以下、図面に基づいて本発明の実施の形態を説明する。本実施形態は、端末機器に記憶された情報を、異なる規制に対応させて適切に保護できるようにした端末機器および管理サーバを提案する。すなわち、本実施形態では、情報保護(データ保護)の対象となるファイルの種類や情報保護のための対応策がそれぞれ異なる規制に対して、適切に対応することができる端末機器および管理サーバを提供する。例えば、端末機器は、規制情報と移動先の位置情報とを受け取り、それらの情報に基づいて、移動先の規制に応じた規制対象ファイルの抽出と、抽出された規制対象ファイルへのデータ保護とを行う。
これにより、本実施形態によれば、情報保護(データ保護)が必要なファイルや保護のための対応策が規制によって異なっている場合でも、端末機器の移動先に応じて端末機器内の情報を適切に保護することができる。したがって、端末機器の利便性および信頼性が向上する。
図1は、端末機器および管理サーバを含む情報保護システムの全体概要を示す説明図である。本実施例では、ユーザに所持される端末機器10は、航空機等の移動手段3を介して、出発地1から目的地2へ移動し、その後出発地1へ戻る。本実施例では、出発地1と目的地2とは、情報に対する規制が異なるものとして説明する。例えば、出発地1の存在する国家と目的地2の存在する国家とが異なる場合、どのような情報を規制対象とし、規制対象の情報をどのように取り扱うかといった規制内容が相違する場合がある。
端末機器10は、例えば、少なくとも通信機能と記憶機能と情報処理機能とを備えるコンピュータ端末である。端末機器10は、例えば、ノート型パーソナルコンピュータ、タブレット型パーソナルコンピュータ、ウェアラブル型パーソナルコンピュータ、携帯情報端末、携帯電話(いわゆるスマートフォンを含む)のように構成される。端末機器10には、例えば、文書ファイル、図形ファイル、画像ファイル、音声ファイルといった種々のファイルを格納することができる。これらファイルには、例えば、個人情報、営業機密情報、軍事情報といった規制対象となり得る情報が含まれる場合がある。以下の説明では、情報をデータと呼ぶ場合がある。
出発地1には、出発地側の管理サーバ20-1が設けられている。目的地2には、目的地側の管理サーバ20-2が設けられている。出発地1において、端末10は、通信ネットワークCN1を介して出発地側管理サーバ20-1と双方向通信可能である。同様に、目的地2において、端末機器10は、通信ネットワークCN2を介して目的地側の管理サーバ20-2と双方向通信可能である。通信ネットワークCN1,CN2を特に区別しない場合、通信ネットワークCNと呼ぶ。管理サーバ20-1,20-2を特に区別しない場合、管理サーバ20と呼ぶ。
ユーザは、出発地1から目的地2へ移動する際に、所持する端末機器10に記憶されている情報のうち、出発地1において規制対象となる所定の情報を出発地側管理サーバ20-1へ退避させる(S1)。
端末機器10から管理サーバ20へ情報を退避させるとは、端末機器10内の移動対象の情報を管理サーバ20へ転送して記憶させると共に、端末機器10内から削除することを意味する。すなわち、規制対象となる所定の情報のうちの移動対象情報は、端末機器10から管理サーバ20へ移される。
規制対象となる所定の情報の全てを管理サーバ20-1へ退避させる必要はなく、所定の情報の全部または一部を端末機器10から削除してもよい。この場合、削除された情報はどこにも存在しなくなる。
ユーザは、出発前に所定の情報についての保護処理を完了すると、移動手段3を用いて目的地2へ向けて移動する(S2)。
ユーザは、端末機器10と共に目的地2へ到着すると、端末機器10に記憶されている情報のうち目的地2において規制対象となる所定の情報を、目的地側の管理サーバ20-2へ退避させる(S3)。端末機器10に記憶されている所定の情報の全てを管理サーバ20-2へ退避させる必要はない。所定の情報のうちの全部または一部を端末機器10から削除してもよい。
ユーザは、端末機器10を用いて、例えば、文書作成、図形作成、設計、画像作成、撮影、録音録画、電子メール作成等の作業を行うことができる。そして、ユーザは、目的地2から出発地1へ戻る際に、端末機器10に記憶されている情報のうち目的地2において規制対象となる所定の情報を管理サーバ20-2へ退避させたり、あるいは消去させたりする(S4)。
ユーザは、目的地2における規制に沿って処理された端末機器10を所持して、移動手段3により出発地1へ戻る(S5)。
ユーザが出発地1に戻ると、端末機器10は管理サーバ20-1に退避させていた情報を管理サーバ20-1から取得する(S6)。管理サーバ20に退避されていた情報を端末機器10へ戻す処理を本実施例では復元処理と呼ぶ。管理サーバ20-1は、端末機器10へ情報を送信すると、その情報を管理サーバ20-1から消去する。
その後、ユーザが再び出発地1から目的地2へ移動する場合、出発地1での規制に基づく保護処理が実施される(S1)。ユーザが目的地2へ到着すると、以前に目的地側の管理サーバ20-2へ退避させていた情報が端末機器10へ復元される。
出発地側での情報保護処理(S1)を実施するタイミングと、目的地側での情報保護処理(S3,S4)を実施するタイミングとは、以下に述べるように、複数の方法で決定することができる。
第1の方法は、ユーザからの指示により情報保護処理を実施する方法である。ユーザは、出発に際して端末機器10に指示を与えることにより、出発地での規制にそって端末機器10の情報の安全を確保することができる。
第2の方法は、ユーザが予め移動スケジュールを端末機器10へ登録しておき、移動スケジュールに基づいて、端末機器10が情報保護処理を実施する方法である。移動スケジュールは、端末機器10内に保存されている必要はなく、図示せぬスケジュール管理サーバに記憶されていてもよい。端末機器10は、スケジュール管理サーバと通信することにより、移動スケジュールを知ることができる。
例えば、端末機器10は、移動スケジュールに記載された目的地2への出発時刻が到来すると、出発地1における情報保護処理(S1)を実行する。端末機器10は、移動スケジュールに記載された目的地2への到着時刻が到来すると、目的地2における情報保護処理(S3)を実行する。端末機器10は、移動スケジュールに記載された、目的地2から出発地1への帰還時刻が到来すると、目的地2から出発する際の情報保護処理(S4)を実行する。端末機器10は、移動スケジュールに記載された、出発地1への帰還時刻が到来すると、管理サーバ20-1に退避させていた情報を取得する(S6)。移動スケジュールに従って情報保護処理を実行する前に、ユーザの承諾を確認してもよい。ユーザが承諾した場合に情報保護処理を実行することにより、使い勝手が向上する。
