以下、本発明に係る実施形態を図面を参照しながら具体的に説明する。
〔第1の実施形態〕
図1は、本発明の第1の実施形態による複合機100の要部構成例を示すブロック図である。セキュリティ機能付き装置である複合機100は、複写装置に、例えば、ファクシミリ機能部、インターネット通信部などの他の機能部を加えたものである。ここで、複写装置とは画像読取装置と画像形成装置を備えた装置である。また、画像読取装置とはスキャナのみを備えた装置であり、画像形成装置とは印刷機のみを備えた装置である。本発明のセキュリティ機能付き装置は、第1の実施形態では複合機100であるとしているが、その他に、例えば、画像読取装置、画像形成装置、複写装置などであってもよい。
図1において、複合機100は、制御部101、画像形成部107、操作パネル102、カメラ105、警告部106、スキャナ110、記憶部111、通信インターフェース(I/F)112、及び記録紙搬送部113を備える。
制御部101は、例えば、内部にCPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)等を有するマイクロコンピュータであり、複合機100の各機能部を制御する。画像形成部107は、転写部108と、定着部109を備え、制御部101の制御に従って、記録紙(シート)上に画像データに基づいた画像形成を行う。記録紙搬送部112は、画像形成部107において記録紙を搬送するための複数のローラを備える。
操作パネル102は、操作部103と表示部104を備え、操作部103は、ユーザによる操作入力を受け付けて制御部101に出力する。また、表示部104は操作用の画面や各種情報を表示する。表示部104は、操作画面に対して入力操作が可能なタッチパネルで構成されていてもよく、この場合、表示部104は操作部103と同様にユーザによる操作入力を受け付けることができる。
撮像手段としてのカメラ105は、複合機100を操作するユーザの顔が映る所定の検知範囲を撮像する。原稿画像読取手段としてのスキャナ110は原稿の画像を読み取る。警告部106は必要に応じて警告音や警告光によってユーザに警告を発する。警告音は、例えば、音声合成装置により合成された、所定のメッセージを伝える音声や、警告用ブザーにより発生されるブザー音などであってもよい。警告光は、例えば、LED(Light Emitting Diode)の点灯や点滅により発せられる光でもよい。また、制御部101は、警告部106に対して警告を出力するように指示を出す代わりに、又は、それに加えて、表示部104に警告を表示するように指示を出してもよい。記憶部111は各種データや制御プログラムを記憶し、制御部101はその制御プログラムを記憶部111から読み出して実行し、また、実行中に各種データを記憶部111に対して読み書きする。また、記憶部111は、セキュリティ監視機能の起動を契機として取得したユーザの顔情報を記憶してもよい。
制御部101は、複合機100の各機能部を制御することに加えて、保護すべき情報の漏洩を防止するセキュリティ機能を実現するために、顔検知部114及びセキュリティ保護部115を備える。顔検知部114は、カメラ105により撮像された画像中に存在する人の顔を検知する。セキュリティ保護部115は、複合機100においてセキュリティ監視機能が作動中に情報漏洩の危険性が高い所定の条件が満たされたとき、セキュリティ保護機能を発動する。
図2は、本発明の第1の実施形態による複合機100の構成例を示す図である。
複合機100は、外部から伝送され、もしくはスキャナ110で読み取った画像データを記録紙に画像形成するもので、装置本体130と、スキャナ110に読取原稿を搬送するための自動原稿処理装置120を備える。
装置本体130は、露光ユニット1、現像器2、感光体ドラム3、クリーナユニット4、帯電器5、中間転写ベルトユニット6、定着ユニット7、給紙カセット81、排紙トレイ91等を備える。
装置本体130の上部には、透明ガラスからなる原稿載置台92が設けられ、その上側には原稿載置台92に原稿を自動搬送する自動原稿処理装置120が取り付けられる。自動原稿処理装置120は矢印M方向に回動自在に構成され、原稿載置台92の上を開放することにより原稿を手置きで置くことができるようになっている。
装置本体130は、筐体内に収容されるスキャナ110を備える。スキャナ110は、光源及び第1ミラーを保持する光源ユニット93と、第2及び第3ミラーを保持するミラーユニット94と、レンズ及びCCD95とから構成された縮小光学系の画像読取手段である。また、装置本体130には、図2には示していない操作パネル102が設けられ、ユーザによる操作入力が可能となっている。操作パネル102は図1に示すように操作部103と表示部104を含む。また、装置本体130には、有線又は無線で外部接続された装置から画像データを入力する手段、及び、可搬型の記録媒体(メモリーカードなど)から画像データを読み取る手段(いずれも図示せず)のうちの少なくとも1つを備えていてもよい。
複合機100において扱われる画像データは、例えばブラック(K)、シアン(C)、マゼンタ(M)、イエロー(Y)の4色のカラー画像に応じたものである。従って、現像器2、感光体ドラム(像担持体)3、帯電器5、クリーナユニット4は、各色に応じた4種類の潜像を形成するようにそれぞれ4個ずつ設けられ、これらにより4つの画像ステーションが構成されている。
帯電器5は、感光体ドラム3の表面を所定の電位に均一に帯電させるための帯電手段であり、図2に示すようなチャージャ型の他、接触型のローラ型やブラシ型の帯電器が用いられることもある。
露光ユニット1は、レーザ出射部、反射ミラー等を備えたレーザスキャニングユニット(LSU)として構成される。露光ユニット1は、レーザビームを走査するポリゴンミラーと、ポリゴンミラーによって反射されたレーザ光を感光体ドラム3に導くためのレンズやミラー等の光学要素が配置されている。また、露光ユニット1としては、この他にも発光素子をアレイ状に並べた例えばEL(Electro-Luminescence)やLED(Light Emitting Diode)書込みヘッドを用いる手法も採用できる。
露光ユニット1は、帯電された感光体ドラム3を入力された画像データに応じて露光することにより、その表面に、画像データに応じた静電潜像を形成する機能を有する。現像器2は、それぞれの感光体ドラム3上に形成された静電潜像を4色(Y、M、C、K)のトナーにより顕像化するものである。また、クリーナユニット4は、現像・画像転写後における感光体ドラム3上の表面に残留したトナーを、除去・回収する。
感光体ドラム3の上方に配置されている中間転写ベルトユニット6は、中間転写ベルト61、中間転写ベルト駆動ローラ62、中間転写ベルト従動ローラ63、中間転写ローラ64、及び中間転写ベルトクリーニングユニット65を備えている。中間転写ローラ64は、Y、M、C、Kの各色に対応して4本設けられている。
中間転写ベルト駆動ローラ62、中間転写ベルト従動ローラ63、及び中間転写ローラ64は、中間転写ベルト61を張架して回転駆動させる。また、各中間転写ローラ64は、感光体ドラム3のトナー像を中間転写ベルト61上に転写するための転写バイアスを中間転写ベルト61に対して与える。
中間転写ベルト61は、各感光体ドラム3に接触するように設けられている、そして、感光体ドラム3に形成された各色のトナー像を中間転写ベルト61に順次的に重ねて転写することによって、中間転写ベルト61上にカラーのトナー像(多色トナー像)を形成する。中間転写ベルト61は、例えば厚さ100μm〜150μm程度のフィルムを用いて無端状に形成されている。
感光体ドラム3から中間転写ベルト61へのトナー像の転写は、中間転写ベルト61の裏側に接触している中間転写ローラ64によって行われる。中間転写ローラ64には、トナー像を転写するために高電圧の転写バイアス(トナーの帯電極性(−)とは逆極性(+)の高電圧)が印加されている。中間転写ローラ64は、直径8〜10mmの金属(例えばステンレス)軸をベースとし、その表面が導電性の弾性材(例えばEPDM(Ethylene Propylene Diene Monomer)、発泡ウレタン等)により覆われているローラである。この導電性の弾性材により、中間転写ベルト61に対して均一に高電圧の転写バイアスを印加することができる。本構成例では転写電極としてローラ形状を使用しているが、それ以外にブラシなども用いることが可能である。
上述の様に各感光体ドラム3上で各色相に応じて顕像化された静電像は、中間転写ベルト61で積層される。このように積層された静電像は、中間転写ベルト61の回転によって、後述の用紙と中間転写ベルト61の接触位置に配置される二次転写機構部である転写ローラ10によって記録紙に転写される。二次転写機構部としては、転写ローラに限らず、コロナチャージャや転写ベルトを用いることも可能である。
