WO2008068882A1

WO2008068882A1 - 出力管理システム及びその出力制御方法、並びにセキュリティ管理機能付き出力装置

Info

Publication number: WO2008068882A1
Application number: PCT/JP2007/001204
Authority: WO
Inventors: Junichi Kawashima
Original assignee: Seiko Epson Corporation
Priority date: 2006-12-01
Filing date: 2007-11-05
Publication date: 2008-06-12
Also published as: JP2008140105A; JP4858128B2

Abstract

　出力装置システム内にセキュリティレベルの異なる複数種類の出力装置を使用しても、適切なセキュリティの管理を行うことを課題とする。この課題を解決するため、複数種類の出力装置（例えば、プリンタ１２～１５）を備える出力管理システムにおいて、印刷データを生成しプリンタへ送信するデータ処理装置１１により、印刷データに属性データとして設定され付加されるデータセキュリティレベルとプリンタに設定された装置セキュリティレベルとを比較して、装置セキュリティレベルがデータセキュリティレベルより高レベルのときにのみ印刷を許可する判定部２８を設けて、印刷データのデータセキュリティレベルよりセキュリティレベルの低いプリンタが指定されたときには、印刷を許可しないようにして、セキュリティレベルの異なる複数のプリンタを同一システム内で使用しても、印刷セキュリティ管理ができるようにした。

Description

明細書

出力管理システム及びその出力制御方法、並びにセキュリティ管理機能付き出力装置

技術分野

[0001 ] 本発明は、セキュリティレベルの異なる複数の出力装置と P C等のデータ処理装置とを通信回線を介して接続して、データ処理装置により指定した出力装置から出力データの出力を行う出力管理システムに関するものである。特に、本発明は、出力データファイル中にセキュリティ属性データとして指定されているセキュリティ機能に従って出力するように出力管理を行う出力管理システム及びその出力制御方法、並びにセキュリティ管理機能付き出力装置に関する。

背景技術

[0002] 近時、個人情報の保護、営業機密や技術情報などの情報管理が求められている。 e文書法（各種法令により作成■保存することを義務付けられている文書■帳票類の電磁化を認める法律の通称）に基づき、媒体出力をなくし、必要に応じたデータ閲覧へ切り替えようとする動きもあるが、持ち運び■確実な証拠としての必要性から依然として媒体出力も必要である。

これに応じて、複写防止のすかし印刷機能や、不意の情報漏洩抑止のためのログ管理、万一の漏洩時の追跡データとして印刷物への出所情報の印刷（トレース）など、数々のセキュリティ機能が考案されている（特許文献 1参照）。特許文献 1 ：特開 2 0 0 1 _ 2 3 6 1 9 4号公報

発明の開示

発明が解決しょうとする課題

[0003] しかしながら、セキュリティ機能は次々と高機能になっており、システム内に配置されるすべての出力装置にこれら最高レベルのセキュリティ機能を備えることは、経済的困難が伴う。また、必要のないものも含め、すべての出力データをセキュリティ管理することは管理工数増大の懸念がある。また、セキュリティ機能を備える特定装置への出力業務の集中や、装置の能力によっては、従来通りの一般データ出力の利便性を損なうことも懸念される。

[0004] 本発明は、このような課題に鑑みてなされたものであり、異なるセキユリティレベルが設定された複数の出力装置が同一システム内に混在しても、求められるセキュリティレベルに応じた出力管理が可能で、複雑な設定が不要である。出力装置の入れ替えも簡単に行うことができる出力管理システム及びその出力制御方法、並びにセキュリティ管理機能付き出力装置を提供することを目的とする。

[0005] さらに、本発明の他の目的は、セキュリティ機能を搭載しながら、従来通りの一般データ出力への影響を最小限に押さえることのできる出力管理システム及びその出力制御方法、並びにセキュリティ管理機能付き出力装置を提供することを目的とする。

課題を解決するための手段

[0006] 本発明にかかる出力管理システムは、少なくとも一つのデータ処理装置と、セキュリティ機能の異なる少なくとも一つの出力装置とが接続されており、出力データを前記データ処理装置が指定した前記出力装置から出力する出力管理システムであって、前記データ処理装置は、前記出力データに付与されたセキュリティ属性データを読み込み、出力管理の要否を判断する出力処理部と、前記出力装置が備えるもので、前記セキュリティ機能を示す装置セキユリティデータと、前記セキュリティ属性データとを比較して、前記出力装置が、前記セキュリティ属性データにより指定されたセキュリティ機能を満たすか否かを判定し、前記セキュリティ機能を備えていると判断した場合にのみ前記出力装置による出力処理を実行するセキュリティ制御部を備えることを特徴とする。

[0007] この態様によると、本発明は、出力装置として指定された装置の装置セキユリティデータと出力の際に出力データに設定されたセキュリティ属性デ一タとを比較している。これにより、出力装置のセキュリティ機能が、出力データの要求するセキュリティ機能を充足するセキュリティ機能を備えているかどうかを確認することができる。比較の結果、出力装置が出力データのセキユリティ要件を満たす場合のみ、出力処理が実行される。従って、出力データの求めるセキュリティ機能を満たすことができない要求に、対応不能の出力装置が選択された場合には出力が行われないため、セキュリティ管理の低下を防止できる。尚、本発明の適用対象となる出力装置には、印刷装置の他、 D V D、 C D、フレキシブルディスク、ハードディスク、磁気メディア、光学メディア，半導体メモリ等の各種データ出力装置を含む。

[0008] また、出力装置の装置セキュリティデータと出力データのセキュリティ属性データとは、共通のセキュリティ基準により対応づけることが好ましい。例えば、セキュリティについての共通の基準を設けて、セキュリティレベルを昇順または降順に A B C D ■ ■ ■等のように順番にランク付けする。装置セキュリティデータとセキュリティ属性データは、この共通のセキュリティレベルで表示される。両者のセキュリティレベルを比較することにより、指定された出力装置が出力データの要求するセキュリティ機能を充足するセキユリティ機能を備えているかどうかを容易に判定することが可能となる。

[0009] 本発明の他の態様にかかる出力管理システムにおいて、前記装置セキユリティデータと前記セキュリティ属性データは、複数のセキュリティ機能を選択してグループ化した少なくとも一つのセキュリティレベルから成り、前記セキュリティ制御部は、前記出力データの前記セキュリティレベルと、出力装置の前記セキュリティレベルとを比較することにより、前記出力処理の是否を判定する判定部を有することを特徴とする。

[0010] これにより、本発明は、出力装置が仕様として有するセキュリティ機能の違いをそのまま反映するものでなくとも良く、セキュリティ機能の一部を利用して実現可能なセキュリティレベルとして指定することも可能である。

[001 1 ] 本発明の他の態様にかかる出力管理システムおいて、前記セキュリティ制御部は、データ出力イベント発生時に、前記セキュリティ属性データと、前記出力装置の前記セキュリティ機能を取得するセキュリティ情報取得部を備え、前記判定部は、取得した前記装置セキュリティデータと、取得した前記セキュリティ属性データとを比較することにより前記出力装置を判定することを特徴とする。

