WO2022255396A1

WO2022255396A1 - 電子装置、システム、及び電子装置の記憶装置に格納されたデータを消去する方法

Info

Publication number: WO2022255396A1
Application number: PCT/JP2022/022259
Authority: WO
Inventors: 克直高橋; 健吾都築; 昌紀北御門
Original assignee: パナソニックＩｐマネジメント株式会社
Priority date: 2021-06-02
Filing date: 2022-06-01
Publication date: 2022-12-08
Also published as: JPWO2022255396A1; US20240094938A1

Abstract

電子装置は、第１の記憶装置と、通信装置と、プロセッサとを備える。プロセッサは、通信装置を用いて、第１の記憶装置を一意に識別する識別情報を含む第１の信号をサーバ装置に送信することにより、電子装置をサーバ装置に登録させ、第１の記憶装置の識別情報を含み、第１の記憶装置に格納されたデータを消去すべきであるとサーバ装置に登録されているか否かを問いあわせる第２の信号をサーバ装置に送信し、第１の記憶装置に格納されたデータを消去することを指示する第３の信号をサーバ装置から受信した場合、第１の記憶装置に格納されたデータを消去する。第３の信号は、第２の信号に含まれる第１の記憶装置の識別情報が第１の信号に含まれる第１の記憶装置の識別情報に一致しているとサーバ装置が判断し、かつ、第１の記憶装置に格納されたデータを消去すべきであるとサーバ装置に登録されている場合、サーバ装置から電子装置に送信される。

Description

電子装置、システム、及び電子装置の記憶装置に格納されたデータを消去する方法

　本開示は、電子装置、システム、及び電子装置の記憶装置に格納されたデータを消去する方法に関する。

　会社などの組織がパーソナルコンピュータなどの電子装置を廃棄するとき、業務上の機密情報の流出をさけるために、その記憶装置に格納されたデータを消去することが求められる。

　特許文献１は、管理対象となる端末における記憶装置内のデータ消去処理を実施させ、その実施結果を管理対象端末毎に管理用データベースに記録して管理するデータ消去管理方法を開示している。

特許第４４９３６７７号公報

　ある組織が多数の電子装置を管理している場合、誤って、消去対象ではない電子装置の記憶装置に格納されたデータを消去してしまうおそれがある。また、多数の電子装置の記憶装置に格納されたデータを消去するには、時間及び手間がかかる。従って、記憶装置に格納されたデータを誤りなく特定して容易に消去することが求められる。

　本開示は、記憶装置に格納されたデータを誤りなく特定して容易に消去することができる電子装置を提供する。また、本開示は、そのような電子装置及びサーバ装置を含むシステムを提供する。また、本開示は、電子装置の記憶装置に格納されたデータを消去する方法を提供する。

　本開示の一態様に係る電子装置は、第１の記憶装置と、通信装置と、プロセッサとを備える。プロセッサは、通信装置を用いて、第１の記憶装置を一意に識別する識別情報を含む第１の信号をサーバ装置に送信することにより、電子装置をサーバ装置に登録させる。プロセッサは、通信装置を用いて、第１の記憶装置の識別情報を含む第２の信号であって、第１の記憶装置に格納されたデータを消去すべきであるとサーバ装置に登録されているか否かを問いあわせる第２の信号をサーバ装置に送信する。プロセッサは、通信装置を用いて、第１の記憶装置に格納されたデータを消去することを指示する第３の信号をサーバ装置から受信した場合、第１の記憶装置に格納されたデータを消去する。第３の信号は、第２の信号に含まれる第１の記憶装置の識別情報が第１の信号に含まれる第１の記憶装置の識別情報に一致しているとサーバ装置が判断し、かつ、第１の記憶装置に格納されたデータを消去すべきであるとサーバ装置に登録されている場合、サーバ装置から電子装置に送信される。

　本開示の一態様に係る電子装置によれば、記憶装置に格納されたデータを誤りなく特定して容易に消去することができる。

第１の実施形態に係るシステム１００の構成を示す概略図である。図１のクライアント装置１の構成を示すブロック図である。図１のサーバ装置２の構成を示すブロック図である。図１の管理者装置３の構成を示すブロック図である。図１のユーザ端末装置４の構成を示すブロック図である。図２のプロセッサ１１によって実行されるファームウェアプログラム５０及び消去アプリケーションプログラム７０の機能ブロックを示す概略図である。図２のプロセッサ１１によって実行される消去アプリケーションプログラム７０による登録処理を示すフローチャートである。図３のプロセッサ２１によって実行されるサーバ装置２の登録処理を示すフローチャートである。図３のメモリ２２に格納される管理テーブル２２ａの例示的な内容を示す図である。図２のプロセッサ１１によって実行される消去アプリケーションプログラム７０による消去処理を示すフローチャートである。図２のプロセッサ１１によって実行されるファームウェアプログラム５０による消去処理を示すフローチャートである。図３のプロセッサ２１によって実行されるサーバ装置２の消去処理を示すフローチャートである。図１１のステップＳ３９において、クライアント装置１の表示装置１６に表示される内容を示す図である。図１のシステム１００において通信回線６を介する消去結果情報の送信に成功した場合におけるシステム１００の動作を示すシーケンス図である。図１のシステム１００において通信回線６を介する消去結果情報の送信に失敗した場合におけるシステム１００の動作を示すシーケンス図である。第２の実施形態に係るシステムの動作であって、クライアント装置１のプロセッサ１１によって実行されるファームウェアプログラム５０による消去及び検証処理を示すフローチャートである。図１６のステップＳ７０（検証処理）のサブルーチンを示すフローチャートである。第２の実施形態に係るシステムの動作であって、プロセッサ２１によって実行されるサーバ装置２の消去及び検証処理を示すフローチャートである。記憶装置１３の第１の検証方法を説明するための概略図である。記憶装置１３の第２の検証方法を説明するための概略図である。第２の実施形態に係るシステムの動作であって、通信回線６を介する消去結果情報及び検証結果情報の送信に成功した場合におけるシステム１００の動作を示すシーケンス図である。第２の実施形態に係るシステムの動作であって、通信回線６を介する消去結果情報及び検証結果情報の送信に失敗した場合におけるシステム１００の動作を示すシーケンス図である。第２の実施形態の変形例に係るシステムの動作であって、クライアント装置１のプロセッサ１１によって実行されるステップＳ７０Ａ（検証処理）のサブルーチンを示すフローチャートである。第２の実施形態の変形例に係るシステムの動作であって、プロセッサ２１によって実行されるサーバ装置２の消去及び検証処理を示すフローチャートである。

　以下、適宜図面を参照しながら、実施形態を詳細に説明する。但し、必要以上に詳細な説明は省略する場合がある。例えば、既によく知られた事項の詳細説明や実質的に同一の構成に対する重複説明を省略する場合がある。これは、以下の説明が不必要に冗長になるのを避け、当業者の理解を容易にするためである。

　なお、発明者らは、当業者が本開示を十分に理解するために添付図面および以下の説明を提供するのであって、これらによって請求の範囲に記載の主題を限定することを意図するものではない。

　［第１の実施形態］
　［第１の実施形態の構成］
　図１は、第１の実施形態に係るシステム１００の構成を示す概略図である。図１のシステム１００は、複数のクライアント装置１－１～１－３、サーバ装置２、管理者装置３、ユーザ端末装置４、基地局装置５、及び通信回線６を含む。

　クライアント装置１－１～１－３は、通信回線６を介してサーバ装置２と通信可能に接続される。クライアント装置１－１～１－３は、例えば、パーソナルコンピュータ、携帯電話機など、記憶装置（後述）を備えた電子装置である。

　本明細書では、クライアント装置１－１～１－３を総称して「クライアント装置１」とも呼ぶ。

　サーバ装置２は、各クライアント装置１の記憶装置に格納されたデータの消去を管理する。

　管理者装置３は、通信回線６を介してサーバ装置２と通信可能に接続される。各クライアント装置１の管理者は、管理者装置３を用いてサーバ装置２にアクセスし、格納されたデータを消去すべき記憶装置を指定する。

　ユーザ端末装置４は、カメラ４８及び通信装置を備えた電子機器、例えば携帯電話機である。ユーザ端末装置４は、基地局装置５を介してサーバ装置２と通信可能に接続される。

　通信回線６は、例えば、ローカルエリアネットワーク（ＬＡＮ）、インターネット、又はそれらの組み合わせである。

　例えば、各クライアント装置１及び管理者装置３は、会社などの組織によって所有されてもよく、一方、サーバ装置２は、この組織とは異なるサードパーティによって運用されてもよい。この場合、各クライアント装置１及び管理者装置３を所有する組織は、各クライアント装置１の記憶装置に格納されたデータの消去を管理する契約をサーバ装置２の事業者と結び、この事業者の顧客となる。

　本明細書において、「消去」は、格納されていた元のデータが読み出せなくなるようにすることを意味し、他のデータ、例えば、「０」、「１」、ランダム値などで上書きすることことにより元のデータを読みだせなくなるようにしてもよいし、記憶装置のファームウェアプログラムに組み込まれているコマンド消去機能（例えば、セキュアイレースコマンド）を実行することにより元のデータを読みだせなくなるようにしてもよい。

　図２は、図１のクライアント装置１の構成を示すブロック図である。クライアント装置１は、バス１０、プロセッサ１１、メモリ１２、記憶装置１３、記憶装置１４、通信装置１５、表示装置１６、及び入力装置１７を備える。プロセッサ１１は、クライアント装置１全体の動作を制御し、例えば、記憶装置１３に格納されたデータを消去する。メモリ１２は、クライアント装置１の動作に必要なプログラム及びデータを一時的に記憶する。記憶装置１３は、オペレーティングシステム（ＯＳ）、複数のアプリケーションプログラム（ＡＰＰ）、及びユーザデータを含むデータを格納する。記憶装置１３は、例えば、ハードディスクドライブ（ＨＤＤ）、ソリッドステートドライブ（ＳＳＤ）などの不揮発性記憶媒体である。記憶装置１４は、クライアント装置１のファームウェアプログラム、例えばＵＥＦＩ（Unified Extensible Firmware Interface）又はＢＩＯＳ（Basic Input/Output System）プログラムを格納する。記憶装置１４は、例えば、フラッシュメモリなどの不揮発性記憶媒体である。通信装置１５は、通信回線６を介してサーバ装置２と通信可能に接続される。表示装置１６は、クライアント装置１の状態に関連する情報を表示し、例えば、記憶装置１３に格納されたデータの消去に関連する情報を含む画像を表示する。入力装置１７は、クライアント装置１の動作を制御するユーザ入力、例えば、記憶装置１３に格納されたデータの消去に関連するユーザ入力を受ける。入力装置１７は、例えば、キーボード及びポインティングデバイスを含む。プロセッサ１１、メモリ１２、記憶装置１３、記憶装置１４、通信装置１５、表示装置１６、及び入力装置１７は、バス１０を介して互いに接続される。

　図３は、図１のサーバ装置２の構成を示すブロック図である。サーバ装置２は、バス２０、プロセッサ２１、メモリ２２、記憶装置２３、及び通信装置２５を備える。プロセッサ２１は、サーバ装置２全体の動作を制御し、また、各クライアント装置１の記憶装置１３に格納されたデータの消去を管理する。メモリ２２は、サーバ装置２の動作に必要なプログラム及びデータを一時的に記憶する。例えば、メモリ２２は、各クライアント装置１の記憶装置１３に格納されたデータの消去を管理するための管理テーブル２２ａを格納する。記憶装置２３は、サーバ装置２の動作に必要なプログラムを格納する不揮発性記憶媒体である。通信装置２５は、通信回線６を介して各クライアント装置１及び管理者装置３と通信可能に接続される。プロセッサ２１、メモリ２２、記憶装置２３、及び通信装置２５は、バス２０を介して互いに接続される。