このとき、中間転写ベルト61と転写ローラ10は所定ニップで圧接されるとともに、転写ローラ10にはトナーを用紙に転写させるための電圧が印加される(トナーの帯電極性(−)とは逆極性(+)の高電圧)。さらに、転写ローラ10は、上記ニップを定常的に得るために、転写ローラ10若しくは中間転写ベルト駆動ローラ62の何れか一方を硬質材料(金属等)とし、他方を弾性ローラ等の軟質材料(弾性ゴムローラ、または発泡性樹脂ローラ等々)としている。
また、上記のように、感光体ドラム3に接触することにより中間転写ベルト61に付着したトナー、若しくは転写ローラ10によって記録紙に転写が行われず中間転写ベルト61上に残存したトナーは、次工程でトナーの混色を発生させる原因となるために、中間転写ベルトクリーニングユニット65によって除去・回収されるように設定されている。中間転写ベルトクリーニングユニット65には、中間転写ベルト61に接触する例えばクリーニング部材としてクリーニングブレードが備えられており、クリーニングブレードが接触する中間転写ベルト61は、裏側から中間転写ベルト従動ローラ63で支持されている。
上記の中間転写ベルトユニット6及び転写ローラ10によって図1の転写部108が構成される。感光体ドラム3と中間転写ベルト61とを接触または離間させる図示しない駆動機構部を有している。
給紙カセット81は、画像形成に使用する記録紙(シート)を蓄積しておくためのトレイであり、装置本体130の露光ユニット1の下側に設けられている。また、手差し給紙カセット82にも画像形成に使用する記録紙を置くことができる。装置本体130の上方に設けられている排紙トレイ91は、印刷済みの記録紙をフェイスダウンで集積するためのトレイである。
また、装置本体130には、給紙カセット81及び手差し給紙カセット82の記録紙を転写ローラ10及び定着ユニット7を経由させて排紙トレイ91に送るための、略垂直形状の用紙搬送路S1が設けられている。給紙カセット81ないし手差し給紙カセット82から排紙トレイ91までの用紙搬送路S1の近傍には、ピックアップローラ11a、11b、複数の搬送ローラ12a〜12d、レジストローラ13、転写ローラ10、定着ユニット7等が配置されている。
搬送ローラ12a〜12dは、記録紙の搬送を促進・補助するための小型のローラであり、用紙搬送路S1及びS2に沿って複数設けられている。また、ピックアップローラ11aは、給紙カセット81の端部近傍に備えられ、給紙カセット81から記録紙を1枚ずつピックアップして用紙搬送路S1に供給する。同様に、ピックアップローラ11bは、手差し給紙カセット82の端部近傍に備えられ、手差し給紙カセット82から記録紙を1枚ずつピックアップして用紙搬送路S1に供給する。
また、レジストローラ13は、用紙搬送路S1又はS2を搬送されている記録紙を一旦保持するものである。そして、中間転写ベルトユニット6上のトナー像の先端と記録紙の先端を合わせるタイミングで記録紙を転写ローラ10に搬送する機能を有している。
定着ユニット7は、図1の定着部109に相当するものであり、ヒートローラ71及び加圧ローラ72を備えている。ヒートローラ71及び加圧ローラ72は、記録紙を挟んで回転するようになっている。また、ヒートローラ71は、図示しない温度検出器からの信号に基づいて制御手段によって所定の定着温度を維持するように設定されており、加圧ローラ72とともにトナーを記録紙に熱圧着することにより、記録紙に転写された多色トナー像を溶融・混合・圧接し、記録紙に対して熱定着させる機能を有している。また、ヒートローラ71を外部から加熱するための外部加熱ベルト73が設けられている。
次に、記録紙の搬送経路をより具体的に説明する。上述のように、複合機100には、予め記録紙を収納する給紙カセット81、及び手差し給紙カセット82が設けられている。これら給紙カセット81、82から記録紙を給紙するために、各々ピックアップローラ11a、11bが配置され、記録紙を1枚ずつ用紙搬送路S1に導くようになっている。
各給紙カセット81、82から搬送される記録紙は、用紙搬送路S1の搬送ローラ12aによってレジストローラ13まで搬送され、記録紙の先端と中間転写ベルト61上の画像情報の先端を整合するタイミングで転写ローラ10に搬送され、記録紙上に画像情報が書き込まれる。その後、記録紙は定着ユニット7を通過することによって記録紙上の未定着トナーが熱で溶融・固着され、その後に配置された搬送ローラ12bを経て排紙トレイ91上に排出される。
上記の搬送経路は、記録紙に対する片面印字要求のときのものであるが、これに対して両面印字要求のときは、上記のように片面印字が終了し定着ユニット7を通過した記録紙の後端が最終の搬送ローラ12bで把持されたときに、搬送ローラ12bが逆回転することによって記録紙を搬送ローラ12c、12dが配置された用紙搬送路S2に導く。そして、用紙搬送路S2は用紙搬送路S1に合流して、記録紙はレジストローラ13から転写ローラ10に搬送される。このとき、用紙搬送路S2からS1に合流する段階で記録紙の表裏が反転されているため、転写ローラ10では記録紙の裏面に印刷が行わる。そして、裏面に印刷された記録紙は定着ユニット7で定着され、排紙トレイ91に排出される。
図3は、本発明の第1の実施形態による複合機100と周辺機器のブロック図である。複合機100は、制御部101、カメラ105、スキャナ110、画像形成部107、操作部103、表示部104、記憶部111、通信I/F112、警告部106を備え、これらがバスなどを介して相互に接続されている。また、複合機100は、通信I/F112を介して外部記憶装置143や、ネットワーク140を経由して認証サーバ141やPC(Personal Computer)142に接続されていてもよい。
制御部101は、記憶部111に記憶されたプログラムに従い複合機100の各部を制御する。カメラ105は複合機100を操作するユーザの顔情報が取得できるように設置されており、取得された顔情報を元に制御部101にて顔認識及び顔識別を行う。ユーザは操作パネル102の操作部103を操作することで複合機100の各種動作の実行や情報の閲覧を行うことが出来る。操作パネル102は、ユーザが操作部103を操作する際に必要な情報や関連する情報を提示する操作画面、ユーザが情報の閲覧を行う際に当該情報を提示する閲覧画面などを表示する表示部104を備える。
スキャナ110は、原稿を画像情報として複合機100の内部へ取り込むことが出来る。取り込んだ画像情報を表す画像データは表示部104に表示されたり、記憶部111に格納されたり、画像形成部107を用いて記録紙に印刷されたりする。
複合機100は、外部のネットワーク140と通信I/F112を介して接続される。ネットワーク140には認証サーバ141が接続されており、複合機100は認証サーバ141と通信できる。認証サーバ141には複数の複合機が接続されていてもよい。
ユーザ認証を行う場合は、複合機100と認証サーバ141との間で通信を行い認証の成否を判断する。但し、認証サーバ141の認証に係る機能が複合機100に含まれていてもよく、その場合は、認証操作のために複合機100をネットワーク140に接続する必要はない。
複合機100は、通信I/F112を介して外部記憶装置143と接続できる。外部記憶装置143はネットワーク140も経由して接続されていてもよい。複合機100は、外部記憶装置143に格納されたデータに基づいた情報を表示部104に表示したり、画像形成部107で印刷したりできる。
複合機100は、ネットワーク140に接続されたPC142と通信I/F112を介して通信できる。複合機100は、PC142から受信したデータに基づいた情報を表示部104に表示したり、画像形成部107で印刷したりできる。
外部のPC142からセキュリティ保護対象のファイルを印刷する場合で、PC142が複合機100から離れた場所に設置されている場合は、PC142からの印刷指示後すぐに印刷開始するのではなく、改めて複合機100の操作部103を用いてユーザ認証を行ってから印刷開始するようにする。
次に、図4の処理フローチャートに従って本発明の第1の実施形態に関する処理手順を説明する。
