以下、図面を参照しながら、発明を実施するための形態を説明する。なお、図面の説明において同一要素には同一符号を付し、重複する説明は省略する。
●システム構成●
図1は、遠隔機器管理システムのシステム構成の一例を示す図である。遠隔機器管理システム1は、管理システム2によって管理対象の機器50の遠隔管理を行うとともに、機器50から提供される機器情報を用いて、サービス提供システム3が所定のサービスを提供するシステムである。遠隔機器管理システム1は、管理システム2、サービス提供システム3、利用者端末60およびローカルネットワーク7によって構成される。ローカルネットワーク7は、通信ネットワーク5を介して、管理システム2と接続されている。
ローカルネットワーク7は、オフィス、会議室、倉庫、工場または特定の生産ライン等のネットワーク環境において形成される通信ネットワークである。ローカルネットワーク7は、例えば、インターネットを経由しない社内LAN(Local Area Network)である。ローカルネットワーク7には、MFP(Multi-Function Peripheral/Product/Printer:複合機)200、電子黒板(IWB(Interactive White Board))300、ビデオ会議端末400、プロジェクタ(PJ(Projector))500、仲介装置600およびPC(Personal Computer:パソコン)700が含まれる。MFP200、電子黒板300、ビデオ会議端末400、プロジェクタ500、仲介装置600およびPC700は、管理システム2における遠隔管理の対象となる管理対象機器である。なお、以下の説明で使用する機器50は、これらの管理対象機器の総称である。また、機器50の種別は、図1に示した例に限られず、例えば、スマートフォン、タブレット端末、携帯電話、ウェアラブル端末、デスクトップPC、産業機械、撮影装置、医療機器、ネットワーク家電、3Dプリンタ等であってもよい。
管理システム2は、遠隔機器管理装置10、個人情報管理装置30および管理者端末40によって構成される。遠隔機器管理装置10は、ローカルネットワーク7に存在する機器50の情報を管理するためのサーバコンピュータである。遠隔機器管理装置10は、管理対象の機器50と通信ネットワーク5を介して通信可能に接続されている。管理の一例として、遠隔機器管理装置10は、MFP200から、トナー残量・印刷枚数等の状態に関する情報を取得することが可能である。また、遠隔機器管理装置10は、MFP200に蓄積されたドキュメントデータの印刷を実行させるための指示が可能である。さらに、遠隔機器管理装置10は、電子黒板300、ビデオ会議端末400、プロジェクタ500、仲介装置600およびPC700に対して、電源のONまたはOFFを制御することが可能である。なお、遠隔機器管理装置10は、一台のサーバコンピュータによって構成されてもよく、複数のサーバコンピュータによって構成されてもよい。
個人情報管理装置30は、遠隔機器管理システム1によって取り扱われる個人情報の所在を管理するサーバコンピュータである。個人情報管理装置30は、個人情報を含む機器情報が遠隔機器管理システム1を構成するどの装置に記憶されているかを管理する。個人情報とは、例えば、機器50を利用する利用者に関する情報である。ここで、利用者には、機器50の利用契約をした契約者等である機器50の管理者、または機器50を利用する個人ユーザが含まれている。また、機器情報には、個人情報だけでなく、機器50の管理者または個人ユーザが所属する法人または組織等に関する情報も含まれる。以下の説明において使用する「個人情報」とは、機密情報の一例であり、「機密情報」とは、個人情報、並びに法人および組織等に関する情報の総称である。
管理者端末40は、遠隔機器管理システム1のシステム管理者が使用するノートPC等の端末である。管理者端末40は、所定のソフトウエアアプリケーションを用いて、遠隔機器管理装置10の動作に係る各種設定等を行う。管理者端末40は、例えば、タブレット端末、携帯電話、スマートフォン、ウェアラブル端末またはデスクトップPC等の端末であってもよい。
利用者端末60は、機器50の管理者または機器50を利用する個人ユーザが使用するスマートフォン等の端末である。利用者端末60は、利用者端末60にインストールされたWebブラウザまたは外部アプリを用いて、所定のサービスまたは機能を提供する。Webブラウザまたは外部アプリを用いて実行されるサービスまたは機能は、例えば、電子メールシステム、またはチャットウエアもしくはチャットボット等のチャットシステムであり、具体的には、G Suite(登録商標)、Office365(登録商標)、LINE(登録商標)またはSlack(登録商標)等である。なお、Webブラウザまたは外部アプリを用いて実行されるサービスまたは機能は、これに限られず、管理システム2との間で各種情報を共有可能なものであればよい。利用者端末60は、例えば、タブレット端末、携帯電話、ウェアラブル端末、ノートPCまたはデスクトップPC等の端末であってもよい。利用者端末60は、通信端末の一例である。
また、サービス提供システム3は、機器情報利用装置90a、機器情報利用装置90bおよび機器情報利用装置90cによって構成される。機器情報利用装置90aおよび機器情報利用装置90bは、ローカルネットワーク7の外部のクラウド環境に存在するサーバコンピュータである。機器情報利用装置90aおよび機器情報利用装置90bは、機器50から取得される機器情報を利用して、所定のサービスまたはアプリケーションを提供する。また、機器情報利用装置90cは、オンプレミス環境であるローカルネットワーク7に存在するコンピュータである。機器情報利用装置90cは、機器50から送信されるデータ(情報)を記憶する記憶装置(ローカルストレージ)として機能する。以下、機器情報利用装置90a、機器情報利用装置90bおよび機器情報利用装置90cを区別する必要のないときは、機器情報利用装置90と称する。機器情報利用装置90は、データ処理装置の一例である。
さらに、管理システム2、機器情報利用装置90aおよび機器情報利用装置90bは、サーバシステム4を構成する。このサーバシステム4を構成する各装置は、同一のシステム管理者によって管理される。例えば、機器情報利用装置90aおよび機器情報利用装置90bは、システム管理者によって提供される異なるサービスを提供するサーバコンピュータである。また、サーバシステム4を構成する各装置は、それぞれ異なる国や地域に設置される。サーバシステム4を構成する遠隔機器管理装置10、機器情報利用装置90aおよび機器情報利用装置90bは、処理装置の一例である。
なお、管理システム2は、遠隔機器管理装置10と個人情報管理装置30の機能を一台の装置によって実行される構成であってもよい。また、管理システム2は、管理者端末40の機能を、遠隔機器管理装置10または個人情報管理装置30が担う構成であってもよい。さらに、図1は、管理システム2が、一つのローカルネットワーク7内に位置する複数の機器50を遠隔管理する例を示すが、管理システム2が、複数のローカルネットワーク7内のそれぞれに位置する機器50を遠隔管理する構成にしてもよい。また、管理システム2は、ローカルネットワーク7内に設けられ、ローカルネットワーク7内に存在する機器50を遠隔管理する構成であってもよい。さらに、図1は、三つの機器情報利用装置90によって構成される例を説明したが、機器情報利用装置90の数は、これに限られない。
●概略●
ここで、遠隔機器管理システムの構成の概略に説明する。図2および図3は、遠隔機器管理システムの概略の一例を示す図である。なお、図2および図3は、本実施形態に係る遠隔機器管理システムの概略を簡略的に説明したものであり、遠隔機器管理システム1が実現する機能等の詳細は、後述する図面等を用いて説明する。
図2および図3に示す遠隔機器管理システムは、サーバシステム4を構成する複数の装置において機器50から送信された機器情報を記憶して利用するシステムである。また、図2および図3に示す遠隔機器管理システムは、利用者からの個人情報の削除の要求に応じて、サーバシステム4を構成する複数の装置のいずれかに記憶された個人情報を特定して削除することができるシステムである。
まず、図2を用いて、機器50によって生成された個人情報を含む機器情報を、サーバシステム4に記憶させる処理について説明する。まず、ステップS1aにおいて、ローカルネットワーク7a内に位置する機器50aおよび機器50b、並びにローカルネットワーク7b内に位置する機器50cおよび機器50dは、それぞれの機器によって生成された機器情報を、遠隔機器管理装置10aへ送信する。また、ローカルネットワーク7a内に位置する機器50eは、機器50eによって生成された機器情報を、遠隔機器管理装置10bへ送信する。ここで、機器情報には、機器50によって実行された機器イベントの内容を示す機器イベントデータに対して、個人情報を特定するための個人データ情報が付与されている。この個人データ情報は、機器イベントデータに含まれる複数の項目のデータのうち、個人情報として取り扱う項目のデータに対してのみ付与される。
次に、ステップS2aにおいて、遠隔機器管理装置10aは、機器50a、機器50b、機器50cおよび機器50dから送信された機器情報を、JP(japan;日本)国内に設置された機器情報利用装置90aへ送信する。さらに、ステップS3aにおいて、機器情報利用装置90aは、遠隔機器管理装置10aから送信された機器情報を、EU(Europe Union;欧州連合)圏内に設置された機器情報利用装置90bへ送信する。
次に、ステップS4aにおいて、サーバシステム4を構成する各装置は、それぞれが機器情報に対して実行した処理の履歴を示す処理履歴情報を、個人情報管理装置30へ送信する。例えば、遠隔機器管理装置10aは、機器50から送信された機器情報を、自装置に記憶させ、機器情報利用装置90aへ送信したため、処理履歴が「記憶/転送」である処理履歴情報を、個人情報管理装置30へ送信する。また、遠隔機器管理装置10bは、機器50から送信された機器情報を、自装置に記憶させる処理のみを実行したため、処理履歴が「記憶」である処理履歴情報を、個人情報管理装置30へ送信する。さらに、機器情報利用装置90aは、遠隔機器管理装置10aから送信された機器情報を、機器情報利用装置90bに送信する処理のみを実行したため、処理履歴が「転送」である処理履歴情報を、個人情報管理装置30へ送信する。また、機器情報利用装置90bは、機器情報利用装置90aから送信された機器情報を、自装置に記憶させる処理のみ実行したため、処理履歴が「記憶」である処理履歴情報を、個人情報管理装置30へ送信する。そして、個人情報管理装置30は、受信した処理履歴情報を処理履歴情報管理DB3003に記憶させて管理する。
これにより、個人情報管理装置30は、サーバシステム4を構成する各装置から送信された処理履歴情報を記憶させて管理することによって、機器50から遠隔機器管理装置10に送信された機器情報が、サーバシステム4を構成するどの装置に送信され、どのような処理が実行されたのかを特定することができる。個人情報管理装置30は、例えば、処理履歴情報管理DB3003に記憶された処理履歴情報に基づいて、機器情報がどの記憶先に記憶されているかを特定することができる。
次に、図3を用いて、図2に示した処理においてサーバシステム4を構成する各装置に記憶された個人情報を含む機器情報を削除する処理について説明する。ステップS1bにおいて、機器50aは、利用者からの要求に応じて、自らの個人情報の削除を要求する個人情報削除要求を、個人情報管理装置30へ送信する。ここで、図3では、利用者が機器50aを用いて個人情報の削除を要求する場合の例を説明するが、利用者が他の機器50または利用者端末60等を用いる構成であってもよい。ステップS2bにおいて、個人情報管理装置30は、処理履歴情報管理DB3003に記憶された処理履歴情報を用いて、個人情報を含む機器情報の記憶先を特定する。この場合、個人情報管理装置30は、ステップS4aによって受信された処理履歴情報のうち、処理履歴に「記憶」を含む処理履歴情報を送信した装置を、個人情報を含む機器情報の記憶先として特定する。すなわち、個人情報管理装置30は、遠隔機器管理装置10aおよび機器情報利用装置90bを記憶先として特定する。
ステップS3bにおいて、個人情報管理装置30は、特定された記憶先である遠隔機器管理装置10aおよび機器情報利用装置90bへ、個人情報削除要求を送信(転送)する。ステップS4bにおいて、遠隔機器管理装置10aおよび機器情報利用装置90bは、記憶された機器情報に含まれるデータのうち、個人データ情報が付与されているデータを削除することによって、個人情報の削除処理を実行する。ステップS5bにおいて、遠隔機器管理装置10aおよび機器情報利用装置90bは、個人情報の削除結果を示す削除結果通知を、個人情報管理装置30へ送信する。そして、ステップS6bにおいて、個人情報管理装置30は、サーバシステム4を構成する各装置による個人情報の削除履歴を示す削除履歴情報を、利用者が使用する機器50aへ送信する。
これにより、機器50aの利用者は、個人情報管理装置30から送信された削除履歴情報が表示された機器50aの表示画面等によって、削除対象の個人情報が削除されたことを確認することができる。また、個人情報管理装置30は、図2で示した処理において、個人情報を含む機器情報の記憶先を管理することによって、利用者からの個人情報の削除要求に応じて、サーバシステム4を構成する各装置に記憶された個人情報を削除することができる。
従来の管理サーバ等によって管理対象の機器50の機器情報を管理する方法の場合、例えば、異なる拠点に設置された複数の装置によって機器情報が利用されることが想定されておらず、どの装置に機器情報が記憶されて利用されているかが一括して管理されていなかった。そのため、利用者から個人情報の削除を要求された場合、個人情報を含む機器情報がどの拠点のどの装置に記憶されているのかを判断できないため、利用者からの要求に対応することが困難であった。さらに、従来の方法では、機器情報が個人情報であるか否か、または機器情報に含まれるどのデータが個人情報であるかどうかの判断ができないため、全てのデータを削除しなければならなかった。そのため、システム管理者は、顧客へ提供する所定のサービスに機器情報を利用している場合、個人情報ではないデータまでもが削除されてしまうため、システム管理者にとっての利便性が低下してしまっていた。
そこで、本実施形態に係る遠隔機器管理システム1は、図2および図3に示したように、個人情報管理装置30によって、サーバシステム4を構成する各装置が機器情報に対して実行した処理履歴を管理する。これにより、遠隔機器管理システム1は、利用者から個人情報の削除を要求された場合、削除すべき個人情報を含む機器情報がどの装置に記憶されているのかを特定して個人情報を削除することができる。また、遠隔機器管理システム1は、機器イベントデータに含まれる項目のうち、個人情報に該当する項目に対して個人データ情報を付与することによって、機器情報に含まれるデータのうち個人情報に該当するデータを特定して削除することができる。これにより、遠隔機器管理システム1は、利用者から個人情報の削除を要求された場合、機器情報に含まれる項目のうち、個人情報に該当する項目のデータのみを削除することができるので、利用者からの要求に対応できるとともに、システム管理者にとっての利便性が低下するリスクを低減させることができる。
●ハードウエア構成●
続いて、図4乃至図8を用いて、遠隔機器管理システム1を構成する各装置または端末のハードウエア構成について説明する。なお、遠隔機器管理システム1を構成する各装置または端末のハードウエア構成は、必要に応じて構成要素が追加または削除されてもよい。
●コンピュータのハードウエア構成
まず、図4を用いて、遠隔機器管理装置10、個人情報管理装置30、管理者端末40、利用者端末60、機器情報利用装置90、仲介装置600およびPC700のハードウエア構成について説明する。遠隔機器管理装置10、個人情報管理装置30、管理者端末40、利用者端末60、機器情報利用装置90、仲介装置600およびPC700は、一般的なコンピュータの構成を有する。ここでは、一般的なコンピュータのハードウエア構成例について説明する。
図4は、コンピュータのハードウエア構成の一例を示す図である。図4に示すように、コンピュータは、CPU(Central Processing Unit)101、ROM(Read Only Memory)102、RAM(Random Access Memory)103、HD(Hard Disk)104、HDD(Hard Disk Drive)コントローラ105、ディスプレイ108、ネットワークI/F(Interface)109を備えている。
これらのうち、CPU101は、コンピュータ全体の動作を制御する。ROM102は、IPL(Initial Program Loader)等のCPU101の駆動に用いられるプログラムを記憶する。RAM103は、CPU101のワークエリアとして使用される。HD104は、プログラム等の各種データを記憶する。HDDコントローラ105は、CPU101の制御にしたがってHD104に対する各種データの読み出しまたは書き込みを制御する。ディスプレイ108は、カーソル、メニュー、ウインドウ、文字または画像等の各種情報を表示する液晶や有機EL(Electro Luminescence)等の表示部(表示手段)の一種である。ネットワークI/F109は、通信ネットワーク5を利用してデータ通信をするためのインターフェースである。ネットワークI/F109は、例えば、TCP(Transmission Control Protocol)/IP(Internet Protocol)に対応したNIC(Network Interface Card)等である。
また、コンピュータは、キーボード111、マウス112、スピーカ113、メディアI/F115、DVD-RW(Digital Versatile Disk Rewritable)ドライブ117およびカメラ119を備えている。
キーボード111は、文字、数値、各種指示等の入力のための複数のキーを備えた操作部(入力手段)の一種である。マウス112は、各種指示の選択や実行、処理対象の選択、カーソルの移動等を行う操作部(入力手段)の一種である。スピーカ113は、CPU101の制御に従って音信号の出力を行う。メディアI/F115は、USB(Universal Serial Bus)メモリまたはフラッシュメモリ等の記録メディア115aに対するデータの読み出しまたは書き込み(記憶)を制御する。DVD-RWドライブ117は、着脱可能な記録媒体の一例としてのDVD-RW117aに対する各種データの読み出しまたは書き込みを制御する。なお、DVD-RWに限らず、DVD-R等であってもよい。また、DVD-RWドライブ117は、ブルーレイディスク(登録商標)に対する各種データの読み出しまたは書き込みを制御するブルーレイドライブであってもよい。カメラ119には、撮影部(撮影手段)の一種であり、撮像素子I/F119aおよびCMOS(Complementary Metal Oxide Semiconductor)センサ119bが備わっている。CMOSセンサ119bは、CPU101の制御に従って被写体を撮影して画像データを得る撮影部(撮影手段)の一種である。なお、カメラ119は、CMOSセンサ119bではなく、CCD(Charge Coupled Device)センサ等の撮影部(撮影手段)を備えていてもよい。撮像素子I/F119aは、CMOSセンサ119bの駆動を制御する回路である。
また、コンピュータは、バスライン110を備えている。バスライン110は、CPU101等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。
●MFPのハードウエア構成
図5は、MFPのハードウエア構成の一例を示す図である。図5に示すように、MFP200は、コントローラ210、近距離通信部220、エンジン制御部230、操作パネル240およびネットワークI/F250を備えている。
これらのうち、コントローラ210は、コンピュータの主要部であるCPU201、システムメモリ(MEM-P)202、ノースブリッジ(NB)203、サウスブリッジ(SB)204、ASIC(Application Specific Integrated Circuit)206、記憶領域であるローカルメモリ(MEM-C)207、HDDコントローラ208、および記憶領域であるHD209を有し、NB203とASIC206との間をAGP(Accelerated Graphics Port)バス221で接続した構成となっている。
これらのうち、CPU201は、MFP200の全体制御を行う制御部である。NB203は、CPU201と、MEM-P202、SB204およびAGPバス221とを接続するためのブリッジであり、MEM-P202に対する読み書き等を制御するメモリコントローラと、PCI(Peripheral Component Interconnect)マスタおよびAGPターゲットとを有する。
MEM-P202は、コントローラ210の各機能を実現させるプログラムやデータの格納用メモリであるROM202a、プログラムやデータの展開、およびメモリ印刷時の描画用メモリ等として用いるRAM202bとからなる。
SB204は、NB203とPCIバス222、周辺デバイスとを接続するためのブリッジである。ASIC206は、画像処理用のハードウエア要素を有する画像処理用途向けのIC(Integrated Circuit)であり、AGPバス221、PCIバス222、HDDコントローラ208およびMEM-C207をそれぞれ接続するブリッジの役割を有する。このASIC206は、PCIターゲットおよびAGPマスタ、ASIC206の中核をなすアービタ(ARB)、MEM-C207を制御するメモリコントローラ、ハードウェアロジック等により画像データの回転等を行う複数のDMAC(Direct Memory Access Controller)、並びに、スキャナ部231およびプリンタ部232との間でPCIバス222を介したデータ転送を行うPCIユニットとからなる。なお、ASIC206には、USBのインターフェースや、IEEE1394(Institute of Electrical and Electronics Engineers 1394)のインターフェースを接続するようにしてもよい。
MEM-C207は、コピー用画像バッファおよび符号バッファとして用いるローカルメモリである。HD209は、画像データの蓄積、印刷時に用いるフォントデータの蓄積、フォームの蓄積を行うためのストレージである。HDDコントローラ208は、CPU201の制御にしたがってHD209に対するデータの読出または書込を制御する。AGPバス221は、グラフィック処理を高速化するために提案されたグラフィックスアクセラレータカード用のバスインタフェースであり、MEM-P202に高スループットで直接アクセスすることにより、グラフィックスアクセラレータカードを高速にすることができる。
また、近距離通信部220には、近距離通信回路220a、および近距離通信回路220aのアンテナ220bが備わっている。近距離通信回路220aは、NFC(Near Field Communication)、Bluetooth(登録商標)、ミリ波無線通信、QRコード(登録商標)、可視光、環境音または超音波等の近距離無線通信の通信回路である。
さらに、エンジン制御部230は、スキャナ部231およびプリンタ部232によって構成されている。スキャナ部231またはプリンタ部232には、誤差拡散やガンマ変換等の画像処理部分が含まれている。また、操作パネル240は、現在の設定値や選択画面等を表示させ、操作者からの入力を受け付けるタッチパネル等のパネル表示部240a、並びに、濃度の設定条件等の画像形成に関する条件の設定値を受け付けるテンキーおよびコピー開始指示を受け付けるスタートキー等からなる操作部240b(入力手段)を備えている。パネル表示部240aは、表示部(表示手段)の一種である。コントローラ210は、MFP200全体の制御を行い、例えば、描画、通信、操作パネル240からの入力等を制御する。
なお、MFP200は、操作パネル240のアプリケーション切り替えキーにより、ドキュメントボックス機能、コピー機能、プリンタ機能、およびファクシミリ機能を順次に切り替えて選択することが可能となる。ドキュメントボックス機能の選択時にはドキュメントボックスモードとなり、コピー機能の選択時にはコピーモードとなり、プリンタ機能の選択時にはプリンタモードとなり、ファクシミリモードの選択時にはファクシミリモードとなる。
また、ネットワークI/F250は、通信ネットワーク5を利用してデータ通信をするためのインターフェースである。近距離通信回路220aおよびネットワークI/F250は、PCIバス222を介して、ASIC206に電気的に接続されている。
●電子黒板のハードウエア構成
図6は、電子黒板のハードウエア構成の一例を示す図である。図6に示すように、電子黒板300は、CPU301、ROM302、RAM303、SSD(Solid State Drive)304、ネットワークI/F305および外部機器接続I/F306を備えている。
これらのうち、CPU301は、電子黒板300全体の動作を制御する。ROM302は、CPU301やIPL等のCPU301の駆動に用いられるプログラムを記憶する。RAM303は、CPU301のワークエリアとして使用される。SSD304は、電子黒板用のプログラム等の各種データを記憶する。ネットワークI/F305は、通信ネットワーク5との通信を制御する。外部機器接続I/F306は、USBメモリ3600、PC3700、外付け機器(マイク3200、スピーカ3300またはカメラ3400)との通信を制御する。
また、電子黒板300は、キャプチャデバイス311、GPU(Graphics Processing Unit)312、ディスプレイコントローラ313、接触センサ314、センサコントローラ315、電子ペンコントローラ316、近距離通信部330および電源スイッチ322を備えている。
