WO2018189995A1

WO2018189995A1 - 情報処理装置、情報処理方法およびプログラム

Info

Publication number: WO2018189995A1
Application number: PCT/JP2018/004751
Authority: WO
Inventors: 手島太郎
Original assignee: ＢａｎｋＩｎｖｏｉｃｅ株式会社
Priority date: 2017-04-14
Filing date: 2018-02-09
Publication date: 2018-10-18
Also published as: JP6883879B2; JPWO2018189995A1; US20200042728A1

Abstract

秘密データの管理を容易にする。端末装置から特定の受取人に向けて送信されたビジネス文書データをネットワークを通じて受信すると、受信したビジネス文書データを、受取人の識別情報と、ビジネス文書データの発行者の識別情報とを関連づけて記憶する基本データ管理テーブル、およびビジネス文書データに含まれるデータの少なくとも一部に受取人がアクセスできないようにする条件を記憶する消去データ管理テーブルを記憶する管理データ記憶部１２と、消去データ管理テーブルに設定された条件を発行者または受取人が実行すると、ビジネス文書データに含まれるデータの少なくとも一部を受取人がアクセスできないようにするデータ処理部１１と、を有する。

Description

情報処理装置、情報処理方法およびプログラム

　本発明は情報処理装置、情報処理方法およびプログラムに関する。

　会社全体または企業グループ全体のビジネス文書（例えば、文書等）の閲覧とその情報の一元管理を可能とする技術が知られている。

　例えば、ユーザを特定するユーザ特定情報と少なくとも１つの固有の情報とをユーザ毎に関連づけたユーザ情報を記憶する第１の記憶部と、第１の記憶部に記憶される固有の情報とユーザ特定情報とを用いて所定の規則に基づきユーザ毎にコードを生成する生成部と、第１の記憶部に記憶されているユーザ情報が備える第１のユーザのユーザ特定情報を含むビジネス文書情報を記憶する第２の記憶部と、第１の記憶部にユーザ情報が記憶されている第２のユーザからのビジネス文書情報へのアクセス要求を受け付けると、第１のユーザの第１のコードと、第２のユーザの第２のコードが一致するか否かを判断し、第１のコードと第２のコードとが一致する場合、第２の記憶部に記憶されている第１のユーザが作成したビジネス文書情報へのアクセス権限を前記第２のユーザに付与する処理部と、を備える情報処理装置が知られている。

国際公開第２０１５／０４９９４８号

　個人情報や、営業秘密等、第三者に知られたくないデータ（以下、秘密データと言う）を管理することを考える。
　例えば、ある診療所が健康診断を行い、検査会社に血液検査や尿検査の検査を依頼する場合を考える。

　検査会社は、個人情報の漏洩のリスクを軽減するために、検査が完了して診療所に検査結果を示す秘密データを報告した後には、秘密データを破棄したいという要求がある。このため、一定期間を過ぎると秘密データを破棄することが考えられる。

　ところが人力で秘密データを破棄する場合、秘密データの破棄を忘れて機密文書が漏洩したり、本来破棄してはいけないデータを誤って破棄してしまったりする恐れがある。
　１つの側面では、本発明は、秘密データの管理を容易にすることを目的とする。

　上記目的を達成するために、開示の情報処理装置が提供される。この情報処理装置は、端末装置から特定の受取人に向けて送信されたビジネス文書データをネットワークを通じて受信すると、受信した前記ビジネス文書データを、受取人の識別情報と、ビジネス文書データの発行者の識別情報とを関連づけて記憶する第１の記憶部と、ビジネス文書データに含まれるデータの少なくとも一部に受取人がアクセスできないようにする条件を記憶する第２の記憶部と、第２の記憶部に設定された条件を発行者または受取人が実行すると、ビジネス文書データに含まれるデータの少なくとも一部を受取人がアクセスできないようにする処理部と、を有する。

　１態様では、秘密データの管理を容易にすることができる。

実施の形態の情報管理システムを示す図である。ログイン後の端末装置に表示される画面の一例を説明する図である。端末装置に表示される画面の一例を説明する図である。実施の形態の情報管理装置のハードウェア構成を示す図である。実施の形態の情報管理装置の機能を示すブロック図である。基本データの一例を説明する図である。本文データの一例を説明する図である。添付データの一例を説明する図である。消去データの一例を説明する図である。概要表示部に表示される情報を説明する図である。端末装置に表示される画面の他の例を説明する図である。概要表示部に表示される情報を説明する図である。データ消去部の処理を説明する図である。データ消去部の処理を説明する図である。診療所の担当者が閲覧する管理画面を説明する図である。秘密データ作成時の処理を説明するフローチャートである。消去データを管理する処理を説明するフローチャートである。データ消去時の処理を説明するフローチャートである。変形例の診療所の担当者が閲覧する管理画面を説明する図である。社外連絡データの一例を示す図である。社外連絡一覧の一例を示す図である。社外連絡一覧の一例を示す図である。

　以下、実施の形態の情報管理システムを、図面を参照して詳細に説明する。
　＜実施の形態＞
　図１は、実施の形態の情報管理システムを示す図である。
　実施の形態の情報管理システム１０は、情報管理装置１が、インターネットや専用線等のネットワークを介して端末装置２ａ、２ｂ、２ｃに接続されている。

　以下の説明では、会社２０と、会社２０に所属する社員の健康診断を行う診療所３０と、血液検査会社４０との間で情報をやりとりする例を説明する。血液検査会社４０は、診療所３０にて社員が健康診断の一項目として採血を行い、得られた血液の検査を行う。

　端末装置２ａは、会社２０に配置されている装置である。端末装置２ｂは診療所３０に配置されている装置である。端末装置２ｃは血液検査会社４０に配置されている装置である。
　端末装置２ａ、２ｂ、２ｃとしては、例えばデスクトップＰＣ、ノートＰＣ、タブレット端末、スマートフォン等が挙げられる。

　情報管理装置１と、端末装置２ａ、２ｂ、２ｃはＷｅｂプログラムを実装している。端末装置２ａ、２ｂ、２ｃは、主にビジネスに関する文書データ（以下、ビジネス文書データ）を情報管理装置１とやりとりする。
　このビジネス文書データとしては、送付状、依頼書、見積書、発注書、請求書等が挙げられる。
　以下、情報管理システム１０を会社２０、診療所３０、および血液検査会社４０の各担当者が利用するものとして説明する。

　会社２０、診療所３０、および血液検査会社４０の各担当者は、それぞれ自己に割り当てられたＥｍａｉｌアドレス等を用いて情報管理装置１にユーザ登録を行うことにより、情報管理装置１が構築する情報処理システムにアクセスする環境を整える。

　その後、例えば診療所３０の担当者が端末装置２ｂを操作することにより、情報管理装置１が端末装置２ｂに接続されたモニタにログイン画面を表示させる。担当者はログイン画面にメールアドレスおよびパスワードを入力することにより、情報管理装置１が提供するサービスにログインすることができる。なお、メールアドレスは、担当者を識別する識別情報の一例である。担当者を識別する他の例としては、整脈認証や指紋による認証等が挙げられる。

　端末装置２ａ、２ｂ、２ｃは、ログイン後に、担当者間の処理を、情報管理装置１を介して実行することができる。処理の種別としては、例えば、ビジネス文書データの作成、送受信、閲覧、編集等が挙げられる。
　図２は、ログイン後の端末装置に表示される画面の一例を説明する図である。
　図２に示す初期画面１１０は、診療所３０の担当者がシステムにログインした後に端末装置２ｂに表示される画面の一例である。

　初期画面１１０には、作成対象の書類（送付状、依頼書、見積書、発注書、請求書）を選択するチェックボックス１１１～１１５と開始ボタン１１６とが表示されている。なお、作成対象の書類の種別は図２に示すものに限定されないことは言うまでもない。

　担当者が初期画面１１０に表示されているチェックボックスを選択し、開始ボタン１１６を押下すると、選択したチェックボックスに応じた書類を作成するための画面（管理画面）が端末装置２ｂに表示される。
　図３は、端末装置に表示される画面の一例を説明する図である。
　図３に示す管理画面１２０は、担当者がチェックボックス１１４（発注書）を選択したときに端末装置２ｂに表示される画面の一例である。
　管理画面１２０の詳細については、後に詳述する。ここでは簡単な説明を行う。

　図３に示すように、担当者は、文書表示部１２４にてメールソフトウェアのような感覚で発注書データの作成、発行、閲覧、編集等をすることができる。また、担当者は情報入力部１３２や、添付ファイルボタン１２６を選択することにて添付ファイルを添付することができる。

　例えば、診療所３０の担当者が血液検査会社４０に血液検査を依頼する際には、診療所３０の担当者は、端末装置２ｂを操作することにより、ログイン後に表示される管理画面にて送信先を血液検査会社４０とする依頼書を作成する。そして、作成した依頼書の送付先に血液検査会社４０の担当者（受取人）のメールアドレス（bbb@xxmail.co.jp）を指定した依頼書データを送信する。送信された依頼書データは、情報管理装置１が保管する。

　すなわち、端末装置２ａ、２ｂ、２ｃ間でデータを直接やりとりするのではなく、端末装置２ａ、２ｂ、２ｃで作成され、依頼先に送信された全てのデータは情報管理装置１が保管し共有データのような取扱いとなる。そして、情報管理装置１は、必要に応じてデータの閲覧、編集権限を端末装置２ａ、２ｂ、２ｃに与える。なお、後述するが、情報管理装置１は、クラウドコンピューティングにより、インターネット経由でこれらのデータを管理するようにしてもよい。

　このように、電子上でデータの原本そのもの電子化し、処理することができる。従って、紙やＰＤＦや他の記憶媒体によるデータの管理や保管の手間を省くことができる。

　なお、前述したように、端末装置２ａ、２ｂ、２ｃ間でデータを直接やりとりするのではないが、以下の説明では、説明を分かり易くするために、例えば診療所３０の担当者から血液検査会社４０の担当者のメールアドレスを宛先とする依頼書データが送信された場合、一般的なデータのやりとりと同じく、「担当者が依頼書データを受信する」という表現を用いる場合がある。
　なお、情報管理装置１と各端末装置２ａ、２ｂ、２ｃとのデータのやりとりは暗号化されるのが好ましい。
　再び図１に戻って説明する。
　ところで、ビジネス文書データには、第三者に公開されてよいデータと、データ作成者が第三者への公開を希望しないデータ（秘密データ）がある。

　秘密データとしては特に限定されないが、一例としては、見積書、受発注書、請求書等、金額に関するものや、会社２０の社員が行った血液検査に関する血液検査結果のデータ（血液検査結果データ）や、電子カルテ、処方箋等、人間の個人情報に関するもの等が挙げられる。
　本実施の形態では、血液検査会社４０の担当者は、ビジネス文書データに消去対象データを設定して秘密データを作成することができる。

　具体的には、血液検査会社４０の担当者は、血液分析結果データを添付し、診療所３０の担当者（受取人）のメールアドレス（aaa@○○mail.com）を指定した検査結果データ（秘密データ）を送信する。このとき、血液検査会社４０の担当者は、ある実行条件を満たすと、診療所３０の担当者が検査結果データにアクセスできなくなる条件を設定する。

　情報管理装置１は、検査結果データを、診療所３０の担当者のメールアドレスと、検査結果データを発行した血液検査会社４０の担当者のメールアドレスとを関連づけて記憶する。

　そして、血液検査会社４０の担当者が予め設定した実行条件を、血液検査会社４０の担当者または診療所３０の担当者が実行すると、血液検査データに含まれるデータの少なくとも一部を診療所３０の担当者がアクセスできないようにする処理を実行する。
　以下、開示の情報管理システムをより具体的に説明する。
　図４は、実施の形態の情報管理装置のハードウェア構成を示す図である。

　情報管理装置１は、ＣＰＵ（Central Processing Unit）１０１によって装置全体が制御されている。ＣＰＵ１０１には、バス１０８を介してＲＡＭ（Random Access Memory）１０２と複数の周辺機器が接続されている。

　ＲＡＭ１０２は、情報管理装置１の主記憶装置として使用される。ＲＡＭ１０２には、ＣＰＵ１０１に実行させるＯＳ（Operating System）のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、ＲＡＭ１０２には、ＣＰＵ１０１による処理に使用する各種データが格納される。

　バス１０８には、ハードディスクドライブ（ＨＤＤ:Hard Disk Drive）１０３、グラフィック処理装置１０４、入力インタフェース１０５、ドライブ装置１０６、および通信インタフェース１０７が接続されている。

　ハードディスクドライブ１０３は、内蔵したディスクに対して、磁気的にデータの書き込みおよび読み出しを行う。ハードディスクドライブ１０３は、情報管理装置１の二次記憶装置として使用される。ハードディスクドライブ１０３には、ＯＳのプログラム、アプリケーションプログラム、および各種データが格納される。なお、二次記憶装置としては、フラッシュメモリ等の半導体記憶装置を使用することもできる。

　グラフィック処理装置１０４には、モニタ１０４ａが接続されている。グラフィック処理装置１０４は、ＣＰＵ１０１からの命令に従って、画像をモニタ１０４ａの画面に表示させる。モニタ１０４ａとしては、ＣＲＴ（Cathode Ray Tube）を用いた表示装置や、液晶表示装置等が挙げられる。

　入力インタフェース１０５には、キーボード１０５ａとマウス１０５ｂとが接続されている。入力インタフェース１０５は、キーボード１０５ａやマウス１０５ｂから送られてくる信号をＣＰＵ１０１に送信する。なお、マウス１０５ｂは、ポインティングデバイスの一例であり、他のポインティングデバイスを使用することもできる。他のポインティングデバイスとしては、例えばタッチパネル、タブレット、タッチパッド、トラックボール等が挙げられる。

　ドライブ装置１０６は、例えば、光の反射によって読み取り可能なようにデータが記録された光ディスクや、ＵＳＢ（Universal Serial Bus）メモリ等の持ち運び可能な記録媒体に記録されたデータの読み取りを行う。例えば、ドライブ装置１０６が光学ドライブ装置である場合、レーザ光等を利用して、光ディスク２００に記録されたデータの読み取りを行う。光ディスク２００には、Ｂｌｕ－ｒａｙ（登録商標）、ＤＶＤ（Digital Versatile Disc）、ＤＶＤ－ＲＡＭ、ＣＤ－ＲＯＭ（Compact Disc Read Only Memory）、ＣＤ－Ｒ（Recordable）／ＲＷ（ReWritable）等が挙げられる。

　通信インタフェース１０７は、ネットワーク５０に接続されている。通信インタフェース１０７は、ネットワーク５０を介して、他のコンピュータまたは通信機器との間でデータを送受信する。

　以上のようなハードウェア構成によって、本実施の形態の処理機能を実現することができる。なお、図４には情報管理装置１のハードウェア構成を示したが、端末装置２ａ等、他のコンピュータも同様のハードウェア構成で実現することができる。
　図４に示すようなハードウェア構成の情報管理装置１内には、以下のような機能が設けられる。
　図５は、実施の形態の情報管理装置の機能を示すブロック図である。
　情報管理装置１は、データ処理部１１と、管理データ記憶部１２と、本文データ記憶部１３と、添付データ記憶部１４と、データ消去部１５とを有している。

