説明

情報処理システム

【課題】携帯型記憶装置の不正利用や不正なネットワーク接続を確実に防止する。
【解決手段】携帯型記憶装置120を情報処理端末110に接続し、携帯型記憶装置120内の情報を用いた処理を情報処理端末110で実行する際、サーバ130において携帯型記憶装置120についての個人認証,装置認証,ソフトウエア認証,第二次個人認証という四重の認証を行ない、携帯型記憶装置120およびその利用者の正当性が認証されると、情報処理端末110の処理部による処理状態を、内部処理状態から、各種のソフトウエアおよびデータを携帯型記憶装置120上で用いながら処理を行なう外部処理状態に切り換える。この際、携帯型記憶装置は、二次電池を電源としており、情報処理端末に接続される際の利用者の生体データ値を取得する。また、携帯型記憶装置内の記憶内容は暗号化されており、認証された正当な利用者に対して復号鍵がサーバ130から送信される。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、各種のソフトウエアやデータを記憶する携帯型記憶装置〔例えばUSB(Universal Serial Bus)メモリ,リムーバブルハードディスクなど〕をパーソナルコンピュータなどの情報処理端末における接続ポートに接続すると、その携帯型記憶装置内のソフトウエアを情報処理端末の処理部で起動・実行するように構成された情報処理システムに関する。
【背景技術】
【0002】
電子メール,スケジュール管理ツール,各種ゲームなどの、パーソナルコンピュータ(以下、PCという)上で用いられる各種ツール(アプリケーションプログラム,ソフトウエア)は、ビジネスやプライベートにおいて必要不可欠なものとなっている。
【0003】
また、携帯電話機(携帯電話無線装置)の普及に伴い、いつでもどこでも簡単に電子メールをやりとりしたり、スケジュール管理ツール,各種ゲームを利用したりすることが一般化しており、PCで利用される各種ツールについても同様の利便性が求められている。
【0004】
しかし、PCで利用される各種ツールは、そのPCの利用者毎に固有のデータを含んでいたりそのPCの利用者毎に固有の設定を施されていたりするため、外出先において他人のPCを用い自分のPCを用いているのと同じ状況(環境)で各種ツールを利用したい場合には、その他人のPCに利用したいツールがインストールされていれば、そのツールを起動し利用者固有のデータを入力したり利用者固有の設定を行なったりする必要があって手間が掛かる上、利用後には入力したデータを削除したり設定を解除したりする必要があってさらなる手間が掛かる。
【0005】
また、その他人のPCに利用したいツールがインストールされていなければ、そのツールをインストールした上で、上述と同様の手間を掛け、さらに場合によってはそのツールをアンインストールする手間が掛かる場合もある。
【0006】
例えば、外出先で他人のパソコンを用いて電子メールチェックの必要がある場合、外出先のパソコンにアカウントを設定し、電子メールの送受信を実行し、送受信したメールを確認後に外出先のパソコンに残らないように削除するなど、大変手間の掛かるものとなっている。
【0007】
上述の手間や面倒を省くために、利用者が普段から利用している自分のノートPCを持ち歩くことが考えられるが、重量のあるノートPCを常時携帯することは利用者にとって負担である。また、携帯電話機の電子メールでは文字数制限があったり、文字が打ちにくい等の不都合があり、ビジネスに十分対応するものとはなっていない。さらに、携帯電話機においてスケジュール管理ツールを利用したり各種ゲームを行なったりする場合も、画面が小さくて見づいだけでなくデータ入力のための操作性が悪く、使いづらい。
【0008】
そこで、例えば下記特許文献1では、USBポートに挿入すると、内蔵されたプログラムが起動して動作するUSBデバイスが開示されている。具体的に、このUSBデバイスは、PC本体のUSBポートに接続されると、自動起動プログラムを起動して、電子メールプログラムを本デバイスに記憶される設定ファイル内の設定に従って動作させ、送受信メールや添付ファイルを本デバイス内に記憶するものである。