第3の方法は、端末機器10がGPS(Global Positioning System)等の位置測定機能と地図参照機能とを利用して、端末機器10の現在位置に応じた情報保護処理を実行する方法である。端末機器10は、例えば、出発地1の座標から所定距離以上離れた場合や、出発地1の存在する国家の国境に達した場合に、出発地1における情報保護処理(S1)を自動的に実行する。端末機器10は、例えば、目的地2に到着した場合、または目的地2の存在する国家の国境に達した場合に、目的地2における情報保護処理(S3)を自動的に実行する。端末機器10は、目的地2から出発地1へ戻る場合、目的地2の座標から所定距離以上離れた場合や、目的地2の存在する国家の国境に達した場合に、目的地2から出発する際の情報保護処理(S4)を自動的に実行する。端末機器10は、出発地1の座標に到達した場合、または、出発地1の存在する国家の国境に達した場合に、管理サーバ20-1に退避させていた情報を自動的に取り戻す(S6)。
上述した3つの方法を適宜組み合わせてもよい。出発地1での情報保護処理(S1)、目的地2に到着した際の情報保護処理(S3)、目的地2から出発する際の情報保護処理(S4)を、上述の3つの方法のいずれかにしたがって実施してもよい。位置測定機能は、GPSに限らない。例えば、端末機器10にジャイロセンサ等を搭載することにより、位置を算出してもよい。端末機器10は、地図情報を予め保持してもよいし、外部の図示せぬ地図情報提供サーバにアクセスして参照してもよい。
図1では、情報保護処理として、端末機器10に記憶された所定の情報を管理サーバ20へ退避させる方法と、管理サーバ20へ退避させずに端末機器10から消去させる方法を述べたが、これらに限られない。他の処理方法を情報保護処理の一つとして採用することもできる。
図1では、出発地1から目的地2へ移動し、目的地2から出発地1へ戻る場合を説明したが、これに限らず、出発地1から一つまたは複数の中継地を経由して目的地2へ移動してもよい。この場合、中継地を目的地と見立てて、中継地での規制に応じた情報保護処理を実行すればよい。往路と復路とで、経由地が異なってもよい。
図2は、端末機器10の機能構成を示すブロック図である。図3は、管理サーバ20の機能構成を示すブロック図である。図2,図3では、複数の端末機器10-1,10-2と、一つの管理サーバ20とを示しているが、図1で述べたように、情報に対する規制の異なる地域や組織ごとに管理サーバ20を設けることもできる。
図2および図3に示す端末機器用の情報保護システムは、図2に例示するように、複数の端末機器10-1,10-2と少なくとも一つの管理サーバ20とを、通信ネットワークCNで接続することにより構成されている。
端末機器10は、例えば、複数の処理部101~113と、複数の格納部114~120とを含む。図中では、「格納部」と処理部の「部」を省略して示す。
処理部としては、パケット通信部101、パケット取得部102、予定設定部103、取扱規則リスト取得部104、規制用語リスト取得部105、対処通知部106、規制用語比較部107、ファイル取得部108、同意画面出力部109、対処実行部110、取扱規則比較部111、端末機器データ復元部112、モード管理部113がある。
格納部としては、通信パケット格納部114、予定設定リスト格納部115、取扱規則リスト格納部116、規制用語リスト格納部117、機器識別子格納部118、ファイル格納部119、要処理ファイル格納部120がある。
パケット通信部101は、通信ネットワークCNと通信する機能である。パケット取得部102は、端末機器10に入力される通信パケットを取得する機能である。予定設定部103は、端末機器10のユーザによる移動予定設定(移動スケジュール)を受け付ける機能である。取扱規則リスト取得部104は、管理サーバ20から取扱規則リストを取得する機能である。規制用語リスト取得部105は、管理サーバ20から規制用語リストを取得する機能である。
対処通知部106は、ユーザに対してデータ保護対処方法(情報保護方法)を通知する機能である。規制用語比較部107は、判定対象の用語と規制用語リストに記載された規制用語とを比較する機能である。ファイル取得部108は、端末機器10に記憶されているファイルを取得する機能である。同意画面出力部109は、ユーザからデータ保護対処方法の実行指示を受付ける機能である。対処実行部110は、データ保護対処方法を実行する機能である。取扱規則比較部111は、取扱規則を比較する機能である。
端末機器データ復元部112は、端末機器10へデータを復元させる機能である。図中では、端末機器データを「端末データ」と略記している。モード管理部113は、動作モードを管理する機能である。
通信パケット格納部114は、パケット取得部102で取得した通信パケットを格納する機能である。予定設定リスト格納部115は、予定設定部103で受け付けた予定設定を格納する機能である。取扱規則リスト格納部116は、取扱規則リスト取得部104で取得した取扱規則リストを格納する機能である。規制用語リスト格納部117は、規制用語リスト取得部105で取得した規制用語リストを格納する機能である。機器識別子格納部118は、端末機器10の識別情報(ID)を格納する機能である。ファイル格納部119は、ファイルを格納する機能である。格納されるファイルとしては、例えば、アプリケーションの実行に必要なファイル、アプリケーションによって生成されるファイル、ログファイル等がある。要処理ファイル格納部120は、データ保護対処方法による所定の処理(データ保護処理)が必要なファイル情報を格納する機能である。
図2の上側に示す端末機器10-2では、機能構成に代えて、ハードウェア構成を示している。端末機器10は、マイクロプロセッサ(Central Processing Unit : CPU)11と、メモリ12と、ユーザインターフェース(UI)部13と、通信部14と、記憶装置15とを備えており、これら回路は内部信号線16により接続されている。
マイクロプロセッサ11は、メモリ12に記憶された所定のコンピュータプログラムを実行することにより、上述の機能101~120を実現する。マイクロプロセッサ11は「制御部」の一例である。通信部14は「通信部」の一例である。通信部14は、通信ネットワークCNを介して、管理サーバ20と通信する。記憶装置15は「記憶部」の一例である。記憶装置15は、端末機器10の各格納部に対して記憶領域を提供する。同様に、管理サーバ20の有する記憶装置は、管理サーバ20の持つ各格納部に対して、記憶領域を提供する。
