WO2022009337A1

WO2022009337A1 - 情報管理システム、並びに、それに用いられる情報端末、情報管理プログラム、及び、情報管理方法

Info

Publication number: WO2022009337A1
Application number: PCT/JP2020/026708
Authority: WO
Inventors: 豊保倉
Original assignee: 株式会社知財管理; グローバルフレンドシップ株式会社
Priority date: 2020-07-08
Filing date: 2020-07-08
Publication date: 2022-01-13
Also published as: JPWO2022009337A1

Abstract

複数の情報端末を用いて電子情報を管理する情報管理システムにおいて、運搬中に１つの情報端末が紛失等しても、情報漏洩のリスクを低減すると共に、元の電子情報を容易に入手できるようにする。情報端末は、他の情報端末と所定の距離内にあるときにデータ通信が可能なデータ通信回路と、所定の電子情報をＮ個の割符ファイルに分割する際に、少なくとも（Ｋ＋１）個の割符ファイルからは元の電子情報を復元できるように冗長性を持たせて分割するデータ分割部と（ＫはＮ／２の整数部分）、所定の（Ｍ－１）個の情報端末の各々に少なくとも１つの割符ファイルを送信して、当該情報端末を含むＭ個の情報端末にＮ個の割符ファイルを格納させるデータ管理部と、Ｎ個の割符ファイルの内の少なくとも（Ｋ＋１）個の割符ファイルが読み出されたときに、読み出された情報に基づいて元の電子情報を復元するデータ復元部とを含む。

Description

情報管理システム、並びに、それに用いられる情報端末、情報管理プログラム、及び、情報管理方法

　本発明は、複数の情報端末を用いて各種の電子情報を管理する情報管理システムに関する。また、本発明は、そのような情報管理システムにおいて用いられる情報端末、情報管理プログラム、及び、情報管理方法に関する。

　例えば、新型コロナウイルス等の感染症対策として、情報通信技術（Information and Communication Technology）を活用することにより、就業者が、勤務先のオフィスから離れた自宅やサテライトオフィス等において業務を行うテレワーク（又はリモートワーク）が推奨されている。テレワークを行う際には、就業者が、勤務先のオフィスに設置されたサーバー等に保管されている機密情報を情報端末にコピーして運搬する場合がある。

　また、銀行の外交員等も、商談で顧客先に訪問する際に、銀行のサーバー等に保管されている機密情報を情報端末にコピーして運搬する場合がある。あるいは、情報端末自体に機密情報が格納されていなくても、就業者又は外交員が、情報端末からサーバー等にアクセスすることにより、サーバー等に保管されている機密情報を読み出す場合もある。

　しかしながら、そのような情報端末が運搬中に紛失したり又は盗難に遭遇した場合には、移動先において必要な機密情報にアクセスできなくなってしまうし、機密情報が外部に漏洩してしまうおそれがある。たとえ機密情報が暗号化されていたとしても、機密情報が外部に漏洩してしまうことは、例えば、日本国における個人情報の保護に関する法律のガイドラインによれば、法律上の情報漏洩に該当するので問題である。さらに、昨今のように、ＡＩ（Artificial Intelligence）や量子計算機の実用化の見通しが出てくると、暗号が解読されるという問題も顕在化してしまう。また、紛失や盗難に備えて機密情報を複数の情報端末にコピーすると、情報漏洩のリスクが増大してしまう。

　そこで、重要な秘密データ（以下、「元データ」という）を保管する際に、紛失や盗難によるリスクを回避するために、元データを分割して複数の保管装置に分散して保管することが提案されている。しかしながら、元データを分割して保管しても、分割データについての管理情報を一括管理すると、元データの復元に必要な管理情報が破壊又は紛失した場合に元データを復元できなくなるという問題がある。また、管理情報に含まれている保管場所に関する情報が盗まれたときには、全ての分割データの保管場所が明らかになるので機密性が低下する。従って、元データを分割して保管する際に、元データの復元性と共に機密性を高めることが求められている。

　関連する技術として、特許文献１には、データ分割管理装置が元データを分割して複数の保管装置に保管する際に、分割データの保管場所等を管理する管理情報を分割して保管することにより、元データの機密性を高めるデータ分割管理方法が開示されている。

　このデータ分割管理方法は、分割データを生成するステップと、生成された分割データの内の予め定めた個数の分割データについて、分割データ毎に分割データと当該分割データを保管する保管装置とを対応付けた第１の管理情報を生成し、該第１の管理情報をデータ分割管理装置の格納部に格納するステップと、生成された分割データの内の予め定めた個数の分割データ以外の分割データについて、分割データ毎に分割データと当該分割データを保管する保管装置とを対応付けた保管場所情報を含む第２の管理情報を生成し、該第２の管理情報を複数の断片に分割するステップと、分割データを第１及び第２の管理情報によって特定される保管装置に格納すると共に、第２の管理情報の断片の１つをデータ分割管理装置の格納部に格納し、第２の管理情報の他の断片を、第１の管理情報によって特定される保管装置に格納するステップとを有する。

　特許文献１のデータ分割管理方法によれば、分割データを分割して管理すると共に、管理情報も分割して管理するので、データ保管の機密性が向上する。また、分割した管理情報の１つを複数の断片に分割し、それらの断片を複数の場所に保管するので、機密性が更に向上する。

特開２００４－１４７２１８号公報（段落０００２－００１５）

　特許文献１のデータ分割管理方法は、分割データから元データを復元する際に、第１の管理情報における分割データと共に保管された第２の管理情報の断片と、データ分割管理装置に格納された第２の管理情報の断片とから第２の管理情報を復元し、第１の管理情報における分割データと第２の管理情報における分割データとの内の所定数の分割データを取得して元データを復元する。

　しかしながら、このデータ分割管理装置が盗まれると、正当な権限を有する者であっても元データを復元することが不可能になる。また、データ分割管理装置を盗んだ者は、データ分割管理装置に格納された第１の管理情報によって特定される保管装置に格納された第２の管理情報の断片を取得して、この断片とデータ分割管理装置に格納された第２の管理情報の断片とから第２の管理情報を復元することにより、第１及び第２の管理情報によって特定される保管装置から所定数の分割データを取得して元データを復元することが可能になる。従って、分割データについての管理情報を一括管理する場合と比較してデータ保管の機密性が向上するものの、結局は元データの漏洩を防止することができない。

　そこで、上記の点に鑑み、本発明の第１の目的は、複数の情報端末を用いて電子情報を管理する情報管理システムにおいて、運搬中に１つの情報端末が紛失したり又は盗難に遭遇した場合に、情報漏洩のリスクを低減することである。また、本発明の第２の目的は、複数の情報端末を用いて電子情報を管理する情報管理システムにおいて、運搬中に１つの情報端末が紛失したり又は盗難に遭遇した場合でも、元の電子情報を容易に入手できるようにすることである。さらに、本発明の第３の目的は、そのような情報管理システムにおいて用いられる情報端末、情報管理プログラム、及び、情報管理方法を提供することである。

　以上の課題の少なくとも１つを解決するため、本発明の第１の観点に係る情報端末は、複数の情報端末を用いて電子情報を管理する情報管理システムにおいて用いられる情報端末であって、他の情報端末と所定の距離内にあるときに限りその情報端末との間で有線又は無線でデータ通信が可能なデータ通信回路と、所定の電子情報をＮ個の割符ファイルに分割する際に（Ｎは３以上の整数）、Ｎ個の割符ファイルの内のＫ個以下の割符ファイルからは元の電子情報を復元できないが（ＫはＮ／２の整数部分）、少なくとも（Ｋ＋１）個の割符ファイルからは元の電子情報を復元できるように冗長性を持たせて分割するデータ分割部と、所定の（Ｍ－１）個の情報端末の各々に少なくとも１つの割符ファイルを送信して（Ｍは３以上でＮ以下の整数）、当該情報端末を含むＭ個の情報端末にＮ個の割符ファイルを格納させるデータ管理部と、所定の（Ｍ－１）個の情報端末の内の少なくとも１つとの間でデータ通信回路を用いた接続が確立されて、Ｎ個の割符ファイルの内の少なくとも（Ｋ＋１）個の割符ファイルが読み出されたときに、読み出された情報に基づいて元の電子情報を復元するデータ復元部とを含む。

　本発明の第２の観点に係る情報管理システムは、本発明の第１の観点に係る情報端末と、（Ｍ－１）個の情報端末であって、各々が、当該情報端末から送信される少なくとも１つの割符ファイルを受信して格納し、当該情報端末からの要求に応じて少なくとも１つの割符ファイルを当該情報端末に送信する（Ｍ－１）個の情報端末とを含む。

　本発明の第３の観点に係る情報管理プログラムは、複数の情報端末を用いて電子情報を管理する情報管理システムの１つの情報端末において用いられる情報管理プログラムであって、所定の電子情報をＮ個の割符ファイルに分割する際に（Ｎは３以上の整数）、Ｎ個の割符ファイルの内のＫ個以下の割符ファイルからは元の電子情報を復元できないが（ＫはＮ／２の整数部分）、少なくとも（Ｋ＋１）個の割符ファイルからは元の電子情報を復元できるように冗長性を持たせて分割する手順（ａ）と、所定の（Ｍ－１）個の情報端末の各々に少なくとも１つの割符ファイルを送信して（Ｍは３以上でＮ以下の整数）、当該情報端末を含むＭ個の情報端末にＮ個の割符ファイルを格納させる手順（ｂ）と、他の情報端末と所定の距離内にあるときに限りその情報端末との間で有線又は無線でデータ通信を行うことにより、所定の（Ｍ－１）個の情報端末の内の少なくとも１つとの間で接続が確立されて、Ｎ個の割符ファイルの内の少なくとも（Ｋ＋１）個の割符ファイルが読み出されたときに、読み出された情報に基づいて元の電子情報を復元する手順（ｃ）とをＣＰＵに実行させる。

