以下、図面を参照して、本発明の一実施形態に係る画像処理システムについて説明する。
<第1の実施形態>
図1は、本発明の第1の実施形態に係る基本的な画像処理システムの構成図である。図1において、複合機1001は、原稿を読み取り、複写したりプリントしたり、さまざまな装置に画像を送信したり、さまざまな装置から画像を受信する複合機能を有する装置である。また、データベース/メールサーバ1003は、複合機1001が読み取ったデータを格納するアプリケーションサーバが動作しているコンピュータである。さらに、クライアントコンピュータ1004は、データベースサーバ/メールサーバ1003に接続し、格納されているデータをダウンロードして表示するコンピュータである。当該クライアントコンピュータ1004は、必要なプリント指示を複合機1001に対して行うことができる。
また、図1において、ストレージサーバ1005は、複合機1001が入出力した全ての画像データをそれを実行したジョブの詳細情報(すなわち、付随情報)と共に記録・蓄積する監査用のストレージデバイスである。当該ストレージサーバ1005は、ジョブの詳細情報を履歴レコードとして記録・管理する。さらに、チェイシングサーバ1009は、ストレージサーバ1005のデータを吸い上げてまとめるサーバである。図1に示す画像処理システムのように、複数の複合機やストレージサーバが存在する環境下において、チェイシングサーバを置くことにより、セキュリティ管理のデータを一元管理することが可能となる。また、チェイシングサーバ1009において吸い上げた画像のOCR処理を行い、特定キーワードを検知した場合は、情報漏洩の危険があるとして、システム管理者にメール通知等することが可能である。尚、ストレージサーバ1005とチェイシングサーバ1009との関係は上述したものに限定されるものではなく、例えば、ストレージサーバ1005に画像データを記録し、チェイシングサーバ1009に履歴レコードを記録するように記録内容を分担するようにしても良い。また、これら2つのサーバを1つのサーバに統合しても良いものとする。
ネットワーク1007は、複合機1001、データベース/メールサーバ1003、クライアントコンピュータ1004、ストレージサーバ1005、チェイシングサーバ1009が接続されるイーサネット(登録商標)等のネットワークである。
さらに、図1において、複合機1010は、原稿を読み取り、複写したりプリントしたり、さまざまな装置に画像を送信する装置である。複合機1010には、ストレージサーバ1005と同等の機能が組み込まれており、複合機1010が入出力した全ての画像データを、それを実行したジョブの詳細情報とともに記録・蓄積する監査用のストレージデバイスを有している。
クライアントコンピュータ1011は、複合機1010に接続し、プリント出力指示やIFAX(インターネットFAX)指示を行う。ネットワーク1012は、複合機1010、クライアントコンピュータ1011が接続されるイーサネット(登録商標)等のネットワークである。ファクシミリ1002は、複合機1010が読み取ったデータを、公衆回線1008を介して受信し、プリントするファクシミリ装置である。また、ファクシミリ1002は、公衆回線1008を介して複合機1010に画像データを送信することも可能である。イーサネット(登録商標)等のネットワーク1007とネットワーク1012は、WAN(Wide Area Network:広域通信網)1020によって互いに接続されている。
図2は、本発明の第1の実施形態における画像入出力装置のシステムブロック図であって、例えば、複合機1001や複合機1010に実装される。
図2において、コントローラユニット(Controller Unit)2000は、画像入力デバイスであるスキャナ2070(Scanner)2070や画像出力デバイスであるプリンタ(Printer)2095と接続し、一方ではLAN2011や公衆回線(WAN)2051と接続することで、画像情報やデバイス情報の入出力を行うためのコントローラである。
CPU2001は、システム全体を制御するコントローラである。RAM2002は、CPU2001が動作するためのシステムワークメモリであり、画像データを一時記憶するための画像メモリでもある。ROM2003はブートROMであり、システムのブートプログラムが格納されている。HDD2004は、ハードディスクドライブであり、システムソフトウェアや画像データ等を格納する。
操作部I/F2006は、タッチパネルを有した操作部(UI)2012とのインタフェース部であって、操作部2012に表示する画像データを操作部2012に対して出力する。また、操作部I/F2006は、操作部2012から本システム使用者が入力した情報を、CPU2001に伝える役割をする。ネットワーク(Newwork)I/F2010は、LAN2011に接続し、情報の入出力を行う。モデム(Modem)2050は、公衆回線2051に接続し、情報の入出力を行う。