【0009】
このようなUSBデバイスを用いることにより、外出先の他人のPCで利用者専用のメ
ーラーを簡易に利用でき、さらに送受信メールの内容が本デバイスに記憶されるので、セキュリティを向上させることができる。
【特許文献1】特開2003−178017号公報
【発明の開示】
【発明が解決しようとする課題】
【0010】
ところで、近年、大容量の記憶機能を有する、携帯型ハードディスクレコーダやUSBメモリなどのデバイス(携帯型記憶装置)が普及してきており、このようなデバイスを用いて、利用者毎に、自分専用にカスタマイズされた各種ツール(アプリケーションプログラム,ソフトウエア)やオリジナルデータを持ち歩くことが考えられる。
【0011】
利用者は、上述のようなデバイスを携帯することにより、重量のあるノートPC等を持ち歩くことなく、オリジナルデータと通常使い慣れたプログラムや利用環境とを持ち歩くことができ、外出先において他人のPCを用いて利用者が通常利用している環境を実現してさらにオリジナルデータを用いた各種処理を実現することが可能になる。
【0012】
しかしながら、自分専用にカスタマイズされた各種ツールやオリジナルデータを記憶したデバイスは、小型で携帯しやすくなる分、利用者の不注意によって紛失する可能性や、悪意を持った第三者によって盗難に遭う可能性も高くなる。
【0013】
万一、デバイスを紛失したりデバイスが盗難に遭ったりすると、デバイス内の情報(ソフトウエアやデータ)が漏洩したり改竄されたりするおそれがあるため、上述のようなデバイスを用いる際には、デバイス内の情報についてのセキュリティ性能を確保することが望まれている。
【0014】
また、携帯型記憶装置の使用時あるいは使用開始時に、その携帯型記憶装置が真正な本人に使用されているか否かを確認する手法が存在していないという大きな問題も存在していた。
【0015】
本発明は、このような課題に鑑み創案されたもので、万一、携帯型記憶装置を紛失したり携帯型記憶装置が盗難に遭ったりしても、携帯型記憶装置のセキュリティ性能を確保し、携帯型記憶装置内の情報の漏洩/改竄や携帯型記憶装置の不正な利用を確実に防止するとともに、第三者の成りすましによる不正なネットワーク接続を確実に防止できるようにして、セキュリティ性能のさらなる向上をはかることを目的としている。
【課題を解決するための手段】
【0016】
上述した不具合を解決する手段としての本発明は、以下に述べるようなものである。
(1)請求項1記載の発明は、少なくとも、各種処理を実行する処理部、前記処理部に対する情報入力を行なう入力部、前記処理部による処理結果を出力する出力部、および、前記処理部に外部装置を接続すべく前記外部装置側のコネクタを挿入される接続ポートを備える情報処理端末と、各種のソフトウエアおよびデータを記憶する記憶機能を有すると共に、利用者の生体データ値を検出することで該利用者本人であることが確認された場合に本人確認情報を送出する本人確認機能を有し、前記接続ポートに前記外部装置として接続されうる携帯型記憶装置と、前記情報処理端末に接続され、前記情報処理端末の前記接続ポートに接続された前記携帯型記憶装置についての認証を行なう認証サーバと、前記情報処理端末に接続され、前記情報処理端末の該接続ポートに接続された前記携帯型記憶装置における暗号化情報に対するアクセスの管理を行なうアクセス管理サーバと、を備え、前記情報処理端末が、前記接続ポートに前記携帯型記憶装置が接続されたことを認識する認識手段と、前記認識手段によって前記接続ポートに前記携帯型記憶装置が接続されたことを認識すると、前記携帯型記憶装置についての認証を前記認証サーバに対して要求する