　図４は、図１の管理者装置３の構成を示すブロック図である。管理者装置３は、バス３０、プロセッサ３１、メモリ３２、記憶装置３３、通信装置３５、表示装置３６、及び入力装置３７を備える。プロセッサ３１は、管理者装置３全体の動作を制御する。メモリ３２は、管理者装置３の動作に必要なプログラム及びデータを一時的に記憶する。記憶装置３３は、管理者装置３の動作に必要なプログラムを格納する不揮発性記憶媒体である。通信装置３５は、通信回線６を介してサーバ装置２と通信可能に接続される。表示装置３６は、管理者装置３の状態に関連する情報を表示する。入力装置３７は、管理者装置３の動作を制御するユーザ入力を受ける。入力装置３７は、例えば、キーボード及びポインティングデバイスを含む。プロセッサ３１、メモリ３２、記憶装置３３、通信装置３５、表示装置３６、及び入力装置３７は、バス３０を介して互いに接続される。

　サーバ装置２は、各クライアント装置１の記憶装置に格納されたデータの消去を管理するために、管理者装置３によってアクセス可能なインターフェース、例えばウェブページに基づくインターフェースを提供する。この場合、サーバ装置２は、ウェブサーバのアプリケーションプログラムを実行し、管理者装置３は、ウェブブラウザのアプリケーションプログラムを実行してサーバ装置２のウェブサーバにアクセスする。

　図５は、図１のユーザ端末装置４の構成を示すブロック図である。ユーザ端末装置４は、バス４０、プロセッサ４１、メモリ４２、記憶装置４３、通信装置４５、表示装置４６、入力装置４７、及びカメラ４８を備える。プロセッサ４１は、ユーザ端末装置４全体の動作を制御する。メモリ４２は、ユーザ端末装置４の動作に必要なプログラム及びデータを一時的に記憶する。記憶装置４３は、ユーザ端末装置４の動作に必要なプログラムを格納する不揮発性記憶媒体である。通信装置４５は、基地局装置５を介してサーバ装置２と通信可能に接続される。表示装置４６は、ユーザ端末装置４の状態に関連する情報を表示する。入力装置４７は、ユーザ端末装置４の動作を制御するユーザ入力を受ける。入力装置４７は、例えば、スイッチ及びタッチパネルを含む。カメラ４８は、例えば、クライアント装置１の表示装置１６に表示された画像を撮影する。後述するように、クライアント装置１の表示装置１６には、クライアント装置１の記憶装置１３に格納されたデータの消去に関連する情報を含む画像（例えば、二次元バーコード）が表示されることがある。この場合、ユーザ端末装置４は、撮影された画像の内容を、基地局装置５を介してサーバ装置２に送信する。プロセッサ４１、メモリ４２、記憶装置４３、通信装置４５、表示装置４６、入力装置４７、及びカメラ４８は、バス４０を介して互いに接続されている。

　［第１の実施形態の動作］
　前述したように、クライアント装置１において、記憶装置１３はオペレーティングシステム及び複数のアプリケーションプログラムを格納し、記憶装置１４はファームウェアプログラムを格納する。オペレーティングシステム、各アプリケーションプログラム、及びファームウェアプログラムは、プロセッサ１１によって実行される。一般に、クライアント装置１の起動時において、最初にファームウェアプログラムが実行され、次いで、ファームウェアプログラムからオペレーティングシステムが呼び出される。アプリケーションプログラムは、オペレーティングシステム上で実行される。アプリケーションプログラムは、オペレーティングシステムを介してクライアント装置１の各ハードウェア装置（記憶装置１３、記憶装置１４、通信装置１５、表示装置１６、及び入力装置１７）にアクセスする。一方、ファームウェアプログラムは、オペレーティングシステムを介することなく直接にクライアント装置１の各ハードウェア装置にアクセスする。アプリケーションプログラムのうちの１つは、記憶装置１３に格納されたデータを消去するための消去アプリケーションプログラムである。クライアント装置１は、消去アプリケーションプログラム及びファームウェアプログラムを実行することにより、記憶装置１３に格納されたデータを消去するように構成される。

　図６は、図２のプロセッサ１１によって実行されるファームウェアプログラム５０及び消去アプリケーションプログラム７０の機能ブロックを示す概略図である。

　ファームウェアプログラム５０は、その機能ブロックとして、例えば、コア制御部５１、消去制御部５２、データ符号化部５３、及び二次元バーコード生成部５４を含む。コア制御部５１は、ファームウェアプログラム５０の他の機能ブロックを制御し、機能ブロック間のデータの入出力を制御し、ファームウェアプログラム５０の外部に対するデータの入出力を制御する。消去制御部５２は、記憶装置１３に格納されたデータの消去を制御する。データ符号化部５３は、記憶装置１３に格納されたすべてのデータの消去に成功したか否かを示す消去結果情報を、予め決められた符号化方式で符号化する。二次元バーコード生成部５４は、記憶装置１３に格納されたすべてのデータの消去に成功したか否かを示す消去結果情報（データの消去に成功した場合は消去完了情報を含む）を含む二次元バーコードを生成する。

　オペレーティングシステム６０は、クライアント装置１の各ハードウェア装置（記憶装置１３、記憶装置１４、通信装置１５、表示装置１６、及び入力装置１７）のためのインターフェースを、消去アプリケーションプログラム７０及び他のアプリケーションプログラム（図示せず）に提供する。オペレーティングシステム６０は、その機能ブロックとして、例えば、装置情報モニタ６１及び電源管理部６２を備える。装置情報モニタ６１は、クライアント装置１の情報をクライアント装置１から取得し、また、クライアント装置１のさまざまな構成要素の情報を当該構成要素から取得する。図６の例では、装置情報モニタ６１がクライアント装置１の記憶装置１３の情報を取得する場合を示す。クライアント装置１の情報は、例えば、クライアント装置１の製造業者、機種、シリアル番号、及びＵＵＩＤ（Universally Unique Identifier）を含む。記憶装置１３の情報は、例えば、記憶装置１３の製造業者、機種、シリアル番号、ＵＵＩＤ、及び容量を含む。電源管理部６２は、クライアント装置１の停止、サスペンド、休止、及び再起動を制御する。

　クライアント装置１の製造業者、クライアント装置１の機種、クライアント装置１のシリアル番号、クライアント装置１のＵＵＩＤ、記憶装置１３の製造業者、記憶装置１３の機種、記憶装置１３のシリアル番号、記憶装置１３のＵＵＩＤ、及び記憶装置１３の容量のうちの少なくとも一部を用いて、あるサーバ装置２の管理下にある各クライアント装置１の記憶装置１３を互いに識別することができる。従って、クライアント装置１の製造業者、クライアント装置１の機種、クライアント装置１のシリアル番号、クライアント装置１のＵＵＩＤ、記憶装置１３の製造業者、記憶装置１３の機種、記憶装置１３のシリアル番号、記憶装置１３のＵＵＩＤ、及び記憶装置１３の容量のうちの少なくとも一部は、記憶装置１３を一意に識別する識別情報として使用可能である。

　消去アプリケーションプログラム７０は、その機能ブロックとして、例えば、コア制御部７１を含む。コア制御部７１は、消去アプリケーションプログラム７０の他の機能ブロック（図示せず）を制御し、機能ブロック間のデータの入出力を制御し、消去アプリケーションプログラム７０の外部に対するデータの入出力を制御する。

　また、クライアント装置１の記憶装置１３は、図６に示す機能ブロックを含むファームウェアプログラムを実行する。記憶装置１３は、その機能ブロックとして、例えば、コア制御部８１、読み出し部８２、書き込み部８３、及び消去部８４を含む。コア制御部８１は、記憶装置１３の他の機能ブロックを制御し、機能ブロック間のデータの入出力を制御する。読み出し部８２は、記憶装置１３の記憶媒体（図示せず）からデータを読み出す。書き込み部８３は、記憶装置１３の記憶媒体に対してデータを書き込む（「０」、「１」、ランダム値などで上書きすることにより元のデータを消去する場合を含む）。消去部８４は、記憶装置１３の記憶媒体のデータを消去する（ファームウェアプログラムに組み込まれているセキュアイレースコマンドを実行することによりデータを消去する場合を含む）。

　以下、図６の各機能ブロックを参照してクライアント装置１の動作について説明し、また、サーバ装置２の動作について説明する。

　図７は、図２のプロセッサ１１によって実行される消去アプリケーションプログラム７０によるクライアント装置１の登録処理を示すフローチャートである。図８は、図３のプロセッサ２１によって実行されるサーバ装置２の登録処理を示すフローチャートである。

　各クライアント装置１を所有する組織がサーバ装置２に登録されていない場合、図７の登録処理を実行する前に、各クライアント装置１を所有する組織の管理者又は他の担当者は、サーバ装置２から以下の情報を取得する。
・サーバ装置２のアカウント情報（顧客ＩＤ及びパスワード）
・消去アプリケーションプログラム７０のＵＲＬ（Uniform Resource Locator）
・顧客番号（アカウント情報に関連付けられ、顧客ごとに割り当てられるシリアル番号）
　顧客番号は、顧客ごと、すなわち、各クライアント装置１の記憶装置に格納されたデータの消去を管理する契約ごとに生成されるので、各クライアント装置１又は記憶装置１３の識別情報ではない。

　各クライアント装置１は、消去アプリケーションプログラム７０のＵＲＬにアクセスし、消去アプリケーションプログラム７０をダウンロードしてインストールする。インストール後、消去アプリケーションプログラム７０は自動的に又は手動で起動する。消去アプリケーションプログラム７０の起動後、クライアント装置１の記憶装置１３をサーバ装置２に登録するために、プロセッサ１１は図７の登録処理を実行する。

　図７のステップＳ１において、クライアント装置１のコア制御部７１は、クライアント装置１を所有する組織に割り当てられた顧客番号の入力を促すダイアログボックスを表示装置１６に表示する。クライアント装置１のユーザは、ダイアログボックスに従って、入力装置１７を用いて顧客番号を入力する。コア制御部７１は、入力装置１７を介して、顧客番号をユーザから取得する。

　ステップＳ２において、クライアント装置１のコア制御部７１は、クライアント装置１の情報及び記憶装置１３の情報をオペレーティングシステム６０の装置情報モニタ６１から取得する。

　ステップＳ３において、クライアント装置１のコア制御部７１は、通信装置１５を用いて、顧客番号、クライアント装置１の情報、及び記憶装置１３の情報をサーバ装置２に送信する。

　図８のステップＳ１１において、サーバ装置２は、顧客番号、クライアント装置１の情報、及び記憶装置１３の情報を受信する。ステップＳ１２において、サーバ装置２は、クライアント装置１及びその記憶装置１３を新たな管理対象として管理テーブル２２ａに登録する。クライアント装置１及びその記憶装置１３を登録したとき、ステップＳ１３において、サーバ装置２は、クライアント装置１に肯定応答信号を送信する。

　図７のステップＳ４において、クライアント装置１のコア制御部７１は、サーバ装置２からの肯定応答信号を受信したか否かを判断し、ＹＥＳのときは処理を終了し、ＮＯのときはステップＳ３に戻る。

　図７及び図８の登録処理を実行することにより、クライアント装置１の記憶装置１３は、新たな管理対象として、サーバ装置２の管理テーブル２２ａに登録される。図７及び図８の登録処理によれば、クライアント装置１のユーザは、入力装置１７を用いて顧客番号を入力するだけでよく、クライアント装置１の情報及び記憶装置１３の情報は、クライアント装置１からサーバ装置２に自動的に送信される。図７及び図８の登録処理によれば、クライアント装置１のユーザは、所属する組織（又はクライアント装置１を所有する組織）を意識する必要なく、サーバ装置２は、顧客番号に基づいて、登録された記憶装置１３を顧客ごとに自動的に分類する。

　各クライアント装置１の記憶装置１３がサーバ装置２に登録された後、各クライアント装置１を所有する組織の管理者は、必要に応じて、記憶装置１３に格納されたデータを消去すべきであるとサーバ装置２に登録する。このため、管理者は、まず、管理者装置３を用いてサーバ装置２にアクセスし、アカウント情報を用いてサーバ装置２にログインする。次いで、管理者は、管理テーブル２２ａに登録された記憶装置１３のリストを閲覧しながら、１つ又は複数の記憶装置１３に対して、格納されたデータを消去すべきであることを示す消去フラグを設定する。

　図９は、図３のメモリ２２に格納される管理テーブル２２ａの例示的な内容を示す図である。管理テーブル２２ａは、管理対象となるクライアント装置１又は記憶装置１３ごとに、例えば、顧客番号、グループ番号、クライアント装置１の情報、記憶装置１３の情報、消去フラグ、処理番号、消去開始時刻、及び消去終了時刻を含む。

　顧客番号は、前述したように、顧客ごとに割り当てられる。グループ番号は、顧客の組織の一部である任意のサブ組織（グループ）に対して割り当てられる。例えば、顧客が会社である場合、グループは、その会社の部又は課であってもよい。クライアント装置１の情報は、前述したように、例えば、クライアント装置１の製造業者、機種、シリアル番号、及びＵＵＩＤを含む。記憶装置１３の情報は、前述したように、例えば、記憶装置１３の製造業者、機種、シリアル番号、ＵＵＩＤ、及び容量を含む。消去フラグは、前述したように、記憶装置１３に格納されたデータを消去すべきであることを示す。処理番号は、記憶装置１３に格納されたデータを消去すべきであると消去フラグにより設定されている記憶装置１３ごとに発行される。消去開始時刻及び消去終了時刻は、記憶装置１３に格納されたデータの消去を実際に開始した時刻及び終了した時刻を示す。

　顧客番号は、サーバ装置２によって提供される。グループ番号、クライアント装置１の情報、及び記憶装置１３の情報は、クライアント装置１によって提供される。消去フラグは、各クライアント装置１を所有する組織の管理者によって管理者装置３を用いて設定される。処理番号は、格納されたデータを消去すべきであることを示す消去フラグが設定されたとき、サーバ装置によって提供される。消去開始時刻及び消去終了時刻は、記憶装置１３に格納されたデータを実際に消去したときに取得される。

　サーバ装置２は、管理テーブル２２ａに基づいて、各クライアント装置１及び各記憶装置１３の状態を示すステータスレポートを生成してもよい。ステータスレポートは、例えば、各記憶装置１３が以下のいずれの状態にあるのかを示す。
・消去フラグ設定済み
・消去中
・消去完了
・消去完了かつ消去証明書発行済み
・消去失敗
　消去証明書については後述する。

　ステータスレポートは、さらに以下の情報を含んでもよい。
・消去フラグの設定日時
・消去の承認者
・消去開始日時
・消去完了日時
・消去方式
・クライアント装置１の製造業者、機種、及びシリアル番号
・記憶装置１３の製造業者、機種、シリアル番号、及び容量
　管理者は、管理者装置３を用いてサーバ装置２にアクセスすることによりステータスレポートを見ることができる。

　図１０は、図２のプロセッサ１１によって実行される消去アプリケーションプログラム７０による消去処理を示すフローチャートである。図１１は、図２のプロセッサ１１によって実行されるファームウェアプログラム５０による消去処理を示すフローチャートである。図１２は、図３のプロセッサ２１によって実行されるサーバ装置２の消去処理を示すフローチャートである。

　まず、図１２のステップＳ５１において、サーバ装置２は、管理者装置３により消去対象の記憶装置１３が指定されたか否かを判断し、ＹＥＳのときはステップＳ５２に進み、ＮＯのときはステップＳ５１を繰り返す。ステップＳ５２において、サーバ装置２は、管理テーブル２２ａにおいて、消去対象として指定された記憶装置１３に消去フラグを設定し、この記憶装置１３のステータスレポートを更新する。

　また、クライアント装置１の起動後、消去アプリケーションプログラム７０は自動的に、又は手動で起動する。

　図１０のステップＳ２１において、クライアント装置１のコア制御部７１は、サーバ装置２の管理テーブル２２ａにおいて、図１０の消去処理を実行しているクライアント装置１の記憶装置１３について消去フラグが登録されているかを、通信装置１５を用いてサーバ装置２に問いあわせる。

　図１２のステップＳ５３において、サーバ装置２は、クライアント装置１から消去フラグの問いあわせを受けたか否かを判断し、ＹＥＳのときはステップＳ５４に進み、ＮＯのときはステップＳ５１に戻る。ステップＳ５４において、サーバ装置２は、消去フラグの有無をクライアント装置１に返信する。

　図１０のステップＳ２２において、クライアント装置１のコア制御部７１は、サーバ装置２の管理テーブル２２ａにおいて、図１０の消去処理を実行しているクライアント装置１の記憶装置１３について消去フラグが登録されているか否かを判断し、ＹＥＳのときはステップＳ２３に進み、ＮＯのときはステップＳ２１に戻る。

　ステップＳ２３において、クライアント装置１のコア制御部７１は、通信装置１５を用いて、クライアント装置１の情報及び記憶装置１３の情報をサーバ装置２に送信する。

　図１２のステップＳ５５において、サーバ装置２は、クライアント装置１及び記憶装置１３の情報を受信したか否かを判断し、ＹＥＳのときはステップＳ５６に進み、ＮＯのときはステップＳ５１に戻る。

　サーバ装置２が受信したクライアント装置１の情報及び記憶装置１３の情報が、図７の登録処理によって管理テーブル２２ａに登録されたクライアント装置１の情報及び記憶装置１３の情報に一致している場合、ステップＳ５６において、サーバ装置２は、図１０の消去処理を実行しているクライアント装置１の記憶装置１３のための処理番号を生成してクライアント装置１に送信する。サーバ装置２は、受信したクライアント装置１の情報及び記憶装置１３の情報に基づいて記憶装置１３を特定できない場合、又は、消去フラグが設定されていない場合には、エラーを応答として返す。受信したクライアント装置１の情報及び記憶装置１３の情報に基づいて記憶装置１３を特定できても、消去フラグが設定されていないか、記憶装置１３の識別情報が異なる場合には、異なっていることを応答として返してもよい。この場合、処理番号を返さないので、クライアント装置１は記憶装置に格納されたデータを消去することができない。

　図１０のステップＳ２４において、クライアント装置１のコア制御部７１は、ステップＳ２３において送信した情報に応答して、消去のための処理番号を受信したか否かを判断し、ＹＥＳのときはステップＳ２５に進み、ＮＯのときはステップＳ２３に戻る。

　ステップＳ２５において、クライアント装置１のコア制御部７１は、記憶装置１３に格納されたデータの消去の可否を確認するダイアログボックスを表示装置１６に表示する。クライアント装置１のユーザは、ダイアログボックスに従って、入力装置１７を用いて、記憶装置１３に格納されたデータの消去の可否を入力する。コア制御部７１は、入力装置１７を介して、記憶装置１３に格納されたデータの消去の可否を取得する。

　ステップＳ２６において、クライアント装置１のコア制御部７１は、記憶装置１３に格納されたデータの消去がユーザによって承諾されたか否かを判断し、ＹＥＳのときはステップＳ２７に進み、ＮＯのときは処理を終了する。

　ステップＳ２７において、クライアント装置１のコア制御部７１は、記憶装置１３のＵＵＩＤ、処理番号、サーバ装置２のアドレス、及び消去方式の情報をファームウェアプログラム５０に送る。消去方式の情報は、例えば、セキュアイレース（コマンド消去の一例）、上書き３回消去（上書き内容：「０」、「１」、ランダム値のいずれか）、上書き１回消去（上書き内容：「０」、「１」、ランダム値のいずれか）、失敗、などを含む。

　ファームウェアプログラム５０のコア制御部５１は、消去アプリケーションプログラム７０から取得された記憶装置１３のＵＵＩＤ、処理番号、サーバ装置２のアドレス、及び消去方式の情報を記憶装置１４に格納する（図１１のステップＳ３１を参照）。コア制御部５１は、記憶装置１３のＵＵＩＤ、処理番号、サーバ装置２のアドレス、消去方式の情報を取得及び格納したとき、消去アプリケーションプログラム７０に肯定応答信号を送る（図１１のステップＳ３２を参照）。

　図１０のステップＳ２８において、クライアント装置１のコア制御部７１は、ファームウェアプログラム５０から肯定応答信号を受信したか否かを判断し、ＹＥＳのときはステップＳ２９に進み、ＮＯのときはステップＳ２７に戻る。

　ステップＳ２９において、クライアント装置１のコア制御部７１は、オペレーティングシステム６０の電源管理部６２に制御信号を送ることで、クライアント装置１を再起動する。

　図１１のステップＳ３１～Ｓ３３は、図１０のステップＳ２７～Ｓ２９に対応する。

　図１１のステップＳ３１において、クライアント装置１のコア制御部５１は、消去アプリケーションプログラム７０から取得された記憶装置１３のＵＵＩＤ、処理番号、サーバ装置２のアドレス、及び消去方式の情報を記憶装置１４に格納する。

　ステップＳ３２において、クライアント装置１のコア制御部５１は、記憶装置１３のＵＵＩＤ、処理番号、サーバ装置２のアドレス、消去方式の情報を取得及び格納したとき、消去アプリケーションプログラム７０に肯定応答信号を送る。

　ステップＳ３３において、消去アプリケーションプログラム７０によって、クライアント装置１は再起動される。

　再起動後、ファームウェアプログラム５０は、オペレーティングシステム６０を呼び出すことなく、図１１の消去処理を継続する。

　ステップＳ３４において、クライアント装置１のコア制御部５１は、消去制御部５２を用いて、指定された消去方式で、記憶装置１３に格納されたすべてのデータを消去する。消去制御部５２は、記憶装置のセキュアイレースコマンドを使用してデータの消去（コマンド消去）を行ってもよい。消去の完了後、コア制御部５１は、消去開始時刻、消去終了時刻、及び消去方式を含む消去結果を示すデータを記憶装置１４に格納する。

　ステップＳ３５において、クライアント装置１のコア制御部５１は、記憶装置１４から消去結果を示すデータを読み出して、データ符号化部５３を用いて、消去結果を示すデータを予め決められた符号化方式で符号化する。コア制御部５１は、符号化されたデータを記憶装置１４に格納する。

　符号化された消去結果を示すデータの符号化は、例えば、以下のステップで実行される。
（１）ＵＵＩＤ、処理番号、消去開始時刻、消去終了時刻、及び消去方式をシリアルに配列するこれらのパラメータは、例えば、ＣＳＶ形式で配列されてもよい。
（２）ステップ（１）のパラメータに係る文字列を、ＢＣＤなどの半角文字列に変換する。ここで、文字列を付加してもよい。
（３）ステップ（２）の文字列のハッシュ値を計算する。
（４）ステップ（２）の文字列及びステップ（３）のハッシュ値を、通信回線６を介して伝送可能な形式に変換する。必要ならば、例えばＵＲＬエンコードを実施する。
（５）サーバ装置２のアドレスを宛先として、ステップ（４）のデータを送信する。

　ステップＳ３６において、クライアント装置１のコア制御部５１は、記憶装置１４から符号化された消去結果を示すデータを読み出し、通信装置１５を用いて、符号化された消去結果を示すデータをサーバ装置２に送信する。

　図１２のステップＳ５７において、サーバ装置２は、クライアント装置１から消去結果を受信したか否かを判断し、ＹＥＳのときはステップＳ５８に進み、ＮＯのときはステップＳ５１に戻る。

　ステップＳ５８において、サーバ装置２は、消去結果に対する肯定応答信号をクライアント装置１に送信する。

　図１１のステップＳ３７において、クライアント装置１のコア制御部５１は、サーバ装置２から肯定応答信号を受信したか否かを判断し、ＹＥＳのときはステップＳ４１に進み、ＮＯのときはステップＳ３８に進む。

　ステップＳ３８において、クライアント装置１のコア制御部５１は、記憶装置１４から消去結果を示すデータを読み出して、二次元バーコード生成部５４を用いて、消去結果を示すデータから二次元バーコードを生成する。コア制御部５１は、生成された二次元バーコードを記憶装置１４に格納する。