以上のデバイスがシステムバス2007上に配置される。
イメージバス(Image Bus)I/F2005は、システムバス2007と画像データを高速で転送する画像バス2008を接続し、データ構造を変換するバスブリッジである。画像バス2008は、PCIバス又はIEEE1394で構成される。画像バス2008上には、以下のデバイスが配置される。
ラスターイメージプロセッサ(RIP)2060は、PDLコードをビットマップイメージに展開する。デバイスI/F部2020は、画像入出力デバイスであるスキャナ2070やプリンタ2095とコントローラ2000とを接続し、画像データの同期系/非同期系の変換を行う。
スキャナ画像処理部2080は、入力画像データに対し補正、加工、編集を行う。プリンタ画像処理部2090は、プリント出力画像データに対して、プリンタの補正、解像度変換等を行う。画像回転部2030は、画像データの回転を行う。画像圧縮部2040は、多値画像データはJPEG、2値画像データはJBIG、MMR、MHの圧縮伸張処理を行う。
ICカードスロット(IC Card Slot)2100は、ICカードメディアによるユーザ認証を行う。このユーザ認証により、ジョブ実行時のユーザを特定することが可能となる。また、ICカードメディアを挿入した後に適切なPIN(Personal Identifier Number)コードを入力することにより、暗号・復号に用いる鍵の入出力を行うことが可能となる。暗号・復号処理部2110は、ICカードスロット2100の鍵やデバイス固有の鍵を用いて、データの暗号化・複合化処理を行うハードウェアアクセラレータボードである。OCR・OMR処理部2111は、画像データに含まれる文字情報や2次元バーコードを解読して文字コード化する処理を行う。
図3は、本発明の第1の実施形態における複合機1001が画像データ及びジョブの詳細情報をストレージサーバ1005へ書き込む場合の構成例を示す図である。図3に示す構成例では、イーサネット(登録商標)を利用して、複合機1001からストレージサーバ1005への画像データ及びジョブの詳細情報(履歴レコード)格納には、SOAP(Simple Object Access Protocol)を利用しているが、その他既存のデータ転送可能なプロトコルであればいずれでも構わず、また、必要に応じてSSLを用いる等、暗号処理を施しても構わない。さらに、ストレージサーバ1005内のデータを暗号化処理して保存しても構わない。
また、本実施形態では、複合機1001、ストレージサーバ1005が別体の構成となっているが、ストレージサーバ1005が複合機1001に組み込まれている構成であっても構わない。このようなストレージサーバ1005へアクセスするために必要な設定情報は、複合機1001のシステム管理者のみが設定可能なように保護されている。
図4は、本発明の一実施形態に係る画像処理システムにおけるストレージサーバ1005に保存される履歴レコードの一例を示す図である。図4において、4001から4022の各行がそれぞれの項目であり、項目の説明が項目列にある。タグ名列は、データを識別するための項目毎のタグ名である。
4001はジョブ種類の項目であり、COPYやFAXやPDLといったジョブの種類を示す。タグ名は[JobKind]となる。4002はジョブ名の項目であり、実行されたジョブのジョブ名を示す。タグ名は[JobName]である。4003はジョブ依頼者の項目であり、実行されたジョブのユーザ名を示す。タグ名は[ClientName]である。4004は文字コード情報の項目であり、当レコードで使用している文字コード情報を示す。タグ名は[CharacterCode]である。
また、図4において、4005は部門コードの項目であり、ユーザが所属している部門番号を示している。タグ名は[SectionNo]である。4006はジョブ開始時刻の項目であり、当ジョブの開始時刻を示す。タグ名は[StartTime]である。4007はジョブ終了時刻の項目であり、当ジョブの終了時刻を示す。タグ名は[EndTime]である。4008はジョブ終了結果の項目であり、OKやCanceled等当ジョブの終了結果内容を示す。タグ名は[Result]である。4009は1部あたりの枚数の項目であり、何ページのジョブかを示す。タグ名は[ResourceCount]である。4010は部数の項目であり、何部出力する設定かを示す。タグ名は[Copies]である。