これらのうち、キャプチャデバイス311は、ディスプレイコントローラ313を介して、表示部(表示手段)または操作部(入力手段)の一種であるディスプレイ320上に表示されている画像データを取得し、RAM303等に保存する。GPU312は、グラフィクスを専門に扱う半導体チップである。ディスプレイコントローラ313は、キャプチャデバイス311またはGPU312からの出力画像をディスプレイ320等へ出力するために、画面表示の制御および管理を行う。接触センサ314は、ディスプレイ320上に電子ペン3500やユーザの手H等が接触したことを検知する。センサコントローラ315は、接触センサ314の処理を制御する。接触センサ314は、赤外線遮断方式による座標の入力および座標の検出を行う。この座標の入力および座標の検出する方法は、ディスプレイ320の上側両端部に設置された二つ受発光装置が、ディスプレイ320に平行して複数の赤外線を放射し、ディスプレイ320の周囲に設けられた反射部材によって反射されて、受光素子が放射した光の光路と同一の光路上を戻って来る光を受光する方法である。接触センサ314は、物体によって遮断された二つの受発光装置が放射した赤外線のIDをセンサコントローラ315に出力し、センサコントローラ315が、物体の接触位置である座標位置を特定する。電子ペンコントローラ316は、電子ペン3500と通信することで、ディスプレイ320へのペン先のタッチやペン尻のタッチの有無を判断する。近距離通信部330には、近距離通信回路319aおよび近距離通信回路319aのアンテナ319bが備わっている。近距離通信回路319aは、NFC、Bluetooth、ミリ波無線通信、QRコード、可視光、環境音または超音波等の近距離無線通信の通信回路である。電源スイッチ322は、電子黒板300の電源のON/OFFを切り換えるためのスイッチである。
さらに、電子黒板300は、バスライン310を備えている。バスライン310は、図6に示すCPU301等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。
なお、接触センサ314は、赤外線遮断方式に限らず、静電容量の変化を検知することにより接触位置を特定する静電容量方式のタッチパネル、対向する二つの抵抗膜の電圧変化によって接触位置を特定する抵抗膜方式のタッチパネル、接触物体が表示部に接触することによって生じる電磁誘導を検知して接触位置を特定する電磁誘導方式のタッチパネル等の種々の検出手段を用いてもよい。また、電子ペンコントローラ316が、電子ペン3500のペン先およびペン尻だけでなく、電子ペン3500のユーザが握る部分や、その他の電子ペンの部分のタッチの有無を判断するようにしてもよい。
●ビデオ会議端末のハードウエア構成
図7は、ビデオ会議端末のハードウエア構成の一例を示す図である。図7に示すように、ビデオ会議端末400は、CPU401、ROM402、RAM403、フラッシュメモリ404、SSD405、メディアI/F407、操作ボタン408、電源スイッチ409、バスライン410、ネットワークI/F411、カメラ430、マイク414、スピーカ415、音入出力I/F416、ディスプレイI/F417、外部機器接続I/F418、および近距離通信部419を備えている。
これらのうち、CPU401は、ビデオ会議端末400全体の動作を制御する。ROM402は、IPL等のCPU401の駆動に用いられるプログラムを記憶する。RAM403は、CPU401のワークエリアとして使用される。フラッシュメモリ404は、通信用プログラム、画像データ、および音データ等の各種データを記憶する。SSD405は、CPU401の制御にしたがってフラッシュメモリ404に対する各種データの読み出しまたは書き込みを制御する。なお、SSDに代えてHDDを用いてもよい。メディアI/F407は、フラッシュメモリ等の記録メディア406に対するデータの読み出しまたは書き込み(記憶)を制御する。記録メディア406は、ビデオ会議端末400に対して着脱自在な構成となっている。操作ボタン408は、ビデオ会議端末400の宛先を選択する場合等に操作されるボタンである。電源スイッチ409は、ビデオ会議端末400の電源のON/OFFを切り換えるためのスイッチである。
また、ネットワークI/F411は、インターネット等の通信ネットワーク5を利用してデータ通信をするためのインターフェースである。カメラ430には、撮影部(撮影手段)の一種であり、撮像素子I/F413およびCMOSセンサ412が備わっている。CMOSセンサ412は、CPU401の制御に従って被写体を撮影して画像データを得る内蔵型の撮影部(撮影手段)の一種である。なお、カメラ430は、CMOSセンサ412ではなく、CCDセンサ等の撮影部(撮影手段)を備えていてもよい。撮像素子I/F413は、CMOSセンサ412の駆動を制御する回路である。マイク414は、音を電気信号に変える内蔵型の回路である。スピーカ415は、電気信号を物理振動に変えて音楽や音声等の音を生み出す内蔵型の回路である。音入出力I/F416は、CPU401の制御に従ってマイク414およびスピーカ415との間で音信号の入出力を処理する回路である。ディスプレイI/F417は、CPU401の制御に従って外付けのディスプレイ420に画像データを送信する回路である。ディスプレイ420は、被写体の画像や操作用アイコン等を表示する液晶や有機EL等によって構成された表示部(表示手段)の一種である。また、ディスプレイ420は、ケーブル420cによってディスプレイI/F417に接続される。ケーブル420cは、アナログRGB(VGA)信号用のケーブルであってもよいし、コンポーネントビデオ用のケーブルであってもよいし、HDMI(High-Definition Multimedia Interface)(登録商標)やDVI(Digital Video Interactive)信号用のケーブルであってもよい。
外部機器接続I/F418は、各種の外部機器を接続するためのインターフェースである。外部機器接続I/F418には、USBケーブル等によって、外付けカメラ、外付けマイク、および外付けスピーカ等の外部機器がそれぞれ接続可能である。外付けカメラが接続された場合には、CPU401の制御に従って、内蔵型のCMOSセンサ412に優先して、外付けカメラが駆動する。同じく、外付けマイクが接続された場合や、外付けスピーカが接続された場合には、CPU401の制御に従って、それぞれが内蔵型のマイク414や内蔵型のスピーカ415に優先して、外付けマイクや外付けスピーカが駆動する。近距離通信部419には、近距離通信回路419aおよび近距離通信回路419aのアンテナ419bが備わっている。近距離通信回路419aは、NFC、Bluetooth、ミリ波無線通信、QRコード、可視光、環境音または超音波等の近距離無線通信の通信回路である。
また、バスライン410は、図7に示されているCPU401等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。
●プロジェクタのハードウエア構成
図8は、プロジェクタのハードウエア構成の一例を示す図である。図8に示すように、プロジェクタ500は、CPU501、ROM502、RAM503、メディアI/F505、操作部506、電源スイッチ507、ネットワークI/F508、バスライン510、LED(Light Emitting Diode)駆動回路511、LED光源512、投写デバイス513、投写レンズ514、ファン駆動回路515、冷却ファン516、外部機器接続I/F517および電源回路518を備えている。
これらのうち、CPU501は、プロジェクタ500全体の動作を制御する。ROM502は、CPU501の駆動に用いられるプログラムを記憶する。RAM503は、CPU501のワークエリアとして使用される。メディアI/F505は、フラッシュメモリ等の記録メディア504に対するデータの読み出しまたは書き込み(記憶)を制御する。操作部506は、種々のキー、ボタンおよびLED等が配設されており、ユーザによるプロジェクタ500の電源のON/OFF以外の各種操作を行うのに使用される。例えば、操作部506は、投写画像の大きさの調整操作、色調の調整操作、ピント調整操作、キーストン調整操作等の指示操作を受け付けて、受け付けた操作内容をCPU501に出力する。電源スイッチ507は、プロジェクタ500の電源のON/OFFを切り換えるためのスイッチである。ネットワークI/F508は、インターネット等の通信ネットワーク5を利用してデータ通信をするためのインターフェースである。バスライン510は、図8に示されているCPU501等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。
LED駆動回路511は、CPU501の制御下で、LED光源512の点灯および消灯を制御する。LED光源512は、LED駆動回路511の制御によって点灯されると、投写光を投写デバイス513に照射する。投写デバイス513は、外部機器接続I/F517等を介して与えられた画像データに基づいて、空間光変調方式によりLED光源512からの投写光を変調して得た変調光を、投写レンズ514を通して、スクリーンの投写面へ画像として投写する。投写デバイス513としては、例えば、液晶パネルまたはDMD(Digital Micromirror Device)等が用いられている。LED駆動回路511、LED光源512、投写デバイス513および投写レンズ514は、全体として、画像データに基づいて投写面に投写画像を投写する投写部(投写手段)として機能している。
ファン駆動回路515は、CPU501および冷却ファン516に接続されており、CPU501からの制御信号に基づいて、冷却ファン516の駆動/駆動停止を行う。冷却ファン516は、回転することで、プロジェクタ500内部の空気を排気して、プロジェクタ500内部を冷却する。外部機器接続I/F517は、直接、PCが接続され、PCとの間で、制御信号や画像データを取得する。
また、CPU501は、電源電力が供給されると、ROM502に予め記憶されている制御プログラムに従って起動し、LED駆動回路511に制御信号を与えてLED光源512を点灯させるとともに、ファン駆動回路515に制御信号を与えて冷却ファン516を所定の定格回転数で回転させる。さらに、プロジェクタ500は、電源回路518からの電源電力の供給が開始されると、投写デバイス513が画像表示可能状態になり、他の種々の構成要素へ電源回路518から電力が供給される。また、プロジェクタ500は、電源スイッチ507がOFF操作されると、電源スイッチ507から電源OFF信号がCPU501に送られ、CPU501は、電源OFF信号を検知すると、LED駆動回路511へ制御信号を与えてLED光源512を消灯させる。CPU501は、その後、所定時間が経過すると、ファン駆動回路515へ制御信号を与えて冷却ファン516を停止させるとともに、自身で自身の制御処理を終了させ、最後に電源回路518へ指示を与えて電源電力の供給を停止させる。
なお、上記各装置または端末のハードウエア構成において、プログラムが記憶されたHDやCD-ROM等の記録媒体は、いずれもプログラム製品(Program Product)として、国内または国外へ提供されることができる。管理システム2を構成する装置は、例えば、本発明に係るプログラムが実行されることで本発明に係るデータ削除方法を実現する。
●機能構成●
続いて、遠隔機器管理システム1の機能構成について説明する。図9は、遠隔機器管理システムの機能構成の一例を示す図である。なお、図9には、図1に示されている各端末、装置および機器のうち、後述の処理または動作に関連しているものを示す。
●遠隔機器管理装置の機能構成
まず、遠隔機器管理装置10の機能構成について説明する。図9に示す遠隔機器管理装置10により実現される機能は、送受信部11、機器情報処理部12、処理履歴情報生成部13、判断部14、設定部15および記憶・読出部19を含む。これら各部は、図4に示されている各構成要素のいずれかが、遠隔機器管理装置10のHD104から遠隔機器管理装置10のRAM103上に展開されたプログラムに従った遠隔機器管理装置10のCPU101からの命令によって動作することで実現される機能または機能する手段である。また、遠隔機器管理装置10は、図4に示されている遠隔機器管理装置10のHD104等により構築される記憶部1000を有している。
送受信部11は、図4に示されている遠隔機器管理装置10のCPU101からの命令および遠隔機器管理装置10のネットワークI/F109によって実現され、通信ネットワーク5を介して、他の装置または端末との間で各種データ(情報)をやり取りする機能である。送受信部11は、例えば、機器50から送信された機器情報を受信するともに、受信した機器情報を所定の機器情報利用装置90へ送信(転送)する。また、送受信部91は、例えば、処理履歴情報生成部13によって生成された処理履歴情報を、個人情報管理装置30へ送信する。さらに、送受信部11は、例えば、後述する設定部15によって更新(設定)された個人データ定義を、機器50へ送信する。
機器情報処理部12は、図4に示されている遠隔機器管理装置10のCPU101からの命令によって実現され、機器情報管理DB1007に記憶された機器情報に対する所定の処理を行う機能である。機器情報処理部12は、例えば、後述する処理情報管理DB1005(図12(a)および(d)参照)に記憶された処理情報の内容に応じて、機器情報管理DB1007に記憶された機器情報に対する所定の処理を行う。ここで、機器情報処理部12によって実行される所定の処理とは、機器情報の記憶もしくは削除、または他の処理装置への機器情報の転送もしくは移転等の処理である。また、機器情報処理部12は、例えば、送受信部11によって受信された機器イベントデータのうち、後述する個人データ定義管理テーブル(図11参照)の個人データ定義に含まれる項目のデータに、個人情報を特定する個人データ情報を付与する。機器情報処理部12は、削除手段の一例である。
処理履歴情報生成部13は、図4に示されている遠隔機器管理装置10のCPU101からの命令によって実現され、送受信部11によって受信された機器情報に対して、遠隔機器管理装置10を実行した処理を示す処理履歴情報を生成する機能である。処理履歴情報生成部13は、例えば、機器情報処理部12によって実行された機器情報に対する処理(記憶、転送または移転等)の内容を処理履歴として示した処理履歴情報を生成する。
判断部14は、図4に示されている遠隔機器管理装置10のCPU101からの命令によって実現され、所定の要求に対する判断を行う機能である。
設定部15は、図4に示されている遠隔機器管理装置10のCPU101からの命令によって実現され、後述する個人データ定義管理DB1003(図11参照)によって管理される個人データ定義の設定または更新を行う機能である。
記憶・読出部19は、図4に示されている遠隔機器管理装置10のCPU101からの命令によって実現され、記憶部1000に各種データを記憶したり、記憶部1000から各種データを読み出したりする機能である。また、記憶部1000には、利用者情報管理DB1001(図10参照)、個人データ定義管理DB1003(図11参照)、処理情報管理DB1005(図12参照)、および送受信部11によって受信された機器情報を管理する機器情報管理DB1007が構築されている。記憶・読出部19は、記憶制御手段の一例である。
○利用者情報管理テーブル
図10は、利用者情報管理テーブルの一例を示す概念図である。記憶部1000には、図10に示されているような利用者情報管理テーブルによって構成されている利用者情報管理DB1001が構築されている。この利用者情報管理テーブルでは、機器50の管理者である顧客を識別するための顧客ID、および機器50を利用する個人ユーザを識別するためのユーザIDを関連づけて管理している。顧客IDによって識別される顧客とは、例えば、機器50の利用契約をした顧客企業、自治体、または組織等である。
○個人データ定義管理テーブル
図11は、個人データ定義管理テーブルの一例を示す概念図である。記憶部1000には、図11に示されているような個人データ定義管理テーブルによって構成されている個人データ定義管理DB1003が構築されている。この個人データ定義管理テーブルには、領域ごとに個人情報を識別するための個人データ定義が含まれている。個人データ定義には、機器50によって生成される機器イベントデータに含まれる項目のうち、個人情報として取り扱う項目を示す内容が含まれている。また、図11に示すように、個人データ定義管理DB1003は、領域ごとに異なる個人データ定義管理テーブルを有している。ここで、領域とは、例えば、EU(Europe Union;欧州連合)等の組織統合体、地域共同体、国、地域、市町村等の単位である。個人データ定義管理テーブルは、機器50が設置された領域または管理システム2によって提供されるサービスが適用される領域によって、異なる個人データ定義が適用される。遠隔機器管理システム1は、機器50によって生成された機器イベントデータに示されるデータのうち、個人データ定義管理テーブルに示される個人データ定義に該当する項目のデータを、個人情報として取り扱う。
図11の例において、領域が「EU」の個人データ定義管理テーブルには、例えば、個人データ定義として、機器管理者名、電話番号、住所、IPアドレス、およびユーザIDが関連づけられたデータ(ユーザID;ALL)の項目が含まれている。ここで、「ユーザID;ALL」とは、不特定のユーザIDが関連づけられた全てのデータを、個人情報として取り扱うことを意味する。一方で、「ユーザID;AAA0001」のように、「ALL」に変えて特定のユーザIDが示されている場合は、その特定のユーザID(AAA0001)が関連づけられたデータを、個人情報として取り扱うことを意味する。また、領域が「JP」の個人データ定義管理テーブルには、例えば、個人データ定義として、機器管理者名、電話番号、住所、およびIPアドレスの項目が含まれている。なお、領域は、会社等の組織共同体の単位で定義されてもよい。個人データ定義は、機器イベントデータに含まれる項目のうち、機密情報を含む特定の項目を示す機密データ定義情報の一例である。
○処理情報管理テーブル
図12(a)および図12(d)は、遠隔機器管理装置10が有する処理情報管理テーブルの一例を示す概念図である。記憶部1000には、図12(a)または(d)に示されているような処理情報管理テーブルによって構成されている処理情報管理DB1005が構築されている。この処理情報管理テーブルには、遠隔機器管理装置10ごとに記憶され、遠隔機器管理装置10が機器情報に対して実行する処理の内容を示す処理情報が含まれている。図12(a)は、図2に示した遠隔機器管理装置10aが有する処理情報管理テーブルの一例であり、図12(d)は、図2に示した遠隔機器管理装置10bが有する処理情報管理テーブルの一例である。それぞれの処理情報管理テーブルには、遠隔機器管理装置10が機器情報を送信する送信先を示す送信先名および宛先情報、並びに処理の内容を示す情報が含まれている。図12(a)の例の場合、処理の内容が「記憶・転送」であり、送信先名が「機器情報利用装置90a」、宛先情報が「remoteA.co.jp」であるため、遠隔機器管理装置10aは、機器情報を機器情報管理DB1007aに記憶し、機器情報利用装置90a(remoteA.co.jp)へ送信する処理を実行する。また、図12(d)の例において、処理の内容が「記憶」であるため、遠隔機器管理装置10bは、機器情報を機器情報管理DB1007bに記憶する処理を実行する。なお、処理情報管理テーブルに含まれる処理情報は、システム管理者によって予め設定されており、システム管理者によって適宜設定変更が可能であるものとする。
●個人情報管理装置の機能構成
続いて、個人情報管理装置30の機能構成について説明する。図9に示す個人情報管理装置30により実現される機能は、送受信部31、処理履歴情報管理部32、判断部33、生成部34および記憶・読出部39を含む。これら各部は、図4に示されている各構成要素のいずれかが、個人情報管理装置30のHD104から個人情報管理装置30のRAM103上に展開されたプログラムに従った個人情報管理装置30のCPU101からの命令によって動作することで実現される機能または機能する手段である。また、個人情報管理装置30は、図4に示されている個人情報管理装置30のHD104等により構築される記憶部3000を有している。
送受信部31は、図4に示されている個人情報管理装置30のCPU101からの命令および個人情報管理装置30のネットワークI/F109によって実現され、通信ネットワーク5を介して、他の装置または端末との間で各種データ(情報)をやり取りする機能である。送受信部31は、例えば、遠隔機器管理装置10または機器情報利用装置90から、機器情報(機器イベントデータ)が記憶される処理装置を識別する処理履歴情報を受信(取得)する。また、送受信部31は、例えば、個人情報に係るデータの削除要求を、機器50または利用者端末60から受信する。さらに、送受信部31は、例えば、個人情報に係るデータの削除要求に基づき、受信(取得)された処理履歴情報によって識別される処理装置(遠隔機器管理装置10または機器情報利用装置90)に対して、個人情報に係るデータの削除要求を行う。また、送受信部31は、例えば、処理装置に記憶されたデータの削除履歴を示す削除履歴情報を、機器50または利用者端末60へ送信する。送受信部31は、受信手段の一例である。
処理履歴情報管理部32は、図4に示されている個人情報管理装置30のCPU101からの命令によって実現され、後述する処理履歴情報管理DB3003(図14参照)に記憶されている処理履歴情報に対する所定の処理を行う機能である。処理履歴情報管理部32は、例えば、遠隔機器管理装置10または機器情報利用装置90から送信された、処理履歴情報または削除結果通知に応じて、処理履歴情報管理DB3003に記憶された処理履歴情報を更新する。
判断部33は、図4に示されている個人情報管理装置30のCPU101からの命令によって実現され、所定の要求に対する判断を行う機能である。
生成部34は、図4に示されている個人情報管理装置30のCPU101からの命令によって実現され、機器50に提供する各種データ(情報)を生成する機能である。生成部34は、例えば、利用者からの要求に応じて、個人情報の削除履歴を示す削除履歴情報を生成する。
記憶・読出部39は、図4に示されている個人情報管理装置30のCPU101からの命令によって実現され、記憶部3000に各種データを記憶したり、記憶部3000から各種データを読み出したりする機能である。また、記憶部3000には、契約情報管理DB3001(図13(a)参照)、利用者宛先情報管理DB3002(図13(b)参照)および処理履歴情報管理DB3003(図14参照)が構築されている。
○契約情報管理テーブル
図13(a)は、契約情報管理テーブルの一例を示す概念図である。記憶部3000には、図13(a)に示されているような契約情報管理テーブルによって構成されている契約情報管理DB3001が構築されている。この契約情報管理テーブルには、機器50ごとの管理者の契約情報が示されている。契約情報管理テーブルには、機器50を識別するための機器名および機器ID、機器50の機種機番を識別するための機種機番ID並びに機器50の管理者である顧客を識別するための顧客IDが含まれている。図13(a)の例の場合、契約情報管理テーブルには、機器名「MFP200」および機器ID「MP30」に、機器50が有する機種機番ID「MP30-1234」、「MP30-1241」および「MP30-4359」並びに機器50および機種機番の管理者の顧客ID「AAA」が関連づけられている。また、契約情報管理テーブルには、機器名「電子黒板300」および機器ID「IWB45」に、機器50が有する機種機番ID「IWB45-5678」および「IWB45-7896」並びに機器50および機種機番の管理者の顧客ID「BBB」が関連づけられている。なお、契約情報管理テーブルに含まれる契約情報には、機器50を識別するための情報として、機器50のメーカ名等が含まれていてもよい。
○利用者宛先情報管理テーブル
図13(b)は、利用者宛先情報管理テーブルの一例を示す概念図である。記憶部3000には、図13(b)に示されているような利用者宛先情報管理テーブルによって構成されている利用者宛先情報管理DB3002が構築されている。この利用者宛先情報管理テーブルには、機器50または利用者端末60を用いて実行される所定のアプリケーションに対する利用者の宛先を示すユーザ宛先情報が示されている。この所定のアプリケーションは、例えば、機器50または利用者端末60にインストールされたWebブラウザまたは外部アプリを用いて実行されるアプリケーション(サービスまたは機能)である。また、Webブラウザまたは外部アプリを用いて実行されるアプリケーションは、例えば、電子メールシステムまたはチャットシステムである。利用者宛先情報管理テーブルには、機器50を利用する個人ユーザを識別するためのユーザIDおよびユーザ宛先情報が含まれている。ユーザ宛先情報は、例えば、メールアドレス、個人ユーザごとに割り振られたアプリケーションのID等である。図13(b)の例の場合、利用者宛先情報管理テーブルには、例えば、ユーザID「AAA0001」に、ユーザ宛先情報として「×××.co.jp」、およびアプリケーションA(appA)のID「0101××」が関連づけられている。
○処理履歴情報管理テーブル
図14は、処理履歴情報管理テーブルの一例を示す概念図である。記憶部3000には、図14に示されているような処理履歴情報管理テーブルによって構成されている処理履歴情報管理DB3003が構築されている。この処理履歴情報管理テーブルには、遠隔機器管理装置10および機器情報利用装置90によって実行された機器情報に対する処理履歴を示す処理履歴情報が記憶されて管理されている。処理履歴情報管理テーブルには、処理履歴情報として、機器情報(機器イベントデータ)を識別するためのデータ識別情報および機器情報(機器イベントデータ)に対する処理内容を識別する処理内容識別情報が含まれている。このうち、データ識別情報には、処理対象である機器情報に係る機器イベントが実行された機器50を識別するための機器名および機器ID、処理対象である機器情報に係る機器イベントが実行された機器50の機種機番を識別するための機種機番ID、並びに処理対象の機器情報を識別するための機器情報IDが含まれている。また、処理内容識別情報には、機器情報に対する処理を実行した装置を示す処理サーバ情報、機器情報の送信先の装置の情報を示す送信先情報、実行された処理の内容を示す処理履歴の情報および各装置によって処理が実行された処理時刻が含まれている。さらに、処理サーバ情報および送信先情報には、それぞれに該当する装置を示すサーバ名および宛先情報、並びにそれぞれに該当する装置が属する領域を示す領域情報が含まれている。また、処理履歴の情報には、記憶、転送、削除、移転等の処理が示されている。個人情報管理装置30は、この処理履歴情報管理テーブルに示される処理内容識別情報に基づいて、関連づけられたデータ識別情報によって識別される機器情報が記憶されている装置を特定することができる。処理履歴情報は、機器情報が記憶される処理装置を識別する装置識別情報の一例である。なお、データ識別情報には、機器50を識別するための情報として、機器50のメーカ名等が含まれていてもよい。また、処理内容識別情報には、処理履歴の情報として、該当する装置によって機器情報が利用されるサービス等の内容が示されていてもよい。