　ステップＳ３９において、クライアント装置１のコア制御部５１は、記憶装置１４から二次元バーコードを読み出し、二次元バーコードを表示装置１６に表示する。

　図１３は、図１１のステップＳ３９において、クライアント装置１の表示装置１６に表示される内容を示す図である。表示装置１６に表示される表示画面２００は、例えば、二次元バーコード２０１、キーワード２０２、及び入力欄２０３を含む。ユーザは、ユーザ端末装置４のカメラ４８を用いて二次元バーコード２０１を撮影し、ユーザ端末装置４のプロセッサ４１が、二次元バーコード２０１を復号して消去結果を示すデータを抽出し、このデータをサーバ装置２に送信するように、ユーザ端末装置４を操作することができる。

　図１１のステップＳ４０において、クライアント装置１のコア制御部５１は、表示装置１６に表示したキーワードが入力装置１７から入力されたか否かを判断し、ＹＥＳのときはステップＳ４１に進み、ＮＯのときはステップＳ４０を繰り返す。ここで、二次元バーコード２０１の画像を電源オフの様な単純な処理で消去しないようにしてもよい。例えば、コア制御部５１は、二次元バーコード２０１とともに、予め決められたキーワード２０２（図１３の例では、「Ｅｎｄ１２０７」）を入力するように促すメッセージを表示装置１６に表示してもよい。キーワード２０２を入力欄２０３に入力してＥｎｔｅｒキーを押下したとき、処理はステップＳ４１に進む。異なるキーワードが入力された場合又は電源スイッチを操作した場合には、同じ画面を再表示する。

　図１１の処理によれば、消去結果は、まずステップＳ３６において、クライアント装置１から通信回線６を介してサーバ装置２に送信される。通信回線６に障害などが発生している場合、すなわち、ステップＳ３７において消去結果に対する肯定応答信号が受信されなかった場合、消去結果は、ステップＳ３８～Ｓ３９を実行することにより、ユーザ端末装置４を介してサーバ装置２に送信される。従って、図１２のステップＳ５７では、サーバ装置２は、クライアント装置１から通信回線６を介して消去結果を受信してもよく、ユーザ端末装置４を介して消去結果を受信してもよい。

　図１２を参照すると、ステップ５８の実行後、ステップＳ５９において、サーバ装置２は、消去結果を管理テーブル２２ａに保存し、ステータスレポートを更新する。

　ステップＳ６０において、サーバ装置２は、消去結果に基づいて消去証明書を発行する。

　図１１のステップＳ４１において、クライアント装置１のコア制御部５１は、後処理を行ってクライアント装置１をシャットダウンする。

　図１４は、図１のシステム１００において通信回線６を介する消去結果情報の送信に成功した場合におけるシステム１００の動作を示すシーケンス図である。図１５は、図１のシステム１００において通信回線６を介する消去結果情報の送信に失敗した場合におけるシステム１００の動作を示すシーケンス図である。

　図１４及び図１５では、図示の簡単化のため、図７、図８、図１０～図１２を参照して説明したステップのうちで主要なもののみを示し、他は省略している。

　図１４を参照すると、クライアント装置１は、ステップＳ１において、顧客番号をユーザから取得する。次いで、クライアント装置１は、顧客番号、クライアント装置１の情報、及び記憶装置１３の情報をサーバ装置２に送信する。

　サーバ装置２は、ステップＳ１２において、顧客番号、クライアント装置１の情報、及び記憶装置１３の情報に基づいて、クライアント装置１の記憶装置１３を新たな管理対象として登録する。

　その後、管理者装置３は、アカウント情報をサーバ装置２に送信してサーバ装置２にログインし、ステップＳ１０１において、消去対象の記憶装置１３、すなわち、格納されたデータを消去すべき記憶装置１３を指定する。

　サーバ装置２は、ステップＳ１０１において指定された記憶装置１３に対応するように、ステップＳ５２において、消去フラグを管理テーブル２２ａに保存する。

　その後、クライアント装置１は、当該クライアント装置１の記憶装置１３に対応して管理テーブル２２ａに消去フラグが設定されているか否かについて、サーバ装置２に定期的に問いあわせる。消去フラグの問いあわせに対して、管理テーブル２２ａに消去フラグが設定されていることを示す応答信号をサーバ装置２から受信した場合、クライアント装置１は、クライアント装置１の情報及び記憶装置１３の情報をサーバ装置２に送信する。サーバ装置２は、サーバ装置２が受信したクライアント装置１の情報及び記憶装置１３の情報が、管理テーブル２２ａに登録されたクライアント装置１の情報及び記憶装置１３の情報に一致している場合、クライアント装置１の記憶装置１３のための処理番号を生成してクライアント装置１に送信する。

　その後、クライアント装置１は、ステップＳ２５において、記憶装置１３に格納されたデータの消去の可否を確認するダイアログボックスを表示装置１６に表示する。記憶装置１３に格納されたデータの消去がユーザによって承諾された場合、ステップＳ２９において、クライアント装置１は再起動する。その後、ステップＳ３４において、クライアント装置１は、記憶装置１３に格納されたすべてのデータを消去する。

　消去の完了後、クライアント装置１は、消去結果情報をサーバ装置２に送信する。予め決められたタイムアウト期間内に消去結果情報に対する応答信号をサーバ装置２から受信した場合、クライアント装置１は処理を終了する。

　サーバ装置２は、ステップＳ５９において、消去結果信号に含まれる消去結果を管理テーブル２２ａに格納する。サーバ装置２は、ステップＳ６０において、消去結果信号に含まれる消去結果に基づいて、消去証明書を発行する。

　一方、図１５に示すように、クライアント装置１が送信した消去結果情報がサーバ装置２に到達しなかった場合、又は、消去結果情報に対する応答信号が受信されたかったとき、クライアント装置１は、ステップＳ３９において、二次元バーコードを表示装置１６に表示する。

　クライアント装置１のユーザは、ステップＳ１１１において、ユーザ端末装置４を用いてクライアント装置１の表示装置１６に表示された二次元バーコードを撮影する。ユーザ端末装置４のプロセッサ４１は、二次元バーコードを復号して消去結果を示すデータを抽出し、このデータをサーバ装置２に送信する。以後、図１５のステップＳ５９～Ｓ６０は、図１４の対応するステップと同様である。

　［消去証明書］
　例えば、データ適正消去実行証明評議会（Association of Data Erase Certification：ＡＤＥＣ）のような第三者の認証機関によって認証された消去ソフトウェア又は消去プロセスを用いて記憶装置に格納されたデータを消去した場合、データの適正な消去が実行されたことを示す証明書を発行することができる。証明書は、例えば、以下の情報を含む。
（１）クライアント装置１の情報
・製造業者
・機種
・シリアル番号
（２）記憶装置１３の情報
・製造業者
・機種
・シリアル番号
・容量
（３）消去情報
・消去事業者情報（事業者ＩＤ、事業者名、レーティング）
・消去ソフトウェア情報（ベンダー名、ソフトウェア名、認証番号、消去方法）
・消去実行日時（消去開始時刻、消去終了時刻）
・消去結果
　クライアント装置１の情報及び記憶装置１３の情報は、前述したように、消去アプリケーションプログラム７０によってクライアント装置１からサーバ装置２に送られる。また、消去情報のうち、事業者ＩＤ、事業者名、ベンダー名、及びソフトウェア名は、事前に認証機関に申請して認証を受ける必要がある。消去ソフトウェアが認証されると、認証番号が発行される。また、消去実行日時及び消去結果は、ファームウェアプログラム５０によってクライアント装置１からサーバ装置２に送られる。このように、消去証明書を発行するために必要な情報を自動的にクライアント装置１からサーバ装置２に送ることができるので、消去証明書を容易に発行することができる。

　［まとめ］
　以上説明したように、第１の実施形態に係るシステムによれば、管理者がサーバ装置２にアクセスして、各クライアント装置１の記憶装置１３に記憶されたデータを消去すべきであることを示す消去フラグを設定し、その後、サーバ装置２からクライアント装置１に消去コマンドなどを送信することなく、クライアント装置が消去フラグの有無についてサーバ装置２に問いあわせる。これにより、消去対象の記憶装置１３を誤りなく特定して容易に設定できるようになる。消去を開始するときにサーバ装置２からクライアント装置１に信号が送信されることはなく、クライアント装置１のユーザは、消去を開始するときにクライアント装置１を通信回線６に接続すればよい。従って、ユーザの都合に合わせてデータを消去することができる。これにより、記憶装置１３に格納されたデータを誤りなく特定して容易に消去することができる。

　消去アプリケーションプログラム７０だけでなく、消去アプリケーションプログラム７０及びファームウェアプログラム５０の組み合わせによって消去処理を行うことには、以下の利点がある。オペレーティングシステム６０上で実行される消去アプリケーションプログラム７０は、記憶装置１３に存在する。同様に、ファームウェアプログラム５０上で実行されるＵＥＦＩアプリケーションプログラムは、記憶装置１３に存在する。従って、消去アプリケーションプログラム７０又はＵＥＦＩアプリケーションプログラムによって記憶装置１３に格納されたデータを消去すると、プログラムが存在する記憶装置１３の領域を削除することができない。また、消去アプリケーションプログラム７０又はＵＥＦＩアプリケーションプログラムは、データの消去の完了後に、通信回線を介してサーバ装置２と通信することができない。また、消去アプリケーションプログラム７０又はＵＥＦＩアプリケーションプログラムは、データの消去の完了後に動作できないので、消去結果を示す情報（例えば、消去開始時刻、消去終了時刻、消去方式）を取得することができない。第１の実施形態に係るシステム１００によれば、ファームウェアプログラム５０を実行することにより、記憶装置１３に格納されたすべてのデータを消去することができ、データの消去の完了後に、通信回線を介してサーバ装置２と通信することができ、データの消去の完了後に、消去結果を示す情報を取得することができる。

　例えば、記憶装置１３に格納されたデータの消去を業者に委託することが考えられる。しかしながら、格納されたデータを消去すべき記憶装置を備えたクライアント装置を業者の事業所まで移送するには、セキュリティ上のリスクがある。高いセキュリティを有する送付形態を用いると、コストが増大する。また、消去及びその後のチェックのために多くの作業を行う必要がある。また、データの消去には長い時間、例えば半日かかる。第１の実施形態に係るシステム１００によれば、クライアント装置１を移動することなく、その記憶装置１３に格納されたデータを消去することができるので、セキュリティが高く、低コストで、簡単にデータを消去することができる。

　ここで、第１の実施形態に係るシステムのいくつかの使用例について説明する。

　［使用例１］
　まず、あるユーザのグループ（例えば、会社の１つの課）に対応するすべてのクライアント装置１を廃棄するが、ただし、これらのクライアント装置１をグループとしては管理しない場合を考える。各ユーザは、その対応するクライアント装置１をサーバ装置２にそれぞれ登録する。システムの管理者は、廃棄すべきクライアント装置１のすべて（グループの全員分）を確認し、サーバ装置２の管理テーブル２２ａに消去フラグを設定する。その後、各ユーザが、記憶装置１３に格納されたデータを消去する。管理者は、消去が完了したことを確認する、確認できたものは消去証明可能であり、一方、確認できなければデータを消去するようユーザに催促する。管理者は、必要に応じて、ＡＤＥＣ消去証明書を取得する。

　［使用例２］
　次に、あるユーザのグループ（例えば、会社の１つの課）に対応するすべてのクライアント装置１を廃棄し、これらのクライアント装置１をグループとして管理する場合を考える。管理者のタスクの大部分は、グループの責任者（例えば、課長）に引き受けられる。管理者は、グループを設定する。各ユーザは、その対応するクライアント装置１をサーバ装置２にそれぞれグループ設定して登録する。責任者は、廃棄すべきクライアント装置１のすべて（グループの全員分）を確認し、サーバ装置２の管理テーブル２２ａに消去フラグを設定する。その後、各ユーザが、記憶装置１３に格納されたデータを消去する。責任者は、消去が完了したことを確認する、確認できたものは消去証明可能であり、一方、確認できなければデータを消去するようユーザに催促する。責任者は、ＡＤＥＣ消去証明書の発行を依頼する。管理者は、ＡＤＥＣ消去証明書を取得する。