第1の実施形態では、複合機100を使用して行う作業のうち、事前にユーザ認証を要する作業の開始に伴って処理フローが開始される(S200)。ここで、事前にユーザ認証を要する作業は、例えば、セキュリティ保護対象のファイルの閲覧や印刷、パスワード付きファイルの閲覧や印刷、管理者権限を必要とする複合機100の各種設定の変更や各種動作の実行、ユーザ毎に設定されている個人データの閲覧や印刷、セキュリティ関連情報の閲覧や印刷、パスワード付きアドレス帳の閲覧や印刷などである。これら以外にも、情報の閲覧や動作の実行をユーザ毎に制限したい作業を対象としてもよい。保護対象の情報、データ、ファイルなどは、例えば、記憶部111に格納されているものである。また、保護対象の情報、データ、ファイルなどは、複合機100に直接装着されるUSB(Universal Serial Bus)メモリ、メモリーカードなどの可搬型の記録媒体に格納されているものでもよく、通信I/F112を介して有線又は無線で外部接続された装置から送信されてくるものでもよい。なお、閲覧は、操作パネル102の表示部104に必要な情報等を表示させて行う。印刷は、画像形成部107、記録紙搬送部113等を用いて行う。ステップS200で処理フローが開始されると、ステップS201に進む。
ステップS201では、ユーザ認証処理のためにユーザからのユーザ認証情報の入力を、例えば、操作部103から受け付ける。入力されるユーザ認証情報は、ユーザ名とパスワードの組や、ユーザの生体情報を元にした認証データ、認証用のデバイスから取得されるデータであってもよい。ユーザの顔情報を取得して、顔認証を行う場合には、認証のために取得した顔情報を下記の顔認識及び顔識別(S207)で使用してもよい。
次に、ステップS202では、ステップS201で受け付けたユーザ認証情報を基に、ユーザ認証を行う。具体的には、ネットワーク140に接続された認証サーバ141に、通信I/F112を介してユーザ認証情報を送信し、認証サーバ141にユーザ認証を依頼する。複合機100がユーザ認証を行う機能部を備えていれば、外部の認証サーバ141でユーザ認証を行う代わりに、複合機100においてユーザ認証を行ってもよい。
次に、ステップS203では、ステップS202でユーザ認証を実行した認証サーバ141との通信によってユーザ認証の成否を調べる。ユーザ認証に失敗したことが判明すると(S203でNO)、ステップS201に戻って再度ユーザ認証情報の入力を行う。ユーザ認証に成功したことが判明すると(S203でYES)、セキュリティ監視機能を起動し(S204)、ステップS205に進む。ここで、ユーザ認証は、ステップS201で取得したユーザ認証情報を基に、ユーザの利用資格を確認する処理であり、ユーザ認証に成功とは、ユーザの利用資格が確認できることであり、ユーザ認証に失敗とは、ユーザの利用資格が確認できないことである。セキュリティ監視機能は、セキュリティ保護機能を発動させる状況にあるか否かを監視する機能である。
ステップS204でのセキュリティ監視機能の起動を契機に、ユーザ認証に成功したユーザの顔情報を、撮像手段であるカメラ105によって取得し、記録する(S205)。ステップS205の顔情報の取得及び記録は、セキュリティ監視機能の起動後直ちに行ってもよいし、一定の時間経過後に行うようにしてもよい。後者の場合は、例えば、顔情報を取得する旨のメッセージを表示部104に表示するか、又は、或いはそれに加えて、音声合成技術を用いて合成した音声によって上記メッセージをユーザに伝えて注意を喚起し、その後でカメラ105を作動して顔情報を取得する。メッセージは、例えば、「カメラで顔を撮影します」などとしてもよい。このようにすることで、顔情報の取得に失敗する可能性を下げることができる。取得した顔情報は記憶部111などに格納しておく。
ステップS205では、取得した顔情報が適切な情報であるか否かを判定してもよい(図示せず)。適切な顔情報でない場合には再度、ユーザの顔情報の取得を試みる。適切な顔情報の場合には、次のステップS206に進む。再試行しても適切な顔情報を取得できない回数が所定回数に達したら、図示していないが、ステップS201に戻るようにしてもよい。
また、ステップS205では、セキュリティ監視機能の起動を契機にカメラ105によりユーザの顔情報を取得したが、その代わりに、ユーザが予め顔情報を登録しておき、ユーザ認証によって特定されるユーザIDに基づいて、予め登録しておいた顔情報を取得するようにしてもよい。この場合には、登録していない不特定多数のユーザに対しては適用できないこと、登録時とは髪型が変わっていたり、メガネの有無などの違いにより、ユーザの顔検知ができない場合があること、ユーザ情報の定期的な更新が必要になること等の制約があり、これらが許容できる用途に限定するのが好ましい。
ステップS206では、認証状態が解除されているか否かを判定する。認証状態とは、ステップS200で開始した、事前にユーザ認証を要する作業を、ユーザが複合機100を操作して実行できるような状態をいう。ユーザ認証が成功することにより(S203でYES)、認証解除状態から認証状態になる。認証解除状態は、認証状態が解除された状態であって、ユーザ認証を要する作業を行うことができない状態である。認証状態にあるとき、認証状態を解除する操作である認証解除操作が実行されると、認証解除状態に移行する。認証解除操作は、ステップS202でのユーザ認証に成功したユーザの認証状態を解除する操作であり、例えば、ステップS200で開始した、事前にユーザ認証を要する作業の終了や中止を、ユーザによる操作部103の操作によって制御部101に知らせる操作などである。認証解除操作が実行されると、直ちに、表示部104に表示されている内容からセキュリティ保護対象の情報を非表示とすることが望ましい。ユーザによる操作入力がなくても、ステップS200で開始した、事前にユーザ認証を要する作業の終了や中止を、制御部101が検知したならば、認証解除状態に移行するようにしてもよい。また、ユーザ入力の無い状態が所定時間以上継続すると、認証状態が解除されたと判断してもよい。ステップS206において認証状態が解除されていれば(YES)、セキュリティ監視機能を停止し(S210)、本処理フローを終了する(S211)。
ステップS206で認証状態が解除されていなければ(S206でNO)、ステップS205で取得したユーザの顔情報に基づいて、顔検知部114が、顔認識及び顔識別の処理を行う(S207)。ステップS207の顔認識及び顔識別の処理では、まず顔認識の処理を行い、次いで、その顔認識の結果を用いて顔識別の処理を行う。なお、「顔認識」とは、画像の中から人の顔の部分を検出することを意味し、「顔識別」とは、顔認識で検出した人の顔の部分について、ユーザの顔か否かを識別することを意味する。
顔認識は、例えば、以下の様な手順で行う。
(1)事前に、標準顔情報を集めて、標準顔の画像Aを作成しておく。ここで、標準顔情報とは、いわゆる平均顔の情報のことである。
(2)次に、カメラ105で撮影した画像Bを取得する。このとき、カメラ105は、複合機100を操作しているユーザが存在しているとすると、そのユーザの顔が撮影画像中に映るように、位置及び方向が設定されている。
(3)次に、取得した画像Bに対し、標準顔画像Aを端から順にずらしながら標準顔画像Aと比較(探索)していき、標準顔画像Aと一定以上の類似性がある領域が存在すれば、その領域を人の顔として認識する。必要に応じて、標準顔画像Aを拡大縮小、回転、変形などさせながら探索することで、検出率を向上させる。画像B中に存在する人の顔を探索できたならば、当該人の顔が存在している領域での画像から、その人の顔画像Cを取得する。この顔画像Cは、人の顔の画像ではあるが、ステップS205で取得したユーザの顔であるか否かは確認されていない画像であり、以下では「未確認顔画像」と称する。
次に、顔認識で取得した未確認顔画像Cを用いて、顔識別を以下の様な手順で行う。
(4)まず、ステップS205で取得しておいた、ユーザが映っている画像を用いて、上記の顔認識の手法によって画像中の顔領域を検出する。この顔領域の画像をユーザ顔画像Dとして取得する。
(5)未確認顔画像Cとユーザ顔画像Dの両方で、目、眉、鼻、口、輪郭等のパーツを検出する。これらのパーツは、本質的には顔認識と同じ手法による探索で検出できる。
(6)未確認顔画像Cとユーザ顔画像Dについて、それぞれのパーツごとに類似性を比較する。また、個々のパーツの位置関係の類似性を比較する。例えば、左右の目の距離、両目と口との三角形の形状などを両者で比較する。
(7)上記(6)の各類似性を基に、全体として類似性を求め、全体としての類似性が所定値以上である場合、未確認顔画像Cに示される人の顔画像がユーザ顔画像Dに示されるユーザの顔画像と同一であると判断する。
このような顔認識及び顔識別処理により、カメラ105で撮影した画像中に人の顔が映っているか否か、人の顔が映っている場合には、映っている人毎にユーザと同一人物であるか否か、についての情報が少なくとも取得できる。
上記した顔認識の方法と顔識別の方法は、あくまで簡略化した一例であり、細部の最適化等を含めると多種多様な方法が提案、実用化されており、本発明の実施形態において任意の方法を適用できる。
なお、「顔検知」というときは、顔認識処理により、カメラ105で撮った画像の中から人の顔の領域である未確認顔画像を認識、取得し、この未確認顔画像とステップS205で取得したユーザ顔画像とを用いて顔識別処理を行って未確認顔画像に示される人の顔がユーザの顔であるか否かを確認する一連の処理を意味する。
次に、ステップS208において、ステップS207で実行した顔認識及び顔識別処理でユーザの顔検知に成功したか否かを判断する。成功したと判断される場合は(S208でYES)、ステップS206に戻る。顔認識及び顔識別処理でユーザの顔検知に失敗したと判断される場合は(S208でNO)、次のステップS209に進む。このようにして、認証状態の解除が確認されるか、又は、顔認識及び顔識別処理でユーザの検知に失敗したことが確認されるまで、継続して顔認識及び顔識別処理が実行される。
ステップS208において、ステップS207で実行した顔認識及び顔識別処理でユーザの顔検知に失敗したと判断される条件としては、図12で示される使用状況の図において、ステップS202でユーザ認証されたユーザ(A)151が検知範囲150の外に出た場合や、一定時間ユーザ(A)151の顔を検知できなかった場合等の条件が考えられる。また、検知範囲150の内にユーザ(A)151以外の人の顔情報を検知した場合にも失敗と判断してもよい。
ステップS209では、ユーザに警告を発する。警告を発する代わりに、又はそれに加えて、認証解除を行ってもよい。このステップS209は、セキュリティ保護部115がセキュリティ保護機能を発動するステップである。警告を発する場合、制御部101が警告部106に警告音若しくは警告光、又はそれら両方を発するよう指示する。警告音は、音声合成技術により合成した音声や、警告ブザーにより発せられるブザー音などでもよい。例えば、音声合成技術により、「セキュリティ保護に注意して下さい」などのメッセージを合成音声でユーザに伝えるようにしてもよい。警告光は、例えば、複合機100の上部又は側部の視認しやすい場所に設置したLEDを点灯又は点滅させることにより、発せられる光であってもよい。このようにすることで、ユーザが複合機100から離れてしまったとしても、警告音等が届く範囲内に存在していれば、注意を喚起して呼び戻すことができる。また、表示部104に警告を表示するようにしてもよい。例えば、「他の人の覗き込みに注意して下さい」などのメッセージを表示部104に表示するようにしてもよい。
ステップS209において警告等のセキュリティ保護機能を発動する場合には、セキュリティ保護機能を発動させた原因に応じて、警告の仕方を変えるようにする。セキュリティ保護機能を発動させる原因としては、例えば、図12において複合機100を操作しているユーザ(A)151が所定の検出範囲150内で検知できないとき、ユーザ(A)151以外の人が検知範囲150内で検知されたときなどがある。ユーザを検知範囲内で検知できないことを原因とする場合には、例えば、「セキュリティ機能が作動中です。機器から離れないで下さい。」などのメッセージを合成音声でユーザに伝える。また、ユーザ以外の人を検知範囲内で検知したことを原因とする場合には、例えば、「セキュリティ機能が作動中です。他の人の覗き込みに注意してください。」などのメッセージを合成音声でユーザに伝えるか、又は、或いはそれに加えて、表示部104にも同様のメッセージを表示する。このように、セキュリティ保護機能を発動させた原因ごとに、警告の仕方を変えることで、より適切な対応をユーザに取らせることが可能になる。
ステップS209における認証解除は、制御部101によって認証状態を強制的に解除するものである。認証状態が解除されると、再度のユーザ認証を行わない限り、事前にユーザ認証を要する作業は実行できない。認証解除の代わりに、事前にユーザ認証を要する作業を強制的に終了させてもよい。
ステップS209で警告や認証解除などのセキュリティ保護機能が発動されると、セキュリティ監視機能を停止し(S210)、本処理フローを終了する(S211)。
次に、セキュリティ保護機能の発動条件について図5〜図8を基に説明する。セキュリティ保護機能の発動条件が満たされれば、ステップS209でセキュリティ保護機能が発動する。図4において、破線で囲ったSP部がセキュリティ保護機能の発動の仕方を示した部分である。
(セキュリティ保護機能の発動条件1)
図5は、図4のSP部での処理の詳細を示すフローチャートである。
セキュリティ監視起動の起動(S204)を契機にユーザの顔情報を取得して記録すると(ステップS205)、SP部が開始される(S220)。SP部が開始されると、まず、認証状態が解除されているか否かを調べる(S221)。認証状態が解除されていれば(S221でYES)、SP部での処理を終了する(S226)。認証状態が解除されていなければ(S221でNO)、ステップS222に進む。
ステップS222では、複合機100を操作するユーザの顔が映る所定の検知範囲を撮像できるように位置及び方向が設定されたカメラ105により、検知範囲を撮像して画像を取得する。検知範囲については後で説明する。
次に、ステップS205で取得しておいたユーザの顔情報を基に、ステップS222で取得した画像に対して顔認識及び顔識別の処理を行う(S223)。顔認識及び顔識別処理の具体的方法は上記で説明した通りである。まず、顔認識処理を行う。顔認識処理では、予め作成しておいた標準顔画像に基づいて、ステップS222で取得した画像中に人の顔を探索する。画像中に人の顔が存在していれば、その顔が存在している領域の画像情報から未確認顔画像を取得する。次に、顔識別処理を行う。顔識別処理では、ステップS205で取得しておいたユーザの顔情報に基づいたユーザ顔画像と顔認識処理で取得した未確認顔画像とに基づいて、ステップS222で取得した画像中に検出された人の顔が、当該ユーザの顔と同一か否かを、顔の類似性等を考慮して判断する。このようにして、ステップS223の顔認識及び顔識別処理により、ステップS222で取得した画像中にユーザの顔が存在するか否かの情報が得られる。
次に、ステップS224において、ステップS223の顔認識及び顔識別処理で得られた情報を基に、ステップS222で得られた画像中に、ステップS205で顔情報を取得したユーザを検知できたか否かを判定する。当該ユーザを検知できた場合(S224でYES)には、ステップS221に戻る。当該ユーザを検知できなかった場合(S224でNO)には、ステップS225に進む。このようにして、認証状態の解除が確認されるか、又は、顔認識及び顔識別処理でユーザを検知できないことが確認されるまで、S221からS224までのステップを繰り返す。
ステップS224で当該ユーザを検知できなかった場合には、警告、認証解除などのセキュリティ保護機能を発動し(S225)、SP部の処理を終了する(S226)。
(セキュリティ保護機能の発動条件2)
図6は、図5に示す処理フローの代替案である。
セキュリティ監視起動の起動(S204)を契機にユーザの顔情報を取得して記録すると(ステップS205)、SP部が開始される(S230)。SP部が開始されると、まず、認証状態が解除されているか否かを調べる(S231)。認証状態が解除されていれば(S231でYES)、SP部での処理を終了する(S237)。認証状態が解除されていなければ(S231でNO)、ステップS232に進む。
ステップS232では、複合機100を操作するユーザの顔が映る所定の検知範囲を撮像できるように位置及び方向が設定されたカメラ105により、検知範囲を撮像して画像を取得する。
次に、ステップS205で取得しておいたユーザの顔情報を基に、ステップS232で取得した画像に対して顔認識及び顔識別の処理を行う(S233)。顔認識及び顔識別処理の具体的方法は上記で説明した通りである。まず、顔認識処理を行う。顔認識処理では、予め作成しておいた標準顔画像に基づいて、ステップS232で取得した画像中に人の顔を探索する。画像中に人の顔が存在していれば、その顔が存在している領域の画像情報から未確認顔画像を取得する。次に、顔識別処理を行う。顔識別処理では、ステップS205で取得しておいたユーザの顔情報と顔認識処理で取得した未確認顔画像に基づいて、ステップS232で取得した画像中に検出された人の顔が、当該ユーザの顔と同一か否かを、顔の類似性等を考慮して判断する。このようにして、ステップS233の顔認識及び顔識別処理により、ステップS232で取得した画像中にユーザとは別の人の顔が存在するか否かの情報、及びその画像中にユーザの顔が存在するか否かの情報が得られる。
次に、ステップS234において、ステップS233の顔認識及び顔識別処理で得られた情報を基に、ステップS232で得られた画像中に、ステップS205で顔情報を取得したユーザ以外の人を検知できたか否かを判定する。当該ユーザ以外の人を検知できた場合(S234でYES)には、ステップS236に進む。当該ユーザ以外の人を検知できなかった場合(S234でNO)には、ステップS235に進む。
