化文書の前記印刷枚数の集計情報と前記廃棄枚数の集計情報とを管理する
ことを特徴とする文書管理システム。 - 前記利用実行手段は、前記クライアント端末に当該ユーザIDによる利用を許可するとき前記電子化文書の閲覧を許可し、前記マルチファンクション複合機に当該ユーザIDによる利用を許可するとき前記電子化文書のスキャン、印刷、コピー、FAX送信を許可し、前記シュレッダーに当該ユーザIDによる利用を許可するとき前記電子化文書の印刷文書の廃棄を許可することを特徴とする請求項1に記載の文書管理システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004283790A JP4832744B2 (ja) | 2004-09-29 | 2004-09-29 | 文書管理システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004283790A JP4832744B2 (ja) | 2004-09-29 | 2004-09-29 | 文書管理システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006099348A JP2006099348A (ja) | 2006-04-13 |
| JP4832744B2 true JP4832744B2 (ja) | 2011-12-07 |
Family
ID=36239107
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004283790A Expired - Fee Related JP4832744B2 (ja) | 2004-09-29 | 2004-09-29 | 文書管理システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4832744B2 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4973032B2 (ja) * | 2006-07-03 | 2012-07-11 | 富士通株式会社 | アクセス権限管理プログラム、アクセス権限管理装置およびアクセス権限管理方法 |
| JP4748372B2 (ja) | 2006-11-07 | 2011-08-17 | 富士ゼロックス株式会社 | 文書廃棄証明装置および文書廃棄証明プログラム |
| JP2008152363A (ja) * | 2006-12-14 | 2008-07-03 | Konica Minolta Business Technologies Inc | 画像処理装置、フォルダ管理方法、およびコンピュータプログラム |
| US8358427B2 (en) | 2007-02-15 | 2013-01-22 | Kabushiki Kaisha Toshiba | Confidential documents management system |
| WO2008149744A1 (ja) * | 2007-06-06 | 2008-12-11 | Nec Corporation | 書類破棄管理システム及び書類破棄管理方法 |
| JP4983522B2 (ja) * | 2007-10-05 | 2012-07-25 | 富士ゼロックス株式会社 | 文書管理システムおよび文書管理装置および文書管理プログラム |
| JP2009099037A (ja) * | 2007-10-18 | 2009-05-07 | Fuji Xerox Co Ltd | 文書管理システムおよびプログラム |
| JP4712023B2 (ja) * | 2007-11-30 | 2011-06-29 | Sky株式会社 | 資料配布システムおよび資料配布プログラム |
| JP5120091B2 (ja) * | 2008-06-19 | 2013-01-16 | 富士ゼロックス株式会社 | 文書追跡システム、利用者端末、文書管理サーバおよびプログラム |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3527326B2 (ja) * | 1994-08-31 | 2004-05-17 | 株式会社リコー | 画像処理装置 |
| JP3090021B2 (ja) * | 1996-02-14 | 2000-09-18 | 富士ゼロックス株式会社 | 電子文書管理装置 |
| JP4076743B2 (ja) * | 2001-07-18 | 2008-04-16 | シャープ株式会社 | 画像送信装置および画像送信方法 |
| JP4467914B2 (ja) * | 2002-07-12 | 2010-05-26 | キヤノン株式会社 | 情報処理装置、遠隔監視システム、情報処理方法、プログラム及び記憶媒体 |
| JP2004118653A (ja) * | 2002-09-27 | 2004-04-15 | Ricoh Co Ltd | 文書管理方法及び文書管理プログラム |
| JP2004234538A (ja) * | 2003-01-31 | 2004-08-19 | Canon Inc | 暗号化データ共有システム |
| JP3964805B2 (ja) * | 2003-02-26 | 2007-08-22 | 京セラミタ株式会社 | 画像処理装置及び画像形成装置 |
-
2004
- 2004-09-29 JP JP2004283790A patent/JP4832744B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006099348A (ja) | 2006-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7973959B2 (en) | Document administration system and document destruction apparatus | |
| US8056140B2 (en) | Multifunction peripheral and method for controlling the same | |
| JP4748479B2 (ja) | 多機能入出力装置および入出力方法 | |
| CN100566336C (zh) | 图像处理装置的网络系统中的安全数据传输 | |
| JP5014013B2 (ja) | 画像処理装置 | |
| CN101520829B (zh) | 打印装置及打印方法 | |
| US8390844B2 (en) | Image processing apparatus for creating a job log | |
| US9516013B2 (en) | Communication apparatus, method of controlling the same and storage medium for transmitting image file to a network address | |
| CN101520716A (zh) | 打印装置及打印方法 | |
| JP4765872B2 (ja) | 印刷装置 | |
| JP5104573B2 (ja) | 画像形成装置、画像形成装置端末装置、および、プログラム | |
| JP4832744B2 (ja) | 文書管理システム | |
| JP4651053B2 (ja) | Faxサーバおよびプログラム | |
| JP2009087271A (ja) | 情報処理システム及びプログラム | |
| CN101790015A (zh) | 图像读取装置、连接到它的服务器装置及包含它们的系统 | |
| US20060059570A1 (en) | Data managing method, data managing device and data managing server suitable for restricting distribution of data | |
| JP4461978B2 (ja) | 文書管理システムおよび文書管理方法 | |
| JP2006345211A (ja) | 画像処理システム、画像処理装置及び通信装置 | |
| JP2007334456A (ja) | 画像処理装置 | |
| JP2006335051A (ja) | 画像処理装置 | |
| JP2014121056A (ja) | インターネットファックス送信可否判定システム、ファックス送信可否判定装置及びその方法 | |
| JP5810745B2 (ja) | 情報処理装置、情報処理プログラム | |
| JP2008187245A (ja) | 画情報送信装置及び画情報送信管理プログラム | |
| JP2023129283A (ja) | 文書の再生を制限するために機械可読コードを追加する方法及び装置 | |
| JP6362076B2 (ja) | 通信装置及びその制御方法とプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070315 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100727 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100914 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110329 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110526 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110906 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110921 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4832744 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140930 Year of fee payment: 3 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313115 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |