WO2018003953A1

WO2018003953A1 - データマスキングシステム

Info

Publication number: WO2018003953A1
Application number: PCT/JP2017/024060
Authority: WO
Inventors: 秀樹川端
Original assignee: 株式会社プロスパークリエイティブ
Priority date: 2016-06-29
Filing date: 2017-06-29
Publication date: 2018-01-04
Also published as: JP2024107329A; EP3481005B1; US11995200B2; JP2022159290A; US11216569B2; US20220100872A1; JP7152766B2; EP3481005A4; US20190272384A1; EP3481005A1; JPWO2018003953A1

Abstract

秘匿対象情報を含む第１のデータの全部または一部であって、秘匿対象情報を含む部分を、閲覧、又は視聴するための第２のデータに変換するデータ変換部と、第２のデータに、マスキング処理を施してマスキングデータを作成するマスキング処理部と、マスキングデータを保存する保存部と、保存部に保存したマスキングデータを出力する出力部と、を備える。

Description

データマスキングシステム

　本発明は、秘匿対象情報を含む各種データを閲覧・視聴に供する場合に、閲覧・視聴対象の部分の閲覧・視聴を容易にするとともに、秘匿対象情報は確実に秘匿できるデータマスキングシステムに関する。

　近年、デジタル技術の発達に伴うデジタル化の普及や、省資源の観点から、ペーパーレス化への取り組みが行われている。即ち、書類等の保存が、紙や写真、図面等のアナログ形式から、電子化されてデータベースに保存されるデジタル形式に移行しつつある。

　また、情報の公開の義務が生じる公的機関や企業においては、個人情報や一部の秘匿対象情報への配慮が求められている。そこで、データを、秘匿対象情報と、開示しても良い部分とに分けて、表示することのできるデータ加工の方法（マスキング方法）が求められている。

　さらに、秘匿対象情報を含むデータも、従来の文書、画像以外に、音楽や動画等多岐にわたるようになってきており、マルチメディアデータの普及にも伴い、これらに対するマスキング方法の重要性も高まってきている。
　また、高精細の４Ｋ或いは８Ｋビデオカメラ普及に伴って、ビデオで撮影された映像は視聴されるだけでなく、１秒間に６０から１２０フレームで撮影された１フレームを静止画(写真)としても閲覧することが多くなってくる。

　しかし、データは通信ネットワークによる情報の送受信などにより漏洩したり、通信途中で第三者の盗聴や攻撃されるリスクがある。また、社内からの複製漏洩や、持出し置き忘れ漏洩も大きな課題となっている。またさらにクラウドサーバなどの発展で、外部記録装置に蓄積され、活用される情報の運用は、社内或は外部からの情報漏洩のリスクをいつも抱えている。従って、万一情報が流出しても被害が最小限になるデータ管理も必要になっている。

　また、個人においても、デジタル化による恩恵とパーソナル情報漏洩の危険との両面に対しての課題がある。例えば、近年クラウドサーバによる閲覧・保存サービスが多くなっているが、情報漏洩によるプライバシー侵害等の被害が大きな問題となっている。情報漏洩による被害は、データの中身、即ち秘匿対象情報の有無や、その重要度により変わるが、時として甚大な損害が発生する懸念がある。

　そこで、閲覧用に配信するデータを暗号化して通信ネットワークを通じて送信したり、また、配信するデータを暗号化して外部記録装置に記録したりすれば、前述の危険性は大幅に低減されるが、暗号化したデータを復号化することによりデータに含まれる全情報も閲覧することが可能となるので、漏洩してしまう。このように暗号化されたデータを一旦復号化して表示すれば関連する情報も表示されてしまうので、復号後に情報を知る必要のない人間にまでその情報を知られてしまう危険性を含んでいる。

　また、情報漏洩を防止したり、漏洩した場合の被害を抑える方法としては、例えばデータを何重にも暗号化したり、その暗号を複雑にすることが考えられる。しかし、そのような方法は、今度はデータを保存するための手間や技能の要求やコストが著しく増加し、利用者にとっての利便性も失われ、また何重にも暗号化しても前述のように一旦復号化して表示すれば関連する情報も表示されてしまうという課題の根本的な解決にはならない。

　これらの、デジタル化されたデータの、秘匿化と閲覧とを両立させるために、種々の技術が提案されている。例えば、特許文献１には、医用画像に文字画像として含まれる患者情報の漏洩防止、及び医用画像の出力先において患者情報を伏せて医用画像のみを閲覧させることを目的とした医用画像処理装置が開示されている。

　具体的には、選択した画像出力フォーマットに基づいて、入力された医用画像を配置して出力フォーマット画像を作成し、作成した出力フォーマット画像から患者情報領域を抽出し、データとサムネイル画像のみに対し入力された暗号キーに応じて可逆変換に基づくマスク処理を施している。

　また、特許文献２には、文字列要素だけでなく、画像要素に対しても自動でマスク処理を行い、送信可能な情報送信装置が開示されている。

　具体的には、特許文献２においては、コンテンツ情報を文字領域と画像領域とに分離し、画像領域から抽出した画像要素を、ＮＧ画像と比較し、これらが相似であった場合に、コンテンツ情報の、ＮＧ画像を包含する矩形領域を塗りつぶし、表示させている。

　また、特許文献３には、コンテンツ提供者が、コンテンツ中で秘匿したい部分を容易に指定するための、コンテンツ部分秘匿化装置が開示されている。

　具体的には、キーワードと、秘匿部分抽出条件をユーザから受け付け、コンテンツのテキスト部の文構造を分析する。そして、コンテンツの中から、秘匿部分抽出条件に合致する部分を抽出し、暗号化を施している。

特開２００７－３１９３４２号公報特開２０１２－２３８２２２号公報特開２００４－２８７５６６号公報

　しかし、上記の特許文献１乃至特許文献３に記載された技術では、いずれも、文書あるいは画像に対するマスク処理を施しており、音楽や動画或はマルチメディアデータに対するマスク処理を施すことはできない。

　また、いずれの技術においても、暗号化が一次的であるため、マスク処理をする段階では、まだ秘匿対象情報が閲覧可能な状態であり、情報漏洩・第三者の閲覧を完全に防止できない。

　以上の経緯から、秘匿対象情報を含む種々のデータを、使いやすく、しかも万一漏洩した場合でも、損害を最小限度にするために、簡便且つスピーディにデータへのマスキング処理を行う手段が必要とされている。

　本発明の目的は、閲覧・視聴させる種々のデータに含まれる秘匿情報にマスキングを施しながら、秘匿情報部分を伏せて他の一般データのみを閲覧・視聴させることと、例え最終的なマスキング前のデータが流出・漏洩した場合においても、秘匿情報の閲覧・視聴を実運用上不可能にすることを両立可能とするデータマスキングシステムを提供することである。

　上記課題を解決するために、本発明は、秘匿対象情報を含む第１のデータの全部または一部であって、秘匿対象情報を含む部分を、閲覧、又は視聴するための第２のデータに変換するデータ変換部と、第２のデータに、マスキング処理を施してマスキングデータを作成するマスキング処理部と、マスキングデータを保存する保存部と、保存部に保存したマスキングデータを出力する出力部と、を備えるデータマスキングシステムである。

　また、第１のデータに暗号化処理を施して暗号化データを作成する暗号化処理部をさらに備え、保存部は暗号化データを保存し、出力部は、保存部に保存された暗号化データを出力するようにしてもよい。

　また、暗号化データと、第２のデータとをリンクさせるデータリンク部をさらに備えていてもよい。

　また、第２のデータに含まれる秘匿対象情報を含む秘匿対象領域を選択する秘匿部分選択部をさらに備え、マスキング処理は、秘匿部分選択部で選択された秘匿対象領域に施される第１マスキング処理を含んでいてもよい。

　また、マスキング処理は、第２のデータ内の、秘匿対象領域以外の領域にも行われる第２マスキング処理をさらに含んでいてもよい。

　第２のデータは、複数であり、第２マスキング処理は、複数の第２のデータの全体に施され、第１マスキング処理は、複数の第２のデータの一部に施されてもよい。

　第２のデータは、複数であり、第２マスキング処理は、複数の第２のデータ各々の同一の領域に共通して施されてもよい。

　マスキング処理は、第２マスキング処理を解除して復元或いは復号した第３のデータを作成し，第３のデータに第１マスキング処理を行ってもよい。

　第２マスキング処理の解除は、第２のデータの一部に施されてもよい。

　第３のデータを複製し、複製した第３のデータを出力不能とするとともに、保存部に保存してもよい。

　暗号化処理及びマスキング処理の履歴を記録する暗号化履歴記録部をさらに備えてもよい。

　出力部は、認証鍵を入力可能な認証入力部をさらに有するとともに、マスキングデータを出力する際に、認証要求してもよい。

　暗号化データ及びマスキングデータに、検索用キーワードを付与可能なキーワード付与部をさらに備えてもよい。

　保存部は、暗号化データを保存する第１保存部と、マスキング用データを保存する第２保存部と、を有していてもよい。

　マスキングデータは、所定条件を満たした際にマスキング状態に戻るように、パスワード或いは復号鍵により一時的に復元或いは復号されてもよい。

　ネットワークと通信可能な通信部をさらに備え、出力部は、暗号化データ及びマスキングデータを、ネットワークを介して外部装置に出力してもよい。

　暗号化データと閲覧・視聴用マスキングデータの両方或は一方を廃棄する時は、当該データを、周期性を持たないデータを加えて第２マスキング処理を施し、当該データを、復元不能な複数のデータ片に分割するデータシュレッド処理をして廃棄してもよい。