　［使用例３］
　また、あるユーザのグループ（例えば、会社の１つの課）に対応するすべてのクライアント装置１を廃棄し、これらのクライアント装置１をグループとして管理する場合を考える。管理者は、グループを設定する。各ユーザは、その対応するクライアント装置１をサーバ装置２にそれぞれグループ設定して登録する。責任者は、廃棄すべきクライアント装置１のすべて（グループの全員分）を確認し、管理者に連絡する。管理者は、サーバ装置２の管理テーブル２２ａに消去フラグを設定する。その後、各ユーザが、記憶装置１３に格納されたデータを消去する。責任者は、消去が完了したことを確認する、確認できたものは消去証明可能であり、一方、確認できなければデータを消去するようユーザに催促する。責任者は、ＡＤＥＣ消去証明書の発行を依頼する。管理者は、ＡＤＥＣ消去証明書を取得する。

　使用例１～３のいずれにおいても、記憶装置１３に格納されたデータを誤りなく特定して容易に消去することができる。

　［第１の実施形態の効果等］
　本開示の一態様によれば、クライアント装置１（電子装置の一例）は、記憶装置１３（第１の記憶装置の一例）と、通信装置１５と、プロセッサ１１とを備える。プロセッサ１１は、通信装置１５を用いて、記憶装置１３を一意に識別する識別情報を含む第１の信号をサーバ装置２に送信することにより、クライアント装置１をサーバ装置２に登録させる。プロセッサ１１は、通信装置１５を用いて、記憶装置１３の識別情報を含む第２の信号であって、記憶装置１３に格納されたデータを消去すべきであるとサーバ装置２に登録されているか否かを問いあわせる第２の信号をサーバ装置２に送信する。プロセッサ１１は、通信装置１５を用いて、記憶装置１３に格納されたデータを消去することを指示する第３の信号をサーバ装置２から受信した場合、記憶装置１３に格納されたデータを消去する。第３の信号は、第２の信号に含まれる記憶装置１３の識別情報が第１の信号に含まれる記憶装置１３の識別情報に一致しているとサーバ装置２が判断し、かつ、記憶装置１３に格納されたデータを消去すべきであるとサーバ装置２に登録されている場合、サーバ装置２からクライアント装置１に送信される。

　これにより、記憶装置に格納されたデータを誤りなく特定して容易に消去することができる。

　本開示の一態様によれば、記憶装置１３は、オペレーティングシステム、アプリケーションプログラム、及びユーザデータを含むデータを格納してもよい。クライアント装置１は、ファームウェアプログラムを格納した記憶装置１４（第２の記憶装置の一例）をさらに備えてもよい。プロセッサ１１は、ファームウェアプログラムを実行することにより、記憶装置１３に格納されたすべてのデータを消去してもよい。

　これにより、オペレーティングシステムを含む記憶装置に格納されたすべてのデータを消去することができる。

　本開示の一態様によれば、プロセッサ１１は、記憶装置１３に格納されたすべてのデータの消去が完了した後、ファームウェアプログラムを実行することにより、通信装置１５を用いて、記憶装置１３に格納されたすべてのデータの消去が完了したことを示す消去完了情報を含む第４の信号をサーバ装置２に送信してもよい。

　これにより、オペレーティングシステムを含む記憶装置に格納されたすべてのデータを消去した後で、消去証明書の作成に必要な情報をサーバ装置に送信することができる。

　本開示の一態様によれば、クライアント装置１は表示装置１６をさらに備えてもよい。プロセッサ１１は、第４の信号に対する肯定応答信号をサーバ装置２から受信しなかった場合、ファームウェアプログラムを実行することにより、記憶装置１３に格納されたすべてのデータの消去が完了したことを示す消去完了情報を含む二次元バーコード２０１（第１の二次元バーコードの一例）を表示装置１６に表示してもよい。

　これにより、サーバ装置と通信できない場合であっても、消去証明書の作成に必要な情報を取得することができる。

　本開示の一態様によれば、第２の信号は、記憶装置１３に格納されたデータを消去すべきであるとサーバ装置２に登録されているか否かをサーバ装置２に問いあわせる第６の信号と、記憶装置１３の識別情報を含む第７の信号とを含んでもよい。プロセッサ１１は、通信装置１５を用いて第６の信号をサーバ装置２に送信し、通信装置１５を用いて、記憶装置１３に格納されたデータを消去すべきであるとサーバ装置２に登録されていることを示す第８の信号をサーバ装置２から受信した場合、通信装置１５を用いて第７の信号をサーバ装置２に送信してもよい。

　これにより、記憶装置１３の識別情報を含む余分な通信を回避し、通信データ量を削減することができる。

　本開示の一態様によれば、記憶装置１３の識別情報は、クライアント装置１の製造業者、クライアント装置１の機種、クライアント装置１のシリアル番号、クライアント装置１のＵＵＩＤ、記憶装置１３の製造業者、記憶装置１３の機種、記憶装置１３のシリアル番号、記憶装置１３のＵＵＩＤ、及び記憶装置１３の容量のうちの少なくとも一部を含んでもよい。

　これにより、クライアント装置１の記憶装置１３を識別することができる。

　本開示の一態様によれば、上述した複数のクライアント装置１と、サーバ装置２とを含むシステムが提供される。

　本開示の一態様によれば、サーバ装置２は、記憶装置１３に格納されたすべてのデータの消去が完了したことを示す消去完了情報をクライアント装置１から取得し、消去完了情報に基づいて、記憶装置１３に格納されたすべてのデータの消去が完了したことを証明する消去証明書を発行してもよい。

　これにより、記憶装置に格納されたすべてのデータの消去が完了したことを証明する消去証明書を発行することができる。

　本開示の一態様によれば、第３の信号は、記憶装置１３に格納されたデータを消去すべきであるとサーバ装置２に登録されている複数のクライアント装置１の各々の記憶装置１３に発行された処理番号を含んでもよい。消去完了情報は、処理番号、記憶装置１３のＵＵＩＤ、消去開始時刻、消去完了時刻、及び消去方式を含んでもよい。

　本開示の一態様によれば、クライアント装置１の記憶装置１３に格納されたデータを消去する方法は、記憶装置１３を一意に識別する識別情報を含む第１の信号をクライアント装置１からサーバ装置２に送信することにより、クライアント装置１をサーバ装置２に登録させるステップを含む。本方法は、記憶装置１３の識別情報を含む第２の信号であって、記憶装置１３に格納されたデータを消去すべきであるとサーバ装置２に登録されているか否かを問いあわせる第２の信号をクライアント装置１からサーバ装置２に送信するステップを含む。記憶装置１３に格納されたデータを消去することを指示する第３の信号をサーバ装置２から受信した場合、記憶装置１３に格納されたデータを消去するステップを含む。第３の信号は、第２の信号に含まれる記憶装置１３の識別情報が第１の信号に含まれる記憶装置１３の識別情報に一致しているとサーバ装置２が判断し、かつ、記憶装置１３に格納されたデータを消去すべきであるとサーバ装置２に登録されている場合、サーバ装置２からクライアント装置１に送信される。

　［第２の実施形態］
　電子装置の記憶装置に格納されたデータを消去した後で、データが消去されたことを検証することが求められる場合がある。ここで、データを消去するためには、記憶装置の全記憶領域に対して固定ビット値（ゼロ値など）又はランダムビット値を書き込む必要があるのと同様に、消去の検証には、概して、記憶装置の全記憶領域のビット値を読み出す必要がある。例えば、１ＴＢのＳＳＤに対して上書き３回消去を行って消去結果を検証する場合、消去には約２時間（４０分×３）かかり、消去の検証にはさらに４０分かかる。このため、消去及び検証の結果がわかるまでに非常に長い時間がかかり、電子装置のユーザ及び管理者を待たせることになる。

　第２の実施形態では、消去の検証を行ってもユーザ及び管理者をあまり待たせず、消去の検証を行わない場合よりも使い勝手が低下しにくい電子装置及びシステムを提供する。

　［第２の実施形態の構成］
　第２の実施形態に係るシステムは、図１～図６を参照して説明した第１の実施形態に係るクライアント装置１、サーバ装置２、管理者装置３、及びユーザ端末装置４等を含むシステム１００と同様に構成される。

　図６の機能ブロック図を参照すると、第２の実施形態に係るシステムでは、ファームウェアプログラム５０の消去制御部５２、データ符号化部５３、及び二次元バーコード生成部５４は、先に説明した動作に加えて、以下の動作を行うように構成される。消去制御部５２はさらに、記憶装置１３に格納されたデータが消去されたことの検証を制御する。また、データ符号化部５３はさらに、記憶装置１３に格納されたデータが消去されたことの検証に成功したか否かを示す検証結果情報を、予め決められた符号化方式で符号化する。また、二次元バーコード生成部５４はさらに、記憶装置１３に格納されたデータが消去されたことの検証に成功したか否かを示す検証結果情報（検証に成功した場合は検証完了情報を含む）を含む二次元バーコードを生成する。

　以下、クライアント装置１、サーバ装置２、管理者装置３、及びユーザ端末装置４の動作について説明する。

　［第２の実施形態の動作］
　図１６は、第２の実施形態に係るシステムの動作であって、クライアント装置１のプロセッサ１１によって実行されるファームウェアプログラム５０による消去及び検証処理を示すフローチャートである。図１７は、図１６のステップＳ７０（検証処理）のサブルーチンを示すフローチャートである。図１８は、第２の実施形態に係るシステムの動作であって、プロセッサ２１によって実行されるサーバ装置２の消去及び検証処理を示すフローチャートである。

　図１６の処理は、図１１の各ステップに加えてステップＳ７０の検証処理を含み、ここで、記憶装置１３に格納されたデータが消去されたことを検証する。また、図１８の処理は、図１２の各ステップに加えて、ステップＳ９１～Ｓ９３をさらに含む。

　図１６のステップＳ３７がＹＥＳの場合又はステップＳ４０がＹＥＳの場合、クライアント装置１のコア制御部５１は、ステップＳ７０の検証処理に進む。

　図１７のステップＳ７１において、クライアント装置１のコア制御部５１は、消去制御部５２を用いて、指定された検証方式で、記憶装置１３に格納されたデータが消去されたことを検証する。例えば、記憶装置１３の記憶領域にゼロ値を書き込むことによりデータを消去する場合、消去の検証は、記憶装置１３の記憶領域のビット値を読み出して各ビットがゼロ値であることを確認することにより行われてもよい。検証の完了後、コア制御部５１は、検証結果を示すデータを記憶装置１４に格納する。

　図１９は、記憶装置１３の第１の検証方法を説明するための概略図である。消去の検証は、記憶装置１３の全記憶領域のビット値を読み出して確認することにより行われてもよい。

　図２０は、記憶装置１３の第２の検証方法を説明するための概略図である。消去の検証は、記憶装置１３の全記憶領域を分割した複数の部分領域からランダムに抽出された所定個数の部分領域のビット値を読み出して確認することにより行われてもよい。図２０の例では、記憶装置１３の全記憶領域は、複数（例えば１０００個）の中領域３０１を含み、中領域３０１のそれぞれは、複数（例えば２０個）の小領域３０２を含む。消去の検証は、中領域３０１のそれぞれにおいて、少なくとも一部（例えば、ランダムに抽出された２個）の小領域３０２のビット値を読み出して確認することにより行われてもよい。

　図１７のステップＳ７２において、クライアント装置１のコア制御部５１は、記憶装置１４から検証結果を示すデータを読み出して、データ符号化部５３を用いて、検証結果を示すデータを予め決められた符号化方式で符号化する。コア制御部５１は、符号化されたデータを記憶装置１４に格納する。

　ステップＳ７３において、クライアント装置１のコア制御部５１は、記憶装置１４から符号化された検証結果を示すデータを読み出し、通信装置１５を用いて、符号化された検証結果を示すデータをサーバ装置２に送信する。

　図１８のステップＳ９１において、サーバ装置２は、クライアント装置１から検証結果を受信したか否かを判断し、ＹＥＳのときはステップＳ９２に進み、ＮＯのときはステップＳ５１に戻る。