認証要求手段と、前記認証要求手段による要求に応じて前記認証サーバによって実行された認証の結果、前記携帯型記憶装置および前記携帯型記憶装置の利用者の正当性が認証された場合、前記処理部による処理状態を、前記情報処理端末側に記憶されたソフトウエアおよびデータを用いて処理を行なう内部処理状態から、前記携帯型記憶装置に記憶された前記各種のソフトウエアおよびデータを前記携帯型記憶装置上で用いながら処理を行なう外部処理状態に切り換える切換手段とを備えて構成され、前記認証サーバが、前記情報処理端末から前記携帯型記憶装置についての認証要求を受けると、前記携帯型記憶装置の利用者によって前記情報処理端末の前記入力部から入力される個人認証情報に基づき前記利用者が正当な利用者であるか否かを判定して、前記利用者の第一次個人認証を行なう個人認証手段と、前記情報処理端末から前記携帯型記憶装置についての認証要求を受けると、前記携帯型記憶装置から自動的に読み出される装置識別情報に基づき前記携帯型記憶装置が前記認証サーバの管理対象装置であるか否かを判定して、前記携帯型記憶装置の装置認証を行なう装置認証手段と、前記携帯型記憶装置に記憶されているソフトウエア(以下、ログイン時ソフトウエアという)と前記携帯型記憶装置が情報処理端末に最後に接続されていた時に記憶されていたソフトウエア(以下、ログオフ時ソフトウエアという)との対照をとりこれらのソフトウエアが一致する否かを判定してソフトウエア認証を行うと共に、前記本人確認情報に基づき前記利用者の第二次個人認証を行なう第二次認証手段と、前記個人認証手段によって前記利用者が正当な利用者であることが第一次個人認証され、且つ、該装置認証手段によって前記携帯型記憶装置が前記認証サーバの管理対象装置であることが認証され、且つ、前記第二次認証手段によって正当な利用者であることが第二次個人認証された場合、前記携帯型記憶装置および前記携帯型記憶装置の利用者の正当性が認証されたものと判断し、その旨を認証の結果として前記情報処理端末に対して通知する通知手段とを備えて構成され、前記携帯型記憶装置が、外部電源装置もしくは内蔵発電装置または前記接続ポートの少なくとも一つ経由で充電されうる二次電池を備え、前記二次電池を電源として、前記接続ポートに接続される以前もしくは接続される際に前記利用者の生体データ値を取得するよう構成され、前記携帯型記憶装置において、前記各種のソフトウエアおよびデータのうち、所定のソフトウエア以外のソフトウエアおよびデータが、前記アクセス管理サーバによって管理される暗号鍵を用いて暗号化された暗号化情報として記憶され、前記情報処理端末の前記処理部が、前記認識手段によって前記接続ポートに前記携帯型記憶装置が接続されたことを認識すると、前記携帯型記憶装置における前記所定のソフトウエアを実行することにより、前記暗号化情報の利用者によって前記情報処理端末の前記入力部から入力される、前記暗号化情報ついての認証情報を送信し、前記アクセス管理サーバに対して前記暗号化情報に応じた復号鍵を要求する復号鍵要求手段、および、前記復号鍵要求手段の要求に応じて前記アクセス管理サーバから受信した前記復号鍵を用いて前記暗号化情報を復号化する復号化手段としての機能を果たすように構成され、前記アクセス管理サーバが、前記情報処理端末から前記暗号化情報についての認証情報を受けると、前記認証情報に基づき前記暗号化情報の利用者が正当な利用者であるか否かを判定する判定手段と、前記判定手段によって前記暗号化情報の利用者が正当な利用者であると判定された場合、前記暗号化情報を復号化する復号鍵を前記情報処理端末に送信する復号鍵送信手段とをそなえて構成されている、ことを特徴とする情報処理システムである。
【0017】
(2)請求項2記載の発明は、前記携帯型記憶装置は、該利用者の生体データ値を検出する生体センサと、該利用者の所在雰囲気中の気象データを検出する気象センサと、該利用者の体調を管理するための生体データ閾値を、気象条件毎に予め設定されて保持する閾値テーブルと、該気象センサによって検出された気象データに対応する気象条件について設定された生体データ閾値を該閾値テーブルから検索して読み出す閾値読出手段と、該閾値読出手段によって読み出された生体データ閾値と該生体センサによって検出された生体データ値とを比較する比較手段と、該比較手段による比較の結果、該利用者本人であることが確認された場合に、本人確認情報を送出する制御手段と、を備え、前記制御手段は、前記二次電池を電源として、該携帯型記憶装置が前記接続ポートに接続される以前もしく