　出力部から出力されたマスキングデータが閲覧・視聴に供される場合に、当該閲覧・視聴の履歴及び／又は反響を記録する閲覧・視聴履歴記録部をさらに備えてもよい。

　データ変換部は、第２のデータが画像である場合には、解像度を指定し、第２のデータが動画・音楽である場合には、視聴精度を指定する機能をさらに有していてもよい。

　本発明により、閲覧・視聴させる種々のデータに含まれる秘匿情報にマスキングを施しながら、秘匿情報部分を伏せて他の一般データのみを閲覧・視聴させることと、例え最終的なマスキング前のデータが流出・漏洩した場合においても、秘匿情報の閲覧・視聴を実運用上不可能にすることを両立可能とする。
　また、元データに、コマンド付与等のデータリンク処理を行うことにより、元データを暗号化した暗号化データと、閲覧・視聴用データにマスキング処理を施したマスキングデータとの間でリンク付けを行うことが可能になり、管理上の利便性を大幅に高めることが可能になる。

第１の実施の形態に係るデータマスキングシステムの全体構成を示すシステム図である。本発明に係るデータマスキングシステムを用いて、画像ファイルをマスキングする場合の、各マスキング状態を示す。本発明に係るデータマスキングシステムを、インターネットと組み併せて用いた場合の全体構成を示すシステム相関図である。本発明に係るデータマスキングシステムを、インターネットと組み併せて用いた場合の全体構成を示すシステム相関図である。第２の実施の形態に係るデータマスキングシステムの全体構成を示すシステム図である。秘匿対象データが複数ある場合の、秘匿領域について説明する図である。

　以下、本発明の実施の形態に係るデータマスキングシステム（以下、「本システム」という。他の実施の形態や、運用・活用事例等についても同様である）について、添付の図面を参照しながら詳細に説明する。

　本システムの構成は、図１に示すように、データの全部または一部であって、秘匿対象情報を含む部分を、閲覧、又は視聴するための閲覧・視聴用データに変換するデータ変換部と、閲覧・視聴用データに、マスキング処理を施してマスキングデータを作成するマスキング処理部（一括マスキング処理部及び個別マスキング処理部）と、秘匿対象情報を含むデータに暗号化処理を施して暗号化データを作成する暗号化処理部と、暗号化データ及びマスキングデータを保存する最終保存部と、暗号化データ及びマスキングデータを出力する出力部と、を備える。

　さらに、本システムは、データに含まれる秘匿対象情報を含む秘匿対象領域を選択する秘匿部分選択部を備える。また、マスキング処理部は、個別マスキング処理部及び一括マスキング処理部から構成される。個別マスキング処理部は、閲覧・視聴用データの、秘匿部分選択部によって選択された、秘匿対象領域にマスキング処理を行う。一括マスキング処理部は、閲覧・視聴用データの、秘匿対象領域以外の領域に対してもマスキング処理を行う。このマスキング処理は、例えば閲覧・視聴用データが画像の場合には、ストライプ状の塗りつぶし、チェック模様の塗りつぶし、全体の塗りつぶし、ぼかし加工、紋様付加、黒塗り、白消し、ダミーデータ付加等種々の方法を採用できる。また、秘匿対象領域の色の変換もオリジナルを隠すという観点からマスキング処理の一部と定義する。

　また、本システムは、キーワード付与部を備える。キーワード付与部は、元データに、検索用のキーワードを付与する。このキーワード付与により、後のプロセスで、暗号化処理された暗号化データ、及びマスキング処理されたマスキングデータのそれぞれに同一のキーワードが付与されることとなり、運用管理上の利便性を高めることができる。

　本システムは、データリンク部を備える。データリンク部は、例えば、元データに、♯０１♯等のコマンドを付与する。このコマンド付与により、暗号化データ及びマスキングデータのそれぞれにも♯０１♯のコマンドが付与されることになる。これにより、同じコマンドが付与された暗号化データ及びマスキングデータが、互いにリンク付けられる。

　本システムにおけるデータ変換部は、秘匿対象情報を含む各データを、そのデータの内容の一部を示し、利用者に閲覧又は視聴させるための閲覧・視聴用データに変換する。具体的には、元データが画像である場合にはサムネイル画像、文書である場合にはその文書中の一部のページや部分領域、音楽や動画等であれば選択した一部分、というような例が挙げられる。ただし、変換するデータは、これらに限られず、それぞれ元データと異なる種類のデータに変換してもよい。また、データ変換部は、閲覧・視聴用データが画像である場合には、解像度を指定する機能をさらに有してもよい。または、データが動画・音楽である場合には、視聴精度（帯域・階調数）を指定する機能をさらに有しても良い。

　また、本システムは、暗号化処理部を備える。暗号化処理部は、データリンク部から受信したデータに、各種の暗号化処理を加える。暗号化処理としては、パスワードによる保護、拡張子変更による偽装、セキュリティレベルの変更、アルゴリズムの変更、パスワードを入力して暗号化する共通鍵方式（ＡＥＳ）と、秘密鍵・公開鍵（ＲＳＡ）を利用する方式等、一般的に用いられる暗号化処理が挙げられる。なお、暗号化処理部では暗号化処理を行わないこともある。

　また、本システムは、暗号化履歴記録部を備えている。暗号化履歴記録部は、暗号化処理部、もしくはマスキング処理部（一括マスキング処理部及び個別マスキング処理部）において行われた暗号化処理及び／又はマスキング処理の履歴を記録することが可能な媒体を備えている。

　また、この暗号化履歴記録部においては、暗号化／マスキングの履歴だけでなく、各ファイルが、ＵＳＢ等のリムーバブルメディアに保存された履歴や、有線又は無線を通じて外部に送信された履歴等も保存するように設定することも可能である。これにより、データが漏洩・流出した場合に、履歴を確認することで、漏洩元を確実に把握できるようになる。

　このように、暗号化／マスキングの履歴を残すことにより、暗号化及びマスキングを施したファイルや、その暗号化／マスキングの内容についての管理が容易になるという運用上のメリットがある。

　また、本システムは、一時保存部を有する。一時保存部は、一括マスキング処理が施された閲覧・視聴用データを一時的に保存する。そして、ＬＡＮまたはインターネットを介して、一括マスキング解除部に送信する。

　一括マスキング解除部は、受信した閲覧・視聴用データの一括マスキング処理を解除し、個別マスキング処理部に接続送信する。なお、この一括マスキング解除部は、個別マスキング処理部と統合させて、一括マスキングの解除と同時に個別マスキング処理を行うようにしてもよい。

　個別マスキング処理部は、閲覧・視聴用データの、秘匿対象領域に対してマスキング処理を行う。これにより、個別マスキングデータが生成される。生成された個別マスキングデータは、最終保存部に送信され、最終保存部で保存されるか、或は個別マスキング処理部内の記憶媒体に直接一時保存される。この個別マスキングについても、一括マスキングと同様に種々の方法を採用できる。一括マスキング又は個別マスキングの解除は、例えば再剥離可能なシールのように、必要に応じて剥離と再マスキングを複数回繰り返して行えるようなマスキングツールとして、一時解除機能を有してもよい。また、マスキング処理の追加、変更が出来る。

　最終保存部は、暗号化処理部から受信した暗号化データ及び、マスキング処理部から受信したマスキングデータを保存する。なお、最終保存部は、ＬＡＮ又はインターネットを介して、保存したデータを外部に出力する出力部の機能も備える。即ち、この最終保存部は、通信部としての機能をも備えることになる。当然、最終保存部と通信部とは分離して配置されてもよい。最終保存部は、ＬＡＮ又はインターネットと接続される出力部を介して閲覧用データを汎用閲覧ビュア、又は専用閲覧ビュアに送信する。また、データが動画や音楽である場合には、汎用視聴データ又は専用視聴データとして送信する。

　汎用閲覧ビュア及び汎用視聴データは、任意の人が自由に閲覧・視聴できる状態にあり、パスワード等を用いなくても、自由にマスキングデータを閲覧・視聴することが可能である。但し、閲覧・視聴期間の制限や閲覧・視聴回数の制限のほか、閲覧・視聴条件（年齢、会員など）の設定をして閲覧・視聴をさせてもよい。