さらに、図4において、4011は通信方法の項目であり、通信方法の種類を示す。タグ名は[Protocol]である。4012は通信種別の項目であり、送信か受信かを示す。タグ名は[ComType]である。4013は使用回線番号の項目であり、使用している電話番号等を示す。タグ名は[LineInfo]である。4014は送受信相手先アドレスの項目であり、相手先のアドレスや電話番号を示す。タグ名は[NoticeAddress]である。4015は送受信相手先名称の項目であり、ジョブの相手先の名称を示す。タグ名は[ComAbbreviation]である。
さらにまた、図4において、4016はサブジェクトの項目であり、e−mailジョブ等におけるサブジェクトを示す。タグ名は[Subject]である。4017は画像パス名の項目であり、画像格納ジョブにおける画像格納先を示す。タグ名は[PathName]である。4018はデバイス名の項目であり、機器につけられている名称を示す。タグ名は[DeviceName]である。4019はデバイスシリアルナンバーの項目であり、機器固有のシリアル番号を示す。タグ名は[DeviceSerialNo]である。4020はデバイスアドレスの項目であり、機器のIPアドレス等を示す。タグ名は[DeviceAddress]である。
さらにまた、図4において、4021は文書IDの項目であり、ジョブが扱う文書を特定するためのものである。複数の文書IDを並べることにより、複数文書の表現が可能である。タグ名は[DocumentID]である。文書IDは、"デバイスシリアルナンバー"(10桁ASCII)+"ドキュメント生成時刻yymmddhhmmss"(12桁ASCII)+"機器がジョブ毎にインクリメントするシリアル番号(10桁ASCII)" の合計32桁のASCII文字列で表現される。4022はジョブの詳細情報の項目であり、特記事項等を記載する。本実施形態では"FORM−COMPOSIITON"とあるが、フォーム合成のことで、あらかじめ登録されたフォーム画像と、投入されたジョブの画像をページ毎に合成して出力することをあらわしている。タグ名は[JobInformation]である。
尚、上述した4001から4022までの項目は全て使用されるとは限らず、使用しない場合は内容がない項目として記録される。
図5は、図4と同様に、本発明の一実施形態に係る画像処理システムにおけるストレージサーバ1005に保存される履歴レコードの一例を示す図である。図5において、5001から5022までの各行が図4の4001から4022までの各行に相当する。4001や5001で示されるジョブ種類が、図4及び図5に示す例1、例2、例3とで異なるが、このようにジョブ種類等に応じて使用される項目も異なることになる。例えば、例3のFAXジョブでは、5013の使用回線番号には自機の電話番号が、5014の送受信相手先アドレスには相手先電話番号が記録される。
図6は、本発明の第1の実施形態におけるセキュリティ機能有効時のジョブ種類毎のデータフローを説明するための図である。図6において、6001はCOPYジョブであり、6002のスキャナから読み込んだ画像を一時的に6004のHDDに記録し、6003のプリンタに出力する。ジョブ実行時に、図4や図5を用いて説明した履歴レコードとスキャナ6002から読み込んだ画像を6005のセキュリティユニットに記録する。尚、ここで述べているセキュリティユニットとは、ストレージサーバ1005の総称である。
図6において、6101はPDLプリントジョブであり、6102のホストコンピュータから送られてきたPDLデータをRIPし、画像を作成する。PDLプリントジョブは、RIP後の画像を一時的に6104のHDDに記録し、6103のプリンタに出力する。ジョブ実行時に、図4や図5で説明した履歴レコードとRIP後の画像を6105のセキュリティユニットに記録する。
また、図6において、6201はSCANジョブやBOX格納ジョブであり、6202のスキャナから送られてきた画像や、6023のホストコンピュータから送られてきたPDLデータをRIPした画像を6204のHDDに記録する。ジョブ実行時に、図4や図5で説明した履歴レコードと入力された画像を6205のセキュリティユニットに記録する。このジョブで6204のHDDに記録された画像は、後からプリントや送信等が可能である。
さらに、図6において6301はFAX受信ジョブやI−FAX受信ジョブであり、6302の相手先から送られてきた画像を6304のHDDに記録する。ジョブ実行時に、図4や図5で説明した履歴レコードと相手先6302から受けた画像を6305のセキュリティユニットに記録する。このジョブで6304のHDDに記録された画像は、後からプリントや送信等が可能である。
さらにまた、図6において、6401はFAX・I−FAX送信ジョブやSENDジョブであり、6201や6301のジョブで格納されたHDD6404に存在している画像を読出して、6403の相手先に送信する。ジョブ実行時に、図4や図5で説明した履歴レコードと相手先6403に送信した画像の参照情報を6405のセキュリティユニットに記録する。ここでセキュリティユニット6405への記録の際に実画像を記録せず、以前に6205や6305のセキュリティユニットで記録した画像への参照情報を記録することにより、同じ画像を何度も記録せず、処理の高速化と記録量の削減を図っている。尚、ここでいうSENDジョブとは、e−mailやFTP,SMBといったプロトコルで画像送信されるジョブの総称である。
さらにまた、図6において、6501は受信プリントジョブやBOXプリントジョブであり、6201や6301のジョブで格納されたHDD6504に存在している画像を読み出して6503のプリンタに出力する。ジョブ実行時に、図4や図5で説明した履歴レコードとプリンタ6503に出力した画像の参照情報を6505のセキュリティユニットに記録する。ここでセキュリティユニット6505への記録の際に実画像を記録せず、以前6205や6305のセキュリティユニットで記録した画像への参照情報を記録することにより、同じ画像を何度も記録せず、処理の高速化と記録量の削減を図っている。
本実施形態に係る画像処理システムでは、これらのジョブを組み合わせることにより、FAX受信した文書のプリントや、SCANジョブで読み込んだスキャン画像をFAX送信する等のことが可能となる。このように複合機1001での各種ジョブの実行時に、その画像データと履歴レコードとをセキュリティユニットに記録する機能をセキュリティ機能と称する。このセキュリティ機能は複合機1001の管理者などの特定ユーザの操作によって有効化/無効化の設定が可能である。
図7は、本発明の第1の実施形態におけるジョブ種類毎のセキュリティユニットへの画像格納方法を説明するための図である。図7に示すように、ジョブ種類7001の列は、COPYやPDLプリントといったジョブ種類を表し、ジョブタイプ7002の列は、画像の入力(ジョブ)か出力(ジョブ)かといったジョブタイプを表す。また、実画像の記録7003の列は、セキュリティユニットに実画像を記録するジョブか、実画像への参照情報のみで実画像を記録しないジョブかの設定を表す。
図7において、7101のCOPYジョブは、ジョブタイプ7002が画像入力を伴う "入力ジョブ"7102である。そのため実画像の記録7003が"する"7103になる。
また、7201のPDL−PRINTジョブは、ジョブタイプ7002が画像入力を伴う"入力ジョブ"7202である。そのため実画像の記録7003が"する"7203になる。
さらに、7301のSCANジョブ/BOX格納ジョブ/フォーム登録ジョブは、ジョブタイプ7002が画像入力を伴う"入力ジョブ"7302である。そのため、実画像の記録7003が"する"7303になる。
さらにまた、7401の受信ジョブは、ジョブタイプ7002が画像入力を伴う"入力ジョブ"7402である。そのため、実画像の記録7003が"する"7403になる。
さらにまた、7501の送信ジョブは、ジョブタイプ7002が画像入力を伴わない画像出力のみの"出力ジョブ"7502である。そのため実画像の記録7003が"しない"7503になる。したがって、送信ジョブ7501は、実画像の代わりに、画像の参照情報を記録することになる。
さらにまた、7601のBOXプリントジョブ・受信プリントジョブは、ジョブタイプ7002が画像入力を伴わない画像出力のみの"出力ジョブ"7602である。そのため実画像の記録7003が"しない"7603になる。したがって、BOXプリントジョブ・受信プリントジョブ7601は、実画像の代わりに、画像の参照情報を記録することになる。
図8は、本発明の第1の実施形態に係る画像処理システムにおけるジョブタイプ7002が入力ジョブとなるジョブ実行時の処理を説明するためのフローチャートである。まず、ジョブが開始されると、ジョブ開始時のログ記録を行う(ステップS101)。ここでは、ログ記録に必要な領域を確保しストレージサーバ1005に保存される履歴レコードのうち、現時点で確定している項目の書き込みを行う。特に、文書ID4021の項目は重要であり、ストレージサーバ1005へ格納される画像を文書単位で特定するための情報となる。尚、ジョブタイプが入力ジョブであるジョブ種に関しては新規文書となるため、新たに文書IDを生成する。また、現時点で不定な項目はジョブ終了時に書き込み処理を行う。ジョブ終了時に書き込む領域もここで確保しておく。
次に、ログが記録できたかどうかの判断を行う(ステップS102)。その結果、ログ記録ができなかったり、必要な領域が確保できなかったりした場合(No)は、ステップS121へ進んでジョブの実行を継続せずに、ジョブの終了処理を行う。そして、ジョブの終了処理が終わると本フローチャートを抜ける。一方、ステップS102の判断で必要領域の確保及びログ記録が正常に行えたと判断した場合(Yes)は、ステップS103へ進む。
ステップS103では、画像データの入力待ちを行い、1ページ分の画像が入力されるとステップS104へ進む。尚、ジョブタイプ7002が出力ジョブの場合は、ここでの入力はHDD2004からの画像読み出しになる。
ステップS104では、ジョブ実行者が特定のユーザかどうかの判断を行う。そして、ICカードスロット2100等でのユーザ認証の結果、あらかじめ特別なユーザと設定されている特権ユーザ、システム管理者、部門長等と判断された場合(Yes)はステップS131へ進み、特別でない一般ユーザと判断された場合(No)はステップS105へ進む。
ステップS105では、ステップS103で入力を受けた画像をストレージサーバ1005へ格納する。この際、ページ毎にユニークとなる画像IDを付加する。さらに、必要に応じて解像度変換やカラー画像を白黒化する等のカラーモード変換を行い、画像データサイズの圧縮を図る事こと可能である。尚、画像IDは、"デバイスシリアルナンバー"(10桁ASCII)+"画像記録時刻yymmddhhmmss"(12桁ASCII)+"機器が画像記録毎にインクリメントするシリアル番号(10桁ASCII)" の合計32桁のASCII文字列で表現される。
次に、ストレージサーバ1005に格納できたかどうかの判断を行う(ステップS106)。その結果、格納できた場合(Yes)はステップS107へ進み、格納できなかった場合(No)はステップS111へ進む。ステップS111では、ステップS105で書き込みを行った領域がフルかどうかの判断を行う。そして、フルの場合(Yes)は、書き込める見込みがなしとしてステップS112へ進み、フルでない場合(No)は、ステップS105へ戻って再度上記書き込み処理を行う。
ステップS112では、ジョブのキャンセル処理を行ってステップS109へ進む。この処理により、ストレージサーバ1005に格納できなかった画像が送信されたり、プリント出力されたりすることを防止することができる。
ステップS107では、ステップS103で入力された画像をHDD2004へ格納する。BOX格納ジョブやSCANジョブ、受信ジョブは、HDD2004への格納だけで処理が終わるが、COPYジョブやPDLプリントジョブの場合は、プリンタ2095へのプリント出力処理を行う。また、送信ジョブの場合は、ネットワークI/F2010やモデム2050を使用した送信処理が行われる。
また、ステップS106でストレージサーバ1005への画像格納を確認しているため、プリントや送信される画像は、必ずセキュリティユニットに格納され、後から調査可能となる。そして、ステップS107の処理が終わると、ステップS108へ進む。ステップS108では、ステップS103で受けた画像が最終ページかどうかの判断を行う。その結果、最終ページであった場合(Yes)はステップS109へ進み、最終ページでなかった場合(No)はステップS103に戻って、次の画像の入力を待つ。
ステップS109では、ジョブの終了待ちを行う。次いで、ジョブ終了結果4008等のステップS101の時点では不定で書き込めなかった項目のログ記録処理をストレージサーバ1005に対して行う(ステップS110)。そして、ステップS110でのログ記録が終わるとこのフローチャートを抜ける。
また、ステップS131では、ストレージサーバ1005に対してこれから書き込む画像1ページ分の領域確保を行う。そして、1ページ分の領域が確保できたかどうかの判断を行う(ステップS132)。その結果、領域確保に成功した場合(Yes)はステップS133へ進み、失敗した場合(No)はステップS112へ進んで、ジョブのキャンセル処理を行う。
ステップS133では、ジョブに応じたプリント・送信処理が行われる。例えば、COPYジョブやPDLプリントジョブの場合は、プリンタ2095へのプリント出力処理を行う。また、送信ジョブの場合は、ネットワークI/F2010やモデム2050を使用した送信処理が行われる。
次に、ステップS103で入力を受けた画像をストレージサーバ1005へ格納する(ステップS134)。この際、ページ毎にユニークとなる画像IDを付加する。さらに、必要に応じて解像度変換やカラー画像を白黒化する等のカラーモード変換を行い、画像データサイズの圧縮を図ることも可能である。尚、画像IDは、"デバイスシリアルナンバー"(10桁ASCII)+"画像記録時刻yymmddhhmmss"(12桁ASCII)+"機器が画像記録毎にインクリメントするシリアル番号(10桁ASCII)" の合計32桁のASCII文字列で表現される。
そして、ステップS135で、ストレージサーバ1005に格納できたかどうかの判断を行う。その結果、格納できた場合(Yes)はステップS137へ進み、格納できなかった場合(No)はステップS136へ進む。ステップS136では、ステップS134で書き込みを行った領域がフルかどうかの判断を行う。そして、フルでない場合(No)はステップS134へ戻って、再度書き込み処理を行う。一方、フルの場合(Yes)は書き込める見込みがないということでステップS112へ進み、ジョブキャンセル処理を行う。