ステップS235では、ステップS233の顔認識及び顔識別処理で得られた情報を基に、ステップS232で得られた画像中に、ステップS205で顔情報を取得したユーザを検知できたか否かを判定する。当該ユーザを検知できた場合(S235でYES)には、ステップS231に戻る。当該ユーザを検知できなかった場合(S235でNO)には、ステップS236に進む。このようにして、認証状態の解除が確認されるか、又は、顔認識及び顔識別処理でユーザ以外の人を検知したことが確認されるか、又は、顔認識及び顔識別処理でユーザを検知できないことが確認されるまで、S231からS235までのステップを繰り返す。
ステップS236では、警告、認証解除などのセキュリティ保護機能を発動し、SP部の処理を終了する(S237)。
(セキュリティ保護機能の発動条件3)
図7は、図5に示す処理フローの別の代替案である。
セキュリティ監視起動の起動(S204)を契機にユーザの顔情報を取得して記録すると(ステップS205)、SP部が開始される(S240)。SP部が開始されると、まず、カウント値Nを初期値の0にする(S241)。
次に、認証状態が解除されているか否かを調べる(S242)。認証状態が解除されていれば(S242でYES)、SP部での処理を終了する(S250)。認証状態が解除されていなければ(S242でNO)、ステップS243に進む。
ステップS243では、複合機100を操作するユーザの顔が映る所定の検知範囲を撮像できるように位置及び方向が設定されたカメラ105により、検知範囲を撮像して画像を取得する。
次に、ステップS205で取得しておいたユーザの顔情報を基に、ステップS243で取得した画像に対して顔認識及び顔識別の処理を行う(S244)。顔認識及び顔識別処理の具体的方法は上記で説明した通りである。まず、顔認識処理を行う。顔認識処理では、予め作成しておいた標準顔画像に基づいて、ステップS243で取得した画像中に人の顔を探索する。画像中に人の顔が存在していれば、その顔が存在している領域の画像情報から未確認顔画像を取得する。次に、顔識別処理を行う。顔識別処理では、ステップS205で取得しておいたユーザの顔情報と顔認識処理で取得した未確認顔画像に基づいて、ステップS243で取得した画像中に検出された人の顔が、当該ユーザの顔と同一か否かを、顔の類似性等を考慮して判断する。このようにして、ステップS244の顔認識及び顔識別処理により、ステップS243で取得した画像中にユーザとは別の人の顔が存在するか否かの情報、及びその画像中にユーザの顔が存在するか否かの情報が得られる。
次に、ステップS245において、ステップS244の顔認識及び顔識別処理で得られた情報を基に、ステップS243で得られた画像中に、ステップS205で顔情報を取得したユーザを検知できたか否かを判定する。当該ユーザを検知できた場合(S245でYES)には、カウント値Nを初期値0に戻して(S246)、ステップS242に戻る。当該ユーザを検知できなかった場合(S224でNO)には、カウント値Nの値を1だけ増し(S247)、カウント値Nが閾値TH1より大きいか否かを判定する(S248)。カウント値Nが閾値TH1より大きい場合(S248でYES)には、ステップS249に進む。カウント値Nが閾値TH1より大きくない場合(S248でNO)には、ステップS242に戻る。
このようにすることで、閾値TH1を越えない最大の整数をKとすると、当該ユーザを連続してK回検知しなかった場合に、ステップS249に進む。ステップS242からステップS248を経てステップS242に戻る1回のループに要する時間をT秒とすると、T×K秒の間、当該ユーザを検知できない状態が続いたときに、セキュリティ保護機能を発動させることができることになる。T×K秒の大きさは、閾値TH1を変えることにより、調整できる。このような処理フローにすることで、ユーザが一時的に横を向いたとき、ユーザが一時的に屈んだとき、ユーザが一時的に横に移動したときなどにセキュリティ保護機能が発動してしまうのを防止できる。
ステップS248でYESのとき、すなわち、連続してK回ユーザを検知できなかったとき、警告、認証解除などのセキュリティ保護機能を発動し(S249)、SP部の処理を終了する(S250)。
(セキュリティ保護機能の発動条件4)
図8は、図5に示す処理フローの更に別の代替案である。
セキュリティ監視起動の起動(S204)を契機にユーザの顔情報を取得して記録すると(ステップS205)、SP部が開始される(S260)。SP部が開始されると、まず、カウント値Nとカウント値Mを初期値の0にする(S261)。
次に、認証状態が解除されているか否かを調べる(S262)。認証状態が解除されていれば(S262でYES)、SP部での処理を終了する(S274)。認証状態が解除されていなければ(S262でNO)、ステップS263に進む。
ステップS263では、複合機100を操作するユーザの顔が映る所定の検知範囲を撮像できるように位置及び方向が設定されたカメラ105により、検知範囲を撮像して画像を取得する。
次に、ステップS205で取得しておいたユーザの顔情報を基に、ステップS263で取得した画像に対して顔認識及び顔識別の処理を行う(S264)。顔認識及び顔識別処理の具体的方法は上記で説明した通りである。まず、顔認識処理を行う。顔認識処理では、予め作成しておいた標準顔画像に基づいて、ステップS263で取得した画像中に人の顔を探索する。画像中に人の顔が存在していれば、その顔が存在している領域の画像情報から未確認顔画像を取得する。次に、顔識別処理を行う。顔識別処理では、ステップS205で取得しておいたユーザの顔情報と顔認識処理で取得した未確認顔画像に基づいて、ステップS263で取得した画像中に検出された人の顔が、当該ユーザの顔と同一か否かを、顔の類似性等を考慮して判断する。このようにして、ステップS264の顔認識及び顔識別処理により、ステップS263で取得した画像中にユーザとは別の人の顔が存在するか否かの情報、及びその画像中にユーザの顔が存在するか否かの情報が得られる。
次に、ステップS265において、ステップS264の顔認識及び顔識別処理で得られた情報を基に、ステップS263で得られた画像中に、ステップS205で顔情報を取得したユーザ以外の人を検知できたか否かを判定する。ステップS265で当該ユーザ以外の人(以下、単に別人ともいう)を検知できなかった場合(S265でNO)には、カウント値Mを初期値0に戻し(S266)、ステップS267に進む。ステップS265で別人を検知できた場合(S265でYES)には、カウント値Mの値を1だけ増し(S271)、カウント値Mが閾値TH2より大きいか否かを判定する(S272)。カウント値Mが閾値TH2より大きい場合(S272でYES)には、ステップS273に進む。カウント値Mが閾値TH2より大きくない場合(S272でNO)には、ステップS262に戻る。
このようにすることで、閾値TH2を越えない最大の整数をLとすると、別人を連続してL回検知した場合に、ステップS273に進む。ステップS262からステップS272を経てステップS262に戻る1回のループに要する時間をT秒とすると、T×L秒の間、別人を検知している状態が続いたときに、セキュリティ保護機能を発動させることができることになる。T×L秒の大きさは、閾値TH2を変えることにより、調整できる。このような処理フローにすることで、情報を覗き見ることができないくらい短期間だけ、別人が一時的に検出されただけで、セキュリティ保護機能が発動してしまうことを防止できる。
ステップS272でYESのとき、すなわち、連続してL回別人を検知したとき、警告、認証解除などのセキュリティ保護機能を発動し(S273)、SP部の処理を終了する(S274)。
次に、ステップS267では、ステップS264の顔認識及び顔識別処理で得られた情報を基に、ステップS263で得られた画像中に、ステップS205で顔情報を取得したユーザを検知できたか否かを判定する。ステップS267で当該ユーザを検知できた場合(S267でYES)には、カウント値Nを初期値0に戻し(S268)、ステップS262に戻る。ステップS267で当該ユーザを検知できなかった場合(S267でNO)には、カウント値Nの値を1だけ増し(S269)、カウント値Nが閾値TH1より大きいか否かを判定する(S270)。カウント値Nが閾値TH1より大きい場合(S270でYES)には、ステップS273に進む。カウント値Nが閾値TH1より大きくない場合(S270でNO)には、ステップS262に戻る。