ユーザインターフェース部13は、ユーザとの間で情報を入出力する機能である。ユーザインターフェース部13は、例えば、ディスプレイ、プリンタ、音声合成装置等の情報出力機能と、キーボード、スイッチ、マウスのようなポインティングデバイス、音声入力装置、視線検出装置等の情報入力機能とがある。タッチパネルのように、情報の入力と出力とを同時に可能とする装置を用いてもよい。
なお、所定のコンピュータプログラムを持ち運び可能な記憶媒体に固定し、その記憶媒体からメモリに転送してもよい。または、所定のコンピュータプログラムを通信ネットワークCNを介してメモリへ転送してもよい。コンピュータプログラムの記憶先は、メモリに限らず、記憶装置でもよい。
端末機器10-2ではハードウェア構成を示しているが、端末機器10-2の機能構成は端末機器10-1と同様である。端末機器10-1および管理サーバ20は、端末機器10-2で述べたように、マイクロプロセッサ、メモリ、ユーザインターフェース部、通信部、記憶装置を含むコンピュータとして構成できる。管理サーバ20の備えるマイクロプロセッサが、管理サーバ20の有するメモリに記憶された所定のコンピュータプログラムを実行することにより、図3で述べる機能201~213が実現される。管理サーバ20は、通信部から通信ネットワークCNを介して各端末機器10と通信する。
図3を用いて、管理サーバ20の機能構成を説明する。図3においても、「格納部」と処理部の「部」を省略している。
管理サーバ20は、複数の処理部201~209と、複数の格納部210~213とを備える。処理部としては、パケット通信部201、パケット取得部202、取扱規則リスト生成部203、規制用語リスト生成部204、端末機器データ保存部205、単かつ機器復元データ生成部206、識別子比較部207、場所情報比較部208、端末機器データ削除部209がある。
格納部としては、通信パケット格納部210、取扱規則リスト格納部211、規制用語リスト212、端末機器データ格納部213がある。
パケット通信部201は、通信ネットワークCNを介して端末機器10と通信する機能である。パケット取得部202は、管理サーバ20に入力される通信パケットを取得する機能である。取扱規則リスト生成部203は、取扱規制リストの生成処理を受け付ける機能である。規制用語リスト生成部204は、規制用語リストの生成処理を受け付ける機能である。端末機器データ保存部205は、端末機器10から受け取ったファイルを保存処理(退避処理)する機能である。端末機器復元データ生成部206は、端末機器10へ復元させるファイルを生成する機能である。識別子比較部207は、端末機器10から取得した機器識別子と登録済みの機器識別子とを照合して判定する機能である。場所情報比較部208は、端末機器10から受け取ったファイルの使用場所に関する場所情報と取扱規則で定義された場所とを比較する機能である。端末機器データ削除部209は、端末機器10から受け取ったファイルを管理サーバ20から削除する機能である。
通信パケット格納部210は、パケット取得部202で取得した通信パケットを格納する機能である。取扱規則リスト格納部211は、取扱規則リスト生成部203で生成した取扱規則リストを格納する機能である。規制用語リスト格納部212は、規制用語リスト生成部204で生成した規制用語リストを格納する機能である。端末機器データ格納部213は、端末機器10から受け取ったファイルを格納する機能である。
図4~図8を用いて、端末機器用の情報保護システムの動作を説明する。図4は、端末機器10と管理サーバ20とで実行される処理の全体を示すフローチャートである。この全体処理は、初期設定処理、通知設定処理、端末機器情報退避処理、端末機器情報復元処理を含んでいる。それらの処理については後述する。
最初に、端末機器10と管理サーバ20は、初期設定する(S11))。初期設定処理の詳細は、図5で後述する。図4では、1台の端末機器について処理するかのように示しているが、複数の端末機器10を同時に処理することもできる。
端末機器10は、通知設定処理を行う(S12)。通知設定処理の詳細は、図6で後述する。
端末機器10は、ユーザから情報の退避について同意を得たか判断する(S13)。すなわち、端末機器10は、情報を管理サーバ20へ退避させる前に、その退避についてユーザに確認する。例えば、ユーザの同意を求める画面を同意画面出力部109で生成してユーザインターフェース部13から出力し、ユーザがユーザインターフェース部13を介して同意を示す情報(信号)を入力した場合に、ユーザの同意(承認)が得られたと判断することができる。これ以外の方法でユーザの同意を確認してもよい。
端末機器10は、情報の退避処理についてユーザの同意が得られていないと判定すると(S13:NO)、同意が得られるまで待機する。一方、端末機器10は、ユーザから同意を得られたと判定すると(S13:YES)、端末機器内の所定の情報を管理サーバ20へ退避させる処理を実行する(S14)。
次に、端末機器10は、帰還タイミングが到来したか判定する(S15)。端末機器10は、移動スケジュール(移動予定)を取得済であるため、出発時からの経過時刻が所定の時間になったときに帰還タイミングが到来したと判定できる。あるいは、現在時刻が、移動スケジュールに記載された出発予定時刻に一致したときに、帰還タイミングになったと判定することができる。
帰還タイミングが到来していない場合(S15:NO)、端末機器10は、帰還タイミングになるまで待機する。帰還タイミングになると(S15:YES)、端末機器10は通知設定処理を実行する(S16)。
端末機器10は、ステップS14で退避させた情報(データ)を復元させることについて、ユーザの同意を得られたか判定する(S17)。ステップS13で述べたと同様の方法で、端末機器10はユーザの同意を得られたか確認することができる(S17)。
端末機器10は、ユーザの同意を確認できるまで待機する(S17:NO)。端末機器10は、ユーザからの同意が得られたことを確認できると(S17:YES)、端末機器10から管理サーバ20への情報退避処理を実行した後で(S18)、管理サーバ20に退避させていた情報の端末機器10への復元処理を実行する(S19)。
先に情報を退避させるのは、ステップS14からステップS17までの間に所定の情報(個人情報、営業秘密情報、軍事情報等)が端末機器10に記憶されている可能性があるためである。