は接続される際に前記利用者の生体データ値を取得するよう制御する、ことを特徴とする請求項1記載の情報処理システムである。
【0018】
(3)請求項3記載の発明は、前記携帯型記憶装置は、位置情報を取得する位置情報取得手段を備え、前記制御手段は、前記二次電池を電源として、該携帯型記憶装置が前記接続ポートに接続される以前もしくは接続される際の位置情報を前記位置情報取得手段を介して取得するするよう制御する、ことを特徴とする請求項2記載の情報処理システムである。
【0019】
(4)請求項4記載の発明は、前記認証サーバにおいて、前記利用者が正当な利用者であると認証されなかった場合には、前記携帯型記憶装置が記憶している前記ソフトウエアおよび前記データを消去するコマンドを、前記携帯型記憶装置が接続されている前記情報処理端末に与える、ことを特徴とする請求項1乃至請求項3のいずれか一項に記載の情報処理システムである。
【0020】
(5)請求項5記載の発明は、該認証サーバが、該アクセス管理サーバとしての機能を併せもっている、ことを特徴とする請求項1乃至請求項4のいずれか一項に記載の情報処理システムである。
【0021】
(6)請求項6記載の発明は、該認証サーバが、該携帯型記憶装置および該携帯型記憶装置の利用者の正当性が認証された場合、該情報処理端末の該処理部による処理状態が前記外部処理状態に切り換えられ該携帯型記憶装置が開かれたものと判断して、その旨を履歴として記録する記録手段をさらにそなえて構成されている、ことを特徴とする請求項1乃至請求項5のいずれか一項に記載の情報処理システムである。
【発明の効果】
【0022】
上述した本発明の情報処理システムによれば、情報処理端末の接続ポートに携帯型記憶装置が接続されたことが認識手段によって認識されると、携帯型記憶装置についての認証が認証サーバに対し認証要求手段によって要求される。認証サーバにおいては、個人認証手段によって前記利用者が正当な登録者であることが認証され、且つ、装置認証手段によって携帯型記憶装置が認証サーバの管理対象装置であることが認証され、且つ、第二次認証手段によってソフトウエア認証(ログイン時ソフトウエアとログオフ時ソフトウエアとが一致するか否かの第二次認証)と第二次個人認証(生体データ値による第二次認証)された場合、携帯型記憶装置およびその利用者の正当性が認証されたものと判断され、その旨が認証の結果として認証サーバから情報処理端末に対し通知手段によって通知される。
【0023】
そして、認証要求手段による要求に応じて認証サーバによって実行された認証の結果、携帯型記憶装置およびその利用者の正当性が認証されると、情報処理端末の処理部による処理状態が、切換手段によって、内部処理状態から、各種のソフトウエアおよびデータを携帯型記憶装置上で用いながら処理を行なう外部処理状態に切り換えられる。
【0024】
これにより、利用者は、利用者毎に自分専用にカスタマイズされた各種のソフトウエアやオリジナルデータを携帯型記憶装置に保存し、その携帯型記憶装置のコネクタを外出先の情報処理端末における接続ポートに接続するだけで、重量のあるノートPC等を持ち歩くことなく、オリジナルデータと通常使い慣れたプログラムや利用環境とをその外出先の情報処理端末で利用することが可能になる。
【0025】
その際、上述のごとく認証サーバにおいて個人認証、装置認証、ソフトウエア認証による第二次認証、および、生体データ値による第二次個人認証という四重の認証を行なっているので、万一、携帯型記憶装置を紛失したり携帯型記憶装置が盗難に遭ったりしても、
携帯型記憶装置のセキュリティ性能が確保され、携帯型記憶装置内の情報の漏洩や携帯型記憶装置の不正な利用を確実に防止することができる。
【0026】
また、携帯型記憶装置にインストールされているソフトウエア(ログイン時ソフトウエア)と携帯型記憶装置が最後に情報処理端末(認証サーバ)に接続されていた時にインストールされていたソフトウエア(ログオフ時ソフトウエア)との対照をとりこれらのソフトウエアが一致する否かを判定するソフトウエア認証を行なうことにより、これらのソフトウエアが完全に一致した場合に、情報処理端末の処理部が携帯型記憶装置におけるソフトウエアおよびデータを用いた外部処理状態に切り換えられるようになる。