上述したステップS136からステップS112に進む場合は、プリントや送信された画像がストレージサーバ1005に記録できないことになる。これは、セキュリティホールになるが、本実施形態では、あらかじめ特別に登録されている特定ユーザということで、わずかなセキュリティホールの可能性より、ジョブの生産性を重視している。すなわち、プリントや送信処理をストレージサーバへの画像書き込みより優先している。
ステップS137では、ステップS103で入力された画像をHDD2004へ格納する。そして、格納が終わるとステップS108へ進む。
ここでは、入力ジョブの動作に関して説明したが、出力ジョブは図7で説明したように、実画像の記録の代わりに画像の参照情報を記録するため、各画像毎にストレージサーバ1005への画像書き込みを優先するのか、プリント・送信処理を優先するのかといった問題が生じない。したがって、出力ジョブでは実画像の記録は行わず、以前に実行した同じ文書を処理した入力ジョブがストレージサーバ1005へ格納した文書ID4021と同じIDをジョブ開始の時点でログ記録することで文書の参照情報を記録する。このことにより、出力ジョブで処理した画像の特定が可能となる。
上述した例では、ユーザによりストレージサーバ1005への画像書き込みタイミングを変化させたが、全ユーザに対して一律に先にストレージサーバ1005への書き込みを行うようにしてもよい。このようにすることにより、多少スピードは犠牲になるが、全ユーザ一律にセキュリティ重視の履歴記録を行うことが可能となる。
図9は、本発明の第1の実施形態に係る画像処理システムにおけるストレージサーバ1005への書き込み例を説明する図である。図9において、9001はジョブタイプ7002が入力ジョブ(例えば、BOX格納ジョブ7301)である。また、9101は、ジョブタイプ7002が出力ジョブ(例えば、BOX−PRINTジョブ7601)である。すなわち、出力ジョブ9101は、入力ジョブ9001で入力した画像を出力するジョブである。
また、図9において、入力ジョブ9001は、履歴レコード9002と文書ファイル9010をストレージサーバ1005へ記録する。履歴レコード9002は文書ID9003を含む図4を用いて説明した項目により構成される。文書ファイル9010は、文書ID9011と各画像データ9020、9030、9040から構成される。文書ID9011と文書ID9003により、文書ファイル9010と履歴レコード9002のリンクが行われ、対応関係が表現される。
さらに、図9において、画像データ9020は、ステップS105でストレージサーバ1005へ書き込まれ、画像ID9021、画像属性9022、画像9023から構成される。画像IDは、実画像毎にユニークなIDであり、画像属性9022は画像9023の画像フォーマット等である。画像9023は、画像イメージそのものである。ストレージサーバ1005内では、1つの文書は1ファイルから構成され、複数のページ(画像)を持つことが可能である。1つの文書に対して1つのユニークな文書ID9011が存在する。
さらにまた、図9において、出力ジョブ9101は、履歴レコード9102をストレージサーバ1005へ記録する。出力ジョブにおいて記録される文書ファイルは存在せず、文書ID9103が以前入力ジョブで記録した文書ID9011と同じ値を記録することにより、出力ジョブ9101で出力した文書を表現する。この方式により、出力時にストレージサーバ1005への画像記録を伴わないため、記録量の削減及びジョブ実行速度の低下防止を図ることができる。
図10は、HDD2004の細部格納領域とそこに格納されるデータとを説明するための図である。図10において、(a)はHDD2004の細部構成を示す図である。ストレージサーバ1005を内蔵している複合機1010では、通常の画像を格納する2004Aの領域と、監査用のデータを格納する2004Bの領域の二つを持つことになる。
また、図10において(b)は、複合機1010においてコピージョブ6001実施時のブロック図である。スキャナ2070から入力された画像は、RAM2002に一時格納される。ここで、セキュリティ機能が有効でない場合は、プリンタ2095への出力を行いつつ、HDD2004Aへ画像記録を行う。一方、セキュリティ機能が有効である場合は、HDD2004Bへの監査用データ(画像及びその付随情報)を書き込み後、プリンタ2095への出力を行いつつ、HDD2004Aへ画像記録を行う。このことにより、プリントされる画像はプリントされる前に必ずHDD2004Bへ格納されることになる。すなわち、セキュリティ機能有効化時においては、従来複写動作を高速化するために用いられていた、入力画像のRAM2002への書き込みと出力画像のRAM2002からの読み出しを同時に行う動作を禁止する。