●管理者端末の機能構成
続いて、管理者端末40の機能構成について説明する。図9に示す管理者端末40により実現される機能は、送受信部41、受付部42および表示制御部43を含む。これら各部は、図4に示されている各構成要素のいずれかが、管理者端末40のHD104から管理者端末40のRAM103上に展開されたプログラムに従った管理者端末40のCPU101からの命令によって動作することで実現される機能または機能する手段である。
送受信部41は、図4に示されている管理者端末40のCPU101からの命令および管理者端末40のネットワークI/F109によって実現され、他の装置または端末との間で各種データ(情報)をやり取りする機能である。送受信部41は、例えば、個人データ定義更新要求を、個人情報管理装置30へ送信する。
受付部42は、図4に示されている管理者端末40のCPU101からの命令によって実現され、図4に示した管理者端末40のキーボード111等の入力手段に対する入力を受け付ける機能である。受付部42は、例えば、管理者端末40のディスプレイ108に表示された個人データ定義設定画面4100(図40参照)に対する入力操作によって、個人データ定義の更新要求を受け付ける。
表示制御部43は、図4に示されている管理者端末40のCPU101からの命令によって実現され、図4に示した管理者端末40のディスプレイ108に各種画面情報を表示させる機能である。表示制御部43は、例えば、ユーザによる入力操作を受け付ける個人データ定義設定画面4100(図40参照)を、管理者端末40のディスプレイ108に表示させる。
●機器の機能構成
続いて、機器50の機能構成について説明する。図9に示す機器50により実現される機能は、送受信部51、機器イベント実行部52、機器情報生成部53、機器情報処理部54、判断部55、受付部56、表示制御部57および記憶・読出部59を含む。これら各部は、図4に示されている各構成要素のいずれかが、RAM(RAM103、RAM202b、RAM303またはRAM403)上に展開されたプログラムに従ったCPU(CPU101、CPU201、CPU301、CPU401またはCPU501)からの命令によって動作することで実現される機能または機能する手段である。また、機器50は、図4に示すHD104、図5に示すHD209、図6に示すSSD304、図7に示すSSD405もしくは記録メディア406、または図8に示す記録メディア504等により構築される記憶部5000を有している。
送受信部51は、図4乃至図8に示されているCPU(CPU101、CPU201、CPU301、CPU401もしくはCPU501)からの命令、並びに図4乃至図8に示されているネットワークI/F(ネットワークI/F109、ネットワークI/F250、ネットワークI/F305、ネットワークI/F411もしくはネットワークI/F508)によって実現され、他の装置または端末との間で各種データ(情報)をやり取りする機能である。送受信部51は、例えば、機器情報生成部53によって生成された機器情報を、遠隔機器管理装置10へ送信する。また、送受信部51は、例えば、個人情報の削除を要求する個人情報削除要求を、個人情報管理装置30へ送信する。さらに、送受信部51は、例えば、個人情報の削除履歴の照会を要求する削除履歴照会要求を、個人情報管理装置30へ送信する。また、送受信部51は、例えば、個人情報の削除履歴を示す削除履歴情報を、個人情報管理装置30から受信する。さらに、送受信部51は、例えば、機器情報を識別するデータ識別情報、および機器情報に対する処理内容を識別する処理内容識別情報を、個人情報管理装置30から受信する。また、送受信部51は、例えば、後述する処理対象選択画面6000aもしくは6000b(図33もしくは図36参照)を用いて選択された機器情報の削除要求を、個人情報管理装置30へ送信する。送受信部51は、送信手段の一例である。
機器イベント実行部52は、図4乃至図8に示されているCPU(CPU101、CPU201、CPU301、CPU401またはCPU501)からの命令によって実現され、機器50特有の機器イベントを実行する。機器イベントとは、機器50が有する機能またはサービスを実行するために発生する処理または動作である。また、機器イベント実行部52は、例えば、機器イベントの実行結果となる機器イベントの内容を示す機器イベントデータを取得する。例えば、機器50がMFP200である場合、機器イベント実行部52は、図5に示したプリンタ部232による所定のプリント処理または図5に示したスキャナ部231による所定のスキャン処理を実行する。また、例えば、機器50が電子黒板300である場合、機器イベント実行部52は、図6に示したディスプレイ320に描画された描画像に係る画像データを生成する処理を実行する。さらに、例えば、機器50がビデオ会議端末400である場合、機器イベント実行部52は、図7に示したカメラ430によって撮影されて取得された撮影画像データ等を用いたビデオ会議(遠隔会議)を実行する。また、例えば、機器50がプロジェクタ500である場合、機器イベント実行部52は、図8に示した投影デバイス513等を用いた所定の画像の投影処理を実行する。
機器情報生成部53は、図4乃至図8に示されているCPU(CPU101、CPU201、CPU301、CPU401またはCPU501)からの命令によって実現され、機器イベント実行部52によって実行された機器イベントの内容を示す機器イベントデータに、個人情報の有無を示す情報が付与された機器情報を生成する機能である。機器情報生成部53は、例えば、機器イベントデータに含まれる項目のうち、個人データ定義管理DB5001(図11参照)に記憶された個人データ定義に該当する項目に対して、個人情報を特定するための個人データ情報を付与する。すなわち、機器情報生成部53は、例えば、機器イベントデータおよび機器50の利用者情報を識別する利用者情報を含む機器情報を生成する。機器情報生成部53は、生成手段の一例である。
機器情報処理部54は、図4乃至図8に示されているCPU(CPU101、CPU201、CPU301、CPU401またはCPU501)からの命令によって実現され、機器情報管理DB5003に記憶されている機器情報に対する所定の処理を行う機能である。機器情報処理部54は、例えば、受付部56によって受け付けられた個人情報の削除要求に応じて、機器情報管理DB5003に記憶された機器情報を削除する。
判断部55は、図4乃至図8に示されているCPU(CPU101、CPU201、CPU301、CPU401またはCPU501)からの命令によって実現され、所定の要求に対する判断を行う機能である。判断部55は、例えば、受付部56によって受け付けられた所定の入力に基づいて、機器50の利用者を識別する利用者情報を特定する。判断部55は、特定手段の一例である。
受付部56は、図4乃至図8に示されているCPU(CPU101、CPU201、CPU301、CPU401またはCPU501)からの命令によって実現され、所定の入力手段(キーボード111等、操作部240b、ディスプレイ320等、操作ボタン408、または操作部506)に対する入力操作を受け付ける機能である。受付部56は、例えば、機器イベント実行部52によって機器イベントを実行させるための所定の入力操作を受け付ける。また、受付部56は、例えば、後述する処理対象選択画面6000aもしくは6000b(図33もしくは図36参照)を用いて、データ識別情報によって識別される機器情報の選択を受け付ける。受付部56は、受付手段の一例である。
表示制御部57は、図4乃至図8に示されているCPU(CPU101、CPU201、CPU301、CPU401またはCPU501)からの命令によって実現され、機器50の表示部(ディスプレイ108、パネル表示部240a、ディスプレイ320またはディスプレイ420)に各種画面情報を表示させる機能である。表示制御部57は、例えば、後述する処理対象選択画面6000aもしくは6000b(図33もしくは図36参照)、および削除履歴通知画面6500(図38参照)を表示部に表示させる。
記憶・読出部59は、図4乃至図8に示されているCPU(CPU101、CPU201、CPU301、CPU401もしくはCPU501)からの命令によって実現され、記憶部5000に各種データを記憶し、記憶部5000から各種データを読み出す機能である。記憶部500には、図11に示されている個人データ定義管理テーブルによって構成されている個人データ定義管理DB5001、および機器情報生成部53によって生成された機器情報を管理する機器情報管理DB5003が構築されている。また、記憶部5000には、遠隔機器管理装置10の宛先および個人情報管理装置30の宛先を宛先情報5005が記憶されている。宛先情報5005は、例えば、遠隔機器管理装置10のIPアドレスおよび個人情報管理装置30のIPアドレスである。
●利用者端末の機能構成
続いて、利用者端末60の機能構成について説明する。図9に示す利用者端末60により実現される機能は、送受信部61、受付部62および表示制御部63を含む。これら各部は、図4に示されている各構成要素のいずれかが、利用者端末60のHD104から利用者端末60のRAM103上に展開されたプログラムに従った利用者端末60のCPU101からの命令によって動作することで実現される機能または機能する手段である。
送受信部61は、図4に示されている利用者端末60のCPU101からの命令および利用者端末60のネットワークI/F109によって実現され、他の装置または端末との間で各種データ(情報)をやり取りする機能である。送受信部61は、例えば、個人情報の削除を要求する個人情報削除要求を、個人情報管理装置30へ送信する。また、送受信部61は、例えば、個人情報の削除履歴の照会を要求する削除履歴照会要求を、個人情報管理装置30へ送信する。さらに、送受信部51は、例えば、個人情報の削除履歴を示す削除履歴情報を、個人情報管理装置30から受信する。また、送受信部51は、例えば、機器情報を識別するデータ識別情報、および機器情報に対する処理内容を識別する処理内容識別情報を、個人情報管理装置30から受信する。さらに、送受信部51は、例えば、後述する処理対象選択画面6000aもしくは6000b(図33もしくは図36参照)を用いて選択された機器情報の削除要求を、個人情報管理装置30へ送信する。
受付部62は、図4に示されている利用者端末60のCPU101からの命令によって実現され、図4に示した利用者端末60のキーボード111等の入力手段に対する入力を受け付ける機能である。受付部62は、例えば、利用者端末60のディスプレイ108に表示された処理対象選択画面6000aまたは6000b(図33または図36参照)を用いて、データ識別情報によって識別される機器情報の選択を受け付ける。
表示制御部63は、図4に示されている利用者端末60のCPU101からの命令によって実現され、図4に示した利用者端末60のディスプレイ108に各種画面情報を表示させる機能である。表示制御部63は、例えば、WEBブラウザ等を用いて、HTML(HyperText Markup Language)等により生成された画像データに係る処理対象選択画面6000aまたは6000b(図33または図36参照)を、利用者端末60のディスプレイ108に表示させる。
●機器情報利用装置の機能構成
次に、機器情報利用装置90の機能構成について説明する。図9に示す機器情報利用装置90により実現される機能は、送受信部91、機器情報処理部92、処理履歴情報生成部93、判断部94および記憶・読出部99を含む。これら各部は、図4に示されている各構成要素のいずれかが、HD104からRAM103上に展開されたプログラムに従ったCPU101からの命令によって動作することで実現される機能または機能する手段である。また、機器情報利用装置90は、図4に示されているHD104等により構築される記憶部9000を有している。
送受信部91は、図4に示されている機器情報利用装置90のCPU101からの命令および機器情報利用装置90のネットワークI/F109によって実現され、他の装置または端末との間で各種データ(情報)をやり取りする機能である。送受信部91は、例えば、他の処理装置から送信された機器情報を受信するともに、受信した機器情報を他の処理装置へ送信(転送)する。また、送受信部91は、例えば、処理履歴情報生成部93によって生成された処理履歴情報を、個人情報管理装置30へ送信する。
機器情報処理部92は、図4に示されている機器情報利用装置90のCPU101からの命令によって実現され、機器情報管理DB9003に記憶された機器情報に対する所定の処理を行う機能である。機器情報処理部92は、例えば、後述する処理情報管理DB9001(図12(b)および(c)参照)に記憶された処理情報の内容に応じて、機器情報管理DB9003に記憶された機器情報に対する所定の処理を行う。ここで、機器情報処理部92によって実行される所定の処理とは、機器情報の記憶、または他の機器情報利用装置90への機器情報の転送もしくは移転等の処理である。
処理履歴情報生成部93は、図4に示されている機器情報利用装置90のCPU101からの命令によって実現され、送受信部91によって受信された機器情報に対して、機器情報利用装置90を実行した処理を示す処理履歴情報を生成する機能である。処理履歴情報生成部93は、例えば、機器情報処理部92によって実行された機器情報に対する処理(記憶、転送または移転等)の内容を処理履歴として示した処理履歴情報を生成する。
判断部94は、図4に示されている機器情報利用装置90のCPU101からの命令によって実現され、所定の要求に対する判断を行う機能である。
記憶・読出部99は、図4に示されている機器情報利用装置90のCPU101からの命令によって実現され、記憶部9000に各種データを記憶したり、記憶部9000から各種データを読み出したりする機能である。また、記憶部9000には、処理情報管理DB9001(図12参照)、および送受信部91によって受信された機器情報を管理する機器情報管理DB9003が構築されている。
○処理情報管理テーブル
図12(b)および図12(c)は、機器情報利用装置90が有する処理情報管理テーブルの一例を示す概念図である。記憶部9000には、図12(b)または(c)に示されているような処理情報管理テーブルによって構成されている処理情報管理DB9001が構築されている。この処理情報管理テーブルには、機器情報利用装置90ごとに記憶され、機器情報利用装置90が機器情報に対して実行する処理の内容を示す処理情報が含まれている。図12(b)は、図1に示した機器情報利用装置90aが有する処理情報管理テーブルの一例であり、図12(c)は、図1に示した機器情報利用装置90bが有する処理情報管理テーブルの一例である。それぞれの処理情報管理テーブルには、機器情報利用装置90が機器情報を送信する送信先を示す送信先名および宛先情報、並びに処理の内容を示す情報が含まれている。図12(b)の例の場合、処理の内容が「転送」であり、送信先名が「機器情報利用装置90b」、宛先情報が「remoteB.co.eu」であるため、機器情報利用装置90aは、機器情報を機器情報利用装置90b(remoteB.co.eu)へ送信する処理を実行する。この場合、機器情報利用装置90aは、処理の内容に「記憶」が示されていないため、機器情報を自装置(機器情報管理DB9003a)には記憶させない。また、図12(c)の例において、処理の内容が「記憶」であるため、機器情報利用装置90bは、機器情報を機器情報管理DB9003bに記憶する処理を実行する。なお、処理情報管理テーブルに含まれる処理情報は、システム管理者によって予め設定されており、システム管理者によって適宜設定変更が可能であるものとする。
●実施形態の処理または動作●
●機器情報の記憶
○機器情報の取得○
続いて、図15乃至図55を用いて、本実施形態に係る遠隔機器管理システムにおける処理または動作について説明する。まず、図15乃至図18を用いて、遠隔機器管理装置10aが機器50aから送信された機器情報を取得する処理について説明する。図15は、遠隔機器管理システムにおける機器情報の取得処理の一例を示すシーケンス図である。なお、図15は、機器50aがMFP200である場合の例を説明するが、機器の種別はこれに限られない。
まず、ステップS11において、機器50aは、機器50aを利用する利用者を特定する処理を行う。利用者を特定する処理の詳細は後述するが(図41乃至図44参照)、例えば、機器50aは、受付部56によって図5に示した操作部240bに対する利用者情報(ユーザIDおよびパスワード)の入力が受け付けられることで、機器50aの利用者を特定する。
次に、ステップS12において、機器50aの機器イベント実行部52aは、機器50aに対する入力操作等に応じて、機器イベントを実行する。ここで、機器イベントとは、機器50aが有する機能またはサービスを実行するために発生する処理または動作である。この場合、機器50aであるMFP200は、機器イベント実行部52aによって図5に示したプリンタ部232による所定のプリント処理または図5に示したスキャナ部231による所定のスキャン処理を実行される。
ステップS13において、機器50aの機器イベント実行部52aは、実行された機器イベントの内容を示す機器イベントデータを取得する。機器イベントデータとは、機器イベント実行部52aによって実行された機器イベントの実行結果となる機器イベントの内容を示すデータである。
図16は、機器イベントデータの一例を示す図である。図16に示す機器イベントデータは、機器50aであるMFP200によるコピーおよびプリント処理が実行された場合に生成されるデータである。機器イベントデータには、機器50aの固有の情報である機器固有情報および機器50aにおいて実行されたイベントの実行結果を示すイベント履歴情報が含まれている。ここで、機器固有情報には、機器ID、機種機番ID、機器管理者名、電話番号、住所、機器ソフトバージョンおよびIPアドレスの項目に該当する情報が含まれている。機器IDおよび機種機番IDは、機器イベントが実行された機器50aおよび機種機番を識別するための情報を示し、機器管理者名は、機器50aの管理者の名称を示す。また、電話番号および住所は、機器50の管理者または機器50の管理者が所属する組織、会社等の情報を示す。さらに、機器ソフトバージョンは、機器50aにインストールされたソフトウエアのバージョンを示し、IPアドレスは、機器50aのIPアドレスを示す。また、イベント履歴情報には、トナー情報、ユーザ名およびカウンタの項目に該当する情報が含まれている。トナー情報は、MFP200のトナー残量(例えば、シアン分量小)を示し、ユーザ名は、機器イベントを実行した個人ユーザのユーザ名(例えば、ユーザID:「AAA0001」であるユーザ名「理光 花子」)を示し、カウンタは、機器イベントの実行結果(例えば、コピー;100枚、プリント;100枚)を示す。さらに、イベント履歴情報に含まれる各項目には、機器イベントが発生した時刻を示すイベント発生時刻の情報が関連づけられている。なお、機器固有情報に含まれる項目は、機器50aの種別に応じて異なってもよく、イベント履歴情報に含まれる項目は、機器50aの種別および機器50aによって実行される機器イベントの内容に応じて異なってもよい。
ステップS14において、機器50aは、ステップS13によって機器イベントデータが取得された場合、取得された機器イベントデータに含まれる個人情報を特定するための個人データ情報を付与する処理を実行する。ここで、図17を用いて、機器50aにおいて個人データ情報を付与する処理の詳細を説明する。図17は、個人データ情報の付与処理の一例を示すフローチャートである。
ステップS31において、機器50aの記憶・読出部59aは、個人データ定義管理DB5001aを検索することにより、個人データ定義管理テーブルに含まれる個人データ定義を読み出す。なお、図11に示すように、個人データ定義管理テーブルが領域ごとに存在する場合、記憶・読出部19aは、機器50aの使用用途、設置場所等に応じて予め設定された領域に対応する個人データ定義管理テーブルに含まれる個人データ定義を読み出す。以下の説明において、記憶・読出部19aが、領域「EU」に対応する個人データ定義管理テーブルに含まれる個人データ定義を読み出すものとして説明する。
ステップS32において、機器50aの判断部55aは、ステップS13によって取得された機器イベントデータに、ステップS31によって読み出された個人データ定義と一致する項目が存在する場合、処理をステップS33へ移行させる。一方で、判断部55aは、ステップS13によって取得された機器イベントデータに、ステップS31によって読み出された個人データ定義と一致する項目が存在しない場合、処理を終了する。
ステップS33において、機器50aの機器情報生成部53aは、機器イベントデータに含まれる個人データ定義と一致する項目の個人フラグを「ON」にする。個人フラグとは、機器イベントデータに含まれる情報のうち、個人情報に該当する情報を特定するためのフラグである。
ステップS34において、機器50aの機器情報生成部53aは、機器イベントデータに含まれる個人データ定義と一致する項目のうち、機器50aの固有の情報である機器固有情報である各項目に、機器50aの管理者を識別するための顧客IDを追加する。
ステップS35において、機器50aの機器情報生成部53aは、機器イベントデータに含まれる個人データ定義と一致する項目のうち、機器50aにおいて実行されたイベントの実行結果を示すイベント履歴情報である各項目に、ステップS12において機器イベントを実行した個人ユーザを識別するためのユーザIDを追加する。これにより、機器50aの機器情報生成部53aは、機器イベントデータに個人データ情報が付与された機器情報を生成する。図18は、図17の処理において生成された機器情報の一例を示す図である。図18に示す機器情報は、図11に示した領域「EU」に対応する個人データ定義に対応する項目に個人データ情報が付与されている。個人データ情報は、機器イベントデータに含まれる項目のうち、個人情報を含む項目を特定するための情報である。また、個人データ情報には、個人情報に該当する情報を特定するための個人フラグおよび機器イベントを実行した利用者を識別するための利用者情報が含まれている。個人データ情報は、機密データ情報の一例である。また、利用者情報は、利用者識別情報の一例である。
図18に示す機器情報は、ステップS33によって個人データ定義に対応する項目の個人フラグ「ON」が付与されることにより、図16に示した機器イベントデータに含まれる項目のうち、個人情報である項目を特定できるようになっている。また、図18に示す機器情報は、ステップS34によって個人データ定義に対応する機器固有情報の項目に、利用者情報として顧客ID(例えば、MP30-1234 ; AAA)が追加されることにより、機器イベントが実行された機器50aの管理者を特定できるようになっている。さらに、図18に示す機器情報は、ステップS35によって個人データ定義に対応するイベント履歴情報の項目に、利用者情報としてユーザID(例えば、MP30-1234 ; AAA0001)が追加されることにより、機器50aを用いて機器イベントを実行した個人ユーザを特定できるようになっている。これにより、機器50aは、実行した機器イベントの内容を示す機器イベントデータに対して、個人情報に該当する項目に個人データ情報を付与することにより、機器イベントデータのうちで個人情報に該当するデータを特定することができるとともに、個人データ情報が付与されたデータのみを削除することができる。また、機器50aは、利用者情報を含む機器情報を生成することで、生成された機器情報が個人情報として取り扱われる利用者を特定することができるので、利用者からの要求に応じて、要求された利用者に関するデータを特定して削除することができる。
図15に戻り、遠隔機器管理システム1における機器情報の取得処理の説明を続ける。ステップS15において、機器50aの記憶・読出部59aは、記憶部5000aに記憶された遠隔機器管理装置10aの宛先情報5005aを読み出す。そして、ステップS16において、機器50aの送受信部51aは、ステップS15によって読み出された宛先情報5005aに示される遠隔機器管理装置10aへ、図17の処理において生成された機器情報を送信する。
なお、図17に示した個人データ情報の付与処理は、遠隔機器管理装置10aによって実行されてもよい。この場合、機器50aの送受信部51aは、機器イベント実行部52aによって取得された機器イベントデータを、遠隔機器管理装置10aへ送信する。遠隔機器管理装置10aの機器情報処理部12aは、送受信部11aによって受信された機器イベントデータ、および個人データ定義管理DB1003aに記憶された個人データ定義に基づいて、個人データ情報が付与された機器情報を生成する。機器情報処理部12aにおける機器情報の生成処理は、図17に示した内容と同様である。
○機器情報の記憶○
続いて、図19乃至図21を用いて、図15乃至図18に示した処理において機器50aによって生成された機器情報を、遠隔機器管理装置10および機器情報利用装置90に記憶させる処理について説明する。図19は、遠隔機器管理システムにおける機器情報の記憶処理の一例を示すシーケンス図である。なお、図19は、遠隔機器管理装置10a、機器情報利用装置90aおよび機器情報利用装置90bにおいて、機器50aによって生成された機器情報に対する処理を行う場合の例である。
ステップS51において、遠隔機器管理装置10aの記憶・読出部19aは、処理情報管理DB1005a(図12(a)参照)に記憶された処理情報を読み出す。ステップS52において、遠隔機器管理装置10aの判断部14aは、ステップS51によって読み出された処理情報の内容に基づいて、ステップS16によって受信された機器情報に対する処理の内容を特定する。図12(a)の例では、処理情報に含まれる処理の内容が「記憶/転送」であり、送信先が「機器情報利用装置90a」であるため、判断部14aは、「機器情報を自装置に記憶し、機器情報利用装置90aへ転送する」処理を特定する。
ステップS53において、遠隔機器管理装置10aの送受信部11aは、ステップS52によって特定された処理に基づいて、ステップS16によって受信された機器情報を、機器情報利用装置90aへ送信(転送)する。これにより、機器情報利用装置90aの送受信部91aは、遠隔機器管理装置10aから送信(転送)された機器情報を受信する。また、ステップS54において、遠隔機器管理装置10aの記憶・読出部19aは、ステップS16によって受信された機器情報を、機器情報管理DB1007aに記憶する。なお、ステップS53の処理とステップS54の処理の順序は前後してもよく、または並行して行われてもよい。