【0027】
また、携帯型記憶装置において生体認証による第二次個人認証を行なうことにより、情報処理端末の処理部が携帯型記憶装置におけるソフトウエアおよびデータを用いた外部処理状態に切り換えられるようになる。
【0028】
従って、万一、個人認証や装置認証に必要な情報(ユーザID,パスワード,携帯型記憶装置の装置識別情報など)が盗まれ、第三者が本来の携帯型記憶装置とは異なる携帯型記憶装置を用い、その携帯型記憶装置内のソフトウエアによって成りすましによる不正なネットワーク接続を行なおうとしても、その成りすまし装置に保有されるソフトウエアと、盗まれた情報に対応する携帯型記憶装置についてのログオフ時ソフトウエアとが完全に一致することはほとんどありえず、成りすまし装置のネットワークへの接続を確実に拒絶することが可能になり、セキュリティ性能を大幅に向上させることができる。
【0029】
また、生体認証による第二次認証を成りすましによる他人がクリアすることはできないため、上述した第二次認証によって、成りすまし装置のネットワークへの接続を確実に拒絶することが可能になり、セキュリティ性能を大幅に向上させることができる。
【0030】
また、利用者が正当な利用者であると認証されなかった場合には、携帯型記憶装置が記憶しているソフトウエアおよびデータを消去するコマンドを、認証サーバから携帯型記憶装置が接続されている情報処理端末に与えることで、万一、携帯型記憶装置を紛失したり携帯型記憶装置が盗難に遭ったりしても、正当な利用者以外へのデータの漏洩を一層確実に拒絶することが可能になり、セキュリティ性能を大幅に向上させることができる。
【0031】
なお、携帯型記憶装置は、情報処理端末の接続ポートに接続された際に該接続ポート経由の電源供給で動作するだけでなく、外部電源装置もしくは内蔵発電装置または前記接続ポートの少なくとも一つ経由で充電されうる二次電池を備えているため、未使用時に二次電池が充電されている。そして、この二次電池を電源として、情報処理端末の接続ポートに接続される以前(直前)もしくは接続される際に、利用者(携帯型記憶装置の所持者、あるいは、携帯型記憶装置を情報処理端末に接続する者)の生体データ値や位置情報を取得するよう構成されている。
【0032】
このため、携帯型記憶装置の使用時あるいは使用開始時に、その携帯型記憶装置が真正な本人に使用されているか否かを確認することが可能になる。すなわち、情報処理端末の電源を入れる前、すなわち、携帯型記憶装置に対して情報処理端末の接続ポート経由で電源が供給される前であっても、携帯型記憶装置は内蔵の二次電池により動作して生体データ値や位置情報の取得を実行しているため、携帯型記憶装置が情報処理端末に接続された際に利用者の生体データ値や位置情報を取得できなくても、携帯型記憶装置が真正な本人に使用されているか否かを確認することが可能になる。
【0033】
この場合において、情報処理端末に対して携帯型記憶装置を接続する直前までは、利用者の手が携帯型記憶装置に触れているが、接続が完了した時点(情報処理端末からバスパ
ワーにより携帯型記憶装置に電源供給される時点)では既に利用者の手は携帯型記憶装置から離れてしまっているものの、この発明によれば確実な生体データ値の取得が可能になっている。また、情報処理端末に生体データ値の取得のための検出手段を設ける必要がないため、利用者は、各地で各種の情報処理端末を使用することが可能になる。
【0034】
また、携帯型記憶装置において、各種のソフトウエアおよびデータのうち、所定のソフトウエア以外のソフトウエアおよびデータを、アクセス管理サーバの管理下に置き暗号化情報として保存しておく。そして、暗号化情報の利用者については、アクセス管理サーバにより正当な利用者であることを認証されれば、情報処理端末の処理部によって、アクセス管理サーバから受信した復号鍵で暗号化情報が復号化され、暗号化情報の内容(ソフトウエアおよびデータ)を用いた処理(ソフトウエア認証を含む)が実行されることになるが、正当な利用者以外のものは、暗号化情報を復号化することができず、その内容を用いた処理を行なうことは不可能になっている。
【0035】
つまり、携帯型記憶装置において、各種のソフトウエアおよびデータのうち、所定のソフトウエア(処理部を復号鍵要求手段および復号化手段として機能させるプログラム)以外のソフトウエアおよびデータは、全て暗号化されており、その暗号化情報は、正当な利用者のみが復号化できるように構成されているので、万一、携帯型記憶装置を紛失したり携帯型記憶装置が盗難に遭ったりしても、携帯型記憶装置のセキュリティ性能が確保され、携帯型記憶装置内の情報の漏洩/改竄や携帯型記憶装置の不正な利用を確実に防止することができ、且つ、正当な利用者のアクセスは可能になるので、正当な利用者についての利便性を損なうことがない。
【0036】
また、上述した情報処理システムの認証サーバにおいて、携帯型記憶装置およびその利用者の正当性が認証された場合、その認証結果によって情報処理端末の処理部による処理状態が前記外部処理状態に切り換えられ携帯型記憶装置が開かれたことが、記録手段によって履歴として記録されるので、携帯型記憶装置がオープンされ、その携帯型記憶装置内の情報が情報処理端末の処理部による処理対象となったことを記録して管理することが可能になり、携帯型記憶装置の不正利用が発覚したような場合に、記録された履歴に基づいて、不正利用された携帯型記憶装置や、その利用時間や、その利用に用いられた情報処理端末などを特定することが可能になる。
【発明を実施するための最良の形態】
【0037】
以下、図面を参照して本発明の実施の形態を説明する。
〔1〕本実施形態の構成:
〔1−1〕情報処理システムの全体基本構成:
図1は本発明の一実施形態としての情報処理システムの構成を示すブロック図で、この図1に示されるように、本実施形態の情報処理システム100は、情報処理端末110,携帯型記憶装置120,サーバ130、およびネットワーク170を備えて構成されている。
【0038】
ここで、情報処理端末110は、例えば、ネットワーク170に接続されたパーソナルコンピュータ(PC)等であり、図2を参照しながら後述するような機能構成を有している。
【0039】
携帯型記憶装置120は、情報処理端末110の接続ポートに外部装置として接続されうるもので、例えば携帯型ハードディスクレコーダ、PCMCIAフラッシュメモリ、USBメモリなどの記憶デバイスであり、利用者毎に、自分専用にカスタマイズされた各種ツール(アプリケーションプログラム,ソフトウエア)やオリジナルデータを記憶・保持するための記憶部120aを有するものである。また、この携帯型記憶装置120は、利
用者の生体データ値を検出することで、利用者が真正な利用者本人であることが確認された場合に本人確認情報を送出する本人確認機能部120bを有する。
【0040】
さらに、この携帯型記憶装置120は、図示されない外部電源装置(ACアダプタなど)もしくは内蔵発電装置(太陽光発電部120dなど)または情報処理端末110の接続ポートの少なくとも一つ経由で充電されうる二次電池120cを備え、この二次電池120cを電源として、情報処理端末110の接続ポートに接続される以前に本人機能確認部120bが利用者の生体データ値を取得するよう構成されている。なお、この充電に際しては、図示されない既知の各種の充電制御回路を用いることができる。
【0041】
この携帯型記憶装置120は、図2を参照しながら後述するごとく、携帯型記憶装置120側のコネクタ121(図2参照)を情報処理端末110の接続ポート110D(図2参照)に挿入することによって、情報処理端末110に外部装置として接続されるようになっている。
【0042】
サーバ130は、ネットワーク170を通じて情報処理端末110と相互に通信可能に接続されるもので、本実施形態では、図3を参照しながら後述するごとく、3種類のサーバ、つまり、
(1)情報処理端末1の接続ポート110Dに接続された携帯型記憶装置120について