端末機器10内に蓄積された所定の情報を保護処理した後で、ステップS14で管理サーバ20に退避させていた情報を端末機器10へ転送させる。その情報は管理サーバ20から消去される。
図5は、図4中の初期設定処理(S11)の詳細を示すフローチャートである。最初に、端末機器10は、動作モードを初期モードに設定する(S31)。端末機器10の動作モードを初期モードに設定できない場合、または、初期モードに設定されないままで以降の処理が実行されようとした場合、ステップS31以降の処理を中止してもよい。
端末機器10は、管理サーバ20に取扱規則リクエストを送信する(S32)。リクエストおよびレスポンスの構成例は、図13で後述する。
管理サーバ20は、端末機器10からリクエストを受信すると、取扱規則リスト格納部211から端末機器10の移動状況に応じた取扱規則リストを取得し(S33)、取得した取扱規則リストをレスポンスとして端末機器10に送信する(S34)。移動状況に応じた取扱規則リストとは、例えば、端末機器10がどの場所から出発するのかのか、端末機器10がどの場所へ到着するのかといった状況に即した取扱規則リストである。
端末機器10は、管理サーバ20から受信した取扱規則リストを取扱規則リスト格納部116へ格納し(S35)、管理サーバ20に対して規制用語のリクエストを送信する(S36)。
管理サーバ20は、端末機器10からのリクエストを受信すると、規制用語リスト格納部212から規制用語リストを取得し(S37)、取得した規制用語リストをレスポンスとして端末機器10へ送信する(S38)。
端末機器10は、管理サーバ20から受信した規制用語リストを規制用語リスト格納部117へ格納する(S39)。端末機器10は、ユーザから出発予定情報が入力されたか判断する(S40)。出発予定を示す情報は、予定設定部103を介してユーザから設定される。
出発予定情報には、例えば、端末機器10の往路移動開始予定の日時、現在位置の情報(例えば、国名、地域名、組織名など)、往路移動終了予定の日時、往路移動先の位置情報(例えば、国名、地域名、組織名など)を含めることができる。出発予定情報は、例示列挙した情報の全てを含む必要はない。出発予定情報は、例示列挙した情報以外の情報を含んでもよい。端末機器10は、ユーザから出発予定情報が入力されるまで、待機する(S40:NO)。端末機器10は、出発予定情報が入力されたと判断すると(S40:YES)、出発予定情報を予定設定リスト格納部115へ格納する(S41)。
端末機器10は、ユーザから帰着予定情報が入力されたか判断する(S42)。帰着予定情報は、予定設定部103を介してユーザから設定される。帰着予定情報は、例えば、端末機器10の復路移動開始予定の日時、移動開始位置の情報(例えば、国名、地域名、組織名など)、復路移動終了予定の日時、復路移動先の位置情報(例えば、国名、地域名、組織名など)を含むことができる。出発予定情報と同様に、例示列挙した情報以外の構成でもよい。
端末機器10は、帰着予定情報が入力されるまで待機する(S42:NO)。端末機器10は、帰着予定情報が入力されたと判断すると(S42:YES)、帰着予定情報を予定設定リスト格納部115へ格納する(S43)。端末機器10は、動作モードを初期モードから運用モードへ設定変更する(S44)。
ステップS32とステップS36の順番は逆でもよいし、同時であってもよい。
図6は、端末機器10により実行される通知設定処理のフローチャートである。端末機器10は、予定設定リスト格納部115に格納された予定設定リストから、出発地情報を取得する(S51)。予定設定リストには、日時情報、位置情報、分類情報(例えば、出発、到着など)を記載することができる。端末機器10は、規制用語リスト格納部117から規制用語リストを取得する(S52)。
規制用語リストには、例えば、規制用語、規制対象となる所在情報(例えば、国名、地域名、組織名など)、規制用語の含まれるカテゴリ(例えば、個人情報、機密情報、営業秘密情報、技術ノウハウ情報、軍事情報、プライバシー情報等)を記載される。これ以外の構成でもよい。
端末機器10は、出発位置情報が規制用語リストに含まれる所在情報と一致するか判断する(S53)。一致すると判断した場合(S53:YES)、端末機器10は、所在情報に紐づいた規制用語を取得する(S54)。一致しないと判断すると(S53:NO)、端末機器10は、後述するステップS60へ移る。
端末機器10は、ファイル格納部119からファイルを取得し(S55)、取得したファイルに規制用語が含まれているか判断する(S56)。端末機器10は、取得したファイルに規制用語が含まれると判断した場合(S56:YES)、規制用語に紐づいた所在情報と、カテゴリ情報と、ファイルの所在(例えば、端末機器10内におけるファイル存在位置を指定する絶対パス、デスクトップなど)と、出発位置情報とを要処理ファイル格納部120へ格納する(S57)。端末機器10は、取得したファイルに規制用語が含まれないと判断すると(S56:NO)、ステップS57をスキップし、後述のステップS58へ移る。
端末機器10は、ファイル格納部119内の全てのファイルをチェックしたか判断する(S58)。端末機器10は、未チェックのファイルがあると判断すると(S58:NO)、ステップS55へ戻る。端末機器10は、ファイル格納部119内の全ファイルについてチェックしたと判断すると(S58:YES)、規制用語リストに記載された全ての規制用語でチェックしたか判断する(S59)。
端末機器10は、未チェックの規制用語があると判断すると(S59:NO)、ステップS54へ戻る。端末機器10は、ステップS52で取得した規制用語リストに記載された全ての規制用語をチェックしたと判断すると(S59:YES)、予定設定リスト格納部115に格納された予定設定リストから、目的地情報を取得する(S60)。
端末機器10は、目的地が規制用語リストに含まれる所在情報と一致するか判断する(S61)。端末機器10は、一致すると判断すると(S61:YES)、所在情報に紐づいた規制用語を取得する(S62)。端末機器10は、一致しないと判断すると(S61:NO)、後述するステップS68へ移る。
端末機器10は、ファイル格納部119からファイルを取得し(S63)、取得したファイルに規制用語が含まれているか判断する(S64)。端末機器10は、取得したファイルに規制用語が含まれていると判断すると(S64:YES)、規制用語に紐づいた所在情報と、カテゴリ情報と、ファイルの所在と、目的地情報とを要処理ファイル格納部120へ格納する(S65)。端末機器10は、取得したファイルに規制用語が含まれないと判断すると(S64:NO)、ステップS65をスキップし、後述するステップS67へ移る。