　本発明の第４の観点に係る情報管理方法は、複数の情報端末を用いて電子情報を管理する情報管理システムの１つの情報端末において用いられる情報管理方法であって、所定の電子情報をＮ個の割符ファイルに分割する際に（Ｎは３以上の整数）、Ｎ個の割符ファイルの内のＫ個以下の割符ファイルからは元の電子情報を復元できないが（ＫはＮ／２の整数部分）、少なくとも（Ｋ＋１）個の割符ファイルからは元の電子情報を復元できるように冗長性を持たせて分割するステップ（ａ）と、所定の（Ｍ－１）個の情報端末の各々に少なくとも１つの割符ファイルを送信して（Ｍは３以上でＮ以下の整数）、当該情報端末を含むＭ個の情報端末にＮ個の割符ファイルを格納させるステップ（ｂ）と、他の情報端末と所定の距離内にあるときに限りその情報端末との間で有線又は無線でデータ通信を行うことにより、所定の（Ｍ－１）個の情報端末の内の少なくとも１つとの間で接続が確立されて、Ｎ個の割符ファイルの内の少なくとも（Ｋ＋１）個の割符ファイルが読み出されたときに、読み出された情報に基づいて元の電子情報を復元するステップ（ｃ）とを含む。

　本発明によれば、少なくとも１つの他の情報端末に格納された割符ファイルを読み出すために、他の情報端末と所定の距離内にあるときに限りその情報端末との間で有線又は無線でデータ通信が可能なデータ通信方式が用いられる。それにより、運搬中にＭ個の情報端末の内の１つが紛失したり又は盗難に遭遇した場合に、その情報端末と他の情報端末との間の距離が所定の距離よりも広がると、その情報端末においては、他の情報端末との間のデータ通信が不可能になって元の電子情報を復元できなくなるので、情報漏洩のリスクを低減することができる。

　また、所定の電子情報をＮ個の割符ファイルに分割する際に、Ｎ個の割符ファイルの内のＫ個以下の割符ファイルからは元の電子情報を復元できないが（ＫはＮ／２の整数部分）、少なくとも（Ｋ＋１）個の割符ファイルからは元の電子情報を復元できるように冗長性を持たせて電子情報の分割が行われる。それにより、運搬中にＭ個の情報端末の内の１つが紛失したり又は盗難に遭遇した場合でも、正当な権限を有する者は、それ以外の情報端末に格納されている少なくとも（Ｋ＋１）個の割符ファイルが読み出されたならば、読み出された情報に基づいて元の電子情報を復元し、元の電子情報を容易に入手することができる。ここで、Ｎ個の割符ファイルの過半数が揃えば元の電子情報を復元できるようにしたことにより、情報漏洩のリスクを低減することと、情報端末の紛失等の際に元の電子情報の復元を容易にすることとの両立を図ることができる。

図１は、本発明の一実施形態に係る情報管理システムの構成例を示すブロック図であり；図２は、図１に示す情報端末の構成例を示すブロック図であり；図３は、本発明の第１の実施形態に係る情報管理方法を示すフローチャートであり；図４は、本発明の第２の実施形態に係る情報管理方法を示すフローチャートであり；図５は、本発明の第３の実施形態に係る情報管理方法を示すフローチャートである。

　以下に、本発明の幾つかの実施形態について、図面を参照しながら詳細に説明する。なお、同一の構成要素には同一の参照番号を付して、重複する説明を省略する。
＜情報管理システム＞
　本発明の一実施形態に係る情報管理システムは、集合論や秘密分散法といった数学理論等を背景の１つとし、秘密分散技術（電子割符）といったデジタルデータの分割手段を用いて、管理対象となるデジタルデータ、即ち、電子情報を分割処理することができるシステムである。本システムにおける電子情報は、単独の電子ファイルであっても良いが、複数の電子ファイルを圧縮等して電子情報として扱っても良い。また、複数の電子ファイル等が格納されているカレントメモリーやドライブ等における一連のビット列のデータをひとつの電子情報として扱っても良い。

　本実施形態においては、ユーザーが電子情報（例えば、重要情報ファイル、権限情報ファイル、属性情報ファイル、及び、認証情報ファイル等のデータ）を自宅や出先で利用する際に、電子情報が複数の割符ファイルに分割されて、それらの割符ファイルが複数の情報端末に格納されて管理される。そのために、運搬又は移動が容易な複数の情報端末が用いられる。さらに、通信センター又はデータセンターに設置されたサーバー等が情報端末として用いられても良い。

　運搬が容易な情報端末としては、例えば、ノート型ＰＣ（パーソナルコンピューター）、近距離データ通信機能を有するスマートウォッチ、スマートフォン、及び、タブレット端末等の携帯機器、並びに、近距離データ通信機能を有するＩＣカード等が該当する。なお、ＵＳＢ（ユニバーサルシリアルバス）メモリー等の外部記憶媒体が、そのような携帯機器に組み合わされて、情報端末の一部として用いられても良い。

　また、コネクテッドカー等の移動体にユーザー認証等のために搭載された利用者認証装置が情報端末として用いられても良い。コネクテッドカーは、ＩＣＴ（Information and Communication Technology：情報通信技術）端末としての機能を有する自動車である。例えば、コネクテッドカーの利用者認証装置が、ネットワークを介して、自車の状態や周辺の道路状態を通信センターに送信すると、通信センターは、送信された情報に基づいて、最新の道路状況を取得し、渋滞を避ける最適なルート等の便利な情報を利用者認証装置に返信する。あるいは、利用者認証装置が、ネットワークを介して、トラブルの発生を通信センターに送信すると、通信センターは、しかるべき部署に連絡してくれる。

　図１は、本発明の一実施形態に係る情報管理システムの構成例を示すブロック図である。図１に示す例においては、情報管理システムが、ノート型ＰＣ１０と、スマートウォッチ２０と、スマートフォン３０と、利用者認証装置４０と、割符ファイル保管サーバー５０と、認証サーバー６０と、システム管理サーバー７０と、業務用サーバー８０とを含んでいる。ノート型ＰＣ１０～割符ファイル保管サーバー５０は、本願における情報端末の例として示されている。なお、利用者認証装置４０は、コネクテッドカー等の移動体に搭載される。

　ノート型ＰＣ１０～業務用サーバー８０は、インターネットを介して互いに通信を行う機能を有していても良い。また、ノート型ＰＣ１０～利用者認証装置４０の各々は、他の情報端末と所定の距離内にあるときに限りその情報端末との間で有線又は無線でデータ通信が可能な近距離データ通信機能を有するデータ通信回路を含んでいる。従って、ノート型ＰＣ１０～利用者認証装置４０が一緒に移動する際には、それらの間でデータ通信回路を用いた接続が可能である。

　有線通信の場合には、例えば、所定の長さを有するＵＳＢケーブル等を用いて、データ通信を行う２つの情報端末が接続される。また、無線通信の場合には、例えば、ブルートゥース（Bluetooth：登録商標）、ＲＦＩＤ（Radio Frequency Identifier）、又は、赤外線通信等の無線通信方式が用いられる。そのような無線通信方式によれば、最大で約１０ｍ以内のデータ通信が可能である。

　割符ファイル保管サーバー５０及び認証サーバー６０は、データセンター等に設置されている。割符ファイル保管サーバー５０は、ユーザーが必要に応じて選択的に利用することが可能であり、ユーザーの情報端末において電子情報を分割して生成される複数の割符ファイルの内の少なくとも一部を保管する。認証サーバー６０は、ユーザーが情報端末を用いて割符ファイル保管サーバー５０にアクセスする際に認証動作を行う。

　システム管理サーバー７０は、ユーザーに情報管理サービス（割符サービス）を提供するサービスセンター等に設置され、端末管理データベース（ＤＢ）、利用者管理データベース（ＤＢ）、及び、割符ファイルのバックアップデータ等を保管している。業務用サーバー８０は、ユーザーが勤務する会社のオフィス等に設置され、ユーザーが業務に使用する電子情報等を保管している。

＜情報端末＞
　図２は、図１に示す情報端末の構成例を示すブロック図である。図２においては、一例として、スマートフォン３０の構成例が示されている。図２に示すように、スマートフォン３０は、表示部３１ａと、操作部３１ｂと、指紋センサー３２と、音声入出力部３３と、無線通信回路３４と、データ通信回路３５と、ＧＰＳ受信回路３６と、インターフェース３７と、ＣＰＵ（中央演算装置）３８と、格納部３９とを含んでいる。インターフェース３７～格納部３９は、バスラインを介して互いに接続されている。なお、図１及び図２に示す構成要素の一部を省略又は変更しても良いし、あるいは、図１及び図２に示す構成要素に他の構成要素を付加しても良い。

　表示部３１ａは、例えば、ＬＣＤ（液晶ディスプレイ）等を含み、操作画面等を表示する。操作部３１ｂは、押ボタンやタッチパッド（位置入力装置）等で構成され、各種の命令やデータをスマートフォン３０に入力するために用いられる。表示部３１ａ及び操作部３１ｂとして、ディスプレイと位置入力装置とが組み合わされたタッチパネルが用いられても良い。

　指紋センサー３２は、スマートフォン３０の操作を許可するための指紋認証において、ユーザーの指紋のパターンを読み取る。音声入出力部３３は、例えば、マイクロフォン、アンプリファイアー、及び、スピーカー等を含み、音声信号を電気信号に変換したり、電気信号を音声信号に変換する。

　無線通信回路３４は、アンテナ部を用いて無線基地局又はＷｉ－Ｆｉ（Wireless Fidelity）ルーター等との間で無線通信を行うことにより、外部の固定電話機やスマートフォンとの間で通信を行ったり、インターネットを介して割符ファイル保管サーバー５０～業務用サーバー８０との間でデータ通信を行う。

　データ通信回路３５は、ノート型ＰＣ１０やスマートウォッチ２０等の情報端末との間で有線又は無線でデータ通信を行う。ＧＰＳ受信回路３６は、所定数の衛星から送信される電波を受信したり、携帯電話ネットワークやＷｉ－Ｆｉ等から位置に関する情報を得ることにより、スマートフォン３０の現在位置を表す位置データ（位置情報）を算出する。

　インターフェース３７は、表示部３１ａ～ＧＰＳ受信回路３６に接続されると共に、プリンター等の外部機器に接続可能であり、それらとＣＰＵ３８との間で各種の命令やデータを伝達する。情報端末がノート型ＰＣやタブレット端末等の携帯機器である場合には、そのような携帯機器にＵＳＢメモリー等の外部記憶媒体を組み合わせるためにインターフェース３７が用いられても良い。

　ＣＰＵ３８は、格納部３９に格納されている各種のソフトウェア（電子情報を管理するための情報管理プログラムを含む）に従って、各種の演算やデータ処理を行う。格納部３９は、記憶媒体（記録媒体）として、例えば、電気的にデータの消去や書き換えが可能なフラッシュメモリー等の不揮発性メモリーに加えて、ＲＡＭ（ランダムアクセスメモリー）等を含んでも良い。不揮発性メモリーは、ＣＰＵ３８に動作を行わせるための各種のソフトウェアや各種のデータ等を格納する。ＲＡＭは、インターフェース３７から供給されるデータや、ＣＰＵ３８によって生成又は処理されるデータ等を一時的に記憶する。

　ここで、ＣＰＵ３８と格納部３９に格納されているソフトウェアとによって、通信制御部３８０と、認証管理部３８１と、データ分割部３８２と、データ管理部３８３と、データ復元部３８４と、計時部３８５とが、機能ブロックとして構成される。通信制御部３８０は、無線通信回路３４の通信動作を制御することにより、スマートフォン３０の基本的な通信機能を実現する。

　認証管理部３８１は、スマートフォン３０の操作を許可するための認証動作を行う。例えば、認証管理部３８１は、スマートフォン３０のユーザーが操作部３１ｂを用いて入力したＰＩＮ（Personal Identification Number）コード又は指紋センサー３２に読み取らせた指紋のパターンが、スマートフォン３０に登録されているＰＩＮコード又は指紋のパターンと一致するか否かを判定する。両者が一致すれば、スマートフォン３０の操作が許可される。

　スマートフォン３０の操作が許可されて、スマートフォン３０にインストールされている情報管理プログラムが起動されると、認証管理部３８１は、スマートフォン３０を操作する者が割符ファイルや電子情報にアクセスするための正当な権限を有しているか否かをチェックしても良い。

　そのために、予めスマートフォン３０に入力されたＩＤコード及びパスワード等が、認証情報として、格納部３９の記憶媒体に格納されて登録される。また、認証管理部３８１は、外部機器との間で無線通信を行う無線通信回路３４を用いることにより、インターネットを介して認証サーバー６０及び／又はシステム管理サーバー７０に認証情報を送信して格納させても良い。

　認証管理部３８１は、スマートフォン３０のユーザーが割符ファイルや電子情報にアクセスするために操作部３１ｂを用いて入力したＩＤコード及びパスワードが、スマートフォン３０に登録されている認証情報と一致するか否かを判定する。認証管理部３８１は、両者が一致する場合に、スマートフォン３０にインストールされている情報管理プログラム及び／又は情報管理システムへのログイン（以下、単に「ログイン」ともいう）を許可し、両者が一致しない場合に、ログインを拒否する。

　あるいは、ログインにおいて、パスワードの替わりに指紋等を用いた生体認証が行われても良く、その場合には、認証情報が指紋のパターン等の生体科学的特徴データを含んでも良い。また、認証管理部３８１は、スマートフォン３０の操作を許可した場合に、その後の認証動作を省略して、ログインを許可しても良い。

　データ分割部３８２は、電子情報（原本データ）を少なくとも３つの割符ファイル（分割データ）に分割（電子割符化）する機能を有している。データ分割部３８２は、所定の電子情報をＮ個の割符ファイルに分割する際に（Ｎは３以上の整数）、Ｎ個の割符ファイルの内のＫ個以下の割符ファイルからは元の電子情報を復元できないが（ＫはＮ／２の整数部分）、少なくとも（Ｋ＋１）個の割符ファイルからは元の電子情報を復元できるように冗長性を持たせて分割を行う。即ち、Ｎ個の割符ファイルの過半数が揃えば元の電子情報を復元できるようにしたことにより、情報漏洩のリスクを低減することと、情報端末の紛失等の際に元の電子情報の復元を容易にすることとの両立を図ることができる。

　データ管理部３８３は、データ通信回路３５又は無線通信回路３４を用いて、スマートフォン３０以外の所定の（Ｍ－１）個の情報端末の各々に少なくとも１つの割符ファイルを送信して（Ｍは３以上でＮ以下の整数）、スマートフォン３０を含むＭ個の情報端末にＮ個の割符ファイルを格納させる。Ｍ＜Ｎの場合には、１つの情報端末が複数の割符ファイルを格納しても良い。

　その際に、他の情報端末において、電源スイッチがオフになっていたり、又は、必要なソフトウェアが起動していない等により、スマートフォン３０がその情報端末に直ちにアクセスできない場合もある。そのような場合には、データ管理部３８３が、その情報端末に送信すべき少なくとも１つの割符ファイルを格納部３９の記憶媒体に一旦格納しても良い。

　また、所定の電子情報をＮ個の割符ファイルに分割し、データ通信回路３５を用いて他の情報端末に少なくとも１つの割符ファイルを送信して格納させる割符化処理において、その情報端末がスマートフォン３０から所定の距離内にあっても、一部の割符ファイルを生成できなかったことや、通信経路におけるエラーの発生等によって、割符化処理が良好に実施できないときもある。

　そこで、スマートフォン３０は、そのようなときに割符化処理を強制的に実施（例えば、再度実施）するための手段を備えていても良い。例えば、データ分割部３８２又はデータ管理部３８３が、音声入出力部３３によって収録されたユーザーの所定の音声指示に応答して割符化処理を強制的に実施しても良い。あるいは、データ分割部３８２又はデータ管理部３８３が、表示部３１ａに表示される所定のコマンドタッチエリアをユーザーがタッチしたことに応答して割符化処理を強制的に実施しても良い。

　さらに、データ管理部３８３は、計時部３８５によって生成される計時データに基づいて、他の情報端末に対するアクセスを自動的に再試行し、スマートフォン３０がその情報端末にアクセスできた際に、格納部３９の記憶媒体に格納されている少なくとも１つの割符ファイルをその情報端末に移動させても良い。

　計時部３８５は、スマートフォン３０に内蔵された発振回路からＣＰＵ３８に供給されるクロック信号に同期してカウント値をインクリメントしたり、又は、携帯電話ネットワークやＷｉ－Ｆｉ等から時刻情報を得ることによって、計測時刻を表す計時データを生成する。

　他の情報端末へのアクセスの再試行は、最初のアクセスが失敗してから所定の期間が経過する毎に行うことが望ましい。また、データ管理部３８３は、アクセスの再試行が所定の回数以上失敗した場合に、表示部３１ａ又は音声入出力部３３を用いて警告を発するようにしても良い。

　その後、元の電子情報を復元する際に、データ管理部３８３は、データ通信回路３５を用いて、スマートフォン３０以外の所定の（Ｍ－１）個の情報端末との間で通信を試みることにより、可能であれば、幾つかの情報端末に格納されている割符ファイルを受信する。なお、データ管理部３８３は、所定の（Ｍ－１）個の情報端末の内の少なくとも１つとの間でデータ通信回路３５を用いた接続を確立して割符ファイルを受信したならば、それ以外の情報端末との間では、無線通信回路３４を用いた通信を行って割符ファイルを受信しても良い。

　データ復元部３８４は、所定の（Ｍ－１）個の情報端末の内の少なくとも１つとの間でデータ通信回路３５を用いた接続が確立されて、上記のＮ個の割符ファイルの内の少なくとも（Ｋ＋１）個の割符ファイルが読み出されたときに、読み出された情報に基づいて元の電子情報を復元する。

　即ち、スマートフォン３０と少なくとも１つの情報端末との間でデータ通信回路３５を用いた接続が確立できる場合には、スマートフォン３０が少なくとも１つの情報端末から所定の距離内に存在していることになるので、スマートフォン３０が紛失してもいないし盗難に遭遇してもいないものと判断される。そこで、データ管理部３８３は、少なくとも１つの情報端末から少なくとも１つの割符ファイルを読み出し、スマートフォン３０から読み出された割符ファイルを含む（Ｋ＋１）個の割符ファイルが揃えば、データ復元部３８４が元の電子情報を復元できるようにしても良い。

　あるいは、元の電子情報を復元するための条件として、スマートフォン３０と他の情報端末との距離に加えて、時間や利用者認証等の所定の復元条件等を用いても良い。その場合には、スマートフォン３０から読み出された割符ファイルを含む（Ｋ＋１）個の割符ファイルが揃うと共に、そのような復元条件等が満たされたならば、データ復元部３８４が元の電子情報を復元することができる。それにより、現実の利用場面に応じた情報管理を実現することが可能となる。

　また、データ通信回路３５を用いて他の情報端末から少なくとも１つの割符ファイルを受信して元の電子情報を復元する復元処理において、その情報端末がスマートフォン３０から所定の距離内にあっても、通信経路におけるエラーの発生や、一部の割符ファイルを受信できなかったこと等によって、復元処理が良好に実施できないときもある。

　そこで、スマートフォン３０は、そのようなときに復元処理を強制的に実施するための手段を備えていても良い。例えば、データ管理部３８３又はデータ復元部３８４が、表示部３１ａに表示される所定のコマンドタッチエリアをユーザーがタッチしたことに応答して復元処理を強制的に実施しても良い。

　本実施形態によれば、少なくとも１つの他の情報端末に格納された割符ファイルを読み出すために、他の情報端末と所定の距離内にあるときに限りその情報端末との間で有線又は無線でデータ通信が可能なデータ通信方式が用いられる。それにより、運搬中にＭ個の情報端末の内の１つが紛失したり又は盗難に遭遇した場合に、その情報端末と他の情報端末との間の距離が所定の距離よりも広がると、その情報端末においては、他の情報端末との間のデータ通信が不可能になって元の電子情報を復元できなくなるので、情報漏洩のリスクを低減することができる。

　あるいは、Ｍが４以上である場合に、データ復元部３８４は、スマートフォン３０以外の所定の（Ｍ－１）個の情報端末の内の少なくとも（Ｍ－２）個の情報端末との間でデータ通信回路３５を用いた接続が確立されて、上記のＮ個の割符ファイルの内の少なくとも（Ｋ＋１）個の割符ファイルが読み出されたときに、読み出された情報に基づいて元の電子情報を復元するようにしても良い。このように、元の電子情報を復元する条件を厳しくすることにより、情報漏洩のリスクをさらに低減することができる。