ステップS55において、遠隔機器管理装置10aの処理履歴情報生成部13aは、機器情報に対して実行した処理の履歴を示す処理履歴情報を生成する。この場合、処理履歴情報生成部13aは、処理の履歴として、「遠隔機器管理装置10aに記憶および機器情報利用装置90aへ転送」の履歴を示す処理履歴情報を生成する。ここで、処理履歴情報生成部13aによって生成される処理履歴情報には、図14に示したように、処理が実行された機器情報(機器イベントデータ)を識別するデータ識別情報、および機器情報(機器イベントデータ)に対する処理内容を識別する処理内容識別情報が含まれている。また、処理履歴情報は、例えば、機器情報が他の処理装置へ送信された履歴を示す。さらに、処理履歴情報は、例えば、機器情報が処理装置に記憶された履歴を示す。処理履歴情報は、機器情報が記憶される処理装置を識別する装置識別情報の一例である。
ステップS56において、遠隔機器管理装置10aの送受信部11aは、ステップS55によって生成された処理履歴情報を、個人情報管理装置30へ送信する。これにより、個人情報管理装置30の送受信部31は、遠隔機器管理装置10aから送信された処理履歴情報を受信する。ステップS57において、個人情報管理装置30の処理履歴情報管理部32は、ステップS56によって受信された処理履歴情報を、処理履歴情報管理DB3003(図14参照)に記憶させる。
ステップS58において、機器情報利用装置90aの記憶・読出部99aは、処理情報管理DB9001a(図12(b)参照)に記憶された処理情報を読み出す。ステップS59において、機器情報利用装置90aの判断部94aは、ステップS58によって読み出された処理情報の内容に基づいて、ステップS53によって受信された機器情報に対する処理の内容を特定する。図12(b)の例では、処理情報に含まれる処理の内容が「転送」であり、送信先が「機器情報利用装置90b」であるため、判断部94aは、「機器情報を機器情報利用装置90bへ転送する」処理を特定する。
ステップS60において、機器情報利用装置90aの送受信部91aは、ステップS53によって受信された機器情報を、機器情報利用装置90bへ送信(転送)する。これにより、機器情報利用装置90bの送受信部91bは、機器情報利用装置90aから送信(転送)された機器情報を受信する。
ステップS61において、機器情報利用装置90aの処理履歴情報生成部93aは、機器情報に対して実行した処理の履歴を示す処理履歴情報を生成する。この場合、処理履歴情報生成部93aは、処理の履歴として、「機器情報利用装置90bへ転送」の履歴を示す処理履歴情報を生成する。
ステップS62において、機器情報利用装置90aの送受信部91aは、ステップS61によって生成された処理履歴情報を、個人情報管理装置30へ送信する。これにより、個人情報管理装置30の送受信部31は、機器情報利用装置90aから送信された処理履歴情報を受信する。ステップS63において、個人情報管理装置30の処理履歴情報管理部32は、ステップS62によって受信された処理履歴情報を、処理履歴情報管理DB3003(図14参照)に記憶させる。
ステップS64において、機器情報利用装置90bの記憶・読出部99bは、処理情報管理DB9001b(図12(c)参照)に記憶された処理情報を読み出す。ステップS65において、機器情報利用装置90bの判断部94bは、ステップS64によって読み出された処理情報の内容に基づいて、ステップS60によって受信された機器情報に対する処理の内容を特定する。図12(c)の例では、処理情報に含まれる処理の内容が「記憶」であるため、判断部94bは、「機器情報を自装置に記憶する」処理を特定する。
ステップS66において、機器情報利用装置90bの記憶・読出部99bは、ステップS60によって受信された機器情報を、機器情報管理DB9003bに記憶させる。ステップS67において、機器情報利用装置90bの処理履歴情報生成部93bは、機器情報に対して実行した処理の履歴を示す処理履歴情報を生成する。この場合、処理履歴情報生成部93bは、処理の履歴として、「機器情報利用装置90bに記憶」の履歴を示す処理履歴情報を生成する。
ステップS68において、機器情報利用装置90bの送受信部91bは、ステップS67によって生成された処理履歴情報を、個人情報管理装置30へ送信する。これにより、個人情報管理装置30の送受信部31は、機器情報利用装置90bから送信された処理履歴情報を受信する。ステップS69において、個人情報管理装置30の処理履歴情報管理部32は、ステップS68によって受信された処理履歴情報を、処理履歴情報管理DB3003(図14参照)に記憶させる。ここで、図19の処理によって個人情報管理装置30に記憶される処理履歴情報の一例を図21(a)に示す。図21(a)に示す処理履歴情報は、ステップS56、ステップS62およびステップS68によって個人情報管理装置30によって受信された処理履歴情報である。これにより、個人情報管理装置30は、処理履歴情報管理DB3003に処理履歴情報を記憶させて管理することで、機器50aによって生成された機器情報に対して各装置が実行した処理の内容を特定することができるとともに、機器情報がどの装置に記憶されているかを特定することができる。
ここで、図20を用いて、図19に示した機器情報の記憶処理の別の例を説明する。図20は、遠隔機器管理システムにおける機器情報の記憶処理の別の例を示すシーケンス図である。なお、図20は、機器50bが電子黒板300であり、遠隔機器管理装置10bが機器50bによって生成された機器情報に対する処理を行う場合の例である。
ステップS71において、機器50bの送受信部51bは、機器情報生成部53bによって生成された機器情報を、遠隔機器管理装置10bへ送信する。機器情報生成部53bによる機器情報の生成処理の内容は、図15および図17に示した処理と同様であるため、説明を省略する。これにより、遠隔機器管理装置10bの送受信部11bは、機器50bから送信された機器情報を受信する。
ステップS72において、遠隔機器管理装置10bの記憶・読出部19bは、処理情報管理DB1005b(図12(d))に記憶された処理情報を読み出す。ステップS73において、遠隔機器管理装置10bの判断部14bは、ステップS72によって読み出された処理情報の内容に基づいて、ステップS71によって受信された機器情報に対する処理の内容を特定する。図12(d)の例では、処理情報に含まれる処理の内容が「記憶」であるため、判断部14bは、「機器情報を自装置に記憶する」処理を特定する。
ステップS74において、遠隔機器管理装置10bの記憶・読出部19bは、ステップS71によって受信された機器情報を、機器情報管理DB1007bに記憶させる。ステップS75において、遠隔機器管理装置10bの処理履歴情報生成部13bは、機器情報に対して実行した処理の履歴を示す処理履歴情報を生成する。この場合、処理履歴情報生成部13aは、処理の履歴として、「遠隔機器管理装置10bに記憶」の履歴を示す処理履歴情報を生成する。
ステップS76において、遠隔機器管理装置10bの送受信部11bは、ステップS75によって生成された処理履歴情報を、個人情報管理装置30へ送信する。これにより、個人情報管理装置30の送受信部31は、遠隔機器管理装置10bから送信された処理履歴情報を受信する。ステップS77において、個人情報管理装置30の処理履歴情報管理部32は、ステップS76によって受信された処理履歴情報を、処理履歴情報管理DB3003(図14参照)に記憶させる。ここで、図20の処理によって個人情報管理装置30に記憶される処理履歴情報の一例を図21(b)に示す。図21(b)に示す処理履歴情報は、ステップS76によって個人情報管理装置30によって受信された処理履歴情報である。これにより、個人情報管理装置30は、処理履歴情報管理DB3003に処理履歴情報を記憶させて管理することで、機器50bによって生成された機器情報に対しても遠隔機器管理装置10bによって実行された処理の内容を特定することができるとともに、機器情報がどの装置に記憶されているかを特定することができる。
○記憶先の選択○
続いて、図22乃至図24を用いて、機器50aにおいて機器情報の記憶先を選択する処理について説明する。図22は、遠隔機器管理システムにおける機器情報の記憶処理の別の例を示すフローチャートである。なお、図22のステップS311~ステップS314に示した処理は、図15のステップS11~ステップS14の処理と同様であるため、説明を省略する。機器50aは、ステップS311~ステップS314の処理を実行することで、図18に示したような機器情報を生成する。
ステップS315において、機器50aは、ステップS314の処理によって生成された機器情報の記憶先を特定する処理を行う。ここで、図23を用いて、記憶先特定処理の詳細を説明する。図23は、機器情報の記憶先の特定処理の一例を示すフローチャートである。
ステップS331において、機器50aの表示制御部57aは、ディスプレイ(例えば、図5に示したパネル表示部240a)に、記憶先選択画面6300を表示させる。図24は、記憶先選択画面の一例を示す図である。図24に示す記憶先選択画面6300は、機器情報の記憶先を利用者に選択させるための表示画面である。記憶先選択画面6300には、機器情報の記憶先を選択するための記憶先選択領域6310、記憶先選択領域6310で選択された記憶先へ機器情報を送信する(記憶させる)場合に押下される「送信」ボタン6320、記憶先の選択処理を中止する場合に押下される「キャンセル」ボタン6325、および入力操作を行うためのポインタ6350が含まれている。このうち、記憶先選択領域6310には、選択可能な項目として、「全て」、「オンプレミス環境に記憶」、「クラウド環境に記憶」および「記憶先の領域を指定」の項目が含まれている。ここで、記憶先選択領域に含まれる「全て」の項目が選択された場合、サーバシステム4を構成する装置ごとに記憶された処理情報(図12参照)の設定に基づいて、機器情報が送信される。また、記憶先選択領域6310に含まれる「オンプレミス環境に記憶」が選択された場合、機器50aの判断部55aは、ローカルネットワーク7に存在する装置への機器情報の送信を許可する。さらに、記憶先選択領域6310に含まれる「クラウド環境に記憶」が選択された場合、クラウド環境に存在するサーバシステム4を構成する装置への機器情報の送信を許可する。
また、記憶先選択領域6310には、「記憶先の領域を指定」の項目が選択された場合に記憶先の領域を選択または入力可能な入力領域6315が含まれている。この場合、記憶先選択領域6310に含まれる「記憶先の領域を指定」が選択されて入力領域6315に所定の領域が入力(選択)された場合、入力領域6315に入力(選択)された領域に対してのみ、機器情報の送信を許可する。
ステップS332において、利用者が記憶先選択画面6300に含まれる記憶先選択領域6310を用いて記憶先を選択し、「送信」ボタン6320を選択することによって、受付部56aは、記憶先選択領域6310の左側にあるチェックボックスが選択された記憶先の選択を受け付ける。
ステップS333において、機器50aの判断部55aは、受付部56aによって受け付けられた選択情報に基づいて、オンプレミス環境での機器情報の記憶を許可するか否かを判断する。この場合、判断部55aは、記憶先選択領域6310における「全て」または「オンプレミス環境に記憶」の選択が受付部56aによって受け付けられた場合、機器情報のオンプレミス環境での記憶を許可する。判断部55aは、機器情報のオンプレミス環境での記憶を許可する場合、処理をステップS334へ移行させる。一方で、判断部55aは、記憶先選択領域6310における「全て」および「オンプレミス環境に記憶」が選択されていない場合、オンプレミス環境への記憶を許可しない。判断部55aは、機器情報のオンプレミス環境での記憶を許可しない場合、処理をステップS335へ移行させる。
ステップS334において、機器50aの送受信部51aは、オンプレミス環境であるローカルネットワーク7に存在する機器情報利用装置90cへ、機器情報を送信する。この場合、機器50aの判断部55aは、例えば、ローカルネットワーク7に存在する装置を検索するため、プライベートIPアドレスを有する装置を検索する。そして、送受信部51aは、検索されたプライベートIPアドレスが示す装置(例えば、機器情報利用装置90c)に対して、機器情報を送信する。これにより、機器情報利用装置90cの送受信部91cは、機器50aから送信された機器情報を受信する。そして、機器情報利用装置90cの記憶・読出部99cは、機器情報管理DB9003cに機器情報を記憶させる。
ステップS335において、機器50aの判断部55aは、受付部56aによって受け付けられた選択情報に基づいて、クラウド環境への機器情報の記憶を許可するか否かを判断する。この場合、判断部55aは、記憶先選択領域6310における「全て」または「クラウド環境に記憶」の選択が受付部56aによって受け付けられた場合、機器情報のクラウド環境への記憶を許可する。判断部55aは、機器情報のクラウド環境への記憶を許可する場合、処理をステップS336へ移行させる。一方で、判断部55aは、記憶先選択領域6310における「全て」および「クラウド環境に記憶」が選択されていない場合、クラウド環境への記憶を許可しない。判断部55aは、機器情報のクラウド環境への記憶を許可しない場合、処理を終了する。この場合、機器50aは、クラウド環境に存在する装置に対して機器情報の送信を行わない。
ステップS336において、機器50aの記憶・読出部59aは、記憶部5000aに記憶された遠隔機器管理装置10aの宛先情報5005aを読み出す。
ステップS337において、機器50aの判断部55aは、受付部56aによって受け付けられた選択情報に基づいて、機器情報を記憶させる記憶先の属する領域の指定があるか否かを判断する。この場合、判断部55aは、記憶先選択領域6310における「記憶先の領域を指定」の選択が受付部56aによって受け付けられた場合、記憶先の属する領域の指定があると判断し、処理をステップS338へ移行させる。ステップS338において、機器50aの送受信部51aは、機器情報、および入力領域6315において指定された領域を示す領域情報を、ステップS336によって読み出された宛先情報5005aに示される遠隔機器管理装置10aへ送信する。これにより、遠隔機器管理装置10aの送受信部11aは、機器情報および領域情報を受信する。そして、遠隔機器管理装置10aは、図19または図20に示した処理を実行することで、クラウド環境に存在する各装置(サーバシステム4を構成する各装置)へ、機器情報を記憶させる処理を実行する。この場合、機器50aから送信された機器情報は、送受信部11aによって受信された領域情報に示される領域に属する装置のみに記憶される。そのため、遠隔機器管理システム1は、利用者によって選択された限られた領域のみに対して機器情報を記憶させることができるので、機器情報に含まれる個人情報の流出に伴うリスクを低減させることができる。
一方で、ステップS337において、判断部55aは、記憶先選択領域6310における「記憶先の領域を指定」が選択されていない場合、記憶先の属する領域の指定がないと判断し、処理をステップS339へ移行させる。ステップS339において、機器50aの送受信部51aは、ステップS336によって読み出された宛先情報5005aに示される遠隔機器管理装置10aへ機器情報を送信する。これにより、遠隔機器管理装置10aの送受信部11aは、機器情報を受信する。そして、遠隔機器管理装置10aは、図19または図20に示した処理を実行することで、クラウド環境に存在する各装置(サーバシステム4を構成する各装置)へ、機器情報を記憶させる処理を実行する。
したがって、機器50は、利用者が記憶先選択画面6300を用いて選択した記憶先のみに対して機器情報を記憶させることで、機器情報の記憶先を利用者が選択した環境に属する記憶先に限定することができるとともに、データが流出した場合のリスクを低減させることができる。
●個人情報の削除
○個人ユーザによる削除○
続いて、図25乃至図36を用いて、遠隔機器管理装置10および機器情報利用装置90に記憶された機器情報に含まれる個人情報を削除する処理について説明する。まず、図25乃至図28を用いて、機器50を利用する個人ユーザからの個人情報の削除要求を受け付ける場合の処理について説明する。図25は、遠隔機器管理システムにおける個人情報の削除処理の一例を示すシーケンス図である。
ステップS101において、機器50の受付部56は、所定の入力画面に対する入力操作によって、入力操作を行った個人ユーザの個人情報を削除するための個人情報の削除要求を受け付ける。ここで、個人情報の削除要求には、入力操作を行った個人ユーザのユーザIDが含まれている。この場合、個人情報の削除要求には、ユーザID「AAA0001」が含まれているものとする。ステップS102において、機器50は、受付部56によって個人情報の削除要求が受け付けられた場合、機器情報管理DB5003に記憶されている機器情報に含まれる個人情報を削除する。ここで、図26を用いて、個人ユーザからの要求に応じて、機器50に記憶された個人情報を削除する処理について説明する。図26は、個人ユーザからの要求に応じた個人情報の削除処理の一例を示すフローチャートである。
ステップS131において、機器情報処理部54は、受付部56によって受け付けられた個人情報の削除要求に含まれるユーザIDを取得する。ステップS132において、記憶・読出部59は、機器情報管理DB5003に記憶された機器情報を読み出す。ステップS133において、判断部55は、ステップS132によって読み出された機器情報に含まれる項目のうち、個人フラグが「ON」の項目が存在する場合、処理をステップS134へ移行させる。一方で、判断部55は、ステップS132によって読み出された機器情報に含まれる項目のうち、個人フラグが「ON」の項目が存在しない場合、処理をステップS137へ移行させる。
ステップS134において、判断部55は、ステップS132によって読み出された機器情報に含まれる項目のうち、ステップS131によって取得されたユーザIDに対応する利用者情報が付与された項目が存在する場合、処理をステップS135へ移行させる。一方で、判断部55は、ステップS132によって読み出された機器情報に含まれる項目のうち、ステップS131によって取得されたユーザIDに対応する利用者情報が付与された項目が存在しない場合、処理をステップS136へ移行させる。
ステップS135において、機器情報処理部54は、ステップS133およびステップS134の処理の結果、該当する項目に関連づけられたデータを削除する。具体的には、機器情報処理部54は、例えば、図18に示した機器情報のうち、ユーザIDに対応する利用者情報が付与されている項目(ユーザ名およびカウンタ)に関連づけられたデータを削除する。
ステップS136において、判断部55は、個人フラグが「ON」の他の項目が存在する場合、ステップS134からの処理を繰り返す。一方で、判断部55は、個人フラグが「ON」の他の項目が存在しない場合、処理をステップS137へ移行させる。
ステップS137において、判断部55は、記憶・読出部59によって機器情報管理DB5003を検索することにより、他の機器情報が存在しない場合、処理を終了する。一方で、判断部55は、記憶・読出部59によって機器情報管理DB5003を検索することにより、他の機器情報が存在する場合、ステップS133からの処理を繰り返す。図27は、個人情報が削除された機器情報の一例を示す図である。図27に示す機器情報は、ステップS135の処理によってユーザIDに対応する利用者情報が付与されている項目に関連づけられたデータが削除されている。図18に示した機器情報と比較すると、図27に示す機器情報は、イベント履歴情報に含まれる「ユーザ名」および「カウンタ」の項目のデータが削除されている。削除されるデータとしては、機器イベントの内容、イベント発生時刻、並びに個人フラグおよび利用者情報を含む個人データ情報である。図27に示す機器情報は、削除されたデータに変えて、アスタリスク(********)が付与されている。これにより、機器情報処理部54は、機器情報管理DB5003に記憶された機器情報のうち、個人情報の削除を要求した個人ユーザのユーザIDが関連づけられた項目のデータのみを削除することができる。なお、機器情報処理部54によって削除されるデータは、これに限られず、例えば、個人フラグが削除されないまたは個人フラグが「OFF」にされる構成であってもよい。
図25に戻り、遠隔機器管理システム1における個人情報の削除処理の説明を続ける。ステップS103において、機器50の送受信部51は、個人情報の削除を要求する個人情報削除要求を、個人情報管理装置30へ送信する。具体的には、機器50の記憶・読出部59は、記憶部5000を検索することにより、個人情報管理装置30の宛先を示す宛先情報5005を読み出す。そして、送受信部51は、記憶・読出部59によって読み出された宛先情報5005に示される個人情報管理装置30へ、個人情報削除要求を送信する。ここで、個人情報削除要求には、ステップS101において受付部56によって受け付けられる所定の入力操作を行った個人ユーザを識別するためのユーザIDが含まれている。この場合、個人情報削除要求には、ユーザID「AAA0001」が含まれているものとする。これにより、個人情報管理装置30の送受信部31は、機器50から送信された個人情報削除要求を受信する。
ステップS104において、個人情報管理装置30の送受信部31は、ステップS103によって個人情報削除要求が受信された場合、顧客情報取得要求を、遠隔機器管理装置10aへ送信する。ここで、顧客情報取得要求には、ステップS103によって受信された個人情報削除要求に含まれるユーザIDと同一のユーザIDが含まれている。これにより、遠隔機器管理装置10aの送受信部11aは、個人情報管理装置30から送信された顧客情報取得要求を受信する。
ステップS105において、遠隔機器管理装置10aの記憶・読出部19aは、ステップS104によって受信された顧客情報取得要求に含まれるユーザIDを検索キーとして利用者情報管理DB1001a(図10参照)を検索することにより、このユーザIDが関連づけられた顧客IDを読み出す。この場合、記憶・読出部19aは、例えば、ユーザID「AAA0001」が関連づけられた顧客ID「AAA」を読み出す。
ステップS106において、遠隔機器管理装置10aの送受信部11aは、ステップS105によって読み出された顧客IDを、個人情報管理装置30へ送信する。これにより、個人情報管理装置30の送受信部31は、遠隔機器管理装置10aから送信された顧客IDを受信する。
ステップS107において、個人情報管理装置30の記憶・読出部39は、ステップS106によって受信された顧客IDを検索キーとして契約情報管理DB3001(図13(a)参照)を検索することにより、この顧客IDが関連づけられた契約情報を読み出す。この場合、記憶・読出部39は、例えば、顧客ID「AAA」が関連づけられた契約情報を読み出す。
ステップS108において、個人情報管理装置30の記憶・読出部39は、ステップS107によって読み出された契約情報に含まれる機種機番IDを検索キーとして処理履歴情報管理DB3003(図14参照)を検索することにより、この機種機番IDが関連づけられた処理履歴情報を読み出す。この場合、記憶・読出部39は、例えば、機種機番ID「MP30-1234」が関連づけられた処理履歴情報を読み出す。
ステップS109において、個人情報管理装置30の判断部33は、ステップS108によって読み出された処理履歴情報に基づいて、機器情報が記憶された記憶先を特定する。具体的には、判断部33は、処理履歴情報に含まれる処理サーバ情報、送信先情報および処理履歴を示す情報に基づいて、個人情報が含まれる機器情報の記憶先を特定する。図14に示した処理履歴情報の場合、判断部33は、「manageA.co.jp」に対応する遠隔機器管理装置10a、および「remoteB.co.eu」に対応する機器情報利用装置90bを、機器情報の記憶先として特定する。
ステップS110において、個人情報管理装置30の送受信部31は、ステップS109によって記憶先として特定された遠隔機器管理装置10aへ、個人情報削除要求を送信する。この個人情報削除要求には、ステップS103によって受信された個人情報削除要求に含まれるユーザIDと同一のユーザIDが含まれる。これにより、遠隔機器管理装置10aの送受信部11aは、個人情報管理装置30から送信された個人情報削除要求を受信する。
ステップS111において、遠隔機器管理装置10aは、ステップS110によって個人情報削除要求が受信された場合、機器情報管理DB1007aに記憶されている機器情報に含まれる個人情報を削除する。ここで、機器50の場合と同様に、図26を用いて、個人ユーザからの要求に応じて、遠隔機器管理装置10aに記憶された個人情報を削除する処理について説明する。
ステップS131において、機器情報処理部12aは、送受信部11aによって受信された個人情報削除要求に含まれるユーザIDを取得する。ステップS132において、記憶・読出部19aは、機器情報管理DB1007に記憶された機器情報を読み出す。ステップS133において、判断部14aは、ステップS132によって読み出された機器情報に含まれる項目のうち、個人フラグが「ON」の項目が存在する場合、処理をステップS134へ移行させる。一方で、判断部14aは、ステップS132によって読み出された機器情報に含まれる項目のうち、個人フラグが「ON」の項目が存在しない場合、処理をステップS137へ移行させる。
ステップS134において、判断部14aは、ステップS132によって読み出された機器情報に含まれる項目のうち、ステップS131によって取得されたユーザIDに対応する利用者情報が付与された項目が存在する場合、処理をステップS135へ移行させる。一方で、判断部14aは、ステップS132によって読み出された機器情報に含まれる項目のうち、ステップS131によって取得されたユーザIDに対応する利用者情報が付与された項目が存在しない場合、処理をステップS136へ移行させる。
ステップS135において、機器情報処理部12aは、ステップS133およびステップS134の処理の結果、該当する項目に関連づけられたデータを削除する。ステップS136において、判断部14aは、個人フラグが「ON」の他の項目が存在する場合、ステップS134からの処理を繰り返す。一方で、判断部14aは、個人フラグが「ON」の他の項目が存在しない場合、処理をステップS137へ移行させる。ステップS137において、判断部14aは、記憶・読出部19aによって機器情報管理DB1007aを検索することにより、他の機器情報が存在しない場合、処理を終了する。一方で、判断部14aは、記憶・読出部19aによって機器情報管理DB1007aを検索することにより、他の機器情報が存在する場合、ステップS133からの処理を繰り返す。なお、機器情報処理部12aによって個人情報が削除された機器情報は、図27に示した内容と同様であるため、説明を省略する。これにより、機器情報処理部12aは、機器情報管理DB1007aに記憶された機器情報のうち、個人情報の削除を要求した個人ユーザのユーザIDが関連づけられた項目のデータのみを削除することができる。