このようにすることで、閾値TH1を越えない最大の整数をKとすると、当該ユーザを連続してK回検知できなかった場合に、ステップS273に進む。ステップS262からステップS270を経てステップS262に戻る1回のループに要する時間をT秒とすると、T×K秒の間、当該ユーザを検知できていない状態が続いたときに、セキュリティ保護機能を発動させることができることになる。T×K秒の大きさは、閾値TH1を変えることにより、調整できる。このような処理フローにすることで、ユーザが一時的に横を向いただけのとき、ユーザが一時的に屈んだとき、ユーザが一時的に横に移動したときなどに、セキュリティ保護機能が発動してしまうことを防止できる。
ステップS270でYESのとき、すなわち、連続してK回ユーザを検知できなかったとき、警告、認証解除などのセキュリティ保護機能を発動し(S273)、SP部の処理を終了する(S274)。
(検知範囲)
ここで、図12を参照して検知範囲150について説明する。図12(a)は、複合機100をユーザ(A)151が使用している状況を示す平面図であり、図12(b)は側面図である。検知範囲150は、ユーザ(A)151が複合機100を操作しているとすると、当該ユーザ(A)151の顔が存在しているはずの空間範囲である。検知範囲150にユーザ(A)151の顔が存在していなければ、複合機100を操作可能な位置からユーザ(A)151が離れたと見なすことができる。そのような検知範囲150内にユーザ(B)152が入ってきたならば、ユーザ(B)152は、操作パネル102に示されている情報を覗き見ることができると見なす。
図12(a)の平面図に示されるように、上方から見た検知範囲150は、カメラ105のある位置を頂点の1つとする、破線で示された三角形の内側の範囲である。また、図12(b)の側面図に示されるように、側方から見た検知範囲150は、カメラ105のある位置を頂点の1つとする、破線で示された三角形の内側の範囲である。3次元で考えると、検知範囲150は、カメラ105のある位置を頂点とする四角錐(図示せず)の内側の範囲である。
カメラ105によって、少なくとも検知範囲150を含むような空間範囲を撮像する。この場合、カメラ105による撮像範囲全体を検知範囲150としてもよいし、その一部を検知範囲150としてもよい。このようにすれば、検知範囲150内にユーザ(A)151の顔が入っていれば、カメラ105で撮った撮像画像中にユーザ(A)151の顔を検出できる。
図12(a)では、複合機100を操作しているユーザ(A)151の斜め後方にユーザ(B)152を存在しているが、ユーザ(B)152は検知範囲150には入っていない。この場合、操作パネル102からユーザ(B)152までの距離が十分あり、ユーザ(B)152は操作パネル102を覗き込めないので、セキュリティ保護機能を発動する必要はない。しかし、カメラの撮像範囲が広い場合、撮像画像中にユーザ(B)152の顔が映り込み、ユーザ(B)152が検知範囲150内に存在していると判断される可能性がある。これを避けるため、カメラ105からユーザ(B)152までの距離を求めて、ユーザ(B)152が検知範囲150内に存在するか否かについて判定してもよい。カメラ105からユーザ(B)152までの距離は、画像内の顔画像の大きさ等で簡易的に判別できる。より詳細に距離を測定するために、測距用の専用センサを搭載してもよいし、カメラ105をステレオカメラにすることで距離を測位してもよい。また、カメラ105の被写界深度を調整することにより、検知範囲150の外にいるユーザ(B)152の顔が鮮明に取得できないようにしてもよい。
カメラ105は、例えば、図12(a)に示されるように、操作パネル102の上端などに近接させて設置する。ただし、カメラ105の設置位置は、ユーザ(A)151の顔画像を取得できる位置であれば特に限定されるものではない。
(セキュリティレベルに基づいたセキュリティ保護機能)
セキュリティ保護部115は、セキュリティレベルに応じて複合機100に対する各操作の許可及び不許可状態をユーザごとに切り替えるようにし、併せて、セキュリティ保護機能が発動されると、セキュリティレベルを高めるようにしてもよい。例えば、ユーザx、ユーザyに対して、操作p、操作qの許可及び不許可状態を、セキュリティレベルNormal、Alarmごとに次の表1に示すように設定してもよい。
表1に示す例では、セキュリティレベルがNormalのとき、ユーザxは操作pを使用できるが、操作qを使用できず、ユーザyは、操作pと操作qの両方を使用できる。このとき、セキュリティ保護機能が発動されると、セキュリティレベルをAlarmに高める。セキュリティレベルがAlarmでは、ユーザxは操作pと操作qの両方が使用できず、ユーザyは操作pを使用できるが、操作qを使用できない。このような構成により、ユーザ毎、操作毎、セキュリティレベル毎に、操作の許可及び不許可状態を設定できるので、一律に全ユーザに対し全操作を使用不可にするような措置に比べて柔軟な対応が可能になる。
また、セキュリティ保護機能が発動されてセキュリティレベルを高める際に、セキュリティ保護機能を発動させた原因を考慮して、原因別にセキュリティレベルの高め方を変えてもよい。セキュリティ保護機能を発動さる原因としては、例えば、図12において複合機100を操作しているユーザ(A)151が所定の検出範囲150内で検知できないとき、ユーザ(A)151以外の人が検知範囲150内で検知されたときなどがある。下の表2に、原因i、原因jごとに、セキュリティレベルの上げ方を変える例を示す。この例では、3段階のセキュリティレベルNormal、Alarm、Emergencyがあり、セキュリティレベルはこの順で高くなっているとする。
表2に示す例では、原因iによりセキュリティ保護機能が発動した場合には、セキュリティレベルをNormalからAlarmに上げる。原因jによりセキュリティ保護機能が発動した場合には、緊急性がより高いと判断してセキュリティレベルをNormalからEmergencyに上げる。このようにして、原因ごとに新たに設定されたセキュリティレベルに応じて複合機100に対する各操作の許可及び不許可状態をユーザごとに切り替える。このような構成により、ユーザ毎、操作毎、セキュリティレベル毎、更には、原因毎に操作の許可及び不許可状態を設定でき、原因に応じて柔軟な対応が可能になる。
〔第2の実施形態〕
次に、本発明の第2の実施形態を説明する。
本発明の第2の実施形態のセキュリティ機能付き装置は、図1〜図3に示す第1の実施形態の複合機100と同じ装置構成を有する。第1の実施形態との違いは、処理フローにおいて、セキュリティ保護機能を発動した後の対処の仕方にある。
図9は、本発明の第2の実施形態の処理手順を示すフローチャートである。ステップS200からステップS208までは、第1の実施形態と同じである。図9において、ステップ208の顔認識及び顔識別処理でユーザの顔検知に失敗すると(NO)、ステップ209にてユーザに警告を発する。警告の仕方は、第1の実施形態と同じである。例えば、ユーザが検知範囲内にいないことが検知されたならば、「セキュリティ機能が作動中です。機器から離れないで下さい。」などのメッセージを合成音声でユーザに伝える。ユーザがこのメッセージを聞いて、複合機100に戻ってきた場合には、ユーザが作業を継続して実行できるようにする。そのために、警告(S209)の後、再度、顔認識及び顔識別処理を実行する(S300)。顔認識及び顔識別処理でユーザの顔検知に成功したならば(S301でYES)、ステップ206に戻る。顔認識及び顔識別処理でユーザの顔検知に失敗したならば(S301でNO)、ユーザは戻ってこないものと判断し、認証状態を解除とセキュリティ監視機能を停止し(S210)、処理フローを終了させる(S211)。
ユーザがステップS209の警告を聞いて複合機100まで戻ってくるまでには、ある程度の時間を要する場合もあるので、図示はしていないが、ステップS300の顔認識及び顔識別処理の実行のステップ(S300)とユーザの顔検知の成否の判断のステップ(S301)を所定回数繰り返し実行するようにしてもよい。例えば、ステップ301でNOの場合が連続してK回以上続いたならば、セキュリティ監視機能を停止し(S210)、処理フローを終了させる(S211)。ステップS301においてNOの場合でも、それが連続K回未満であれば、ステップS300に戻る。このようにすることで、繰り返し回数Kを調整することにより、セキュリティ監視機能を停止(S210)するまでの時間を、ユーザが戻ってこれる程度の適切な長さに設定できる。