端末機器10は、ファイル格納部119に格納された全てのファイルをチェックしたか判断する(S66)。端末機器10は、未チェックのファイルがあると判断すると(S66:NO)、ステップS63へ戻る。
端末機器10は、全てのファイルをチェックしたと判断すると(S66:YES)、規制用語リストに記載された全ての規制用語でチェックしたか判断する(S67)。端末機器10は、未チェックの規制用語があると判断した場合(S67:NO)、ステップS62へ戻る。端末機器10は、全ての規制用語をチェックしたと判断した場合(S67:YES)、情報の消去についての同意をユーザに求める画面を同意画面出力部109から出力させる(S68)。以上で通知処理が終了する。
図6のステップS51~S59,S68は、図4中のステップS12に示す出発時の通知設定処理に対応する。図6のステップS60~S67,S68は、図4中のステップS16に示す帰還時の通知設定処理に対応する。
図7は、端末機器10と管理サーバ20が行う、端末機器の情報を退避させる処理のフローチャートである。
端末機器10は、要処理ファイル格納部120に格納された要処理ファイルを取得し(S71)、取扱規則リスト格納部116から取扱規則を取得する(S72)。上述の通り、取扱規則には、例えば、カテゴリ(例えば、個人情報、軍事情報、営業秘密情報、技術ノウハウ情報、プライバシー情報等)と、使用可能場所と、使用可能場所から逸脱したときの対処策とが記載されている。これ以外の構成でもよい。
端末機器10は、取扱規則に紐づいたカテゴリが要処理ファイルに紐づいたカテゴリに一致するか判断する(S73)。端末機器10は、カテゴリが一致しないと判断した場合(S73:NO)、ステップS72へ戻る。
端末機器10は、カテゴリが一致すると判断した場合(S73:YES)、取扱規則に紐づけられた使用可能場所が、要処理ファイルに紐づけられた所在情報に一致するか判断する(S74)。端末機器10は、所在(場所)が一致しないと判断すると(S74:NO)、ステップS72へ戻る。端末機器10は、所在が一致すると判断すると(S74:YES)、取扱規則に紐づけられた逸脱時の対処策に、管理サーバ20への退避が含まれているか判断する(S75)。端末機器10は、サーバ20への退避が対処案として含まれないと判断した場合(S75:NO)、ステップS76をスキップし、後述するステップS77へ移る。
端末機器10は、サーバ20への情報の退避が対処案に含まれていると判定すると(S75:YES)、機器識別子格納部118から機器識別子を取得する(S76)。機器識別子としては、例えばMACアドレスを用いることができる。これに限らず、機器製造番号、管理番号、型番等で端末機器10を特定してもよい。そして、端末機器10は、管理サーバ20へ退避リクエストを送信する(S77)。この退避リクエストには、退避させるファイル(所定の情報のうち退避対象の情報を含むファイル)が含まれている。
管理サーバ20は、端末機器10からの退避リクエストを受領すると、端末機器10から受信したファイルを端末機器データ格納部213へ格納する(S78)。
端末機器10は、管理サーバ20への退避以外の対処策を実施する(S77)。退避以外の対応案(対処案)として、例えば、ファイル格納部119からのファイル削除を挙げることができる。これに限らず、例えば、ファイルを読み出し不能に破壊したり、ファイルを読み書きできないように記憶装置を制御するといった処理でもよい。
端末機器10は、要処理ファイル格納部120に格納された全てのファイルについて処理したか判断する(S80)。端末機器10は、未処理ファイルがあると判断した場合(S80:NO)、ステップS71へ戻る。端末機器10は、全てのファイルについて処理した場合(S80:YES)、本処理を終了する。ステップS73とステップS74の実行順序は問わない。
図8は、端末機器10と管理サーバ20が行う、端末機器情報復元処理のフローチャートである。
端末機器10は、予定設定リスト格納部115に格納された予定設定リストから帰着地情報を取得する(S91)。帰着地とは、帰還先であり、具体的には図1に示す出発地1である。
端末機器10は、機器識別子格納部118から端末機器10の機器識別子を取得し(S92)、管理サーバ20へ復元リクエストを送信する(S93)。
管理サーバ20は、端末機器10からの復元リクエストを受信すると、端末機器データ格納部213に格納された端末機器データを取得する(S94)。端末機器データには、例えば機器識別子、ファイルとファイルが含む規制用語のカテゴリ(例えば、個人情報、軍事情報、プライバシー情報など)、ファイルの所在を含むことができる。
管理サーバ20は、復元リクエストに含まれている機器識別子と、端末機器データに紐づいた機器識別子とが一致するか判断する(S95)。管理サーバ20は、識別子が一致しないと判断すると(S95:NO)、後述のステップS103へ移動する。管理サーバ20は、識別子が一致すると判断すると(S95:YES)、取扱規則リスト格納部211に格納された取扱規則を取得する(S96)。
管理サーバ20は、ステップS96で取得した取扱規則に紐づいたカテゴリと端末機器データに紐づいたカテゴリとが一致するか判断する(S97)。管理サーバ20は、カテゴリが一致しないと判断した場合(S97:NO)、ステップS96へ戻る。管理サーバ20は、カテゴリが一致すると判断すると(S97:YES)、復元リクエスト内の帰着地情報に紐づいた帰着地の位置情報と、取扱規則に紐づいた使用可能場所とが一致するか判断する(S98)。管理サーバ20は、場所が一致すると判断すると(S98:YES)、端末機器10にレスポンスを送信する(S99)。レスポンスには、その端末機器10から退避されていた情報が含まれている。
管理サーバ20は、端末機器データ格納部213から、レスポンスとして送信された端末機器データを削除する(S100)。管理サーバ20は、場所が一致しないと判断した場合(S98:NO)、後述のステップS102へ移る。
端末機器10は、管理サーバ20から受信した端末機器データを、ファイル格納部119へ格納する(S101)。