　また、所定の電子情報をＮ個の割符ファイルに分割する際に、Ｎ個の割符ファイルの内のＫ個以下の割符ファイルからは元の電子情報を復元できないが（ＫはＮ／２の整数部分）、少なくとも（Ｋ＋１）個の割符ファイルからは元の電子情報を復元できるように冗長性を持たせて電子情報の分割が行われる。それにより、運搬中にＭ個の情報端末の内の１つが紛失したり又は盗難に遭遇した場合でも、正当な権限を有する者は、それ以外の情報端末に格納されている少なくとも（Ｋ＋１）個の割符ファイルが読み出されたならば、読み出された情報に基づいて元の電子情報を復元し、元の電子情報を容易に入手することができる。

　その後、スマートフォン３０は、必要に応じて、復元された電子情報を外部のシステム又は他の情報端末に自動転送するようにしても良い。その場合には、スマートフォン３０のデータ管理部３８３が、無線通信回路３４又はデータ通信回路３５を用いて、データ復元部３８４によって復元された電子情報を外部のシステム等に送信する。なお、本システムが連携することを認めたプログラムに対しては、スマートフォン３０のデータ管理部３８３は、復元処理前の割符ファイルを敢えて復元せずに提供しても良い。これは、復元された情報自体を移送することに関して盗難等の懸念がある場合に有効である。

　また、スマートフォン３０のデータ分割部３８２が、データ復元部３８４によって復元された電子情報を自動割り直しによってＮ個の新たな割符ファイルに再度分割し、データ管理部３８３が、スマートフォン３０を含むＭ個の情報端末に既に格納されているＮ個の割符ファイルをＮ個の新たな割符ファイルでそれぞれ上書きさせても良い。このように、復元された電子情報を再度分割して保存することにより、万が一の際における情報漏洩の未然防止に向けて安全性を向上させることができる。

　その際に、データ分割部３８２は、データの区切り位置を変化させたり、ダミーデータを追加したり、又は、データを暗号化するために用いる暗号キーを変更する等して、以前の分割条件を変更する。また、データ管理部３８３は、スマートフォン３０に既に格納されている割符ファイルを１つの新たな割符ファイルで上書きさせると共に、他の（Ｎ－１）個の新たな割符ファイルを所定の（Ｍ－１）個の情報端末に送信して、既に格納されている（Ｎ－１）個の割符ファイルを（Ｎ－１）個の新たな割符ファイルでそれぞれ上書きさせる。

＜割符ファイルの例＞
　一例として、データ分割部３８２が電子情報を分割して生成されるＮ個の割符ファイルの各々は、単体の割符ファイルからその内容を解読できる第１の領域（ヘッダー領域）と、元の電子情報の一部を含み、Ｎ個の割符ファイルの内の少なくとも（Ｋ＋１）個の割符ファイルが揃わないとその内容を解読できない第２の領域（１つ又は複数のセグメント領域）とを有している。

　ヘッダー領域は、元の電子情報の復元条件に関する情報、及び／又は、Ｎ個の割符ファイルの管理情報を含んでも良い。元の電子情報の復元条件に関する情報としては、例えば、元の電子情報の復元が許可される時間若しくは期間、場所、又は、回数等を特定する情報が該当する。さらに、登録された利用者認証等の認証情報、又は、元の電子情報を暗号化するために用いられた暗号キーを特定する情報が復元条件に含まれても良い。Ｎ個の割符ファイルの管理情報としては、例えば、Ｎ個の割符ファイルの保存場所及びファイル名等が該当する。

　データ管理部３８３は、Ｎ個の割符ファイルに関するデータ通信等の履歴の記録としてログ情報を作成して保存するログ確保機能と、Ｎ個の割符ファイルの提供時に復元条件を設定して送付するログ提供機能とを有している。さらに、データ管理部３８３は、ログ情報自体もＮ個の割符ファイルに含めて運用管理するログ管理機能を有しても良い。

　データ復元部３８４は、Ｎ個の割符ファイルの内の少なくとも１つの割符ファイルの第１の領域から、元の電子情報の復元条件に関する情報、及び／又は、Ｎ個の割符ファイルの管理情報を読み出す。データ復元部３８４は、読み出された情報に基づいてＮ個の割符ファイルの内の少なくとも（Ｋ＋１）個の割符ファイルの第２の領域の内容を組み合わせて読み出すことにより、元の電子情報を復元する。

　このように、元の電子情報の復元条件及び／又は割符ファイルの管理情報を各割符ファイルの一部に組み入れることにより、元の電子情報が必要な時に、読み出し可能な幾つかの割符ファイルを糾合し、元の電子情報を復元して利用することが可能となる。そのような情報端末、情報管理システム、又は、情報管理方法は、自己完結的な安全管理機能を有していると言える。

　この機能を利用すると、各々の割符ファイル自体について、元の電子情報を復元して利用する際に自己認証できるようになる。従って、複数の情報端末、クラウド（インターネット）、及び／又は、割符ファイル保管サーバー５０等を用いて電子情報を管理して利用する場合に、管理対象となる電子情報と利用目的に応じた認証機能とを同一システムの内又は外に別途準備しなくても良くなり、重厚長大な情報管理システムを簡略化することが可能となる。

　例えば、復元条件の中に、複数の対象又は複数の管理者に関する認証情報を「ＡＮＤ」（論理積）又は「ＯＲ」（論理和）等の論理演算で結合した条件を含ませることによって、複数の認証情報を揃えなければ元の電子情報を復元できなくしたり、又は、複数の管理者の内の１人でも元の電子情報を復元できるような情報管理システムを実現することができる。

＜本実施形態の変形例＞
　本実施形態の変形例として、データ分割部３８２は、所定の電子情報をＮ個の割符ファイルに分割する際に（Ｎは２以上の整数）、元の電子情報の復元のためにＮ個の割符ファイルの全てが必要となるように分割を行っても良い。データ管理部３８３は、所定の（Ｍ－１）個の情報端末の各々に少なくとも１つの割符ファイルを送信して（Ｍは２以上でＮ以下の整数）、スマートフォン３０を含むＭ個の情報端末にＮ個の割符ファイルを格納させる。

　その場合に、データ復元部３８４は、所定の（Ｍ－１）個の情報端末の内の少なくとも１つとの間でデータ通信回路３５を用いた接続が確立されて、上記のＮ個の割符ファイルが読み出されたときに、読み出された情報に基づいて元の電子情報を復元する。このように、電子情報の分割における冗長性を排除して、元の電子情報を復元する条件を厳しくすることにより、情報漏洩のリスクをさらに低減することができる。この変形例は、元の電子情報自体は組織内等にあり、そのコピーを移送する場合や一時的に持ち出すといった場合に有効である。

＜自動ログイン機能＞
　スマートフォン３０の認証管理部３８１は、他の情報端末を利用するための認証情報等を管理し、無線通信回路３４又はデータ通信回路３５を用いて、管理している認証情報等をその情報端末に自動的に送信しても良い。

　それにより、ユーザーは、スマートフォン３０の情報管理プログラムを適切に利用していれば、ユーザーが利用しようとする他の情報端末に対する手動ログインを省略して、その情報端末のＯＳ（Operating System：オペレーティングシステム）やアプリケーションソフトウェア等を自動的に立ち上げて利用することができる。さらに、一旦認証された情報端末が少なくとも適切な利用条件を満たす距離内に存在しているか否かを利用中に不定期に確認するために、情報管理システムの機能を利用して状況確認のための認証を行うことも可能である。

　そのために、スマートフォン３０は、例えば、認証情報等を他の情報端末に送付できるＡＰＩ（Application Programming Interface：アプリケーション・プログラミング・インターフェイス）を備えている。スマートフォン３０のソフトウェアに外部との間でやりとりする窓口としてＡＰＩを設けることにより、外部のアプリケーションソフトウェアとコミュニケーションや連携ができる状態になる。

　このように、ＡＰＩが複数の情報端末のソフトウェア同士を繋げることにより、異なるソフトウェアやサービス間で認証機能を共有したり、チャット機能を共有したり、又は、一方のソフトウェアからデータを取り込み、他方のソフトウェアでそのデータを解析したりできるようになる。

　例えば、他の情報端末がコネクテッドカー等の移動体に搭載された利用者認証装置４０である場合に、ユーザーがスマートフォン３０の情報管理プログラムにログインすると、ユーザーが利用者認証装置４０又はその情報管理プログラムを立ち上げていない場合でも、スマートフォン３０の認証管理部３８１が、無線通信回路３４又はデータ通信回路３５を用いて、利用者認証装置４０を利用するための認証情報等を利用者認証装置４０に自動的に送信する。

　利用者認証装置４０において、無線通信回路又はデータ通信回路は、受信した認証情報等を、ＯＳの立ち上げやアプリケーションソフトウェア等の利用のために必要な認証動作を行う認証管理部に受け渡す。それにより、利用者認証装置４０のＯＳを立ち上げて、利用者認証装置４０の情報管理プログラムに自動的にログインすることができる。

　また、スマートフォン３０の認証管理部３８１は、利用者認証装置４０を利用するための認証情報と共に、運転免許証の電子データやレンタカーの許可証の電子ファイルを利用者認証装置４０に自動的に提供しても良い。それにより、ユーザーがコネクテッドカー等の移動体を利用する際の利便性を高めることができる。

＜情報端末の紛失対策＞
　スマートフォン３０が他の情報端末と共に移動している間に紛失したり又は盗難に遭遇した場合に、正当な権限を有しないものがスマートフォン３０を操作しようとしても、認証管理部３８１によって許可されないことが予想される。従って、正当な権限を有しないものがスマートフォン３０を操作して割符ファイルや元の電子情報にアクセスできる可能性は小さいと考えられる。

　しかしながら、管理すべき電子情報が法律で定められた個人情報、個人識別符号、又は、個人情報データベース等を含む場合には、個人情報取扱事業者は、個人情報等が暗号化されていても個人情報等の安全管理のために必要かつ適切な措置を講じることが求められている。