[0012] これにより、セキュリティ制御部に出力装置のセキュリティ機能を記憶しておかなくとも、各出力装置のセキュリティ機能を確認することが可能となる。特に、出力装置のセキュリティ機能が切り替え可能である場合には、有用である。

[0013] 出力装置のセキュリティ機能の問い合わせは、あらかじめ定められた問合せ手続きによって情報出力される。セキュリティ機能の問合せ手続きは、システムの管理レベル確保の目的で、非公開、暗号化され、出力装置と同梱される出力装置ドライバによって実現できる態様が好ましい。

[0014] 本発明の他の態様にかかる出力管理システムおいて、前記セキュリティ制御部は、前記判定部により前記出力装置が、前記セキュリティ属性データにより指定されたセキュリティ機能を備えていると判定された場合にのみ前記出力装置による出力処理を続行し、前記判定部により前記出力装置が、前記セキュリティ属性データにより指定された場合には、前記出力処理手続きを中止して、エラ一メッセージを出力するメッセージ出力処理を実行することを特徴とする。

[0015] この態様では、出力不許可のときに、エラ一メッセ一ジを出力する。メッセージの出力は、データ処理装置等に設けられた表示機に表示しても、印刷装置等の出力装置に印刷出力するようにしても良い。

[001 6] 本発明の他の態様にかかる出力管理システムおいて、前記セキュリティ制御部、前記セキュリティ情報取得部、及び前記判定部は、前記データ処理装置の有する出力装置用のドライバに設けられることを特徴とする。出力装置用ドライバは、データ処理装置内に出力装置に対応付けられてインストールされるので、出力装置用ドライバに本発明の判定部を組み込むことにより、簡単に本発明の出力管理システムの導入が可能となる。

[001 7] 本発明の他の態様にかかる出力管理システムにおいて、前記出力処理部は、前記出力データを読み込み、前記セキュリティ属性データの有無によってセキュリティ管理の要否を判定し、前記ドライ/くから前記セキュリティ属性データと、前記出力装置のセキュリティ機能への問合せを待つ機能を有し、前記ドライバからの前記問合せが無い場合には、当該出力装置が所定のセキユリティ機能を備えていないものと判断することを特徴とする。

[0018] これにより、セキュリティ機能を備えていない出力装置や本発明に対応していない出力装置が、システム内に混在している場合であっても、出力デ一タの要求するセキュリティ管理を実行することが可能である。例えば、セキユリティ機能を備えていない出力装置に対して、所定のセキュリティ機能を要求する出力データについて出力要求がなされると、出力不許可となる。出力データの出力属性がセキュリティ出力不要との設定がなされている場合には、このようなセキュリティ機能を有していない出力装置を用いて出力することも可能である。このように、装置セキュリティレベルの異なる出力装置が混在していても、セキュリティレベルの確認が行なわれる為、適正なセキユリティの下でのみ出力が行なわれる。また、データセキュリティレベル未設定のセキュリティ管理非対象データはセキュリティ機能の無い出力装置で出力可能であり、一般データ出力の利便性を損なうこともない。

[001 9] 本発明の第 1の態様にかかる出力装置において、データ処理装置と接続され、前記データ処理装置から受信したデータを出力する出力装置であって、該出力装置の備えているセキュリティ機能を示す装置セキュリティデータを記憶するセキュリティ情報記憶部と、記憶している前記装置セキュリティデータを、前記データ処理装置からの要求に応じて前記データ処理装置に送信するセキュリティデータ送信部とを備えることを特徴とする。

[0020] このように、出力装置にセキュリティ報告機能を設けることにより、デ一タ出力を希望するデータ処理装置側で、当該出力装置を使用して出力するかどうかの判断を行うことが可能となる。本発明の適用対象となる出力装置には、印刷装置の他、 D V D、 C D、フレキシブルディスク、ハードディスク、磁気メディア、光学メディア，半導体メモリ等の各種データ出力装置を含む。 [0021 ] 本発明の他の態様にかかる出力装置において、さらに、前記セキュリティ機能を変更可能であることを特徴とする。この態様は、出力装置のセキユリティ機能を変更可能とするものである。これにより、新規出力装置の増設や装置セキュリティ機能の見直しの場合にも、装置セキュリティデータの設定変更だけで対応が可能である。業務効率化の為の旧製品の利用を継続しながらも出力管理セキュリティの観点から最新製品の導入が臨機応変に対応できる。

[0022] 本発明の第 1の態様にかかる出力管理システムの出力制御方法は、少なくとも一つのデータ処理装置と、セキュリティ機能の異なる少なくとも一つの出力装置が接続されている出力管理システムにおいて、

( a ) 前記出力装置備えるもので、前記セキュリティ機能を示す装置セキュリティデータと、前記データ処理装置から出力される出力データに付与されているセキュリティ属性を示すセキユリティ属性デ一タとを比較する工程と

( b ) 前記装置セキュリティデータが、前記セキュリティ属性の求める機能を満たす場合にのみ前記出力データの出力を許可するセキュリティ判定工程と、

( c ) 前記出力データの出力が許可されたときにのみ出力処理を続行する出力制御工程と、

を備えることを特徴とする。

[0023] 本発明の他の態様にかかる出力管理システムの出力制御方法において、前記セキュリティ判定工程（b ) は、

(b-1 ) 前記装置セキュリティデータが前記セキュリティ属性の求める機能を満たす場合に、前記出力データの出力を許可するセキュリティ判定工程と、

(b-2) 前記装置セキュリティデータが、前記セキュリティ属性の求める機能を満たさない場合には印刷処理を中止する工程と、

を備えることを特徴とする。

[0024] また、本発明の他の態様にかかる出力管理システムの出力制御方法において、前記装置セキュリティデータと前記セキュリティ属性データは、複数のセキュリティ機能群を選択して、グループ化した少なくとも一つのセキュリティレベルから構成されることを特徴とする。

[0025] このことにより、高機能出力装置のセキュリティ機能を臨機応変に設定して、装置セキュリティレベルを求められるセキュリティ属性データに対応させることで、出力装置の利用頻度に応じた出力管理システムの構築が可能となる。また、技術革新による新たなセキュリティ管理機能の導入や、セキュリティレベルが求めるセキュリティ機能の見直しの場合にも、すでに運用中のセキュリティ属性データを修正する必要がない。そのため、該当するセキユリティレベルが求めるセキュリティ機能の仕様を見直し、装置セキユリティ機能を修正することで対応が可能であり、出力管理システム導入以降も高い運用自由度が確保できる。

発明の効果

[0026] 本発明によると、出力データのデータセキュリティレベルと指定された出力装置の装置セキュリティレベルを比較することにより、装置セキュリティレベルがデータセキュリティレベルに適合するときにのみデータ出力を許可する。これにより、出力データに対してセキュリティレベルの不適切な出力装置に出力させようとする場合には出力は許可されない。従って、同一システム内にセキュリティレベルの異なる複数の出力装置を混在して使用しても、出力データの出力セキュリティを確保することが可能となる。また、デ一タセキュリティレベル未設定のセキュリティ管理不要データは、セキユリティ機能の無い出力装置でも出力可能である。

[0027] すなわち、セキュリティ管理の必要なデータは適切に出力され、セキユリティ管理不要な一般出力業務も、従来通り利便性を損なうことなく出力可能である。高価なセキュリティ付出力装置と、廉価な出力装置とを適切な割合で混在させることによって、経済効率のよりよい出力管理システムを構築可能となる。

[0028] また、求められるデータセキュリティと利用可能な装置セキュリティから、セキュリティクラス設定や判定基準を設けられる。装置セキュリティを備えた機器の導入にも煩雑なシステム変更を必要とせずに対応可能であり、システムとしての将来的な拡張性も提供できる。

図面の簡単な説明

[0029] [図 1 ]本発明の一実施形態にかかる印刷管理システムの接続構成例を示す図であ。

[図 2]セキュリティレベル A乃至 Dの 4段階の内容を例示する図表である。

[図 3]本発明による出力管理システムの出力条件の一例を、プリンタの装置セキュリティデータ A〜Dと出力データのセキュリティ属性データ A〜Dを用いて示す図表である。

[図 4]本発明の一実施形態にかかるデータ処理装置及びセキュリティレベル A のプリンタの機能プロック図である。

[図 5]データセキュリティ情報を備える本発明の文書等作成処理手順の一例を示すフローチヤ一トである。

[図 6]ァプリケーシヨンからの印刷指示に基づいて印刷を行う場合のアブリケ —シヨン、プリンタドライバ、プリンタによる本発明の印刷処理手順の一例を示すフローチヤ一トである。

[図 7]本発明において、各種アプリケーション■ プリンタドライバが組み合わされた場合の理想的な出力管理結果の一覧を示す。

[図 8]セキュリティに非対応のプリンタドライバ ' プリンタが選択された場合の印刷処理手順の一例を示す。

[図 9]セキュリティに非対応のアプリケーションの場合の印刷処理手順の一例を示すフローチヤ一トである。

符号の説明

[0030] 1 1 データ処理装置 1 2〜 1 5 プリンタ

1 6 印刷管理サーバ 1 7 通信回線

2 1 アプリケーション部 2 2 文書等作成部

2 3 データセキュリティ設定部 2 4 出力処理部 2 5 プリンタドライバ部 2 6 セキュリティ制御部

2 7 セキュリティ情報取得部 2 8 判定部

2 9 出力制御部 3 0 印刷データ変換部

3 1 表示制御部 3 2 入力制御部

3 3 入出力インタフェース 3 4 通信インタフヱ一ス

4 0 通信インタフヱ一ス 4 1 印刷制御部

4 2 セキュリティ印刷制御部 4 3 セキュリティ情報記憶

4 4 印刷機構 4 5 プリンタ操作部

5 1 表示装置 5 2 操作装置

8 0 - 8 3 文書等の電子データ 9 0 - 9 3 印刷物

9 5 トレース情報

発明を実施するための最良の形態

[0031 ] 図面を用いて本発明の実施形態を説明する。なお、以下の説明においては、本発明の典型的な例として、出力装置としてプリンタ（印刷装置）を用いた出力管理システムについて説明する。

[0032] 図 1に本発明の一実施形態にかかる出力管理システム（印刷管理システム ) の構成例を示す。 P C等のデータ処理装置 1 1 と、セキュリティ機能の異なる複数のプリンタ 1 2〜 1 5と力 L A N等のネットワーク 1 7を介して接続されている。また、必要に応じて、印刷ログを管理する管理サーバ 1 6 を設ける構成でも良い。データ処理装置 1 1には、文書作成ソフトや表計算等の各種アプリケーションソフ卜がインストールされている。データ処理装置 1 1は、各種アプリケーションを動作させることにより、出力対象となる電子データ（印刷データ等）を作成するドキュメント（文書）作成装置として動作可能である。また、データ処理装置 1 1は、作成した印刷データをプリンタ 1 2〜 1 5に印刷させる印刷制御装置としての機能も備えている。以下、プリンタ 1 2〜 1 5を用いて印刷出力する場合について説明する。

[0033] データ処理装置 1 1では、ドキュメン卜の作成の際、又はドキュメント作成後に、事後的に印刷データのセキュリティレベル（セキュリティ機能）を指定可能である。指定されたセキュリティレベルは、印刷データのセキユリティに関する属性データとして印刷データとともに記録される。作成済みの印刷データを印刷する場合には、データ処理装置 1 1によりプリンタ 1 2〜 1 5のいずれかを指定して、印刷を実行させる。

[0034] 印刷は、アプリケーションにより、プリンタ 1 2〜1 5のいずれかを指定し、生成された各種の印刷命令に基づき、プリンタドライバに制御データ及び印刷データとして渡すことにより実行される。プリンタドライバでは指定されたプリンタに適合するように制御データや印刷データを変換する。プリンタドライバにより変換された制御データ及び印刷データは、指定されたプリンタに送信されて、所定の印刷が実行される。

[0035] 図 1の例では、プリンタ 1 2〜 1 5のそれぞれに対応するセキュリティ機能として、装置セキュリティレベルが A乃至 Dの 4段階で表されるものとして説明する。この装置セキュリティレベルは、装置セキュリティデータ A乃至 Dとしてそれぞれのプリンタ 1 2〜1 5毎に記憶管理される。本実施例では、装置セキュリティレベルを A乃至 Dの 4段階のセキュリティレベルで表したが、プリンタのセキュリティ機能の種類に応じて、より多い又はより少ないセキュリティレベルを設定することも可能である。また、セキュリティレベルは、セキュリティ機能の違いをそのまま示すものでなくとも良く、多少の違いはあっても一定範囲内にある複数のセキュリティ機能をグルーピングして 1つのセキュリティレベルとして指定することも可能である。

[0036] また、図 1では、ドキュメントのセキュリティレベルである「データセキユリティレベル」を説明上明確に示すために、印刷前のドキュメント 8 0〜 8 3及び印刷後のドキュメント 9 0〜9 3にデータセキュリティレベル「A 」〜「D」を付しているが、実際には「A」、「B」、「C」、「D」等の印刷はされない。

[0037] 図 2に、ドキュメントのデータセキュリティレベルの内容を例示する。図 2の表に示す例では、ドキュメント（印刷データ）については、セキユリティレベル「A」がもっとも高位であり、以下「B」 → 「C」 → 「D」の順にセキュリティレベルが低くなり、セキュリティレベル「D」は、セキユリティ管理の対象外のドキュメントである。セキュリティレベル「D」のドキュメントには、実際の形態ではセキュリティ属性データは付与されない。

[0038] プリンタの場合もセキュリティレベル Aがもっとも高位であり、以下、 B →C→Dの順にセキュリティレベルが低くなり、セキュリティレベル Dはセキュリティ管理の非対象となっているプリンタである。セキュリティレベル Dのプリンタには、実際の態様では装置セキュリティデータは設定されない

[0039] ドキュメント（出力データ）のデータセキュリティレベルは、「セキユリティ属性データ」により指定され、プリンタの装置セキュリティレベルは「装置セキュリティデータ」により指定される。データセキュリティレベルは、作成された印刷データが出力（印刷）される場合に、どのようなセキユリティレベルで出力（印刷）されるべきであるかを指定するものである。デ一タセキュリティレベルは、取り扱うドキュメントにより、自動的に指定されるようにしても、作成者または管理者が指定するようにしてもよい。

[0040] 図 2に示す例では、ドキュメントにセキュリティレベルとして、最高位の「A」が指定されると、印刷データの生成及び送信を行うデータ処理装置 1 1を特定する情報、印刷ドキュメントの特定情報、印刷データ作成者、印刷実行者、印刷に使用するプリンタ、及び印刷日時等の各種ログデータ（トレ —ス情報）を、保存している管理サーバ 1 6から取得して、プリンタ内に記憶する。さらに、図 1に示すように、印刷媒体（印刷物）そのものにも同様のトレース情報 9 5を印刷する。これにより、ログデータにより印刷された文書の履歴を追跡することが可能となるとともに、印刷物をみただけでその出所、作成者等が明らかになるので、印刷文書のセキュリティ管理の徹底を図ることができる。このトレース情報 9 5の印刷位置、印刷内容等の詳細は、作成者または管理者が自由に設定可能であり、一般的には、印刷用紙の最下段もしくは、最上段に小さく印刷することが多い。このようなセキユリティレベル「A」のセキュリティ管理を必要とする印刷データとしては、例えば、顧客名簿、顧客のクレジットカード情報、その他の顧客情報、代理店情報、等のデータが該当する。

[0041 ] セキュリティレベル「B」が指定されると、印刷の際に、電子的なログデータのみを記録するが、印刷物自体へのトレース情報の印刷は行わない。この場合、印刷されたドキュメントの特定情報、文書を印刷したプリンタ、印刷時刻、印刷者等を、ログデータに基づいて追跡調査することが可能となり、不正印刷の追跡と抑制効果を発揮する。例えば、重要度がやや低い営業情報や社内業務情報など、社会的影響には至らないが機密性の高いドキュメン卜については、このようなセキュリティレベル「B」を指定するのが好ましい。

[0042] セキュリティレベル「C」では、プリンタから所定の I D等を入力したときに初めて印刷出力を行うようにしている。これにより、 I Dを知っている人だけが印刷出力可能となる。例えば、営業メモ等の、印刷後の印刷物放置を予防したいセキュリティレベルのドキュメン卜に対してこの指定がなされる。さらに、このセキュリティレベルの仕様においては、 I D入力によってはじめて印刷が開始されることから、大量頁の印刷物出力は印刷終了まで時間がかかる。このため、必然的に大量印刷の場合には、セキュリティレベル「B」または「A」の出力が指定されることになる。結果的に、セキユリティレベル「C」では小部数でオンデマンドでの出力が必要となるような業務出力物が指定されることとなる。つまり、大量印刷物と小部数のオンデマンド印刷物の出力先を区分し、印刷業務の不満点（長時間機器専有するような大量印刷の合間をぬつて重要なメモを印刷するような時間的不便さや、大量印刷物にまぎれてメモが紛失するようなセキュリティ課題等）への対策となる。さらに、小部数オンデマンド印刷物が集中するセキュリティレベル「C 」の機器では、 I D認証機能やオンデマンド処理機能に優れた出力装置が選択されるが、大量印刷に必要となる大量排紙装置ゃスタッカー等の帳合装置は不要となる。このように、セキュリティレベル「C」では、出力物の特性と出力装置の機能に応じた最適出力への利用誘導をも意図する。

[0043] セキュリティレベル「D」では、セキュリティ管理を行う必要のない一般文書であり、データ処理装置 1 1の命令に従って、印刷データをそのまま印刷するだけである。秘密にする必要のない通常の多くの文書等は、セキユリティ管理する必要性は乏しい。セキュリティ機能のない出力装置は一般的に廉価であるから、このような多くの一般文書は、無用のセキュリティ管理なしに出力できることが望ましい。

[0044] 本発明では、セキュリティレベルの異なる各種レベルの出力装置がシステム内に混在していても、ドキュメン卜の求めるセキュリティレベルに応じた適切な出力となるように出力管理することが可能となる。

[0045] 次に、装置セキュリティレベルとドキュメントの属性データであるデータセキュリティレベルの関係について、図 3を用いて説明する。図 3は、本発明による出力管理の動作条件の一例を示す表である。装置セキュリティレべル A〜Dを設定したプリンタ 1 2〜 1 5に対して、データセキュリティレべル「A」〜「D」のドキュメントの印刷要求があった場合である。図中「〇」は印刷の可否を判定するデータ処理装置 1 1又はプリンタ 1 2〜 1 5に設けられた判定部による「印刷許可」を意味し、「X」は「印刷不許可」を意味する。

[0046] 図 3に示す動作条件においては、ドキュメントに指定されているデータセキユリティレベル「A」〜「D」（ドキュメント A乃至 D ) 力指定された出力装置の装置セキュリティレベル「A」乃至「D」と同じか、またはそれ以下の場合には印刷を許可する。逆にデータセキュリティレベルが装置セキユリティレベルよりも高いときには、印刷を不許可とする例を示している。ここで、出力を許可する動作条件の組合せをどのようなものとするか、また、セキュリティ機能に関連してどのような動作を行わせるようにするかは、自由に設定可能である。

[0047] 例えば、図 3において、データセキュリティレベルと装置セキュリティレベルが完全に一致した場合のみ、印刷を許可するように構成してもよい。また、装置セキュリティレベルがデータセキュリティレベルより低い場合には、データ処理装置 1 1又はプリンタ 1 2〜 1 5が自動的に、「印刷できません」又は「もっとセキュリティレベルの高いプリンタを指定して印刷してください（具体的にプリンタの番号を印刷してもよい）」というような内容の印刷をするようにしても、データ処理装置 1 1の表示装置 5 1 (ディスプレィ）に表示する構成にしても良い。

[0048] また、出力条件を一定のセキュリティレベル以上と設定すること、またはセキュリティレベルが一致したとき以外の組合せに設定することもできる。例えば、セキュリティレベルを決める要因が企業毎、所有装置の機能など複数ある場合、それぞれの要因を所定のデータのビット単位で割り当てて設定する。そしてビット同士を比較することにより、より複雑な動作条件の設定が可能となる。

[0049] 図 4に本発明の一実施形態にかかるデータ処理装置 1 1及びセキュリティレベル「A」のプリンタ 1 2の機能ブロック図を示す。データ処理装置 1 1 は、各種文書の作成及びファイル作成等の文書出力管理を行うアプリケーシヨン部 2 1 と、プリンタドライバ部（印刷制御部） 2 5を備えている。アブリケ一シヨン部 2 1は、文書等作成部 2 2、セキュリティ設定部 2 3 , 出力処理部 2 4を備えている。アプリケーション部 2 1は文書作成ソフト、表計算ソフト、プレゼン資料作成ソフト等の場合と同様の機能でよい。データセキユリティ設定部 2 3は、アプリケーション部 2 1により作成するドキュメントの内容に応じて、ドキュメントのセキュリティレベル（データセキユリティレベル）を指定する機能を有している。指定されたデータセキュリティレベルは、作成された印刷データのセキュリティ属性を表示するデータ（セキユリティ属性データ）として、印刷データと一体的に結びつけられて保持される。出力処理部 2 4は、通常のアプリケーションソフト等の場合と同様に、印刷イベント発生時に指定されたプリンタドライバを起動し、印刷処理手続きを行なうとともに、データセキュリティ設定部 2 3で設定されたセキユリティ属性データを読み込む。そして出力処理部 2 4は、セキュリティ属性データの有無によってセキュリティ管理の要否を判断し、必要に応じてプリンタドライバからのセキュリティ属性データの問合せを待つことで出力管理を実行する。

[0050] 表示装置 5 1は作成されたドキュメントを表示する表示端末であり、操作装置 5 2は、データ処理装置 1 1の入力等の操作装置として、文書作成からデータセキュリティレベルの指定、印刷命令の実施等を行なうための操作端末（キーボードやマウスなどの入力端末）である。操作端末は、基本的には、一般的な P Cなどに使用される表示端末及び操作端末と同様の機能と構成を備えている。

これらの表示装置 5 1および操作装置 5 2は、データ処理装置 1 1の基本ソフトウエア（O S )及びデバイスドライバによりその基本動作が制御され、操作端末として機能する。

[0051 ] プリンタドライバ部 2 5は、セキュリティ制御部 2 6と印刷データ変換部 3 0を備えている。また、セキュリティ制御部 2 6は、セキュリティ情報取得部 2 7、セキュリティ判定部（以下、単に「判定部」と称する） 2 8、出力制御部 2 9を備えている。プリンタドライバ部 2 5は、アプリケーション部 2 1の出力処理部 2 4からの印刷命令を受けると、セキュリティ情報取得部 2 7によりデータセキュリティレベルとプリンタの装置セキュリティレべルの情報（「セキュリティ属性データ」及び「装置セキュリティデータ」）とを取得する。

[0052] セキュリティ情報取得部 2 7は、印刷命令があつたときに、印刷対象となるデータ（印刷データ）の属性データとして記憶されているデータセキユリティレベルの情報（セキュリティ属性データ）を読み取り、取得する。また、セキュリティ情報取得部 2 7は、印刷指定されたプリンタ 1 2にァクセス（送受信）して、装置セキュリティレベルの情報（装置セキュリティデータ）を取得する。

[0053] 判定部 2 8は、取得した情報からデータセキュリティレベルとプリンタの装置セキュリティレベルとを比較して印刷許可条件を充足するかどうかを判定する。印刷許可のための判定条件はセキュリティ管理方針に従って任意に設定可能である。

例えば、データセキュリティレベルと装置セキュリティレベルが一致したときのみ指定されたプリンタでの印刷を許可するように印刷許可条件を定めることも可能であり、装置セキュリティレベルがデータセキュリティレベルのセキュリティレベル以上である場合には、印刷を許可するような印刷許可条件を設定しても良い。

[0054] 出力制御部 2 9は、前記判定部 2 8により前記出力装置が出力データの求めるセキュリティ機能を備えていると判定された場合にのみ前記出力装置による出力処理を許可する。それ以外の場合には、印刷処理の実行を停止する。

[0055] 出力制御部 2 9により出力処理が許可されると、印刷データ変換部 3 0は、アプリケーション部 2 1から受信した印刷命令等の制御データ及び印刷データを、指定されたプリンタに対応する制御データ及び印刷データへ変換する。

変換処理が終わると、通信インタフェース 3 4を介して指定したプリンタ 1 2に変換後の印刷データが送信される。

[0056] 図 4に示すプリンタ 1 2では、装置セキュリティレベル Aが設定されているプリンタ 1 2の機能ブロック図を例示している。プリンタ 1 2は、通信ィンタフヱ一ス 4 0、印刷制御部 4 1、セキュリティ印刷制御部 4 2、セキュリティ情報記憶部 4 3、及び印刷ヘッド、紙送り機構からなる印刷機構 4 4 を備えている。また、プリンタ 1 2には、装置セキュリティレベルをマニュアル変更するための操作部 4 5を設けることもできる。

[0057] 印刷制御部 4 1が通信インタフェース 4 0を介して印刷データ及び属性デ一タ等を受信すると、印刷データを不図示の記憶部である印刷バッファにビットマップ状に展開し、印刷の準備を行う。また、セキュリティ印刷制御部 4 2は、通信インタフェース 4 0を通じて、管理サーバ 1 6からトレース情報を読み出して、印刷用紙上の予め定められた位置 (例えば最下段）にトレース情報 9 5の印刷を行うように、印刷バッファの所定の位置にトレース情報をビットマップ状に展開し、先にビットマップ状に展開した印刷データに合成付加する。印刷制御部 4 1は、印刷バッファに展開された所定の印刷デ一タ及びトレース情報等を印刷するよう、印刷機構 4 4を制御する。

[0058] セキュリティ情報記憶部 4 3は、プリンタ 1 2の装置セキュリティレベル情報（装置セキュリティデータ）を記憶している。装置セキュリティレベルは製造時に予め決められた値としてもよいが、データ処理装置 1 1又は管理サーバ 1 6等にインストールされた管理ツールにより、通信回線 1 7を介してプリンタ 1 2の装置セキュリティレベル（装置セキュリティデータ）を変更する構成としてもよい。また、装置セキュリティレベル（装置セキユリテイデ一タ）は、プリンタ 1 2のパネルスィッチなどの操作部 4 5をオペレータが操作することにより、直接設定するようにしてもよい。

[0059] プリンタ 1 2の装置セキュリティレベル情報（装置セキュリティデータ）の保持方法は、内蔵されているフラッシュメモリなどの不揮発性メモリから成るセキュリティ情報記憶部 4 3に固定的に保存される、又は不図示の着脱可能な外部メモリや、不図示のディップスィッチの設定により、可変的に運用することも可能である。

[0060] プリンタ 1 2の装置セキュリティレベルの設定や管理は、プリンタ 1 2ごとに行われ、その過程において情報の暗号化やパスヮ一ドによる保護などにより機密管理がなされ、第三者による情報の変更を防止できるようにする構成が望ましい。

[0061 ] プリンタ 1 2に設定された装置セキュリティレベルの情報（装置セキユリティデータ）は、プリンタ 1 2固有の情報として記憶され、外部からの所定の問合せ手続きによらなければ、開示できない構成としている。

[0062] 外部からの装置セキュリティレベルの問合せ手続きにおいては、暗号化等の方法により管理し、処理することが望ましい。さらに、プリンタ 1 2を特定する情報も付与する等の手段を施し、なりすましによる不正使用を防止するように管理することが望ましい。

[0063] データ処理装置 1 1からプリンタ 1 2に装置セキュリティレベルの問合せを行うときは、通信回線 1 7を用いる、又は別途データ通信用のインタフエ

—スを用いてもよい。

[0064] プリンタドライバ部 2 5は、アプリケーション部 2 1からの指示により利用可能なプリンタ 1 2の装置セキュリティレベルを問合せ、取得する。

[0065] また、プリンタドライバ部 2 5は、出力しょうとする文書情報にデータセキユリティレベルを含むファイル属性情報（セキュリティ属性データ）が付与されているかをアプリケーション部 2 1に問合せ、付与されている場合、それを取得する。

[0066] プリンタドライバ部 2 5の判定部 2 8は、出力しょうとする文書情報のデ —タセキュリティレベル情報（セキュリティ属性データ）と、プリンタ 1 2 の装置セキュリティレベル情報（装置セキュリティデータ）を比較して、出力可否の判断を行う。文書情報のデータセキュリティレベルと、プリンタ 1 2の装置セキュリティレベルが、所定の条件に合致したとき、出力が許可される。文書情報のデータセキュリティレベルとプリンタ 1 2の装置セキユリティレベルが、合致しない場合や情報が得られない場合は、不適切と判断し、出力処理は中止され、データ処理装置 1 1の表示装置 5 1などへエラ一メッセーシ表示する。

[0067] アプリケーション部 2 1からの出力に際しては、出力データにプリンタ 1 2の固体を特定する情報を付与して、なりすましによる不正の防止を図ることが望ましい。

[0068] 図 5に、データセキュリティレベルの情報を備える文書等の作成処理手順の一例を示す。文書等の作成ソフトであるアプリケーションを起動し、管理対象となる文書を作成（S 1 0 1 )した後、ファイル属性の設定（S 1 0 2 )、文書ファイルの保存（S 1 1 0 )を実施する。

[0069] ファイル属性の設定（S 1 0 2 )には、ファイル情報の設定（S 1 0 3 )とセキユリティ情報の設定（ S 1 0 4 )が存在する。

ファイル情報の設定（S 1 0 3 )では、ファイル名、作成者、作成日時、修正日時等の情報が記録される。セキュリティ情報の設定（S 1 0 4 )では、デ一タ閲覧権（S 1 05) (ファイルを開いて閲覧する権利）、複製権（S 1 06) (データを複製して利用する権利）、内容変更権（S 1 07) (内容を変更できる権利）、出力権（S 1 08) (ファイルを出力できる権利）、セキユリティ属性データ（S 1 09) (本発明におけるデータセキュリティレベルの情報 ) 等の設定ができる。

[0070] セキュリティ情報の設定（S 1 04)において、セキュリティ属性データの設定（S 1 09)は出カ権（31 08)の許可対象者にのみ有効である。出力権（ S 1 08)、内容変更権（S 1 07)は複製権（31 06)の許可対象者に有効な設定となり、複製権（S 1 06)はデ一タ閲覧権（S 1 05)の許可対象者に有効な設定となる。

[0071] すなわち、データ閲覧を許可されていないユーザーは、文書ファイルを開くことが許可されないため、出力は出来ないことになる。なお、上記説明のようなセキュリティ情報の設定（ S 1 04 )におけるセキュリティ階層の考え方は、セキュリティ管理方針に従って任意に設定されるものとする。

[0072] 文書作成、ファイル属性の設定手続きが終了した後、文書ファイルはデータとして保存される（S 1 1 0)。最後に作成処理終了の確認（S 1 1 1 )によつて、作業終了が確認されるとアプリケーションによる文書等作成処理手順は終了する。

[0073] 図 6に、本発明のセキュリティ管理機能を有するアプリケーション、プリンタドライバ、プリンタによる印刷処理手順の一例を示す。

[0074] ァプリケ一ション側では、ドキュメントフアイルの読み込みが行なわれて

(S 201 ) 、印刷指示がなされ（S 202) 、プリンタドライバ側の処理フローが起動される（S 206) 。また、アプリケーション側において、セキユリティ属性デ一タの確認が実施され（ S 203 ) 、セキュリティ属性データを有するものでありセキュリティ管理が必要なデータについては（S 2 03 ； Y e s) 、プリンタドライバからのセキュリティ属性データ問合せを待つ（S 204) 。

[0075] —方、印刷処理フローが起動（S 206) したプリンタドライバは、プリンタに対し装置セキュリティデータの問合せを行なう（S 21 1 ) 。それに対し、プリンタは設定されている装置セキュリティデータを回答（S 21 2 ) する。プリンタドライバは、取得した装置セキュリティデータを保存し、次に、アプリケーションに対してセキュリティ属性デ一タの問合せを行なう (S 207) 。これを受けてアプリケーションは出力データに設定されているセキュリティ属性データを回答（S 208) と共に、印刷データを送信（ S 209) する。

[0076] このとき、セキュリティ管理が不要なデータについては（S 203 ； N o ) 、アプリケーションはプリンタドライバからの問合せを待たずに、セキュリティ属性データを回答（S 208) と共に、印刷データを送信（S 209

) する。

[0077] プリンタドライバは、セキュリティ属性データを取得し保存すると、取得したセキュリティレベルが出力管理必要か否かを判断（S 21 0) する。

[0078] 管理不要データ（セキュリティ属性データなし）（S 21 0 ； N o) の場合には、印刷データを印刷データ変換部 30に渡し、印刷データ変換（S 2 1 4) を行なった後にプリンタに送信し、印刷実行（S 21 5) して終了（ S 21 6) する。

[0079] —方、取得したセキュリティレベルが管理必要レベルの場合（S 21 0 ； Y e s) 、プリンタドライバは、アプリケーションより取得した印刷データに付与されたセキュリティ属性データと、プリンタから回答された装置セキユリティデータを比較する。上記セキュリティ属性データと装置セキユリテイデ一タのセキュリティレベルが一致している、或いは、装置セキュリティデータがセキュリティ属性データより高いなど、設定されたセキュリティ条件を充足しているか判断する（S 21 3) 。

[0080] セキュリティ条件を充足した場合（S 21 3 ； YES) には、プリンタドライバは、アプリケーションから受信した印刷データに基づき制御コマンドなどを付加したり印刷データをプリンタで処理できるデータに変換する変換処理等（S 21 4) を行った後、それらのデータをプリンタに送信する。プリンタはプリンタドライバから受信したデータを印刷媒体に印刷し（S 2 1 5) 、出力処理（印刷処理）を終了する（S 2 1 6) 。