　専用閲覧ビュア及び専用視聴データは、特定の人のみがアクセスを許可され、データの閲覧・視聴には、専用の権限ＩＤやパスワードや個人認証等の認証が要求される。

　また、汎用閲覧ビュア、専用閲覧ビュアや視聴データは、これらを用いた閲覧・視聴時に、前述した一時解除の機能を有していてもよい。さらに、汎用又は専用閲覧ビュアや視聴データにも、閲覧・視聴履歴記録部を備えさせて、閲覧・視聴者の閲覧・視聴履歴を記録することが可能な媒体を備えている。また、閲覧・視聴履歴記録部には、閲覧・視聴者の感想や意見等、即ち閲覧・視聴者からの反響を書き込めるようなフィードバック機能を備えさせるとさらによい。これにより、閲覧・視聴履歴記録と閲覧・視聴者の感想や意見を基に、閲覧・視聴者の関心度を把握できる。このフィードバックは、クラウドサーバを介して、ＰＣ等の情報端末に送信することもできる。

　例えば公文書等の場合、その保存が、閲覧のためでなく、法律等の要請により長期間保管の義務があるもの等があり、ゆえに、汎用閲覧ビュア、又は専用閲覧ビュアのいずれにもデータを送信しない場合がある。その場合には、最終保存部は、秘匿状態を保持したまま保存し続け、さらに暗号をかけたりして、保存期間経過後に廃棄する。

　また、前述のように暗号化データとリンクされている閲覧・視聴用マスキングデータの両方或は一方を廃棄する時は、当該データをデータシュレッド機能でシュレッドした細分割処理をして、さらにシュレッドしたデータをスクランブル処理をして廃棄する。このときリンクデータも分解され解除される。さらにまた、当該データを廃棄する時は、さらに暗号をかけて復号困難にして廃棄してもよい。

　このとき、閲覧用画像マスキングデータに関しては当該マスキングデータを任意のサイズのマトリックス状に分割して、全体或いは分割単位でデータの平均化処理を行い、さらに前述のデータシュレッド機能でシュレッドする細分割処理をして、さらにシュレッドしたデータをスクランブル処理（シュレッドしたデータを、さらに乱雑に掻き混ぜる状態にする処理）をして廃棄する。データの平均化処理方法は、マトリックス状に分割した画像の１のブロック内に縦横全ての画素各々の色（ＲＧＢやＣＭＹＫなど）を全集計して平均化した色を1ブロック内の全ての画素の色に置き換えることで画像全体としてはモザイク状のイメージを作り出すことができる。テキストデータの場合は、ダミーデータをテキストデータ中にランダムに加えて、任意のデータサイズで分割して、分割単位でスクランブル処理を行い廃棄する。

　視聴用マスキングデータに関しては、白かぶり露光で映像画像を見え無くしたり、色変換処理や変形処理或いはノイズやダミーデータを加えて、映像を構成する画像のフレーム数や任意の再生時間で細分割して、スクランブル編集処理をして廃棄する。以上の場合、データの細分割処理の前或は後にさらに暗号化処理を加えて、廃棄するとさらによい。この非可逆画像の解読不能のマスキング画像を、秘匿部分のデータの上側に重ね合わせて、表示上はマスキング処理とすることで、マスキング部分に隠れた下側データの漏えいを防ぐ方法もある。秘匿部分のデータの上側に重ね合わせたこの非可逆画像のマスキング処理を外すための、長い桁数のパスワードのハッシュデータを復号鍵とする。ハッシュデータでは解読不能となり、万一非可逆画像のマスキング処理を外すことがあるなら、ＰＣに記憶された複数のパスワードの中からハッシュ値が一致するパスワードを選択して、外すこともできる。また、永久に秘匿部分を閲覧・再生できないようにするときは、マスキング部分を削除して無関係のダミーデータに書き換える。

　マスキングデータを廃棄したいときは、さらに以下の処理をして、安全に廃棄することが出来る。即ち、ＰＣの記憶装置、またクラウドサーバを含む外部記憶装置、或いはスマートホンなどの記憶装置に記憶されたデータの消去において、一般的に消去しても、データのヘッダーを消す処理だけの場合がある。そこで、データマスキング消去専用のアプリケーションソフトを使用して、データにダミーデータを加えて、マスキング処理をする。画像データの場合は、さらにマトリックス分割処理をして、マトリックス分割単位で画像の平均化処理を行い、さらにマトリックス分割の配列スクランブル処理をして、安全に廃棄する。この時、既存のデータ消去プログラムでさらに処理して廃棄してもよい。

　図２は、各マスキングの具体例を示す。元データ１０は、ある自動車製造会社が試作した新型自動車の未発表写真であり、これは秘匿すべきものである。そこで、秘匿部分選択部により、秘匿すべき自動車の情報を含む、秘匿対象領域１１を選択する。

　そして、個別マスキング処理部によって、個別マスキング処理（図２においてはチェック状紋様）を施す。これにより、マスキングデータ２０が生成される。

　また、個別マスキング処理の前に、一括マスキング処理部において、一括マスキングデータ３０を生成していてもよい。この状態で、一時保存部に保存され、一括マスキング解除部に送信され、一括マスキングが解除され、個別マスキング処理部に送信される。

　このようにすることで、個別マスキング処理部に送信される状態のデータが、元の、秘匿対象情報データを含むデータ１０ではく、一括マスキングデータ３０となるので、データ変換部から個別マスキング処理部までの過程の間に情報の漏洩、ハッキングが起こっても、秘匿情報が容易に閲覧・視聴されることはない。また、一括マスキング時にダミーデータを加えて行うと例え開示されてもより安全な対策となる。もちろん前述のようにマスキングされたデータにさらに暗号化処理をしてもよい。

　（第２の実施の形態）
　次に、第２の実施の形態に係る本システムについて、図５を用いて説明する。第２の実施に係る本システムは、その全体構成については第１の実施と形態とは同様である。従って、以下では、第１の実施の形態と異なる部分を中心に説明し、既に説明した部分については省略される場合がある。

　第２の実施の形態においては、最終保存部は、暗号化処理部で暗号化された暗号化データを保存する第１データ保存部（第１保存部）と、マスキング処理されたマスキングデータを保存する第２マスキングデータ保存部（第２保存部）と、から構成される。なお、図５に示す通り、本実施の形態における出力部は、最終保存部と統合されている。

第１データ保存部（第１保存部）と第２マスキングデータ保存部（第２保存部）とは、互いに遮断された異なる記録媒体を備えており、相互間でのデータの移動ができないようになっている。ただし、上述のように、それぞれに保存されるデータは、コマンド等によりリンク付けされている。また、同時にアクセスできないようになっている。このように、第１データ保存部と第２マスキングデータ保存部とを分離・遮断させることにより、暗号化データと、マスキングデータとを、１つの保存部に保存する場合と比べて、２つのデータが同時に漏洩・流出することを防止できる。

　さらに、本実施の形態においては、閲覧・視聴制限部を備える。閲覧・視聴制限部は、閲覧・視聴については、閲覧・視聴者の情報を求めてから開示してもよい。さらに閲覧・視聴期間の制限や閲覧・視聴回数の制限をしてもよい。

　さらに、本実施の形態においては、再暗号部及び復号部を備える。再暗号部は、最終保存部で保存した暗号化データやマスキングデータに対し、それらに施されている暗号やマスキングとは異なった種類の暗号化処理を施す。そして、所定期間経過後に廃棄されるようにすることもできる。あるいは、汎用閲覧ビュア又は専用閲覧ビュアに送信する前段階で、改めて復号部に送信して復号させて、それぞれのビュアに送信する。これにより、より一層セキュリティレベルを高めることができる。

　（暗号化処理の手順）
　ここで、本システムの、暗号化処理部で行われる暗号化処理の手順の一例について説明する。
　まず、通常のファイル操作で暗号化・復号が行なえるように暗号化ＧＵＩを開発して、だれでも簡単に利用できるようにする。また、暗号化されたファイルはアイコンを変えて、視覚的にも分かりやすく、暗号化もれの防止に役立つ。

　具体的には、以下のような手順である。
（１）まず、暗号化するデータのファイル（やホルダー）を選択する。
（２）暗号化フォルダにファイルを入れると自動的にファイル単位に暗号化すると同時に、ファイルのアイコンが変わる。
（３）復号鍵を入力して、クリックすると復号して内容（平文）を表示。ファイルのアイコンも戻る。
（４）復号したファイルを表示し、編集して上書き保存すると自動的に再度暗号化して保存することもできる。
（５）また、復号したファイルを表示し、マスキング指定して保存すると自動的にマスキングして保存することもできる。

　（暗号化の単位）
　ファイルまたはフォルダ単位の暗号化方式は、暗号化したいファイル或いはフォルダを選び、パスワードを入力して暗号化を行う。復号化もファイル或いはフォルダを選んで行う。ファイル、或いはフォルダまたは仮想ドライブを作成して、中身だけを暗号化して、コンピュータ上の通常ファイルとして出力する。ファイル単位の暗号化はメールに添付する場合や、暗号化して持ち出す場合に手軽で簡便であり、フォルダ単位の暗号化は、常時使用するファイルや、多量のファイルを格納するのに簡便である。

　また、ハードディスク（ＨＤＤ）を丸ごと暗号化することで、ノートＰＣの盗難・紛失による情報漏洩を防ぐことが可能になる。通常、ＰＣ起動時のパスワードと復号鍵が解らなければ、すべてのデータが守られるが、パスワードと復号鍵を入力して起動してしまえば、無防備の状態になってしまう。主に法人がノートＰＣの盗難・紛失対策のために導入し、またコマンド処理による暗号化処理実行が出来、復号化と同時にアプリケーションの自動起動にすることも可能である。

　ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）やフラッシュメモリなどの記憶媒体については、データを暗号化及び復号化する暗号処理により管理する。ＡＥＳ（Ａｄｖａｎｃｅｄ　Ｅｎｃｒｙｐｔｉｏｎ　Ｓｔａｎｄａｒｄ）?ＸＴＳは、記憶媒体の暗号処理の方式として標準となりつつある。ＡＥＳ?ＸＴＳでは、記憶媒体のディスク上の位置を特定するセクタ番号についてＡＥＳ暗号化又は復号化する。

　（データ別の運用概要）
　以下では、各実施の形態に係る本システムに共通するデータ種毎の運用について説明する。
　（１）テキストデータの場合
　秘匿したいデータが、日記、報告書、開発プロジェクト進捗管理情報、伝票、申込書の個人情報等、テキストデータのマスキング処理の場合、個別マスキング処理は、マスキングしたいテキストをキーワード検索し、或は住所欄や氏名欄、金額欄などマスキングが必要な欄や項目を検出し、一括で或は順次に選択して、マスキング処理を行う。勿論、マスキング不要のページなどには何もしなくてもよいし、上述した一括マスキング処理を行っても良い。このとき、マスキング不要のページであっても、漏洩予防策として相手を惑わせるためにするフェイント処理として、マスキングしてもよい。ダミーデータを付加しておくと、例えパスワードが漏洩しても、ダミーデータが混ざったままなので、ダミーデータ用の復元処理をしなければ漏洩とならないように二重の安全策をとる。

　また、個別マスキング処理は、元のテキストデータがＰＤＦ画像形式に変換されたものは、ＰＤＦ画像からＯＣＲ処理して、テキストが得られるものは、マスキングしたいテキストをキーワード検索し、一括で或は順次に選択して、マスキング処理を行ってもよいし、自在に追加してもよい。

　（２）画像データの場合
　データが、写真、イラスト画像等のマスキング処理の場合、個別マスキング処理は、元のデータが画像形式のもので、ＯＣＲ処理に関連した機能で、テキスト部分と画像部分が個別に切り分けられて、特定できる画像データで画像検索が可能なデータの場合は、画像位置検索により検索された画像に対して、マスキング処理を行う。また、例えば医療用のＭＲＩ画像等のマスキング処理の場合には、氏名や疾患名、撮像年月日や疾患状況などの検索用のキーワードをキーワード付与部により行う。

　また個別マスキング処理は、元のデータが画像形式のもので、一部や全部の画像にマスキング処理を行う。さらに、元のデータが画像形式のもので、一部や全部の画像にマスキング処理の一環として色変換処理を行ったり、画像の一部に可逆変換可能なダミーデータに変更したり、電子透かしを入れたりして、画像を加工することも可能である。

　（３）映像・音楽データ・録音データ・会話の場合
　データが、映画、音楽、音・録音会話、リアルタイム会話等のマスキング処理である場合、個別マスキング処理は、データを、閲覧用の画像データに変換して行う場合と、視聴用データに変換して行う場合がある。閲覧用の画像データに変換する場合、その画像は、データ変換部や外部のクラウドサーバ等に予め登録されて保存されているテンプレート画像から選択可能である。視聴用データについては、例えばそのデータの開始から一定の時間分だけのデータや、途中の複数の部分を断続的につなげたデータなどを採用できる。そして、その画像データ、又は視聴用データに対して一括マスキング処理を行い、一括マスキングデータを作成する。そして、この一括マスキングデータのマスキングを解除し、一部や全部のデータに個別マスキング処理を行う。このとき、解除したデータを複製不能にしてもよいし、削除してもよい。リアルタイム会話の場合は、ピーという効果音（ＳＥ：Ｓｏｕｎｄ　Ｅｆｅｃｔ）や音楽、無音や雑音等で一括連続マスキング処理を行う。

　また、個別マスキング処理は、元のデータが音楽のＭＩＤＩｃｏｄｅ形式のものは、符面の画像表示データのマスキング画像表示用データを作成し、マスキングしたいｃｏｄｅを検索し、一括で或は順次に選択して、符面の画像表示マスキング処理を行う。或は、ＭＩＤＩｃｏｄｅから音源データに変換して、一部をマスキングして、視聴可能にする。

　ＭＰ３（ＭＰＥＧ１　Ａｕｄｉｏ　ｌａｙｅｒ３）やＡＡＣ　（Ａｄｖａｎｃｅｄ　Ａｕｄｉｏ　Ｃｏｄｉｎｇ）などの音楽データは、進行コードと時間で秘匿部分に復元可能に無音処理やノイズやＳＥなどのフィルター処理のマスキングを行う。また、秘匿処理中は再生できない音声部分の圧縮アルゴリズムを変えることでマスキング処理を行ってもよい。

　（４）ＣＡＤデータ、他の形式による図形データの場合
　データが、二次元、三次元のＣＡＤデータ、他の形式による図形データの場合は、データプログラムの秘匿したい部分の前部と後部に例えば＃ｓｔａｒｔ＃、＃ｅｎｄ＃などのコマンドを入れて、秘匿するようにしてもよい。また、図形データは、暗号化して、さらに画像化処理を行って、マスキング処理を行ってもよい。この際のマスキング処理は、上記の（２）画像データの場合と同様である。

　（５）その他のデータの場合
　データが、プログラム、メタデータ、数式、ゲーム、クイズ等である場合、個別マスキング処理は、元のデータがプログラムやメタデータであって、さらにデータから一括マスキングデータを作成し、一部や全部のデータに個別マスキング処理を行う。この場合も、前述の図形データと同様に、データプログラムの秘匿したい部分の前部と後部に例えば＃ｓｔａｒｔ＃、＃ｅｎｄ＃などのコマンドを入れて、秘匿するようにしてもよい。

　（マスキング処理の手順）
　以下、データの種別ごとの具体的なマスキング処理の手順を説明する。なお、以下の処理に付された番号は、便宜上のものであり、必ずしも番号順に処理が行われることを意味するものではない。後述の他のデータについても同様である。
　（Ａ）文書データの場合
１．文書データから、閲覧可能／秘匿にしたいページや部分の選択（秘匿部分選択部）を行い、該当する閲覧用文書データを選択して複製する。
２．文書データとマスキング用に複製した閲覧データに共通のキーワードを付与する（キーワード付与部）。
３．文書データとマスキング用に複製した閲覧データに書名などのコードを付与すると、これがリンクコードとなる（データリンク部）。
４．元の文書データは、全ページ或は章等の単位一括で、暗号をかける（暗号化処理部）。
５．暗号をかけた文書データは、記憶装置に保存する（第１保存部）。
６．複製した文書データを画像ＰＤＦ処理し、閲覧データとして画像データに変換する（データ変換部）。
７．すぐ個別マスキングが出来ないときは、一括マスキングのマスキングパターンを選択し、自動処理する（一括マスキング処理部）。
８．前記のマスキングが終了すると、一時保存される（一時保存部）。
９．一時保存した一括マスキングデータを一時保存部から取り出して、個別のマスキング処理を行う。個別のマスキングには、個別用マスキング機能である絵柄マスクやボカシ機能など、予め登録されて保存されているテンプレート画像から呼び出して選択して、絵柄マスクの場合も、予め本システムに登録しておいて、絵柄を選択し、秘匿したい部分をマスキング加工する。なお、６の閲覧データ作成の後に、直接個別マスキングしてもよい（個別マスキング処理部）。
１０．個別マスキングしたマスキングデータに、閲覧制限を付与する必要があれば制限内容を選択する（閲覧・視聴制限部）。
１１．閲覧制限の確認後、個別マスキングデータを記憶装置に保存する（最終保存部）。
１２．閲覧期日に閲覧できるように公開する（汎用閲覧ビュア、専用閲覧ビュア）。
１３．必要なら保存したデータ及びマスキングデータの暗号強度を強めるために再度の暗号処理を行う（再暗号部）。
１４．復号部で復号して、閲覧期日に閲覧ビュアで閲覧出来るように保存する（復号部）。

　（Ｂ）画像データの場合
１．画像データから、該当する閲覧用としたい画像データを選択して必要な解像度で複製する。このとき、複製する解像度を低くして閲覧データ量を少なくするとよい。そして、閲覧画像データの閲覧可能／秘匿にしたいページや部分の選択（秘匿部分選択部）を行う。なお、一般的には、書類や図面などをスキャナで必要な解像度でスキャニングして、その画像データを一括でキャプチャー画像処理をして、サムネイル画像（例えば標準的には５０～２００ｄｐｉ程度）をつくる。この時、ページ物は表紙や重要なページだけサムネイル画像とする。
２．～１４．これらの処理については、上記（Ａ）文書データの手順中の「文書データ」を、「画像データ」に、「閲覧データ」を「サムネイル画像」に置き換えたものと同様である。

　（Ｂ’）ＰＤＦ画像の場合
　ＰＤＦ画像については、全ページのサムネイル画像を表示して、以下のルールでマスキング処理を行う。
１．全ページのサムネイル画像を表示と、本システムのマスキング機能ソフトを用いて、マスキング対象のデータを指定する。既にファイリングされたＰＤＦデータも、指定ソフトで指定できる。
２．マスキング自動処理サーバが選択され、指定されたマスキング処理を自動で行う。
３．マスキング処理後、マスキングデータを保存するが、クラウドサーバに保存して活用しても良い。
４．マスキングデータの復元・復号はパスワードや復号鍵を必要としてもよい。

　（Ｃ）音声・音楽・映像データの場合
　以下、音声・音楽・映像データの内、元となる全部の視聴データから、視聴公開するデータとして選択した部分を視聴用データと呼ぶ。
１．元の視聴データから、視聴公開／秘匿したい部分の選択（秘匿部分選択部）を行い、該当する視聴用データを選択して複製する。視聴公開するデータは原則的に原データのままで視聴部分を選択する。
２．～５．これらの処理については、上記（Ａ）文書データの手順中２．～５．の「閲覧」を「視聴」に、「文書データ」を、「視聴データ」に、「閲覧データ」を「視聴用データ」に置き換えたものと同様である。
６．複製した視聴用データを編集処理し、公開する視聴用データとする（データ変換部）。
７．～１４．これらの処理については、上記（Ａ）文書データの手順７．～１４．中の「文書データ」を、「視聴データ」に、「閲覧データ」を「視聴用データ」に置き換えたものと同様である。

　（Ｄ）ＣＡＤデータ（ベクトルデータ）の場合
１．ＣＡＤデータから、閲覧可能／秘匿にしたい図面や完成図などの選択（秘匿部分選択部）を行い、該当する閲覧用ＣＡＤデータを選択して複製する。
２．～１４．これらの処理については、上記（Ａ）文書データの手順中の「文書データ」を、「ＣＡＤデータ」に、「閲覧用文書データ」を「閲覧用ＣＡＤデータ」に置き換えたものと同様である。

　（Ｅ）プログラムやコード、数値表などのメタデータの場合
１．メタデータから、閲覧可能／秘匿にしたいデータ内容や部分の選択（秘匿部分選択部）を行い、該当する閲覧用メタデータを選択して複製する。
２．～１４．これらの処理については、上記（Ａ）文書データの手順中の「文書データ」を、「メタデータ」に、「閲覧用文書データ」を「閲覧用メタデータ」に置き換えたものと同様である。

　さらに、各データに共通な項目として、マスキングするためのシールには、二次元バーコードや、クラウドサーバコードを割り当てても良い。なお、クラウドサーバコードとは、クラウドサーバに接続するためのアクセスコードを言う。また、閲覧の際に必要となる閲覧ビュアソフトで閲覧可能にするためのワンタイムパスワードを発行してもよい。元データや、閲覧・視聴用データには、検索用キーワードを登録できる。もちろん、閲覧・視聴を制限したり、一定期間後廃棄することもできる。

（活用事例）
　以下では、本システムの運用事例の具体例について説明する。

　（公文書開示）
　公文書のデータに対して、秘匿部分に個別マスキングを行い、電子公開し、マスキング部分を除いて閲覧可能にする。情報秘匿年数が経過した場合に、当該個別マスキング部分を解除（復号）処理する。また同様に、秘匿データの重要度に応じて個別マスキング内の一部を解除して公文書の開示を行う。但し、公開にあたり個別マスキング処理作業が出来ていない残存部分が混在する場合には、残存部分を第２の全体マスキングを行い、暫定公開する。また公文書は文字の見えない、読めない人に対して、点字での閲覧用データや音声用の視聴データを作成して第１のマスキングデータとして、公開しても良い。また、公文書以外にも、学校、企業等が作成する文書も同様である。

　（個人情報管理）
　市区町村などの住民台帳や、学校の生徒情報、企業の顧客情報、病院の電子カルテなど、あらゆる個人情報に対して、氏名や住所の一部、連絡先などの部分をマスキング処理して、運用する。住民台帳運用者や学校の先生、企業の担当、病院の医師などの情報管理者がこれらの個人情報を必要とするときは、パスワードや復号キーで一時解除して閲覧を可能にして、閲覧後は自動的にマスキングの状態に戻るように閲覧用ビュアプログラム設定する。本件の文字情報は、文字の見えない、読めない人に対して、点字での閲覧用データや音声用の視聴データを作成して第１のマスキングデータとして、公開しても良い。さらに、ＧＰＳコードを閲覧許諾の情報として付加して、特定の場所に限定して公開することも出来る。

　（複数パスワード）
　また、特に重要な秘匿個所があるものについては、複数のパスワードを設定する。また、データの内容ごと（例えば、ページ単位で）に異なるパスワードを設定する。閲覧を許諾する人には、電話や別に送信する別のアドレスのメールでパスワードを伝える。さらにマスキングしたデータが改ざんされていないか、開示前と開示後のデータのハッシュデータを作り照合して改ざんの有無をチェックする。また日時の認証をするために認証局の証明を付与してもよい。

（マスキングしたデータの表示方法の応用）
　マスキングしたデータには、閲覧や再生時に同時に閲覧や再生したい関連するデータをＰＣで連動して閲覧や再生できるようにしてもよい。例えば、文書データの写真部分をマスキングして、閲覧時に写真表示や映像再生が行われてもよい。また、文書の一部に音声データをリンクして、目の不自由な人向けに再生してもよい。映像データの場合には、映像に関連する文字データなどを表示させてもよい。リンク情報は閲覧者の意志による再生・閲覧起動でも良いし、人感センサなどセンサによる起動でも良い。また、データの全面や一部をマスキングした表示・再生のままで、例えば「閲覧カード」にパスワード機能を入れて作成して、「閲覧カード」をカードリーダーにかざして、正しいパスワードを入力するとＰＣで表示・再生アプリケーションソフトウエアが立ち上がり、表示する。また、特定のキーを押している間だけ、或いは一時表示指定された秒数だけの短時間表示などの、復号表示をするようにしてもよい。さらに、暗号化した原文やもとの映像の復号表示・再生も連動させてもよい。

　（ネット発注印刷）
　印刷発注者(顧客)は、インターネットで印刷を発注する場合、印刷会社に印刷データとカラーマネージメントされた色見本プリントとカラーチャートデータをスキャナで入力した画像データを送信する。この時、１ビットの印刷データは暗号化を行い、８ビットの色見本プリントのスキャニングデータは、秘匿したい部分にマスキング処理を行い、併せてカラーチャートをスキャニングしたデータを印刷会社に送信する。印刷会社には事前に或いは別の通信で（公開鍵方式の）暗号キーやマスキング解除パスワードを伝える。また、印刷会社において、印刷データは（秘密鍵）の暗号キーで復号化し、カラーチャートデータと色見本印刷物データは秘匿部分のマスキングをパスワードで解除をして、カラーチャートデータを使ってカラーマネージメントのプロファイルを作成する。色見本印刷物データはデザイン部門でプロファイルを使って印刷色校正プリントを出力する。

　この印刷色校正プリントを印刷発注者に見せて、色校正指示を受けるが、この作業をインターネットで行う場合がある。インターネットで色校正や文字校正を行う場合は、秘匿すべき個所をマスキング処理して、パスワードで閲覧できるように設定する。これにより、インターネットや印刷会社、印刷発注者間での情報漏えいを防ぐことが出来る。
　さらに、前述のように印刷会社ではプリプレス部門での印刷データから印刷版の１ビットの出力データを作成し暗号化して、８ビットの色見本データは秘匿部分をマスキング化して、共に、印刷工場に送信する。
　印刷工場では、暗号化された１ビットの印刷出力データは別に送られた暗号キーで復号し、印刷用の版をイメージセッターで印刷版を出力する。
　マスキングされた色見本データは、パスワードで閲覧可能に戻して表示し、印刷色見本データとする。また必要な時は、カラーマネージメントされたプリント出力をして色見本として、印刷を行うことで、印刷発注者の印刷データを安全に運用する。