　そこで、スマートフォン３０のデータ管理部３８３は、スマートフォン３０以外の所定の（Ｍ－１）個の情報端末の内の所定数の情報端末との間でデータ通信回路３５を用いた接続が確立できないと判定したときに、無線通信回路３４を用いて外部に通知を送信するようにしても良い。なお、所定数とは、例えば、スマートフォン３０からデータ通信回路３５を用いて割符ファイルが送信された情報端末の数であっても良い。

　この通知は、スマートフォン３０が紛失したり又は盗難に遭遇した可能性が高いことを表す警告信号である。通知を送信する際に、データ管理部３８３は、計時部３８５によって生成される計時データに基づいて、他の情報端末との間でデータ通信回路３５を用いた接続の試行を開始してから所定の期間内に接続を確立できたか否かを判定しても良い。

　スマートフォン３０のユーザーは、ノート型ＰＣ１０等を用いてこの通知を受信することにより、スマートフォン３０が紛失したり又は盗難に遭遇したことを知ることができる。それにより、ＧＰＳ受信回路３６によって算出されるスマートフォン３０の位置情報を取得したり、又は、遠隔操作によってスマートフォン３０をロックしたり若しくは割符ファイル等のデータを消去したりすることが可能になる。このようにして、情報漏洩のリスクを低減することができる。

　あるいは、データ管理部３８３は、スマートフォン３０が所定の領域外にあると判定したときに、無線通信回路３４を用いて外部に通知を送信するようにしても良い。そのために、例えば、ユーザーが、スマートフォン３０が移動する予定の時間や経路を含む領域に関する情報をデータ管理部３８３に予め登録しても良い。

　あるいは、データ管理部３８３は、計時部３８５によって生成される計時データに基づいて、スマートフォン３０に格納されている割符ファイルの有効期限が切れたと判定したときに、無線通信回路３４を用いて外部に通知を送信するようにしても良い。そのために、例えば、データ分割部３８２が、所定の電子情報を分割する際に、計時データに基づいて、元の電子情報の復元を可能とする有効期限に関する情報を割符ファイルに付加しても良い。

　データ管理部３８３が以上の判定を行うタイミングは、スマートフォン３０が起動したタイミングに同期しても良いし、スマートフォン３０において情報管理プログラムが起動したタイミングに同期しても良いし、又は、操作部３１ｂを用いて所望の電子情報へのアクセス要求があったタイミングに同期しても良い。

　また、スマートフォン３０に格納されている割符ファイルは、他の複数の情報端末に格納されている複数の割符ファイルと組み合わされたときに元の電子情報を復元できるデータであるので、情報漏洩のリスクをさらに低減することが望ましい。そこで、データ管理部３８３は、無線通信回路３４を用いて外部に通知を送信する替わりに、スマートフォン３０に格納されている割符ファイルを削除するようにしても良い。

　このように、スマートフォン３０が紛失したり又は盗難に遭遇した場合に、スマートフォン３０において割符ファイルを自動的に消去することにより、正当な権限を有しないものがスマートフォン３０を操作して割符ファイルや元の電子情報にアクセスすることが完全に不可能となる。

＜他の情報端末＞
　図１に示す他の情報端末の構成も、図２に示すスマートフォン３０の構成と概ね同様でも良い。各々の情報端末は、少なくとも無線通信回路３４又はデータ通信回路３５と、ＣＰＵ３８と、格納部３９とを含んでおり、表示部３１ａ、操作部３１ｂ、又は、インターフェース３７等をさらに含んでも良い。ただし、格納部３９に格納されるソフトウェアは、情報端末の機能に応じて異なっている。

　また、ノート型ＰＣ１０、利用者認証装置４０、割符ファイル保管サーバー５０、及び、業務用サーバー８０等においては、格納部３９の記憶媒体（記録媒体）として、内蔵のハードディスク、外付けハードディスク、フレキシブルディスク、光磁気ディスク、磁気テープ、ＣＤ－Ｒ、又は、ＤＶＤ－Ｒ等を用いることもできる。

　スマートフォン３０以外の（Ｍ－１）個の情報端末の各々は、図２に示すような無線通信回路３４又はデータ通信回路３５を用いて、スマートフォン３０から送信される少なくとも１つの割符ファイルを受信して格納し、スマートフォン３０からの要求に応じて少なくとも１つの割符ファイルをスマートフォン３０に送信する。

　それらの（Ｍ－１）個の情報端末の内の少なくとも１つは、スマートフォン３０と所定の距離内にあるときに限りスマートフォン３０との間で有線又は無線でデータ通信を行うデータ通信回路を用いて、少なくとも１つの割符ファイルをスマートフォン３０に送信する。

　また、本実施形態における少なくとも１つの情報端末は、少なくとも１つの割符ファイルを自ら格納せずに、インターネットを介して割符ファイル保管サーバー５０に送信し、割符ファイル保管サーバー５０がその少なくとも１つの割符ファイルを格納するようにしても良い。その場合に、元の電子情報を復元する際には、その情報端末が、割符ファイル保管サーバー５０からインターネットを介してその少なくとも１つの割符ファイルを受信する。

　例えば、図１において、ノート型ＰＣ１０は、スマートフォン３０から送信される少なくとも１つの割符ファイルを自ら格納せずに、インターネットを介して割符ファイル保管サーバー５０に送信し、割符ファイル保管サーバー５０がその少なくとも１つの割符ファイルを格納するようにしても良い。

　元の電子情報を復元する際には、ノート型ＰＣ１０が、割符ファイル保管サーバー５０からインターネットを介してその少なくとも１つの割符ファイルを受信し、その少なくとも１つの割符ファイルをスマートフォン３０に送信する。このように、データ通信にはノート型ＰＣ１０を用いて、割符ファイルの格納には割符ファイル保管サーバー５０を用いる等、様々な情報端末の組合せが可能である。

＜電子情報のバックアップ＞
　本実施形態に係る情報管理システムにおいては、半数以上の割符ファイルが失われると元の電子情報を復元できなくなるので、予め電子情報のバックアップを取っておくことが望ましい。そこで、スマートフォン３０のデータ分割部３８２が電子情報をＮ個の割符ファイルに分割した際に、データ管理部３８３は、無線通信回路３４を用いて、Ｎ個の割符ファイルをインターネットを介してシステム管理サーバー７０に送信しても良い。

　その際に、スマートフォン３０がシステム管理サーバー７０に直ちにアクセスできない場合には、データ管理部３８３が、Ｎ個の割符ファイルを格納部３９の記憶媒体に一旦格納しても良い。その後、データ管理部３８３は、計時部３８５によって生成される計時データに基づいてシステム管理サーバー７０へのアクセスを自動的に試行し、スマートフォン３０がシステム管理サーバー７０にアクセスできた際に、格納部３９の記憶媒体に格納されているＮ個の割符ファイルをシステム管理サーバー７０に移動させても良い。

　サービスセンター等に設置されたシステム管理サーバー７０は、スマートフォン３０からインターネットを介して送信されるＮ個の割符ファイルをバックアップデータとして保管し、正当な権限を有する者の情報端末からの要求に応じて、所望の割符ファイルをインターネットを介してその情報端末に配信する。また、システム管理サーバー７０は、元の電子情報の復元のために近距離データ通信機能の使用を条件としない情報管理プログラム（以下、「復元プログラム」ともいう）を備えている。

　そのようにすれば、Ｎ＝Ｍ＝３の場合に、ユーザーが３つの情報端末の内の１つのみを所持していても、元の電子情報の復元が可能となる。例えば、ユーザーがスマートウォッチ２０及びスマートフォン３０の運搬中にスマートフォン３０が紛失したり又は盗難に遭遇しても、スマートウォッチ２０に保管されている割符ファイルをシステム管理サーバー７０に送信することにより、システム管理サーバー７０の復元プログラムを用いて、スマートウォッチ２０の割符ファイルとシステム管理サーバー７０の割符ファイルとに基づいて元の電子情報を復元することができる（強制的な復元機能１）。

　あるいは、Ｎ＝Ｍ＝３の場合に、ユーザーが３つの情報端末の内の２つのみを運搬し、運搬中に１つの情報端末が操作不能になっても、元の電子情報の復元が可能となる。例えば、ユーザーがスマートウォッチ２０及びスマートフォン３０の運搬中にスマートフォン３０を誤って水没させても、システム管理サーバー７０に保管されている割符ファイルをスマートウォッチ２０に送信することにより、システム管理サーバー７０の割符ファイルとスマートウォッチ２０の割符ファイルとに基づいて元の電子情報を復元することができる（強制的な復元機能２）。なお、スマートウォッチ２０の替わりに、ユーザーが新たに準備したスマートフォン３０ａが用いられても良い。

＜情報管理方法＞
　次に、図１及び図２に示す情報管理システムにおいて用いられる情報管理方法の幾つかの実施形態について説明する。以下においては、一例として、銀行の外交員Ａが、商談で顧客先に訪問する際に、銀行に設置された業務用サーバー８０等に保管されている所定の電子情報を複数の割符ファイルに分割してノート型ＰＣ１０～スマートフォン３０に格納し、それらを顧客先に運搬して電子情報を利用しながらセールス活動を行う場合について説明する。

　管理すべき電子情報は、暗号化されていない平文の情報であっても良く、又は、暗号化されている情報であっても良い。また、管理すべき電子情報は、セールス活動等の業務の対象となる情報資産系データ（以下、「対象情報」ともいう）と、少なくとも認証に用いられ、電子情報の管理にも用いられることがある認証・管理系データ（以下、「認証情報」ともいう）とを含む。対象情報と認証情報とは、系を分けて管理することが望ましい。

＜対象情報を分割する例＞
　図３は、本発明の第１の実施形態に係る情報管理方法を示すフローチャートである。第１の実施形態においては、スマートフォン３０のデータ分割部３８２が、電子情報として対象情報を複数の割符ファイルに分割する。また、データ分割部３８２は、認証情報を複数の割符ファイルに分割しても良いし、分割しなくても良い。以下においては、一例として、認証情報を分割しないで、格納部３９の記憶媒体に格納して登録する場合について説明する。