[0081] —方、セキュリティ条件充足判断（S 2 1 3) で、設定されたセキユリティ条件を充足していない場合（S 2 1 3 ； NO) には、アプリケーションに対し印刷処理中止情報送信（S 2 1 7) を行う。アプリケーションでは、印刷中止情報に基づき、表示装置 5 1にエラ一メッセージを表示（S 2 1 8) し、印刷処理を中止（S 2 1 9) し、処理を終了（S 220) する。

[0082] また、アプリケーションが、プリンタドライバからのセキュリティ属性データ問合せが来るのを待っている間（S 204 ； Y ES) 、所定の時間になるか監視し（S 205) 、所定の時間になっていなければ（S 205 ； NO ) 、待ち続ける。所定の時間以内にプリンタドライバからセキュリティ属性データが回答された場合は待つのを止め（S 204 ； NO) 、セキュリティ属性データを回答（S 208) と共に、印刷データを送信（S 209) する

[0083] 所定の時間が経過した場合は、タイムオーバーと判断し（S 205 ； Y E S) 、表示装置 5 1にエラ一メッセージを表示（S 2 1 8) し、印刷処理を中止（S 2 1 9) し、処理を終了（S 220) する。

[0084] 図 7に、アプリケーションソフトとプリンタドライバ■ プリンタの組合せと、本発明における理想的な出力結果の一覧を図示する。（a) はセキユリティ属性データ付ドキュメントの場合を示し、（b) はセキュリティ属性データなしドキュメントの場合を示す。

[0085] セキュリティ属性データを有するセキュリティ管理対象ドキュメントは、本発明の提案するアプリケーションとプリンタドライバ " プリンタの組合せにおいてセキュリティレベルが判定され適切に出力される。一方で、アプリケ一シヨン或いはプリンタドライバ . プリンタがセキュリティ管理非対応の組合せでは、出力が実施されないことでセキュリティ管理される。

[0086] また、セキュリティ属性データを有しないセキュリティ管理非対象ドキュメントについては、いずれの組合せにおいても出力が可能であり、一般デ一タ出力の利便性を損なうこともない。

[0087] 出力セキュリティ対応アプリケーションと出力セキュリティ対応プリンタドライバ ' プリンタの組合せにおいては、前述のとおりドキュメントに付与されたセキュリティ属性データと出力装置に設定された装置セキュリティデ —タとの比較によって、セキュリティ条件の充足が判断された結果、セキュリティ属性データ付ドキュメント、セキュリティ属性データなしドキュメント共に、適切な出力管理の下で出力が行なわれる。（図 6参照）

[0088] 出力セキュリティ非対応アプリケーションと出力セキュリティ非対応プリンタドライバ ' プリンタの組合せは通常の出力システムであり、セキユリティ属性データなしドキュメントは通常出力される。しかしながら、本発明におけるセキュリティ属性データ付ドキュメントでは、前述図 5で設定されたファイル属性（データ閲覧等のセキュリティ情報）の機能不備により、ファィルの閲覧が出来ないことから一切の出力が行えない。

[0089] 同様に、出力セキュリティ非対応アプリケーションと出力セキュリティ対応プリンタドライバ■ プリンタの組合せにおいても、本発明におけるセキュリティ属性データ付ドキュメントは、前述図 5で設定されたファイル属性（データ閲覧等のセキュリティ情報）の機能不備により、ファイルの閲覧が出来ないことから一切の出力が行えない。しかしながら、セキュリティ属性データなしドキュメントは、後述の図 9の手順で出力可能となる。

[0090] また、出力セキュリティ対応アプリケーションと出力セキュリティ非対応プリンタドライバ■ プリンタの組合せにおいては、後述の図 8の手順となり、セキュリティ管理不要データのみが出力可能となる。

[0091 ] これによつて、出力セキュリティ対応アプリケーションと出力セキユリティ対応プリンタドライバ■ プリンタの組合せにおいては適切な出力管理が実現できると共に、不適切な組合せにおいても、通常の出力サービスを確保しつつ、最低限の出力管理が実現できることになる。

[0092] 図 8に、本発明のセキュリティ機能を有するアプリケーションと、セキュリティ機能を有しないプリンタドライバとプリンタが選択された場合の、印刷処理手順の一例を示す。図 8中の各工程において、図 6の各工程と同じェ程については、図 8の各工程番号の下 2桁を図 6と同じ番号で示している。また、セキュリティ機能非対応となるため、実際には有しない機能 '処理については、図 6との対比のため破線で示している。

[0093] アプリケーション側では、ドキュメントファイルの読み込みが行なわれて

(S 301 ) 、印刷指示がなされ（S 302) 、プリンタドライバ側の処理フローが起動される（S 306) 。また、アプリケーション側において、セキユリティ属性デ一タの確認が実施され（ S 303 ) 、セキュリティ管理が必要なデータについては（S 303 ； Y e s) 、プリンタドライバからのセキユリティ属性データ問合せを待つ（S 304 ； YES) 。

[0094] しかしながら、プリンタドライバが本発明のセキュリティ管理機能を持つていない場合は、セキュリティ属性データの問合せ（S 307) 、セキユリティ属性データの有無の確認（S 31 0) 、装置セキュリティデータの問合せ（S 31 1 ) 、装置セキュリティデータの回答（S 31 2) 、セキユリティ属性データと装置セキュリティデータの比較によるセキュリティ条件充足判断（S 31 3) を有しない。このためアプリケーション側では、プリンタドライバからのセキュリティ属性データ問合せ待ち（S 304 ； YES) が続き、タイムオーバ一（S 305 ； Y e s) となり、表示装置 51にエラ一メッセージを表示（S 31 8) し、印刷処理を中止（S 31 9) して処理を終了（S 320) する。

[0095] —方、セキュリティ管理が不要なデータについては（S 303 ； N o) 、アプリケーションはプリンタドライバからの問合せを待たずに、セキユリティ属性データを回答（S 308) と共に、印刷データを送信（S 309) する。プリンタドライバは、アプリケーションから受信した印刷データに基づき制御コマンドなどを付加し、印刷データをプリンタで処理できるデータに変換する変換処理等（S 31 4) を行った後、それらのデータをプリンタに送信する。プリンタはプリンタドライバから受信したデータを印刷媒体に印刷し（S 31 5) 、出力処理（印刷処理）を終了する（S 31 6) 。 [0096] 図 9に、本発明のセキュリティ機能を有しないアプリケーションと、セキユリティ機能を有するプリンタドライバとプリンタが選択された場合の、印刷処理手順の一例を示す。図 9中の各工程において、図 6の各工程と同じェ程については、図 9の各工程番号の下 2桁を図 6と同じ番号で示している。また、セキュリティ機能非対応となるため、実際には有しない機能 '処理については、図 6との対比のため破線で示している。

[0097] 前述のように、本発明のセキュリティ機能を有しないアプリケーションでは、セキュリティレベルの設定がされたデータの閲覧は出来ない。アプリケ —シヨン側では、データセキュリティレベルの設定がない文書等のファイルの読み込みが行われて（S 4 0 1 ) 、印刷指示を行い（S 4 0 2 ) 、プリンタドライバ側の処理フローが起動される（S 4 0 6 ) 。