管理サーバ20は、全ての取扱規則をチェックしたか判断する(S102)。管理サーバ20は、未チェックの取扱規則があると判断すると(S102:NO)、ステップS96へ戻る。管理サーバ20は、全ての取扱規則をチェックしたと判断すると(S102:YES)、全ての端末機器データをチェックしたか判断する(S103)。管理サーバ20は、全チェックの端末機器データがあると判断すると(S103:NO)、ステップS94へ戻る。管理サーバ20は、全ての端末機器データをチェックした場合(S103:YES)、本処理を終了する。
図9は、端末機器10の取扱規則リスト格納部116および管理サーバ20の取扱規則リスト格納部211に格納される、取扱規則の構成を示す説明図である。ここでは、端末機器10側の符号116を用いて説明する。管理サーバ20側の取扱規則リストとして述べる場合、図9中の符号「1161」~「1163」は、符号「2111」~「2113」となる。
取扱規則リストは、例えば、規制用語の分類情報を示すカテゴリ1161と、使用が許された位置情報を示す使用可能場所1162と、使用が許された位置から外れた場合の対処を示す逸脱時対処策1163とを含む。取扱規則リストの構成は、図9に示す例に限定されない。
カテゴリ1161としては、例えば、個人情報、軍事情報、プライバシー情報、機密情報、営業秘密情報、技術ノウハウ情報等がある。使用可能場所1162としては、例えば国名、地域名、組織名、部署名、住所等がある。逸脱時の対処策1163としては、例えば、「管理サーバへ退避させた情報を端末機器から削除する」、「情報を管理サーバへ退避させずに、端末機器から削除する」等がある。
図10は、端末機器10の規制用語リスト格納部117および管理サーバ20の規制用語リスト格納部212に格納される、規制用語の構成を示す説明図である。ここでは、端末機器10側の符号117を用いて説明する。管理サーバ20側の取扱規則リストとして述べる場合、図10中の符号「1171」~「1173」は、符号「2121」~「2123」となる。
規制用語リストは、例えば、規制対象となる位置情報を示す所在情報1171と、規制対象となる規制用語1172と、規制用語の分類情報を示すカテゴリ1173とを含むことができる。規制用語リストの構成は、図10に示す例に限定されない。
所在情報1171には、例えば国名、地域名、組織名、部署名、住所等がある。
規制用語1172には、例えば氏名、識別番号、所在地データ、メールアドレス、オンライン識別子(IPアドレスなど)、人種、民族、政治的思想、宗教的思想、哲学的思想、遺伝データ、生体データ、核、原子力、化学物質、微生物、毒、ロケット、ミサイル、ロボット、無人航空機、暗号、米国の輸出管理規則に定められた情報(All items in the United States, All U.S. origin items wherever located)、社外秘、Confidential等がある。
カテゴリ1173には、例えば、規制用語1172の分類情報である、個人情報、軍事情報、プライバシー情報、機密情報等が含まれる。
例えば、氏名、識別番号、所在地データ、メールアドレス、オンライン識別子は、「個人情報」のカテゴリに分類される。人種、民族、政治的思想、宗教的思想、哲学的思想、遺伝データ、生体データは、「プライバシー情報」のカテゴリに分類される。核、原子力、化学物質、微生物、毒、ロケット、ミサイル、ロボット、無人航空機、暗号は、「軍事情報」のカテゴリに分類される。社外秘、Confidentialは、「機密情報」のカテゴリに分類される。これらの分類方法以外の方法を用いてもよい。各地域、各国家、各組織のそれぞれにおける規制に合わせて規制用語リストを設定すればよい。
図11は、端末機器10の予定設定リスト格納部115に格納される、予定設定の構成を示す説明図である。
予定設定リストは、例えば、端末機器10の移動開始日時や移動終了日時を示す日時情報1151と、端末機器10の移動開始場所や移動終了場所の位置情報を示す所在情報1152と、移動の分類を示す分類1153とを含む。移動の分類には、「出発」、「到着」がある。さらに、「中継」、「帰還(帰着)」等を加えてもよい。予定設定リストの構成は図11に示す例に限られない。
図12は、管理サーバ20の端末機器データ格納部213に格納される端末機器データの構成を示す説明図である。
端末機器データは、例えば、端末機器10の識別情報を示す機器識別子2131と、端末機器10から送信されたファイルを特定するファイル2132と、ファイルが含む規制用語のカテゴリを示すカテゴリ2133とを含む。
機器識別子2131としては、例えば、MAC(Media Access Control)アドレス、機器製造番号、管理番号、型番等がある。ファイル2132は、例えば、端末機器10におけるファイルの所在を示す情報(例えば、端末機器10におけるファイル所在の絶対パス)と、ファイルデータ本体とを含む。カテゴリ2133は、図10で述べた規制用語1172のカテゴリ1173と同じである。端末機器データの構成は、図12に示す例に限定されない。
図13は、端末機器10と管理サーバ20との間で情報を交換するために用いられる通信パケットの構成例を示す。通信パケットは、端末機器10の通信パケット格納部114、および管理サーバ20の通信パケット格納部210に格納される、リクエストおよびレスポンスに用いられる。リクエストには、取扱規則リクエスト、規制用語リクエスト、退避リクエスト、復元リクエストがある。
通信パケットは、送信元機器または受信先機器を特定するアドレス情報D11と、パケットのサイズを示すサイズD12と、パケットのバイナリデータを示すパケットデータD13とを含む。通信パケットの構成は、図13に示す例に限定されない。
このように構成される本実施例によれば、情報保護(データ保護)が必要なファイルや保護のための対応策が規制によって異なっている場合でも、端末機器10の移動先に応じて、端末機器10内の情報を適切に保護することができる。したがって、端末機器10の利便性および信頼性が向上する。
本実施例によれば、情報保護処理(逸脱時の対処案)を実施する際に、ユーザの同意を確認するため、不必要な保護が実行されたり、不適切なタイミングで情報保護が実行されたりするのを防止できる。
本実施例によれば、端末機器10は管理サーバ20から取扱規則リストおよび規制用語リストを適宜取得できるため、法規制の変更にも柔軟に対応することができる。
図14~図19を用いて第2実施例を説明する。以下、第1実施例との相違を中心に述べる。本実施例の端末機器10aは、位置を検出することにより、情報保護処理を自動的に実施する。