また、セキュリティ機能無効化時には、RAM2002への画像入力と画像出力が非同期に行われる条件の場合、プリンタ2095への出力タイミングでRAM2002に入力画像が残っていると、HDD2004Aから画像を読み出さずにRAM2002上の画像をそのままプリント出力する処理が行われる。このことを「メモリ折り返し」と呼ぶ。セキュリティ機能有効時は、HDD2004Bへの画像書き込みが優先されるため、RAM2002に画像があっても、それだけではメモリ折り返し処理は行わず、HDD2004Bへの画像書き込み済みという条件を満たしたときに初めてメモリ折り返し処理を許可する。さらに、セキュリティ機能無効化時には入力画像と出力画像がほぼ同期的に動ける条件では、スキャナ2070からRAM2002への画像入力前にプリンタ2095内の用紙の給紙処理を開始する「先行給紙」と呼ばれる処理が行われる。しかし、セキュリティ機能有効時には、先行給紙処理の禁止を行い、確実にプリント前にHDD2004Bへ監査用のデータが格納されてから給紙処理を開始するようにする。
図10において(c)は複合機1001においてコピージョブ6001実施時のブロック図である。(b)との違いは、HDD2004Bの代わりに、ストレージサーバ1005へ監査用のデータを格納する点にある。ストレージサーバ1005への書き込みが完了しない場合、RAM2002上の画像はプリント等の用途で使用できない点は(b)と同じである。
以上説明したように、ユーザが実行したジョブの履歴情報を画像付きで記録するセキュリティ機能が有効な場合に、セキュリティ機能で必要なデータの書き込み完了前のプリントや送信等の画像出力を禁止することで、出力される画像は安全確実にセキュリティ記録装置に記録することができる。一方で、セキュリティ機能が有効であってもあらかじめ登録されている特定ユーザにおいて、セキュリティ機能で必要なデータの書き込みを優先しないことで、プリントや送信処理動作の速度低下が防止でき、セキュリティとパフォーマンスという2つの要素をバランスよく実現することができる。
すなわち、本実施形態に係る画像処理システムによれば、画像処理装置において入出力される画像及びその付随情報を確実にセキュリティユニットに記録することができる。また、情報漏洩の危険性が少ないと判断されている特定のユーザにおいてセキュリティユニットへの確実な記録より画像処理装置の画像入出力速度を優先することができる。
<第2の実施形態>
本発明の第2の実施形態における基本的なシステム構成図、及び基本的なシステムブロック図、及びセキュリティユニットの構成、履歴レコードの記録内容、ジョブ種類毎のデータ処理のフローチャート、及び画像格納方法は、前述した第1の実施形態の図1〜図10に示すものと同様であるので説明は省略する。
図11は、本発明の第2の実施形態に係る複合機1001におけるFAXダイレクト送信実施時の様子を示すブロック図である。FAX送信には、主にメモリ送信とダイレクト送信とがある。メモリ送信とは、スキャナ2070等から読み込んだ画像を一時的にHDD2004等の記録デバイスに蓄積して送信する方法である。当該メモリ送信は、通信時間を短縮できるというメリットがあるが、記録デバイスに記録しきれない場合は、ジョブがキャンセルとなる。一方、ダイレクト送信とは、HDD2004等の記録デバイスを使用せず、スキャナ2070等から読み込んだ画像をRAM2002に一時的に蓄積したまま送信処理を行うやり方である。当該ダイレクト送信は、HDD2004がフルの状態でも送信することが可能であるが、通信時間が長くなるというデメリットがある。
図11において、スキャナ2070から入力された画像はRAM2002に一時格納される。セキュリティ機能が有効でない場合は、ファクシミリ1002への送信処理を行う。セキュリティ機能が有効である場合は、ストレージサーバ1005への監査用データ(画像及びその付随情報)を書き込み後、ファクシミリ1002への送信を行う。このことにより、送信される画像は、送信される前に必ずストレージサーバ1005へ格納されることになる。
しかし、この方法で複数ページの送信ジョブをストレージサーバ1005に書き込んだ場合、ページとページの送信の間にストレージサーバ1005へ監査用データの書き込みを行うことになるが、書き込みに時間がかかると、ファクシミリ1002との通信タイムアウトが発生し、ジョブが成功しない可能性がある。このため、以下で説明するフローチャートに従ってセキュリティ機能が有効な場合の機能制限を行う必要がある。
図12は、本発明の第2の実施形態に係る画像処理システムにおける画面表示時の処理を説明するためのフローチャートである。この処理は、操作部2012に画面を表示する場合に実行される。