　ステップＳ９２において、サーバ装置２は、検証結果に対する肯定応答信号をクライアント装置１に送信する。

　図１７のステップＳ７４において、クライアント装置１のコア制御部５１は、サーバ装置２から肯定応答信号を受信したか否かを判断し、ＹＥＳのときは図１６のステップＳ４１に進み、ＮＯのときは図１７のステップＳ７５に進む。

　ステップＳ７５において、クライアント装置１のコア制御部５１は、記憶装置１４から検証結果を示すデータを読み出して、二次元バーコード生成部５４を用いて、検証結果を示すデータから二次元バーコードを生成する。コア制御部５１は、生成された二次元バーコードを記憶装置１４に格納する。

　ステップＳ７６において、クライアント装置１のコア制御部５１は、記憶装置１４から二次元バーコードを読み出し、二次元バーコードをキーワード及び入力欄とともに表示装置１６に表示する。ステップＳ７６において表示される二次元バーコード、キーワード、及び入力欄は、例えば、図１３に示す二次元バーコード２０１、キーワード２０２、及び入力欄２０３と同様である。

　ステップＳ７７において、クライアント装置１のコア制御部５１は、表示装置１６に表示したキーワードが入力装置１７から入力されたか否かを判断し、ＹＥＳのときは図１６のステップＳ４１に進み、ＮＯのときはステップＳ７７を繰り返す。

　図１８を参照すると、ステップ９２の実行後、ステップＳ９３において、サーバ装置２は、検証結果を管理テーブル２２ａに保存し、ステータスレポートを更新する。

　第２の実施形態では、ステータスレポートは、例えば、各記憶装置１３が以下のいずれの状態にあるのかを示す。
・消去フラグ設定済み
・消去中
・消去完了
・消去完了かつ消去証明書発行不可（暫定）
・消去完了かつ消去証明書発行可
・消去完了かつ消去証明書発行済み
・消去失敗かつ消去証明書発行不可
　ステップＳ５９及びＳ９３の実行後、ステップＳ６０Ａにおいて、サーバ装置２は、消去結果及び検証結果に基づいて消去証明書を発行する。

　図１６を参照すると、ステップＳ７０の実行後、ステップＳ４１において、クライアント装置１のコア制御部５１は、後処理を行ってクライアント装置１をシャットダウンする。

　図２１は、第２の実施形態に係るシステムの動作であって、通信回線６を介する消去結果情報及び検証結果情報の送信に成功した場合におけるシステム１００の動作を示すシーケンス図である。図２２は、第２の実施形態に係るシステムの動作であって、通信回線６を介する消去結果情報及び検証結果情報の送信に失敗した場合におけるシステム１００の動作を示すシーケンス図である。

　図２１のステップＳ１～５９の動作は、図１４を参照して説明した場合と同様である。

　ステップＳ３４において記憶装置１３に格納されたすべてのデータを消去し、その後、消去結果情報をサーバ装置２に送信し、サーバ装置２から応答信号を受信した場合、クライアント装置１は、ステップＳ７１において、記憶装置１３に格納されたデータが消去されたことを検証する。

　検証の完了後、クライアント装置１は、検証結果情報をサーバ装置２に送信する。予め決められたタイムアウト期間内に検証結果情報に対する応答信号をサーバ装置２から受信した場合、クライアント装置１は処理を終了する。

　サーバ装置２は、ステップＳ９３において、検証結果信号に含まれる検証結果を管理テーブル２２ａに格納する。サーバ装置２は、ステップＳ６０Ａにおいて、消去結果信号に含まれる消去結果と、検証結果信号に含まれる検証結果とに基づいて、消去証明書を発行する。

　一方、図２２に示すように、クライアント装置１が送信した検証結果情報がサーバ装置２に到達しなかった場合、又は、検証結果情報に対する応答信号が受信されたかったとき、クライアント装置１は、ステップＳ７６において、二次元バーコードを表示装置１６に表示する。

　クライアント装置１のユーザは、ステップＳ１１２において、ユーザ端末装置４を用いてクライアント装置１の表示装置１６に表示された二次元バーコードを撮影する。ユーザ端末装置４のプロセッサ４１は、二次元バーコードを復号して検証結果を示すデータを抽出し、このデータをサーバ装置２に送信する。以後、図２２のステップＳ９３及びＳ６０Ａは、図２１の対応するステップと同様である。

　［まとめ］
　第２の実施形態に係るシステムによれば、第１の実施形態に係るシステムと同様に、記憶装置１３に格納されたデータを誤りなく特定して容易に消去することができる。また、第２の実施形態に係るシステムによれば、記憶装置１３に格納されたデータの消去が完了した時点で消去結果をサーバ装置２に通知することにより、管理者は記憶装置１３の状態を早期に認識することができる。これにより、消去の検証を行ってもユーザ及び管理者をあまり待たせず、消去の検証を行わない場合よりも使い勝手を低下させにくくすることができる。

　例えば、記憶装置１３に格納されたデータの消去に成功し、検証結果が消去の成功を示す場合、本システムは、以下のように動作する。まず、消去の完了後、クライアント装置１は、表示装置１６には消去結果を表示せず、通信装置１５を用いて消去結果をサーバ装置２に送信する。消去結果の送信に成功した場合、クライアント装置１は表示装置１６に何も表示せず、消去結果の送信に失敗した場合、クライアント装置１は二次元バーコードを表示装置１６に表示する。この時点で、ステータスレポートは、「消去完了かつ消去証明書発行不可（暫定）」になる。その後、検証の完了後、クライアント装置１は、表示装置１６には検証結果を表示せず、通信装置１５を用いて検証結果をサーバ装置２に送信する。検証結果の送信に成功した場合、クライアント装置１は表示装置１６に何も表示せず、検証結果の送信に失敗した場合、クライアント装置１は二次元バーコードを表示装置１６に表示する。この時点で、ステータスレポートは、「消去完了かつ消去証明書発行可」になる。

　記憶装置１３に格納されたデータの消去が完了したが、検証結果が消去の失敗を示す場合、本システムは、以下のように動作する。まず、消去の完了後、クライアント装置１は、表示装置１６には消去結果を表示せず、通信装置１５を用いて消去結果をサーバ装置２に送信する。消去結果の送信に成功した場合、クライアント装置１は表示装置１６に何も表示せず、消去結果の送信に失敗した場合、クライアント装置１は二次元バーコードを表示装置１６に表示する。この時点で、ステータスレポートは、「消去完了かつ消去証明書発行不可（暫定）」になる。その後、検証の完了後、クライアント装置１は、表示装置１６に検証結果を表示し、通信装置１５を用いて検証結果をサーバ装置２に送信する。検証結果の送信に成功した場合、クライアント装置１は表示装置１６に何も表示せず、検証結果の送信に失敗した場合、クライアント装置１は二次元バーコードを表示装置１６に表示する。この時点で、ステータスレポートは、「消去失敗かつ消去証明書発行不可」になる。

　記憶装置１３に格納されたデータの消去に失敗した場合、本システムは、以下のように動作する。まず、消去の完了後、クライアント装置１は、表示装置１６には消去結果を表示し、通信装置１５を用いて消去結果をサーバ装置２に送信する。消去結果の送信に成功した場合、クライアント装置１は表示装置１６に何も表示せず、消去結果の送信に失敗した場合、クライアント装置１は二次元バーコードを表示装置１６に表示する。この時点で、ステータスレポートは、「消去失敗かつ消去証明書発行不可」になる。消去の検証は実行されない。

　記憶装置１３に格納されたデータを消去しているとき、クライアント装置１は、表示装置１６に「消去中」であることを表示してもよい。また、消去の検証を行っているとき、クライアント装置１は、表示装置１６に「検証中」であることを表示してもよい。

　通信回線６に障害などに起因して消去結果又は検証結果の送信に失敗し、二次元バーコードを表示装置１６に表示した場合であっても、通信回線６が回復した場合には、消去結果及び検証結果は再送信され、二次元バーコードの表示は停止される。

　第２の実施形態に係るシステムによれば、クライアント装置１を廃棄する場合、又は、クライアント装置１が盗難にあった場合など、記憶装置１３に格納されたデータを消去することが求められる場合に有用である。特に、クライアント装置１が盗難にあった場合、管理者は、記憶装置１３に格納されたデータを消去し、消去の検証を行いながら、記憶装置１３の状態を早期に把握することができる。

　［第２の実施形態の変形例］
　前述したように、消去の検証には長い時間がかかる。従って、第２の実施形態に係るシステムでは、消去の検証を段階的に行ってもよい。これにより、ユーザ又は管理者は、消去の検証の進捗度を認識することができる。

　図２３は、第２の実施形態の変形例に係るシステムの動作であって、クライアント装置１のプロセッサ１１によって実行されるステップＳ７０Ａ（検証処理）のサブルーチンを示すフローチャートである。図２４は、第２の実施形態の変形例に係るシステムの動作であって、プロセッサ２１によって実行されるサーバ装置２の消去及び検証処理を示すフローチャートである。

　図２３の処理は、図１６のステップＳ７０に代えて実行される。また、図２４の処理は、図１８のステップＳ９１～Ｓ９３に代えて、ステップＳ９１Ａ～Ｓ９３Ａ，Ｓ９４を含む。

　この場合、消去の検証の進捗度をそれぞれ示す複数のチェックポイントが予め設定される。

　図２３のステップＳ８１において、クライアント装置１のコア制御部５１は、消去制御部５２を用いて、指定された検証方式で、記憶装置１３に格納されたデータが消去されたことを検証する。

　ステップＳ８２において、クライアント装置１のコア制御部５１は、消去の検証が、予め決められたチェックポイントに到達したか否かを判断し、ＹＥＳのときはステップＳ８３に進み、ＮＯのときはステップＳ８２を繰り返す。

　ステップＳ８３において、クライアント装置１のコア制御部５１は、データ符号化部５３を用いて、検証結果及びその進捗度を示すデータを予め決められた符号化方式で符号化する。

　ステップＳ８４において、クライアント装置１のコア制御部５１は、通信装置１５を用いて、符号化された検証結果及びその進捗度を示すデータをサーバ装置２に送信する。

　図２４のステップＳ９１Ａにおいて、サーバ装置２は、クライアント装置１から検証結果及びその進捗度を受信したか否かを判断し、ＹＥＳのときはステップＳ９２Ａに進み、ＮＯのときはステップＳ５１に戻る。

　ステップＳ９２Ａにおいて、サーバ装置２は、検証結果及びその進捗度に対する肯定応答信号をクライアント装置１に送信する。

　図２３のステップＳ８５において、クライアント装置１のコア制御部５１は、記憶装置１３の全記憶領域のうち、処理すべきすべての領域を検証したか否かを判断し、ＹＥＳのときは図１６ステップＳ４１に進み、ＮＯのときは図２３のステップＳ８６に進む。

　ステップＳ８６において、クライアント装置１のコア制御部５１は、次のチェックポイントを設定し、その後、ステップＳ８２～Ｓ８６を繰り返す。

　図２４を参照すると、ステップ９２Ａの実行後、ステップＳ９３Ａにおいて、サーバ装置２は、検証結果及びその進捗度を管理テーブル２２ａに保存し、ステータスレポートを更新する。

　ステップＳ９４において、サーバ装置２は、最後の検証結果を受信したか否かを判断し、ＹＥＳのときはステップＳ６０Ａに進み、ＮＯのときはステップＳ５１に戻る。

　これにより、クライアント装置１は、消去の検証が、互いに異なる複数の進捗度のいずれかまで完了したことをそれぞれ示す、複数の信号をサーバ装置２に送信する。

　消去の検証が図１９に示すように行われる場合、クライアント装置１は、消去の検証が、記憶装置１３の全記憶領域のうちの複数の所定割合まで完了したことをそれぞれ示す、複数の信号をサーバ装置２に送信してもよい。この場合、消去の検証の進捗度をそれぞれ示す複数のチェックポイントは、記憶装置１３の全記憶領域のうちで消去の検証が完了した領域の割合、例えば、１０％、２０％、３０％、…，９０％，１００％である。また、消去の検証が図２０に示すように行われる場合、クライアント装置１は、消去の検証が、記憶装置１３の全記憶領域を分割した複数の部分領域からランダムに抽出された所定個数の部分領域まで完了したことをそれぞれ示す、複数の信号をサーバ装置２に送信してもよい。この場合、消去の検証の進捗度をそれぞれ示す複数のチェックポイントは、中領域３０１のそれぞれにおいて、抽出される小領域３０２の個数、例えば、１個、２個、３個、…、９個、１０個である。