図14は、端末機器用の情報保護システムの全体構成図である。本システムは、第1実施例で述べたと同様に、端末機器10aと、管理サーバ20aと、通信ネットワークCNとを備える。図14では、端末機器10aを1つだけ示すが、管理サーバ20aは複数の端末機器10aの情報を管理することができる。
本実施例に係る端末機器10aは、図1で述べた構成要素101~108,110~113,114,116~119に加えて、位置情報取得部121と、規制対象位置リスト取得部122と、位置情報比較部123と、位置情報格納部124と、規制対象位置リスト格納部125とを備える。本実施例に係る端末機器10aは、図1で述べた、予定設定部103と、対処通知部106と、同意画面出力部109と、予定設定リスト格納部115と、要処理ファイル格納部120を備えていない。
位置情報取得部121は、端末機器10aの位置情報を取得する機能である。規制対象位置リスト取得部は、規制対象位置リストを取得する機能である。位置情報比較部123は、位置情報を比較する機能である。
位置情報格納部124は、位置情報取得部121で取得した位置情報を格納する機能である。規制対象位置リスト格納部125は、規制対象位置リスト取得部122で取得した規制対象位置リストを格納する機能である。
管理サーバ20aは、図1で述べた構成要素201~214に加えて、規制対象位置リストを生成する規制対象位置リスト生成部214と、生成された規制対象位置リストを格納する規制対象位置リスト格納部215とを含む。
図15~図18を用いて、本システムの処理フローを説明する。図15は、全体概要を示すフローチャートである。ステップS111~S113は、出発時の情報保護処理を示しており、ステップS114~S116は到着時の情報保護処理を示している。
端末機器10aと管理サーバ20aは、初期設定を行う(S111)。端末機器10aは、端末機器10aがユーザにより起動されたかどうかを判断する(S112)。端末機器10aの図示せぬ電源ボタンがユーザによって押下された場合に、端末機器10aが起動されたことを検知できる。端末機器10aは、ユーザにより起動されていないと判断した場合(S112:NO)、起動されるまで待機する。端末機器10aがユーザにより起動されたと判断すると(S112:YES)、端末機器10aと管理サーバ20aとは端末機器の情報を退避させる処理を実行する(S113)。
情報を退避させる処理の終了後に、再び端末機器10aは、端末機器10aがユーザにより起動されたかどうかを判断する(S114)。端末機器10aは、ユーザにより起動されるまで待機する(S114:NO)。端末機器10aがユーザにより起動されたと判断されると(S114:YES)、端末機器10aと管理サーバ20aとは端末機器の情報を退避させる処理を行う(S115)。そして、端末機器10aと管理サーバ20aとは、端末機器へ情報を復元させる処理を実行する(S116)。
図16は、初期設定処理のフローチャートである。端末機器10aは、動作モードを初期モードに設定する(S121)。端末機器10aは、管理サーバ20aへ取扱規則リクエストを送信する(S122)。
管理サーバ20aは、端末機器10aからリクエストを受信すると、取扱規則リスト格納部211から取扱規則リストを取得し(S123)、取得した取扱規則リストをレスポンスとして端末機器10aへ送信する(S124)。
端末機器10aは、管理サーバ20aから受信した取扱規則リストを、取扱規則リスト格納部116に格納する(S125)。端末機器10aは、管理サーバ20aへ規制用語リクエストを送信する(S126)。
管理サーバ20aは、端末機器10aからリクエストを受信すると、規制用語リスト格納部212から規制用語リストを取得し(S127)、取得した規制用語リストをレスポンスとして端末機器10aへ送信する(S128)。
端末機器10aは、管理サーバ20aから受信した規制用語リストを、規制用語リスト格納部117に格納する(S129)。端末機器10aは、管理サーバ20aに規制対象位置リクエストを送信する(S130)。
管理サーバ20aは、端末機器10aからリクエストを受信すると、規制対象位置リスト格納部215から規制対象位置リストを取得し(S131)、取得した規制対象位置リストをレスポンスとして端末機器10aに送信する(S132)。
端末機器10aは、管理サーバ20aから受信した規制対象位置リストを、規制対象位置リスト格納部125に格納する(S133)。最後に端末機器10aは、動作モードを運用モードに設定する(S134)。なお、ステップS122,S126,S130の送信順序は問わない。全てのリクエストをまとめて送信してもよい。
図17は、端末機器の情報を退避させる処理を示すフローチャートである。端末機器10aは、位置情報を取得する(S14)。位置情報として、例えばGPS、無線LANのアクセスポイント、携帯電話回線の基地局やエリア情報、無線ICタグを用いた位置情報等を用いることができる。
端末機器10aは、規制対象位置リスト格納部125から規制対象位置リストを取得する(S142)。規制対象位置リストには、それぞれの規制が適用される位置情報(例えばGPS)と、それに対応する所在(例えば、国名、地域名、組織名など)とが記載されている。
端末機器10aは、位置情報取得部121で取得した位置情報が、規制対象位置リストに記載された位置情報に該当するか判断する(S143)。該当なしと判断した場合(S143:NO)、本処理を終了する。
端末機器10aは、該当ありと判断した場合(S143:YES)、規制用語リスト格納部117に格納された規制用語と、それに紐づいた所在情報と、規制用語の分類を示すカテゴリとを取得する(S144)。
端末機器10aは、ファイル格納部119からファイルを取得し(S145)、取得したファイルに規制用語が含まれるかどうか判断する(S146)。端末機器10aは、規制用語が含まれないと判断した場合(S146:NO)、後述のステップS154へ移動する。
端末機器10aは、ステップS145で取得したファイルに規制用語が含まれると判断すると(S146:YES)、取扱規則リスト格納部116に格納された取扱規則を取得する(S147)。取扱規則には、規制用語の分類を示すカテゴリと、使用可能場所と、使用可能場所から外れた場合の逸脱時対処策とが記載されている。
端末機器10aは、規制用語に紐づいたカテゴリと取扱規則に紐づいたカテゴリとが一致するか判断する(S148)。端末機器10aは、カテゴリが一致しないと判断すると(S148:NO)、ステップS147へ戻る。端末機器10aは、カテゴリが一致すると判断すると(S148:YES)、規則用語に紐づいた所在情報と取扱規則に紐づいた使用可能場所とが一致するか判断する(S149)。