図25に戻り、遠隔機器管理システム1における個人情報の削除処理の説明を続ける。ステップS112において、遠隔機器管理装置10aの送受信部11aは、個人情報が削除されたことを示す削除結果通知を、個人情報管理装置30へ送信する。この削除結果通知には、機器情報処理部12aによって個人情報が削除された機器情報の機器情報ID、機種機番ID、削除処理が行われた遠隔機器管理装置10aの宛先情報、個人情報を削除したことを示す処理履歴の情報、および削除処理が行われた処理時刻が含まれる。これにより、個人情報管理装置30の送受信部31は、遠隔機器管理装置10aから送信された削除結果通知を受信する。
ステップS113において、個人情報管理装置30の送受信部31は、ステップS109によって記憶先として特定された機器情報利用装置90bへ、個人情報削除要求を送信する。この個人情報削除要求には、ステップS103によって受信された個人情報削除要求に含まれるユーザIDと同一のユーザIDが含まれる。これにより、機器情報利用装置90bの送受信部91bは、個人情報管理装置30から送信された個人情報削除要求を受信する。
ステップS114において、機器情報利用装置90bは、ステップS113によって個人情報削除要求が受信された場合、機器情報管理DB9003bに記憶されている機器情報に含まれる個人情報を削除する。ここで、機器50および遠隔機器管理装置10aの場合と同様に、図26を用いて、個人ユーザからの要求に応じて、機器情報利用装置90bに記憶された個人情報を削除する処理について説明する。
ステップS131において、機器情報処理部92bは、送受信部11bによって受信された個人情報削除要求に含まれるユーザIDを取得する。ステップS132において、記憶・読出部99bは、機器情報管理DB9003bに記憶された機器情報を読み出す。ステップS133において、判断部94bは、ステップS132によって読み出された機器情報に含まれる項目のうち、個人フラグが「ON」の項目が存在する場合、処理をステップS134へ移行させる。一方で、判断部94bは、ステップS132によって読み出された機器情報に含まれる項目のうち、個人フラグが「ON」の項目が存在しない場合、処理をステップS137へ移行させる。
ステップS134において、判断部94bは、ステップS132によって読み出された機器情報に含まれる項目のうち、ステップS131によって取得されたユーザIDに対応する利用者情報が付与された項目が存在する場合、処理をステップS135へ移行させる。一方で、判断部94bは、ステップS132によって読み出された機器情報に含まれる項目のうち、ステップS131によって取得されたユーザIDに対応する利用者情報が付与された項目が存在しない場合、処理をステップS136へ移行させる。
ステップS135において、機器情報処理部92bは、ステップS133およびステップS134の処理の結果、該当する項目に関連づけられたデータを削除する。ステップS136において、判断部94bは、個人フラグが「ON」の他の項目が存在する場合、ステップS134からの処理を繰り返す。一方で、判断部94bは、個人フラグが「ON」の他の項目が存在しない場合、処理をステップS137へ移行させる。ステップS137において、判断部94bは、記憶・読出部99bによって機器情報管理DB9003bを検索することにより、他の機器情報が存在しない場合、処理を終了する。一方で、判断部94bは、記憶・読出部99bによって機器情報管理DB9003bを検索することにより、他の機器情報が存在する場合、ステップS133からの処理を繰り返す。なお、機器情報処理部92bによって個人情報が削除された機器情報は、図27に示した内容と同様であるため、説明を省略する。これにより、機器情報処理部92bは、機器情報管理DB9003bに記憶された機器情報のうち、個人情報の削除を要求した個人ユーザのユーザIDが関連づけられた項目のデータのみを削除することができる。また、個人情報管理装置30は、処理履歴情報管理DB3003に処理履歴情報を記憶させて管理することで、利用者からの個人情報の削除要求に応じて、特定の機器情報利用装置90へ個人情報の削除要求を送信することができるとともに、特定の機器情報利用装置90に記憶された個人情報を削除することができる。
図25に戻り、遠隔機器管理システム1における個人情報の削除処理の説明を続ける。ステップS115において、機器情報利用装置90bの送受信部91bは、個人情報が削除されたことを示す削除結果通知を、個人情報管理装置30へ送信する。この削除結果通知には、機器情報処理部92bによって個人情報が削除された機器情報の機器情報ID、機種機番ID、削除処理が行われた機器情報利用装置90bの宛先情報、個人情報を削除したことを示す処理履歴の情報、および削除処理が行われた処理時刻が含まれる。これにより、個人情報管理装置30の送受信部31は、機器情報利用装置90bから送信された削除結果通知を受信する。
ステップS116において、個人情報管理装置30の処理履歴情報管理部32は、ステップS112およびステップS115によって受信された削除結果通知に基づいて、処理履歴情報管理DB3003に記憶された処理履歴情報を更新する。処理履歴情報管理部32によって更新された処理履歴情報の一例を図28に示す。図28に示す処理履歴情報は、ステップS112およびステップS115によって個人情報管理装置30によって受信された削除結果通知の内容が反映されたものである。図28に示す処理履歴情報は、処理履歴が「削除」の項目に、処理サーバ情報として個人情報の削除処理が行われた装置(manageA.co.jp(遠隔機器管理装置10a)およびremoteB.co.eu(機器情報利用装置90b)の情報が関連づけられている。これにより、個人情報管理装置30は、処理履歴情報管理DB3003に個人情報の削除履歴を記憶させて管理することで、個人ユーザからの個人情報の削除要求に応じて、個人情報の削除が行われたかどうかを特定することができるとともに、どの装置に記憶された個人情報が削除されたかを特定することができる。なお、図25に示したステップS110~ステップS112の処理とステップS113~ステップS115の処理の順序は前後してもよく、または並行して行われてもよい。また、図25は、個人情報の削除処理の例を説明したが、個人情報の移転処理または転送処理を行う場合においても同様の処理が行われる。ここで、個人情報の移転処理とは、個人情報に係るデータを削除し、削除したデータを他の装置へ送信する処理である。また、個人情報の転送処理とは、転送元に記憶されている個人情報に係るデータを、転送元に記憶させた状態のままで、転送先へ送信(転送)する処理である。この場合、ステップS103において、個人情報管理装置30の送受信部31は、機器50から送信された、個人情報の移転を要求する個人情報移転要求または個人情報の転送を要求する個人情報転送要求を受信する。
○機器の管理者による削除○
続いて、図29乃至図31を用いて、機器50の管理者からの個人情報の削除要求を受け付ける場合の処理について説明する。図29は、遠隔機器管理システムにおける個人情報の削除処理の一例を示すシーケンス図である。
ステップS151において、機器50の受付部56は、所定の入力画面に対する機器50の管理者による入力操作によって、個人情報を削除するための個人情報の削除要求を受け付ける。ここで、個人情報の削除要求には、入力操作を行った管理者の顧客IDが含まれている。この場合、個人情報の削除要求には、顧客ID「AAA」が含まれているものとする。ステップS152において、機器50は、受付部56によって個人情報の削除要求が受け付けられた場合、機器情報管理DB5003に記憶されている機器情報に含まれる個人情報を削除する。ここで、図30を用いて、機器50の管理者からの要求に応じて、機器50に記憶された個人情報を削除する処理について説明する。図30は、機器の管理者からの要求に応じた個人情報の削除処理の一例を示すフローチャートである。
ステップS171において、機器情報処理部54は、受付部56によって受け付けられた個人情報の削除要求に含まれる顧客IDを取得する。ステップS172において、記憶・読出部59は、機器情報管理DB5003に記憶された機器情報を読み出す。ステップS173において、判断部55は、ステップS172によって読み出された機器情報に含まれる項目のうち、ステップS171によって取得された顧客IDに対応する利用者情報が付与された項目が存在する場合、処理をステップS174へ移行させる。一方で、判断部55は、ステップS172によって読み出された機器情報に含まれる項目のうち、ステップS171によって取得された顧客IDに対応する利用者情報が付与された項目が存在しない場合、処理をステップS175へ移行させる。
ステップS174において、機器情報処理部54は、ステップS172によって読み出された機器情報に含まれる項目のうち、個人フラグが「ON」である全ての項目に関連づけられたデータを削除する。具体的には、機器情報処理部54は、例えば、図18に示した機器情報のうち、個人フラグが「ON」である全ての項目(機器管理者名、電話番号、住所、IPアドレス、ユーザ名およびカウンタ)に関連づけられたデータを削除する。
ステップS175において、判断部55は、記憶・読出部59によって機器情報管理DB5003を検索することにより、他の機器情報が存在しない場合、処理を終了する。一方で、判断部55は、記憶・読出部59によって機器情報管理DB5003を検索することにより、他の機器情報が存在する場合、ステップS173からの処理を繰り返す。図31は、個人情報が削除された機器情報の一例を示す図である。図31に示す機器情報は、ステップS174の処理によって個人フラグが「ON」である全ての項目に関連づけられたデータが削除されている。図18に示した機器情報と比較すると、図31に示す機器情報は、機器固有情報に含まれる「機器管理者名」、「電話番号」、「住所」および「IPアドレス」、並びにイベント履歴情報に含まれる「ユーザ名」および「カウンタ」の項目のデータが削除されている。削除されるデータとしては、機器イベントの内容、イベント発生時刻、並びに個人フラグおよび利用者情報を含む個人データ情報である。図31に示す機器情報は、削除されたデータに変えて、アスタリスク(********)が付与されている。これにより、機器情報処理部54は、機器情報管理DB5003に記憶された機器情報のうち、個人データ情報が関連づけられたデータのみを削除することができる。なお、機器情報処理部54によって削除されるデータは、これに限られず、例えば、個人フラグが削除されないまたは個人フラグが「OFF」にされる構成であってもよい。
図29に戻り、遠隔機器管理システム1における個人情報の削除処理の説明を続ける。ステップS153において、機器50の送受信部51は、個人情報の削除を要求する個人情報削除要求を、個人情報管理装置30へ送信する。具体的には、機器50の記憶・読出部59は、記憶部5000を検索することにより、個人情報管理装置30の宛先を示す宛先情報5005を読み出す。そして、送受信部51は、記憶・読出部59によって読み出された宛先情報5005に示される個人情報管理装置30へ、個人情報削除要求を送信する。ここで、個人情報削除要求には、ステップS151において受付部56によって受け付けられる所定の入力操作を行った機器50の管理者を識別するための顧客IDが含まれている。この場合、個人情報削除要求には、顧客ID「AAA」が含まれているものとする。これにより、個人情報管理装置30の送受信部31は、機器50から送信された個人情報削除要求を受信する。
ステップS154において、個人情報管理装置30の記憶・読出部39は、ステップS153によって受信された顧客IDを検索キーとして契約情報管理DB3001(図13(a)参照)を検索することにより、この顧客IDが関連づけられた契約情報を読み出す。この場合、記憶・読出部39は、例えば、顧客ID「AAA」が関連づけられた契約情報を読み出す。
ステップS155において、個人情報管理装置30の記憶・読出部39は、ステップS154によって読み出された契約情報に含まれる機種機番IDを検索キーとして処理履歴情報管理DB3003(図14参照)を検索することにより、この機種機番IDが関連づけられた処理履歴情報を読み出す。この場合、記憶・読出部39は、例えば、機種機番ID「MP30-1234」が関連づけられた処理履歴情報を読み出す。
ステップS156において、個人情報管理装置30の判断部33は、ステップS155によって読み出された処理履歴情報に基づいて、個人情報が記憶された記憶先を特定する。具体的には、判断部33は、処理履歴情報に含まれる処理サーバ情報、送信先情報および処理履歴を示す情報に基づいて、個人情報が含まれる機器情報の記憶先を特定する。図14に示した処理履歴情報の場合、判断部33は、「manageA.co.jp」に対応する遠隔機器管理装置10a、および「remoteB.co.eu」に対応する機器情報利用装置90bを、機器情報の記憶先として特定する。
ステップS157において、個人情報管理装置30の送受信部31は、ステップS156によって記憶先として特定された遠隔機器管理装置10aへ、個人情報削除要求を送信する。この個人情報削除要求には、ステップS153によって受信された個人情報削除要求に含まれる顧客IDと同一の顧客IDが含まれる。これにより、遠隔機器管理装置10aの送受信部11aは、個人情報管理装置30から送信された個人情報削除要求を受信する。
ステップS158において、遠隔機器管理装置10aは、ステップS157によって個人情報削除要求が受信された場合、機器情報管理DB1007aに記憶されている機器情報に含まれる個人情報を削除する。ここで、機器50の場合と同様に、図30を用いて、機器50の管理者からの要求に応じて、遠隔機器管理装置10aに記憶された個人情報を削除する処理について説明する。
ステップS171において、機器情報処理部12aは、送受信部11aによって受信された個人情報削除要求に含まれる顧客IDを取得する。ステップS172において、記憶・読出部19aは、機器情報管理DB1007aに記憶された機器情報を読み出す。ステップS173において、判断部14aは、ステップS172によって読み出された機器情報に含まれる項目のうち、ステップS171によって取得された顧客IDに対応する利用者情報が付与された項目が存在する場合、処理をステップS174へ移行させる。一方で、判断部14aは、ステップS172によって読み出された機器情報に含まれる項目のうち、ステップS171によって取得された顧客IDに対応する利用者情報が付与された項目が存在しない場合、処理をステップS175へ移行させる。
ステップS174において、機器情報処理部12aは、ステップS172によって読み出された機器情報に含まれる項目のうち、個人フラグが「ON」である全ての項目に関連づけられたデータを削除する。ステップS175において、判断部14aは、記憶・読出部19aによって機器情報管理DB1007aを検索することにより、他の機器情報が存在しない場合、処理を終了する。一方で、判断部14aは、記憶・読出部19aによって機器情報管理DB1007aを検索することにより、他の機器情報が存在する場合、ステップS173からの処理を繰り返す。なお、機器情報処理部12aによって個人情報が削除された機器情報は、図31に示した内容と同様であるため、説明を省略する。これにより、機器情報処理部12aは、機器情報管理DB1007aに記憶された機器情報のうち、個人データ情報が関連づけられたデータのみを削除することができる。
図29に戻り、遠隔機器管理システム1における個人情報の削除処理の説明を続ける。ステップS159において、遠隔機器管理装置10aの送受信部11aは、個人情報が削除されたことを示す削除結果通知を、個人情報管理装置30へ送信する。この削除結果通知には、機器情報処理部12aによって個人情報が削除された機器情報の機器情報ID、機種機番ID、削除処理が行われた遠隔機器管理装置10aの宛先情報、個人情報を削除したことを示す処理履歴の情報、および削除処理が行われた処理時刻が含まれる。これにより、個人情報管理装置30の送受信部31は、遠隔機器管理装置10aから送信された削除結果通知を受信する。
ステップS160において、個人情報管理装置30の送受信部31は、ステップS156によって記憶先として特定された機器情報利用装置90bへ、個人情報削除要求を送信する。この個人情報削除要求には、ステップS153によって受信された個人情報削除要求に含まれる顧客IDと同一の顧客IDが含まれる。これにより、機器情報利用装置90bの送受信部91bは、個人情報管理装置30から送信された個人情報削除要求を受信する。
ステップS161において、機器情報利用装置90bは、ステップS160によって個人情報削除要求が受信された場合、機器情報管理DB9003bに記憶されている機器情報に含まれる個人情報を削除する。ここで、機器50および遠隔機器管理装置10aの場合と同様に、図30を用いて、個人ユーザからの要求に応じて、機器情報利用装置90bに記憶された個人情報を削除する処理について説明する。
ステップS171において、機器情報処理部92bは、送受信部91bによって受信された個人情報削除要求に含まれる顧客IDを取得する。ステップS172において、記憶・読出部99bは、機器情報管理DB9003bに記憶された機器情報を読み出す。ステップS173において、判断部94bは、ステップS172によって読み出された機器情報に含まれる項目のうち、ステップS171によって取得された顧客IDに対応する利用者情報が付与された項目が存在する場合、処理をステップS174へ移行させる。一方で、判断部94bは、ステップS172によって読み出された機器情報に含まれる項目のうち、ステップS171によって取得された顧客IDに対応する利用者情報が付与された項目が存在しない場合、処理をステップS175へ移行させる。
ステップS174において、機器情報処理部92bは、ステップS172によって読み出された機器情報に含まれる項目のうち、個人フラグが「ON」である全ての項目に関連づけられたデータを削除する。ステップS175において、判断部94bは、記憶・読出部99bによって機器情報管理DB9003bを検索することにより、他の機器情報が存在しない場合、処理を終了する。一方で、判断部94bは、記憶・読出部99bによって機器情報管理DB9003bを検索することにより、他の機器情報が存在する場合、ステップS173からの処理を繰り返す。なお、機器情報処理部92bによって個人情報が削除された機器情報は、図31に示した内容と同様であるため、説明を省略する。これにより、機器情報処理部92bは、機器情報管理DB9003bに記憶された機器情報のうち、個人データ情報が関連づけられたデータのみを削除することができる。
図29に戻り、遠隔機器管理システム1における個人情報の削除処理の説明を続ける。ステップS162において、機器情報利用装置90bの送受信部91bは、個人情報が削除されたことを示す削除結果通知を、個人情報管理装置30へ送信する。この削除結果通知には、機器情報処理部92bによって個人情報が削除された機器情報の機器情報ID、機種機番ID、削除処理が行われた機器情報利用装置90bの宛先情報、個人情報を削除したことを示す処理履歴の情報、および削除処理が行われた処理時刻が含まれる。これにより、個人情報管理装置30の送受信部31は、機器情報利用装置90bから送信された削除結果通知を受信する。
ステップS163において、個人情報管理装置30の処理履歴情報管理部32は、ステップS159およびステップS162によって受信された削除結果通知に基づいて、処理履歴情報管理DB3003に記憶された処理履歴情報を更新する。なお、処理履歴情報管理部32によって更新された処理履歴情報は、図28に示した内容と同様であるため、説明を省略する。これにより、個人情報管理装置30は、機器50の管理者から個人情報の削除要求を受け付けた場合、個人ユーザから要求された場合と異なり、機器情報に含まれる項目のうち、個人データ情報が付与された全ての項目のデータを削除する。そのため、個人情報管理装置30は、個人情報の削除要求を要求した利用者(機器50の管理者または個人ユーザ)に応じて、削除対象のデータを異ならせることができるとともに、どの装置に記憶された個人情報が削除されたかを特定することができる。なお、図29に示したステップS157~ステップS159の処理とステップS160~ステップS162の処理の順序は前後してもよく、または並行して行われてもよい。
○処理対象の選択○
続いて、処理対象のデータを利用者に選択させる処理について説明する。図32は、遠隔機器管理システムにおける処理対象のデータの選択処理の一例を示すシーケンス図である。なお、図32に示すステップS181~ステップS189の処理は、図25に示したステップS101~ステップS109の処理と同様であるため、説明を省略する。また、図32は、個人ユーザからの個人情報の削除要求が受け付けられた場合の処理を説明するが、機器50の管理者からの個人情報の削除要求が受け付けられた場合においても同様の処理が行われる。
ステップS190において、個人情報管理装置30の送受信部31は、ステップS189によって処理履歴情報に基づいて特定された記憶先の情報を示す記憶先情報を、機器50へ送信する。ここで、記憶先情報は、ステップS189によって記憶先として特定された装置に記憶されている機器情報を識別するための機器情報ID、その機器情報を生成した機器50bを特定するための情報(名称)、記憶先として特定された装置の名称および宛先情報、記憶先として特定された装置が属する領域を特定するための領域情報(例えば、領域名)、並びにその機器情報が処理された処理時刻の情報が含まれている。記憶先情報は、機器情報(機器イベントデータ)が記憶される処理装置を識別する装置識別情報の一例である。これにより、機器50の送受信部51は、個人情報管理装置30から送信された記憶先情報を受信する。
ステップS191において、機器50の表示制御部57は、送受信部51によって受信された記憶先情報を含む処理対象選択画面6000aを、ディスプレイ(例えば、図5に示すパネル表示部240a)に表示させる。図33は、処理対象選択画面の一例を示す図である。図33に示す処理対象選択画面6000aは、処理対象のデータ(機器情報)を利用者に選択させるための表示画面である。処理対象選択画面6000aには、処理対象のデータ(機器情報)を選択するための処理対象選択領域6010a、処理対象選択領域6010aで選択されたデータ(機器情報)の削除処理を実行する場合に押下される「削除」ボタン6021a、処理対象選択領域6010aで選択されたデータ(機器情報)のみを削除対象としない場合に押下させる「記憶」ボタン6022a、処理対象選択領域6010aで選択されたデータ(機器情報)の移転処理を実行する場合に押下される「移転」ボタン6023a、データ(機器情報)の移転先を示す宛先情報またはサーバ名を入力させる入力領域6024a、処理対象の選択処理を中止する場合に押下される「キャンセル」ボタン6025a、入力操作を行うためのポインタ6050aが含まれている。処理対象選択画面6000aは、データ選択画面の一例である。
このうち、処理対象選択領域6010aには、ステップS190によって受信された記憶先情報に含まれる各情報(データ識別情報および処理内容識別情報)が示されている。利用者は、例えば、処理対象選択領域6010aに示される領域名および処理時刻等の処理内容識別情報、または対象機器等のデータ識別情報を確認することで、削除対象とするまたは削除対象としない個人情報を選択することができる。利用者は、例えば、処理対象選択領域6010に示される領域名を確認し、特定の領域名に関連づけられたチェックボックス(処理対象選択領域6010の左側)を選択することにより、特定の領域に属する装置のみに対する処理を要求することができる。また、利用者は、例えば、処理対象選択領域6010に示される対象装置を確認し、特定の対象装置に関連づけられたチェックボックス(処理対象選択領域6010の左側)を選択することにより、特定の対象装置(機器50)によって生成された機器情報が記憶されている装置のみに対する処理を要求することができる。すなわち、機器50は、データ識別情報および処理内容識別情報を含む処理対象選択画面6000aまたは6000bを表示させることで、処理内容に応じて選択されたデータの削除を要求することができる。なお、処理対象選択領域6010aに含まれる情報は、これに限られず、データ識別情報に該当する機器50を識別するための情報として、機器50のメーカ名等が含まれていてもよい。また、処理対象選択領域6010aに含まれる情報は、処理内容識別情報に該当する処理履歴の情報として、該当する装置によって機器情報が利用されるサービス等の内容を示す情報が含まれていてもよい。さらに、処理対象選択領域6010aには、データ識別情報および処理内容識別情報に該当するデータ(情報)がそれぞれ少なくとも一つ含まれていればよい。
ステップS192において、利用者が処理対象選択領域6010aに含まれるチェックボックス(記憶先情報)を選択し、「削除」ボタン6021aを選択することによって、機器50の受付部56は、削除対象の選択を受け付ける。図33の例では、受付部56は、サーバ名「機器情報利用装置90b」、領域「EU」、機器情報ID「MP30-1234_201808292355」等に関連づけられた項目を削除対象として受け付ける。
ステップS193において、機器50の送受信部51は、ステップS192によって選択された削除対象のデータに係る個人情報の削除を要求する個人情報削除要求を、個人情報管理装置30へ送信する。ここで、個人情報削除要求には、ステップS192によって選択された削除対象に対応する記憶先情報が含まれている。これにより、個人情報管理装置30の送受信部31は、機器50から送信された個人情報削除要求を受信する。ここで、ステップS192において、利用者が処理対象選択領域6010aに含まれるチェックボックス(記憶先情報)を選択し、「記憶」ボタン6022aを選択した場合、機器50の受付部56は、削除対象としないデータの選択を受け付ける。そして、ステップS193において、機器50の送受信部51は、ステップS192によって選択されていないデータに係る個人情報の削除を要求する個人情報削除要求を、個人情報管理装置30へ送信する。この場合、個人情報削除要求には、ステップS192によって選択されていないデータに対応する記憶先情報が含まれている。