　例えば保険などの印刷物の一部にプリントされる契約者名や住所などの個人情報の漏洩を防ぐために、第一のマスキングデータを印刷会社に預けるが、住所、名前などの差し替え印刷が出来るＰＯＤ（Ｐｒｉｎｔ　Ｏｎ　Ｄｅｍａｎｄ）などのデジタル印刷機で個人情報を印刷する際に、ＰＯＤデジタル印刷機にマスキングした個人情報を含んだデータを送信し、印刷直前にマスキング部分の一時復号を行い、且つ印刷データを作成し印刷する。またオフセットなどの印刷物にも、適応する。なお、マスキング処理の段階で、印刷実行ボタンがトリガーとなる暗号或いはマスキングの消去鍵を付与しておき、印刷後、一時復号データを専用ソフトウエアで強制消去するようにしてもよい。

　（マスキングの一時解読用ソフト作成）
　第一のマスキングで得られた個別マスキング画像や映像やデータの復号について、一時復号に限定して復号を行い、閲覧表示後直ちにほぼ同時に復号データのみ強制消去し、個別マスキングに戻るソフトウエアを開発し、閲覧機器に組み込む。また一時復号時に限定された回数のデータ複製を行った後は復号したデータのみを強制消去し、個別マスキングのみの表示に戻るようにする。解除には、一時解除使用版、継続解除使用版ソフトウエアを開発し提供する。

　（マスキング機能付き入力機器）
　入力後、あるいは入力と同時に第２の簡易マスキング処理を行う入力機器とシステムを提供することも可能になる。例えば、コンピュータに第１の個別マスキング機能ソフトウエアも同梱して、或はセットアップして、購入者が使用許諾請求の確認ボタンを押すと、個別マスキング処理が可能となり個別マスキングが出来るようにしてもよい。個別マスキング解除には、一時解除使用版、継続解除使用版を提供する。或いは前述の機器の外部接続として暗号化やマスキング処理ができる装置を取り付けてもよい。これらの機能により、スキャナによる入力やデジタルカメラによる撮影などの入力作業と同時に入力データに直接或いはマスキング用に複製して、暗号化やマスキング処理が施されて保存したり、或いは通信により安全に送信できる。

　（スキャニングデータのマスキング処理ファイリング）
　これまで企業等では文書等のコピーを保存しているが、電子化に伴い、この文書のスキャナ保存をマスキング技術を使って行う。例えばＡ４判サイズの書類を連続読み取りスキャナでスキャニングし、電子画像ファイルとする。次に、データマスキングのアプリケーションソフトウエアをＰＣで立ち上げて、一括で全面マスキング処理を短時間で行う。また、ＰＤＦデータなどの場合には、データに直接、可逆可能な全面マスキング処理をして保存してもよい。

　その後、各ページ毎に全面マスキングをページ単位で解除して、ページ内に秘匿処理が必要な部分が有れば、部分マスキング処理を行い、保存し、同様に続いてこの作業を各ページで順次行う。また、ページごとにＧＰＳデータや個別マスキング作業許諾者のＩＤカードのセンサ情報やその他、閲覧日時制限などの付加コマンドをリンクさせたい場合はリンク加工して、保存を行う。例えば、ＧＰＳ位置情報が付与された情報は、ＧＰＳ位置しか閲覧できなかったり、或いはＧＰＳの地図が表示されるようにリンクしてもよい。

　（写真マスキングネットアルバム；写真共有サイト）
　写真を共有サイトにアップさせる場合、他人のプライバシーなど見せたくない部分を秘匿するため、或は撮影場所を見せないように背景など写真の一部をマスキング処理して、サイトにアップする。また、個人アルバムを特定の家族等での開示をする場合に、万一の情報漏洩を考えてマスキング処理する。閲覧許諾する人には、別途マスキング解除キーや一回開示のためのパスワードを別に送信する。また、投稿する時に、マスキング写真は複製出来ないようにしてもよいし、一定期間後は自動消去するプログラムをマスキング写真にリンクしておいてもよい。

　（報告書ネット送稿）
　官公庁や企業の各種報告書等データのネットによる送受信において、重要な内容を個別マスキング或は全体マスキングをして、必要な場合はさらに暗号をかけて、ＬＡＮや専用回線、インターネット等の通信回線で送受信し保存する。官公庁や企業の権限者は、閲覧許諾する人にネットで閲覧日時や開示回収を限定した専用閲覧ビュアソフトを送信し、閲覧のためのパスワードを別の手段で送信する。また、出力を許諾する場合と出力を出来ないようにする場合の機能を持った専用閲覧ビュアソフトに設定して閲覧許諾する人に閲覧してもらう。さらに必要であれば、共通鍵で暗号化しさらに公開鍵で暗号化した、データの送受信を行ってもよい。

　（伝票）
　各種伝票の送信や保存において、秘匿したい部分を第１のマスキング処理をして、ＬＡＮや専用回線、インターネット等の通信回線で送信或は保存する。伝票作成者は、閲覧許諾する人が、閲覧日時を限定した開示のための専用閲覧ビュアソフトの閲覧パスワードを別に送信する。さらに、出力を許諾する場合と出力を出来ないようにする場合の機能を持った専用閲覧ビュアソフトに設定して閲覧してもらう。

　（タイムレターサービス）
　個人ユースとしては、誕生などの記念日や、１年後、１０年後などレター送付者が、クラウドサーバなどに預けて、一定の期間後にＰＣやスマホに送信する電子レターについて、文面や声、映像、音楽などの秘匿が必要な部分をマスキングして保存し、開示期日が来たら復号し表示することや、未来に向けたメッセージを届けることが出来る。また、ビジネスユースとしては、予め作成した招待状や新製品発表や会社情報などを、一定の期間後にＰＣやスマホに送信するメール文や、或いは電子レターについて、文面や声、映像、音楽などの秘匿が必要な部分をマスキングして保存し、開示期日が来たら復号し、表示することや未来に向けたメッセージを届けることが出来る。

　（デジタル日記）
　デジタル日記（自分だけの日記、プライベートな情報を共有したい仲間との日記を含む）や、連絡簿サイトの特に誰にも見られたくない写真や文面や声、映像、音楽などの秘匿が必要な部分に、マスキング処理をして、自分のコンピュータ或いはクラウドサーバなどに保存し、必要な時に復号キーかパスワードで復号する。このとき、投稿者は第三者に対して漏えいを防ぐために自分の意志で、いつでもパスワードを変更できるようにしておくとよい。また、マスキング一時閲覧解除のパスワード入力枠を付ける。一時閲覧解除のパスワードを入力すると、操作中だけ一時表示される。さらにまた、例えば投稿データが複製された場合、流出しても、開くときにはパスワードでは開けないようにしておく設定ができるようにしても良い。日記やプライベートな情報は、複製出来ないようにしても良いし、一定期間後は自動消去するプログラムをマスキングデータにリンクしておいても良い。さらに、ビジネス上の共有サイトに活用してもよい。この場合は、さらに暗号処理を加えてセキュリティを高めるようにするとよい。またさらに閲覧や再生するＰＣの特定をするためのＰＣの機器ＩＤをデータに付与するとさらによい。

　（電子伝言板）
　ネットで公開する電子伝言板について、伝えたい相手にネットアドレス等と伝言板のマスキング開示パスワードを伝えて、写真や文面や声、映像にマスキングを行い伝言板登録をする。非常災害時の連絡などにも有効。

（メール、添付ファイル）
　また、メール文面や添付ファイルは、厳密にいえば暗号化してもメールサービスの管理者には解読可能な情報伝達手段という一面がある。それをより安全な秘匿メール通信とするために、メールの文面や添付ファイルの秘匿したい部分にデータマスキング処理を行い、送信する。これを受信者が解読するためのパスワードを、別の通信回線を使って通知する。

　（電子アンケート、電子投票）
　電子アンケートに回答する場合、必要な人だけが閲覧・視聴できるように住所や氏名、或は音声や写真、映像などのプライバシー部分にマスキング処理を行い、例え電子アンケートが情報流出しても漏洩しない安心感が出る。
また、選挙手書きの電子投票にも活用できる。投票時に投票人が投票用紙に手書きで候補者名等を記入し、小型スキャナ装置で入力し記憶装置に記憶する投票方式で、電子投票された画像データには全面マスキングをかけて、電子投票集計時に、マスキングを解除して、手書きＯＣＲ処理や手書き候補者名の画像の確認をして候補者別に集計する専用ソフトウエアを開発して、集計するようにしてもよい。

