1.第一の実施形態
1−1.遠隔操作システムのハードウェア構成
遠隔操作システムの第一の実施形態について、図面(図1〜図11)を参照して説明する。なお、本明細書において、「装置」は、一体化された1つのハードウェアに限定されるものではなく、1つの「装置」が、互いに通信可能であって互いに分離した複数のハードウェアにより構成されても良い。例えば、後述するように、中継記憶装置83は、複数の記憶部を備えるが(図4参照)、これら複数の記憶部が、複数のハードウェアに分かれて備えられても良い。また、後述するように、第一端末1、第二端末2、及び中継サーバ9のそれぞれは、複数の装置を備えるが(図2〜図4参照)、1つの端末或いは1つのサーバを構成する複数の装置は、共通のハードウェアに備えられても、互いに通信可能な複数のハードウェアに分かれて備えられても良い。後者の場合、当該複数のハードウェアが互いに離れた場所に設置される構成や、当該複数のハードウェアが使用時にのみ互いに通信可能に接続される構成等とすることもできる。例えば、第一記憶装置81が、第一記憶装置81の使用時にのみ第一処理装置10と通信可能に接続される構成とすることができる。
図1に示すように、遠隔操作システム100は、第一端末1と、第二端末2と、中継サーバ9と、を備えたシステム(コンピュータシステム)である。なお、第一端末1は、複数のアプリケーションプログラム(後述する特定アプリケーションプログラムを含む。)を実行可能な端末装置である。そして、遠隔操作システム100は、第二端末2による第一端末1の遠隔操作(リモート制御)が可能に構成されている。すなわち、第二端末2は、第一端末1を遠隔操作可能な端末装置である。この遠隔操作の際には、第一端末1の画面(表示装置に表示される画像)が第二端末2に表示される。すなわち、第一端末1の画面がキャプチャされ、その情報が第二端末2に送信されて表示される。そして、第二端末2の操作者(遠隔操作システム100の管理者等)は、第二端末2に表示された第一端末1の画面を確認することで第一端末1の操作状況を監視し、また、当該画面を見ながら第一端末1の遠隔操作を行う。すなわち、第一端末1は、第二端末2(管理端末)に管理される端末という点でクライアントとして機能する一方、第二端末2に対して画面情報を提供するという点でサーバとして機能する。なお、図1に示すように、第二端末2による第一端末1の遠隔操作の際に、予め定められた特定アプリケーションプログラムのウィンドウ画像90である特定ウィンドウ画像90aが第一端末1の画面に含まれる場合には、当該特定ウィンドウ画像90aの内容が第二端末2に表示されない環境が、遠隔操作システム100により実現されている。このような環境を実現するための遠隔操作システム100の構成については、後の「1−2.遠隔操作システムの機能構成」の項で説明する。
本実施形態では、図1に示すように、遠隔操作システム100は、第二端末2により遠隔操作可能な端末装置として、第一端末1以外に第三端末3を備えている。第三端末3は、第二端末2による遠隔操作の対象端末である点で第一端末1と共通するが、後述する特定アプリケーションプログラムが実行可能ではない点で、第一端末1とは異なる。なお、遠隔操作システム100が第三端末3を備えない構成とすることもできる。
中継サーバ9は、第一端末1及び第二端末2の双方と通信可能なサーバ装置である。本実施形態では、中継サーバ9は、第三端末3とも通信可能である。具体的には、図1に示すように、第一端末1、第二端末2、第三端末3、及び中継サーバ9は、通信ネットワークNを介して互いに接続されており、これら4つの装置は、直接或いは他の装置を介して互いに通信を行う。なお、通信ネットワークNは、インターネット、WAN(Wide Area Network)、LAN(Local Area Network)等の通信技術を用いて構築される。例えば、通信ネットワークNは、企業内や学校内等の限られた施設内で通信を行うためのネットワークとして構築される。この場合、通信ネットワークNの一部を、インターネット等の外部ネットワークを用いて構築することもできる。なお、通信ネットワークNの少なくとも一部が無線通信技術を用いて構築されても良い。また、図1では、1つの第一端末1、1つの第二端末2、3つの第三端末3、及び1つの中継サーバ9が通信ネットワークNに接続された構成例を示しているが、これら4種類の装置の夫々の個数は、単数であっても複数であっても良く、適宜変更可能である。
第一端末1は、図2に示すように、第一表示装置41と、第一操作装置51と、第一遠隔操作制御部11を含む第一処理装置10と、を備えている。第一処理装置10は、CPU(Central Processing Unit)等の演算処理装置を中核部材として備えると共に、RAM(Random Access Memory)やROM(Read Only Memory)等の当該演算処理装置が直接参照可能な記憶装置(以下、「主記憶装置」という。)を備えている。本実施形態では、第一端末1は、更に、第一通信装置61、第一インターフェース71、及び第一記憶装置81を備えている。なお、図1では、第一端末1が、第一表示装置41、第一操作装置51、及び第一処理装置10が一体化されたノート型パーソナルコンピュータである場合を例示している。第一処理装置10は、第一インターフェース71を介して、第一表示装置41、第一操作装置51、及び第一通信装置61のそれぞれに接続されており、第一インターフェース71を介して、第一処理装置10と、第一表示装置41、第一操作装置51、及び第一通信装置61との間で、情報のやりとりが行われる。また、第一処理装置10は、第一記憶装置81にバス等を介して接続されており、第一処理装置10によって、第一記憶装置81に対する情報の読み書きが行われる。なお、以下の説明において第一記憶装置81に記憶されるとしている情報の少なくとも一部が、第一処理装置10の主記憶装置に記憶される構成とすることもでき、この場合、第一端末1が第一記憶装置81を備えない構成とすることもできる。
第二端末2は、図3に示すように、第二表示装置42と、第二操作装置52と、第二遠隔操作制御部21を含む第二処理装置20と、を備えている。第二処理装置20は、CPU等の演算処理装置を中核部材として備えると共に、RAMやROM等の当該演算処理装置が直接参照可能な記憶装置(主記憶装置)を備えている。本実施形態では、第二端末2は、更に、第二通信装置62、第二インターフェース72、及び第二記憶装置82を備えている。第二処理装置20は、第二インターフェース72を介して、第二表示装置42、第二操作装置52、及び第二通信装置62のそれぞれに接続されており、第二インターフェース72を介して、第二処理装置20と、第二表示装置42、第二操作装置52、及び第二通信装置62との間で、情報のやりとりが行われる。また、第二処理装置20は、第二記憶装置82にバス等を介して接続されており、第二処理装置20によって、第二記憶装置82に対する情報の読み書きが行われる。なお、以下の説明において第二記憶装置82に記憶されるとしている情報の少なくとも一部が、第二処理装置20の主記憶装置に記憶される構成とすることもでき、この場合、第二端末2が第二記憶装置82を備えない構成とすることもできる。
中継サーバ9は、図4に示すように、マスク処理部34を含む中継処理装置30を備えている。中継処理装置30は、CPU等の演算処理装置を中核部材として備えると共に、RAMやROM等の当該演算処理装置が直接参照可能な記憶装置(主記憶装置)を備えている。本実施形態では、中継サーバ9は、更に、中継通信装置63、中継インターフェース73、及び中継記憶装置83を備えている。中継処理装置30は、中継インターフェース73を介して中継通信装置63に接続されており、中継インターフェース73を介して、中継処理装置30と中継通信装置63との間で情報のやりとりが行われる。また、中継処理装置30は、中継記憶装置83にバス等を介して接続されており、中継処理装置30によって、中継記憶装置83に対する情報の読み書きが行われる。なお、以下の説明において中継記憶装置83に記憶されるとしている情報の少なくとも一部が、中継処理装置30の主記憶装置に記憶される構成とすることもできる。
第一表示装置41及び第二表示装置42のそれぞれは、画像を表示する出力装置であり、液晶ディスプレイを例示することができる。第一操作装置51及び第二操作装置52のそれぞれは、端末の操作者(ユーザ)からの入力を受け付ける入力装置であり、キーボードやポインティングデバイス(マウス、タッチパッド等)を例示することができる。なお、表示装置と操作装置とが一体となった装置(例えば、表示画面がタッチパネルとして機能する液晶ディスプレイ等)を、第一表示装置41及び第一操作装置51として用い、或いは、第二表示装置42及び第二操作装置52として用いることもできる。第一記憶装置81、第二記憶装置82、及び中継記憶装置83のそれぞれは、情報を記憶及び書き換え可能な記憶装置であり、ハードディスクを記憶媒体として備えた記憶装置や、フラッシュメモリを記憶媒体として備えた記憶装置を例示することができる。第一通信装置61、第二通信装置62、及び中継通信装置63のそれぞれは、通信ネットワークNを介して通信を行う通信装置であり、LAN(Local Area Network)ケーブルを用いて通信ネットワークNに接続される有線通信装置や、無線LANを利用して通信ネットワークNに接続される無線通信装置を例示することができる。
図2〜図4に示すように、第一処理装置10、第二処理装置20、及び中継処理装置30のそれぞれは、複数の機能部を備えている。これら複数の機能部は、少なくとも論理的に区別されているものであり、物理的には必ずしも区別される必要はない。そして、第一処理装置10の演算処理装置が、第一端末1の記憶装置(第一処理装置10の主記憶装置又は第一記憶装置81、以下同様。)に記憶された各プログラムを実行することで、第一処理装置10が備える各機能部(図2参照)の機能が実現される。同様に、第二処理装置20の演算処理装置が、第二端末2の記憶装置(第二処理装置20の主記憶装置又は第二記憶装置82、以下同様。)に記憶された各プログラムを実行することで、第二処理装置20が備える各機能部(図3参照)の機能が実現される。また、中継処理装置30の演算処理装置が、中継サーバ9の記憶装置(中継処理装置30の主記憶装置又は中継記憶装置83、以下同様。)に記憶された各プログラムを実行することで、中継処理装置30が備える各機能部(図4参照)の機能が実現される。なお、第一処理装置10の各機能部、第二処理装置20の各機能部、及び中継処理装置30の各機能部は、記憶装置に記憶されたソフトウェア(プログラム)又は別途設けられた演算回路等のハードウェア、或いはそれらの両方により構成される。すなわち、各機能部の機能を演算処理装置(コンピュータ)に実現させるためのプログラムは、当該演算処理装置が参照可能な記憶装置に記憶される。また、第一処理装置10の各機能部、第二処理装置20の各機能部、及び中継処理装置30の各機能部は、互いに情報の受け渡しを行うことができるように構成されていると共に、第一端末1の記憶装置、第二端末2の記憶装置、又は中継サーバ9の記憶装置からデータを抽出可能に構成されている。
なお、図2〜図4には、第一処理装置10、第二処理装置20、及び中継処理装置30に備えられる複数の機能部のうち、本実施形態に係る遠隔操作システム100に特徴的な機能部のみを示している。例えば、第一処理装置10は、特定アプリケーションプログラム等のアプリケーションプログラムを実行するアプリケーション実行部や、実行中のアプリケーションプログラムに応じたグラフィカルユーザインターフェース(GUI:Graphical User Interface)を第一表示装置41に表示させる表示制御部等を備えるが、煩雑になることを避けるため、図2ではこれらの機能部の図示を省略している。また、図2〜図4に示す、遠隔操作システム100が備える各機能部の第一端末1(第一処理装置10)、第二端末2(第二処理装置20)、及び中継サーバ9(中継処理装置30)への割り当ては、単なる一例であり、各機能部の割り当ては適宜変更可能である。例えば、後述する第二の実施形態のように、本実施形態では第一処理装置10に備えられる一部の機能部(具体的には操作制限処理部15)が、中継処理装置30に備えられる構成(図12参照)とすることができる。
1−2.遠隔操作システムの機能構成
上述したように、遠隔操作システム100は、第二端末2による第一端末1の遠隔操作(以下、単に「遠隔操作」という。)の際に、予め定められた特定アプリケーションプログラムのウィンドウ画像90である特定ウィンドウ画像90aが第一端末1の画面に含まれる場合には、当該特定ウィンドウ画像90aの内容が第二端末2に表示されない環境を実現している。なお、第一端末1は、複数のアプリケーションプログラムを実行可能であり、これら複数のアプリケーションプログラムに含まれる1つ以上のアプリケーションプログラムが、特定アプリケーションプログラムに設定される。
本実施形態では、特定アプリケーションプログラムは、システム管理者等の第二端末2の操作権限を持つ者(すなわち、第一端末1を遠隔操作する権限を持つ者)であっても、特定ウィンドウ画像90aの内容を知ることが、規定上或いは社会通念上、禁止されるアプリケーションプログラムに設定される。この規定は、例えば、法律による規定、社内規定、契約による規定等とされる。特定アプリケーションプログラムとして、マイナンバー(登録商標)等の個人毎に割り当てられる番号(個人番号)を取り扱うアプリケーションプログラム、個人情報やパスワード情報等、プライバシの保護或いはセキュリティの確保の観点から第三者に対する漏洩を保護すべき情報を取り扱うアプリケーションプログラムを例示することができる。本実施形態では、第一端末1、第二端末2、及び第三端末3(図1参照)のうちの第一端末1のみが、特定アプリケーションプログラムを実行可能な端末装置に設定されている。例えば、特定アプリケーションプログラムが個人番号を取り扱うアプリケーションプログラムに設定される場合、会社内の予め定められた取扱担当者のみに第一端末1の操作権限(言い換えれば、特定アプリケーションプログラムの実行権限)が付与される。
本実施形態では、図4に示すように、中継サーバ9に備えられる中継記憶装置83は、特定アプリケーションプログラムの情報を記憶する特定アプリケーション情報記憶部84と、通信ネットワークNに接続されている端末装置の情報を記憶する端末情報記憶部85と、ログ修正方針情報を記憶するログ修正方針情報記憶部86とを備えている。これらの記憶部は、中継記憶装置83が備える記憶媒体を用いて実現される。特定アプリケーション情報記憶部84に記憶される特定アプリケーションプログラムの情報は、第一端末1で実行されているアプリケーションプログラムが特定アプリケーションプログラムであるか否かを判別するための情報である。例えば、特定アプリケーションプログラムのアプリケーション名、実行ファイル名、及びハッシュ値のうちの一部又は全ての情報が、特定アプリケーション情報記憶部84に記憶される。
端末情報記憶部85に記憶される端末装置の情報は、通信ネットワークNに接続されている複数の端末装置を識別する(一意に特定する)ための端末識別情報である。図1に示すように、本実施形態では、第一端末1、第二端末2、及び第三端末3が、通信ネットワークNに接続されている。例えば、端末識別情報として、端末ID、IPアドレス、MACアドレスのうちの一部又は全ての情報が、端末情報記憶部85に記憶される。なお、端末情報記憶部85に、端末識別情報に加えて、第一端末1であるか否か(すなわち、特定アプリケーションプログラムが実行可能な端末装置であるか否か)を示す情報や、第二端末2(管理端末)であるか否か(すなわち、第一端末1や第三端末3を遠隔操作可能な端末装置であるか否か)を示す情報が、各端末装置に関連付けて記憶される構成とすることもできる。
ログ修正方針情報記憶部86に記憶されるログ修正方針情報は、特定アプリケーションプログラムに対する操作を行う操作ログ(以下、「特定操作ログ」という。)を修正する方針を規定する情報である。ここで、「特定アプリケーションプログラムに対する操作」とは、特定アプリケーションプログラムの実行権限を持つ者以外への特定アプリケーションプログラムが扱う情報の漏洩を防止するために、第一端末1において実行されることを禁止すべき第二端末2による遠隔操作である。例えば、特定アプリケーションプログラムのウィンドウを第二操作装置52により選択する操作、第一表示装置41の画面を保存する操作(スクリーンショットを取得する操作)のように特定ウィンドウ画像90aの内容を含むデータを生成する操作、第一表示装置41の画面を印刷する操作のように特定ウィンドウ画像90aの内容を含む情報を印刷する操作、特定ウィンドウ画像90aに表示された情報をコピーする操作、特定アプリケーションプログラムを起動させる操作等が、特定アプリケーションプログラムに対する操作とされる。そして、ログ修正方針情報は、例えば、特定操作ログを無効にするという方針を規定する情報とされ、或いは、特定操作ログを別の操作ログに変換するという方針を規定する情報とされる。「別の操作ログ」は、特定アプリケーションプログラムに対する操作以外の操作である。例えば、予め定められた特定の操作、特定アプリケーションプログラム以外のアプリケーションプログラムに対する操作、特定アプリケーションプログラムのウィンドウの外部における操作、特定アプリケーションプログラムに対する操作がなされたことを第一端末1の操作者に通知するための画像や文字等を、第一表示装置41に表示させる操作等、を行う操作ログを、上記別の操作ログとすることができる。別の操作ログを、上記の最後に例示したような操作ログとした場合、第二端末2の操作者の意図的或いは偶発的な不正行為に対する、第一端末1の操作者の気付きを促すことができるという効果が期待できる。なお、ログ修正方針情報として、特定操作ログの内容(言い換えれば、特定アプリケーションプログラムに対する操作の内容)に対応付けて修正方針が個別に規定された情報がログ修正方針情報記憶部86に記憶される構成とすることもできる。この場合、特定操作ログの内容に応じて異なる修正方針を規定することができる。
なお、遠隔操作のための各機能を、第一端末1、第二端末2、及び中継サーバ9を備えるコンピュータシステムに実現させるための遠隔操作プログラムは、記憶媒体により提供され、或いは、通信ネットワークN等のネットワークを介して提供される。そして、提供された遠隔操作プログラムは、コンピュータシステムに備えられる記憶装置に格納される。なお、この遠隔操作プログラムは、第一端末1のコンピュータ(演算処理装置)に第一処理装置10の各機能を実現させるための第一端末用プログラム、第二端末2のコンピュータ(演算処理装置)に第二処理装置20の各機能を実現させるための第二端末用プログラム、及び、中継サーバ9のコンピュータ(演算処理装置)に中継処理装置30の各機能を実現させるための中継サーバ用プログラムの集合である。そして、第一端末1の記憶装置に第一端末用プログラムが格納され、第二端末2の記憶装置に第二端末用プログラムが格納され、中継サーバ9の記憶装置に中継サーバ用プログラムが格納される。なお、各プログラムは、少なくとも遠隔操作の実行時に上記のように各記憶装置に記憶されていれば良い。例えば、第一端末用プログラムが、遠隔操作を実行する際に中継サーバ9から第一端末1に供給されて第一端末1の記憶装置に一時的に記憶される構成とすることができる。
遠隔操作システム100は、遠隔操作開始判定処理、遠隔操作用画像表示処理、及び遠隔操作反映処理を実行する。ここで、遠隔操作開始判定処理は、遠隔操作を開始するか否かを判定する処理である。遠隔操作システム100は、遠隔操作を開始すると判定すると、遠隔操作を終了すると判定するまでの間、第一表示装置41に表示された画像に基づき生成された遠隔操作用の画像を第二表示装置42に表示させる遠隔操作用画像表示処理を実行する。そして、遠隔操作システム100は、遠隔操作を開始してから終了するまでの間に第二端末2において遠隔操作のための操作入力があった場合に、当該操作入力に応じた処理を第一端末1に実行させる遠隔操作反映処理を実行する。以下、遠隔操作システム100の機能構成(ソフトウェア構成)について、これらの遠隔操作開始判定処理、遠隔操作用画像表示処理、及び遠隔操作反映処理の手順と共に説明する。
1−2−1.遠隔操作開始判定処理
本実施形態では、遠隔操作システム100は、図9に示す手順に沿って、遠隔操作開始判定処理を実行する。なお、本実施形態では、図9における各判定ステップは、第一処理装置10の第一遠隔操作制御部11により実行される。第一遠隔操作制御部11は、第二端末2(第二処理装置20)からの遠隔操作の開始要求を直接或いは中継サーバ9を介して受信すると(ステップ#01:Yes)、第一端末1(第一処理装置10)が特定アプリケーションプログラムを実行中であるか否かの判定を行う(ステップ#02)。遠隔操作の開始要求は、第二端末2において遠隔操作を開始するための操作(例えば、第二表示装置42の画面における遠隔操作を開始するためのアイコンのクリックやコマンド入力等)がなされた場合に、第二処理装置20から送信される。なお、本実施形態では、中継記憶装置83の特定アプリケーション情報記憶部84で管理されている特定アプリケーションプログラムの情報が、予め中継サーバ9から第一端末1に配信されて第一記憶装置81に記憶されている。第一遠隔操作制御部11は、第一端末1において現在実行しているアプリケーションプログラムの情報と、第一記憶装置81に記憶されている特定アプリケーションプログラムの情報とに基づき、第一端末1が特定アプリケーションプログラムを実行中であるか否かを判定する。
そして、第一遠隔操作制御部11は、第一端末1が特定アプリケーションプログラムの実行中ではない場合には(ステップ#02:No)、遠隔操作を開始することを決定し(ステップ#06)、遠隔操作開始判定処理が終了される。その後、遠隔操作の終了が決定されるまでの間、遠隔操作用画像表示処理(図10)及び遠隔操作反映処理(図11)が繰り返し実行される。例えば、第二端末2において遠隔操作を終了するための操作がなされた場合、第二端末2において遠隔操作のための操作入力がなされない状態が予め定められた期間以上継続した場合、第一端末1において遠隔操作を終了するための操作がなされた場合等に、遠隔操作の終了が決定される。
一方、第一遠隔操作制御部11は、第一端末1が特定アプリケーションプログラムの実行中である場合には(ステップ#02:Yes)、選択ダイアログ94を第一表示装置41に表示させる(ステップ#03)。選択ダイアログ94は、第一端末1の操作者に、第二処理装置20からの遠隔操作の開始要求に対する応答の選択肢を提示するためのものである。本実施形態では、図6に例示するように、3つの選択肢を第一端末1の操作者に提示する選択ダイアログ94が第一表示装置41に表示される。具体的には、第二処理手順を選択する選択肢(図6に示す例では、「許可(実行を継続)」のスイッチ(ボタン)で示される選択肢)、第一処理手順を選択する選択肢(図6に示す例では、「許可」のスイッチで示される選択肢)、及び遠隔操作の拒否を選択する選択肢(図6に示す例では、「拒否」のスイッチで示される選択肢)の3つの選択肢が、選択ダイアログ94によって表示される。そして、第一遠隔操作制御部11は、第一端末1の操作者によって遠隔操作の拒否が選択された場合には(ステップ#04:Yes)、遠隔操作を開始することなく遠隔操作開始判定処理を終了させる。一方、第一遠隔操作制御部11は、第一端末1の操作者によって第二処理手順が選択された場合には(ステップ#04:No、ステップ#05:Yes)、遠隔操作を開始することを決定し(ステップ#06)、遠隔操作開始判定処理が終了される。なお、第二処理手順は、第一端末1における特定アプリケーションプログラムの実行を継続すると共に、第二表示装置42にマスク済表示画像情報(図1に示すような画像、詳細は後述する。)を表示させた状態での第二端末2による遠隔操作を許可する処理手順である。本実施形態では、第一遠隔操作制御部11は、第二処理手順による遠隔操作を開始する時点や、第二処理手順による遠隔操作の実行中等に、図7に例示するような情報提示画像95を第一表示装置41に表示させる。情報提示画像95の内容は、特定ウィンドウ画像90aの内容が第二表示装置42に表示されていないことを第一端末1の操作者に認識させる内容とされる。
また、第一遠隔操作制御部11は、第一端末1の操作者によって第一処理手順が選択された場合には(ステップ#04:No、ステップ#05:No、ステップ#07:Yes)、第一端末1において実行されていた全ての特定アプリケーションプログラムが終了しているか否かの判定を行う(ステップ#08)。なお、第一処理手順は、特定アプリケーションプログラムを終了した後に遠隔操作を許可する処理手順である。そのため、第一端末1の操作者によって第一処理手順が選択された場合には、全ての特定アプリケーションプログラムが終了しているか否かの判定が行われる。そして、第一遠隔操作制御部11は、全ての特定アプリケーションプログラムが終了している場合には(ステップ#08:Yes)、遠隔操作を開始することを決定し(ステップ#06)、遠隔操作開始判定処理が終了される。一方、第一遠隔操作制御部11は、実行中の特定アプリケーションプログラムが存在する場合には(ステップ#08:No)、警告情報を第一表示装置41に表示し(ステップ#09)、その後、選択ダイアログ94に対する再度の選択操作を待つ。警告情報の表示(ステップ#09)は、例えば図8に示すように、全ての特定アプリケーションプログラムの終了を第一端末1の操作者に促す内容の画像を、第一表示装置41に表示させる処理とされる。なお、第一遠隔操作制御部11が、警告情報を表示した後(ステップ#09)、選択ダイアログ94に対する再度の選択操作を待つのではなく、全ての特定アプリケーションが終了されるまで待機し(ステップ#08)、全ての特定アプリケーションプログラムが終了した時点で(ステップ#08:Yes)、遠隔操作を開始することを決定する(ステップ#06)構成とすることもできる。或いは、第一端末1の操作者によって第一処理手順が選択された場合であって実行中の特定アプリケーションプログラムが存在する場合には(ステップ#08:No)、全ての特定アプリケーションプログラムを強制的に終了して、終了後に遠隔操作を開始する構成とすることもできる。
上記のように、本実施形態では、第一遠隔操作制御部11が、第二処理装置20からの遠隔操作の開始要求を受信した際に第一端末1において特定アプリケーションプログラムを実行中であった場合、少なくとも第一処理手順と第二処理手順とを選択可能とする選択ダイアログ94を第一表示装置41に表示するように構成されている(ステップ#03)。また、本実施形態では、第一処理手順では、第一操作装置51からの操作入力により特定アプリケーションプログラムが終了していることが、遠隔操作を許可する条件とされる(ステップ#08)。そして、第一遠隔操作制御部11は、遠隔操作を許可する操作入力を第一操作装置51から受け付けた際に特定アプリケーションプログラムが終了していなかった場合には、特定アプリケーションプログラムを終了させることを促す警告表示を、第一表示装置41に表示させるように構成されている(ステップ#09)。これにより、第一端末1の操作者に対して遠隔操作が開始されることを知らせ、その時の状況に応じた適切な処理を第一端末1の操作者に選択させることができる。
なお、本実施形態では、選択ダイアログ94の表示処理、情報提示画像95の表示処理、及び警告画像96の表示処理は、第一遠隔操作制御部11が備える情報表示部17(図2参照)によって実行される。また、ここでは、図9における各判定ステップが第一処理装置10(第一遠隔操作制御部11)により実行される場合を例として説明したが、図9における一部又は全ての判定ステップが、中継処理装置30により実行される構成とすることもできる。
1−2−2.遠隔操作用画像表示処理
本実施形態では、遠隔操作システム100は、図10に示す手順に沿って、遠隔操作用画像表示処理を実行する。なお、本実施形態では、この遠隔操作用画像表示処理は、主に、第一処理装置10(第一遠隔操作制御部11)が備える第一実行情報取得部12及び表示画像情報取得部13(図2参照)と、第二処理装置20(第二遠隔操作制御部21)が備える遠隔操作用画像情報取得部22及び遠隔操作用画像表示部23(図3参照)と、中継処理装置30が備える第一実行情報取得部31、表示画像情報取得部32、遠隔操作用画像生成部33、及び遠隔操作用画像情報送信部35(図4参照)とによって実行される。
図10に示すように、遠隔操作用画像表示処理は、第一端末1において実行される処理(ステップ#10,#11)と、中継サーバ9において実行される処理(ステップ#12〜#16)と、第二端末2において実行される処理(ステップ#17,#18)とが、記載の順に実行される処理である。まず、第一遠隔操作制御部11は、第一実行情報及び表示画像情報を取得したか否かの判定を行う(ステップ#10)。そして、第一遠隔操作制御部11は、第一実行情報及び表示画像情報を取得した場合には(ステップ#10:Yes)、第一実行情報及び表示画像情報を中継サーバ9(中継処理装置30)に送信する(ステップ#11)。ここで、第一実行情報は、第一端末1におけるアプリケーションプログラムの実行状態を表す情報であり、表示画像情報は、第一表示装置41に表示された画像の情報である。なお、第一実行情報の取得及び表示画像情報の取得は、定期的に或いは不定期的に設定されるタイミング毎に、繰り返し実行される。そして、同時に或いは同時期に取得された第一実行情報と表示画像情報とが互いに関連付けられて、中継サーバ9に送信される。本実施形態では、第一実行情報及び表示画像情報は、第一端末1の端末識別情報と関連付けられて中継サーバ9に送信される。
本実施形態では、図2に示すように、第一遠隔操作制御部11は、第一実行情報を取得する機能部である第一実行情報取得部12と、表示画像情報を取得する機能部である表示画像情報取得部13とを備えている。表示画像情報取得部13は、例えばVRAM(Video RAM)等の、第一表示装置41に表示される画像情報を記憶する記憶装置から、第一表示装置41に表示されている画像の情報(表示画像情報)を読み取る(言い換えれば、キャプチャする)。本実施形態では、第一遠隔操作制御部11(第一実行情報取得部12及び表示画像情報取得部13)により「第一取得機能」が実現される。
本実施形態では、第一実行情報取得部12により取得される第一実行情報は、特定ウィンドウ画像90aの座標情報(表示画像情報に係る表示画像上の座標情報)を含む情報である。なお、特定ウィンドウ画像90aは、表示画像情報に係る表示画像(第一表示装置41に表示されている画像)に含まれる、特定アプリケーションプログラムのウィンドウ画像90である。上述したように、本実施形態では、特定アプリケーションプログラムの情報が第一記憶装置81に記憶されている。そして、第一実行情報取得部12は、第一記憶装置81に記憶されている特定アプリケーションプログラムの情報を参照し、第一端末1において特定アプリケーションプログラムが実行中である場合には、特定ウィンドウ画像90aの第一表示装置41の画面上での座標情報をアプリケーション実行部等から取得する。なお、座標情報は、例えば、第一表示装置41の画面における左上隅を原点とした場合の、特定ウィンドウ画像90aの対角(或いは4隅)の座標を直接的に或いは間接的に表す情報とされる。
中継処理装置30は、第一遠隔操作制御部11から送信された第一実行情報及び表示画像情報を取得する(ステップ#12)。本実施形態では、図4に示すように、中継処理装置30は、第一実行情報を取得する機能部である第一実行情報取得部31と、表示画像情報を取得する機能部である表示画像情報取得部32とを備えている。そして、第一実行情報取得部31が取得した第一実行情報と、表示画像情報取得部32が取得した表示画像情報は、遠隔操作用画像生成部33に出力される。そして、遠隔操作用画像生成部33は、表示画像情報取得部32が取得した表示画像情報に係る表示画像に対して、マスク処理が必要か否かの判定を行う(ステップ#13)。遠隔操作用画像生成部33は、第一実行情報取得部31が取得した第一実行情報に特定ウィンドウ画像90aの座標情報が含まれている場合にはマスク処理が必要と判定し、第一実行情報取得部31が取得した第一実行情報に特定ウィンドウ画像90aの座標情報が含まれていない場合にはマスク処理が不要と判定する。そして、遠隔操作用画像生成部33は、マスク処理が必要と判定した場合には(ステップ#13:Yes)、マスク済表示画像を遠隔操作用画像として生成し(ステップ#14)、マスク処理が不要と判定した場合には(ステップ#13:No)、非マスク表示画像を遠隔操作用画像として生成する(ステップ#15)。なお、非マスク表示画像の内容は、表示画像情報に係る表示画像の内容と基本的に同一とされるが、表示画像情報に係る表示画像に対して解像度、データ圧縮量、画像領域等を変更したものを遠隔操作用画像として生成しても良い。マスク済表示画像を生成する場合も同様に、解像度、データ圧縮量、画像領域等を変更しても良い。そして、遠隔操作用画像情報送信部35が遠隔操作用画像生成部33により生成された遠隔操作用画像の情報である遠隔操作用画像情報を、第二端末2(第二処理装置20)に送信する。マスク済表示画像が遠隔操作用画像として生成された場合の遠隔操作用画像情報が、マスク済表示画像情報となる。本実施形態では、遠隔操作用画像情報は、第一実行情報及び表示画像情報の送信元の第一端末1の端末識別情報に関連付けられて、第二端末2に送信される。この際、端末情報記憶部85に記憶された端末識別情報が遠隔操作用画像情報送信部35により適宜参照される。
マスク済表示画像は、遠隔操作用画像生成部33が備えるマスク処理部34によって生成される。具体的には、マスク処理部34は、第一実行情報に基づいて、表示画像情報に係る表示画像中における特定ウィンドウ画像90aが占める領域である特定ウィンドウ領域の情報を取得し、特定ウィンドウ領域に元画像を隠すマスク処理を行ってマスク済表示画像情報を生成する。本実施形態では、図1に示すように、マスク処理部34は、特定ウィンドウ領域内の元画像を、別の画像である代替画像91に置き換えることによりマスク処理を行う。図1に示す例では、代替画像91は、全画素が黒である画像である。すなわち、図1に示す例では、代替画像91として、第二端末2の操作者にマスク処理が行われていることを積極的に認識させる画像を用いている。また、図1に示す例では、マスク処理部34は、特定ウィンドウ領域内の全域において元画像を隠すマスク処理を行っている。すなわち、代替画像91として、特定ウィンドウ領域と同じ大きさ(画面上の寸法)の画像を用いている。これにより、特定ウィンドウ画像90aにおけるクライアント領域だけでなく、特定ウィンドウ画像90aにおけるタイトルバー等の非クライアント領域にも、マスク処理が行われる。なお、代替画像91として、第二端末2の操作者にマスク処理が行われていることを認識させ難い画像を用いることも可能である。例えば、マスク処理部34が、特定ウィンドウ画像90aの下に隠れている画像(背景画像等)の情報を、過去の表示画像情報に基づき或いは第一端末1から送信される情報に基づき取得し、代替画像91として、特定ウィンドウ画像90aの下に隠れている画像を用いる構成とすることもできる。
なお、本実施形態では、表示画像情報に、第一端末1で実行中の複数のアプリケーションプログラムのそれぞれのプレビューウィンドウ93を規則的に配列して表示するプレビュー画像92が含まれる場合、マスク処理部34は、表示画像情報に係る表示画像中におけるプレビュー画像92が占める領域又は特定アプリケーションプログラムのプレビューウィンドウ93の画像が占める領域に、当該領域内の元画像を隠すマスク処理を行ってマスク済表示画像情報を生成するように構成されている。図5は、マスク処理部34が、表示画像情報に係る表示画像中における特定アプリケーションプログラムのプレビューウィンドウ93である特定プレビューウィンドウ93aの画像が占める領域にマスク処理を行い、当該領域内の画像を代替画像91に置き換える場合の例を示している。このような構成とすることで、第二端末2の操作者が特定プレビューウィンドウ93aの内容を知得することを防止して、特定アプリケーションプログラムで取り扱う情報が第二端末2の操作者に取得されることをより確実に防止することができる。以上のように、マスク処理部34は、第一実行情報及び表示画像情報に基づいてマスク済表示画像情報を生成する機能部である。そして、本実施形態では、マスク処理部34により「マスク処理機能」が実現される。
第二遠隔操作制御部21は、中継処理装置30(遠隔操作用画像情報送信部35)から送信された遠隔操作用画像情報を取得する(ステップ#17)。上述したように、マスク済表示画像が遠隔操作用画像として生成された場合には、遠隔操作用画像情報はマスク済表示画像情報である。そして、第二遠隔操作制御部21は、取得した遠隔操作用画像情報を第二表示装置42に表示させる。なお、本実施形態では、図3に示すように、第二遠隔操作制御部21は、遠隔操作用画像情報を取得する機能部である遠隔操作用画像情報取得部22と、遠隔操作用画像情報取得部22から出力された遠隔操作用画像情報を第二表示装置42に表示させる遠隔操作用画像表示部23とを備えている。以上のように遠隔操作用画像表示処理を実行することで、第一遠隔操作制御部11が第一実行情報及び表示画像情報を取得する度に、これらの第一実行情報及び表示画像情報に基づき生成された遠隔操作用画像情報が第二表示装置42に表示される。なお、図1では、遠隔操作用画像を第二表示装置42の表示画面の全域に表示させる場合を例示しているが、遠隔操作用画像を第二表示装置42の表示画面の一部の領域に表示させても良い。
1−2−3.遠隔操作反映処理
本実施形態では、遠隔操作システム100は、図11に示す手順に沿って、遠隔操作反映処理を実行する。なお、本実施形態では、この遠隔操作反映処理は、主に、第一処理装置10(第一遠隔操作制御部11)が備える遠隔操作情報取得部14、操作制限処理部15、及び遠隔操作実行部16と、第二処理装置20(第二遠隔操作制御部21)が備える第二操作情報取得部24、第二操作ログ情報生成部25、及び第二操作ログ情報送信部26と、中継処理装置30が備える第二操作ログ情報取得部36及び遠隔操作情報送信部37とによって実行される。
図11に示すように、遠隔操作反映処理は、第二端末2において実行される処理(ステップ#20〜#22)と、中継サーバ9において実行される処理(ステップ#23〜#25)と、第一端末1において実行される処理(ステップ#26〜#28)とが、記載の順に実行される処理である。まず、第二遠隔操作制御部21は、遠隔操作用画像情報が第二表示装置42に表示された状態(マスク済表示画像情報が第二表示装置に表示された状態を含む。)での第二操作装置52が操作された内容を表す第二操作ログ情報を取得する。本実施形態では、図3に示すように、第二遠隔操作制御部21は、第二操作情報を取得する機能部である第二操作情報取得部24、第二操作ログ情報を生成する機能部である第二操作ログ情報生成部25、及び第二操作ログ情報を中継サーバ9に送信する機能部である第二操作ログ情報送信部26を備えている。第二操作情報取得部24は、第二端末2の操作者が第二操作装置52に対する遠隔操作のための操作入力を行った場合に(ステップ#20:Yes)、その操作内容を第二操作情報として取得して第二操作ログ情報生成部25に出力する。なお、第二操作情報は、例えば、ファイルのコピー操作、ファイルの選択操作、ウィンドウのサイズ変更操作、ウィンドウのスクロール操作、アプリケーションプログラムの起動操作、アプリケーションプログラムの終了操作等の情報である。そして、第二操作ログ情報生成部25は、第二操作情報取得部24から取得した第二操作情報に基づき第二操作ログ情報を生成する(ステップ#21)。第二操作ログ情報生成部25は、例えば、第二操作情報を、日時、遠隔操作の対象となる第一端末1の端末識別情報、遠隔操作の対象となるアプリケーションプログラム名等に関連付けて、第二操作ログ情報を生成する。なお、この際に必要となる端末識別情報等が第二記憶装置82に記憶され、第二操作ログ情報生成部25が第二記憶装置82を参照して第二操作ログ情報を生成する構成とすることができる。第二操作情報に関連付けられて第二操作ログ情報に含められる情報として、遠隔操作のための操作入力が行われた時点で第二表示装置42に表示されていた遠隔操作用画像情報を特定する情報を含めても良い。そして、第二操作ログ情報送信部26は、第二操作ログ情報生成部25が生成した第二操作ログ情報を、中継サーバ9(中継処理装置30)に送信する(ステップ#22)。なお、第二操作装置52に対する遠隔操作のための操作入力がなされる度に第二操作ログ情報を生成して中継サーバ9に送信する構成とし、或いは、第二操作装置52に対する遠隔操作のための一連の操作入力(予め定められた期間内になされた操作入力)の情報を含む第二操作ログ情報を生成して中継サーバ9に送信する構成とすることができる。本実施形態では、第二遠隔操作制御部21により「第二取得機能」が実現される。
中継処理装置30は、第二処理装置20(第二操作ログ情報送信部26)から送信された第二操作ログ情報を取得すると(ステップ#23)、ログ修正方針情報記憶部86に記憶されたログ修正方針情報(例えば、最新のログ修正方針情報)を取得する(ステップ#24)。そして、中継処理装置30は、遠隔操作情報としての第二操作ログ情報及びログ修正方針情報を、第一端末1(第一処理装置10)に送信する。本実施形態では、図4に示すように、中継処理装置30は、第二端末2から送信された第二操作ログ情報を取得する機能部である第二操作ログ情報取得部36と、第二操作ログ情報取得部36が取得した第二操作ログ情報とログ修正方針情報記憶部86に記憶されたログ修正方針情報とを第一処理装置10に送信する機能部である遠隔操作情報送信部37とを備えている。なお、ログ修正方針が端末装置毎に規定され、ログ修正方針情報が端末識別情報に関連付けられてログ修正方針情報記憶部86に記憶されている場合、ステップ#24の処理では、遠隔操作の対象となる第一端末1に対応するログ修正方針情報が取得される。
第一遠隔操作制御部11は、中継処理装置30(遠隔操作情報送信部37)から送信された遠隔操作情報(本実施形態では、第二操作ログ情報及びログ修正方針情報)を取得する(ステップ#26)。そして、第一遠隔操作制御部11は、第二操作ログ情報及びログ修正方針情報に基づき処理済第二操作ログ情報を生成し(ステップ#27)、生成した処理済第二操作ログ情報に基づき第一端末1の処理を実行する(ステップ#28)。本実施形態では、図2に示すように、第一遠隔操作制御部11は、遠隔操作情報を取得する機能部である遠隔操作情報取得部14と、第二操作ログ情報に基づいて処理済第二操作ログ情報を生成する機能部である操作制限処理部15と、第二操作ログ情報に基づいて(本実施形態では、処理済第二操作ログ情報に従って)第一端末1の処理を実行する遠隔操作実行部16とを備えている。上述したように、ログ修正方針情報は、特定アプリケーションプログラムに対する操作を行う操作ログ(特定操作ログ)を修正する方針を規定する情報である。操作ログが特定操作ログであるか否かの判定は、例えば、当該操作ログに係る操作が実行された座標の情報と、特定ウィンドウ画像90aの表示範囲(座標範囲)とに基づき判定することができる。すなわち、操作が実行された座標が特定ウィンドウ画像90aの表示範囲に含まれている場合に、当該操作に係る操作ログが特定操作ログであると判定することができる。遠隔操作情報取得部14が取得した第二操作ログ情報に、特定操作ログが含まれていない場合には、操作制限処理部15は、遠隔操作情報取得部14が取得した第二操作ログ情報をそのまま処理済第二操作ログ情報として遠隔操作実行部16に出力する。一方、遠隔操作情報取得部14が取得した第二操作ログ情報に、特定操作ログが含まれている場合には、操作制限処理部15は、遠隔操作情報取得部14が取得したログ修正方針情報に基づき、当該特定操作ログを無効にし、又は当該特定操作ログを別の操作ログに変換して、処理済第二操作ログ情報を生成する。この場合、遠隔操作情報取得部14が取得した第二操作ログ情報に含まれる特定操作ログ以外の操作ログは、そのまま処理済第二操作ログ情報に含められる。なお、特定操作ログを無効にした場合、又は特定操作ログを別の操作ログに変換した場合、例えば、無効に或いは別の操作に変換されるような操作を行ったことを第二端末2の操作者に通知するための画像を、第二表示装置42に表示させても良い。
また、操作ログに含まれるアプリケーションプログラムの情報(すなわち、どのアプリケーションプログラムに対する操作であるかを示す情報)に基づき、特定アプリケーションプログラムに対する操作であることを示す情報が操作ログに含まれる場合に、当該操作ログが特定操作ログであると判定する構成とすることもできる。例えば、操作ログに含まれるアプリケーション名(実行ファイル名或いはハッシュ値等でも良い。)が、特定アプリケーションプログラムのアプリケーション名と一致する場合に、当該操作ログが特定操作ログであると判定する構成とすることができる。また、操作ログに係る操作内容に基づき、特定の操作を実行する内容が操作ログに含まれる場合に、当該操作ログが特定操作ログであると判定する構成とすることもできる。例えば、操作ログに係る操作内容が、スクリーンショットを取得する操作や第一表示装置41の画面を印刷する操作等である場合に、当該操作ログが特定操作ログであると判定する構成とすることができる。
以上のように遠隔操作反映処理を実行することで、第二操作ログ情報が生成される度に、当該第二操作ログ情報に基づく処理が第一端末1において実行される。そして、この処理の結果が反映された第一表示装置41の表示画像情報に応じた遠隔操作用画像情報が、次に実行される遠隔操作用画像表示処理によって第二表示装置42に表示される。以上のように、本実施形態では、操作制限処理部15は第一処理装置10に含まれる。また、本実施形態では、第一遠隔操作制御部11(操作制限処理部15)により、第二操作ログ情報に基づいて処理済第二操作ログ情報を生成する「操作制限処理機能」が実現され、第一遠隔操作制御部11(遠隔操作実行部16)により「第一実行機能」が実現される。
2.第二の実施形態
遠隔操作システムの第二の実施形態について、図12及び図13を参照して説明する。本実施形態では、第一遠隔操作制御部11(第一実行情報取得部12)から中継処理装置30に送信される第一実行情報が、特定アプリケーションプログラム以外のアプリケーションプログラムのウィンドウ画像90の座標情報も含み得る点と、操作制限処理部15が第一処理装置10ではなく中継処理装置30に含まれる点で、上記第一の実施形態とは異なる。以下では、本実施形態に係る遠隔操作システムについて、第一の実施形態との相違点を中心に説明する。特に明記しない点に関しては、第一の実施形態と同様であり、同一の符号を付して詳細な説明は省略する。
本実施形態では、上記第一の実施形態とは異なり、遠隔操作システム100が遠隔操作用画像表示処理を実行する際に、第一表示装置41に表示されている画像に特定ウィンドウ画像90aが含まれているか否かを第一端末1側では判定しない。よって、本実施形態では、遠隔操作用画像表示処理(図10のステップ#11)において第一遠隔操作制御部11(第一実行情報取得部12)から中継処理装置30に送信される第一実行情報には、第一端末1においてその時点で実行されている全てのアプリケーションプログラムのウィンドウ画像90の座標情報が含まれる。そして、中継サーバ9において、表示画像情報取得部32が取得した表示画像情報に係る表示画像(第一表示装置41に表示されている画像)に、特定ウィンドウ画像90aが含まれているか否かの判定がなされる。具体的には、図12に示すように、中継処理装置30(遠隔操作用画像生成部33)に、表示画像情報取得部32が取得した表示画像情報に係る表示画像に特定ウィンドウ画像90aが含まれているか否かを判定する機能部である特定ウィンドウ画像有無判定部38が備えられている。そして、特定ウィンドウ画像有無判定部38は、特定アプリケーション情報記憶部84に記憶されている特定アプリケーションプログラムの情報を参照して、第一実行情報に特定アプリケーションプログラムを示す情報が含まれるか否かの判定を行い、当該表示画像に特定ウィンドウ画像90aが含まれている場合には、第一実行情報に含まれる当該特定ウィンドウ画像90aの座標情報を取得する。この点以外は、基本的に上記第一の実施形態と同様に、遠隔操作用画像表示処理が実行される。
また、本実施形態では、上記第一の実施形態とは異なり、操作制限処理部15が、第一処理装置10ではなく中継処理装置30に備えられている。具体的には、図12、及び本実施形態に係る遠隔操作反映処理の手順を示す図13に示すように、第二操作ログ情報取得部36が取得した第二操作ログ情報は、操作制限処理部15に出力される。そして、操作制限処理部15は、第二操作ログ情報取得部36から入力された第二操作ログ情報と、中継記憶装置83のログ修正方針情報記憶部86を参照して取得したログ修正方針情報(ステップ#34)とに基づき、処理済第二操作ログ情報を生成する(ステップ#35)。すなわち、中継サーバ9において、特定操作ログを無効にし或いは別の操作ログに変換する処理が行われる。そして、遠隔操作情報送信部37は、操作制限処理部15が生成した処理済第二操作ログ情報を、第一端末1(第一処理装置10)に送信する(ステップ#36)。すなわち、本実施形態では、中継処理装置30は、遠隔操作情報として処理済第二操作ログ情報を第一端末1に送信する。よって、本実施形態では、第一遠隔操作制御部11(遠隔操作情報取得部14)は、中継処理装置30(遠隔操作情報送信部37)から送信された遠隔操作情報(処理済み二操作ログ情報)を取得する(ステップ#37)。そして、第一遠隔操作制御部11(遠隔操作実行部16)が、遠隔操作情報取得部14が取得した処理済第二操作ログ情報に従って第一端末1の処理を行う。
3.その他の実施形態
遠隔操作システムのその他の実施形態について説明する。なお、以下のそれぞれの実施形態で開示される構成は、矛盾が生じない限り、他の実施形態で開示される構成と組み合わせて適用することも可能である。