[0098] 印刷指示がなされたプリンタドライバは、プリンタに対し装置セキユリティデータの問合せを行なう（S 4 1 1 ) 。それに対し、プリンタは設定されている装置セキュリティデータを回答（S 4 1 2 ) する。プリンタドライバは、取得した装置セキュリティデータを保存し、次に、アプリケーションに対しデータセキュリティレベルの問合せを行う（S 4 0 7 ) 。

[0099] しかしながら、アプリケーションが本発明のセキュリティ管理機能を持つていない場合は、セキュリティ管理の要否判定（S 4 0 3 ) 、プリンタドラィバからの問合せ待ち（S 4 0 4 ) 、タイムオーバ一管理（S 4 0 5 ) 、セキユリティ属性データの回答（S 4 0 8 ) 等の機能や処理を有しない。このため、アプリケーションは、プリンタドライバからのセキュリティ属性デ一タ問合せ（S 4 0 7 ) に関わらず、印刷データを送信（S 4 0 9 ) する。

[0100] プリンタドライバは、アプリケーションから印刷データを取得すると、取得した印刷データが出力管理必要か否かを判断（S 4 1 0 ) する。

[0101 ] このとき、本発明のセキュリティ機能に非対応のアプリケーションからの印刷データは、前述のように、常にセキュリティ属性データを有しないセキユリティ管理不要データである。このため、セキュリティ管理要否判断（S 4 1 0 ) は、常に管理不要（S 4 1 0 ； N o ) となる。 [0102] 管理不要データ（セキュリティ属性データなしドキュメント）（S 41 0 ； N o) は、印刷データとして印刷データ変換部に渡され、印刷データ変換 (S 41 4) が行なわれた後に印刷実行（S 41 5) されて、処理が終了（ S 41 6) される。

[0103] 本発明は、出力装置として、上述したプリンタの他、各種記録媒体（CD — ROM、フラッシュ ROM、メモリカード（コンパクトフラッシュ（登録商標）、スマートメディア、メモリ—スティック等）、ハードディスク、光磁気ディスク、デジタルバーサタイルディスク、フレキシブルディスク）等へデータを記憶する記録装置等にも適応可能である。

Claims

請求の範囲

[1 ] 少なくとも一つのデータ処理装置と、セキュリティ機能の異なる少なくとも一つの出力装置とが接続されており、出力データを、前記データ処理装置が指定した前記出力装置から出力する出力管理システムであって、

前記データ処理装置は、

前記出力データに付与されたセキュリティ属性データを読み込み、出力管理の要否を判断する出力処理部と、

前記出力装置が備えるもので、前記セキュリティ機能を示す装置セキュリティデータと、前記セキュリティ属性データとを比較して、前記出力装置が、前記セキュリティ属性デ一タにより指定されたセキュリティ機能を満たすか否かを判定し、前記セキュリティ機能を備えていると判定された場合にのみ前記出力装置による出力処理を実行するセキュリティ制御部とを、備えることを特徴とする出力管理システム。

[2] 前記装置セキュリティデータと前記セキュリティ属性データは、複数のセキユリティ機能を選択してグループ化した少なくとも一つのセキュリティレベルから成り、前記セキュリティ制御部は、前記出力データの前記セキユリティレベルと、前記出力装置の前記セキュリティレベルとを比較することにより、前記出力処理の是否を判定する判定部を有することを特徴とする請求項 1に記載の出力管理システム。

[3] 前記セキュリティ制御部は、さらに、

データ出力イベント発生時に、前記セキュリティ属性データと、前記出力装置の前記セキュリティ機能を取得するセキュリティ情報取得部を備え、前記判定部は、取得した前記装置セキュリティデータと、取得した前記セキユリティ属性データとを比較することにより前記出力装置を判定することを特徴とする請求項 1に記載の出力管理システム。

[4] 前記セキュリティ制御部は、前記判定部により前記出力装置が、前記セキユリティ属性データにより指定されたセキュリティ機能を備えていると判定された場合にのみ前記出力装置による出力処理を続行し、前記判定部により前記出力装置が、前記セキュリティ属性データにより指定されたセキュリティ機能を備えていないと判定された場合には、前記出力処理手続きを中止して、エラ一メッセージを出力するメッセージ出力処理を実行することを特徴とする請求項 1乃至 3のいずれか 1項に記載の出力管理システム。

[5] 前記セキュリティ制御部、前記セキュリティ情報取得部、及び前記判定部は、前記データ処理装置の有する前記出力装置用のドライバに設けられていることを特徴とする請求項 1乃至 4のいずれか 1項に記載の出力管理システム。

[6] 前記出力処理部は、前記出力データを読み込み、前記セキュリティ属性デ —タの有無によってセキュリティ管理の要否を判定し、前記ドライバから前記セキュリティ属性データと、前記出力装置のセキュリティ機能への問合せを待つ機能を有し、前記ドライバからの前記問合せのいずれかが無い場合には、当該出力装置が所定のセキュリティ機能を備えていないものと判断することを特徴とする請求項 1に記載の出力管理システム。

[7] デ一タ処理装置と接続され、

前記データ処理装置から受信したデータを出力する出力装置であって、該出力装置の備えるセキュリティ機能を示す装置セキュリティデータを記憶するセキュリティ情報記憶部と、

記憶している前記装置セキュリティデータを、前記データ処理装置からの要求に応じて前記データ処理装置に送信するセキュリティデータ送信部と、を備えることを特徴とするセキュリティ管理機能付き出力装置。

[8] 前記出力装置は、さらに、前記セキュリティ機能を変更可能であることを特徴とする請求項 7に記載のセキュリティ管理機能付き出力装置。

[9] 少なくとも一つのデータ処理装置と、セキュリティ機能の異なる少なくとも一つの出力装置が接続されている出力管理システムにおいて、

( a ) 前記出力装置が備えるもので、前記セキュリティ機能を示す装置セキユリティデータと、前記データ処理装置から出力される出力データに付与されているセキュリティ属性を示すセキユリティ属性デ一タとを比較する工程と、

( c ) 前記出力データの出力が許可されたときにのみ出力処理を続行する出力制御工程と、を備えることを特徴とする出力管理システムの出力制御方法

[10] 前記セキュリティ判定工程（b ) は、

(b-1 ) 前記装置セキュリティデータが前記セキュリティ属性の求める機能を満たす場合に、前記出力データの出力を許可するセキュリティ判定工程と

を備えることを特徴とする請求項 9に記載の出力管理システムの出力制御方法。

[1 1 ] 前記装置セキュリティデータと前記セキュリティ属性データは、複数のセキユリティ機能を選択してグループ化した少なくとも一つのセキュリティレベルから構成することを特徴とする請求項 9または 1 0のいずれかに記載の出力管理システムの出力制御方法。