　外交員Ａは、顧客先に訪問するのに先立って、対象情報を複数の情報端末に分散して格納するために、スマートフォン３０の操作部３１ｂを操作することにより、スマートフォン３０にインストールされている情報管理プログラムを起動して、対象情報の格納を要求する。スマートフォン３０の認証管理部３８１は、例えば、ＩＤコード及びパスワードを入力するためのログイン画面を表示部３１ａに表示させて、認証情報の入力を要求する。

　外交員Ａが操作部３１ｂを用いてＩＤコード及びパスワードを入力すると、認証管理部３８１は、入力された認証情報が、スマートフォン３０に登録されている認証情報と一致するか否かを判定する。あるいは、パスワードの替わりに指紋等を用いた生体認証が行われても良く、その場合には、指紋のパターン等の生体科学的特徴データが認証情報として用いられる。

　認証管理部３８１は、両者が一致する場合に、スマートフォン３０にインストールされている情報管理プログラム及び／又は情報管理システムへのログインを許可し、両者が一致しない場合に、ＩＤコード及びパスワードを再入力するためのログイン画面を表示部３１ａに表示させる。

　ログインが許可されて、外交員Ａが、操作部３１ｂを用いて、セールス活動に用いられる所定の対象情報の保存場所及びファイル名等を指定すると、スマートフォン３０のデータ管理部３８３は、銀行に設置された業務用サーバー８０等から対象情報を読み出し、データ分割部３８２に受け渡す。

　図３を参照すると、ステップＳ１１において、データ分割部３８２が、対象情報をＮ個の割符ファイルに分割する際に（Ｎは３以上の整数）、Ｎ個の割符ファイルの内のＫ個以下の割符ファイルからは元の電子情報を復元できないが（ＫはＮ／２の整数部分）、少なくとも（Ｋ＋１）個の割符ファイルからは元の電子情報を復元できるように冗長性を持たせて分割する。Ｎ＝３の場合には、対象情報が３つの割符ファイルに分割され、１つの割符ファイルからは元の対象情報を復元できないが、２つの割符ファイルからは元の対象情報を復元することができる。

　ステップＳ１２において、データ管理部３８３が、所定の（Ｍ－１）個の情報端末の各々に少なくとも１つの割符ファイルを送信して（Ｍは３以上でＮ以下の整数）、スマートフォン３０を含むＭ個の情報端末にＮ個の割符ファイルを格納させる。Ｍ＝Ｎ＝３の場合には、３つの情報端末の各々が１つの割符ファイルを格納する。

　例えば、データ管理部３８３は、他の情報端末と所定の距離内にあるときに限りその情報端末との間で有線又は無線でデータ通信が可能なデータ通信回路３５を用いて、ノート型ＰＣ１０及びスマートウォッチ２０との間で接続を確立し、ノート型ＰＣ１０及びスマートウォッチ２０に２つの割符ファイルをそれぞれ送信しても良い。あるいは、データ管理部３８３は、外部機器との間で無線通信を行う無線通信回路３４を用いて、インターネットを介してノート型ＰＣ１０及びスマートウォッチ２０に２つの割符ファイルをそれぞれ送信しても良い。

　外交員Ａがノート型ＰＣ１０～スマートフォン３０を顧客先に運搬して対象情報を復元して利用する際に、外交員Ａは、操作部３１ｂを操作することにより、スマートフォン３０にインストールされている情報管理プログラムを起動して、対象情報へのアクセスを要求する。

　ステップＳ１３において、認証管理部３８１が、格納部３９の記憶媒体に格納されている認証情報を読み出す。また、ステップＳ１４において、認証管理部３８１が、例えば、ＩＤコード及びパスワードを入力するためのログイン画面を表示部３１ａに表示させて、認証情報の入力を要求する。

　外交員Ａが操作部３１ｂを用いてＩＤコード及びパスワードを入力すると、ステップＳ１５において、認証管理部３８１が、入力された認証情報が、スマートフォン３０に登録されている認証情報と一致するか否かを判定する。あるいは、パスワードの替わりに指紋等を用いた生体認証が行われても良く、その場合には、指紋のパターン等の生体科学的特徴データが認証情報として用いられる。

　ログインが許可されると、データ管理部３８３は、外交員Ａによる対象情報へのアクセス要求に応じて、例えば、対象情報のファイル名のリストを表示部３１ａに表示する。外交員Ａが、所望の対象情報のファイル名を選択すると、ステップＳ１６において、データ管理部３８３が、データ通信回路３５を用いて、他の情報端末と所定の距離内にあるときに限りその情報端末との間で有線又は無線でデータ通信を行う。

　有線通信の場合には、スマートフォン３０とノート型ＰＣ１０とが第１のケーブルで接続され、及び／又は、スマートフォン３０とスマートウォッチ２０とが第２のケーブルで接続される。また、無線通信の場合には、スマートフォン３０とノート型ＰＣ１０とがブルートゥース等で接続され、及び／又は、スマートフォン３０とスマートウォッチ２０とがブルートゥース等で接続される。

　ブルートゥースを用いる場合には、データ通信を行う２つの情報端末の対応関係を設定するためにペアリングを行う必要がある。従って、スマートフォン３０とノート型ＰＣ１０との対応関係を設定するためのペアリング、及び／又は、スマートフォン３０とスマートウォッチ２０との対応関係を設定するためのペアリングが予め行われる。

　それにより、所定の（Ｍ－１）個の情報端末の内の少なくとも１つとの間で接続が確立されて、Ｎ個の割符ファイルの内の少なくとも（Ｋ＋１）個の割符ファイルが読み出されたときに、スマートフォン３０のデータ復元部３８４が、読み出された情報に基づいて元の対象情報を復元する。なお、データ管理部３８３は、少なくとも１つの情報端末との間でデータ通信回路３５を用いた接続を確立して割符ファイルを読み出したならば、それ以外の情報端末との間では、無線通信回路３４を用いた通信を行って割符ファイルを読み出しても良い。

　Ｍ＝Ｎ＝３の場合には、スマートフォン３０のデータ通信回路３５がノート型ＰＣ１０及び／又はスマートウォッチ２０との間で接続を確立したときに、データ復元部３８４が、ノート型ＰＣ１０～スマートフォン３０の内の少なくとも２つの情報端末に格納されている少なくとも２つの割符ファイルを読み出して、読み出された情報に基づいて対象情報を復元する。その結果、外交員Ａは、所望の対象情報を入手することができる。

＜認証情報を分割する例＞
　図４は、本発明の第２の実施形態に係る情報管理方法を示すフローチャートである。第２の実施形態においては、スマートフォン３０のデータ分割部３８２が、電子情報として認証情報を複数の割符ファイルに分割する。また、データ分割部３８２は、対象情報を複数の割符ファイルに分割しても良いし、分割しなくても良い。以下においては、一例として、対象情報を分割しないで、いずれかの情報端末の記憶媒体に格納する場合について説明する。

　外交員Ａは、顧客先に訪問するのに先立って、認証情報を複数の情報端末に分散して格納するために、スマートフォン３０の操作部３１ｂを操作することにより、スマートフォン３０にインストールされている情報管理プログラムを起動して、認証情報の格納を要求する。スマートフォン３０の認証管理部３８１は、例えば、ＩＤコード及びパスワードを入力するためのログイン画面を表示部３１ａに表示させて、認証情報の入力を要求する。

　外交員Ａが操作部３１ｂを用いてＩＤコード及びパスワードを入力すると、認証管理部３８１は、入力された認証情報を、スマートフォン３０のデータ分割部３８２に受け渡す。あるいは、パスワードの替わりに指紋等を用いた生体認証が行われても良く、その場合には、指紋のパターン等の生体科学的特徴データが認証情報として用いられる。

　図４を参照すると、ステップＳ２１において、データ分割部３８２が、認証情報をＮ個の割符ファイルに分割する際に（Ｎは３以上の整数）、Ｎ個の割符ファイルの内のＫ個以下の割符ファイルからは元の電子情報を復元できないが（ＫはＮ／２の整数部分）、少なくとも（Ｋ＋１）個の割符ファイルからは元の電子情報を復元できるように冗長性を持たせて分割する。Ｎ＝３の場合には、認証情報が３つの割符ファイルに分割され、１つの割符ファイルからは元の認証情報を復元できないが、２つの割符ファイルからは元の認証情報を復元することができる。

　ステップＳ２２において、データ管理部３８３が、所定の（Ｍ－１）個の情報端末の各々に少なくとも１つの割符ファイルを送信して（Ｍは３以上でＮ以下の整数）、スマートフォン３０を含むＭ個の情報端末にＮ個の割符ファイルを格納させる。Ｍ＝Ｎ＝３の場合には、３つの情報端末の各々が１つの割符ファイルを格納する。

　その後、外交員Ａが、操作部３１ｂを操作することにより、対象情報の格納を要求し、セールス活動に用いられる所定の対象情報の保存場所及びファイル名等を指定すると、データ管理部３８３は、銀行に設置された業務用サーバー８０等から対象情報を読み出して、対象情報をスマートフォン３０又は他の情報端末の記憶媒体に格納させる。

　外交員Ａがノート型ＰＣ１０～スマートフォン３０を顧客先に運搬して対象情報を利用する際に、外交員Ａは、操作部３１ｂを操作することにより、スマートフォン３０にインストールされている情報管理プログラムを起動して、対象情報へのアクセスを要求する。

　ステップＳ２３において、データ管理部３８３が、データ通信回路３５を用いて、他の情報端末と所定の距離内にあるときに限りその情報端末との間で有線又は無線でデータ通信を行う。それにより、所定の（Ｍ－１）個の情報端末の内の少なくとも１つとの間で接続が確立されて、Ｎ個の割符ファイルの内の少なくとも（Ｋ＋１）個の割符ファイルが読み出されたときに、スマートフォン３０のデータ復元部３８４が、読み出された情報に基づいて元の認証情報を復元する。なお、データ管理部３８３は、少なくとも１つの情報端末との間でデータ通信回路３５を用いた接続を確立して割符ファイルを読み出したならば、それ以外の情報端末との間では、無線通信回路３４を用いた通信を行って割符ファイルを読み出しても良い。