ステップS194において、個人情報管理装置30の送受信部31は、ステップS193によって受信された個人情報削除要求に示される記憶先である遠隔機器管理装置10aへ、個人情報削除要求を送信する。これにより、遠隔機器管理装置10aの送受信部11aは、個人情報管理装置30から送信された個人情報削除要求を受信する。
ステップS195において、遠隔機器管理装置10aは、ステップS194によって個人情報削除要求が受信された場合、機器情報管理DB1007aに記憶されている機器情報に含まれる個人情報を削除する。個人情報の削除処理の内容は、図25のステップS111および図26に示した内容と同様であるため、説明を省略する。
ステップS196において、遠隔機器管理装置10aの送受信部11aは、個人情報が削除されたことを示す削除結果通知を、個人情報管理装置30へ送信する。この削除結果通知には、機器情報処理部12aによって個人情報が削除された機器情報の機器情報ID、機種機番ID、削除処理が行われた遠隔機器管理装置10aの宛先情報、個人情報を削除したことを示す処理履歴の情報、および削除処理が行われた処理時刻が含まれる。これにより、個人情報管理装置30の送受信部31は、遠隔機器管理装置10aから送信された削除結果通知を受信する。ステップS197において、個人情報管理装置30の処理履歴情報管理部32は、ステップS196によって受信された削除結果通知に基づいて、処理履歴情報管理DB3003に記憶された処理履歴情報を更新する。なお、処理履歴情報管理部32によって更新された処理履歴情報は、図28に示した内容と同様であるため、説明を省略する。これにより、遠隔機器管理システム1は、処理内容に応じて利用者によって選択された機器情報に含まれる個人情報を、当該個人情報が記憶された記憶先から削除することができる。また、利用者は、装置が設置された領域または機器情報が生成された機器50の種別等に応じて削除対象の機器情報を選択することができるので、削除させる個人情報を柔軟に選択することができる。
なお、図32は、利用者によって選択された処理対象のデータ(個人情報)を削除する処理について説明したが、図33に示した処理対象選択画面6000aにおいて「移転」ボタン6023aが選択された場合、選択された処理対象のデータを移転する処理が行われる。この場合、遠隔機器管理システム1は、利用者によって指定された移転先(入力領域6024a)に対して、データ(機器情報)の移転処理を行う。データ(機器情報)の移転処理とは、機器情報を削除し、削除した機器情報を他の装置へ送信する処理である。また、図33に示した処理対象選択画面6000aは、処理対象選択領域6010aで選択されたデータ(機器情報)の転送処理を実行する場合に押下される「転送」ボタン、およびデータ(機器情報)の転送先を示す宛先情報またはサーバ名を入力させる入力領域を含む構成であってもよい。この場合、「転送」ボタンが選択された場合、選択された処理対象のデータを転送する処理が行われる。遠隔機器管理システム1は、利用者によって指定された転送先に対して、データ(機器情報)の転送処理を行う。データ(機器情報)の転送処理とは、転送元に記憶されている機器情報を、転送元に記憶させた状態のままで、転送先へ送信(転送)する処理である。
○処理対象の選択の別の例○
ここで、図34乃至図36を用いて、機器50による処理対象の選択処理の別の例を説明する。図34および図35は、遠隔機器管理システムにおける処理対象のデータの選択処理の別の例を示すシーケンス図である。図34および図35に示す処理は、それぞれ機器情報を記憶する際に、記憶された機器情報を削除するかどうかを利用者に問い合わせる処理である。まず、図34を用いて、図19に示した機器情報の記憶処理において、個人情報管理装置30に処理履歴情報が記憶される度に、機器50の利用者へ機器情報の削除の有無を問い合わせる処理について説明する。なお、図34のステップS401~ステップS405の処理、ステップS411~ステップS414の処理およびステップS420~ステップS423の処理は、それぞれ図19に示したステップS51~ステップS55の処理、ステップS58~ステップS61の処理およびステップS64~ステップS67の処理と同様であるため、説明を省略する。
ステップS406において、遠隔機器管理装置10aの送受信部11aは、処理履歴情報生成部13aによって生成された処理履歴情報、およびステップS404によって記憶された機器情報に含まれるユーザIDを、個人情報管理装置30へ送信する。これにより、個人情報管理装置30の送受信部31は、遠隔機器管理装置10aから送信された処理履歴情報およびユーザIDを受信する。
ステップS407において、個人情報管理装置30の記憶・読出部39は、ステップS406によって受信されたユーザIDを検索キーとして利用者宛先情報管理DB3002(図13(b)参照)を検索することにより、このユーザIDに関連づけられたユーザ宛先情報を読み出す。ステップS408において、個人情報管理装置30の処理履歴情報管理部32は、ステップS406によって受信された処理履歴情報を、処理履歴情報管理DB3003(図14参照)に記憶させる。なお、ステップS407の処理とステップS408の処理の順序は前後してもよく、または並列して行われてもよい。
ステップS409において、個人情報管理装置30の送受信部31は、処理履歴情報管理DB3003に記憶されている処理履歴情報に基づいて、ステップS406によって受信されたユーザIDに関連づけられた機器情報の記憶先を示す記憶先情報を、ステップS407によって読み出されたユーザ宛先情報に対応する利用者端末60へ送信する。これにより、利用者端末60の送受信部61は、個人情報管理装置30から送信された記憶先情報を受信する。ここで、個人情報管理装置30の送受信部31は、ステップS407によって複数のユーザ宛先情報が読み出された場合、全てのユーザ宛先情報に対して記憶先情報を送信してもよいし、予め設定されたアプリケーションの優先度に応じて一つのユーザ宛先情報に対して記憶先情報を送信してもよい。
ステップS410において、利用者端末60の表示制御部63は、利用者端末60のディスプレイ108に、図33に示した処理対象選択画面6000aを表示させる。これにより、利用者端末60の利用者は、自らの個人情報を含む機器情報がクラウド環境に記憶されたことを確認することができるとともに、処理対象とするデータ(機器情報)を選択することができる。そして、利用者端末60の利用者が処理対象選択画面6000aを用いて処理対象のデータを選択することで、利用者端末60の受付部62は、処理対象のデータの選択を受け付け、送受信部61は、選択された処理対象のデータに係る個人情報の削除を要求する個人情報削除要求を、個人情報管理装置30へ送信する。これにより、図25に示したような個人情報の削除処理が行われる。
同様に、ステップS415において、機器情報利用装置90aの送受信部91aは、処理履歴情報生成部93aによって生成された処理履歴情報、およびステップS403によって受信された機器情報に含まれるユーザIDを、個人情報管理装置30へ送信する。これにより、個人情報管理装置30の送受信部31は、機器情報利用装置90aから送信された処理履歴情報およびユーザIDを受信する。
ステップS416において、個人情報管理装置30の記憶・読出部39は、ステップS415によって受信されたユーザIDを検索キーとして利用者宛先情報管理DB3002(図13(b)参照)を検索することにより、このユーザIDに関連づけられたユーザ宛先情報を読み出す。ステップS417において、個人情報管理装置30の処理履歴情報管理部32は、ステップS416によって受信された処理履歴情報を、処理履歴情報管理DB3003(図14参照)に記憶させる。なお、ステップS416の処理とステップS417の処理の順序は前後してもよく、または並列して行われてもよい。
ステップS418において、個人情報管理装置30の送受信部31は、処理履歴情報管理DB3003に記憶されている処理履歴情報に基づいて、ステップS406によって受信されたユーザIDに関連づけられた機器情報の記憶先を示す記憶先情報を、ステップS416によって読み出されたユーザ宛先情報に対応する利用者端末60へ送信する。これにより、利用者端末60の送受信部61は、個人情報管理装置30から送信された記憶先情報を受信する。これにより、利用者端末60の送受信部61は、個人情報管理装置30から送信された記憶先情報を受信する。
ステップS419において、利用者端末60の表示制御部63は、利用者端末60のディスプレイ108に、図33に示した処理対象選択画面6000aを表示させる。これにより、利用者端末60の利用者は、自らの個人情報を含む機器情報がクラウド環境に記憶されたことを確認することができるとともに、処理対象とするデータ(機器情報)を選択することができる。そして、利用者端末60の利用者が処理対象選択画面6000aを用いて処理対象のデータを選択することで、利用者端末60の受付部62は、処理対象のデータの選択を受け付け、送受信部61は、選択された処理対象のデータに係る個人情報の削除を要求する個人情報削除要求を、個人情報管理装置30へ送信する。これにより、図25に示したような個人情報の削除処理が行われる。
同様に、ステップS424において、機器情報利用装置90bの送受信部91bは、処理履歴情報生成部93bによって生成された処理履歴情報、およびステップS413によって受信された機器情報に含まれるユーザIDを、個人情報管理装置30へ送信する。これにより、個人情報管理装置30の送受信部31は、機器情報利用装置90bから送信された処理履歴情報およびユーザIDを受信する。
ステップS425において、個人情報管理装置30の記憶・読出部39は、ステップS415によって受信されたユーザIDを検索キーとして利用者宛先情報管理DB3002(図13(b)参照)を検索することにより、このユーザIDに関連づけられたユーザ宛先情報を読み出す。ステップS426において、個人情報管理装置30の処理履歴情報管理部32は、ステップS416によって受信された処理履歴情報を、処理履歴情報管理DB3003(図14参照)に記憶させる。なお、ステップS425の処理とステップS426の処理の順序は前後してもよく、または並列して行われてもよい。
ステップS427において、個人情報管理装置30の送受信部31は、処理履歴情報管理DB3003に記憶されている処理履歴情報に基づいて、ステップS406によって受信されたユーザIDに関連づけられた機器情報の記憶先を示す記憶先情報を、ステップS425によって読み出されたユーザ宛先情報に対応する利用者端末60へ送信する。これにより、利用者端末60の送受信部61は、個人情報管理装置30から送信された記憶先情報を受信する。これにより、利用者端末60の送受信部61は、個人情報管理装置30から送信された記憶先情報を受信する。
ステップS428において、利用者端末60の表示制御部63は、利用者端末60のディスプレイ108に、図33に示した処理対象選択画面6000aを表示させる。これにより、利用者端末60の利用者は、自らの個人情報を含む機器情報がクラウド環境に記憶されたことを確認することができるとともに、処理対象とするデータ(機器情報)を選択することができる。そして、利用者端末60の利用者が処理対象選択画面6000aを用いて処理対象のデータを選択することで、利用者端末60の受付部62は、処理対象のデータの選択を受け付け、送受信部61は、選択された処理対象のデータに係る個人情報の削除を要求する個人情報削除要求を、個人情報管理装置30へ送信する。これにより、図25に示したような個人情報の削除処理が行われる。
これにより、遠隔機器管理システム1は、個人情報管理装置30に処理履歴情報が記憶(取得)されたタイミングで利用者端末60に処理対象選択画面6000aを表示させることで、利用者に処理対象とするデータ(機器情報)を選択させることができるとともに、選択された処理対象のデータ(機器情報)に係る個人情報をクラウド環境から削除することができる。なお、図35は、個人情報管理装置30が処理履歴情報を取得または記憶するたびに、利用者に処理対象のデータを選択させる例を説明したが、個人情報管理装置30から利用者端末60へ記憶先情報を送信する処理は、予め設定したタイミング(頻度や回数等)に応じて実行されてもよい。
さらに、図35を用いて、機器50による処理対象の選択処理の別の例を説明する。図35の処理は、図19に示した機器情報の記憶処理において、遠隔機器管理装置10aに機器情報が記憶される際に、遠隔機器管理装置10aから機器50の利用者へ機器情報の削除の有無を問い合わせる処理である。なお、図35のステップS451~ステップS454の処理は、図19に示したステップS51~ステップS54の処理と同様であるため、説明を省略する。
ステップ455において、遠隔機器管理装置10aの送受信部11aは、ステップS454によって記憶された機器情報に含まれるユーザIDによって識別される個人ユーザのユーザ宛先情報を要求するユーザ宛先情報取得要求を、個人情報管理装置30へ送信する。ここで、ユーザ宛先情報取得要求には、ステップS454によって記憶された機器情報に含まれるユーザIDが含まれている。これにより、個人情報管理装置30の送受信部31は、遠隔機器管理装置10aから送信されたユーザ宛先情報取得要求を受信する。
ステップS456において、個人情報管理装置30の記憶・読出部39は、ステップS455によって受信されたユーザ宛先情報取得要求に含まれるユーザIDを検索キーとして利用者宛先情報管理DB3002(図13(b)参照)を検索することにより、このユーザIDに関連づけられたユーザ宛先情報を読み出す。ステップS457において、個人情報管理装置30の送受信部31は、ステップS456によって読み出されたユーザ宛先情報を、遠隔機器管理装置10aへ送信する。ここで、個人情報管理装置30の送受信部31は、ステップS456によって複数のユーザ宛先情報が読み出された場合、全てのユーザ宛先情報を遠隔機器管理装置10aへ送信してもよいし、予め設定されたアプリケーションの優先度に応じて一つのユーザ宛先情報を遠隔機器管理装置10aへ送信してもよい。これにより、遠隔機器管理装置10aの送受信部11aは、個人情報管理装置30から送信されたユーザ宛先情報を受信する。
ステップS458において、遠隔機器管理装置10aの送受信部11aは、機器情報が遠隔機器管理装置10aに記憶されていることを示す記憶先情報を、ステップS457によって受信されたユーザ宛先情報に対応する利用者端末60へ送信する。これにより、利用者端末60の送受信部61は、遠隔機器管理装置10aから送信された記憶先情報を受信する。
ステップS459において、利用者端末60の表示制御部63は、利用者端末60のディスプレイ108に、図33に示した処理対象選択画面6000aを表示させる。これにより、利用者端末60の利用者は、自らの個人情報を含む機器情報が遠隔機器管理装置10aに記憶されたことを確認することができるとともに、処理対象とするデータ(機器情報)を選択することができる。そして、ステップS460において、利用者が処理対象選択領域6010aに含まれるチェックボックス(記憶先情報)を選択し、「削除」ボタン6021aを選択することによって、利用者端末60の受付部62は、削除対象の選択を受け付ける。ここでは、受付部56によって遠隔機器管理装置10aに記憶された機器情報を削除対象とする選択が受け付けられたものとして説明する。
ステップS461において、利用者端末60の送受信部61は、ステップS460によって選択された削除対象のデータに係る個人情報の削除を要求する個人情報削除要求を、遠隔機器管理装置10aへ送信する。ここで、個人情報削除要求には、ステップS460によって選択された削除対象に対応する記憶先情報が含まれている。これにより、遠隔機器管理装置10aの送受信部11aは、利用者端末60から送信された個人情報削除要求を受信する。
ステップS462において、遠隔機器管理装置10aは、機器情報管理DB1007aに記憶されている機器情報のうち、ステップS461によって受信された個人情報削除要求に示される削除対象の機器情報に含まれる個人情報を削除する。個人情報の削除処理の内容は、図26に示した内容と同様であるため、説明を省略する。ステップS463において、遠隔機器管理装置10aの処理履歴情報生成部13aは、機器情報に対して実行した処理の履歴を示す処理履歴情報を生成する。この場合、処理履歴情報生成部13aは、処理の履歴として、「遠隔機器管理装置10aに記憶された個人情報」の履歴を示す処理履歴情報を生成する。なお、ステップS460によって遠隔機器管理装置10aに記憶された機器情報を記憶させた状態にする選択(例えば、「記憶」ボタン6022aまたは「キャンセル」ボタン6025aの選択)が受け付けられた場合、遠隔機器管理装置10aは、ステップS462の処理を行わずに、処理履歴情報生成部13aによって処理の履歴として、「遠隔機器管理装置10aに記憶」の履歴を示す処理履歴情報を生成する。以降のステップS464~ステップS477の処理は、図19に示したステップS56~ステップS69の処理と同様であるため、説明を省略する。
したがって、図34および図35に示したように、遠隔機器管理システム1は、予め設定されたタイミングで管理システム2から利用者端末60へ送信された記憶先情報を利用者端末60に表示させることで、処理対象のデータ(機器情報)を利用者に選択させることができるとともに、選択された処理対象のデータ(機器情報)に係る個人情報を記憶先情報に示される記憶先から削除することできる。
ここで、図36を用いて、処理対象選択画面の別の例を説明する。図36に示される処理対象選択画面6000bには、処理対象選択画面6000aの構成に加えて、機器情報に含まれる項目ごとに処理対象のデータを選択するための項目選択領域6030bが含まれている。項目選択領域6030bには、処理対象のデータ(機器情報)を選択するための対象データ選択領域6031b、および処理対象の項目を示す項目情報を選択するための項目情報選択領域6035bが含まれている。利用者は、対象データ選択領域6031bにおいて処理対象のデータ(機器情報)を選択するとともに、項目情報選択領域6035bにおける項目情報を選択することによって、対象データ選択領域6031bで選択された機器情報における、項目情報選択領域6035bで選択された項目情報に該当するデータの削除を要求することができる。これにより、遠隔機器管理システム1は、利用者端末60に削除対象選択画面6000bを表示させることで、機器情報全体のみでなく、機器情報に含まれる項目ごとに削除対象とするデータを選択させることができる。そして、遠隔機器管理システム1は、選択された項目情報に該当するデータのみを、機器情報が記憶された記憶先から削除することができる。なお、処理対象選択画面6000bに含まれる処理対象選択領域6010b、「削除」ボタン6021b、「記憶」ボタン6022b、「移転」ボタン6023b、入力領域6024b、「キャンセル」ボタン6025bおよびポインタ6050bは、それぞれ図33に示した処理対象選択画面6000aに含まれる処理対象選択領域6010a、「削除」ボタン6021a、「記憶」ボタン6022a、「移転」ボタン6023a、入力領域6024a、「キャンセル」ボタン6025aおよびポインタ6050aと同様である。処理対象選択画面6000bは、データ選択画面の一例である。
なお、図34乃至図36において、利用者端末60を用いた処理対象の選択処理について説明したが、図34乃至図36に示した処理対象の選択処理は、機器50を用いて実行される構成であってもよい。また、上記の図25乃至図33に示した処理においても、機器50に変えて利用者端末60を用いてそれぞれの処理が実行される構成であってもよい。
●削除履歴の照会
次に、図37および図38を用いて、個人情報が削除されたことを利用者が確認するために、利用者が個人情報の照会を要求する場合の処理について説明する。図37は、遠隔機器管理システムにおける削除履歴の照会処理の一例を示すシーケンス図である。なお、図37は、個人ユーザ(例えば、ユーザID「AAA0001」)が削除履歴の照会を要求する場合の例について説明する。また、図37は、機器50を用いた削除履歴の照会処理について説明するが、削除履歴の照会処理は、機器50に変えて利用者端末60を用いて実行される構成であってもよい。
ステップS211において、機器50の受付部56は、所定の入力画面に対する入力操作に応じて、削除履歴の照会要求を受け付ける。ステップS212において、機器50の送受信部51は、ステップS211によって照会要求が受け付けられた場合、削除履歴照会要求を個人情報管理装置30へ送信する。具体的には、機器50の記憶・読出部59は、記憶部5000を検索することにより、個人情報管理装置30の宛先を示す宛先情報5005を読み出す。そして、送受信部51は、記憶・読出部59によって読み出された宛先情報5005に示される個人情報管理装置30へ、削除履歴照会要求を送信する。この削除履歴照会要求には、受付部56によって受け付けられた照会要求を行った個人ユーザを識別するためのユーザIDが含まれている。この場合、削除履歴照会要求には、ユーザID「AAA0001」が含まれているものとする。これにより、個人情報管理装置30の送受信部31は、削除履歴照会要求を送信する。
ステップS213において、個人情報管理装置30の送受信部31は、ステップS212によって削除履歴照会要求が受信された場合、顧客情報取得要求を、遠隔機器管理装置10aへ送信する。ここで、顧客情報取得要求には、ステップS211によって受信された削除履歴照会要求に含まれるユーザIDと同一のユーザIDが含まれている。これにより、遠隔機器管理装置10aの送受信部11aは、個人情報管理装置30から送信された顧客情報取得要求を受信する。
ステップS214において、遠隔機器管理装置10aの記憶・読出部19aは、ステップS213によって受信された顧客情報取得要求に含まれるユーザIDを検索キーとして利用者情報管理DB1001a(図10参照)を検索することにより、このユーザIDに関連づけられた顧客IDを読み出す。この場合、記憶・読出部19aは、例えば、ユーザID「AAA0001」が関連づけられた顧客ID「AAA」を読み出す。
ステップS215において、遠隔機器管理装置10aの送受信部11aは、ステップS214によって読み出された顧客IDを、個人情報管理装置30へ送信する。これにより、個人情報管理装置30の送受信部31は、遠隔機器管理装置10aから送信された顧客IDを受信する。
ステップS216において、個人情報管理装置30の記憶・読出部39は、ステップS215によって受信された顧客IDを検索キーとして契約情報管理DB3001(図13(a)参照)を検索することにより、この顧客IDが関連づけられた契約情報を読み出す。この場合、記憶・読出部39は、例えば、顧客ID「AAA」が関連づけられた契約情報を読み出す。
ステップS217において、個人情報管理装置30の記憶・読出部39は、ステップS216によって読み出された契約情報に含まれる機種機番IDを検索キーとして処理履歴情報管理DB3003(図14参照)を検索することにより、この機種機番IDが関連づけられた処理履歴情報を読み出す。この場合、記憶・読出部39は、例えば、機種機番ID「MP30-1234」が関連づけられた処理履歴情報を読み出す。
ステップS218において、個人情報管理装置30の生成部34は、ステップS217によって読み出された処理履歴情報に基づいて、個人情報の削除履歴を示す削除履歴情報を生成する。具体的には、生成部34は、処理履歴が「削除」である処理履歴情報を用いて、削除履歴情報を生成する。生成部34によって削除履歴情報には、処理履歴が「削除」である処理履歴情報に含まれる処理サーバ情報(例えば、装置名または宛先情報)、処理サーバ情報が示す装置が属する領域を特定するための領域情報(例えば、領域名)、削除された機器情報を識別するための機器情報ID、その機器情報を生成した機器50を特定するための情報(名称)、並びにその機器情報が削除された処理時刻の情報が含まれている。
ステップS219において、個人情報管理装置30の送受信部31は、ステップS218によって生成された削除履歴情報を、機器50へ送信する。これにより、機器50の送受信部51は、個人情報管理装置30から送信された削除履歴情報を受信する。ステップS220において、機器50の表示制御部57は、送受信部51によって受信された削除履歴情報を含む削除履歴通知画面6500をディスプレイ(例えば、図5に示したパネル表示部240a)に表示させる。図38は、削除履歴通知画面の一例を示す図である。図38に示す削除履歴通知画面6500は、個人情報の削除履歴を利用者に提示するための表示画面である。削除履歴通知画面6500には、削除された個人情報を特定するための削除履歴表示領域6510、削除履歴通知画面6500を閉じる場合に押下される「閉じる」ボタン6520、入力操作を行うためのポインタ6550が含まれている。このうち、削除履歴表示領域6510には、ステップS219によって受信された削除履歴情報に含まれる各情報が示されている。これにより、利用者は、例えば、削除履歴表示領域6510に示される領域名、対象機器および処理時刻等を確認することで、削除要求を行った個人情報が削除されたどうかを確認することができる。また、個人情報管理装置30は、個人情報の削除処理の履歴を示す削除履歴情報を機器50へ送信することで、利用者から削除を要求された個人情報が削除されたことを利用者に通知することができる。さらに、遠隔機器管理システム1は、個人情報管理装置30から送信された削除履歴情報を、機器50に表示させることで、利用者からの要求に応じて個人情報が削除されたことを利用者に確認させることができる。
なお、図38に示した削除履歴通知画面6500は、図25乃至図36に示した個人情報を削除する処理の処理結果として機器50に表示される構成であってもよい。この場合、図25に示したステップS116の処理または図29に示したステップS163の処理を行った個人情報管理装置30の送受信部31は、個人情報の削除履歴を示す削除履歴情報を、機器50へ送信する。そして、機器50の表示制御部57は、送受信部51によって受信された削除履歴情報を含む削除履歴通知画面6500をディスプレイ(例えば、図5に示したパネル表示部240a)を表示させる。また、図37は、個人情報の削除履歴の照会処理の例を説明したが、移転履歴または転送履歴の照会処理を行う場合においても同様の処理が行われる。この場合、ステップS219において、個人情報管理装置30の送受信部31は、生成部34によって生成された、処理履歴が「移転」である移転履歴情報または処理履歴が「転送」である転送履歴情報を、機器50へ送信する。そして、機器50の表示制御部57は、送受信部51によって受信された移転履歴情報を含む移転履歴通知画面または転送履歴情報を含む転送履歴通知画面をディスプレイ(例えば、図5に示したパネル表示部240a)に表示させる。さらに、削除履歴通知画面6500が表示される機器50または利用者端末60は、個人情報の削除要求または個人情報の照会要求を受け付けた機器50または利用者端末60とは、同じ利用者が用いる異なる装置(機器50または利用者端末60)であってもよい。また、削除履歴通知画面6500は、削除履歴情報として、図27または図31に示したような個人情報の削除処理が行われた機器情報の内容を含む構成であってもよい。