また、ステップS208の顔認識及び顔識別処理において、例えば、ユーザ以外の人を検知範囲内で検知した場合(S208でNO)にも、ユーザに「他の人の覗き込みに注意して下さい。」などのメッセージを合成音声で伝え、又は、或いはそれに加えて、同様の内容のメッセージを表示部104に表示する(S209)。このメッセージを受けて、ユーザが検知範囲に入っている人に対して、複合機100から適切な距離だけ離れるように注意することもできる。また、検知範囲に入っている人が、メッセージを聞いて自発的に離れることも想定される。このように、再度、検知範囲にユーザ以外の人が検知されないようになった場合にも、図9に示す処理フローでは、ステップS300及びS301を経てステップS206に戻るので、ユーザが作業を継続できる。
本発明の第2の実施形態によれば、セキュリティ保護機能を発動させた原因が、警告後に取り除かれたならば、ユーザ認証を要する作業を継続して実行できるので、ユーザ認証を再度行う必要がなくなる。
〔第3の実施形態〕
次に、本発明の第3の実施形態を説明する。
図10は、本発明の第3の実施形態による複合機100の要部構成例を示すブロック図である。セキュリティ機能付き装置である複合機100は、制御部101が判定部116を備えている点を除いて、図1に示す第1の実施形態の複合機100と構成が同じである。この判定部116は、スキャナ110を用いて画像読取を行った原稿、又は画像形成部107を用いて印刷する原稿がセキュリティ保護の対象か否かを判定する。
次に、図11の処理フローチャートに従って本発明の第3の実施形態について処理手順を説明する。
第3の実施形態では、複合機100を使用して行う作業のうち、ユーザ操作を要する作業の開始に伴って処理フローが開始される(S280)。ユーザ操作を要する作業とは、ユーザによる操作部103の操作に応じて、複合機100が持つ機能、例えば、印刷、原稿画像読取、複写、ファクシミリ送信などの何れかを複写機100が実行する、といった作業である。ユーザ操作とは、ユーザによる操作部103の操作であり、例えば、ユーザが操作部103を操作して原稿画像読取、複写、ファクシミリ送信のうち実行する機能を選択し、操作部103のスタートボタン等を押して制御部101に実行を指示するような操作のことである。ユーザ操作を要する作業には、上記で説明した事前にユーザ認証を要する作業のうち、ユーザによる操作部103の操作を必要とするような作業も含まれる。
また、外部のPC142からセキュリティ保護対象のファイルを印刷する場合で、PC142が複合機100から離れた場所に設置されている場合は、PC142からの印刷指示後すぐに印刷開始するのではなく、改めて複合機100の操作部103を用いてユーザ操作を行ってから印刷開始するようにする。このような場合の印刷作業も、ユーザ操作を要する作業に含まれ、第3の実施形態の対象である。
次に、ステップS281では、判定部116が、ユーザ操作を要する作業において当該作業の対象となるもの、例えば、原稿画像読取を行う場合の原稿、複写を行う場合の原稿、印刷する場合のファイル、ファクシミリ送信する場合の原稿又はファイルなどに対して、セキュリティ情報の識別を行う(S281)。セキュリティ情報は、セキュリティ保護の要否に関する情報である。セキュリティ情報の識別とは、原稿などの作業対象からセキュリティ情報を識別し、その作業対象がセキュリティ保護の対象であるか否かを判定することである。
セキュリティ情報は、原稿、ファイルなどの作業対象から抽出する。例えば、原稿画像読取、複写などを行う場合には、自動原稿処理装置120又は原稿載置台92にセットした原稿をスキャナ110でスキャンして原稿画像を取得し、その原稿画像内から特定のセキュリティ識別子を検出することにより、セキュリティ情報の抽出を行う。また、例えば、ファイルの印刷を行う場合には、ファイルに設定されたセキュリティ情報を取得し、セキュリティ保護の対象であるか否かを判別する。パスワード付きファイルであると判明すると、セキュリティ保護の対象であると判断する。印刷するファイルは、例えば、複合機100の記憶部111、複合機100に装着するUSBメモリなど可搬型の記録媒体などに格納されているファイルでもよいし、有線又は無線で外部接続されたPC142等から送信されてきたファイルでもよい。
原稿内のセキュリティ識別子は、例えば、特定の1次元又は2次元バーコード(QRコード(登録商標))や、「社外秘」、「極秘」等の文字情報、電子透かしにより埋め込まれた特定の情報などであってもよい。これらのセキュリティ識別子は、画像情報として原稿に含まれている。1次元又は2次元バーコード(QRコード(登録商標))については、スキャナ110により得られた原稿画像からバーコード画像を検出し、一般的なバーコード読取手段を用いてバーコードに含まれている情報を読み取る。「社外秘」、「極秘」等の文字情報については、OCR(optical character recognition)等により原稿画像をテキスト化し、「社外秘」、「極秘」等の特定の文字、文字列、記号などを検索する方法が使用できる。また、「社外秘」、「極秘」等の特定の文字、文字列、記号などを図形として扱い、パターンマッチングを利用して、これら特定の文字、文字列、記号などを原稿画像から検出する方法を使用してもよい。電子透かしは、原稿内において、一般的に人間の目では判別の難しい箇所に情報を記録しておくものである。埋め込み方法としては、写真などの部分に特定のパターンを合成する方法や、テキスト部分に対して文字間隔やフォントの輪郭部分を変化させるなどの方法がある。検出時はこれらの情報を原稿画像から抽出する。
次のステップS282では、判定部116が、ステップS281のセキュリティ情報の識別の結果に基づき、原稿などの作業対象がセキュリティ保護の対象であるか否かを判定する。セキュリティ保護の対象でない場合(S282でNO)には、処理フローを終了する(S290)。セキュリティ保護の対象であると判定された場合(S282でYES)は、セキュリティ監視機能を起動する(S283)。
ステップS283でのセキュリティ監視機能の起動を契機に、操作中のユーザの顔情報を、撮像手段であるカメラ105によって取得し、記録する(S284)。ステップS284の顔情報の取得及び記録は、セキュリティ監視機能の起動後直ちに行ってもよいし、一定の時間経過後に行うようにしてもよい。後者の場合は、例えば、顔情報を取得する旨のメッセージを表示部104に表示するか、又は、或いはそれに加えて、音声合成技術を用いて合成した音声によってメッセージをユーザに伝えて注意を喚起し、その後でカメラ105を作動して顔情報を取得する。メッセージは、例えば、「カメラで顔を撮影します」などとしてもよい。このようにすることで、顔情報の取得に失敗する可能性を下げることができる。取得した顔情報は記憶部111などに格納しておく。
ステップS284では、取得した顔情報が適切な情報であるか否かを判定してもよい(図示せず)。適切な顔情報でない場合には再度、ユーザの顔情報の取得を試みる。適切な顔情報の場合には、次のステップS285に進む。
ステップS285では、作業が終了しているか否かを判定する。作業が終了していると判定されるための条件(以下、終了条件という)は、対象となる作業ごとに決められる。例えば、スキャナ110を用いた原稿画像読取の作業では、スキャナ110による原稿画像読取後に、原稿が原稿載置台92又は自動原稿処理装置120から取り除かれることを終了条件とする。また、例えば、セキュリティ保護対象のファイルを印刷する作業では、画像形成部107による印刷後に、排紙トレイ91から印刷物が取り除かれることを終了条件とする。また、例えば、複写の作業では、スキャナ110による原稿画像読取後に、原稿が原稿載置台92又は自動原稿処理装置120から取り除かれ、かつ、画像形成部107による印刷後に、排紙トレイ91から印刷物が取り除かれることを終了条件とする。また、USBメモリなどの可搬型の記録媒体に格納されているパスワード保護されたデータについて閲覧、アクセス等を行う作業では、その可搬型の記録媒体を複合機100から取り外したことを終了条件とする。また、作業の途中でユーザが操作部103を操作して作業の終了を制御部101に指示した場合にも、終了条件が満たされたと判断する。
ステップS285において作業が終了していると判定された場合(S285でYES)は、セキュリティ監視機能を停止し(S289)、本処理フローを終了する(S290)。ステップS285において作業が終了していないと判定された場合(S285でNO)は、ステップS284で取得したユーザの顔情報に基づいて、顔検知部114が顔認識及び顔識別の処理を行う(S286)。顔認識及び顔識別の処理は、第1の実施形態のステップS207の顔認識及び顔識別処理と同様の方法で行う。
次に、ステップS287において、ステップS286で実行した顔認識及び顔識別処理でユーザの顔検知に成功したか否かを判断する。成功したと判断される場合は(S287でYES)、ステップS285に戻る。顔認識及び顔識別処理でユーザの顔検知に失敗したと判断される場合は(S287でNO)、次のステップS288に進む。このようにして、作業の終了が確認されるか、又は、顔認識及び顔識別処理でユーザの顔検知に失敗したことが確認されるまで、継続して顔認識及び顔識別処理が実行される。