端末機器10aは、所在情報と使用可能場所とが一致しないと判断した場合(S149:NO)、ステップS147へ戻る。端末機器10aは、所在情報と使用可能場所とが一致すると判断した場合(S149:YES)、取扱規則に紐づいた逸脱時対処策に、管理サーバ20aへの退避が含まれているか判断する(S150)。端末機器10aは、逸脱時の対処案にサーバへの退避が含まれていないと判断した場合(S150:NO)、ステップS151をスキップし、後述のステップS152へ移動する。
端末機器10aは、逸脱時の対処案にサーバ20aへの退避が含まれていると判断した場合(S150:YES)、機器識別子格納部118から端末機器10aの機器識別子を取得する(S151)。
端末機器10aは、管理サーバ20aへ退避リクエストを送信する(S152)。端末機器10aは、管理サーバ20aへの退避以外の対処策としてのデータ消去を実施する(S153)。データ消去以外の処理を採用してもよい。
管理サーバ20aは、端末機器10aから受信した端末機器10aの情報を端末機器データ格納部213へ格納する(S154)。
端末機器10aは、ファイル格納部119に格納された全てのファイルをチェックしたか判断する(S155)。未チェックのファイルがあると判断すると(S155:NO)、ステップS145へ戻る。端末機器10aは、全てのファイルをチェックしたと判断すると(S155:YES)、規制用語リスト格納部117に格納された全ての規制用語をチェックしたか判断する(S156)。端末機器10aは、未チェックの規制用語があると判断した場合(S156:NO)、ステップS144へ戻る。端末機器10aは、全ての規制用語をチェックした場合(S156:YES)、本処理を終了する。なお、ステップS148とS149の順序は問わない。
図18は、端末機器へ情報を復元させる処理を示すフローチャートである。端末機器10aは、位置情報取得部121から位置情報を取得する(S161)。端末機器10aは、機器識別子格納部118から機器識別子を取得し(S162)、管理サーバ20aへ復元リクエストを送信する(S163)。
管理サーバ20aは、端末機器10aからリクエストを受信すると、端末機器データ格納部213から端末機器データを取得する(S164)。
管理サーバ20aは、端末機器10aから受信した機器識別子と端末機器データに紐づいた機器識別子とが一致するか判断する(S165)。管理サーバ20aは、機器識別子が一致しないと判断すると(S165:NO)、後述のステップS171へ移る。管理サーバ20aは、機器識別子が一致すると判断すると(S165:YES)、取扱規則リスト格納部211から取扱規則を取得する(S166)。
管理サーバ20aは、取扱規則に紐づいたカテゴリと端末機器データに紐づいたカテゴリとが一致するか判断する(S167)。管理サーバ20aは、カテゴリが一致しないと判断すると(S167:NO)、ステップS166へ戻る。
管理サーバ20aは、カテゴリが一致すると判断すると(S167:YES)、端末機器10aから受信した位置情報と取扱規則に紐づいた使用可能場所とが一致するか判断する(S168)。管理サーバ20aは、位置が一致しないと判断すると(S168:NO)、後述のステップS172へ移る。
管理サーバ20aは、位置が一致すると判断すると(S168:YES)、端末機器10aへレスポンスを送信する(S169)。管理サーバ20aは、レスポンスとして送信された端末機器データを、端末機器データ格納部213から削除する(S170)。
端末機器10aは、管理サーバ20aからレスポンスとして受信した端末機器データをファイル格納部119へ格納する(S171)。
管理サーバ20aは、全ての取扱規則をチェックしたか判断する(S172)。未チェックの取扱規則がある場合(S172:NO)、ステップS166へ戻る。管理サーバ20aは、全ての取扱規則をチェックしたと判断した場合(S172:YES)、全ての端末機器データをチェックしたか判断する(S173)。未チェックの端末機器データがあると判断した場合(S173:NO)、ステップS164へ戻る。管理サーバ20aは、全ての端末機器データをチェックしたと判断した場合(S173:YES)、本処理を終了する。
図19は、端末機器10aの規制対象位置リスト格納部125と管理サーバ20aの規制対象位置リスト格納部215とに格納される規制対象位置リストの構成例を示す説明図である。
規制対象位置リストは、例えば、位置情報1251と、位置情報に一致する所在1252とを含む。
位置情報1251として、例えば、GPS、無線LANのアクセスポイント、携帯電話回線の基地局やエリア情報、無線ICタグを用いた位置情報等を用いることができる。位置の記載は、個々の値ごとでもよいし、値の範囲でもよい。所在1252には、例えば、国名、地域名、組織名、部署名、住所等がある。規制対象位置リストの構成は、図19に示す例に限定されない。
このように構成される本実施例も第1実施例と同様の作用効果を奏する。さらに本実施例では、移動スケジュールに基づくのではなく、位置情報を測定することにより、情報保護処理を自動的に実行することができる。したがって、本実施例では、さらにユーザの使い勝手を向上することができる。
なお、本発明は、上述の実施例に限定されるものではなく、その要旨の範囲内で様々な変形が可能である。
例えば、管理サーバは、取扱規則リストの生成機能、規制用語リストの生成機能、規制対象位置リストの生成機能を全て備えている必要はない。それら生成機能のうち一部または全部を外部装置(図示せず)から取得して管理サーバに格納させてもよい。
端末機器は、取扱規則リスト、規制用語リスト、規制対象位置リストを必ずしも管理サーバから受信する必要はない。図示せぬ他の装置からそれらのリストを受信して、端末機器内に保存してもよい。位置情報も同様に、端末機器は、図示せぬ外部装置から位置情報を取得してもよい。
ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。ある実施例の構成に他の実施例の構成を加えてもよい。各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
各実施例で述べた構成は、それらの一部又は全部が、ハードウェアで構成されても、プロセッサでプログラムが実行されることにより実現されるように構成されてもよい。また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。