●個人データ定義の更新
次に、図39および図40を用いて、機器50によって発生したイベントの内容を示す機器イベントデータに個人データ情報を付与するための個人データ定義を更新する処理について説明する。図39は、遠隔機器管理システムにおける個人データ定義の更新処理の一例を示すシーケンス図である。
ステップS231において、管理者端末40の受付部42は、所定の入力画面に対する入力操作等に応じて、個人データ定義の更新要求を受け付ける。ステップS232において、管理者端末40の送受信部41は、ステップS231によって更新要求が受け付けられた場合、個人データ定義更新要求を、遠隔機器管理装置10へ送信する。この個人データ定義更新要求には、更新する個人データ定義に対応する領域を示す領域情報(例えば、領域名)が含まれている。これにより、遠隔機器管理装置10の送受信部11は、管理者端末40から送信された個人データ定義更新要求を受信する。
ステップS233において、遠隔機器管理装置10の記憶・読出部19は、ステップS232によって受信された個人データ定義更新要求に含まれる領域情報を検索キーとして個人データ定義管理DB1003を検索することにより、この領域情報に対応する個人データ定義を示す個人データ定義を読み出す。
ステップS234において、遠隔機器管理装置10の送受信部11は、ステップS233によって読み出された個人データ定義を、管理者端末40へ送信する。これにより、管理者端末40の送受信部41は、遠隔機器管理装置10から送信された個人データ定義を受信する。
ステップS235において、管理者端末40の表示制御部43は、ステップS234によって受信された個人データ定義を含む個人データ定義設定画面4100を、管理者端末40のディスプレイ108に表示させる。図40は、個人データ定義設定画面の一例を示す図である。図40に示す個人データ定義設定画面4100は、個人データ定義をシステム管理者が設定または更新するための表示画面である。個人データ定義設定画面4100には、個人データ定義を設定する領域を選択または入力可能な入力領域4110、設定項目を追加する場合に押下される「追加」ボタン4130、追加する設定項目を選択または入力させる入力領域4135、個人データ定義として設定されている設定項目が表示される設定項目表示領域4150、個人データ定義設定画面4100を閉じる場合に押下される「閉じる」ボタン4170、入力操作を行うためのポインタ4180が含まれている。また、設定項目表示領域4150には、削除する設定項目を選択させる設定項目選択領域4151、および設定項目選択領域4151によって選択された設定項目を削除する場合に押下される「削除」ボタン4155が含まれている。
ステップS236において、管理者端末40の受付部42は、ステップS235によって表示された個人データ定義設定画面4100に対する入力操作に応じて、個人データ定義の設定を受け付ける。この場合、受付部42は、個人データ定義設定画面4100に含まれる「追加」ボタン4150または「削除」ボタン4155に対する入力が受け付けられることによって、個人データ定義に含まれる項目の追加または削除等の設定内容を受け付ける。ステップS237において、管理者端末40の送受信部41は、ステップS236によって受け付けられた設定内容を示す設定情報を、遠隔機器管理装置10へ送信する。これにより、遠隔機器管理装置10の送受信部11は、管理者端末40から送信された設定情報を受信する。
ステップS238において、遠隔機器管理装置10の設定部15は、ステップS237によって受信された設定情報に基づいて、個人データ定義管理DB1003に記憶された個人データ定義を更新する。
ステップS239において、遠隔機器管理装置10の送受信部11は、ステップS238によって更新された更新内容を示す更新情報を、機器50へ送信する。これにより機器50の送受信部51は、遠隔機器管理装置10から送信された更新情報を受信する。ステップS240において、機器50の記憶・読出部59は、ステップS239によって受信された更新情報に基づいて、個人データ定義管理DB5001に記憶された個人データ定義を更新する。
これにより、遠隔機器管理装置10は、管理者端末40を用いたシステム管理者の処理によって、個人情報の特定に用いる個人データ定義を柔軟に更新することができる。そして、機器50は、遠隔機器管理装置10によって更新された個人データ定義を用いて、個人データ情報の付与処理(図17参照)を行うことができる。また、図39は、個人データ定義を更新する処理について説明したが、遠隔機器管理装置10の設定部15は、個人データ定義管理DB1003に記憶された個人データ定義管理テーブルとは異なる領域に対応する個人データ定義を、新たに設定してもよい。これによって、遠隔機器管理システム1は、利用者の要望、社会情勢、法規制の変化等の様々な要因に対応させて個人情報として取り扱う情報を定義させるために、個人データ定義を柔軟に設定・変更することができる。
●機器の利用者の特定
○ユーザ認証処理○
ここで、図41乃至図55を用いて、機器50の利用者の特定する処理の具体例を説明する。まず、図41乃至図44を用いて、認証サーバ70(認証サーバ70aまたは認証サーバ70b)を用いて利用者を特定する処理について説明する。
図41は、利用者が機器を利用する状態の一例を示す概念図である。図41に示すように、機器50の一例であるMFP200は、認証サーバ70aと通信ネットワーク5を介して通信可能に接続されている。MFP200は、例えば、利用者AがMFP200の近距離通信部220に自己のICカード260を近接させて(かざして)近距離無線通信を行うことによって、認証サーバ70aを用いたユーザ認証処理を行う。ICカード260には、利用者A(個人ユーザ)のユーザIDとパスワードを含む認証情報が記憶されている。
認証サーバ70aは、通信ネットワーク5に接続され、MFP200を利用するのユーザの認証処理を行うサーバコンピュータである。認証サーバ70aは、例えば、LDAP(Lightweight Directory Access Protocol)を利用してユーザ認証を行う。なお、認証サーバ70aによる認証方式は、これに限られない。また、認証サーバ70aは、図4に示したコンピュータと同様のハードウエア構成を有する。
さらに、認証サーバ70aによって実行される機能は、送受信部71a、認証部72aおよび記憶・読出部79aを含む。これら各部は、図41に示されている各構成要素のいずれかが、認証サーバ70aのHD104から認証サーバ70aのRAM103上に展開されたプログラムに従った認証サーバ70aのCPU101からの命令によって動作することで実現される機能または機能する手段である。また、認証サーバ70aは、図4に示されている認証サーバ70aのHD104等により構築される記憶部7000aを有している。
送受信部71aは、図4に示されている認証サーバ70aのCPU101からの命令および認証サーバ70aのネットワークI/F109によって実現され、通信ネットワーク5を介して、他の装置または端末との間で各種データ(情報)をやり取りする機能である。送受信部71aは、機器50から送信された認証要求を受信するとともに、認証部72aによる認証結果を機器50へ送信する。
認証部72aは、図4に示されている認証サーバ70aのCPU101からの命令によって実現され、機器50を利用するユーザの認証処理を行う機能である。認証部72aは、例えば、送受信部71aによって受信された認証要求と後述する認証情報管理テーブル(図42参照)を用いて、認証要求を送信した端末50を使用するユーザの認証処理を行う。
記憶・読出部79aは、図4に示されている認証サーバ70aのCPU101からの命令によって実現され、記憶部7000aに各種データを記憶したり、記憶部7000aから各種データを読み出したりする機能である。また、記憶部7000aには、認証情報管理DB7001a(図42参照)が構築されている。
図42は、認証情報管理テーブルの一例を示す概念図である。記憶部7000aには、図42に示されているような認証情報管理テーブルによって構成されている認証情報管理DB7001aが構築されている。この認証情報管理テーブルは、MFP200を識別するための機器IDごとに、MFP200を利用する個人ユーザを識別するためのユーザIDおよびパスワードを関連づけて管理している。
図43は、機器における利用者の認証処理の一例を示すシーケンス図である。ステップS511において、図41に示されているように、利用者AがMFP200の近距離通信部110に自己のICカード260を近接させる(かざす)と、MFP200の受付部56は、NFC等の近距離無線通信によって、利用者A(個人ユーザ)の認証要求を受け付ける。この認証要求には、利用者AのユーザIDとパスワードを含む認証情報が含まれている。この場合、利用者Aは、ICカード260に変えて、認証情報(ユーザIDとパスワード)が記憶されたスマートフォン等の認証用端末を用いてもよい。なお、近距離無線通信としては、例えば、Bluetooth、ミリ波無線通信、QRコード、可視光、環境音または超音波等を用いてもよい。ここで、ユーザIDは、利用者を識別するための利用者識別情報の一例である。また、受付部56によって受け付けられる認証要求は、近距離無線通信によって送受信される通信データの一例である。
ステップS512において、MFP200の送受信部51aは、受付部56によって認証要求が受け付けられた場合、認証要求に含まれる認証情報、およびMFP200を識別するための機器IDを、認証サーバ70aへ送信する。これにより、認証サーバ70aの送受信部71aは、MFP200から送信された認証情報および機器IDを受信する。
ステップS513において、認証サーバ70aの認証部72aは、送受信部71aによって受信された認証情報および機器IDを用いて利用者Aの認証を行なう。具体的には、記憶・読出部79aは、認証情報管理DB7001a(図42参照)において、ステップS512によって受信された認証情報に含まれるユーザIDおよびパスワード、並びに機器IDの組に対応する機器ID、ユーザIDおよびパスワードの組を検索する。対応する組がある場合には、認証部72aは、要求元の利用者Aを正当な利用者であると判断する。対応する組がない場合には、認証部72aは、利用者Aを不当な(正当でない)利用者であると判断する。正当でない場合には、送受信部71aがMFP200に対して、正当でない旨の通知を行うが、ここでは、正当である場合について説明を続ける。
ステップS514において、送受信部72aは、MFP200に対して、認証結果を送信する。これにより、MFP200の送受信部51は、認証結果を受信する。ステップS515において、MFP200の判断部55は、認証結果に基づいて、認証された利用者AのユーザIDを特定する。このようなステップS511~ステップS515の処理が、図15のステップS11または図22のステップS311の処理に示した機器50の利用者を特定する処理に該当する。そして、ステップS516において、MFP200の機器イベント実行部52は、図15のステップS12に示したように、コピー、プリントまたはスキャン等の機器イベントを実行する。これによって、MFP200は、実行された機器イベントによって発生した機器イベントデータを、利用者Aの個人情報として取り扱うことができる。そして、遠隔機器管理システム1は、MFP200の機器情報生成部53によって機器イベントデータおよび利用者情報を含む機器情報が生成されることで、生成された機器情報が個人情報として取り扱われる利用者を特定することができる。
ここで、ステップS511の処理は、MFP200の操作部240bに対して利用者Aが認証情報(ユーザIDとパスワード)の入力を行うことによって、利用者A(個人ユーザ)の認証要求を受け付ける構成であってもよい。この場合、利用者Aが操作部240bに対して認証情報の入力を行うと、MFP200の受付部56は、利用者A(個人ユーザ)の認証要求を受け付ける。また、ユーザ認証に用いられる認証情報は、ユーザIDとパスワードに限られず、予め設定されたキーワード等であってもよい。この場合、利用者Aが操作部240bに対して所定のキーワードの入力を行うと、MFP200の受付部56は、利用者A(個人ユーザ)の認証要求を受け付け、送受信部51は、入力されたキーワードを含む認証情報を認証サーバ70aへ送信する。そして、認証サーバ70aの認証部72aは、送受信部71aによって受信された認証情報に含まれるキーワードと、認証情報管理テーブルに設定されたキーワードを用いて、利用者Aの認証処理を行う。
なお、図41乃至図43では、機器50がMFP200である場合の例を説明したが、電子黒板300、ビデオ会議端末400、プロジェクタ500、仲介装置600またはPC700等の他の機器50においても、同様のユーザ認証処理を行うことによって。発生した機器イベントデータを個人情報として取り扱う構成あってもよい。
○利用者の生体情報を用いたユーザ認証処理
ここで、図44を用いて、ユーザ認証処理の別の例として、利用者の生体に関する生体情報を用いたユーザ認証処理について説明する。図44は、利用者が機器を利用する状態の別の例を示す概念図である。なお、機器50と認証サーバ70bの間における処理の流れは、図43に示した処理と同様である。
図44に示すように、機器50の一例である電子黒板300およびビデオ会議端末400は、認証サーバ70bと通信ネットワーク5を介して通信可能に接続されている。電子黒板300またはビデオ会議端末400は、それぞれ利用者B1または利用者B2の生体に関する生体情報の入力を受け付ける。認証サーバ70bは、認証情報管理DB7001bに記憶された認証情報と、送受信部71bによって受信された利用者の生体情報を用いて、ユーザ認証処理を行う。認証情報管理DB7001bは、図43に示した認証情報管理テーブルに変えて、予め設定された利用者ごとの生体情報が、その利用者のユーザID(利用者識別情報の一例)ごとに関連づけられて管理される認証情報管理テーブルによって構成されている。
電子黒板300は、例えば、利用者B1が電子ペン3500を利用してディスプレイ320上に任意の描画を行った描画像s1を、利用者B1の生体情報として受け付ける。描画像s1には、予め利用者ごとに設定されたキーワード、記号、または利用者の氏名を含む署名等が含まれる。描画像s1は、描画データの一例である。この場合、利用者B1がディスプレイ320に対してキーワード等の描画を行うと、電子黒板300の受付部56は、利用者B1(個人ユーザ)の認証要求を受け付け、送受信部51は、描画像s1を含む認証情報を認証サーバ70bへ送信する。そして、認証サーバ70bの認証部72bは、送受信部71bによって受信された認証情報に含まれる描画像s1と、認証情報管理テーブルに設定された利用者ごとの生体情報を用いて、利用者B1の認証処理を行う。これにより、機器50の一例である電子黒板200は、描画像s1に示される内容または筆跡等の生体情報を用いて、描画像s1に係る描画を行った利用者B1を認証することができるとともに、利用者B1に対応するユーザIDを特定することができる。
また、電子黒板300は、例えば、利用者B1が生体認証デバイス340に対して入力した利用者B1の指紋を、利用者B1の生体情報として受け付ける。この場合、生体情報認証デバイス340によって利用者B1の指紋が光学的に読み取られると、電子黒板300の受付部56は、利用者B1(個人ユーザ)の認証要求を受け付け、送受信部51は、生体情報認証デバイス340によって読み取られた利用者B1の指紋に係る指紋画像データを含む認証情報を認証サーバ70bへ送信する。そして、認証サーバ70bの認証部72bは、送受信部71bによって受信された認証情報に含まれる指紋画像データと、認証情報管理テーブルに設定された利用者ごとの生体情報を用いて、利用者B1の認証処理を行う。これにより、機器50の一例である電子黒板200は、生体認証デバイス340によって読み取られた指紋画像データに示される指紋等の生体情報を用いて、その指紋を有する利用者B1を認証することができるとともに、利用者B1に対応するユーザIDを特定することができる。
さらに、電子黒板300は、例えば、マイク3200によって収音された利用者B1の音声を、利用者B1の生体情報として受け付ける。この場合、マイク3200によって利用者B1の音声が収音されると、電子黒板300の受付部56は、利用者B1(個人ユーザ)の認証要求を受け付け、送受信部51は、マイク3200によって収音された音声に係る音声データを含む認証情報を認証サーバ70bへ送信する。そして、認証サーバ70bの認証部72bは、送受信部71bによって受信された認証情報に含まれる音声データと、認証情報管理テーブルに設定された利用者ごとの生体情報を用いて、利用者B1の認証処理を行う。これにより、機器50の一例である電子黒板200は、マイク3200によって収音された音声に係る音声データに示される声紋等の生体情報を用いて、その音声を発した利用者B1を認証することができるとともに、利用者B1に対応するユーザIDを特定することができる。
また、ビデオ会議端末400は、例えば、カメラ430によって撮影された利用者B2の顔を示す顔画像を含む撮影画像を、利用者B2の生体情報として受け付ける。この場合、カメラ430によって利用者B2の顔画像を含む撮影画像が取得されると、ビデオ会議端末400の受付部56は、利用者B2(個人ユーザ)の認証要求を受け付け、送受信部51は、カメラ430によって撮影された取得された撮影画像データを含む認証情報を認証サーバ70bへ送信する。そして、認証サーバ70bの認証部72bは、送受信部71bによって受信された認証情報に含まれる撮影画像データに示される利用者B2の顔画像と、認証情報管理テーブルに設定された利用者ごとの生体情報とを用いた顔認証処理を行い、利用者B2の認証処理を行う。これにより、機器50の一例であるビデオ会議端末400は、撮影画像データに含まれる顔画像等の生体情報を用いて、顔認識処理によって利用者B2を認証することができるとともに、利用者B2に対応するユーザIDを特定することができる。
さらに、ビデオ会議端末400は、例えば、カメラ430によって撮影された利用者B2の動作(ジェスチャー)を示す動作情報を含む撮影画像(撮影動画)を、利用者B2の生体情報として受け付ける。この場合、カメラ430によって撮影画像(撮影動画)が取得されると、ビデオ会議端末400の受付部56は、利用者B2(個人ユーザ)の認証要求を受け付け、送受信部51は、カメラ430によって撮影された取得された撮影画像データを含む認証情報を認証サーバ70bへ送信する。そして、認証サーバ70bの認証部72bは、送受信部71bによって受信された認証情報に含まれる撮影画像データに示される動作情報と、認証情報管理テーブルに設定された利用者ごとの生体情報とを用いた動作解析処理を行い、利用者B2の認証処理を行う。これにより、機器50の一例であるビデオ会議端末400は、撮影画像(撮影動画)データに含まれる動作情報等の生体情報を用いて、その動作情報に係る動作(ジェスチャー)を行った利用者B2を認証することができるとともに、利用者B2に対応するユーザIDを特定することができる。
このように、機器50は、さまざまな生体情報を用いた認証処理によって、機器50を利用する利用者を特定することができるとともに、実行された機器イベントによって発生した機器イベントデータを、認証された利用者Aの個人情報として取り扱うことができる。
なお、図44では、機器50が電子黒板300またはビデオ会議端末400である場合の例を説明したが、MFP200、プロジェクタ500、仲介装置600またはPC700等の他の機器50においても、同様の生体情報を用いたユーザ認証処理を行う構成であってもよい。
○電子黒板によって生成される機器情報○
続いて、図45および図46を用いて、機器50の一例である電子黒板300によって生成される機器情報について説明する。図45は、利用者が電子黒板を利用する状態を示す概念図である。図45に示すように、電子黒板300は、利用者Aが電子ペン3500を利用してディスプレイ320上に任意の描画を行った描画像s2、および資料ファイルのファイル画像r1を含む表示画像d1を、ディプレイ320に表示させる。また、電子黒板300によって実行される機器イベントは、例えば、ディスプレイ320を用いた会議等のイベントである。電子黒板300の機器イベント実行部52は、ディスプレイ320上に描画された描画像s2、およびディスプレイ320上に表示されたファイル画像r1を含む表示画像d1の画像データを、機器イベントによって発生した機器イベントデータとして取得する。
図46は、電子黒板によって生成された機器情報の一例を示す図である。図46に示す機器情報は、図18に示したMFP200によって生成された機器情報と異なり、イベント履歴情報としてディスプレイ320に表示された画像データ(「○○○.pdf」および「×××.pdf」)を含む。この画像データは、利用者A(ユーザID;「BBB0001」)の個人情報として取り扱われる。そのため、図46に示す機器情報に含まれる画像データは、個人フラグが「ON」であり、利用者情報として「IWB45-5678 ; BBB0001」が関連づけられている。これにより、電子黒板300は、実行された機器イベントによって発生した機器イベントデータであるディスプレイ320に表示された画像データを、利用者Aの個人情報として取り扱うことができる。
○文字認識処理によって生成される機器情報○
続いて、図47乃至図49を用いて、クラウドサーバ70cを用いた文字認識処理によって機器情報を生成する処理について説明する。なお、図47および図49は、図42乃至図44に示したユーザ認証処理が予め行われているものとして説明する。図47は、文字認識機能を備えたクラウドサーバを利用する状態を示す概念図である。図47に示すように、機器50の一例であるMFP200および電子黒板300は、クラウドサーバ70cと通信ネットワーク5を介して通信可能に接続されている。利用者Aは、例えば、MFP200を用いて所定のデータのスキャン処理を行い、MFP200は、処理された画像データをクラウドサーバ70cへ送信する。また、利用者Bは、例えば、電子黒板300のディスプレイ320に対する電子ペン3500を用いて所定の描画等を行い、電子黒板300は、描画像等の画像データをクラウドサーバ70cへ送信する。
クラウドサーバ70cは、通信ネットワーク5に接続され、画像データに対する解析処理を行うサーバコンピュータである。クラウドサーバ70cは、OCR(Optical Character Recognition)モジュールを備え、機器50から送信された画像データに対する文字認識処理(OCR)処理を実行する。また、クラウドサーバ70cは、図4に示したコンピュータと同様のハードウエア構成を有する。
さらに、クラウドサーバ70cによって実行される機能は、送受信部71c、データ処理部72c、判定部73cおよび記憶・読出部79cを含む。これら各部は、図47に示されている各構成要素のいずれかが、クラウドサーバ70cのHD104からクラウドサーバ70cのRAM103上に展開されたプログラムに従ったクラウドサーバ70cのCPU101からの命令によって動作することで実現される機能または機能する手段である。また、クラウドサーバ70cは、図4に示されているクラウドサーバ70cのHD104等により構築される記憶部7000cを有している。
送受信部71cは、図4に示されているクラウドサーバ70cのCPU101からの命令およびクラウドサーバ70cのネットワークI/F109によって実現され、通信ネットワーク5を介して、他の装置または端末との間で各種データ(情報)をやり取りする機能である。送受信部71cは、例えば、機器50から送信された画像データを受信するとともに、判定部73cによる判定結果を機器50へ送信する。
データ処理部72cは、図4に示されているクラウドサーバ70cのCPU101からの命令によって実現され、機器50から送信された画像データに対する処理を実行する機能である。データ処理部72cは、例えば、機器50から送信された画像データに対して、文字認識(OCR)処理を実行する。
判定部73cは、図4に示されているクラウドサーバ70cのCPU101からの命令によって実現され、機器50から送信された画像データが個人情報であるかを判定する機能である。判定部73cは、例えば、データ処理部72cによって文字認識(OCR)処理された処理データと、条件情報管理DB7001cに記憶された条件情報とを用いて、処理データに対応する画像データが個人情報に該当するかを判定する。この場合、判定部73cは、処理データに含まれる文字列に、条件情報に含まれる情報に該当する文字、数字、記号等が含まれる場合、その処理データに対応する画像データが個人情報であると判定する。
記憶・読出部79cは、図4に示されているクラウドサーバ70cのCPU101からの命令によって実現され、記憶部7000cに各種データを記憶したり、記憶部7000cから各種データを読み出したりする機能である。また、記憶部7000cには、個人情報の有無を判定するための条件を示す条件情報が記憶された条件情報管理DB7001cが構築されている。条件情報管理DB7001cに記憶された条件情報は、個人情報として取り扱われるデータに頻出する文字、符号等を含む情報である。条件情報は、人名、電話番号、住所等を表す文字、数字、特殊記号、バーコード等が含まれる。
図48は、クラウドサーバにおける個人情報の特定処理の一例を示すシーケンス図である。なお、図48は、機器50がMFP200である場合について説明するが、電子黒板300、仲介装置600またはPC700等の他の機器50であっても同様の処理が行われる。
ステップS531において、MFP200の機器イベント実行部52は、機器イベントとして、所定のデータに対するスキャン処理を実行する。そして、機器イベント実行部52は、機器イベントデータとしてスキャンされた画像データを取得する。ステップS532において、MFP200の送受信部51は、機器イベント実行部52によって取得された画像データを、クラウドサーバ70cへ送信する。これにより、クラウドサーバ70cの送受信部71cは、MFP200から送信された画像データを受信する。