　（ＴＶ番組のテロップめくり）
　ＴＶ番組では、掲示板の表示の一部を剥離可能な紙で隠して、めくり表示を行っている。これをタブレット画面やＰＣモニタなどにデジタル掲示板化して表示し、隠すところを別の絵柄や画像文字で表示し、説明内容により、順次画像をタッチパネル画面上ではがして行く。また、必要であれば、音声や映像、音楽ファイルをリンクし、今までの掲示板では表現できなかったマルチメディアリンクでの効果をもたらす。例えば、テレビのニュースや番組で、予めＰＤＦデータの表示の上部にデータを重ねて表示するオーバーラップ表示部分を作り、マスキング画像或いは別の関連するデータ表示をさせることで秘匿する。表示や映像再生には、丁度マスキングシールした画像部分をめくるように画面表示処理をして作り上げ(制作し)ておく。番組放映中にキャスターなどが大型のタッチパネルのディスプレイに表示されたマスキングデータ部分を、ディスプレイに直接タッチして、或いは間接的に手元の小型タッチディスプレイで、作動させ表示させる。画面の特定の秘匿部分にマスキング画像シールをめくるように操作するとめくった画像の内(下)側に、別の閲覧ＰＤＦデータが表示されたり、再生させる映像が再生される。シールめくりのように処理をしたい画像は複数重ねても良いし、別の画像の表示としても良い。これで、いままで実際にパネルを作成してきた時間や出力費用が削減可能となるだけでなく、新たな表現効果となる。

　（マスキング参考書）
　デジタル参考書の閲覧・視聴にあたるコンテンツにおいて、記憶しておくべき部分をマスキングして、或は学習記憶のヒントのマスクも加えて多重マスキングして、解答や記憶学習するのに効果的なデジタル参考書としてのマスキング処理を行う。

　（ビッグファイル転送サービス）
　ビッグファイルの転送サービスがあるが、サイト管理者からの情報漏洩の可能性について無視できない。そこで、ビッグファイルの転送データをマスキングして転送サービス経由で送信する。送信先には、解読パスワードを別に送っておくことで転送ファイルデータのセキュリテイを保持する。

　（マスキングデータへの情報付加）
　マスキングしたデータには、マスキング作業や或いは閲覧場所の限定のために、ＧＰＳによる位置情報制限を設定してもよい。ＧＰＳ位置情報と閲覧者、例えば閲覧許諾者のＰＣに限定した制限情報（ＰＣのＩＤなど）をマスキングデータの一部につけて、ＰＣとＧＰＳによる位置と閲覧者のパスワード、ＰＣのＩＤ検証を行って開示できるようにしてもよい。またある一定の時刻帯にだけ閲覧可能にしたり、ＩｏＴ（Ｉｎｔｅｒｎｅｔ　ｏｆ　Ｔｈｉｎｇｓ）特定のセンサ（温度センサ、人感センサ、ＩＤカードなど）がＯＮ或はＯＦＦを接続されたＰＣに通知する。これらのセンサを感知して編集或いは閲覧或いは再生するコマンドを、マスキングデータの一部に付与させて、ＰＣに連動させてもよい。即ち、ある一定の条件値になっている時だけに編集や閲覧許可をＯＮ或はＯＦＦにすることも出来る。その他、特定センサの条件下での閲覧をＯＮ或はＯＦＦにすることも出来る。

　（マスキングデータの画像。映像加工）
　写真や印刷画像において、その写真や印刷画像の一部に秘匿すべき情報があり、閲覧させるには写真や印刷画像の一部を秘匿しなければならない場合がある。また、印刷発注者や印刷会社では、一部の担当者しか見せないようにする顧客情報の守秘義務がある。印刷やネットコンテンツに使う写真や画像の切り抜き作業などで、担当者以外の専門作業者が作業することが日常となっている。この担当者以外が作業する場合に、画像切り抜き作業に支障のない範囲で秘匿すべき部分を個別マスキングして、画像切り抜き作業などの関連作業を行う。
　また、映像や音声・音楽などで、発表や報道まで秘匿しておく部分がある。この場合映像や音声・音楽などの編集を行う場合、秘匿する部分をマスキング或いはボカシ、目隠し等の可逆可能な処理、或いは音声部分はボイスチェンジャー処理やその他の可逆可能な音声処理等を行い、その他の編集作業に支障のない範囲で秘匿すべき部分をマスキングして、担当者以外の専門作業者が編集を行う。公開時に秘匿した部分で解除していいマスキング或いはボカシ、目隠し処理、音声処理等を解除する。

　（１）電子送稿とネット校正について
　（電子送稿）
　図３は、データの、一方向工程による運用である電子送稿の概要を示すシステム図である。ここでは電子送稿を、関係者間による「一方向工程での送稿データ運用」と定義する。例えば雑誌広告や新聞広告など関係者間で、広告制作フローの川上である（１）クライアント或は広告代理店、（２）デザイン制作会社、（３）雑誌社、（４）製版会社、（５）印刷会社間での一方向工程での運用とする。このとき、万一送受信する画像データの情報流出があっても、画像データのマスキング処理を行っておくことで、漏洩が防げる仕組みを構築する。

　（２）広告業界・印刷業界で扱うデータ
　（ネット校正）
　図４は、データの、双方向工程による運用であるネット校正電子送稿の概要を示すシステム図である。ここではネット校正を、関係者間による「双方向工程での送稿データ運用」と定義する。印刷発注担当者や関係者は、印刷完成まで特に秘匿して第三者に見せてはいけないデータや画像データをマスキングして、秘匿・閲覧のためのパスワードを設定して、必要な人に送信する。秘匿・閲覧のためのパスワード設定は、セキュリティ上、関係者間で毎回変えて扱うほうが良い。

　例えばサーバ上に保存された広告ドキュメント或は印刷校正用画像データを、クライアント、広告代理店、デザイン会社、印刷会社の関係者で共有し、校正指示情報とその履歴も共有する仕組みをいう。ネット校正の最終作業は、印刷直前の刷り出し印刷物のネットによる最終確認である。印刷直前の印刷物をスキャナ等で入力して、その入力画像をマスキング処理済み印刷用データとして関係者に送信し、印刷発注担当者や関係者はマスキング処理をパスワードで復元して校了（最終校正）確認を行う。文字校正や色校正は、文字・汚れ検査や色校正評価装置のカメラやスキャナなどの画像入力機器により入力し、秘匿したい部分をマスキング処理して復元のためのパスワードを設定し、本社やデザイン部門、印刷工場などの各施設にネットで送信する。

　上述のパスワードは別の電話や、出来れば暗号処理をしてメールなどの方法で伝える。各施設では秘匿部分を、復号キーやパスワードを入力して一時復元し、文字・汚れ検査や結果色評価の確認を行う。異常があれば秘匿部分を再度マスキング処理して、一時復元を解除して、必要に応じて変更パスワードを入力し、必要な場所にネット送信する。パスワードは同じものを使うか、変更する時は別の電話やメールなどの方法で伝える。このようなマスキング一時復元機能と暗号処理で、万一送受信する画像データの情報流出があっても、復号キーやパスワードが判らないので情報漏洩が防げる仕組みを構築する。このように安全なネット校正が実現することで人や校正紙の物理的な移動がなくなり、また印刷の立ち合いが大幅に減少できることになるので、印刷発注者及び印刷会社のメリットは大きい。

　広告業界で扱うデータは、いわゆるＰＳ（ＰｏｓｔＳｃｒｉｐｔ）データであるＤＴＰ（Ｄｅｓｋ　Ｔｏｐ　Ｐｕｂｌｉｓｈｉｎｇ）データで、このＤＴＰデータを製版印刷業界では、ＲＩＰ装置でラスター画像処理を行って、印刷用の以下の（２）と（３）の２種のＴｉｆｆデータに変換を行っている。（広告・デザイン会社）（１）ＤＴＰデザインのＰＳデータ（製版・印刷会社）；（２）印刷校正用８ビットＴｉｆｆデータ；（３）印刷版出力用１ビット４版（Ｃ，Ｍ，Ｙ．Ｋ）データ；以上の広告用・印刷用データを安全に送受信及び保存運用することが必要である。

　（印刷直前の検査）
　また、印刷会社の印刷の版データを作成するプリプレス（ＰｒｅＰｒｅｓｓ）部門では、印刷のＤＴＰ機器で作成されたアウトラインデータを画像データに変換するＲＩＰ（Ｒａｓｔａｒ　Ｉｍａｇｅ　Ｐｒｏｃｅｓｓｏｒ）処理をする。そして印刷データからＲＩＰ処理した１ビット画像の印刷用の分版画像データの暗号化処理を行う。また印刷データからＲＩＰ処理した８ビットの２００から４００ｄｐｉ程度の検査や色見本用画像データの秘匿部分エリアのマスキング処理を行う。これらの２つのデータは、プリプレス部門から印刷工場のプレートセッター機の付近に送信する。さらに前述の色見本用画像データは、印刷工場でパスワードにより秘匿部分を復元して、プルーフプリント（単にプルーフともいう）を出力する。また、印刷用の１ビット分版画像データを復号鍵で復号化処理をして、印刷用版として出力された刷版を印刷機にかけて試し刷り印刷物を得る。これらを、印刷の色検査や文字・ヨゴレ検出のための比較をする。