　ステップＳ２４において、認証管理部３８１が、例えば、ＩＤコード及びパスワードを入力するためのログイン画面を表示部３１ａに表示させて、認証情報の入力を要求する。外交員Ａが操作部３１ｂを用いてＩＤコード及びパスワードを入力すると、ステップＳ２５において、認証管理部３８１が、入力された認証情報が、データ復元部３８４によって復元された認証情報と一致するか否かを判定する。あるいは、パスワードの替わりに指紋等を用いた生体認証が行われても良く、その場合には、指紋のパターン等の生体科学的特徴データが認証情報として用いられる。

　あるいは、データ復元部３８４によって認証情報が復元された場合に、認証管理部３８１が、復元された認証情報を表示部３１ａのログイン画面に表示することによって外交員Ａの操作をアシストしたり、又は、復元された認証情報を表示部３１ａのログイン画面の入力フィールドに自動的に書き込むことによって外交員Ａの操作を省略できるようにしても良い。

　ログインが許可されると、データ管理部３８３は、外交員Ａによる対象情報へのアクセス要求に応じて、例えば、対象情報のファイル名のリストを表示部３１ａに表示する。外交員Ａが、所望の対象情報のファイル名を選択すると、ステップＳ２６において、データ管理部３８３が、無線通信回路３４又はデータ通信回路３５を用いて、スマートフォン３０又は他の携帯端末の記憶媒体に格納されている対象情報を読み出す。その結果、外交員Ａは、所望の対象情報を入手することができる。

　以上と同様の動作は、スマートフォン３０以外のノート型ＰＣ１０やスマートウォッチ２０等においても可能である。従って、運搬中にスマートフォン３０が紛失したり又は盗難に遭遇した場合でも、正当な権限を有する者は、例えば、ノート型ＰＣ１０とスマートウォッチ２０との間でデータ通信回路を用いた接続が確立されて、全部で（Ｋ＋１）個の割符ファイルが読み出されたならば、読み出された情報に基づいて元の電子情報を復元することができる。

　また、スマートフォン３０とノート型ＰＣ１０及びスマートウォッチ２０等との距離が所定の距離よりも広がると、スマートフォン３０においては、ノート型ＰＣ１０及びスマートウォッチ２０等との間のデータ通信が不可能になって元の電子情報を復元できなくなるので、情報漏洩のリスクを低減することができる。

＜情報端末を交換する例＞
　図５は、本発明の第３の実施形態に係る情報管理方法を示すフローチャートである。第３の実施形態は、運搬中に１つの情報端末が紛失したり又は盗難に遭遇した場合に対処する情報管理方法の実施形態である。以下においては、一例として、電子情報として対象情報を複数の割符ファイルに分割し、認証情報を分割しないで、格納部３９の記憶媒体に格納して登録する場合について説明する。また、認証情報は、システム管理サーバー７０にも送信されてそこに格納される。

　図５を参照すると、ステップＳ３１において、データ分割部３８２が、対象情報をＮ個の割符ファイルに分割する際に（Ｎは３以上の整数）、Ｎ個の割符ファイルの内のＫ個以下の割符ファイルからは元の電子情報を復元できないが（ＫはＮ／２の整数部分）、少なくとも（Ｋ＋１）個の割符ファイルからは元の電子情報を復元できるように冗長性を持たせて分割する。

　ステップＳ３２において、データ管理部３８３が、所定の（Ｍ－１）個の情報端末の各々に少なくとも１つの割符ファイルを送信して（Ｍは３以上でＮ以下の整数）、スマートフォン３０を含むＭ個の情報端末にＮ個の割符ファイルを格納させる。Ｍ＝Ｎ＝３の場合には、例えば、ノート型ＰＣ１０～スマートフォン３０の各々が１つの割符ファイルを格納する。

　外交員Ａがノート型ＰＣ１０～スマートフォン３０を顧客先に運搬している途中でスマートフォン３０が紛失又は盗難に遭遇したときには、外交員Ａがノート型ＰＣ１０等を用いてシステム管理サーバー７０にアクセスすることにより、スマートフォン３０に替わる新たなスマートフォン３０ａを登録する。

　それにより、外交員Ａは、スマートフォン３０に格納されていたのと同じ情報管理プログラム及び認証情報を、システム管理サーバー７０からインターネットを介して新たなスマートフォン３０ａにダウンロードすることができる。所望の対象情報を入手するために、外交員Ａは、操作部３１ｂを操作することにより、新たなスマートフォン３０ａにインストールされている情報管理プログラムを起動して、対象情報へのアクセスを要求する。

　ステップＳ３３において、新たなスマートフォン３０ａの認証管理部３８１が、格納部３９の記憶媒体に格納されている認証情報を読み出す。また、ステップＳ３４において、認証管理部３８１が、例えば、ＩＤコード及びパスワードを入力するためのログイン画面を表示部３１ａに表示させて、認証情報の入力を要求する。

　外交員Ａが操作部３１ｂを用いてＩＤコード及びパスワードを入力すると、ステップＳ３５において、認証管理部３８１が、入力された認証情報が、新たなスマートフォン３０ａに登録されている認証情報と一致するか否かを判定する。あるいは、パスワードの替わりに指紋等を用いた生体認証が行われても良く、その場合には、指紋のパターン等の生体科学的特徴データが認証情報として用いられる。

　認証管理部３８１は、両者が一致する場合に、新たなスマートフォン３０ａにインストールされている情報管理プログラム及び／又は情報管理システムへのログインを許可し、両者が一致しない場合に、ＩＤコード及びパスワードを再入力するためのログイン画面を表示部３１ａに表示させる。

　ログインが許可されると、新たなスマートフォン３０ａのデータ管理部３８３は、外交員Ａによる対象情報へのアクセス要求に応じて、例えば、対象情報のファイル名のリストを表示部３１ａに表示する。外交員Ａが、所望の対象情報のファイル名を選択すると、ステップＳ３６において、データ管理部３８３が、データ通信回路３５を用いて、他の情報端末と所定の距離内にあるときに限りその情報端末との間で有線又は無線でデータ通信を行う。

　それにより、所定の（Ｍ－１）個の情報端末の内の少なくとも１つとの間で接続が確立されて、Ｎ個の割符ファイルの内の（Ｋ＋１）個の割符ファイルが読み出されたときに、新たなスマートフォン３０ａのデータ復元部３８４が、読み出された情報に基づいて元の対象情報を復元する。なお、データ管理部３８３は、少なくとも１つの情報端末との間でデータ通信回路３５を用いた接続を確立して割符ファイルを読み出したならば、それ以外の情報端末との間では、無線通信回路３４を用いた通信を行って割符ファイルを読み出しても良い。

　ステップＳ３７において、新たなスマートフォン３０ａのデータ分割部３８２が、復元された対象情報をＮ個の新たな割符ファイルに分割する際に、スマートフォン３０において用いられたのとは異なる分割条件で、Ｎ個の割符ファイルの内のＫ個以下の割符ファイルからは元の電子情報を復元できないが（ＫはＮ／２の整数部分）、少なくとも（Ｋ＋１）個の割符ファイルからは元の電子情報を復元できるように冗長性を持たせて分割する。ここで、異なる分割条件を実現するためには、データを分割する際に、データの区切り位置を変化させたり、ダミーデータを追加したり、又は、データを暗号化するために用いる暗号キーを変更しても良い。

　ステップＳ３８において、新たなスマートフォン３０ａのデータ管理部３８３が、Ｎ個の新たな割符ファイルの内の１つの新たな割符ファイルを新たなスマートフォン３０ａに格納させると共に、他の（Ｎ－１）個の新たな割符ファイルを所定の（Ｍ－１）個の情報端末に送信して、既に格納されている（Ｎ－１）個の割符ファイルを（Ｎ－１）個の新たな割符ファイルでそれぞれ上書きさせる。

　それにより、正当な権限を有しないものがスマートフォン３０を入手したとしても、他の情報端末に格納されていた（Ｎ－１）個の割符ファイルは（Ｎ－１）個の新たな割符ファイルに書き換えられているので、スマートフォン３０に格納されている割符ファイルと他の情報端末に格納されている割符ファイルとを組み合わせても元の電子情報を復元することはできず、情報漏洩のリスクを低減することができる。

　以上の実施形態においては、対象情報と認証情報との内の一方を分割する場合について説明したが、本発明は、この実施形態に限定されるものではなく、対象情報を複数の割符ファイルに分割すると共に認証情報を複数の割符ファイルに分割して、複数の情報端末の各々が対象情報の少なくとも１つの割符ファイルと認証情報の少なくとも１つの割符ファイルとを格納するようにしても良い。このように、当該技術分野において通常の知識を有する者によって、本発明の技術的思想内で多くの変形が可能である。

　本発明は、複数の情報端末を用いて各種の電子情報を管理する情報管理システム、又は、そのような情報管理システムにおいて用いられる情報端末、情報管理プログラム、及び、情報管理方法等において利用することが可能である。

　１０…ノート型ＰＣ、２０…スマートウォッチ、３０、３０ａ…スマートフォン、４０…利用者認証端末、５０…割符ファイル保管サーバー、６０…認証サーバー、７０…システム管理サーバー、８０…業務用サーバー、３１ａ…表示部、３１ｂ…操作部、３２…指紋センサー、３３…音声入出力部、３４…無線通信回路、３５…データ通信回路、３６…ＧＰＳ受信回路、３７…インターフェース、３８…ＣＰＵ、３９…格納部、３８０…通信制御部、３８１…認証管理部、３８２…データ分割部、３８３…データ管理部、３８４…データ復元部、３８５…計時部