なお、顔認識及び顔識別処理で成功と判断された場合であっても、パスワード付きファイルの印刷中やセキュリティ関連情報へのアクセス中には、表示部104に「セキュリティ保護に注意」などのメッセージを表示したり、そのようなメッセージを合成音声で伝えるなどの警告を行ってもよい。
ステップS287において、ステップS286で実行した顔認識及び顔識別処理でユーザの顔検知に失敗したと判断される条件としては、図12で示される使用状況の図において、作業を開始したユーザ(A)151が検知範囲150の外に出た場合や、一定時間ユーザ(A)151の顔を検知できなかった場合等の条件が考えられる。また、検知範囲150の内にユーザ(A)151以外の人の顔情報を検知した場合にも失敗と判断してもよい。
ステップS288では、ユーザに警告を発する。警告を発する代わりに、又はそれに加えて、作業の停止を実施してもよい。作業の停止は、複合機100で実行されている作業を停止することである。このステップS288は、セキュリティ保護部115がセキュリティ保護機能を発動するステップである。警告は、第1の実施形態のステップS209での警告と同様の方法で行う。
ステップS288において警告や認証解除などのセキュリティ保護機能が発動されると、セキュリティ監視機能を停止し(S289)、本処理フローを終了する(S290)。
なお、本発明のセキュリティ機能付き装置について、第1の実施形態及び第3の実施形態では複合機100であるとして説明してきたが、その他にも、例えば、スキャナのみを備えた画像読取装置、印刷機のみを備えた画像形成装置、画像読取装置と画像形成装置を備えた複写装置などであってもよい。
[効果の説明]
本発明の第1の実施形態、第2の実施形態、及び第3の実施形態では、複合機に対して操作を行うユーザを、顔情報に基づいて、認識及び識別(すなわち検知)する。これにより、セキュリティ保護の対象となる操作を行っている場合に、複合機からユーザが離れたことを検知し、ユーザに対する警告や自動での認証解除などを行う。これにより、ユーザに対してセキュリティリスクを通知することができ、情報漏洩の回避やプライバシーの保護が実現できる。また、顔情報に基づいてユーザ検知を行うことで、対象ユーザ以外の人を検知でき、この場合にも警告を発することが出来るため、操作画面の覗き込みなどによるセキュリティリスクも回避できる。
〔第4の実施形態〕
図13は、本発明の第4の実施形態における使用状況を示す図であり、図13(a)が平面図、図13(b)が側面図である。第1の実施形態及び第3の実施形態では複合機にセキュリティ機能が付加されていたが、第4の実施形態では現金自動預け払い機(ATM)にセキュリティ機能が付加されている点で両者は異なる。セキュリティ機能のうち第1の実施形態及び第3の実施形態と同様な部分についての説明は省略する。図13に示されるように、現金自動預け払い機400は、制御部(図示せず)、操作部と表示部を含む操作パネル402、カメラ405、カード挿入口403、現金取出口401を備える。
セキュリティ監視機能は、例えば、ユーザ(A)407が認証カードをカード挿入口403に挿入したとき、すなわちユーザ認証の開始時に起動されるようにしてもよい。セキュリティ監視機能が起動されると、カメラ405によりユーザ(A)407の顔情報を取得する。また、セキュリティ監視機能は、ユーザ(A)407からパスワードを受け付ける状態の画面が操作パネル402に表示されたときに、起動されるようにしてもよい。更にまた、セキュリティ監視機能は、ユーザ(A)407が操作パネル402を最初に操作したときに、起動されるようにしてもよい。ただし、ユーザ(A)407が操作パネル402から暗証番号を入力する前に起動しておくのが好ましい。
セキュリティ保護機能は、例えば、セキュリティ監視機能の作動中にカメラ405により撮られた画像中にユーザ(A)407の顔を検知できなくなったときに、発動させる。カメラ405は、検知範囲406を撮像するように設定される。また、セキュリティ保護機能は、セキュリティ監視機能の作動中にカメラ405により撮られた画像中にユーザ(A)407以外の人の顔を検知したときに、発動させるようにしてもよい。図13では、ユーザ(B)408は検知範囲406に入っていないので、セキュリティ監視機能は発動させないが、検知範囲406に入ると、操作パネル402をユーザ(A)407の肩越しに覗き見ることができるので、セキュリティ監視機能を発動させる。
セキュリティ保護機能としては、例えば、現金取出口401の蓋を閉めるようにする。また、セキュリティ保護機能として、操作パネル402に表示されている機密情報を消すようにしてもよい。また、セキュリティ保護機能として、操作パネル402から入力を受け付けないようにしてもよい。また、音声合成技術を用いて「セキュリティ監視機能が作動しています」というメッセージを合成音声でユーザ(A)407に伝えるようにしてもよい。なお、上記に例示したセキュリティ保護機能は、それぞれ単独で用いてもよいし、複数を組み合わせて用いてもよい。
〔第5の実施形態〕
図14は、本発明の第5の実施形態における使用状況を示す図であり、図14(a)が平面図、図14(b)が側面図である。第1の実施形態及び第3の実施形態では複合機にセキュリティ機能が付加されていたが、第5の実施形態ではパーソナルコンピュータなどの情報処理装置500にセキュリティ機能が付加されている点で両者は異なる。セキュリティ機能のうち第1の実施形態及び第3の実施形態と同様な部分についての説明は省略する。図14に示されるように、情報処理装置500は、パソコン本体501、液晶ディスプレイなどの表示器504、キーボード502、マウス503、及びカメラ505を備える。カメラ505は、情報処理装置500を操作しているユーザ(A)507の顔が撮像画像中に入るような位置及び方向に設定される。
セキュリティ監視機能は、例えば、ユーザID、パスワードなどのユーザ認証情報をキーボード502から受け付ける状態の画面が表示器504に表示されたときに、起動されるようにしてもよい。また、セキュリティ監視機能は、パスワード付きファイルの内容が表示器504に表示されたときに、起動されるようにしてもよい。更にまた、セキュリティ監視機能は、ユーザ(A)507がキーボード502やマウス503から所定の入力操作を行うことでパソコン本体501の制御部にセキュリティ監視機能の起動を指示したときに、起動されるようにしてもよい。
セキュリティ保護機能は、例えば、セキュリティ監視機能の作動中にカメラ505により撮られた画像中にユーザ(A)507の顔を検知できなくなったときに、発動させる。カメラ505は、検知範囲506を撮像するように設定される。また、セキュリティ保護機能は、セキュリティ監視機能の作動中にカメラ505により撮られた画像中にユーザ(A)407以外の人の顔を検知したときに、発動させるようにしてもよい。図14では、ユーザ(B)508は検知範囲506に入っていないので、セキュリティ監視機能は発動させないが、検知範囲506に入ると、キーボード操作や表示器504に表示された情報をユーザ(A)507の肩越しに覗き見ることができるので、セキュリティ監視機能を発動させる。
セキュリティ保護機能としては、例えば、表示器504が表示している画面を消したり、スクリーンセーバに切り替えるようにする。また、セキュリティ保護機能として、ログインされた状態にある情報処理装置500をログオフの状態にするようにしてもよい。また、セキュリティ保護機能として、キーボード502からのキー入力やマウス503の操作を受け付けないようにしてもよい。また、音声合成技術を用いて「セキュリティ監視機能が作動しています」というメッセージを合成音声でユーザ(A)507に伝えるようにしてもよい。なお、上記に例示したセキュリティ保護機能は、それぞれ単独で用いてもよいし、複数を組み合わせて用いてもよい。
なお、上記のセキュリティ機能付き装置は、ハードウェア、ソフトウェア又はこれらの組合せにより実現することができる。また、上記のセキュリティ保護方法も、ハードウェア、ソフトウェア又はこれらに組合せにより実現することができる。ここで、ソフトウェアによって実現されるとは、コンピュータがプログラムを読み込んで実行することにより実現されることを意味する。
プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば、光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(random access memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。