(1)上記の第一及び第二の実施形態では、特定アプリケーションプログラムが、第二端末2の操作権限を持つ者であっても、特定ウィンドウ画像90aの内容を知ることが、規定上或いは社会通念上、禁止されるアプリケーションプログラムに設定される構成を例として説明した。そして、上述したように、このような特定アプリケーションプログラムとして、マイナンバーを取り扱うアプリケーションプログラムを例示することができる。以下、遠隔操作システム100が、特定アプリケーションプログラムがマイナンバーを取り扱うアプリケーションプログラムである場合に特に有効であることを説明する。
マイナンバーは、法律上、個人番号関係事務実施者のような特定の者のみに取り扱いが許され、システム管理者であってもこの特定の者でなければ、マイナンバーを閲覧したり取り扱うことが禁止されている。そして、マイナンバーは、個人情報と密接に関わるため、その漏えいに対しては罰則も適用され得る。そのため、特定アプリケーションプログラムがマイナンバーを取り扱うアプリケーションプログラムである場合には、特に、システムの誤検知や誤処理のようなミスは許されない。
この点に関し、従来の遠隔操作システムでは、システム管理者には特に権限に制約がないのが一般的である。そのため、特定アプリケーションプログラムを実行可能な第一端末1のメンテナンス等を目的として、システム管理者が第二端末2から第一端末1を遠隔操作した場合に、マイナンバーを偶発的に閲覧してしまうおそれがある。また、悪意のある者が第二端末2から第一端末1を遠隔操作して、不正にマイナンバーを取得するおそれもある。これらのことを防ぐために、上記特許文献1に記載の技術を用いることも考えられるが、特許文献1に記載の技術では特定のデータ項目についてマスク処理が施されるのみである。そのため、第一端末1において特定アプリケーションプログラムが実行中である場合には、特定ウィンドウ画像90aの大部分が第二端末2に表示される。すなわち、特定ウィンドウ画像90aにおけるタイトルバーやツールバー等がそのまま第二端末2に表示されるため、第二端末2の操作者による特定アプリケーションプログラムに対する遠隔操作が意図的或いは偶発的に行われやすくなる。また、マイナンバーが画面上のどの位置にどのタイミングで表示されるかを検知したり予測することは容易ではないため、誤検知した場合にはマイナンバーがそのまま第二端末2に表示されるという問題もある。
これに対し、本明細書で開示する遠隔操作システム100では、マスク処理が、表示画像中における特定ウィンドウ画像90aが占める領域である特定ウィンドウ領域に対して行われる。すなわち、特定ウィンドウ画像90aの大部分或いは全てが第二端末2の第二表示装置42に表示されない構成とすることができる。これにより、特定ウィンドウ画像90aにおけるタイトルバーやツールバー等も第二表示装置42に表示されない構成とすることができると共に、特定ウィンドウ画像90aにおけるマイナンバーの表示位置や表示タイミングによらず、マイナンバーが第二表示装置42に表示されない構成とすることが可能となる。
(2)上記の第一及び第二の実施形態では、遠隔操作システム100が操作制限処理部15を備える構成を例として説明した。しかし、そのような構成に限定されることなく、遠隔操作システム100が操作制限処理部15を備えず、第一遠隔操作制御部11(遠隔操作実行部16)が、第二遠隔操作制御部21(第二操作ログ情報生成部25)により生成された第二操作ログ情報に従って第一端末1の処理を実行する構成とすることもできる。このような構成では、第二操作ログ情報に特定アプリケーションプログラムに対する操作を行う操作ログが含まれている場合に、特定アプリケーションプログラムに関する処理が第二端末2による遠隔操作によって第一端末1において実行されるが、マスク処理部34のマスク処理によって、特定ウィンドウ画像90aの内容が第二表示装置42に表示されることは回避される。
(3)上記第一の実施形態では、特定アプリケーションプログラムの情報が第一記憶装置81に記憶されている構成を例として説明した。しかし、そのような構成に限定されることなく、遠隔操作開始判定処理や遠隔操作用画像表示処理を実行する際に、中継サーバ9から第一端末1に、中継記憶装置83に記憶されている特定アプリケーションプログラムの情報が送信される構成とすることもできる。
(4)上記第一の実施形態では、中継処理装置30から第一端末1に送信される遠隔操作情報に、第二操作ログ情報に加えて、中継記憶装置83に記憶されているログ修正方針情報が含まれる構成を例として説明した。しかし、そのような構成に限定されることなく、ログ修正方針情報が第一記憶装置81に記憶される構成とし、中継処理装置30から第一端末1に送信される遠隔操作情報にログ修正方針情報が含まれない構成(例えば、第二操作ログ情報のみが含まれる構成)とすることもできる。
(5)上記第一の実施形態では、第一表示装置41に表示されている画像に特定ウィンドウ画像90aが含まれているか否かの判定を第一端末1で行う構成を例として説明したが、上記第一の実施形態の構成において、上記第二の実施形態のように上記判定を中継サーバ9で行う構成とすることもできる。また、上記第二の実施形態では、第一表示装置41に表示されている画像に特定ウィンドウ画像90aが含まれているか否かの判定を中継サーバ9で行う構成を例として説明したが、上記第二の実施形態の構成において、上記第一の実施形態のように上記判定を第一端末1で行う構成とすることもできる。
(6)上記第一及び第二の実施形態では、遠隔操作システム100が、第一処理手順により遠隔操作が開始された場合と、第二処理手順により遠隔操作が開始された場合とを区別することなく、遠隔操作用画像表示処理及び遠隔操作反映処理として同様の処理を実行する構成を例として説明した。しかし、そのような構成に限定されることなく、第一処理手順により遠隔操作が開始された場合と、第二処理手順により遠隔操作が開始された場合とを区別して、その後実行される遠隔操作用画像表示処理及び遠隔操作反映処理の内容を互いに異ならせることも可能である。例えば、第二処理手順により遠隔操作が開始された場合には、上記第一或いは第二の実施形態と同様の遠隔操作用画像表示処理及び遠隔操作反映処理を実行し、第一処理手順により遠隔操作が開始された場合と、遠隔操作の開始要求があった時点で第一端末1において特定アプリケーションプログラムが実行されていなかった場合は、その後遠隔操作が終了されるまで第一端末1における特定アプリケーションの実行を禁止する構成とすることもできる。この場合、第一処理手順により遠隔操作が開始された場合や、遠隔操作の開始要求があった時点で第一端末1において特定アプリケーションプログラムが実行されていなかった場合には、マスク処理部34によるマスク処理、操作制限処理部15による操作制限処理、並びにこれらの処理に関係する各判定処理が実行されない、通常の遠隔操作用画像表示処理及び遠隔操作反映処理が実行される構成とすることができる。
(7)上記の第一及び第二の実施形態で示した第一端末1の各機能部の割り当て、第二端末2の各機能部の割り当て、及び中継サーバ9の各機能部の割り当ては単なる一例であり、複数の機能部を組み合わせたり、1つの機能部を更に区分けしたりすることも可能である。
(8)その他の構成に関しても、本明細書において開示された実施形態は全ての点で単なる例示に過ぎないと理解されるべきである。従って、当業者は、本開示の趣旨を逸脱しない範囲で、適宜、種々の改変を行うことが可能である。