Claims

　複数の情報端末を用いて電子情報を管理する情報管理システムにおいて用いられる情報端末であって、
　他の情報端末と所定の距離内にあるときに限りその情報端末との間で有線又は無線でデータ通信が可能なデータ通信回路と、
　所定の電子情報をＮ個の割符ファイルに分割する際に（Ｎは３以上の整数）、前記Ｎ個の割符ファイルの内のＫ個以下の割符ファイルからは元の電子情報を復元できないが（ＫはＮ／２の整数部分）、少なくとも（Ｋ＋１）個の割符ファイルからは元の電子情報を復元できるように冗長性を持たせて分割するデータ分割部と、
　所定の（Ｍ－１）個の情報端末の各々に少なくとも１つの割符ファイルを送信して（Ｍは３以上でＮ以下の整数）、前記情報端末を含むＭ個の情報端末に前記Ｎ個の割符ファイルを格納させるデータ管理部と、
　前記所定の（Ｍ－１）個の情報端末の内の少なくとも１つとの間で前記データ通信回路を用いた接続が確立されて、前記Ｎ個の割符ファイルの内の少なくとも（Ｋ＋１）個の割符ファイルが読み出されたときに、読み出された情報に基づいて元の電子情報を復元するデータ復元部と、
を備える情報端末。
　前記Ｎ個の割符ファイルの各々が、（ｉ）元の電子情報の復元条件に関する情報又は前記Ｎ個の割符ファイルの管理情報を含み、単体の割符ファイルからその内容を解読できる第１の領域と、（ii）元の電子情報の一部を含み、前記Ｎ個の割符ファイルの内の少なくとも（Ｋ＋１）個の割符ファイルが揃わないとその内容を解読できない第２の領域とを有する、請求項１記載の情報端末。
　前記データ復元部が、前記Ｎ個の割符ファイルの内の少なくとも１つの割符ファイルの第１の領域から元の電子情報の復元条件に関する情報又は前記Ｎ個の割符ファイルの管理情報を読み出し、読み出された情報に基づいて前記Ｎ個の割符ファイルの内の少なくとも（Ｋ＋１）個の割符ファイルの第２の領域の内容を組み合わせて読み出すことにより、元の電子情報を復元する、請求項２記載の情報端末。
　複数の情報端末を用いて電子情報を管理する情報管理システムにおいて用いられる情報端末であって、
　他の情報端末と所定の距離内にあるときに限りその情報端末との間で有線又は無線でデータ通信が可能なデータ通信回路と、
　所定の電子情報をＮ個の割符ファイルに分割する際に（Ｎは２以上の整数）、元の電子情報の復元のために前記Ｎ個の割符ファイルの全てが必要となるように分割するデータ分割部と、
　所定の（Ｍ－１）個の情報端末の各々に少なくとも１つの割符ファイルを送信して（Ｍは２以上でＮ以下の整数）、前記情報端末を含むＭ個の情報端末に前記Ｎ個の割符ファイルを格納させるデータ管理部と、
　前記所定の（Ｍ－１）個の情報端末の内の少なくとも１つとの間で前記データ通信回路を用いた接続が確立されて、前記Ｎ個の割符ファイルが読み出されたときに、読み出された情報に基づいて元の電子情報を復元するデータ復元部と、
を備える情報端末。
　他の情報端末を利用するための認証情報を管理し、その情報端末に対する手動ログインを省略するために、前記データ通信回路を用いて、その情報端末を利用するための認証情報をその情報端末に自動的に送信する認証管理部をさらに備える、請求項１～４のいずれか１項記載の情報端末。
　前記所定の電子情報をＮ個の割符ファイルに分割し、前記データ通信回路を用いて前記所定の距離内にある他の情報端末に少なくとも１つの割符ファイルを送信して格納させる割符化処理が良好に実施できないときに、前記割符化処理を強制的に実施するための手段をさらに備える、請求項１～５のいずれか１項記載の情報端末。
　前記データ通信回路を用いて前記所定の距離内にある他の情報端末から少なくとも１つの割符ファイルを受信して元の電子情報を復元する復元処理が良好に実施できないときに、前記復元処理を強制的に実施するための手段をさらに備える、請求項１～６のいずれか１項記載の情報端末。
　前記データ分割部が、前記データ復元部によって復元された電子情報を自動割り直しによってＮ個の新たな割符ファイルに再度分割し、前記データ管理部が、前記Ｍ個の情報端末に既に格納されている前記Ｎ個の割符ファイルを前記Ｎ個の新たな割符ファイルでそれぞれ上書きさせる、請求項１～７のいずれか１項記載の情報端末。
　前記情報管理システムにおいて管理すべき電子情報が、業務の対象となる対象情報と、少なくとも認証に用いられる認証情報とを含み、
　前記データ分割部が、前記対象情報を分割せずに、前記認証情報を分割する、請求項１～８のいずれか１項記載の情報端末。
　外部との間で無線通信を行う無線通信回路をさらに備え、
　前記データ管理部が、前記所定の（Ｍ－１）個の情報端末の内の所定数の情報端末との間で前記データ通信回路を用いた接続が確立できないと判定したとき、前記情報端末が所定の領域外にあると判定したとき、又は、前記情報端末に格納されている割符ファイルの有効期限が切れたと判定したときに、前記無線通信回路を用いて外部に通知を送信する、請求項１～９のいずれか１項記載の情報端末。
　前記データ管理部が、前記所定の（Ｍ－１）個の情報端末の内の所定数の情報端末との間で前記データ通信回路を用いた接続が確立できないと判定したとき、前記情報端末が所定の領域外にあると判定したとき、又は、前記情報端末に格納されている割符ファイルの有効期限が切れたと判定したときに、前記情報端末に格納されている割符ファイルを削除する、請求項１～９のいずれか１項記載の情報端末。
　請求項１～１１のいずれか１項記載の情報端末と、
　（Ｍ－１）個の情報端末であって、各々が、前記情報端末から送信される少なくとも１つの割符ファイルを受信して格納し、前記情報端末からの要求に応じて前記少なくとも１つの割符ファイルを前記情報端末に送信する前記（Ｍ－１）個の情報端末と、
を備える情報管理システム。
　複数の情報端末を用いて電子情報を管理する情報管理システムの１つの情報端末において用いられる情報管理プログラムであって、
　所定の電子情報をＮ個の割符ファイルに分割する際に（Ｎは３以上の整数）、前記Ｎ個の割符ファイルの内のＫ個以下の割符ファイルからは元の電子情報を復元できないが（ＫはＮ／２の整数部分）、少なくとも（Ｋ＋１）個の割符ファイルからは元の電子情報を復元できるように冗長性を持たせて分割する手順（ａ）と、
　所定の（Ｍ－１）個の情報端末の各々に少なくとも１つの割符ファイルを送信して（Ｍは３以上でＮ以下の整数）、前記情報端末を含むＭ個の情報端末に前記Ｎ個の割符ファイルを格納させる手順（ｂ）と、
　他の情報端末と所定の距離内にあるときに限りその情報端末との間で有線又は無線でデータ通信を行うことにより、前記所定の（Ｍ－１）個の情報端末の内の少なくとも１つとの間で接続が確立されて、前記Ｎ個の割符ファイルの内の少なくとも（Ｋ＋１）個の割符ファイルが読み出されたときに、読み出された情報に基づいて元の電子情報を復元する手順（ｃ）と、
をＣＰＵに実行させる情報管理プログラム。
　複数の情報端末を用いて電子情報を管理する情報管理システムの１つの情報端末において用いられる情報管理方法であって、
　所定の電子情報をＮ個の割符ファイルに分割する際に（Ｎは３以上の整数）、前記Ｎ個の割符ファイルの内のＫ個以下の割符ファイルからは元の電子情報を復元できないが（ＫはＮ／２の整数部分）、少なくとも（Ｋ＋１）個の割符ファイルからは元の電子情報を復元できるように冗長性を持たせて分割するステップ（ａ）と、
　所定の（Ｍ－１）個の情報端末の各々に少なくとも１つの割符ファイルを送信して（Ｍは３以上でＮ以下の整数）、前記情報端末を含むＭ個の情報端末に前記Ｎ個の割符ファイルを格納させるステップ（ｂ）と、
　他の情報端末と所定の距離内にあるときに限りその情報端末との間で有線又は無線でデータ通信を行うことにより、前記所定の（Ｍ－１）個の情報端末の内の少なくとも１つとの間で接続が確立されて、前記Ｎ個の割符ファイルの内の少なくとも（Ｋ＋１）個の割符ファイルが読み出されたときに、読み出された情報に基づいて元の電子情報を復元するステップ（ｃ）と、
を備える情報管理方法。
　複数の情報端末を用いて電子情報を管理する情報管理システムにおいて用いられる情報管理方法であって、１つの情報端末において、
　所定の電子情報をＮ個の割符ファイルに分割する際に（Ｎは３以上の整数）、前記Ｎ個の割符ファイルの内のＫ個以下の割符ファイルからは元の電子情報を復元できないが（ＫはＮ／２の整数部分）、少なくとも（Ｋ＋１）個の割符ファイルからは元の電子情報を復元できるように冗長性を持たせて分割するステップ（ａ）と、
　所定の（Ｍ－１）個の情報端末の各々に少なくとも１つの割符ファイルを送信して（Ｍは３以上でＮ以下の整数）、前記情報端末を含むＭ個の情報端末に前記Ｎ個の割符ファイルを格納させるステップ（ｂ）と、
　前記情報端末が紛失又は盗難に遭遇したときに、前記情報端末に替わる新たな情報端末において、
　他の情報端末と所定の距離内にあるときに限りその情報端末との間で有線又は無線でデータ通信を行うことにより、前記所定の（Ｍ－１）個の情報端末の内の少なくとも１つとの間で接続が確立されて、前記Ｎ個の割符ファイルの内の（Ｋ＋１）個の割符ファイルが読み出されたときに、読み出された情報に基づいて元の電子情報を復元するステップ（ｃ）と、
　復元された電子情報をＮ個の新たな割符ファイルに分割する際に、前記情報端末において用いられたのとは異なる分割条件で、前記Ｎ個の割符ファイルの内のＫ個以下の割符ファイルからは元の電子情報を復元できないが、少なくとも（Ｋ＋１）個の割符ファイルからは元の電子情報を復元できるように冗長性を持たせて分割するステップ（ｄ）と、
　前記Ｎ個の新たな割符ファイルの内の１つの割符ファイルを前記新たな情報端末に格納させると共に、前記Ｎ個の新たな割符ファイルの内の他の（Ｎ－１）個の割符ファイルを前記所定の（Ｍ－１）個の情報端末に送信して、既に格納されている前記（Ｎ－１）個の割符ファイルを前記（Ｎ－１）個の新たな割符ファイルでそれぞれ上書きさせるステップ（ｅ）と、
を備える情報管理方法。