　クライアント装置１は、図２３のステップＳ８４において検証結果及びその進捗度の送信した後、サーバ装置２から肯定応答信号を受信しなかった場合、図１７の検証処理と同様に、検証結果及びその進捗度の情報を含む二次元バーコードを表示装置１６に表示してもよい。クライアント装置１のユーザは、ユーザ端末装置４を用いて表示された二次元バーコードを撮影することにより、検証結果及びその進捗度を示すデータをサーバ装置２に送信することができる。

　図２３及び図２４の処理によれば、消去の検証を段階的に行うことにより、管理者は、記憶装置１３の状態を早期に認識することができ、時間経過とともに、より正確な検証結果を認識することができる。

　［第２の実施形態の効果等］
　本開示の一態様によれば、クライアント装置１は、記憶装置１３と、通信装置１５と、プロセッサ１１とを備える。プロセッサ１１は、通信装置１５を用いて、記憶装置１３を一意に識別する識別情報を含む第１の信号をサーバ装置２に送信することにより、クライアント装置１をサーバ装置２に登録させる。プロセッサ１１は、通信装置１５を用いて、記憶装置１３の識別情報を含む第２の信号であって、記憶装置１３に格納されたデータを消去すべきであるとサーバ装置２に登録されているか否かを問いあわせる第２の信号をサーバ装置２に送信する。プロセッサ１１は、通信装置１５を用いて、記憶装置１３に格納されたデータを消去することを指示する第３の信号をサーバ装置２から受信した場合、記憶装置１３に格納されたデータを消去する。プロセッサ１１は、記憶装置１３に格納されたすべてのデータの消去が完了した後、通信装置１５を用いて、記憶装置１３に格納されたすべてのデータの消去が完了したことを示す消去完了情報を含む第４の信号をサーバ装置２に送信する。プロセッサ１１は、記憶装置１３に格納されたデータが消去されたことを検証する。プロセッサ１１は、消去の検証中又は検証後に、通信装置１５を用いて、記憶装置１３に格納されたデータが消去されたことの検証が少なくとも部分的に完了したことを示す第５の信号をサーバ装置２に送信する。第３の信号は、第２の信号に含まれる記憶装置１３の識別情報が第１の信号に含まれる記憶装置１３の識別情報に一致しているとサーバ装置２が判断し、かつ、記憶装置１３に格納されたデータを消去すべきであるとサーバ装置２に登録されている場合、サーバ装置２からクライアント装置１に送信される。

　これにより、消去の検証を行ってもユーザ及び管理者をあまり待たせず、消去の検証を行わない場合よりも使い勝手を低下させにくくすることができる。

　本開示の一態様によれば、プロセッサ１１は、消去の検証が、互いに異なる複数の進捗度のいずれかまで完了したことをそれぞれ示す、複数の第５の信号をサーバ装置２に送信してもよい。

　これにより、管理者は、記憶装置の状態を早期に認識することができ、時間経過とともに、より正確な検証結果を認識することができる。

　本開示の一態様によれば、プロセッサ１１は、消去の検証が、記憶装置１３の全記憶領域のうちの複数の所定割合まで完了したことをそれぞれ示す、複数の第５の信号をサーバ装置２に送信してもよい。

　これにより、最終的に、記憶装置の全記憶領域に格納されたデータの消去を検証することができる。

　本開示の一態様によれば、プロセッサ１１は、消去の検証が、記憶装置１３の全記憶領域を分割した複数の部分領域からランダムに抽出された複数の所定個数の部分領域まで完了したことをそれぞれ示す、複数の第５の信号をサーバ装置２に送信してもよい。

　これにより、消去の検証を早期に完了することができる。

　本開示の一態様によれば、記憶装置１３は、オペレーティングシステム、アプリケーションプログラム、及びユーザデータを含むデータを格納してもよい。この場合、クライアント装置１は、ファームウェアプログラムを格納した記憶装置１４をさらに備える。プロセッサ１１は、ファームウェアプログラムを実行することにより、記憶装置１３に格納されたすべてのデータを消去し、記憶装置１３に格納されたデータが消去されたことを検証する。

　本開示の一態様によれば、クライアント装置１は表示装置１６をさらに備えてもよい。この場合、プロセッサ１１は、第４の信号に対する肯定応答信号をサーバ装置２から受信しなかった場合、ファームウェアプログラムを実行することにより、記憶装置１３に格納されたすべてのデータの消去が完了したことを示す消去完了情報を含む二次元バーコード２０１を表示装置１６に表示する。

　本開示の一態様によれば、プロセッサ１１は、第５の信号に対する肯定応答信号をサーバ装置２から受信しなかった場合、ファームウェアプログラムを実行することにより、消去の検証が完了したことを示す検証完了情報を含む第２の二次元バーコードを表示装置１６に表示してもよい。

　本開示の一態様によれば、サーバ装置２は、記憶装置１３に格納されたすべてのデータの消去が完了したことを示す消去完了情報をクライアント装置１から取得し、記憶装置１３に格納されたデータが消去されたことの検証が完了したことを示す検証完了情報をクライアント装置１から取得してもよい。この場合、サーバ装置２は、消去完了情報及び検証完了情報に基づいて、記憶装置１３に格納されたすべてのデータの消去が完了したことを証明する消去証明書を発行する。

　本開示の一態様によれば、クライアント装置１の記憶装置に格納されたデータを消去する方法が提供される。本方法は、記憶装置を一意に識別する識別情報を含む第１の信号をクライアント装置１からサーバ装置２に送信することにより、クライアント装置１をサーバ装置２に登録させるステップを含む。本方法は、記憶装置の識別情報を含む第２の信号であって、記憶装置に格納されたデータを消去すべきであるとサーバ装置２に登録されているか否かを問いあわせる第２の信号をクライアント装置１からサーバ装置２に送信するステップを含む。本方法は、記憶装置に格納されたデータを消去することを指示する第３の信号をサーバ装置２から受信した場合、記憶装置に格納されたデータを消去するステップを含む。本方法は、記憶装置に格納されたすべてのデータの消去が完了した後、記憶装置に格納されたすべてのデータの消去が完了したことを示す第４の信号をクライアント装置１からサーバ装置２に送信するステップを含む。本方法は、記憶装置に格納されたデータが消去されたことを検証するステップを含む。本方法は、消去の検証中又は検証後に、記憶装置に格納されたデータが消去されたことの検証が少なくとも部分的に完了したことを示す第５の信号をクライアント装置１からサーバ装置２に送信するステップとを含む。第３の信号は、第２の信号に含まれる記憶装置の識別情報が第１の信号に含まれる記憶装置の識別情報に一致しているとサーバ装置２が判断し、かつ、記憶装置に格納されたデータを消去すべきであるとサーバ装置２に登録されている場合、サーバ装置２からクライアント装置１に送信される。

　［他の実施形態］
　以上のように、本出願において開示する技術の例示として、実施形態を説明した。しかしながら、本開示における技術は、これに限定されず、適宜、変更、置き換え、付加、省略などを行った実施形態にも適用可能である。また、上記実施形態で説明した各構成要素を組み合わせて、新たな実施形態とすることも可能である。

　そこで、以下、他の実施形態を例示する。

　消去許可を発行する際には、機種を指定することで発行できるようにしてもよい。機種だけでなく、備考にユーザ情報を記載するようにして、指定の機種と別の機種を持っている場合に、指定の機種の消去許可を発行するようにしてもよい。指定の機種をリスト表示し、管理者が消去許可を発行させるようにしてもよい。これにより、予め決められた特徴を有する機種を廃棄したり、予め決められた特徴をもたない機種を廃棄したりするように（例えば、ノートブック型コンピュータ及びタブレット型コンピュータの両方の形態（いわゆる「２ｉｎ１」）をもたない機種を廃棄する）、ユーザの意図を反映してクライアント装置１を管理できるという効果がある。これにより、例えば、古い機種から廃棄することができるという効果がある。

　また、記憶装置１３の製造業者を指定することにより消去許可を発行してもよい。これにより、故障が発生し易い傾向の製造業者から供給されたクライアント装置１を排除できるという効果がある。

　また、管理テーブル２２ａは、任意の文字列を入力可能な備考欄を有してもよい。備考欄にユーザ情報を記載することにより、複数のクライアント装置１を用いているユーザをリスト化し、消去許可を発行することができる。これにより、クライアント装置１の総数を減らすことができるという効果がある。また、備考欄にユーザ情報を記載することにより、複数のクライアント装置１を部又は課などの単位で取り扱うことが容易になる。

　また、クライアント装置１のＳ．Ｍ．Ａ．Ｒ．Ｔ．情報（Self-Monitoring Analysis and Reporting Technology）をサーバ装置２に送信することにより、状態の悪いクライアント装置１を発見し、その情報に基づいて消去許可を発行してもよい。Ｓ．Ｍ．Ａ．Ｒ．Ｔ．情報に基づいて記憶装置１３の状態を評価するために、例えば、代替処理済のセクタの個数、電源投入回数、衝撃によって発生したエラーレート、使用時間長、温度、サーバ装置２からみた上記パラメータの増加量、これらの組み合わせ、などを用いてもよい。クライアント装置１においてＳ．Ｍ．Ａ．Ｒ．Ｔ．情報に基づいてクライアント装置１の状態を算出し、その状態を備考情報としてサーバ装置２に送信してもよい。登録されているクライアント装置１が定期的にＳ．Ｍ．Ａ．Ｒ．Ｔ．情報をサーバ装置２に送ることにより、サーバ装置２が全クライアント装置１の状態を把握できるようにしてもよい。登録されているクライアント装置１が定期的に、クライアント装置１のＳ．Ｍ．Ａ．Ｒ．Ｔ．情報に基づいてクライアント装置１の状態を算出し、その状態を備考情報としてサーバ装置２に送信することにより、サーバ装置２が全クライアント装置１の状態を把握できるようにしてもよい。これにより、状態の悪いクライアント装置１から廃棄対象とすることができるという効果がある。

　また、クライアント装置１の使用時間をサーバ装置２に送ることにより、状態の悪いクライアント装置１を発見し、その情報に基づいて消去許可を発行するようにしてもよい。クライアント装置１の使用時間を備考情報としてサーバ装置２に送信してもよい。これにより、使用時間の長いクライアント装置１から廃棄対象とすることができるという効果がある。

　また、クライアント装置１のストレス情報をサーバ装置２に送るようにして、状態の悪いクライアント装置１を発見し、その情報に基づいて消去許可を発行してもよい。クライアント装置１のストレスを備考情報としてサーバ装置２に送信してもよい。これにより、高負荷環境で用いられていたクライアント装置１から廃棄対象とすることができるという効果がある。

　図１０、図１２、図１４、及び図１５の例では、クライアント装置１からサーバ装置２に、消去フラグの問いあわせと、クライアント装置１及び記憶装置１３の情報の送信とを別々に行ったが、これらの通信は同時に行われてもよい。サーバ装置２は、クライアント装置１からクライアント装置１及び記憶装置１３の情報を受信したとき、消去フラグの問いあわせを受けたとみなしてもよい。

　図１０～図１２、図１４、及び図１５の例では、クライアント装置１を再起動して、消去アプリケーションプログラム７０及びファームウェアプログラム５０の組み合わせによる消去処理から、ファームウェアプログラム５０のみによる消去処理に移行する場合について説明した。しかしながら、クライアント装置１は、再起動することなく、消去アプリケーションプログラム７０及びファームウェアプログラム５０の組み合わせによる消去処理から、ファームウェアプログラム５０のみによる消去処理に移行するように構成されてもよい。