　データ処理部１１は、担当者の操作に応じて図２に示す初期画面１１０や図３に示す管理画面１２０を端末装置２ｂ等に表示する。データ処理部１１は、管理画面１２０を介して行われるビジネス文書データのやり取りに応じた処理を実行する。例えば、データ処理部１１は、情報管理装置１が受信したビジネス文書データのうち、担当者に関するデータ等を管理データ記憶部１２に記憶させる。
　管理データ記憶部１２には、情報管理装置１が受信したビジネス文書データを管理するためのデータ（以下、管理用データと言う）が記憶される。

　管理用データとしては、担当者やデータ送受信のステータス等に関する基本データ、発注書や送付状の内容に関する本文データ、添付ファイルに関する添付データ、本文データや添付データを消去する際に使用する消去データがある。以下、例示する。
　図６は、基本データの一例を説明する図である。
　本実施の形態では基本データがテーブル化されて記憶されている。

　基本データ管理テーブルＴ１には、管理ＩＤ、データ種別、送受信、送受信日時、担当者ステータス、相手ステータス、担当者アドレス、担当者名、相手アドレス、および消去対象データの欄が設けられている。横方向に並べられた情報同士が互いに関連づけられている。

　管理ＩＤの欄には、基本データを管理するための基本データ固有のＩＤが記憶されている。この管理ＩＤは、情報管理装置１がビジネス文書データを受信した時点で、データ処理部１１が受信したビジネス文書データに割り振る。

　送受信の欄には、当該担当者から見て当該ビジネス文書データが、受信したデータなのか送信したデータなのかを示す区分が設定される。具体的には、受信したデータであれば「受信」、送信したデータであれば「送信」が設定される。
　送受信日時の欄には、当該ビジネス文書データを送受信した日時のうち、最新の日時が格納される。
　担当者ステータスの欄には、当該担当者から見たビジネス文書データのステータス（処理に関する進捗）が設定される。
　相手ステータスの欄には、当該ビジネス文書データのやり取りをする相手の担当者から見た秘密データのステータスが設定される。

　担当者ステータスの欄および相手ステータスの欄に設定されるステータスには、「未開封」、「返送中」、「確認済」、「支払済」、「保管箱」、「送信済」、「返送戻り」、がある。各ステータスの内容については、後に詳述する。
　担当者アドレスの欄には、当該担当者のメールアドレスが格納される。
　担当者名の欄には、当該担当者の所属および名前が格納される。
　相手アドレスの欄には、当該ビジネス文書データのやり取りをする相手の担当者のメールアドレスが格納される。
　消去対象データの欄には、当該ビジネス文書データに消去対象データが設定されているか否かを示す情報が設定される。

　なお、基本データ管理テーブルＴ１に記憶される情報としては、図示した情報以外にも、当該担当者の会社名、当該ビジネス文書データのやり取りをする相手の担当者の会社名、各会社の郵便番号、住所、所属等が含まれる。

　なお、本実施の形態では、全てのビジネス文書データを１つの基本データ管理テーブルＴ１で管理するようにした。しかし、これに限らず、データ種別毎にテーブルを複数設けてもよい。
　図７は、本文データの一例を説明する図である。
　本実施の形態では本文データがテーブル化されて記憶されている。
　本文データ管理テーブルＴ２には、管理ＩＤ、時間、および本文データの欄が設けられている。横方向に並べられた情報同士が互いに関連づけられている。
　管理ＩＤの欄には、ビジネス文書データ（本文データが関連づけられたビジネス文書データ）の管理ＩＤが格納されている。
　時間の欄には、本文データの作成日時（具体的には後述する送信ボタンが選択されたときの日時）が格納されている。
　本文データの欄には本文データの名前が格納されている。本文データが分散されたデータの集合体であれば、これらの分散されたデータの名前が格納される。
　図８は、添付データの一例を説明する図である。
　本実施の形態では添付データがテーブル化されて記憶されている。
　添付データ管理テーブルＴ３には、ＩＤ、時間、および添付データの欄が設けられている。横方向に並べられた情報同士が互いに関連づけられている。

　管理ＩＤの欄には、添付データを添付した際に画面に表示されていたビジネス文書データの管理ＩＤが格納されている。なお、添付データとしては、画像、メディア、ドキュメント、連絡先等が挙げられる。
　時間の欄には、添付データの添付日時が格納されている。
　添付データの欄には添付データの名前が格納されている。
　図９は、消去データの一例を説明する図である。
　本実施の形態では消去データがテーブル化されて記憶されている。

　消去データ管理テーブルＴ４には、管理ＩＤ、データ種別、消去対象、消去条件、消去時期および消去予定時刻の欄が設けられている。横方向に並べられた情報同士が互いに関連づけられている。
　データ種別の欄には、消去対象のデータを含むビジネス文書データの種別が設定される。
　消去対象の欄には、消去対象のデータを識別する名称（図１０では添付データのデータ名）が設定される。
　消去条件の欄には、担当者が設定した消去条件が設定される。
　消去時期の欄には、担当者が設定した消去条件が満たされたときの消去対象のデータを消去する時期が設定される。
　消去予定時刻の欄には、消去対象の欄に設定された消去対象のデータを消去する時刻が設定される。
　再び図５に戻って説明する。
　本文データ記憶部１３には、本文データが記憶される。
　添付データ記憶部１４には、添付データが記憶される。
　データ消去部１５は、消去条件を満たした消去対象のデータを、所定期間経過後に情報管理装置１内から削除する処理を実行する。

　例えば、データ消去部１５は、血液検査会社４０の担当者が診療所３０の担当者宛に送付した血液検査結果データ（添付データ）を、３ヶ月経過後に添付データ記憶部１４から削除する。これにより、血液検査会社４０は、３ヶ月経過後には、情報管理装置１からの血液検査結果データの漏洩を抑制することができる。
　次に、管理画面１２０を説明する。
　＜管理画面＞
　データ処理部１１は、担当者の選択操作に応じて図３に示す管理画面１２０を端末装置２ａ等に表示する。

　図３に示すように、管理画面１２０には、利用者情報表示部１２１、ステータス表示部１２２、概要表示部１２３、文書表示部１２４、社外連絡ボタン１２５、添付ファイルボタン１２６、履歴ボタン１２７、メモボタン１２８、社外連絡一覧表示ボタン１２９、メモ一覧表示ボタン１３０、情報表示部１３１、および情報入力部１３２が表示されている。

　利用者情報表示部１２１には、情報管理システムにログインしている担当者に関する情報（利用者情報）が表示される。図３では一例として担当者が所属する会社名、部署名、名字、および担当者のメールアドレスが表示されている。
　ステータス表示部１２２には、情報管理システムにログインしている担当者が取り扱うビジネス文書データの数がステータス毎に表示される。
　大きく分けて、ステータス表示部１２２には受信ＢＯＸ、下書き、送信ＢＯＸおよび送受信ＢＯＸの欄が設けられている。
　データ処理部１１は、担当者のメールアドレスを宛先とするビジネス文書データを受信ＢＯＸに割り振る。

　担当者が受信ＢＯＸを選択すると、データ処理部１１は、基本データ管理テーブルＴ１を参照する。そして、担当者アドレスが「bbb@xxmail.co.jp」に一致するビジネス文書データのうち、データ種別が「発注書」、送受信の欄が「受信」のビジネス文書データの概要を概要表示部１２３に表示する。

　図３に示すように、受信ＢＯＸに割り振られたビジネス文書データのステータスの内訳は、「未開封」、「返送中」、「先方破棄」、「確認済」、「保管箱」がある。

　「未開封」のステータスは、受信ＢＯＸに割り振られたビジネス文書データのうち、担当者が未確認のビジネス文書データに対してデータ処理部１１が割り振るステータスである。

　「返送中」のステータスは、受信ＢＯＸに割り振られたビジネス文書データのうち、担当者が送信元の担当者に返送したビジネス文書データに対してデータ処理部１１が割り振るステータスである。

　「先方破棄」のステータスは、受信ＢＯＸに割り振られたビジネス文書データのうち、受信したビジネス文書データを担当者が送信元の担当者に返送した後に、請求元の担当者が破棄したビジネス文書データに対してデータ処理部１１が割り振るステータスである。

　「確認済」のステータスは、受信ＢＯＸに割り振られたビジネス文書データのうち、担当者が閲覧し、確認ボタン（後述）を選択したビジネス文書データに対してデータ処理部１１が割り振るステータスである。

　「保管箱」のステータスは、ステータスが「確認済」のビジネス文書データのうち、担当者が任意のタイミングで保管箱に移したビジネス文書データに対してデータ処理部１１が割り振るステータスである。
　ステータス表示部１２２に表示される数字は、それぞれ、割り振られたステータスの数が表示されている。
　例えば、ステータス表示部１２２の未開封の欄には、受信したビジネス文書データのうち、担当者が未確認のビジネス文書データの数が表示される。
　なお、ステータス表示部１２２の保管箱の欄には、特に数字は表示されない。

　「未開封」、「返送中」、「先方破棄」、「確認済」、「保管箱」の各ＢＯＸに割り振られているビジネス文書データの内容を担当者が閲覧する場合には、ステータス表示部１２２の該当箇所を選択すればよい。

　例えば、担当者が受信ＢＯＸを選択すると、データ処理部１１は、基本データ管理テーブルＴ１を参照する。そして、データ処理部１１は、担当者アドレスが「bbb@xxmail.co.jp」に一致するビジネス文書データのうち、担当者ステータスが未開封のビジネス文書データの概要を、概要表示部１２３に表示する。
　データ処理部１１は、担当者が作成して保存したが、送信先の担当者に未送信のビジネス文書データを下書きに割り振る。
　データ処理部１１は、担当者が送信したビジネス文書データを送信ＢＯＸに割り振る。

　担当者が送信ＢＯＸを選択すると、データ処理部１１は、基本データ管理テーブルＴ１を参照する。そして、担当者アドレスが「bbb@xxmail.co.jp」に一致するビジネス文書データのうち、送受信の欄が「送信」のビジネス文書データの概要を概要表示部１２３に表示する。
　図３に示すように、送信ＢＯＸに割り振られたビジネス文書データのステータスの内訳には、「送信済」、「返送戻り」、「破棄済」、「保管箱」がある。

　「送信済」のステータスは、送信ＢＯＸに割り振られたビジネス文書データのうち、請求先の担当者に送信済のビジネス文書データに対してデータ処理部１１が割り振るステータスである。

　「返送戻り」のステータスは、送信ＢＯＸに割り振られたビジネス文書データのうち、送信先の担当者から戻ってきたビジネス文書データに対してデータ処理部１１が割り振るステータスである。担当者は、送信先から戻ってきたビジネス文書データについての処理が可能となる。

　「破棄済」のステータスは、送信先の担当者から戻ってきたビジネス文書データのうち、送信元の担当者が破棄したビジネス文書データに対してデータ処理部１１が割り振るステータスである。

　「保管箱」のステータスは、ステータスが「送信済」のビジネス文書データのうち、担当者が任意のタイミングで保管箱に移したビジネス文書データに対してデータ処理部１１が割り振るステータスである。
　ステータス表示部１２２の保管箱の欄には、特に数字は表示されない。
　「送信済」、「返送戻り」、「破棄済」、「保管箱」の各ＢＯＸに入っているビジネス文書データの内容を閲覧する場合には、その箇所を選択すればよい。

　概要表示部１２３には、前述したように、担当者がステータス表示部１２２にて選択したステータスに対応するビジネス文書データの概要が表示される。概要としては、受信したビジネス文書データであれば、送信元の会社名、件名、および送信側、受信側のステータスが表示される。
　これらのステータスは、ビジネス文書データを送受信した双方の担当者の管理画面上にそれぞれ同じものが表示される。
　図１０は、概要表示部に表示される情報を説明する図である。

　図１０では、送信先の担当者が閲覧する管理画面１２０の概要表示部１２３に表示されるビジネス文書データの概要１２３ａと、送信元の担当者が閲覧する管理画面１２０の概要表示部１２３に表示される概要１２３ｂとを図示している。

　すなわち、図１０に示す送信元が株式会社ＡＢＣであり、件名が○○ｗｏｒｋのビジネス文書データＤ１については、送信元の担当者が操作する端末装置の管理画面上ではステータス表示部の「送信済」に入っている。送信元の担当者がステータス表示部の「送信済」を選択した際には、ビジネス文書データＤ１について、送信先が□□株式会社、件名が○○ｗｏｒｋ、送信元の担当者のステータスが「送信済」、送信先の担当者のステータスが「未開封」である旨が概要表示部１２３に表示される。

　また、ステータスの遷移を確認することにより、送信元の担当者は容易に送信先の担当者の処理の進捗を確認することができる。このため、双方の担当者が、ビジネス文書データについて今どのような状態にあるのかを、リアルタイムに確認することができる。
　再び図３に戻って説明する。

　概要表示部１２３に表示されたビジネス文書データの概要が担当者により選択されると、データ処理部１１は、ビジネス文書データの詳細を文書表示部１２４に表示する。文書表示部１２４に表示される文書の内容は、アドレス表示部１２４ａおよび後述する各種ボタンを供えること以外は、既存の（紙やＰＤＦベースの）文書と同じである。

　担当者が受信ＢＯＸに割り振られたビジネス文書データを閲覧する場合には、データ処理部１１は、送信元の担当者（ｆｒｏｍ）のメールアドレスをアドレス表示部１２４ａに表示する。

　また、担当者が下書きまたは送信ＢＯＸに割り振られたビジネス文書データを閲覧する場合には、データ処理部１１は、送信先の担当者（ｔｏ）のメールアドレスを表示する。
なお、データ処理部１１は、ビジネス文書データの管理ＩＤを文書表示部１２４に表示するようにしてもよい。
　担当者は、管理画面１２０上にて文書表示部１２４に表示されている文書の処理が可能である。
　具体的には、ビジネス文書データのステータスに応じて、文書を処理するためのボタンが文書表示部１２４に表示される。
　図３では、ステータスが「未開封」の秘密データを選択したときに表示されるボタンを示している。
　文書表示部１２４には、確認ボタン１２４ｂが設けられている。

　担当者により確認ボタン１２４ｂが選択されると、データ処理部１１は、基本データ管理テーブルＴ１を参照する。そして、文書表示部１２４に表示されているビジネス文書データの担当者ステータスを「確認済」に変更する。また、データ処理部１１は、ステータス表示部１２２の「未開封」の数字を１つ減らし、「確認済」の数字を１つ増やす。
　再び図３に戻って説明する。

　送受信ＢＯＸには、受信ＢＯＸおよび送信ＢＯＸに入っている全てのビジネス文書データのうち、破棄されたビジネス文書データと保管箱に割り振られたビジネス文書データと下書きに割り振られたビジネス文書データを除くデータが割り振られている。
　次に、管理画面１２０に表示されている各ボタンについて説明する。
　＜社外連絡ボタン＞

　担当者により社外連絡ボタン１２５が選択されると、データ処理部１１は、管理画面１２０を社外連絡入力モードに切り替える。この社外連絡入力モードでは、データ処理部１１は、情報入力部１３２に入力され、キーボードのエンターキーを押す等して確定された文書（テキストデータ）を、社外連絡として、当該担当者のメールアドレスおよび文書表示部１２４に表示されている秘密データに関連づけて情報管理装置１が備える社外連絡データ記憶部（図示せず）に記憶する。なお、社外連絡の表示方法は、当該出願人の他の特許出願に詳細に記載してあるため、詳細な説明を省略する。

　また、社外連絡入力モードでは、データ処理部１１は、文書表示部１２４に表示されているビジネス文書データに関し、これまで入力された社外連絡を時系列で確定日時とともに情報表示部１３１に表示する。

　情報表示部１３１には、ビジネス文書データの送信元、送信先双方の担当者自身が入力した社外連絡が表示される。このため、この社外連絡入力モードを用いることにより、双方の担当者は、チャットのようなやりとりが可能である。

　なお、担当者が文書表示部１２４に表示されている秘密データに関する他の処理（ダウンロード、ｐｄｆ化）が、その処理が実行された日時とともに情報表示部１３１に表示されるようになっていてもよい。これにより、双方の担当者の処理の履歴を把握することができる。
　＜添付ファイルボタン＞

　担当者により添付ファイルボタン１２６が選択されると、データ処理部１１は、管理画面１２０を添付ファイルモードに切り替える。この添付ファイルモードでは、データ処理部１１は、情報入力部１３２にドラッグ・アンド・ドロップされ、キーボードのエンターキーを押す等して確定された添付データを、当該担当者のメールアドレスおよび文書表示部１２４に表示されているビジネス文書データに関連づけて添付データ記憶部１４に記憶する。

　また、添付ファイルモードでは、データ処理部１１は、文書表示部１２４に表示されているビジネス文書データに関し、これまでに添付された添付ファイルに関する情報を時系列で情報表示部１３１に表示する。なお、添付ファイルに関する情報の表示方法は、当該出願人の先願に詳細に記載してあるため、詳細な説明を省略する。
　＜履歴ボタン＞

　担当者により履歴ボタン１２７が選択されると、データ処理部１１は、管理画面１２０を履歴表示モードに切り替える。具体的には、データ処理部１１は、文書表示部１２４に表示されているビジネス文書データのやりとりに関する履歴を時系列で情報表示部１３１に表示する。なお、履歴の表示方法は、当該出願人の先願に詳細に記載してあるため、詳細な説明を省略する。
　＜メモボタン＞

　担当者によりメモボタン１２８が選択されると、データ処理部１１は、管理画面１２０をメモ入力モードに切り替える。このメモ入力モードでは、データ処理部１１は、情報入力部１３２に入力され、キーボードのエンターキーを押す等して確定された文字や、ドラッグ・アンド・ドロップ等により情報入力部１３２に添付された添付データ等を、メモとして、当該担当者のメールアドレスおよび文書表示部１２４に表示されているビジネス文書データに関連づけて情報管理装置１が備えるメモデータ記憶部（図示せず）に記憶する。このメモは、メモを作成した者しか閲覧することができない。

　また、メモ入力モードでは、データ処理部１１は、メモデータ記憶部を参照し、文書表示部１２４に表示されているビジネス文書データに関し、これまで入力されたメモを時系列で情報表示部１３１に表示する。なお、メモの表示方法は、当該出願人の先願に詳細に記載してあるため、詳細な説明を省略する。
　＜社外連絡一覧表示ボタン＞

　担当者により社外連絡一覧表示ボタン１２９が選択されると、データ処理部１１は、社外連絡に関するデータが記憶されている社外連絡データ記憶部を参照し、当該担当者が担当する文書に関する社外連絡の一覧画面（社外連絡一覧画面）を時系列で管理画面１２０上に表示する。なお、社外連絡一覧の表示方法は、当該出願人の先願に詳細に記載してあるため、詳細な説明を省略する。
　＜メモ一覧表示ボタン＞

　担当者によりメモ一覧表示ボタン１３０が選択されると、データ処理部１１は、社外連絡に関するデータが記憶されているメモデータ記憶部を参照し、当該担当者が担当する文書に関するメモの一覧画面（メモ一覧画面）を時系列で管理画面１２０上に表示する。なお、メモ画面一覧の表示方法は、当該出願人の先願に詳細に記載してあるため、詳細な説明を省略する。
　次に、請求書データを処理するときの管理画面を説明する。
　図１１は、端末装置に表示される画面の他の例を説明する図である。
　図３に示す管理画面と異なる箇所を説明し、同様の箇所については詳細な説明を省略する。
　図１１に示すように、請求書データを処理するときの受信ＢＯＸに割り振られたステータスの内訳には、さらに「支払済」がある。

　「支払済」のステータスは、受信ＢＯＸに割り振られた請求書データのうち、担当者が入金を行い、文書表示部１２４に表示される支払ボタン（図示せず）を選択した請求書データに対してデータ処理部１１が割り振るステータスである。
　担当者は、支払済のステータスの請求書データを集計することで、入金明細を把握することができる。
　また、請求書データを処理するときの送信ＢＯＸに割り振られたステータスの内訳には、さらに、「入金済」がある。

　「入金済」のステータスは、送信ＢＯＸに割り振られた請求書データのうち、請求元の担当者が入金を確認し、文書表示部１２４に表示される入金ボタン（図示せず）を選択した請求書データに対してデータ処理部１１が割り振るステータスである。
　図１２は、請求書データのやりとりに関する概要表示部に表示される情報を説明する図である。
　図１２（ａ）に示す概要１２３ｃ、１１３ｄ、１１３ｅは、いずれも請求書データＤ２についての概要を示している。

　請求先の担当者が請求書データＤ２を閲覧し、文書表示部１２４に表示される確認ボタン１２４ｂを選択すると、データ処理部１１は、請求元の担当者が操作する端末装置の管理画面１２０の概要表示部１２３に表示される情報を概要１２３ｃから概要１２３ｄに（すなわち、「未開封」から「確認済」に）変更する。

　その後、請求先の担当者が請求書データＤ２の支払処理を行い、文書表示部１２４に表示される支払済ボタン（図示せず）を選択すると、データ処理部１１は、請求元の担当者が操作する端末装置の管理画面１２０の概要表示部１２３に表示される情報を概要１２３ｄから概要１２３ｅに変更する。
　また、他の例として、図１２（ｂ）に示す概要１２３ｆ、１１３ｇは、いずれも請求書データＤ３についての概要を示している。

　請求先の担当者が請求書データＤ３を閲覧し、文書表示部１２４に表示される返送ボタン（図示せず）を選択すると、データ処理部１１は、請求先の担当者が操作する端末装置の管理画面の概要表示部１２３に表示される情報を概要１２３ｆから概要１２３ｇに変更する。
　次に、秘密データの作成方法を、一例を用いて説明する。
　図１３および図１４は、データ消去部の処理を説明する図である。

　図１３に示す管理画面１２０の文書表示部１２４には、消去対象項目タブ１２４ｃと、消去時期項目タブ１２４ｄと、消去条件項目タブ１２４ｅとが設けられている。
　血液検査会社４０の担当者は、これらのタブを選択することで、ビジネス文書データに消去対象データを設定して秘密データを作成することができる。

　具体的には、血液検査会社４０の担当者は、消去対象項目タブ１２４ｃを選択することで、ビジネス文書データの、どのデータを消去対象のデータ（消去対象データ）とするのかを選択することができる。具体的には、血液検査会社４０の担当者は、本文データ（図１５では、送付状データ本文）の削除、本文データおよび添付データの削除、添付データのみの削除を選択することができる。なお、添付データが複数存在する場合は、個々の添付データ単位で削除を選択することができる。

　また、血液検査会社４０の担当者は、消去時期項目タブ１２４ｄを選択することで、選択した消去対象項目をいつ消去するのかを選択することができる。なお、消去時期については、データ単位で選択できるようにしてもよい。例えば、添付データは、トリガーから１ヶ月後に消去し、本文データはトリガーから２ヶ月後に消去する、等であってもよい。

　また、本文データの中の一部をトリガーから１ヶ月後に消去し、本文データの他の部位をトリガーから２ヶ月後に消去する、等の設定ができるようになっていてもよい。

　また、図１４に示すように、血液検査会社４０の担当者は、消去条件項目タブ１２４ｅを選択することで、消去対象データの消去予定時刻を、どのような実行条件（トリガー）で設定するのかを選択することができる。具体的には、血液検査会社４０の担当者は、後述する送信ボタン選択後から消去予定時期だけ経過した後に消去対象データを消去することを選択することができる。また、他の例では、血液検査会社４０の担当者は、送信相手の担当者が消去対象データを含むビジネス文書データを閲覧して文書表示部１２４に表示される確認ボタン１２４ｂを選択し、データ処理部１１が、基本データ管理テーブルＴ１の相手ステータスを「未開封」から「確認済」に変更したときから消去予定時期だけ経過した後に消去対象データを消去することを選択することができる。

　さらに他の例では、データ消去部１５が当該ビジネス文書データに添付された添付ファイルのダウンロードを確認したときから消去予定時期だけ経過した後に消去対象データを消去することを選択することができる。また、送信先の担当者が情報管理システムにログインしたときや、送信先の担当者が新たなビジネス文書データを受信したとき等、任意のタイミングで消去対象データを消去することを選択することができる。

　なお、添付データが複数存在する場合は、個々の添付データ単位で消去時期や、消去条件を選択することができる。また、１つの本文データに添付される添付データが複数存在する場合は、１つの添付データだけ消去対象とし、他の添付データは消去対象としないこともできる。

　血液検査会社４０の担当者は、消去対象、消去時期、および消去条件を選択後、送信ボタン１２４ｆを選択する。これにより、データ処理部１１は、消去データ管理テーブルＴ４に選択された情報に基づき新たなレコードを設定する。

　なお、本実施の形態では消去対象、消去時期、および消去条件をプルダウン形式で選択するようにしたが、キーボードを介した手入力により決定することもできる。

　本実施の形態では、診療所３０の担当者が当該送付状を開封してから１ヶ月後に、当該送付状データに添付した血液検査結果データを消去するよう血液検査会社４０の担当者が各項目タブを選択したものとして説明する。
　図１５は、診療所の担当者が閲覧する管理画面を説明する図である。

　血液検査会社４０の担当者により送信ボタン１２４ｆが選択されると、診療所３０の担当者が閲覧可能な管理画面１２０のステータス表示部１２２の「未開封」のステータスを選択することで、当該送付状データが閲覧可能な状態になる。

　データ処理部１１は、基本データ管理テーブルＴ１の相手ステータスを監視する。そして、診療所３０の担当者により確認ボタン１２４ｂが選択されると、データ処理部１１は、当該送付状データのステータスを「確認済」に変更したことをトリガーにして消去データ管理テーブルＴ４の該当するレコードの消去予定時刻の欄に消去予定時刻を設定する。
　データ消去部１５は、消去データ管理テーブルＴ４を監視し、消去予定時刻が来ると、消去対象データを消去する。
　次に、秘密データ作成時の処理を、フローチャートを用いて説明する。
　図１６は、秘密データ作成時の処理を説明するフローチャートである。
　［ステップＳ１］　データ処理部１１は、送信ボタン１２４ｆの選択を受け付けるとステップＳ２に遷移する。

　［ステップＳ２］　データ処理部１１は、基本データ管理テーブルＴ１を更新する。具体的には、データ処理部１１は、新たに作成されたビジネス文書データに管理ＩＤを設定し、送受信の欄を「送信」、送受信日時の欄を送信ボタンの選択を受け付けたときの日時、担当者ステータスを「送信済」、相手ステータスを「未開封」とする基本データを基本データ管理テーブルＴ１に追加する。また、データ処理部１１は、消去対象データの有無を基本データに追加する。その後、ステップＳ３に遷移する。

　［ステップＳ３］　データ処理部１１は、作成されたビジネス文書データに消去対象データが設定されたか否かを判断する。消去対象データが設定された場合（ステップＳ３のＹｅｓ）、ステップＳ４に遷移する。消去対象データが設定されていない場合（ステップＳ３のＮｏ）、図１６の処理を終了する。

　［ステップＳ４］　データ処理部１１は、消去データ管理テーブルＴ４を更新する。具体的には、データ処理部１１は、新たに作成された秘密データに関する管理ＩＤ、データ種別、消去対象を設定したレコードを、消去データ管理テーブルＴ４に追加する。消去条件が、「送信ボタン選択後」の場合は、消去予定時刻を設定する。消去条件が「相手が確認後」の場合は、消去予定時刻は空欄である。その後、図１６の処理を終了する。

　データ処理部１１は、送信ボタン１２４ｆが選択されたり、確認ボタン１２４ｂが選択されたりする等、消去条件となり得るアクションが実行されたときに、以下に示す処理を実行する。
　図１７は、消去データを管理する処理を説明するフローチャートである。

　［ステップＳ１１］　データ処理部１１は、消去データ管理テーブルＴ４を参照する。そして、消去予定時刻の欄が空欄（未設定）のレコードが存在するか否かを判断する。消去予定時刻の欄が空欄（未設定）のレコードが存在する場合（ステップＳ１１のＹｅｓ）、ステップＳ１２に遷移する。消去予定時刻の欄が空欄（未設定）のレコードが存在しない場合（ステップＳ１１のＮｏ）、図１７の処理を終了する。

　［ステップＳ１２］　データ処理部１１は、実行されたアクションが、消去データ管理テーブルＴ４の消去条件に一致するか否かを判断する。実行されたアクションが、消去データ管理テーブルＴ４の消去条件に一致する場合（ステップＳ１２のＹｅｓ）、ステップＳ１３に遷移する。実行されたアクションが、消去データ管理テーブルＴ４の消去条件に一致しない場合（ステップＳ１２のＮｏ）、図１７の処理を終了する。

　［ステップＳ１３］　データ処理部１１は、消去時期の欄を参照し、当該レコードの消去予定時刻の欄に、消去予定時刻を設定する。例えば、消去条件を満たした日時が２０１７年２月２１日１４時４０分４６秒であり、消去時期が１ヶ月後である場合、消去予定時刻の欄には、２０１７年３月２１日１４時４０分４６秒を設定する。その後、図１７の処理を終了する。
　次に、データ消去時の処理を、フローチャートを用いて説明する。
　図１８は、データ消去時の処理を説明するフローチャートである。

　［ステップＳ２１］　データ消去部１５は、消去データ管理テーブルＴ４を参照し、消去予定時刻のレコードが存在するか否かを判断する。消去予定時刻のレコードが存在する場合（ステップＳ２１のＹｅｓ）、ステップＳ２２に遷移する。消去予定時刻のレコードが存在しない場合（ステップＳ２１のＮｏ）、ステップＳ２１に遷移し、ステップＳ２１の処理を繰り返し実行する。

　［ステップＳ２２］　データ消去部１５は、消去データ管理テーブルＴ４の当該消去予定時刻のレコードの消去対象の欄を参照する。消去対象データの種別が添付データである場合（ステップＳ２２の添付）、ステップＳ２３に遷移する。消去対象データの種別が全データである場合（ステップＳ２２の本文および添付）、ステップＳ２４に遷移する。消去対象データの種別が本文データである場合（ステップＳ２２の本文）、ステップＳ２５に遷移する。

　［ステップＳ２３］　データ消去部１５は、添付データ管理テーブルＴ３を参照する。そして、当該消去予定時刻のレコードの管理ＩＤに一致する管理ＩＤの添付データを特定し、特定した添付データを情報管理装置１から消去する。これにより、情報管理装置１にログイン可能な各担当者は、添付データにアクセスできなくなる。その後、図１８の処理を終了する。

　［ステップＳ２４］　データ消去部１５は、添付データ管理テーブルＴ３を参照する。そして、当該消去予定時刻のレコードの管理ＩＤに一致する管理ＩＤの添付データを特定し、特定した添付データを情報管理装置１から消去する。また、データ消去部１５は、本文データ管理テーブルＴ２を参照する。そして、当該消去予定時刻のレコードの管理ＩＤに一致する管理ＩＤの本文データを消去する。これにより、情報管理装置１にログイン可能な各担当者は、本文データおよび添付データにアクセスできなくなる。その後、図１８の処理を終了する。

　［ステップＳ２５］　データ消去部１５は、本文データ管理テーブルＴ２を参照する。そして、当該消去予定時刻のレコードの管理ＩＤに一致する管理ＩＤの本文データを特定し、特定した本文データを情報管理装置１から消去する。これにより、情報管理装置１にログイン可能な各担当者は、本文データにアクセスできなくなる。その後、図１８の処理を終了する。
　なお、アクセスできなくなったデータについては、所定のメッセージ「消去済データです」等を管理画面１２０に表示するようにしてもよい。

　以上述べたように、情報管理システム１０によれば、端末装置２ｃから診療所３０の担当者に向けて送信された秘密データをネットワーク５０を通じて受信すると、受信したビジネス文書データを、診療所３０の担当者のメールアドレスと、血液検査会社４０の担当者とを関連づけて記憶する基本データ管理テーブルＴ１と、ビジネス文書データに含まれるデータの少なくとも一部に診療所３０の担当者がアクセスできないようにする条件を記憶する消去データ管理テーブルＴ４と、血液検査会社４０の担当者が予め設定した実行条件を診療所３０の担当者が実行すると、ビジネス文書データに含まれるデータの少なくとも一部を診療所３０の担当者がアクセスできないようにする処理を実行するデータ処理部１１と、を備えるようにした。これにより、秘密データの管理を容易にすることができる。また、情報漏洩を抑制することができる。

　また、端末装置２ａ、２ｂ、２ｃ間で秘密データを直接やりとりするのではなく、端末装置２ａ、２ｂ、２ｃで作成され、請求先に送信された全ての秘密データは情報管理装置１が保管し共有データのような取扱いとなる。このため、請求先の担当者は、秘密データをプリントアウトすることで文書の原本を入手することができる。
　また、電子署名処理やタイムスタンプ処理等を施さなくてもよいので、例えば税務調査のために紙の文書をＰＤＦ化する等の手間を削減することができる。

　また、秘密データを送信した時点で基本データ管理テーブルＴ１に情報が記憶され、その後のやり取りのステータスは、この基本データ管理テーブルＴ１上で管理される。このため、担当者は、手入力により文書をデータシートにまとめ直す作業から開放される。

　なお、本実施の形態では、消去対象データを実際に消去する場合を説明した。しかし、これに限らず、情報管理装置１が実際にデータを消去せず保管したまま、担当者が消去対象データにアクセスできないようにしてもよい。情報管理装置１の管理者はデータを取り出すことができるようにすることで、消去対象データが世の中から完全に消去されてしまうというリスクを軽減することができる。

　また、本実施の形態では、担当者が、消去対象項目および消去対象時期を設定できる例を説明した。しかし、これに限らず、権限に応じて消去対象項目を制限するようにしてもよい。例えば、担当者は、添付データのみを消去できるが、本文データを消去できない。担当者の上長は、添付データと本文データの両方を消去できるようにしてもよい。

　また、本実施の形態では、本文の全てが消去される場合を説明した。しかし、これに限らず、本文の一部（例えば、請求書の金額だけ）等、消去対象のデータおよびその範囲は、任意に設定することができる。

　また、本実施の形態では、消去対象データとして、本文データと添付データを例示した。しかし、消去対象のデータは、これに限らず、担当者間でやりとりした社外連絡データや、担当者独自にメモをしておいたメモデータ等、種々のデータに適用することができる。

　また、本実施の形態では、本文データと添付データの消去を選択した場合、消去対象時期がきたときに両方のデータを同時に消去するようにした。しかし、これに限らず、消去対象データの消去時期をずらして消去するようにしてもよい。

　また、本実施の形態では、データ消去部１５は、一度消去条件を満たし消去予定時刻が設定された秘密データに対し、担当者からの要求に応じて消去時期を変更し（消去時期をカウントするタイマを一時停止し）、消去予定時刻を遅くする処理を実行するようにしても良い。
　また、秘密データを送信した担当者が、一旦設定した消去対象時刻を変更できるようにしてもよい。
　以下、変形例を説明する。
　＜変形例１＞

　本実施の形態では、消去対象データに関する消去対象、消去時期、および消去条件を送信側の担当者が決定するようにした。しかし、これに限らず、受信側の担当者が消去対象データに関する消去対象、消去時期、および消去条件を決定するようにしてもよい。

　また、送信側の担当者と受信側の担当者それぞれが消去予定時刻を設定した場合、双方の設定した、より短い時間が消去データ管理テーブルＴ４の消去予定時刻の欄に設定されるようにしても良い。以下、一例を用いて説明する。
　図１９は、変形例の診療所の担当者が閲覧する管理画面を説明する図である。

　変形例の管理画面１２０ではステータス表示部１２２に「強制消去」のステータスが設けられている。受信側の担当者が未開封のステータスが割り振られた秘密データの内容を確認した後に、強制消去のフォルダに当該秘密データを割り振ると、データ処理部１１は、当該消去対象データのステータスを「強制消去」に設定する。すると、データ消去部１５は、送信者が設定した消去時期に関わらず、ステータスが「強制消去」に設定された時点で消去対象データを消去する。または、予め設定された強制消去ステータス専用の設定時間に従い消去対象データを消去するようにしてもよい。
　また、社外連絡の文言に含まれるワードを拾って、消去時期を設定するようにしても良い。
　以下、他の変形例を説明する。
　＜変形例２＞
　変形例２では、社外連絡一覧を用いて消去対象データを消去する例を説明する。
　図２０は、社外連絡データの一例を説明する図である。
　本実施の形態では社外連絡データがテーブル化されて記憶されている。
　社外連絡データ管理テーブルＴ５には、管理ＩＤ、時間、および文言の欄が設けられている。横方向に並べられた情報同士が互いに関連づけられている。

　管理ＩＤの欄には、担当者が社外連絡データを作成した際に文書表示部１１４に表示されていたビジネス文書データ（社外連絡データに関連づけられたビジネス文書データ）の管理ＩＤが格納されている。
　連絡者アドレスの欄には、当該社外連絡データを作成した作成者のメールアドレスが格納されている。
　時間の欄には、社外連絡データの作成日時が格納されている。
　文言の欄には社外連絡の内容が格納されている。

　また、社外連絡入力モードでは、データ処理部１１は、文書表示部１２４に表示されている本文データに関し、社外連絡データ管理テーブルＴ５を参照し、これまで入力された社外連絡を時系列で作成日時とともに情報表示部１３１に表示する。

　情報表示部１３１には、ビジネス文書データの送信元、送信先双方の担当者自身が入力した社外連絡が表示される。このため、この社外連絡入力モードを用いることにより、双方の経理担当者は、チャットのようなやりとりが可能である。
　図２１および図２２は、社外連絡一覧の一例を示す図である。

　図２１に示すように、担当者Ｘがビジネス文書データαについて担当者Ｙとそれぞれ同日の１０時、１１時、１２時に社外連絡をやりとりし、担当者Ｘがビジネス文書データβについて担当者Ｚとそれぞれ同日の１０時３０分、１１時３０分、１２時３０分に社外連絡をやりとりしたものとする。

　この場合、担当者Ｘが操作している端末装置の管理画面１２０上には、図２１に示すような社外連絡一覧画面１２９ａが表示される。この社外連絡一覧画面１２９ａには、ビジネス文書データ単位ではなく時系列単位に他の担当者とやりとりした社外連絡の記録が表示される。

　この社外連絡一覧画面１２９ａは、検索入力部１２９ｂを備えている。担当者Ｘが検索ワードを入力し、エンターキーを押すこと（検索要求）により、データ処理部１１は、検索ワードに一致する文書を含む社外連絡を特定する。

　例えば図２２に示すように、担当者Ｘは、「ありがとう」を検索入力部１２９ｂに入力し、エンターキーを押すことにより、データ処理部１１は、１２：００の「ありがとうございました」と１２：３０の「ありがとうございます」を検索結果として表示する。担当者Ｘは、例えば、１２：００の「ありがとうございました」を選択し、クリックすることにより、データ処理部１１は、当該文言を含む社外連絡データに関連づけられたビジネス文書データαの内容を文書表示部１２４に表示する。
　これにより、社外連絡にて用いた用語に基づき担当者が探したいビジネス文書データを容易に見つけることができる。

　なお、担当者は、検索入力部１２９ｂに検索ワードを入力しなくとも、社外連絡一覧画面１２９ａに該当する文言が見つかれば、その文言を直接クリックするようにしてもよい。この動作によってもデータ処理部１１は、当該文言を含む社外連絡データに関連づけられたビジネス文書データの内容を文書表示部１２４に表示する。
　このような社外連絡方法を用いて、担当者は事後的に消去対象データの消去時刻を容易に変更することができる。

　例えば送信元の担当者が、「さきほど添付した血液検査結果を５時間後に捨てて下さい。理由は、担当者の名前を間違えたからです。」という社外連絡を送信先の担当者に送った場合、データ処理部１１は、当該社外連絡に含まれる「血液検査結果」、「５時間後」、「捨てて」のキーワードから、当該ビジネス文書データの消去予定時刻を変更するものと判断する。そして、データ処理部１１は、当該ビジネス文書データに関連づけられている管理ＩＤに基づき、消去対象データ（本実施の形態では血液検査結果．ｐｄｆ）を特定する。そして、データ処理部１１は、消去データ管理テーブルＴ４を参照し、特定した消去対象データの消去予定時刻を、社外連絡を受け取った時間から５時間後に設定（上書き）する。このように、送信元の担当者は、一旦消去時期を設定した消去対象データであっても事後的に消去時刻を容易に変更することができる。また、送信元の担当者は社外連絡を送るだけで消去対象データの消去時刻を変更することができる。

　なお、変形例２では、事後的に消去時刻を変更する例を説明した。しかし、これに限らず、例えば社外連絡に基づき、消去対象データにおける消去するデータの範囲を変更するようにしてもよい。
　なお、情報管理装置１が行った処理が、複数の装置によって分散処理されるようにしてもよい。

　また、本実施の形態では、情報管理装置１が秘密データ記憶部１３等各記憶部を備える構成としたが、これに限らず、各記憶部はクラウド化され、データ処理部１１と別個の場所に設けられていても良い。

　以上、本発明の情報処理装置、情報処理方法およびプログラムを、図示の実施の形態に基づいて説明したが、本発明はこれに限定されるものではなく、各部の構成は、同様の機能を有する任意の構成のものに置換することができる。また、本発明に、他の任意の構成物や工程が付加されていてもよい。

　なお、上記の処理機能は、コンピュータによって実現することができる。その場合、情報管理装置１、１ａが有する機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記憶装置、光ディスク、光磁気記録媒体、半導体メモリ等が挙げられる。磁気記憶装置には、ハードディスクドライブ、フレキシブルディスク（ＦＤ）、磁気テープ等が挙げられる。光ディスクには、ＤＶＤ、ＤＶＤ－ＲＡＭ、ＣＤ－ＲＯＭ／ＲＷ等が挙げられる。光磁気記録媒体には、ＭＯ（Magneto-Optical disk）等が挙げられる。

　プログラムを流通させる場合には、例えば、そのプログラムが記録されたＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。

　プログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、ネットワークを介して接続されたサーバコンピュータからプログラムが転送される毎に、逐次、受け取ったプログラムに従った処理を実行することもできる。

　また、上記の処理機能の少なくとも一部を、ＤＳＰ（Digital Signal Processor）、ＡＳＩＣ（Application Specific Integrated Circuit）、ＰＬＤ（Programmable Logic Device）等の電子回路で実現することもできる。

　１、１ａ　情報管理装置
　２ａ、２ｂ、２ｃ　端末装置
　１０　情報管理システム
　１１　データ処理部
　１２　管理データ記憶部
　１３　本文データ記憶部
　１４　添付データ記憶部
　１５　データ消去部
　Ｔ１　基本データ管理テーブル
　Ｔ２　本文データ管理テーブル
　Ｔ３　添付データ管理テーブル
　Ｔ４　消去データ管理テーブル
　Ｔ５　社外連絡データ管理テーブル

Claims

　端末装置から特定の受取人に向けて送信されたビジネス文書データをネットワークを通じて受信すると、受信した前記ビジネス文書データを、前記受取人の識別情報と、前記ビジネス文書データの発行者の識別情報とを関連づけて記憶する第１の記憶部と、
　前記ビジネス文書データに含まれるデータの少なくとも一部に前記受取人がアクセスできないようにする条件を記憶する第２の記憶部と、
　前記第２の記憶部に設定された条件を前記発行者または前記受取人が実行すると、前記ビジネス文書データに含まれるデータの少なくとも一部を前記受取人がアクセスできないようにする処理部と、
　を有することを特徴とする情報管理装置。
　前記実行条件にはアクセスできなくする時刻に関する情報が含まれ、前記処理部は、前記時刻に前記受取人がアクセスできないようにする処理を実行する請求項１に記載の情報管理装置。
　前記受取人および前記発行者それぞれが前記時刻を設定可能であり、前記処理部は、双方の設定した、より短い時間に前記受取人がアクセスできないようにする処理を実行する請求項２に記載の情報管理装置。
　前記受取人および前記発行者間でやりとりした文書の履歴に含まれる文言に基づき、前記処理部は、前記時刻を変更する処理を実行する請求項２に記載の情報管理装置。
　前記実行条件にはビジネス文書データのうちアクセスできなくする対象のデータに関する情報が含まれ、前記処理部は、前記対象のデータのみ受取人がアクセスできないようにする処理を実行する請求項１に記載の情報管理装置。
　端末装置から特定の受取人に向けて送信されたビジネス文書データをネットワークを通じて受信すると、受信した前記ビジネス文書データを、前記受取人の識別情報と、前記ビジネス文書データの発行者の識別情報とを関連づけて記憶する第１の記憶部を備えるコンピュータが、
　前記ビジネス文書データに含まれるデータの少なくとも一部に前記受取人がアクセスできないようにする条件を記憶する第２の記憶部に設定された条件を前記発行者または前記受取人が実行すると、前記ビジネス文書データに含まれるデータの少なくとも一部を前記受取人がアクセスできないようにする、
　ことを特徴とするデータ処理方法。
　端末装置から特定の受取人に向けて送信されたビジネス文書データをネットワークを通じて受信すると、受信した前記ビジネス文書データを、前記受取人の識別情報と、前記ビジネス文書データの発行者の識別情報とを関連づけて記憶する第１の記憶部を備えるコンピュータに、
　前記ビジネス文書データに含まれるデータの少なくとも一部に前記受取人がアクセスできないようにする条件を記憶する第２の記憶部に設定された条件を前記発行者または前記受取人が実行すると、前記ビジネス文書データに含まれるデータの少なくとも一部を前記受取人がアクセスできないようにする、
　処理を実行させることを特徴とするプログラム。