　（その他）
　本発明においては、上記で説明した実施の形態や運用事例以外でも、多くの変形例や、他の運用事例を含ませることが可能である。
　図６に示すように、秘匿すべき画像データ４０（５０）が複数ある場合に、秘匿対象領域４１（５１）が、各データに共通する領域であるような場合がある。例えば、データが、人物に関する画像データ４０である場合に、秘匿対象領域４１が各データの含む人物の顔部分であるような場合がある。また、データが、個人情報を含むような文書データ５１であるような場合、秘匿対象領域が、住所や氏名等の個人情報が記載された、上部領域であるような場合がある。尚、人物の個人情報に関する映像データも同様の扱いがされる。

　本システムにおいては、このような場合においても、適宜各データの秘匿対象領域（共通秘匿領域）を設定し、適切な暗号化処理及びマスキング処理を施すことが可能である。なお、図６においては、秘匿対象データが、画像または文書の場合を説明したが、これに限らず、動画、音楽、プログラム、メタデータ等種々のデータに対して適用できることはいうまでもない。また、共通秘匿領域については、図６に示したものに限らず、例えば動画や音楽の場合には、開始からある程度の時間の範囲や、任意に設定したタイミングからのある程度の時間の範囲等、自由に設定できる。さらに、文書の場合には、複数のデータに共通する単語やフレーズ等を共通秘匿領域とすることも可能である。

　以上、図面を参照していくつかの実施の形態を説明したが、本発明はこれらの実施の形態に限定されることはなく、それぞれの実施の形態で用いた構成要素を組み合わせ、また削除して適用することが可能である。また、本システムの運用事例についても、上記で説明したものに限られることはなく、データの暗号化やマスキングを必要とする種々のビジネスに対して適用可能であることはいうまでもない。

　（付記）
　以上の実施の形態に関する事項の付記事項について、既に述べたものも含めて下記に記載する。マスキング処理の絵柄やパターンなどは、本システムの少なくとも一部の機能を提供するクラウドサーバか、予め作業者の記憶装置に登録されて保存されているテンプレート画像から選択可能とする。マスキング処理の絵柄やパターンなどの種類としては、上記の実施例・運用事例で説明した種類も含めてＳｔｒｉｐｅ、Ｃｈｅｃｋｅｒ、Ｃｅｎｔｅｒ、Ｓｑｕａｒｅ、ボカシ、ｗａｖｅ、紋様・黒塗り・白消し、ダミーデータの追加や、作業者がＰＣに登録した写真やイラストや絵柄やパターン、などが挙げられる。また、マスキングの方法として、暫定簡易迅速処理を行う。つまり、上記マスク処理から任意の方法選択し、データを一括処理する。一括処理後に、パスワードや復号鍵でデータを、一時解除して個別マスキング処理を行う。その際、マスキング処理のログは残しておく。

　スキャナでの入力データのマスキング処理について、後から消去可能なインクを使ったペンでの書き込みや、印鑑、或いは一時消去マーカー（例：空気酸化すると消えたり、別の消去材を用いることで消える）で印したところを、スキャニングすると、自動的にスキャニングデータの同一部分をマスキング処理する、ということもできる。

　さらに、検索機能を付与するため、マスキングデータにキーワードを付与する。画像データが、例えばＰＤＦデータの場合には、ＯＣＲ機能も利用可能である。このキーワードについても、暗号化することも可能であり、複数のパスワードで一時的に解除することも可能である。最終保存部でデータを保存後、出力する際には、出力用パスワードや、出力者のパスワード、或は復号鍵を要求することもできる。

　閲覧・視聴用データには、マスキング処理部分やマスキング未処理の表示部分にダミーデータを加えても良い。閲覧・視聴用データには、開始日時、回数、期日、複製、出力の閲覧或は視聴制限を加えても良い。閲覧・視聴用データには、さらに閲覧・視聴者の関心度の反響を書いたり、録音・録画する機能を有してもよい。閲覧・視聴用データには、回数、期日の閲覧或は視聴制限後、閲覧用画像或は閲覧用画像にダミーデータを加えて、閲覧用画像或は閲覧用画像をｓｈｒｅｄｄｅｒ細分割して、再配置し、復号鍵を発生させないで復号不可にして、データ消去するようにしてもよい。

１　　　　　　　　　　　データマスキングシステム
１０、４０、５０　　　　秘匿対象データ
１１、２１　　　　　　　秘匿対象領域
２０　　　　　　　　　　個別マスキングされたデータ
３０　　　　　　　　　　一括マスキングされたデータ
４１、５１　　　　　　　共通秘匿領域

Claims

　秘匿対象情報を含む第１のデータの全部または一部であって、前記秘匿対象情報を含む部分を、閲覧、又は視聴するための第２のデータに変換するデータ変換部と、
　前記第２のデータに、マスキング処理を施してマスキングデータを作成するマスキング処理部と、
　前記マスキングデータを保存する保存部と、
　前記保存部に保存した前記マスキングデータを出力する出力部と、
　を備える
　データマスキングシステム。
　前記第１のデータに暗号化処理を施して暗号化データを作成する暗号化処理部をさらに備え、
　前記保存部は前記暗号化データを保存し、
　前記出力部は、前記保存部に保存された前記暗号化データを出力する
　請求項１に記載のデータマスキングシステム。
　前記暗号化データと、前記第２のデータとをリンクさせるデータリンク部をさらに備える
　請求項２に記載のデータマスキングシステム。
　前記第２のデータに含まれる前記秘匿対象情報を含む秘匿対象領域を選択する秘匿部分選択部をさらに備え、
　前記マスキング処理は、前記秘匿部分選択部で選択された前記秘匿対象領域に施される第１マスキング処理を含む
　請求項１乃至３のいずれかに記載のデータマスキングシステム。
　前記マスキング処理は、前記第２のデータ内の、前記秘匿対象領域以外の領域にも行われる第２マスキング処理をさらに含む
　請求項４記載のデータマスキングシステム。
　前記第２のデータは、複数であり、
　前記第２マスキング処理は、前記複数の第２のデータの全体に施され、
　前記第１マスキング処理は、前記複数の第２のデータの一部に施される
　請求項５記載のデータマスキングシステム。
　前記第２のデータは、複数であり、
　前記第２マスキング処理は、前記複数の第２のデータ各々の同一の領域に共通して施される
　請求項５記載のデータマスキングシステム。
　前記マスキング処理は、前記第２マスキング処理を解除して復号した第３のデータを作成し、
　前記第３のデータに前記第１マスキング処理を行う
　請求項５乃至７のいずれかに記載のデータマスキングシステム。
　前記第２マスキング処理の解除は、前記第２のデータの一部に施される
　請求項８記載のデータマスキングシステム。
　前記第３のデータを複製し、
　複製した前記第３のデータを出力不能とするとともに、前記保存部に保存する
　請求項８又は９に記載のデータマスキングシステム。
　前記暗号化処理及び前記マスキング処理の履歴を記録する暗号化履歴記録部をさらに備える
　請求項２乃至１０のいずれかに記載のデータマスキングシステム。
　前記出力部は、認証鍵を入力可能な認証入力部をさらに有するとともに、前記マスキングデータを出力する際に、認証要求する
　請求項１乃至１１のいずれかに記載のデータマスキングシステム。
　前記暗号化データ及び前記マスキングデータに、検索用キーワードを付与可能なキーワード付与部をさらに備える
　請求項２乃至１２のいずれかに記載のデータマスキングシステム。
　前記保存部は、前記暗号化データを保存する第１保存部と、前記マスキングデータを保存する第２保存部と、を有する
　請求項１乃至１３のいずれかに記載のデータマスキングシステム。
　前記マスキングデータは、所定条件を満たした際にマスキング状態に戻るように、復号鍵により一時的に復号される
　請求項１乃至１４のいずれかに記載のデータマスキングシステム。
　ネットワークと通信可能な通信部をさらに備え、
　前記出力部は、前記暗号化データ及び前記マスキングデータを、前記ネットワークを介して外部装置に出力する
　請求項１乃至１５のいずれかに記載のデータマスキングシステム。
　前記暗号化データと閲覧・視聴用マスキングデータの両方或は一方を廃棄する時は、当該データを、周期性を持たないデータを加えて前記第２マスキング処理を施し、当該データを、復元不能な複数のデータ片に分割するデータシュレッド処理をして廃棄する
　請求項５乃至１６のいずれかに記載のデータマスキングシステム。
　前記出力部から出力された前記マスキングデータが閲覧・視聴に供される場合に、当該閲覧・視聴の履歴及び／又は反響を記録する閲覧・視聴履歴記録部をさらに備える
　請求項１乃至１７のいずれかに記載のデータマスキングシステム。
　前記データ変換部は、前記第２のデータが画像である場合には、解像度を指定し、前記第２のデータが動画・音楽である場合には、視聴精度を指定する機能をさらに有する
　請求項１乃至１８のいずれかに記載のデータマスキングシステム。