　図２の例では、クライアント装置１が、格納されたデータを消去すべき１つの記憶装置１３のみを備える場合について説明したが、クライアント装置１は、格納されたデータを消去すべき複数の記憶装置１３を備えてもよい。複数の記憶装置１３は、例えば、ＲＡＩＤ（Redundant Arrays of Inexpensive Disks）装置として構成されてもよい。この場合、複数の記憶装置１３は一体的な装置として取り扱われ、そこに格納されたデータが一体的に消去され、消去結果が一体的に検証される。また、複数の記憶装置１３は個別に取り扱われ、そこに格納されたデータが個別に消去され、消去結果が個別に検証されてもよい。

　また、第２の実施形態において、消去の検証の要否をユーザ又は管理者が選択できるようにしてもよい。消去の検証を行わない場合には、第１の実施形態の場合と同じ時間で処理を完了することができる。

　記憶装置１３に格納されたデータを消去するとき、消去方式としてセキュアイレースを指定したが失敗し、代替として上書き３回消去を実施して成功した場合には、消去結果情報として、上書き３回消去が記載される。ファームウェアプログラム５０は、消去の失敗時の代替処理を予め設定しておく。例えば、消去に失敗するごとに、セキュアイレース→上書き３消去→上書き１回消去の順に消去方法を変更してもよい。

　以上のように、本開示における技術の例示として、実施形態を説明した。そのために、添付図面および詳細な説明を提供した。

　したがって、添付図面および詳細な説明に記載された構成要素の中には、課題解決のために必須な構成要素だけでなく、上記技術を例示するために、課題解決のためには必須でない構成要素も含まれ得る。そのため、それらの必須ではない構成要素が添付図面や詳細な説明に記載されていることをもって、直ちに、それらの必須ではない構成要素が必須であるとの認定をするべきではない。

　また、上述の実施形態は、本開示における技術を例示するためのものであるから、請求の範囲またはその均等の範囲において種々の変更、置き換え、付加、省略などを行うことができる。

　本開示の一態様に係る電子装置によれば、記憶装置に格納されたデータを消去することに有用である。

１，１－１～１－３　クライアント装置
２　サーバ装置
３　管理者装置
４　ユーザ端末装置
５　基地局装置
６　通信回線
１０　バス
１１　プロセッサ
１２　メモリ
１３　記憶装置
１４　記憶装置
１５　通信装置
１６　表示装置
１７　入力装置
２０　バス
２１　プロセッサ
２２　メモリ
２３　記憶装置
２５　通信装置
３０　バス
３１　プロセッサ
３２　メモリ
３３　記憶装置
３５　通信装置
３６　表示装置
３７　入力装置
４０　バス
４１　プロセッサ
４２　メモリ
４３　記憶装置
４５　通信装置
４６　表示装置
４７　入力装置
４８　カメラ
５０　ファームウェアプログラム
５１　コア制御部
５２　消去制御部
５３　データ符号化部
５４　二次元バーコード生成部
６０　オペレーティングシステム
６１　装置情報モニタ
６２　電源管理部
７０　消去アプリケーションプログラム
７１　コア制御部
８１　コア制御部
８２　読み出し部
８３　書き込み部
８４　消去部
１００　システム
２００　表示画面
２０１　二次元バーコード
２０２　キーワード
２０３　入力欄
３０１　中領域
３０２　小領域

Claims

　第１の記憶装置と、通信装置と、プロセッサとを備えた電子装置であって、
　前記プロセッサは、
　前記通信装置を用いて、前記第１の記憶装置を一意に識別する識別情報を含む第１の信号をサーバ装置に送信することにより、前記電子装置を前記サーバ装置に登録させ、
　前記通信装置を用いて、前記第１の記憶装置の前記識別情報を含む第２の信号であって、前記第１の記憶装置に格納されたデータを消去すべきであると前記サーバ装置に登録されているか否かを問いあわせる前記第２の信号を前記サーバ装置に送信し、
　前記通信装置を用いて、前記第１の記憶装置に格納された前記データを消去することを指示する第３の信号を前記サーバ装置から受信した場合、前記第１の記憶装置に格納された前記データを消去し、
　前記第３の信号は、前記第２の信号に含まれる前記第１の記憶装置の前記識別情報が前記第１の信号に含まれる前記第１の記憶装置の前記識別情報に一致していると前記サーバ装置が判断し、かつ、前記第１の記憶装置に格納された前記データを消去すべきであると前記サーバ装置に登録されている場合、前記サーバ装置から前記電子装置に送信される、
電子装置。
　前記電子装置は、ファームウェアプログラムを格納した第２の記憶装置をさらに備え、
　前記第１の記憶装置に格納された前記データは、オペレーティングシステム、アプリケーションプログラム、及びユーザデータを含み、
　前記プロセッサは、前記ファームウェアプログラムを実行することにより、前記第１の記憶装置に格納された前記データを消去する、
請求項１記載の電子装置。
　前記プロセッサは、前記第１の記憶装置に格納された前記データの消去が完了した後、前記ファームウェアプログラムを実行することにより、前記通信装置を用いて、前記第１の記憶装置に格納された前記データの前記消去が完了したことを示す第４の信号を前記サーバ装置に送信する、
請求項２記載の電子装置。
　前記電子装置は表示装置をさらに備え、
　前記プロセッサは、前記第４の信号に対する肯定応答信号を前記サーバ装置から受信しなかった場合、前記ファームウェアプログラムを実行することにより、前記第１の記憶装置に格納された前記データの前記消去が完了したことを示す消去完了情報を含む第１の二次元バーコードを前記表示装置に表示する、
請求項３記載の電子装置。
　前記プロセッサは、
　前記第１の記憶装置に格納された前記データの消去が完了した後、前記通信装置を用いて、前記第１の記憶装置に格納された前記データの前記消去が完了したことを示す第４の信号を前記サーバ装置に送信し、
　前記第１の記憶装置に格納された前記データの前記消去を検証し、
　前記消去の検証中又は検証後に、前記通信装置を用いて、前記第１の記憶装置に格納された前記データの前記消去の検証が少なくとも部分的に完了したことを示す少なくとも１つの第５の信号を前記サーバ装置に送信する、
請求項１記載の電子装置。
　前記少なくとも１つの第５の信号は、複数の第５の信号であり、
　前記複数の第５の信号は、前記消去の検証が、互いに異なる複数の進捗度のいずれかまで完了したことをそれぞれ示す、
請求項５記載の電子装置。
　前記少なくとも１つの第５の信号は、複数の第５の信号であり、
　前記複数の第５の信号は、前記消去の検証が、前記第１の記憶装置の全記憶領域のうちの複数の所定割合まで完了したことをそれぞれ示す、
請求項５記載の電子装置。
　前記少なくとも１つの第５の信号は、複数の第５の信号であり、
　前記複数の第５の信号は、前記消去の検証が、前記第１の記憶装置の全記憶領域を分割した複数の部分領域からランダムに抽出された複数の所定個数の部分領域まで完了したことをそれぞれ示す、
請求項５記載の電子装置。
　前記電子装置は、ファームウェアプログラムを格納した第２の記憶装置をさらに備え、
　前記第１の記憶装置に格納された前記データは、オペレーティングシステム、アプリケーションプログラム、及びユーザデータを含み、
　前記プロセッサは、前記ファームウェアプログラムを実行することにより、前記第１の記憶装置に格納された前記データを消去し、前記第１の記憶装置に格納された前記データが消去されたことを検証する、
請求項５記載の電子装置。
　前記電子装置は表示装置をさらに備え、
　前記プロセッサは、前記第４の信号に対する肯定応答信号を前記サーバ装置から受信しなかった場合、前記ファームウェアプログラムを実行することにより、前記第１の記憶装置に格納された前記データの前記消去が完了したことを示す消去完了情報を含む第１の二次元バーコードを前記表示装置に表示する、
請求項９記載の電子装置。
　前記プロセッサは、前記少なくとも１つの第５の信号に対する肯定応答信号を前記サーバ装置から受信しなかった場合、前記ファームウェアプログラムを実行することにより、前記消去の検証が完了したことを示す検証完了情報を含む第２の二次元バーコードを前記表示装置に表示する、
請求項１０記載の電子装置。
　前記第２の信号は、前記第１の記憶装置に格納された前記データを消去すべきであると前記サーバ装置に登録されているか否かを問いあわせる第６の信号と、前記第１の記憶装置の前記識別情報を含む第７の信号とを含み、
　前記プロセッサは、
　前記通信装置を用いて前記第６の信号を前記サーバ装置に送信し、
　前記通信装置を用いて、前記第１の記憶装置に格納された前記データを消去すべきであると前記サーバ装置に登録されていることを示す第８の信号を前記サーバ装置から受信した場合、前記通信装置を用いて前記第７の信号を前記サーバ装置に送信する、
請求項１記載の電子装置。
　前記第１の記憶装置の前記識別情報は、前記電子装置の製造業者、前記電子装置の機種、前記電子装置のシリアル番号、前記電子装置のＵＵＩＤ（Universally Unique Identifier）、前記第１の記憶装置の製造業者、前記第１の記憶装置の機種、前記第１の記憶装置のシリアル番号、前記第１の記憶装置のＵＵＩＤ、及び前記第１の記憶装置の容量のうちの少なくとも一部を含む、
請求項１記載の電子装置。
　各々が請求項１～４、１２、１３のうちの１つに記載の電子装置である複数の電子装置と、
　前記サーバ装置とを含む、
システム。
　前記サーバ装置は、
　前記第１の記憶装置に格納された前記データの消去が完了したことを示す消去完了情報を前記電子装置から取得し、
　前記消去完了情報に基づいて、前記第１の記憶装置に格納された前記データの前記消去が完了したことを証明する消去証明書を発行する、
請求項１４記載のシステム。
　前記第３の信号は、前記第１の記憶装置に格納された前記データを消去すべきであると前記サーバ装置に登録されている前記複数の電子装置の各々の前記第１の記憶装置に発行された処理番号を含み、
　前記消去完了情報は、前記処理番号、前記第１の記憶装置のＵＵＩＤ（Universally Unique Identifier）、消去開始時刻、消去完了時刻、及び消去方式を含む、
請求項１５記載のシステム。
　各々が請求項５～１１のうちの１つに記載の電子装置である複数の電子装置と、
　前記サーバ装置とを含む、
システム。
　前記サーバ装置は、
　前記第１の記憶装置に格納された前記データの前記消去が完了したことを示す消去完了情報を前記電子装置から取得し、
　前記第１の記憶装置に格納された前記データが消去されたことの検証が完了したことを示す検証完了情報を前記電子装置から取得し、
　前記消去完了情報及び前記検証完了情報に基づいて、前記第１の記憶装置に格納された前記データの前記消去が完了したことを証明する消去証明書を発行する、
請求項１７記載のシステム。
　電子装置の記憶装置に格納されたデータを消去する方法であって、
　前記記憶装置を一意に識別する識別情報を含む第１の信号を前記電子装置からサーバ装置に送信することにより、前記電子装置を前記サーバ装置に登録させるステップと、
　前記記憶装置の前記識別情報を含む第２の信号であって、前記記憶装置に格納されたデータを消去すべきであると前記サーバ装置に登録されているか否かを問いあわせる前記第２の信号を前記電子装置から前記サーバ装置に送信するステップと、
　前記記憶装置に格納された前記データを消去することを指示する第３の信号を前記サーバ装置から受信した場合、前記記憶装置に格納された前記データを消去するステップとを含み、
　前記第３の信号は、前記第２の信号に含まれる前記記憶装置の前記識別情報が前記第１の信号に含まれる前記記憶装置の前記識別情報に一致していると前記サーバ装置が判断し、かつ、前記記憶装置に格納された前記データを消去すべきであると前記サーバ装置に登録されている場合、前記サーバ装置から前記電子装置に送信される、
方法。
　前記記憶装置に格納された前記データの消去が完了した後、前記記憶装置に格納された前記データの消去が完了したことを示す第４の信号を前記電子装置から前記サーバ装置に送信するステップと、
　前記記憶装置に格納された前記データが消去されたことを検証するステップと、
　前記消去の検証中又は検証後に、前記記憶装置に格納された前記データが消去されたことの検証が少なくとも部分的に完了したことを示す第５の信号を前記電子装置から前記サーバ装置に送信するステップと、をさらに含む、
請求項１９記載の方法。