WO2014080453A1

WO2014080453A1 - 情報システム、管理サーバの制御プログラム及び携帯装置の制御プログラム

Info

Publication number: WO2014080453A1
Application number: PCT/JP2012/080073
Authority: WO
Inventors: 伸晃小野寺
Original assignee: 株式会社日立製作所
Priority date: 2012-11-20
Filing date: 2012-11-20
Publication date: 2014-05-30
Also published as: US20150248565A1

Abstract

　複数の携帯装置と、ネットワークを介して前記複数の携帯装置と通信する管理サーバと、を有する情報システムであって、前記管理サーバは、各々が前記各携帯装置の情報入力部の制御規則、及び、前記制御規則が適用される地理的領域を特定する情報を含む複数のポリシーを保持し、前記管理サーバ又は前記各携帯装置は、前記各携帯装置の位置情報取得部が取得した位置が、前記複数のポリシーのうち少なくとも一つのポリシーによって特定される少なくとも一つの地理的領域に含まれるか否かを判定し、前記位置情報取得部が取得した前記各携帯装置の位置が、前記少なくとも一つのポリシーによって特定される少なくとも一つの地理的領域に含まれる場合、前記少なくとも一つのポリシーに基づいて、前記各携帯装置に適用される制御規則を特定し、前記各携帯装置は、前記各携帯装置に適用される制御規則に基づいて前記情報入力部を制御する。

Description

情報システム、管理サーバの制御プログラム及び携帯装置の制御プログラム

　本発明は、管理サーバ及び携帯装置を含む情報システムに関する。

　本技術分野の背景技術として、特表２００９－５４５２１３号公報（特許文献１）がある。この公報には、「ラップトップ、ＰＤＡ、セルラ電話などのモバイルコンピューティング装置をその位置に基づいて制御する方法が開示される。モバイルコンピューティング装置は、画定済み地理領域のソフトウェアレンダリング済みマップと、所与の地理領域内のモバイル装置の挙動を定義する位置ハンドラと、新しい地理ゾーンに進入したとき、および退出したときを判定し、それに応じて位置ハンドラを実行および終了する位置処理エンジンとを含むことができる。」と記載されている（要約参照）。

　特許文献１：特表２００９－５４５２１３号公報

　携帯端末の利用が拡大していることに伴い、携帯端末からの情報漏えい及びその不正な使用を制御するセキュリティ管理のニーズが高まっている。従来のＰＣ等の固定位置に存在する機器に対して、携帯端末の移動体としての特性が向上し、より多様な地理的領域で使用されることが考えられる。このため、携帯端末が移動体であることに起因する特性を許容しつつ、携帯端末が存在する地理的領域に基づいて一律でない制御を行うことが必要となる。また、例えば、携帯端末が有する機能のうち、情報漏えいにつながる可能性がある機能の使用を許可するか否かについては、その携帯端末を使用する人物の職掌等に応じて異なる制御を行うことが必要となる場合もある。このような状況において情報漏えい等を防ぎつつ適切に携帯端末の機能を制御するためには、複数の携帯端末の機能の制御を集中管理することが望ましい。

　特許文献１には、位置情報に基づいて携帯端末の動作を切り替えることを開示している。しかし、携帯端末からの情報漏えいに関連する機能の制御を集中管理することについては開示されていない。

　上記の課題を解決するために、本発明は、複数の携帯装置と、ネットワークを介して前記複数の携帯装置と通信する管理サーバと、を有する情報システムであって、前記管理サーバは、前記ネットワークを介して前記複数の携帯装置と通信する第１インターフェースと、前記第１インターフェースに接続される第１プロセッサと、前記第１プロセッサに接続される第１記憶デバイスと、を有し、前記各携帯装置は、前記ネットワークを介して前記管理サーバと通信する第２インターフェースと、前記第２インターフェースに接続される第２プロセッサと、前記第２プロセッサに接続される第２記憶デバイスと、前記第２プロセッサに接続され、前記各携帯装置の外部から所定の種類の情報を取得する情報入力部と、前記各携帯装置の位置情報を取得する位置情報取得部と、を有し、前記管理サーバは、各々が前記情報入力部の制御規則、及び、前記制御規則が適用される地理的領域を特定する情報を含む複数のポリシーを前記第１記憶デバイスに保持し、前記管理サーバ又は前記各携帯装置は、前記位置情報取得部が取得した前記各携帯装置の位置が、前記複数のポリシーのうち少なくとも一つのポリシーによって特定される少なくとも一つの地理的領域に含まれるか否かを判定し、前記位置情報取得部が取得した前記各携帯装置の位置が、前記少なくとも一つのポリシーによって特定される少なくとも一つの地理的領域に含まれる場合、前記少なくとも一つのポリシーに基づいて、前記各携帯装置に適用される制御規則を特定し、前記各携帯装置は、前記各携帯装置に適用される制御規則に基づいて前記情報入力部を制御する。

　本発明の一実施形態によれば、管理サーバが複数の携帯端末の機能の制御を集中管理することによって、情報漏えい等を防止することができる。上記した以外の課題、構成及び効果は、以下の実施形態の説明によって明らかにされる。

本発明の実施例１の情報システム全体の構成を示すブロック図である。本発明の実施例１の管理サーバの構成を示すブロック図である。本発明の実施例１の携帯端末の構成を示すブロック図である。本発明の実施例１のポリシーによって定義された領域と位置情報取得部によって取得される位置情報の誤差との関係の説明図である。本発明の実施例１の位置情報取得部が取得する位置情報の許容誤差の説明図である。本発明の実施例１の位置情報取得部が取得した位置座標と携帯端末の実際の位置座標との関係の第１の例の説明図である。本発明の実施例１の位置情報取得部が取得した位置座標と携帯端末の実際の位置座標との関係の第２の例の説明図である。本発明の実施例１の位置情報取得部が取得した位置座標と携帯端末の実際の位置座標との関係の第３の例の説明図である。本発明の実施例１の位置情報取得部が取得した位置座標と携帯端末の実際の位置座標との関係の第４の例の説明図である。本発明の実施例１のポリシーテーブルに含まれる第１のテーブルの説明図である。本発明の実施例１のポリシーテーブルに含まれる第２のテーブルの説明図である。本発明の実施例１のポリシーテーブルに含まれる第３のテーブルの説明図である。本発明の実施例１を構成する要素間の関連の説明図である。本発明の実施例１の管理サーバによって実行されるポリシー登録処理を示すフローチャートである。本発明の実施例１の管理サーバがポリシー登録処理を実行するときに表示する画面の説明図である。本発明の実施例１の管理サーバによる地理的領域の形状の編集の説明図である。本発明の実施例１の携帯端末が実行する適用ポリシー決定処理のフローチャートである。本発明の実施例１の携帯端末が適用ポリシーの変更を表示するために提供するユーザインタフェースの説明図である。本発明の実施例１の携帯端末に適用されるポリシー間制御に応じて適用ポリシーを表示するユーザインタフェースの説明図である。本発明の実施例１の携帯端末に割り当てられたポリシーの定義情報を表示するユーザインタフェースの説明図である。本発明の実施例１における許容誤差の動的な設定の説明図である。本発明の実施例２の情報システム全体の構成を示すブロック図である。本発明の実施例２の管理サーバの構成を示すブロック図である。本発明の実施例２の携帯端末管理サーバの構成を示すブロック図である。本発明の実施例２の携帯端末の構成を示すブロック図である。

　以下、添付図面に基づいて、本発明の実施形態を説明する。

　以後の説明において「ａａａテーブル」、「ａａａリスト」、「ａａａＤＢ」、「ａａａキュー」等の表現にて本発明の情報を説明する場合があるが、これらの情報はテーブル、リスト、ＤＢ、キュー、等のデータ構造以外で表現されていてもよい。そのため、これらの情報がデータ構造に依存しないことを示すために「ａａａテーブル」、「ａａａリスト」、「ａａａＤＢ」、「ａａａキュー」等について「ａａａ情報」と呼ぶことがある。

　さらに、各情報の内容を説明する際に、「識別情報」、「識別子」、「名」、「名前」、「ＩＤ」という表現を用いる場合があるが、これらについてはお互いに置換が可能である。

　以後の説明では「プログラム」を主語として説明を行う場合があるが、プログラムは、プロセッサによって実行されることで、定められた処理をメモリ及び通信ポート（通信制御デバイス）を用いながら行う。このため、処理の説明において主語として記載された「プログラム」を「プロセッサ」によって置き換えることができる。また、プログラムを主語として開示された処理は管理サーバ等の計算機、情報処理装置が行う処理と解釈してもよい。また、プロセッサがプログラムに従って実行する処理の一部又は全ては専用ハードウェアによって実現されてもよい。

　また、各種プログラムはプログラム配布サーバ又は計算機が読み取り可能な記憶メディアによって各計算機にインストールされてもよい。

　なお、管理サーバは入出力デバイスを有する。入出力デバイスの例としてはディスプレイとキーボードとポインタデバイスが考えられるが、これ以外のデバイスであってもよい。また、入出力デバイスは、シリアルインターフェース又はイーサーネットインターフェースによって代替することができる。具体的には、当該インターフェースにディスプレイ、キーボード又はポインタデバイスを有する表示用計算機を接続し、管理サーバが表示用情報を表示用計算機に送信し、表示用計算機が表示用情報に基づいて表示を行ったり、表示用計算機から送信された入力用情報を管理サーバが受信したりすることで、入出力デバイスによる入力及び表示を代替してもよい。

　以後、情報処理システムを管理し、本願発明の表示用情報を表示する一つ以上の計算機の集合を管理システムと呼ぶことがある。管理サーバが表示用情報を表示する場合は管理サーバが管理システムである、また、管理サーバと表示用計算機の組み合わせも管理システムである。また、管理処理の高速化及び高信頼化のために複数の計算機で管理サーバと同等の処理を実現してもよく、この場合は当該複数の計算機（表示を表示用計算機が行う場合は表示用計算機も含め）が管理システムである。

　図１Ａは、本発明の実施例１の情報システム全体の構成を示すブロック図である。

　実施例１の情報システムは、管理者１０２によって操作される管理サーバ１０１と、通信網１２１を介して管理サーバ１０１に接続された、管理対象となる携帯端末１３１と、によって構成される。図１Ａには一人の利用者１３２によって利用される一つの携帯端末１３１のみを示すが、実際は複数の利用者１３２によって利用される複数の携帯端末１３１が通信網１２１を介して管理サーバ１０１に接続される。管理者１０２は、後述するように、管理サーバ１０１を用いて各携帯端末１３１を管理するためのポリシーを設定する。管理サーバ１０１は、設定されたポリシーを各携帯端末１３１に適用することで複数の携帯端末１３１を集中管理する。

　図１Ｂは、本発明の実施例１の管理サーバ１０１の構成を示すブロック図である。

　実施例１の管理サーバ１０１は、相互に接続されたＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１１５、ネットワークインタフェース（Ｉ／Ｆ）１１４、入出力Ｉ／Ｆ１０５、メモリ１０６及び記憶領域１１１を有する。

　ＣＰＵ１１５は、メモリ１０６に格納されたプログラムに従って種々の処理を実行するプロセッサである。メモリ１０６には、ＣＰＵ１１５が実行する管理サーバ用プログラムが格納される。図１Ｂに示すポリシー作成部１０７、ポリシー割当部１０８、端末情報受信部１０９及びポリシー送信部１１０は、管理サーバ用プログラムの一部又は管理サーバ用プログラムを構成するプログラムモジュールである。これらの各部によって実行される処理については後述する。

　記憶領域１１１には、複数の携帯端末１３１を制御するために参照されるポリシーテーブル１１２及び端末情報テーブル１１３が格納される。ポリシーテーブル１１２は、各携帯端末１３１の機能に関する制御規則を決定する複数のポリシーを定義する情報を含む。各ポリシーは、少なくとも各携帯端末１３１の機能に関する一つ以上の制御規則を必ず含み、さらに、その一つ以上の制御規則が適用される領域を定義する情報を含んでもよい。ポリシーテーブル１１２の詳細については後述する（図４Ａ～図４Ｃ等参照）。

　端末情報テーブル１１３は、各携帯端末１３１に関する情報を含む。図１Ｂの例では、端末情報テーブル１１３は、各携帯端末１３１の識別情報（図示省略）に加えて、端末位置情報１１３Ａ、割当ポリシー１１３Ｂ及び制御状態１１３Ｃを含む。端末位置情報１１３Ａは、各携帯端末１３１から取得した、各携帯端末１３１の位置を示す情報である。割当ポリシー１１３Ｂは、各携帯端末１３１に割り当てられたポリシーを特定する情報である。制御状態１１３Ｃは、各携帯端末１３１に割り当てられたポリシー及び各携帯端末１３１の位置に基づいて特定された、各携帯端末１３１に現在適用されている制御規則を示す情報である。これらの詳細については後述する。

　メモリ１０６及び記憶領域１１１は、いずれも、いかなる種類の記憶デバイスによって実現されてもよい。典型的には、メモリ１０６が比較的高速な半導体記憶デバイスであり、記憶領域１１１がハードディスク装置のような比較的大容量の記憶デバイスに保持されたデータベース等であってもよい。ＣＰＵ１１５によって実行されるプログラムは、記憶領域１１１に格納され、その一部又は全部が必要に応じてメモリ１０６にコピーされてもよい。また、記憶領域１１１に格納されているポリシーテーブル１１２及び端末情報テーブル１１３の一部又は全部が必要に応じてメモリ１０６にコピーされてもよい。

　入出力Ｉ／Ｆ１０５には操作部１０３及び表示部１０４が接続される。操作部１０３は、例えばキーボード及びポインタデバイスといった、管理者１０２によって操作される入力装置を含む。表示部１０４は、管理者１０２に情報を出力する出力装置であり、例えば管理者１０２にＧＵＩ（Ｇｒａｐｈｉｃａｌ　Ｕｓｅｒ　Ｉｎｔｅｒｆａｃｅ）の画面を提供する画像表示装置である。

　ネットワークＩ／Ｆ１１４は、管理サーバ１０１を通信網１２１に接続するためのインタフェースであり、管理サーバ１０１と携帯端末１３１との通信に使用される。

　管理サーバ１０１は、ＧＵＩ等を利用した管理者１０２の操作を操作部１０３によって受取ると、入出力Ｉ／Ｆ１０５を経由して、内部の管理サーバ用プログラムへと操作の情報を伝送する。携帯端末１３１への制御規則を含むポリシーは、管理者１０２の操作に基づいてポリシー作成部１０７によって作成され、ポリシーテーブル１１２に格納される。

　管理サーバ１０１の端末情報受信部１０９は、各携帯端末の識別情報、位置情報、割り当てられたポリシー及び現在の制御状態といった端末情報を、通信網１２１を経由して各携帯端末１３１から取得し、端末情報テーブル１１３に格納する。

　携帯端末１３１に対してポリシーを割り当てる場合、管理サーバ１０１は、ポリシーテーブル１１２に定義された情報から適用するポリシーを選択し、どの携帯端末１３１に適用するかを端末情報テーブル１１３内の情報から選択する。ポリシー割当部１０８は、対象ポリシーと対象携帯端末１３１のデータとを関連付け、その後にポリシー送信部１１０が、対象ポリシーの情報を、対象ポリシーに関連付けられた携帯端末１３１に、ネットワークインタフェース１１４を通して送信する。これによって、携帯端末１３１へのポリシー割り当てが実行される。

　ポリシー割り当て後は、端末情報受信部１０９が、携帯端末１３１がどのように制御されているかを示す端末情報を取得し、それに基づいて管理サーバ１０１が携帯端末１３１の状態を管理する。管理された状態は表示部１０４によって管理者１０２に提供される。

　図１Ｃは、本発明の実施例１の携帯端末１３１の構成を示すブロック図である。

　実施例１の携帯端末１３１は、相互に接続されたＣＰＵ１５０、ネットワークＩ／Ｆ１４９、入出力Ｉ／Ｆ１３９、メモリ１４０及び記憶領域１４６を有し、さらに、位置情報取得部１４５を有する。

　ＣＰＵ１５０は、メモリ１４０に格納されたプログラムに従って種々の処理を実行するプロセッサである。メモリ１４０には、ＣＰＵ１５０が実行する端末用プログラムが格納される。図１Ｃに示すポリシー受信部１４１、端末情報送信部１４２及び制御状態決定部１４３は、端末用プログラムの一部又は端末用プログラムを構成するプログラムモジュールである。これらの各部によって実行される処理については後述する。

　記憶領域１４６には、位置情報取得部１４５によって取得された携帯端末１３１の位置情報である端末位置情報１４７、及び、管理サーバ１０１によって当該携帯端末１３１に割り当てられたポリシーを定義する割当ポリシー情報１４８が格納される。

　なお、メモリ１４０及び記憶領域１４６は、管理サーバ１０１のメモリ１０６及び記憶領域１１１と同様、いかなる種類の記憶デバイスによって実現されてもよい。

　入出力Ｉ／Ｆ１３９には操作部１３３、表示部１３４、音声入力部１３５、音声出力部１３６、画像情報入力部１３７及び画像情報出力部１３８が接続される。操作部１０３は、例えばボタン及びタッチパネルといった、利用者１３２によって操作される入力装置を含む。表示部１３４は、利用者１３２に情報を出力する出力装置であり、例えば利用者１３２に携帯端末１３１を操作するためのＧＵＩ画面を提供する画像表示装置である。

　また、後述するように、表示部１３４は、ポリシーによって定義された領域等を地図上に重畳表示してもよい。その場合、メモリ１４０又は記憶領域１４６には、地図情報（図示省略）が格納される。

　音声入力部１３５は、携帯端末１３１の外部から音声情報の入力を受け付ける。例えば、音声入力部１３５は、音声信号を電気信号に変換するマイクロフォン及びその電気信号を音声データに変換する処理回路等を含んでもよい。音声入力部１３５が取得した音声情報をメモリ１４０又は記憶領域１４６に格納することによって、携帯端末１３１の外部の音声を録音することができる。

　音声出力部１３６は、音声情報を出力する。例えば、音声出力部１３６は、音声データを音声として出力するための処理回路、増幅器及びスピーカ等を含んでもよい。

　画像情報入力部１３７は、携帯端末１３１の外部から静止画像又は動画像等の画像情報の入力を受け付ける。例えば、画像情報入力部１３７は、静止画像又は動画像を撮影するカメラ及び画像処理回路等を含んでもよい。画像情報入力部１３７が取得した画像情報をメモリ１４０又は記憶領域１４６に格納することによって、携帯端末１３１の外部の画像を撮影することができる。

　画像情報出力部１３８は、画像情報を出力する。例えば、画像情報出力部１３８は、画像情報を出力するための表示画面等を含んでもよい。表示部１３４が画像情報出力部１３８として使用されてもよい。

　音声入力部１３５及び画像情報入力部１３７は、携帯端末１３１の外部から所定の種類の情報（例えば音声情報及び画像情報）を取得する情報入力部の例であり、携帯端末１３１はその他の種類の情報入力部を有してもよい。このような情報入力部によって取得された情報に、例えば機密情報等、それに対するアクセスが制限されるべき情報が含まれる場合、その情報を携帯端末１３１が保持することによって、携帯端末１３１が機密情報等の漏えい源となり得る。携帯端末１３１に割り当てられるポリシーが情報入力部の機能に関する制御規則を含む場合、このような制御規則に基づいて機能を制御することによって、上記のような機密情報等の漏えいを防ぐことができる。

　ただし、機密情報等の漏えいの防止は本発明の目的の一例に過ぎない。本発明は、携帯端末１３１の任意の機能の使用制限が地理的領域と対応付けて設定される場合に幅広く適用することができ、それによって携帯端末１３１の不正使用等を防止することができる。

　各情報入力部によって入力された情報は、入出力Ｉ／Ｆ１３９を経由して携帯端末１３１内の処理に渡される。

　位置情報取得部１４５は、位置情報発信部１４４から送信された情報に基づいて、携帯端末１３１の位置情報（具体的には位置座標情報）を取得し、それを端末位置情報１４７として保持する。位置情報発信部１４４は、位置情報取得部１４５が位置情報を取得するために必要な情報を送信する装置又は施設等であり、例えばＧＰＳ（Ｇｌｏｂａｌ　Ｐｏｓｉｔｉｏｎｉｎｇ　Ｓｙｓｔｅｍ）衛星又は屋内外に設置された無線基地局等である。この場合、位置情報取得部１４５は、ＷＧＳ－８４座標系に基づいたＧＰＳなどの測位技術によって携帯端末１３１の位置座標を取得するが、さらにジャイロセンサ等を組み合わせて位置座標を取得してもよい。

　携帯端末１３１のポリシー受信部１４１は、管理サーバ１０１によって割り当てられたポリシー情報を、ネットワークインタフェース１４９を通じて受信する。その後、携帯端末１３１は、受信したポリシーの情報を記憶領域１４６上に割当ポリシー情報１４８として保持する。制御状態決定部１４３は、保持された位置情報及び保持されたポリシー情報に基づいて、携帯端末１３１の制御状態を決定し、それに基づいて携帯端末１３１の各部（例えば音声入力部１３５及び画像情報入力部１３７等）の機能を制御する。

　さらに、携帯端末１３１の端末情報送信部１４２は、定期的に管理サーバ１０１に携帯端末１３１自身の情報（例えば、最新の位置情報及び制御状態等）を送信する。管理サーバ１０１の端末情報受信部１０９は、この情報を受信すると、それに基づいて端末情報テーブル１１３を更新する。

　図２は、本発明の実施例１のポリシーによって定義された領域と位置情報取得部１４５によって取得される位置情報の誤差との関係の説明図である。

　図２において、領域２０２は、画像情報入力部１３７のカメラ機能の使用を禁止するという制御規則が適用される地理的領域である。この領域２０２及びそこに適用される制御規則は、一つのポリシー（図２及び図３Ａ～図３Ｅの説明において、「ポリシー２」と記載する）によって定義される。領域２０２の典型的な例は、機密情報等が扱われる領域であり、機密情報等の流出を防ぐためにポリシー２が定義される。

　一方、領域２０１は、領域２０２の周囲にあって、カメラ機能の使用を許可するという制御規則が適用される地理的領域である。この領域２０１及びそこに適用される制御規則は、別のポリシー（図２及び図３Ａ～図３Ｅの説明において、「ポリシー１」と記載する）によって定義される。領域２０１の典型的な例は、不特定多数の人物が自由に出入り可能な公共空間のような、機密情報等にアクセスすることが想定されていない領域である。

　この例において、領域２０２内の位置座標２０３にある携帯端末１３１には、カメラ機能の使用を禁止するというポリシー２の制御規則が適用されるべきである。しかし、位置情報取得部１４５が取得する位置座標情報は誤差を含むため、実際には位置座標２０３にある携帯端末１３１の位置情報取得部１４５が、領域２０２ではなく領域２０１の位置座標２０４を取得する場合がある。この場合、カメラ機能の使用を許可するというポリシー１の制御規則が適用される。このように、位置情報の誤差のために、管理者が予期しない誤った制御規則が携帯端末１３１に適用され、そのことが機密情報の流出等の望ましくない結果を生む可能性がある。

　なお、以下の説明において、あるポリシーの制御規則が適用されることを、単にそのポリシーが適用されるとも記載し、そのポリシーを適用ポリシーとも記載する。

　本実施例では、位置情報取得部１４５が取得した位置座標が含む可能性がある誤差を「許容誤差」として設定し、その許容誤差を考慮して制御規則を適用することによって、上記の問題の解決を図る。許容誤差について、図３Ａ～図３Ｅを参照して説明する。

　図３Ａは、本発明の実施例１の位置情報取得部１４５が取得する位置情報の許容誤差の説明図である。

　位置情報取得部１４５の特性及び携帯端末１３１の環境等の条件から、位置情報取得部１４５が取得する位置座標２０４と携帯端末１３１の実際の位置座標２０３との距離がｒ以下である（すなわち許容誤差がｒである）と推定される場合、位置座標２０４を中心とする半径ｒの円形の範囲が許容誤差範囲３０１である。すなわち、位置情報取得部１４５が位置座標２０４を取得した場合に、携帯端末１３１が実際に存在し得る位置の範囲が許容誤差範囲３０１である。

　図３Ｂ～図３Ｅは、本発明の実施例１の位置情報取得部１４５が取得した位置座標２０４と携帯端末１３１の実際の位置座標２０３との関係の第１～第４の例の説明図である。

　図３Ｂには、位置情報取得部１４５が取得した位置座標２０４が領域２０１に含まれるが、許容誤差範囲３０１が領域２０１の一部及び領域２０２の一部の両方を含む例を示す。この場合、携帯端末１３１の実際の位置座標２０３は領域２０１に含まれる可能性もあるが、図３Ｂに示すように領域２０２に含まれる可能性もある。

　図３Ｃには、位置情報取得部１４５が取得した位置座標２０４が領域２０２に含まれるが、許容誤差範囲３０１が領域２０１の一部及び領域２０２の一部の両方を含む例を示す。この場合、携帯端末１３１の実際の位置座標２０３は領域２０２に含まれる可能性もあるが、図３Ｃに示すように領域２０１に含まれる可能性もある。

　図３Ｄには、位置情報取得部１４５が取得した位置座標２０４が領域２０１に含まれ、かつ、許容誤差範囲３０１が領域２０１の一部のみを含む例を示す。すなわち、この例において、携帯端末１３１の実際の位置座標２０３は必ず領域２０１に含まれ、領域２０２に含まれる可能性はない。

　図３Ｅには、位置情報取得部１４５が取得した位置座標２０４が領域２０２に含まれ、かつ、許容誤差範囲３０１が領域２０２の一部のみを含む例を示す。すなわち、この例において、携帯端末１３１の実際の位置座標２０３は必ず領域２０２に含まれ、領域２０１に含まれる可能性はない。

　結局、図３Ｄ及び図３Ｅの場合には携帯端末１３１が実際に領域２０１又は２０２のいずれに存在するかを特定することができるため、それぞれの領域に対応するポリシー１及びポリシー２に従って、携帯端末１３１に適用すべき制御規則を正しく特定することができ、これによって情報漏えい等を防ぐことができる。一方、図３Ｂ及び図３Ｃの場合には携帯端末１３１が実際に領域２０１又は２０２のいずれに存在するかを特定することができないため、各ポリシーによって定義された制御規則とその制御規則が適用される領域とを参照するだけでは、携帯端末１３１に適用すべき制御規則を特定することができない。本実施例では、このような場合に適用すべき制御規則を特定するために、ポリシーの優先度に基づく排他制御又はポリシーのマージ（融合）が行われる。これらについては後述する。

　なお、上記の例では、領域２０２が領域２０１と重複しない。すなわち、領域２０１は、図２等に示す領域２０１の矩形の輪郭線の内側の領域から、領域２０２の矩形の輪郭線の内側の領域を除いた領域である。しかし、実際には、複数のポリシーによって定義される複数の領域が重複してもよい。例えば、領域２０１と領域２０２が重複する場合、領域２０２の矩形の輪郭線の内側の領域は、領域２０２であると同時に領域２０１の一部でもある。このような場合には、図３Ｅの例において携帯端末１３１の実際の位置座標２０３は領域２０１及び領域２０２の両方に含まれるため、図３Ｂ等の場合と同様に、制御規則を特定することができない。

　また、許容誤差ｒは、固定された値であってもよいが、種々の条件に応じて決定される可変の値であってもよい。許容誤差ｒが可変である例については図１３を参照して後述する。

　次に、ポリシーテーブル１１２の内容について図４Ａ～図４Ｃを参照して説明する。

　図４Ａ～図４Ｃは、本発明の実施例１のポリシーテーブル１１２に含まれるテーブル４０１～４０３の説明図である。

　テーブル４０１は、各ポリシーを識別するポリシー名４０１Ａと、各ポリシーに与えられた優先度４０１Ｂと、を関連付ける情報である。図４Ａの例では、ポリシー名４０１Ａとして「ポリシーＡ」、「ポリシーＢ」及び「デフォルトポリシー」が保持され、それぞれに対応する優先度４０１Ｂとして「１」、「２」及び「３」が保持されている。ここで、優先度４０１Ｂの値が大きいほど優先度が低いことを意味する。優先度に基づく処理については後述する（図９等参照）。

　ポリシーＡ及びポリシーＢは、それぞれ、一つ以上の地理的領域と、それらの領域に適用される制御規則と、を定義する。ポリシーＡの例については後述する（図４Ｃ参照）。これに対して、デフォルトポリシーは、携帯端末１３１にいずれのポリシーも適用されていない場合に適用されるポリシーである。このデフォルトポリシーは、地理的領域によらずに適用されるため、地理的領域を定義する情報を含まない（言い換えると、すべての地理的領域において適用されるべき制御規則を定義する情報を含む）。また、デフォルトポリシーには最も低い優先度が与えられる。

　テーブル４０２は、ポリシーによらずにすべての携帯端末１３１に共通して適用される値を定義する情報（以下、「共通設定」とも記載する）を含む。具体的には、テーブル４０２は、定義される値の項目名４０２Ａ及び定義される値４０２Ｂを含む。図４Ｂの例では、項目名「許容誤差」に対応する値「１０ｍ」が保持されている。これは、図３Ａに示す許容誤差ｒが１０ｍであることを示す。なお、図４Ｂには一つの許容誤差のみが定義される例を示したが、例えば複数の任意の地理的領域に適用される複数の許容誤差が定義されてもよい。

　さらに、図４Ｂの例では、項目名「ポリシー間制御」に対応する値「優先度で排他」が保持されている。これは、例えば図３Ｂ及び図３Ｃの例のように、携帯端末１３１に複数のポリシーが適用される可能性がある場合に、優先度に基づいて排他的に一つのポリシーを選択するというポリシーの選択規則が適用されることを示す。なお、項目名「ポリシー間制御」に対応する値として、「優先度で排他」のほかに、「マージ」等が保持される場合もある。これについては後述する。

　テーブル４０３は、上記のポリシーＡによって定義される地理的範囲及び制御規則の例を示す。図４Ａの例では、設定項目４０３Ａとして「範囲Ａ」、「範囲Ｂ」、「カメラ」、「ボイスレコード」及び「音声入力」等が保持される。

　設定項目「範囲Ａ」及び「範囲Ｂ」は、それぞれ、値４０３Ｂに保持された三つ以上の座標と対応づけられる。例えば、「範囲Ａ」は、座標１（ｘａ１，ｙａ１）～座標４（ｘａ４，ｙａ４）に対応づけられる。これは、範囲Ａがこれらの四つの座標を頂点とする長方形の範囲Ａ＿４０４であることを示す。一方、「範囲Ｂ」は、座標１（ｘｂ１，ｙｂ１）～座標６（ｘｂ６，ｙｂ６）に対応づけられる。これは、範囲Ｂがこれらの六つの座標を頂点とする六角形の範囲Ｂ＿４０５であることを示す。

　なお、地理的範囲は上記以外の方法によって定義されてもよい。例えば、円形の地理的範囲はその円形の中心の座標及び半径によって定義されてもよい。

　設定項目「カメラ」、「ボイスレコード」及び「音声入力」は、画像情報入力部１３７及び音声入力部１３５等の情報入力部の機能について定義される制御規則の項目であり、それぞれに対応する値４０３Ｂとして、それらの機能を制限するか否かを示す値が保持される。ここで、機能の制限とは、その機能の使用を禁止することであってもよいが、その機能について適用されるパラメータ等の制限（例えばカメラの解像度、ボイスレコードの音質又は録音時間等の制限）であってもよい。

　上記のポリシーＡが定義されている場合において、携帯端末１３１が範囲Ａ又は範囲Ｂのいずれかにあることが特定された場合、設定項目「カメラ」、「ボイスレコード」及び「音声入力」に対応して定義された制御規則が携帯端末１３１に適用される。

　各ポリシーは、設定項目として上記以外の項目を含んでもよい。また、各ポリシーは、一つの地理的領域を定義する情報のみを含んでもよいし、三つ以上の地理的領域を定義する情報を含んでもよいし、地理的領域を定義する情報を含まなくてもよい。ポリシーが地理的領域を定義する情報を含まない場合、そのポリシーによって定義される制御規則はすべての地理的領域に（すなわち携帯端末１３１がどこにあるかにかかわらず）適用される。

　図５は、本発明の実施例１を構成する要素間の関連の説明図である。

　一つの管理サーバ１０１は、任意の数の携帯端末１３１を管理する。また、一つの管理サーバ１０１は、任意の数のポリシーを保持する。一つの携帯端末１３１に任意の数のポリシーが割り当てられる。一つのポリシーは、任意の数の地理的領域（座標範囲）の定義を含み、一つの地理的領域は三つ以上の座標点の集合によって表現される。また、任意の数のポリシーに関連して、一つの共通設定がされ、一つの共通設定はポリシー間制御に関する一つの定義と、許容誤差に関する一つ以上の定義を含む。

　次に、ポリシーを作成する処理について、図６～図８を参照して説明する。

　図６は、本発明の実施例１の管理サーバ１０１によって実行されるポリシー登録処理を示すフローチャートである。

　最初に、管理者１０２がポリシー名を決定し、操作部１０３を介して管理サーバ１０１に入力する（ステップ６０１）。以下、図６の各ステップにおいて管理者１０２が管理サーバ１０１に対して行う設定、選択及び情報の入力等は、管理者１０２が操作部１０３を操作することによって実行される。

　次に、管理者１０２が制御項目を設定する（ステップ６０２）。具体的には、管理者１０２は、例えば図４Ｃの設定項目「カメラ」、「ボイスレコード」及び「音声入力」等に対応する「制限する」又は「制限しない」といった値を管理サーバ１０１に入力する。

　次に、管理者１０２が地理的領域を示す座標を設定する（ステップ６０３）。具体的には、管理者１０２は、例えば図４Ｃの「範囲Ａ」及び「範囲Ｂ」に対応する座標値を管理サーバ１０１に入力する。

　次に、管理者１０２は、ステップ６０３までの設定を確認し、それによって作成されるポリシーをコミットする。管理サーバ１０１のポリシー作成部１０７は、ステップ６０３までの設定に従ってポリシーを作成し、それをポリシーテーブル１１２に登録する（ステップ６０４）。

　次に、管理者１０２は、ポリシーを割り当てる対象の携帯端末１３１を選択する（ステップ６０５）。ここで、複数の携帯端末１３１を選択してもよい。

　次に、管理者１０２は、選択した携帯端末１３１に割り当てるポリシーを選択する（ステップ６０６）。ここで、複数のポリシーを選択してもよい。

　管理サーバ１０１のポリシー割当部１０８は、選択された携帯端末１３１と選択されたポリシーとを関連付ける（ステップ６０７）。これらを関連付ける情報は管理サーバ１０１の記憶領域１１１に保持される。

　次に、管理サーバ１０１のポリシー送信部１１０は、各携帯端末１３１にポリシーの情報を送信する（ステップ６０８）。このとき、ポリシー送信部１１０は、少なくとも、各携帯端末１３１に割り当てられたポリシーの情報（例えばテーブル４０３）及び共通設定（例えばテーブル４０２）を送信する。各携帯端末１３１のポリシー受信部１４１は、管理サーバ１０１から受信したポリシーの情報を割当ポリシー情報１４８として保持する。

　図７は、本発明の実施例１の管理サーバ１０１がポリシー登録処理を実行するときに表示する画面の説明図である。

　図６に示すポリシー登録処理は、管理サーバ１０１の表示部１０４によって提供されるＧＵＩを介して実行されてもよい。図７には、ＧＵＩの画面の一例を示す。以下、図７を参照してポリシー登録処理の実行手順の一例を説明する。

　ポリシー登録処理が開始されると、表示部１０４は、最初にポリシー作成画面７０１を表示する。ポリシー作成画面７０１は、ポリシー名設定フィールド７０２、一つ以上の制御項目設定フィールド７０３～７０５、エリア設定フィールド７０６、追加ボタン７０７、ＯＫボタン７０８及びキャンセルボタン７０９を含む。

　ステップ６０１において、管理者１０２は、ポリシー名設定フィールド７０２にポリシー名を入力する。

　ステップ６０２において、管理者１０２は、一つ以上の制御項目に対応する制御規則を制御項目設定フィールドに入力する。例えば、管理者１０２は、制御項目「カメラ」、「ボイスレコード」及び「音声入力」のそれぞれに対応する制御規則「制限する」、「制限する」及び「制限しない」を、制御項目設定フィールド７０３～７０５に入力する。制御項目設定フィールド７０３～７０５には、「制限する」又は「制限しない」等の複数の制御規則のいずれかを選択するためのプルダウンリストが用意されていてもよい。

　ステップ６０３において、管理者１０２は、エリア設定フィールド７０６等を操作して、ポリシーの制御規則が適用される地理的領域の追加、編集及び削除を実行する。

　例えば、管理者１０２は、追加ボタン７０７を操作し、表示されたエリア設定画面７２１（後述）を操作することによって、新たな地理的領域を追加することができる。また、エリア設定フィールド７０６は、設定された一つ以上の地理的領域の各々を識別するエリア名の表示と、各エリア名に対応する編集ボタンと、削除ボタンとを含む。管理者１０２は、各エリア名に対応する編集ボタンを操作することによって、既に設定されている地理的領域を編集（例えばその地理的領域を定義する座標値を変更）することができる。このときにエリア設定画面７２１を利用することもできる。あるいは、管理者１０２は、各エリア名に対応する削除ボタンを操作することによって、既に設定されている地理的領域を削除することができる。

　ステップ６０４において管理者１０２がＯＫボタン７０８を操作すると、その時点までに入力されたエリア設定フィールド７０６等の状態に従って、地理的領域の追加、編集又は削除がコミットされる。一方、管理者１０２がキャンセルボタン７０９を操作すると、その時点までのエリア設定フィールド７０６等への入力が破棄される。

　表示部１０４は、管理者１０２が追加ボタン７０７を操作したとき、及び、エリア設定フィールド内の編集ボタンを操作したときに、エリア設定画面７２１を表示する。エリア設定画面７２１は、エリア名設定フィールド７２２、エリア座標設定フィールド７２３、ＯＫボタン７２９及びキャンセルボタン７３０を含む。

　エリア名設定フィールド７２２には、これから追加又は編集しようとする地理的領域を識別するエリア名が入力される。例えば、管理者１０２が追加ボタン７０７を操作したときに空のエリア名設定フィールド７２２が表示され、そこに管理者１０２が新たなエリア名を入力してもよい。管理者１０２は、エリア座標設定フィールド７２３を操作して新たな地理的領域を定義する座標値を入力する。

　エリア座標設定フィールド７２３には、背景として地図が表示され、その地図上に管理者１０２が任意の形状の地理的領域を定義する座標を入力することができる。例えばエリア座標設定フィールド７２３は基本図形選択フィールド７２４を含み、そこに表示された三角形、四角形、五角形又は六角形等の図形を選択し、さらに、エリア座標設定フィールド７２３上でその図形が表示される範囲を指定すると、選択した図形と相似の図形がエリア座標設定フィールド７２３の指定した範囲に表示される。管理者１０２は、表示された図形の頂点を移動させることによって任意の形状の地理的領域を定義することができる。

　例えば、管理者１０２が基本図形選択フィールド７２４において四角形を選択し、さらにエリア座標設定フィールド７２３において始点７２５及び終点７２６を指定した場合、始点７２５と終点７２６とを結ぶ線を対角線とする四角形の範囲内の最大の大きさの四角形が地理的領域として定義される。なお、基本図形選択フィールド７２４において三角形が選択された場合、始点７２５と終点７２６とを結ぶ線を対角線とする四角形の範囲内の最大の大きさの三角形が定義される。

　図７には三つの終点７２６を示しているが、任意の終点７２６を指定することによって任意の縦横比及び任意の大きさをもった四角形を指定することができる。なお、始点７２５及び終点７２６は、例えば、管理者１０２がマウスカーソル７２７のドラッグを開始した位置及び終了した位置に設定されてもよい。

　エリア設定画面７２１には、さらにマウスカーソル７２７に関連して表示されるコンテキストメニュー７２８を含んでもよい。コンテキストメニュー７２８には、例えば「頂点追加」、「頂点削除」及び「エリア削除」といった、エリア座標設定フィールド７２３に表示された地理的領域の形状を編集するための項目が表示される。管理者１０２は、これらの項目を選択することによって、地理的領域の形状に頂点を追加したり、既存の頂点を削除したり、あるいは、既に入力された地理的領域全体を削除することができる。

　管理者１０２がＯＫボタン７２９を操作すると、その時点までに入力された地理的領域がコミットされる。一方、管理者１０２がキャンセルボタン７３０を操作すると、その時点までの地理的領域の入力が破棄される。

　なお、管理者１０２がエリア設定フィールド７０６内のいずれかのエリア名に対応する編集ボタンを操作した場合、そのエリア名がエリア名設定フィールド７２２に表示されてもよい。このとき、エリア座標設定フィールド７２３には、既に設定されている当該エリア名の地理的領域の形状が表示される。管理者１０２は、上記の方法によってその形状を編集してもよい。さらに、管理者１０２は、エリア名設定フィールド７２２に表示されたエリア名を新たなエリア名に変更することによって、既存の地理的領域の定義を流用して新たな地理的領域を定義することができる。

　あるいは、管理者１０２が追加ボタン７０７を操作し、空のエリア名設定フィールド７２２が表示されたときに、管理者１０２がさらにエリア名設定フィールド７２２の右端のメニュー表示ボタンを操作すると、既に定義された地理的領域のエリア名を含むプルダウンメニュー（図示省略）が表示されてもよい。管理者がプルダウンメニューからいずれかの地理的領域を選択すると、選択された地理的領域の形状がエリア座標設定フィールド７２３に表示される。その後、上記と同様にエリア名を変更し、必要に応じて地理的領域の形状を編集することによって、既存の地理的領域の定義を流用して新たな地理的領域を定義することができる。

　図８は、本発明の実施例１の管理サーバ１０１による地理的領域の形状の編集の説明図である。

　例えば、管理者１０２は、基本図形選択フィールド７２４から四角形を選択することによって長方形を描画することができる（図形８０１）。さらに、管理者１０２は、マウスカーソル７２７によって長方形の任意の頂点を選択し、それを移動させることによって、長方形を変形させることができる（図形８０２）。さらに、管理者１０２は、マウスカーソル７２７によって選択した長方形の全体を平行移動させることもできる。

　あるいは、管理者１０２は、コンテキストメニュー７２８から「頂点追加」を選択し、マウスカーソル７２７で四角形の任意の辺の任意の位置を指定することによって、その位置に新たな頂点８０４を追加することができる（図形８０３）。さらに、管理者１０２は、追加した頂点８０４をマウスカーソル７２７で移動させることもできる。このようにして、管理者１０２は、ポリシーによって定義される地理的領域の形状として任意の多角形を作成することができる。

　図９は、本発明の実施例１の携帯端末１３１が実行する適用ポリシー決定処理のフローチャートである。

　図９に示す適用ポリシー決定処理の実行は、例えば、所定のスケジュールに従って（例えば定期的に）開始されてもよいし、所定のイベント（例えば位置情報取得部１４５が新たな位置座標情報を取得したこと）を契機として開始されてもよいし、利用者１３２等からの明示的な指示に従って開始されてもよいし、管理サーバ１０１から送信された管理者１０２からの明示的な指示に従って開始されてもよい。

　最初に、携帯端末１３１の制御状態決定部１４３は、記憶領域１４６に格納された端末位置情報１４７に含まれる当該携帯端末１３１の位置座標情報を取得する（ステップ９０１）。端末位置情報１４７は、少なくとも、位置情報取得部１４５が取得した最新の当該携帯端末１３１の位置座標情報を含むため、位置情報取得部１４５が位置座標を取得する間隔が十分に短ければ、その最新の位置座標を近似的に現在の当該携帯端末１３１の位置座標として使用することができる。

　次に、携帯端末１３１の制御状態決定部１４３が、割当ポリシー情報１４８から共通設定を取得する（ステップ９０２）。共通設定は、図４Ｂに示すように、許容誤差及びポリシー間制御に関する情報等を含む。ここでは、ポリシー間制御が「優先度で排他」である場合について説明する。

　次に、携帯端末１３１の制御状態決定部１４３が、割当ポリシー情報１４８から当該携帯端末１３１に割り当てられたポリシーの情報（例えばテーブル４０３）を取得する（ステップ９０３）。

　次に、制御状態決定部１４３は、適用ポリシーの初期値を設定する（ステップ９０４）。適用ポリシーの初期値は、前回実行された適用ポリシー決定処理によって決定された適用ポリシーであり、適用ポリシー決定処理が初めて実行される場合にはデフォルトポリシーである。

　次に、制御状態決定部１４３は、当該携帯端末１３１に割り当てられた複数のポリシーのうち一つを選択し、さらに、選択されたポリシーによって定義された一つの地理的領域（複数の地理的領域が定義されている場合はそれらのうち一つ）を選択する。そして、制御状態決定部１４３は、ステップ９０１で取得された位置座標が選択された地理的領域に含まれるか否かを判定する（ステップ９０５）。

　ステップ９０５の判定は、例えば、ステップ９０１で取得された位置座標を始点とする半直線が、選択された地理的領域の輪郭線と交差する回数に基づく判定、又は、ステップ９０１で取得された位置座標と上記の輪郭線上の座標点とがなす角の和に基づく判定等、任意の公知の方法によって実現することができる。

　次に、制御状態決定部１４３は、ステップ９０１で取得された位置座標を中心とする許容誤差範囲（ここでは当該許容誤差範囲と記載する）の輪郭線と選択された地理的領域の輪郭線とが交差するか否かを判定する（ステップ９０６）。この判定は、線分又は直線と円の交点を求める任意の公知の方法によって実現することができる。

　当該許容誤差範囲の輪郭線と選択された地理的領域の輪郭線とが交差することは、当該許容誤差範囲の一部が、選択された地理的領域の少なくとも一部と重複すること、すなわち、携帯端末１３１の実際の位置が、選択された地理的領域に含まれる可能性があることを意味する。

　ステップ９０５において位置座標が選択された地理的領域に含まれると判定され、かつ、ステップ９０６において当該許容誤差範囲の輪郭線と選択された地理的領域の輪郭線とが交差すると判定された場合、当該許容誤差範囲と各地理的領域との位置関係は、図３Ｃに示したものと同様であると判定される（ステップ９０７）。ただし、この例において、領域２０２が選択された地理的領域に相当し、領域２０１が選択された地理的領域以外の地理的領域に相当する（後述するステップ９０８～９１０においても同様）。また、携帯端末１３１の実際の位置座標２０３は、領域２０２に含まれる可能性もある。

　この場合、制御状態決定部１４３は、選択されたポリシーの優先度と、現在の適用ポリシーの優先度とを比較する（ステップ９１１）。そして、制御状態決定部１４３は、選択されたポリシーと現在の適用ポリシーのうち優先度の高い方を新たな適用ポリシーとして決定する（ステップ９１２）。

　ステップ９０５において位置座標が選択された地理的領域に含まれないと判定され、かつ、ステップ９０６において当該許容誤差範囲の輪郭線と選択された地理的領域の輪郭線とが交差すると判定された場合、当該許容誤差範囲と選択された地理的領域との位置関係は、図３Ｂに示したものと同様であると判定される（ステップ９０９）。ただし、携帯端末１３１の実際の位置座標２０３は、領域２０１に含まれる可能性もある。

　この場合、制御状態決定部１４３は、ステップ９１１及びステップ９１２を実行し、選択されたポリシーと現在の適用ポリシーのうち優先度の高い方を新たな適用ポリシーとして決定する。

　ステップ９０５において位置座標が選択された地理的領域に含まれると判定され、かつ、ステップ９０６において当該許容誤差範囲の輪郭線と選択された地理的領域の輪郭線とが交差しないと判定された場合、当該許容誤差範囲と選択された地理的領域との位置関係は、図３Ｅに示したものと同様であると判定される（ステップ９０８）。このことは、当該許容誤差範囲の全部が、選択された地理的領域の少なくとも一部と重複すること、すなわち、携帯端末１３１の実際の位置が、選択された地理的領域に確実に含まれることを意味する。この場合、地理的領域が重複して設定されない限り、選択されたポリシーを最終的な適用ポリシーとして決定することができる。しかし、実際には地理的領域の重複があり得るため、制御状態決定部１４３は、ステップ９１１及びステップ９１２を実行し、選択されたポリシーと現在の適用ポリシーのうち優先度の高い方を新たな適用ポリシーとして決定する（ステップ９１４）。

　なお、ステップ９０５～９１２がポリシーの数及び各ポリシーに設定された地理的領域の数だけ繰り返し実行される中で、ステップ９１２においていずれかのポリシーが新たな適用ポリシーとして決定された場合、その新たな適用ポリシーは、次回に実行されるステップ９１１において「現在の適用ポリシー」として扱われる。

　ステップ９０５において位置座標が選択された地理的領域に含まれないと判定され、かつ、ステップ９０６において当該許容誤差範囲の輪郭線と選択された地理的領域の輪郭線とが交差しないと判定された場合、当該許容誤差範囲と選択された地理的領域との位置関係は、図３Ｄに示したものと同様である（すなわち、当該許容誤差範囲が、選択された地理的領域と全く重複せず、携帯端末１３１の実際の位置が、選択された地理的領域に含まれる可能性がない）と判定される（ステップ９１０）。この場合、制御状態決定部１４３は、ステップ９１１及びステップ９１２を実行しない（すなわち、現在の適用ポリシーは変更されない）。

　制御状態決定部１４３は、当該携帯端末１３１に割り当てられた全てのポリシー及び定義された全ての地理的領域が選択され、上記のステップ９０５～９１２の処理が終了するまで、ステップ９０５～９１２を繰り返し実行する。

　制御状態決定部１４３は、当該携帯端末１３１に割り当てられた全てのポリシー及び定義された全ての地理的領域についてステップ９０５～９１２の処理が終了した時点の適用ポリシーを、最終的な適用ポリシーとして決定する。当該携帯端末１３１は、決定した適用ポリシーによって定義された制御規則に基づいて、音声入力部１３５及び画像情報入力部１３７等の情報入力部の機能を制御する（ステップ９１３）。

　なお、例えば許容誤差ｒ（図３Ａ）が十分に小さい場合、又は、位置情報の誤差が原因で誤った制御規則が適用されても問題がない場合等、許容誤差範囲３０１を考慮しなくてもよい場合があり得る。このような場合には、許容誤差ｒ＝０という条件で図９の処理が実行される。その場合、ステップ９０６において必ず「交差しない」と判定される。その結果、ステップ９０１において取得された位置座標が、選択された地理的領域に含まれると判定された場合、選択されたポリシーが新たな適用ポリシーとして決定される。一方、ステップ９０１において取得された位置座標が、選択された地理的領域に含まれないと判定された場合、適用ポリシーは変更されない。ステップ９０１において取得された位置座標が、複数のポリシーによって定義される複数の地理的領域に含まれる（すなわち、それらの複数の地理的領域他が重複して設定されている）場合には、それらの複数のポリシーのうち最も優先度の高いポリシーが最終的な適用ポリシーとして決定される。

　図３Ｂ～図３Ｅを参照して説明したように、許容誤差範囲の一部がいずれかの地理的領域の少なくとも一部と重複し、許容誤差範囲の別の一部が別の地理的領域の少なくとも一部と重複する場合がある。複数の地理的領域が重複して設定される場合には、さらに、許容誤差範囲の一部又は全部が複数の地理的領域と重複する場合がある。上記のような起こり得る全ての重複の態様を、「許容誤差範囲と、一つ以上のポリシーによって定義される一つ以上の地理的領域とが少なくとも部分的に重複する」と表現するとすれば、図９に示す処理を実行することによって、許容誤差範囲と少なくとも部分的に重複する全ての地理的領域（すなわち携帯端末１３１の実際の位置を含む可能性がある全ての地理的領域）に対応する全てのポリシーの優先度が比較され、それらのうち最も高い優先度が付与されたポリシーが最終的な適用ポリシーとして決定される。なお、該当する地理的領域が一つしかない場合には、その地理的領域に対応するポリシーが最終的な適用ポリシーとして決定される。

　以上はポリシー間制御（図４Ｂのテーブル４０２）が「優先度で排他」である場合の説明であるが、ポリシー間制御が「マージ」である場合には、ステップ９１１及び９１２において上記と異なる処理が実行され、それを可能とするために、ポリシーが上記と異なる情報を含んでもよい。

　例えば、各ポリシーに優先度が与えられる代わりに、各ポリシーに含まれる制御規則ごとに優先度が与えられてもよい。その場合、ステップ９１１では、制御項目ごとに、二つのポリシーの制御規則の優先度が比較される。

　ここで、ステップ９１１において第１のポリシー及び第２のポリシーが比較される例を説明する。この例において、第１のポリシーは、制御項目「カメラ」、「ボイスレコード」及び「音声入力」のそれぞれに対応する制御規則として「制限する」、「制限しない」及び「制限しない」を定義し、それぞれの優先度として「１」、「２」及び「２」が与えられている。一方、第２のポリシーは、制御項目「カメラ」、「ボイスレコード」及び「音声入力」のそれぞれに対応する制御規則として「制限しない」、「制限する」及び「制限する」を定義し、それぞれの優先度として「２」、「１」及び「１」が与えられている。

　この場合、制御状態決定部１４３は、制御項目ごとに、それぞれのポリシーの制御規則の優先度を比較し、高い優先度が与えられた制御規則を含む融合ポリシーを作成する。上記の例では、制御項目「カメラ」、「ボイスレコード」及び「音声入力」のいずれに対応する制御規則も「制限する」である融合ポリシーが生成され、それが新たな適用ポリシーとして決定される。

　また、例えば第２のポリシーにおいていずれかの制御項目に対応する制御規則が定義されていない場合には、その制御項目について、第１のポリシーに定義された制御規則を適用した融合ポリシーを生成することもできる。

　本実施例のようなポリシーに基づく携帯端末１３１の機能の制御は、種々の目的のために利用できるが、例えば機密情報の漏えいを防止するために利用される場合には、各制御規則に優先度が設定されていなくても、機能を制限する制御規則を優先して適用することができる。例えば、上記の第１のポリシー及び第２のポリシーのいずれの制御規則にも優先度が与えられていない場合であっても、それぞれの制御項目に対応する機能を制限する方の制御規則を優先して適用することによって、制御項目「カメラ」、「ボイスレコード」及び「音声入力」のいずれに対応する制御規則も「制限する」である融合ポリシーを生成することができる。

　次に、携帯端末１３１が利用者１３２に提供するユーザインタフェースの例について説明する。

　図１０は、本発明の実施例１の携帯端末１３１が適用ポリシーの変更を表示するために提供するユーザインタフェースの説明図である。

　具体的には、図１０には、携帯端末１３１が（すなわちそれを携帯する利用者１３２が）移動したために適用ポリシーが変更された場合に携帯端末１３１の表示部１３４が表示する画面の一例を示す。

　移動前の携帯端末１３１の表示部１３４が表示する画面１００１には、背景として地図（図示省略）が表示され、複数の地理的領域の輪郭線が地図に重畳して表示される。領域１００３は現在の適用ポリシーによって定義された地理的領域であり、領域１００６は別のポリシーによって定義された地理的領域である。

　適用ポリシーの領域１００３を他の（適用ポリシーの領域でない）領域と区別するために、領域１００３は、他の領域とは異なる態様で（例えば異なる太さの線又は異なる色彩の線によって）強調表示されてもよい。さらに、適用ポリシーを識別する情報（例えばポリシー名）又は適用ポリシーの内容（例えば適用される制御規則）を示す情報が地図に重畳表示されてもよい。

　さらに、画面１００１には、位置情報取得部１４５によって取得された携帯端末１３１の位置座標１００２及び許容誤差範囲１００４が表示される。

　移動前の携帯端末１３１の表示部１３４が表示する画面１００５には、位置情報取得部１４５によって取得された移動後の携帯端末１３１の位置座標１００７及び許容誤差範囲１００８が表示される。移動後の許容誤差範囲１００８は、部分的に領域１００３及び１００６と重複している。この例では領域１００６のポリシーの優先度が領域１００３のポリシーの優先度より高いため、領域１００６のポリシーが新たな適用ポリシーとなる。この場合、領域１００３の強調表示は中止され、領域１００６が新たに強調表示される。

　なお、携帯端末１３１は、適用ポリシーの変更を検出したときに、それを音声、振動、電飾又は画面内の文字列等によって利用者１３２に通知してもよい。

　図１１は、本発明の実施例１の携帯端末１３１に適用されるポリシー間制御に応じて適用ポリシーを表示するユーザインタフェースの説明図である。

　図１１に示す画面１１０１及び１１０２は、それぞれ、図１０の画面１００１及び１００５と同等である。画面１１０２は、ポリシー間制御として「優先度による排他」が設定されている場合の例であるが、「マージ」が設定されている場合には、画面１１０３が表示される。画面１１０３では、マージの対象となる二つのポリシーによって定義される二つの領域１００３及び１００６がそれぞれ強調表示される。ただし、これらは異なるポリシーの領域であるため、そのことが理解されるように、互いに異なる態様で（例えば異なる色彩の線によって）表示される。

　図１２は、本発明の実施例１の携帯端末１３１に割り当てられたポリシーの定義情報を表示するユーザインタフェースの説明図である。

　初期状態の画面１２０１は、その右端にポリシー表示用コントロール１２０２が表示されていることを除いて、画面１００１と同等である。ここで、利用者１３２が操作部１３３を用いてポリシー表示用コントロール１２０２を操作（例えばタッチ）すると、ポリシー表示用コントロール１２０２の領域が左方向にスライドすることによって拡大し（拡大途中の領域１２０３参照）、拡大した領域にポリシー情報１２０４が表示される。このポリシー情報１２０４は、図４Ｃのテーブル４０３と同様のものであってもよい。

　その後、利用者１３２がポリシー非表示用コントロール１２０５を操作すると、ポリシー情報が表示された領域が右方向にスライドすることによって縮小し（縮小途中の領域１２０６参照）、その後、初期状態の画面１２０１に戻る。

　上記のようなインターフェースは一例であり、実際には種々のインターフェースによって利用者１３２への情報の出力及び利用者からの入力を実現することができる。

　次に、位置情報取得部１４５が取得する位置座標情報の許容誤差の動的な設定について図１３を参照して説明する。

　図１３は、本発明の実施例１における許容誤差の動的な設定の説明図である。

　図１３に示す地理的領域１３０１は、より小さい複数の地理的領域１３０２に分割される。図１３には地理的領域１３０２のみを明示しているが、実際は地理的領域１３０１に含まれる格子状に区切られた各区画が地理的領域１３０２である。ここで、地理的領域１３０１及び１３０２は、いずれもポリシーによって定義された地理的領域に依存せずに設定される領域である。例えば、地理的領域１３０１は携帯端末１３１が存在し得る全範囲に相当する領域であってもよいし、各地理的領域１３０２は、地理的領域１３０１を経線に平行な等間隔の複数の線及び緯線に平行な等間隔の複数の線によって区切ることによって作成された矩形の領域であってもよい。

　図１３には、「Ａ」～「Ｆ」によって識別される６個の携帯端末１３１が、それぞれ、地理的領域１３０１内のいずれかの地理的領域１３０２に存在することが表示されている。各携帯端末１３１は、任意の地理的領域１３０２に移動することができる。

　各携帯端末１３１は、位置情報取得部１４５を用いて位置座標情報を取得し、さらに、それぞれの位置における位置座標の誤差を推定し、その結果を管理サーバ１０１に送信する。位置座標の誤差の推定は、公知の任意の方法によって実現することができる。

　管理サーバ１０１は、地理的領域１３０２ごとに、携帯端末１３１から通知された推定誤差値を蓄積し、それを統計的手法で分析することによって、地理的領域１３０２ごとの許容誤差の値を決定する。なお、図１３には６個の携帯端末１３１のみを示すが、通常はより多くの携帯端末１３１が存在し、かつ、それぞれの携帯端末１３１が地理的領域１３０１内を移動するため、管理サーバ１０１は、多くの（望ましくは全部の）地理的領域１３０２における推定誤差値を蓄積することができる。グラフ１３０４は、地理的領域１３０１内の各地理的領域１３０２における推定誤差値のばらつきを示すグラフであり、縦軸に推定誤差値が割り当てられている。

　上記のように地理的領域１３０２ごとに許容誤差が異なる場合、ポリシーテーブル１１２は、図４Ｂのテーブル４０２に示すように全範囲に共通する一つの許容誤差の値ではなく、地理的領域１３０２ごとの許容誤差１３０５を保持する必要がある。許容誤差１３０５は、各地理的領域１３０２を識別する情報と、各地理的領域１３０２における許容誤差の値と、を対応づける情報を含む。各地理的領域１３０２は、例えば、「エリアＡ」のような名称と、地理的領域１３０２の輪郭をなす矩形の四つの頂点の座標と、によって識別される。図１３の例では、「エリアＡ」に対応する許容誤差として「５ｍ」、「エリアＢ」に対応する許容誤差として「８ｍ」という値が保持されている。

　位置座標情報の許容誤差の動的な設定は、例えば次のように運用される。携帯端末１３１は、定期的に推定誤差値を管理サーバ１０１に送信する。管理サーバ１０１は、受信した推定誤差値を用いて各地理的領域１３０２の許容誤差を見直す。これによって、例えば気候、ＧＰＳ衛星の位置、地形等の種々の要因で発生し得る誤差の程度を継続的に見直すことができる。これによって、位置に基づく適切な誤差の設定を行い、携帯端末１３１の機能を制御することが可能になる。

　上記のように地理的領域１３０２ごとに異なる許容誤差が設定される場合、携帯端末１３１の表示部１０４は、画面１３０６において、地理的領域１３０２ごとの許容誤差を例えば色彩等によって表示することができる。具体的には、表示部１０４は、画面１３０６において格子状に区切られた矩形の各領域が地理的領域１３０２であり、それぞれに、許容誤差の値の大きさに応じた色彩等を重畳表示してもよい。

　利用者１３２は、画面１３０６の表示に基づいて、許容誤差が大きい地域がどこであるかを知ることができる。許容誤差が大きければ、実際には利用者１３２が携帯端末１３１の機能の制限を受けない地点にいるにも関わらず、その近隣の地理的領域に設定された制御規則の影響を受けて、機能が制限される、といったことが起こりやすい。利用者は、画面１３０６の表示に基づいて、自分が現在いる地点又はこれから向かう地点においてそのようなことがどの程度起こりやすいかを知ることができる。

　なお、画面１３０６には、各地理的領域１３０２がポリシーによって定義された地理的領域１００３等より小さい例を示したが、地理的領域１３０２は、ポリシーによって定義された地理的領域より大きくなるように設定されてもよい。

　以下、図１４Ａ～図１４Ｄ等を参照して、本発明の実施例２を説明する。実施例１では、管理サーバ１０１が各携帯端末１３１に割り当てられたポリシー情報を送信し、各携帯端末１３１がそのポリシー情報及び取得した位置情報に基づいて、適用される制御規則を決定した。これに対して、実施例２では、管理サーバ１０１が、保持しているポリシー情報及び各携帯端末１３１から取得した位置情報に基づいて、各携帯端末１３１に適用される制御規則を決定し、それを各携帯端末１３１に送信する。また、実施例２では、管理サーバ１０１と各携帯端末１３１との間の通信が、後述する携帯端末管理サーバ１４０３を経由して行われる。

　図１４Ａは、本発明の実施例２の情報システム全体の構成を示すブロック図である。

　実施例２の情報システムは、通信網１２１にさらに携帯端末管理サーバ１４０３が接続される点、並びに、以下に説明する管理サーバ１０１及び携帯端末１３１の構成の相違点を除いて、実施例１の情報システムと同じである。

　図１４Ｂは、本発明の実施例２の管理サーバ１０１の構成を示すブロック図である。

　実施例２の管理サーバ１０１のメモリ１０６には、ポリシー送信部１１０が保持されず、代わりに、管理サーバ用プログラムの一部又はそれを構成するプログラムモジュールである制御状態決定部１４０１及び制御情報送信部１４０２が保持される。また、端末情報受信部１０９及び制御情報送信部１４０２が携帯端末１３１との間で行う情報の送受信は、携帯端末管理サーバ１４０３を経由して実行される。上記の点を除いて、実施例２の管理サーバ１０１は、実施例１の管理サーバ１０１と同じである。実施例２の管理サーバ１０１の上記以外の構成は、既に説明した図１Ｂに示された同一の符号を付された構成と同一の機能を有するので、それらの説明は省略する。

　管理サーバ１０１が実行するポリシー登録処理は、作成したポリシーの情報を各携帯端末１３１に送信する手順（ステップ６０８）が省略されることを除いて、実施例１の管理サーバ１０１が実行するものと同じである（図６参照）。

　管理サーバ１０１の端末情報受信部１０９は、各携帯端末の識別情報及び位置情報といった端末情報を、通信網１２１及び携帯端末管理サーバ１４０３を経由して各携帯端末１３１から取得し、端末情報テーブル１１３に格納する。

　管理サーバ１０１の制御状態決定部１４０１は、各携帯端末１３１の端末位置情報１１３Ａ及び割当ポリシー１１３Ｂに基づいて、各携帯端末１３１に適用される制御規則を決定し、それを制御状態１１３Ｃとして格納する。制御情報送信部１４０２は、決定した制御規則を、通信網１２１及び携帯端末管理サーバ１４０３を経由して各携帯端末１３１に送信する。

　制御状態決定部１４０１が実行する適用ポリシー決定処理は、実施例１の制御状態決定部１４３が実行するもの（図９参照）と同様であるため、詳細な説明は省略する。ただし、実施例２において、制御状態決定部１４０１は、割当ポリシー情報１４８の代わりに、必要に応じてポリシーテーブル１１２及び端末情報テーブル１１３を参照する。ステップ９０１は、端末情報受信部１０９が携帯端末管理サーバ１４０３を経由して各携帯端末１３１から端末情報を受信する手順を含む。ステップ９１３は、決定した適用ポリシーによって定義される制御規則を、携帯端末管理サーバ１４０３を経由して各携帯端末１３１に送信する手順を含む。各携帯端末１３１は、送信された制御規則に基づいて、音声入力部１３５及び画像情報入力部１３７等の情報入力部の機能を制御する。

　図１４Ｃは、本発明の実施例２の携帯端末管理サーバ１４０３の構成を示すブロック図である。

　携帯端末管理サーバ１４０３は、相互に接続されたＣＰＵ１４１１、ネットワークＩ／Ｆ１４１２、メモリ１４１３及び記憶領域１４１４を有する。

　ＣＰＵ１４１１は、メモリ１４１３に格納されたプログラムに従って種々の処理を実行するプロセッサである。メモリ１４１３には、ＣＰＵ１４１１が実行する携帯端末管理サーバ用プログラムが格納される。図１４Ｃに示す制御情報受信部１４１５、制御情報送信部１４１６、端末情報送信部１４１７及び端末情報受信部１４１８は、携帯端末管理サーバ用プログラムの一部又は携帯端末管理サーバ用プログラムを構成するプログラムモジュールである。これらの各部によって実行される処理については後述する。

　記憶領域１４１４には、端末情報テーブル１４１９が格納される。端末情報テーブル１４１９は、各携帯端末１３１に関する情報を含む。図１４Ｃの例では、端末情報テーブル１４１９は、各携帯端末１３１の識別情報（図示省略）に加えて、端末位置情報１４１９Ａ及び制御状態１４１９Ｂを含む。これらは、それぞれ、管理サーバ１０１が保持する端末位置情報１１３Ａ及び制御状態１１３Ｃと同様の情報である。

　端末情報受信部１４１８は、各携帯端末１３１から端末位置情報１４７を含む端末情報を受信すると、その端末位置情報１４７を端末位置情報１４１９Ａとして記憶領域１４１４に格納する。端末情報送信部１４１７は、端末情報受信部１４１８が受信した端末情報を管理サーバ１０１に送信する。管理サーバ１０１の端末情報受信部１０９は、受信した端末情報に含まれる端末位置情報１４７を端末位置情報１１３Ａとして記憶領域１１１に格納する。

　制御情報受信部１４１５は、管理サーバ１０１から各携帯端末１３１の制御状態１１３Ｃを含む制御情報を受信すると、その制御状態１１３Ｃを制御状態１４１９Ｂとして記憶領域１４１４に格納する。制御情報送信部１４１６は、制御情報受信部１４１５が受信した制御情報を各携帯端末１３１に送信する。

　なお、メモリ１４１３及び記憶領域１４１４は、管理サーバ１０１のメモリ１０６及び記憶領域１１１と同様、いかなる種類の記憶デバイスによって実現されてもよい。

　ネットワークＩ／Ｆ１４１２は、携帯端末管理サーバ１４０３を通信網１２１に接続するためのインタフェースであり、携帯端末管理サーバ１４０３と管理サーバ１０１との通信、及び、携帯端末管理サーバ１４０３と携帯端末１３１との通信に使用される。

　図１４Ｄは、本発明の実施例２の携帯端末１３１の構成を示すブロック図である。

　実施例２の携帯端末１３１のメモリ１４０には、ポリシー受信部１４１及び制御状態決定部１４３が保持されず、代わりに、携帯端末用プログラムの一部又はそれを構成するプログラムモジュールである制御情報受信部１４０４が保持される。また、端末情報送信部１４２及び制御情報受信部１４０４が管理サーバ１０１との間で行う情報の送受信は、携帯端末管理サーバ１４０３を経由して実行される。携帯端末１３１は、制御情報受信部１４０４が受信した制御情報に含まれる制御状態１１３Ｃに基づいて携帯端末１３１の情報入力部等の機能を制御する。

　上記の点を除いて、実施例２の携帯端末１３１は、実施例１の携帯端末１３１と同じである。実施例２の携帯端末１３１の上記以外の構成は、既に説明した図１Ｃに示された同一の符号を付された構成と同一の機能を有するので、それらの説明は省略する。

　以上に説明した本発明の実施形態によれば、管理サーバ１０１が複数の携帯端末１３１の機能を制御するポリシーを保持し、配布することによって、複数の携帯端末１３１の機能を集中管理することができ、これによって、携帯端末１３１の不正な操作及び携帯端末１３１を介した情報漏えい等が防止される。各ポリシーは地理的領域と対応づけられ、各携帯端末１３１は自身の位置情報とポリシーの地理的領域とに基づいて機能の制御規則を適用する。このとき、位置情報の誤差が考慮され、複数のポリシーが適用される可能性がある場合は優先度等に基づいてどの制御規則を適用すべきかが判定される。これによって、位置情報が誤差を含む場合であっても携帯端末１３１の不正な操作及び携帯端末１３１を介した情報漏えい等を防止することができる。

　上記の実施形態の各機能を実現するプログラム、テーブル、ファイル等の情報は、不揮発性半導体メモリ、ハードディスクドライブ、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）等の記憶デバイス、または、ＩＣカード、ＳＤカード、ＤＶＤ等の計算機読み取り可能な非一時的データ記憶媒体に格納することができる。

　本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることが可能であり、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。

Claims

　複数の携帯装置と、ネットワークを介して前記複数の携帯装置と通信する管理サーバと、を有する情報システムであって、
　前記管理サーバは、前記ネットワークを介して前記複数の携帯装置と通信する第１インターフェースと、前記第１インターフェースに接続される第１プロセッサと、前記第１プロセッサに接続される第１記憶デバイスと、を有し、
　前記各携帯装置は、前記ネットワークを介して前記管理サーバと通信する第２インターフェースと、前記第２インターフェースに接続される第２プロセッサと、前記第２プロセッサに接続される第２記憶デバイスと、前記第２プロセッサに接続され、前記各携帯装置の外部から所定の種類の情報を取得する情報入力部と、前記各携帯装置の位置情報を取得する位置情報取得部と、を有し、
　前記管理サーバは、各々が前記情報入力部の制御規則、及び、前記制御規則が適用される地理的領域を特定する情報を含む複数のポリシーを前記第１記憶デバイスに保持し、
　前記管理サーバ又は前記各携帯装置は、前記位置情報取得部が取得した前記各携帯装置の位置が、前記複数のポリシーのうち少なくとも一つのポリシーによって特定される少なくとも一つの地理的領域に含まれるか否かを判定し、前記位置情報取得部が取得した前記各携帯装置の位置が、前記少なくとも一つのポリシーによって特定される少なくとも一つの地理的領域に含まれる場合、前記少なくとも一つのポリシーに基づいて、前記各携帯装置に適用される制御規則を特定し、
　前記各携帯装置は、前記各携帯装置に適用される制御規則に基づいて前記情報入力部を制御することを特徴とする情報システム。
　請求項１に記載の情報システムであって、
　前記情報入力部は、画像情報又は音声情報の少なくとも一方を取得する機能を有し、
　前記各ポリシーによって特定される制御規則は、前記情報入力部による画像情報又は音声情報の少なくとも一方の取得の許可、禁止又は制限を示す規則であることを特徴とする情報システム。
　請求項２に記載の情報システムであって、
　前記各ポリシーは、前記各ポリシーの優先度を示す情報をさらに含み、
　前記管理サーバ又は前記各携帯装置は、前記位置情報取得部が取得した前記各携帯装置の位置が、前記複数のポリシーのうち二つ以上のポリシーによって特定される二つ以上の地理的領域に含まれる場合、前記二つ以上のポリシーのうち最も高い優先度を有するポリシーによって特定される前記制御規則を、前記各携帯装置に適用される制御規則として特定することを特徴とする情報システム。
　請求項３に記載の情報システムであって、
　前記第１記憶デバイスは、さらに、ポリシーの選択規則を示す情報を保持し、
　前記管理サーバ又は前記各携帯装置は、前記ポリシーの選択規則を示す情報が、複数のポリシーの融合を示し、かつ、前記位置情報取得部が取得した前記各携帯装置の位置が前記二つ以上のポリシーによって特定される二つ以上の地理的領域に含まれる場合、前記二つ以上のポリシーによって特定される二つ以上の前記制御規則を融合することによって生成した制御規則を、前記各携帯装置に適用される制御規則として特定することを特徴とする情報システム。
　請求項４に記載の情報システムであって、
　前記管理サーバ又は前記各携帯装置は、前記位置情報取得部が取得した前記各携帯装置の位置の誤差によって特定される前記各携帯装置の位置範囲が、前記複数のポリシーのうち二つ以上のポリシーによって特定される二つ以上の地理的領域と少なくとも部分的に重複する場合、前記二つ以上のポリシーのうち最も高い優先度を有するポリシーによって特定される前記制御規則を、前記各携帯装置に適用される制御規則として特定することを特徴とする情報システム。
　請求項５に記載の情報システムであって、
　前記各携帯装置は、
　前記第２プロセッサに接続される画像表示部をさらに有し、
　地図情報を保持し、
　前記各携帯装置に適用される制御規則を含む少なくとも一つのポリシーを保持し、
　前記画像表示部は、
　前記地図情報に基づいて地図を表示し、
　前記少なくとも一つのポリシーによって特定される少なくとも一つの地理的領域、及び、前記少なくとも一つのポリシーの識別情報又は前記少なくとも一つのポリシーによって特定される少なくとも一つの制御規則の少なくとも一方を、前記地図上に表示することを特徴とする情報システム。
　請求項６に記載の情報システムであって、
　前記管理サーバは、
　前記第１プロセッサに接続され、ユーザからの情報の入力を受ける入力装置をさらに有し、
　前記入力装置が前記複数のポリシーを入力されると、前記入力された複数のポリシーを前記第１記憶デバイスに保持し、
　前記複数のポリシーを前記各携帯装置に送信し、
　前記各携帯装置は、送信された前記複数のポリシーに基づいて、前記位置情報取得部が取得した前記各携帯装置の位置が、前記複数のポリシーのうち少なくとも一つのポリシーによって特定される少なくとも一つの地理的領域に含まれるか否かを判定し、前記位置情報取得部が取得した前記各携帯装置の位置が、前記少なくとも一つのポリシーによって特定される少なくとも一つの地理的領域に含まれる場合、前記少なくとも一つのポリシーに基づいて、前記各携帯装置に適用される制御規則を特定することを特徴とする情報システム。
　ネットワークを介して複数の携帯装置と通信する管理サーバのための制御プログラムであって、
　前記管理サーバは、前記ネットワークを介して前記複数の携帯装置と通信する第１インターフェースと、前記第１インターフェースに接続される第１プロセッサと、前記第１プロセッサに接続される第１記憶デバイスと、を有し、
　前記各携帯装置は、前記ネットワークを介して前記管理サーバと通信する第２インターフェースと、前記第２インターフェースに接続される第２プロセッサと、前記第２プロセッサに接続される第２記憶デバイスと、前記第２プロセッサに接続され、前記各携帯装置の外部から所定の種類の情報を取得する情報入力部と、前記各携帯装置の位置情報を取得する位置情報取得部と、を有し、
　前記管理サーバのための制御プログラムは、
　各々が前記情報入力部の制御規則、及び、前記制御規則が適用される地理的領域を特定する情報を含む複数のポリシーを前記第１記憶デバイスに保持する第１手順と、
　前記複数のポリシーを、前記各携帯装置に送信する第２手順、又は、前記複数のポリシーのうち、少なくとも一つのポリシーに基づいて特定される制御規則を前記各携帯装置に送信する第３手順のいずれかと、を前記第１プロセッサに実行させることを特徴とする管理サーバのための制御プログラム。
　請求項８に記載の管理サーバのための制御プログラムであって、
　前記情報入力部は、画像情報又は音声情報の少なくとも一方を取得する機能を有し、
　前記各ポリシーによって特定される制御規則は、前記情報入力部による画像情報又は音声情報の少なくとも一方の取得の許可、禁止又は制限を示す規則であることを特徴とする管理サーバのための制御プログラム。
　請求項８に記載の管理サーバのための制御プログラムであって、
　前記各ポリシーは、前記各ポリシーの優先度を示す情報をさらに含み、
　前記第３手順は、前記位置情報取得部が取得した前記各携帯装置の位置が、前記複数のポリシーのうち二つ以上のポリシーによって特定される二つ以上の地理的領域に含まれるか否かを判定する手順と、前記位置情報取得部が取得した前記各携帯装置の位置が、前記二つ以上のポリシーによって特定される二つ以上の地理的領域に含まれる場合、前記二つ以上のポリシーのうち、最も高い優先度を有するポリシーによって特定される制御規則を前記各携帯装置に送信する手順と、を含むことを特徴とする管理サーバのための制御プログラム。
　請求項８に記載の管理サーバのための制御プログラムであって、
　前記第３手順は、前記位置情報取得部が取得した前記各携帯装置の位置が前記複数のポリシーのうち二つ以上のポリシーによって特定される二つ以上の地理的領域に含まれる場合、前記二つ以上のポリシーによって特定される二つ以上の前記制御規則を融合することによって生成した制御規則を、前記各携帯装置に送信する手順を含むことを特徴とする管理サーバのための制御プログラム。
　請求項８に記載の管理サーバのための制御プログラムであって、
　前記各ポリシーは、前記各ポリシーの優先度を示す情報をさらに含み、
　前記第３手順は、前記位置情報取得部が取得した前記各携帯装置の位置の誤差によって特定される前記各携帯装置の位置範囲が、前記複数のポリシーのうち二つ以上のポリシーによって特定される二つ以上の地理的領域と少なくとも部分的に重複するか否かを判定する手順と、前記各携帯装置の位置範囲が、前記二つ以上のポリシーによって特定される二つ以上の地理的領域と少なくとも部分的に重複する場合、前記二つ以上のポリシーのうち、最も高い優先度を有するポリシーによって特定される制御規則を前記各携帯装置に送信する手順と、を含むことを特徴とする管理サーバのための制御プログラム。
　請求項８に記載の管理サーバのための制御プログラムであって、
　前記管理サーバのための制御プログラムは、前記第２手順を前記第１プロセッサに実行させ、
　前記各携帯装置は、
　前記第２プロセッサに接続される画像表示部をさらに有し、
　地図情報を保持し、
　前記各携帯端末に適用される制御規則を含む少なくとも一つのポリシーを保持し、
　前記画像表示部は、
　前記地図情報に基づいて地図を表示し、
　前記少なくとも一つのポリシーによって特定される少なくとも一つの地理的領域、及び、前記少なくとも一つのポリシーの識別情報又は前記少なくとも一つのポリシーによって特定される少なくとも一つの制御規則の少なくとも一方を、前記地図上に表示することを特徴とする管理サーバのための制御プログラム。
　請求項８に記載の管理サーバのための制御プログラムであって、
　前記管理サーバは、前記第１プロセッサに接続され、ユーザからの情報の入力を受ける入力装置をさらに有し、
　前記第１手順は、前記入力装置が前記複数のポリシーを入力されると、前記入力された複数のポリシーを前記第１記憶デバイスに保持する手順を含み、
　前記第２手順を前記第１プロセッサに実行させることを特徴とする管理サーバのための制御プログラム。
　ネットワークを介して管理サーバと通信する携帯装置のための制御プログラムであって、
　前記管理サーバは、前記ネットワークを介して前記複数の携帯装置と通信する第１インターフェースと、前記第１インターフェースに接続される第１プロセッサと、前記第１プロセッサに接続される第１記憶デバイスと、を有し、
　前記携帯装置は、前記ネットワークを介して前記管理サーバと通信する第２インターフェースと、前記第２インターフェースに接続される第２プロセッサと、前記第２プロセッサに接続される第２記憶デバイスと、前記第２プロセッサに接続され、前記各携帯装置の外部から所定の種類の情報を取得する情報入力部と、前記各携帯装置の位置情報を取得する位置情報取得部と、を有し、
　前記管理サーバは、
　各々が前記情報入力部の制御規則、及び、前記制御規則が適用される地理的領域を特定する情報を含む複数のポリシーを前記第１記憶デバイスに保持し、
　前記プログラムは、前記複数のポリシー、前記複数のポリシーによって特定される複数の前記地理的範囲、及び、前記位置情報取得部が取得した前記携帯装置の位置によって特定される制御規則に基づいて前記情報入力部を制御する第１手順を前記プロセッサに実行させることを特徴とする携帯装置のための制御プログラム。