ステップS533において、クラウドサーバ70cのデータ処理部72cは、送受信部71cによって受信された画像データに対して文字認識処理を実行する。そして、データ処理部72cは、文字認識処理によって処理された処理データを取得する。ステップS534において、クラウドサーバ70cの記憶・読出部79cは、条件情報管理DB7001cに記憶された条件情報を読み出す。ステップS535において、クラウドサーバ70cの判定部73cは、ステップS533によって処理された処理データと、ステップS534によって読み出された条件情報を用いて、ステップS522によって受信された画像データが個人情報であるか否かを判定する。具体的には、判定部73cは、画像データに係る処理データに含まれる文字列に、条件情報に含まれる情報に該当する文字、数字、符号等が含まれる場合、その画像データが個人情報であると判定する。一方で、判定部73cは、画像データに係る処理データに含まれる文字列に、条件情報に含まれる情報に該当する文字、数字、符号等が含まれない場合、その画像データが個人情報ではないと判定する。
ステップS536において、クラウドサーバ70cの送受信部71cは、判定部73cによる判定結果を、MFP200へ送信する。これにより、MFP200の送受信部51は、クラウドサーバ70cから送信された判定結果を受信する。ステップS537において、MFP200の判断部55は、ステップS536によって受信された判定結果に基づいて、機器イベント実行部52によって取得された画像データを個人情報として取り扱う利用者のユーザIDを特定する。この場合、判断部55は、図41乃至図44に示したユーザ認証処理によって認証された利用者のユーザIDを特定する。
ステップS538において、MFP200の機器情報生成部53は、ステップS531によって取得された画像データを含む機器イベントデータに対する個人データ情報の付与処理を実行する。個人データ情報の付与処理の詳細は、図17に示した内容と同様である。この場合、機器情報生成部53は、クラウドサーバ70cによって個人情報であると判定された画像データに対して、個人データ情報を付与する。ステップS539において、MFP200の記憶・読出部59は、記憶部5000に記憶された遠隔機器管理装置10の宛先情報5005を読み出す。そして、ステップS540において、MFP200の送受信部51は、ステップS539によって読み出された宛先情報5005に示される遠隔機器管理装置10へ、ステップS538によって生成された機器情報を送信する。
図49は、文字認識処理によって特定された個人情報を含む機器情報の一例を示す図である。図49に示す機器情報は、図18に示した機器情報と異なり、イベント履歴情報としてMFP200によるスキャン処理等よって取得された画像データ(「△△△.pdf」および「▽▽▽.pdf」)を含む。クラウドサーバ70cの判定部73cによって個人情報であると判定された画像データ(「△△△.pdf」)は、例えば、利用者A(ユーザID;「AAA0001」)の個人情報として取り扱われる。そのため、「△△△.pdf」の画像データは、個人フラグが「ON」であり、利用者情報として「MP30-1234 ; AAA0001」が関連づけられている。一方、クラウドサーバ70cの判定部73cによって個人情報ではないと判定された画像データ(「▽▽▽.pdf」)は、個人情報としては取り扱われない。そのため、「▽▽▽.pdf」の画像データには、個人データ情報が付与されていない。これにより、MFP200または電子黒板300等の機器50は、実行された機器イベントによって発生した機器イベントデータである画像データのうち、個人情報を含む画像データを、利用者Aの個人情報として取り扱うことができる。
○ビデオ会議端末によって生成される機器情報○
続いて、図50乃至図52を用いて、ビデオ会議端末400を用いて行われるビデオ会議によって発生する撮影画像データを個人情報として取り扱う場合の処理について説明する。図50は、利用者がビデオ会議端末を利用する状態を示す概念図である。図50に示すように、拠点Aに位置する機器50の一例であるビデオ会議端末400aから、拠点Bに位置する機器50の一例であるビデオ会議端末400bへ一方向にコンテンツデータを送信するデータ提供システム、またはビデオ会議端末400aおよびビデオ会議端末400b間で両方向にコンテンツデータを送信するコミュニケーションシステムである。コミュニケーションシステムは、例えば、ビデオ会議システム、テレビ電話システムおよびチャットシステム等である。なお、「ビデオ会議」は、「テレビ会議」と同義に用いられる。ビデオ会議端末400aは、例えば、ビデオ会議端末400aに接続されたディスプレイ420aに表示される撮影画像データを、通信ネットワーク5を介してビデオ会議端末400bへ送信することにより、送信した撮影画像データをビデオ会議端末400bに接続されたディスプレイ420bに表示させる。
通信管理装置70dは、ビデオ会議端末400のログイン認証、ビデオ会議端末400による通信の管理等を行うサーバコンピュータである。通信管理装置70dは、複数のビデオ会議端末400間における通信ネットワーク5を介した通信セッションを確立させる。ビデオ会議端末400aとビデオ会議端末400bは、通信管理装置70dによって確立された通信セッションを用いて、コンテンツデータ(撮影画像データ)の送受信を行う。また、通信管理装置70dは、図4に示したコンピュータと同様のハードウエア構成を有する。
さらに、通信管理装置70dによって実行される機能は、送受信部71d、通信管理部72d、顔認識処理部73d、判定部74dおよび記憶・読出部79dを含む。これら各部は、図50に示されている各構成要素のいずれかが、通信管理装置70dのHD104から通信管理装置70dのRAM103上に展開されたプログラムに従った通信管理装置70dのCPU101からの命令によって動作することで実現される機能または機能する手段である。また、通信管理装置70dは、図4に示されている通信管理装置70dのHD104等により構築される記憶部7000dを有している。
送受信部71dは、図4に示されている通信管理装置70dのCPU101からの命令および通信管理装置70dのネットワークI/F109によって実現され、通信ネットワーク5を介して、他の装置または端末との間で各種データ(情報)をやり取りする機能である。送受信部71dは、例えば、通信管理部72dによって確立された通信セッションを用いて、機器50から送信された撮影画像データを他の機器50へ送信する。
通信管理部72dは、図4に示されている通信管理装置70dのCPU101からの命令によって実現され、複数のビデオ会議端末400間における通信を管理する機能である。通信管理部72dは、例えば、ビデオ会議端末400を利用する利用者またはビデオ会議端末400のログイン認証を行うとともに、複数のビデオ会議端末400間における通信セッションを確立させる。
顔認識処理部73dは、図4に示されている通信管理装置70dのCPU101からの命令によって実現され、機器50から送信された撮影画像データに対する顔認識処理を実行する機能である。顔認識処理部73dは、例えば、機器50から送信された撮影画像データを用いて、人物の顔を示す顔画像を抽出する。
判定部74dは、図4に示されている通信管理装置70dのCPU101からの命令によって実現され、ビデオ会議端末400から送信された撮影画像データが個人情報であるかを判定する機能である。判定部74dは、例えば、顔認識処理部73dによって顔認識処理された処理データと、条件情報管理DB7001dに記憶された条件情報とを用いて、処理データに対応する撮影画像データが個人情報に該当するかを判定する。判定部74dは、顔認識処理によって認識された顔画像が条件情報に含まれる特徴量に該当する場合、その処理データに対応する撮影画像データが個人情報であると判定する。
記憶・読出部79dは、図4に示されている通信管理装置70dのCPU101からの命令によって実現され、記憶部7000dに各種データを記憶したり、記憶部7000dから各種データを読み出したりする機能である。また、記憶部7000dには、個人情報の有無を判定するための条件を示す条件情報が記憶された条件情報管理DB7001dが構築されている。条件情報管理DB7001dに記憶された条件情報は、顔認識処理された処理データに含まれる人物の顔を照合する処理(顔照合処理)が実行される場合に用いられる情報である。条件情報には、画像データに含まれる人物の顔を識別するための特徴量と個人ユーザを識別するためのユーザIDとが関連づけられている。
図51は、通信管理装置における個人情報の特定処理の一例を示すシーケンス図である。ステップS551において、ビデオ会議端末400aとビデオ会議端末400bは、通信管理装置70dの通信管理部72dの処理によって通信セッションを確立させる。そして、ビデオ会議端末400aの機器イベント実行部52は、機器イベントであるビデオ会議を開始する。ステップS552において、ビデオ会議端末400aの送受信部51は、機器イベントであるビデオ会議によって発生した撮影画像データを、通信管理装置70dへ送信する。これにより、通信管理装置70dの送受信部71dは、ビデオ会議端末400aから送信された撮影画像データを受信する。
ステップS553において、通信管理装置70dの顔認識処理部73dは、送受信部71dによって受信された撮影画像データに対して、顔認識処理を実行する。そして、顔認識処理部72dは、顔認識処理によって処理された処理データを取得する。ステップS554において、通信管理装置70dの記憶・読出部79dは、条件情報管理DB7001dに記憶された条件情報を読み出す。ステップS555において、通信管理装置70dの判定部74dは、ステップS553によって処理された処理データと、ステップS554によって読み出された条件情報を用いて、ステップS552によって受信された画像データが個人情報であるか否かを判定する。具体的には、判定部74dは、撮影画像データに係る処理データに含まれる人物の顔を示す顔画像が、条件情報に含まれる特徴量に該当する場合、その撮影画像データが該当する特徴量に関連づけられたユーザIDに示される個人ユーザの個人情報であると判定する。一方で、判定部74dは、画像データに係る処理データに含まれる人物の顔を示す顔画像が、条件情報に含まれる特徴量に該当しない場合、その撮影画像データが個人情報ではないと判定する。
ステップS556において、通信管理装置70dの送受信部71dは、判定部74dによる判定結果を、ビデオ会議端末400aへ送信する。ここで、通信管理装置70dから送信される判定結果には、判定部74dによって該当すると判定された特徴量に関連づけられているユーザIDが含まれている。これにより、ビデオ会議端末400aの送受信部51aは、通信管理装置70dから送信された判定結果を受信する。ステップS557において、ビデオ会議端末400aの判断部55aは、ステップS556によって受信された判定結果に含まれるユーザIDを、機器イベント実行部52によって取得された撮影画像データを個人情報として取り扱う利用者のユーザIDとして特定する。
ステップS558において、ビデオ会議端末400aの機器情報生成部53aは、ステップS551によって取得された撮影画像データを含む機器イベントデータに対する個人データ情報の付与処理を実行する。個人データ情報の付与処理の詳細は、図17に示した内容と同様である。この場合、機器情報生成部53aは、通信管理装置70dによって個人情報であると判定された撮影画像データに対して、個人データ情報を付与する。ステップS559において、ビデオ会議端末400aの記憶・読出部59aは、記憶部5000aに記憶された遠隔機器管理装置10の宛先情報5005aを読み出す。そして、ステップS560において、ビデオ会議端末400aの送受信部51aは、ステップS559によって読み出された宛先情報5005aに示される遠隔機器管理装置10へ、ステップS558によって生成された機器情報を送信する。
図52は、顔認識処理によって特定された個人情報を含む機器情報の一例を示す図である。図52に示す機器情報は、図18に示した機器情報と異なり、イベント履歴情報としてビデオ会議端末400aから送信された撮影画像データ(「◇◇◇.jpg」および「+++.jpg」)を含む。通信管理装置70dの判定部74dによって個人情報であると判定された撮影画像データ(「+++.jpg」)は、例えば、利用者A(ユーザID;「CCC0001」)の個人情報として取り扱われる。そのため、「+++.jpg」の画像データは、個人フラグが「ON」であり、利用者情報として「UCS60-4321 ; CCC0001」が関連づけられている。一方、通信管理装置70dの判定部74dによって個人情報ではないと判定された撮影画像データ(「◇◇◇.jpg」)は、個人情報としては取り扱われない。そのため、「◇◇◇.jpg」の撮影画像データには、個人データ情報が付与されていない。これにより、ビデオ会議端末400は、実行された機器イベントによって発生した機器イベントデータである撮影画像データのうち、利用者の顔画像を含む画像データを、その顔画像に対応する利用者の個人情報として取り扱うことができる。
なお、図50乃至図52では、通信管理装置70dを用いてビデオ会議端末400から送信された画像データの顔認識処理によって個人情報を特定する処理について説明したが、ビデオ会議端末400においても、上記文字認識処理(図47乃至図49参照)を行うことによって個人情報を特定する構成であってもよい。
○記憶領域の種別に応じた個人情報の特定○
続いて、図53乃至図55を用いて、機器50において機器イベントデータが記憶された記憶領域に応じて、記憶領域に記憶された情報が個人情報であるかを特定する処理について説明する。以下の説明において、機器50がMFP200である場合の例を説明するが、他の機器においても同様の構成または処理が行われる。図53は、複数の記憶領域を有する機器の一例を示す概念図である。図53に示すように、MFP200の記憶部5000には、図9に示した構成に加えて、複数の記憶領域(記憶領域A、記憶領域B、記憶領域C)を有する。複数の記憶領域のそれぞれに記憶される情報は、予め定められた設定によって特定されている。また、MFP200の記憶部には、記憶領域管理DB(図54参照)が構築されている。
図54は、記憶領域管理テーブルの一例を示す概念図である。記憶部5000には、図54に示されているような記憶領域管理テーブルによって構成されている記憶領域管理DB5007が構築されている。この記憶領域管理テーブルでは、記憶部5000が有する記憶領域ごとに、個人情報として取り扱う情報を記憶しているか否かを示す情報(個人情報の有無)を管理している。図54の例において、記憶領域管理テーブルには、記憶領域Aおよび記憶領域Bに個人情報が記憶されておらず(個人情報;無)、記憶領域Cに個人情報が記憶されている(個人情報;有)旨の情報が管理されている。
図55は、機器イベントデータが記憶された記憶領域に応じた個人データ情報の付与処理の一例を示すフローチャートである。ステップS571において、MFP200の機器イベント実行部52は、MFP200に対するユーザ操作等に応じて、機器イベントを実行する。この場合、機器イベント実行部52は、図5に示したプリンタ部232による所定のプリント処理または図5に示したスキャナ部231による所定のスキャン処理を実行する。ステップS572において、MFP200の機器イベント実行部52は、実行された機器イベントの内容を示す機器イベントデータを取得する。そして、ステップS573において、MFP200の記憶・読出部59は、機器イベント実行部52によって取得された機器イベントデータを、記憶部5000に記憶させる。この場合、記憶・読出部59は、記憶部5000が有する記憶領域Cに、機器イベントデータを記憶させる。
ステップS574において、MFP200の送受信部51は、遠隔機器管理システム1のシステム管理者からの要求に応じて、機器情報取得要求を、遠隔機器管理装置10から受信する。この機器情報取得要求には、例えば、要求対象の機器情報を識別するための識別情報(例えば、機器情報ID)、または機器情報を生成した特定の機器50を識別するための識別情報(例えば、機器ID)が含まれている。
ステップS575において、MFP200の記憶・読出部59は、ステップS574によって受信された機器情報取得要求に示される識別情報を検索キーとして記憶部5000を検索することによって、要求対象の機器情報に対応する機器イベントデータを読み出す。この場合、記憶・読出部59は、記憶領域Cに記憶された機器イベントデータを読み出す。
ステップS576において、MFP200の記憶・読出部59は、記憶領域管理DB5007に記憶された記憶領域管理テーブルを読み出す。ステップS577において、MFP200の判断部55は、ステップS576によって読み出された記憶領域管理テーブルを参照し、ステップS575によって読み出された機器イベントデータが記憶されていた記憶領域に個人情報が存在する場合、処理をステップS578へ移行させる。一方で、判断部55は、ステップS576によって読み出された機器イベントデータが記憶されていた記憶領域に個人情報が存在しない場合、処理をステップS579へ移行させる。この場合、ステップS576によって読み出された機器イベントデータが記憶されていた記憶領域Cは、記憶領域管理テーブルにおける「個人情報:有」の記憶領域であるため、判断部55は、機器イベントデータが記憶されていた記憶領域に個人情報が存在すると判断する。
ステップS578において、MFP200の機器情報生成部53は、ステップS576によって読み出された機器イベントデータに対する個人データ情報の付与処理を実行する。個人データ情報の付与処理の詳細は、図17に示した内容と同様である。ステップS579において、MFP200の記憶・読出部59は、記憶部5000に記憶された遠隔機器管理装置10の宛先情報5005を読み出す。そして、ステップS580において、MFP200の送受信部51は、ステップS579によって読み出された宛先情報5005に示される遠隔機器管理装置10へ、ステップS580によって生成された機器情報を送信する。これにより、MFP200は、機器イベントデータが記憶された記憶領域に応じて、その機器イベントデータを個人情報として取り扱うか否かを判断することができる。
以上、図41乃至図55を用いて説明したように、遠隔機器管理システム1は、個人情報として取り扱うデータを、機器50の種別に応じて設定または特定することができる。上記の各例において、個人情報として取り扱われるデータの項目は、図11に示した個人データ定義管理テーブルに示される個人データ定義として追加されていてもよいし、個人データ定義とは別に機器50の種別に応じた固有の設定として予め設定されていてもよい。
●利用者情報管理テーブルの変形例
ここで、図10に示した利用者情報管理テーブルの変形例について説明する。図56は、利用者情報管理テーブルの変形例を示す概念図である。遠隔機器管理装置10の記憶部1000には、図10と同様に、図56に示した利用者情報管理テーブルによって構成されている利用者情報管理DB1001が構築されている。この利用者情報管理テーブルでは、図10に示したような顧客IDおよびユーザIDが、共通顧客IDごとに管理されている。共通顧客IDとは、例えば、管理者が同じである異なる機器50の顧客IDを、一つの顧客IDで識別するために付与される識別情報である。また、図56に示す利用者情報管理テーブルには、顧客IDおよびユーザIDに、共通ユーザIDが関連づけて管理されている。この共通ユーザIDとは、例えば、異なる機器50における個人ユーザの複数のユーザIDを、一つのユーザIDで識別するための識別情報である。
図56の例において、顧客ID「AAA」と「BBB」は、それぞれの顧客IDに対応する機器50が共通する管理者の管理下にあるものとして、共通顧客ID「XXX」に関連づけられている。また、顧客ID「AAA」と「BBB」のそれぞれに関連づけられたユーザIDによって識別される個人ユーザは、それぞれの顧客IDに対応する機器50を利用するため、顧客IDごとに異なるユーザIDには、異なる機器50に共通する共通ユーザIDが関連づけられている。これにより、遠隔機器管理システム1は、複数の機器50の間において共通する顧客IDおよびユーザIDを割り当てることで、利用者が機器50を利用する際の利便性を向上させることができる。なお、図56に示した利用者情報管理テーブルに示す共通顧客IDまたは共通ユーザIDを用いた場合においても、遠隔機器管理システム1は、上記説明したもの同様の処理または動作が行われる。
●まとめ●
以上説明したように、本発明の一実施形態に係る管理システムは、管理対象の機器50と通信可能な管理システム2であって、機器50によって実行されたイベントの内容を示す機器イベントデータとイベントを実行した利用者を識別する利用者情報(利用者識別情報の一例)を関連づけて記憶部1000に記憶させる記憶・読出部19(記憶制御手段の一例)と、利用者を識別する利用者情報を含む、機器イベントデータの削除要求を、機器50または利用者端末60(通信端末の一例)から受信する送受信部31(受信手段の一例)と、受信された削除要求に含まれる利用者情報に関連づけられた機器イベントデータを削除する機器情報処理部12(削除手段の一例)と、を備える。これにより、管理システム2は、利用者からの要求に応じて、要求された利用者に関するデータを特定して削除することができる。
また、本発明の一実施形態に係る管理システム2において、記憶・読出部19(記憶制御手段の一例)は、機器イベントデータと、機器イベントデータに含まれる個人情報(機密情報の一例)を特定する個人データ情報(機密データ情報の一例)を関連づけて記憶部1000に記憶させる。そして、個人データ情報は、イベントを実行した利用者を識別する利用者情報(利用者識別情報の一例)を含み、機器情報処理部12(削除手段の一例)は、受信された削除要求に含まれる利用者情報を含む個人データ情報によって特定される個人情報を削除する。これにより、管理システム2は、機器イベントデータのうち、個人情報の削除を要求した利用者の利用者情報が関連づけられたデータを削除することができる。
さらに、本発明の一実施形態に係る遠隔機器管理システム1は、管理対象の機器50と通信可能な管理システム2と、機器50と、を備える。機器50は、機器50に対する所定の入力を受け付ける受付部56(受付手段の一例)と、受け付けられた入力に基づいて、機器50の利用者を識別する利用者情報(利用者識別情報の一例)を特定する判断部55(特定手段の一例)と、機器イベントデータおよび利用者情報を含む機器情報を生成する機器情報生成部53(生成手段の一例)と、生成された機器情報を、管理システム2へ送信する送受信部51(送信手段の一例)と、を備える。これにより、遠隔機器管理システム1は、機器イベントデータおよび利用者情報を含む機器情報を機器50が生成することで、生成された機器情報が個人情報として取り扱われる利用者を特定することができる。
また、本発明の一実施形態に係る遠隔機器管理システム1において、機器50は、近距離無線通信によって通信データを受け付け、受け付けられた通信データに基づいて、機器50の利用者を識別する利用者情報(利用者識別情報の一例)を特定する。これにより、遠隔機器管理システム1は、近距離無線通信によって受け付けられた認証情報を用いた認証処理によって、機器50を利用する利用者を特定することができるとともに、実行された機器イベントによって発生した機器イベントデータを、認証された利用者の個人情報として取り扱うことができる。
さらに、本発明の一実施形態に係る遠隔機器管理システム1において、機器50は、機器50が備える操作部(例えば、キーボード111、操作部240bまたはディスプレイ320等)に対する入力を受け付け、受け付けられた入力に基づいて、機器50の利用者を識別する利用者情報(利用者識別情報)を特定する。これにより、遠隔機器管理システム1は、利用者によって受け付けられた入力情報を用いた認証処理によって、機器50を利用する利用者を特定することができるとともに、実行された機器イベントによって発生した機器イベントデータを、認証された利用者の個人情報として取り扱うことができる。
また、本発明の一実施形態に係る遠隔機器管理システム1において、機器50は、利用者の生体情報の入力を受け付け、受け付けられた生体情報に基づいて、機器50の利用者を識別する利用者情報(利用者識別情報の一例)を特定する。これにより、遠隔機器管理システム1は、利用者の生体情報を用いた認証処理によって、機器50を利用する利用者を特定することができるとともに、実行された機器イベントによって発生した機器イベントデータを、認証された利用者の個人情報として取り扱うことができる。
●補足●
なお、各実施形態の機能は、アセンブラ、C、C++、C#、Java(登録商標)等のレガシープログラミング言語やオブジェクト指向プログラミング言語等で記述されたコンピュータ実行可能なプログラムにより実現でき、各実施形態の機能を実行するためのプログラムは、電気通信回線を通じて頒布することができる。
また、各実施形態の機能を実行するためのプログラムは、ROM、EEPROM(Electrically Erasable Programmable Read-Only Memory)、EPROM(Erasable Programmable Read-Only Memory)、フラッシュメモリ、フレキシブルディスク、CD(Compact Disc)-ROM、CD-RW(Re-Writable)、DVD-ROM、DVD-RAM、DVD-RW、ブルーレイディスク、SDカード、MO(Magneto-Optical disc)等の装置可読な記録媒体に格納して頒布することもできる。
さらに、各実施形態の機能の一部または全部は、例えばFPGA(Field Programmable Gate Array)等のプログラマブル・デバイス(PD)上に実装することができ、またはASICとして実装することができ、各実施形態の機能をPD上に実現するためにPDにダウンロードする回路構成データ(ビットストリームデータ)、回路構成データを生成するためのHDL(Hardware Description Language)、VHDL(Very High Speed Integrated Circuits Hardware Description Language)、Verilog-HDL等により記述されたデータとして記録媒体により配布することができる。
これまで本発明の一実施形態に係る管理システム、遠隔機器管理システム、データ削除方法およびプログラムについて説明してきたが、本発明は、上述した実施形態に限定されるものではなく、他の実施形態の追加、変更または削除等、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。