まず最初に、セキュリティ機能が有効かどうかの判断を行う(ステップS301)。その結果、セキュリティ機能が有効な場合はステップS302へ進み、無効な場合はステップS303へ進む。ステップS302では、ICカードスロット2100等でのユーザ認証の結果、あらかじめ特別なユーザとして設定されている特権ユーザ、システム管理者、部門長等と判断された場合(Yes)は、ステップS303へ進む。また、特別でない一般ユーザ、若しくはユーザ認証されていない状態と判断された場合(No)はステップS304へ進む。
ステップS303では、通常の操作機能のUI画面を表示する。そして、表示が終わると本フローチャートを抜ける。一方、ステップS304では、図11で説明したダイレクト送信等セキュリティ機能が有効な場合に、問題となる可能性のあるリアルタイム処理を伴う機能を網掛け等して選択できないようにした画面を表示する。そして、表示が終わると本フローチャートを抜ける。
以上説明したように、ユーザが実行したジョブの履歴情報を画像付きで記録するセキュリティ機能が有効な場合に、問題となる可能性のある機能を制限表示することで未然に問題機能の実行を防止することができる。一方で、セキュリティ機能が有効であっても、あらかじめ登録されている特定ユーザにおいて、機能制限を設けないことでリスクを把握しているユーザにおいて制限なく通常通りに機器の操作が可能となる。
このように、本実施形態に係る画像処理システムでは、リアルタイム処理機能実行時のセキュリティユニットへの記録に伴って、リアルタイム処理が間に合わずエラーになる事を防止することができる。また、リアルタイム処理機能が必要な特定のユーザに対してだけ、セキュリティユニットへの記録のため禁止されているリアルタイム処理機能の使用を可能にすることができる。
<その他の実施形態>
以上、実施形態例を詳述したが、本発明は、例えば、システム、装置、方法、プログラム若しくは記憶媒体(記録媒体)等としての実施態様をとることが可能であり、具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
尚、本発明は、前述した実施形態の機能を実現するソフトウェアのプログラム(実施形態では図に示すフローチャートに対応したプログラム)を、システムあるいは装置に直接あるいは遠隔から供給し、そのシステムあるいは装置のコンピュータが該供給されたプログラムコードを読み出して実行することによっても達成される場合を含む。
従って、本発明の機能処理をコンピュータで実現するために、該コンピュータにインストールされるプログラムコード自体も本発明を実現するものである。つまり、本発明は、本発明の機能処理を実現するためのコンピュータプログラム自体も含まれる。
その場合、プログラムの機能を有していれば、オブジェクトコード、インタプリタにより実行されるプログラム、OSに供給するスクリプトデータ等の形態であっても良い。
プログラムを供給するための記録媒体としては、例えば、フロッピー(登録商標)ディスク、ハードディスク、光ディスク、光磁気ディスク、MO、CD−ROM、CD−R、CD−RW、磁気テープ、不揮発性のメモリカード、ROM、DVD(DVD−ROM,DVD−R)などがある。
その他、プログラムの供給方法としては、クライアントコンピュータのブラウザを用いてインターネットのホームページに接続し、該ホームページから本発明のコンピュータプログラムそのもの、もしくは圧縮され自動インストール機能を含むファイルをハードディスク等の記録媒体にダウンロードすることによっても供給できる。また、本発明のプログラムを構成するプログラムコードを複数のファイルに分割し、それぞれのファイルを異なるホームページからダウンロードすることによっても実現可能である。つまり、本発明の機能処理をコンピュータで実現するためのプログラムファイルを複数のユーザに対してダウンロードさせるWWWサーバも、本発明に含まれるものである。
また、本発明のプログラムを暗号化してCD−ROM等の記憶媒体に格納してユーザに配布し、所定の条件をクリアしたユーザに対し、インターネットを介してホームページから暗号化を解く鍵情報をダウンロードさせ、その鍵情報を使用することにより暗号化されたプログラムを実行してコンピュータにインストールさせて実現することも可能である。
また、コンピュータが、読み出したプログラムを実行することによって、前述した実施形態の機能が実現される他、そのプログラムの指示に基づき、コンピュータ上で稼動しているOSなどが、実際の処理の一部または全部を行い、その処理によっても前述した実施形態の機能が実現され得る。
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部または全部を行い、その処理によっても前述した実施形態の機能が実現される。