の認証を行なう認証サーバ、
(2)情報処理端末1の接続ポート110Dに接続された携帯型記憶装置120における
暗号化情報に対するアクセスの管理を行なうアクセス管理サーバ、
(3)携帯型記憶装置120における個人情報ファイルを管理する個人情報管理サーバ、
としての機能を併せもつものである。
【0043】
ネットワーク170は、前述したように、複数の情報処理端末110とサーバ130との間を相互に通信可能に接続するもので、例えばインターネット,イントラネット,LAN(Local Area Network)を含むものである。なお、このネットワーク170は、有線であるか無線(電波あるいは赤外線など)であるかを問わない。
【0044】
〔1−2〕情報処理端末および携帯型記憶装置の機能構成:
図2は本実施形態の情報処理システム100における情報処理端末110および携帯型記憶装置120の機能構成を示すブロック図で、この図2に示すように、本実施形態の情報処理端末(PC)10は、一般的なPCに通常備えられている、処理部110A,入力部110B,出力部110C,接続ポート110D,記憶部110Eおよび送受信部110Fから構成されている。
【0045】
処理部(CPU:Central Processing Unit)110Aは、後述する記憶部110Eも
しくは携帯型記憶装置120におけるプログラム(ソフトウエア)を実行することにより各種処理を実行するものである。この処理部110Aが、携帯型記憶装置120におけるプログラムを実行する場合、OS(Operating System)としては、情報処理端末110(記憶部110E)側にインストールされたものを用いてもよいし、携帯型記憶装置120側にインストールされたものを用いてもよい。なお、携帯型記憶装置120側にインストールされたOSを用いる場合、そのOSは、後述する暗号化情報に含まれず、暗号化されない所定のソフトウエアとして携帯型記憶装置120に含まれる。
【0046】
この処理部110Aは、サーバ130の認証サーバ機能に対応すべく、予め記憶部110Eに保存されたプログラムを実行することにより認識手段111,認証要求手段112および切換手段113としての機能を果たし、サーバ130のアクセス管理サーバ機能に対応すべく、携帯型記憶装置120に保存されたプログラム(暗号化されていない所定の
ソフトウエア)を実行することにより復号鍵要求手段114および復号化手段115としての機能を果たし、サーバ130の個人情報管理サーバ機能に対応すべく、携帯型記憶装置120に保存されたプログラム(後述するごとく暗号化情報を復号化して得られたプログラムもしくはサーバ130からインストールされたプログラム)を実行することにより個人情報探索手段116/116aおよび通知手段117としての機能を果たすようになっている。
【0047】
入力部110Bは、処理部110Aに対する情報入力を行なうもので、情報処理端末110もしくは携帯型記憶装置120の利用者によって操作されるキーボード,マウス等によって構成される。
【0048】
出力部110Cは、処理部110Aによる処理結果を出力するもので、ここでは各種情報の表示を行なうCRT(Cathode Ray Tube),LCD(Liquid Crystal Display)等のディスプレイによって構成される。
【0049】
接続ポート110Dは、処理部110Aに外部装置を接続すべく外部装置側のコネクタを挿入されるもので、例えばUSB(Universal Serial Bus)ポートもしくはPCMCIA(Personal Computer Memory Card International Association)ポートなどである。
本実施形態では、上述したように、情報処理端末110(処理部110A)に携帯型記憶装置120を接続する際に、その携帯型記憶装置120のコネクタ121が接続ポート110Dに挿入されるようになっている。
【0050】
記憶部110Eは、例えばハードディスク(HD)であり、処理部110Aの処理状態が後述する内部処理状態である場合に処理部110Aによる処理で用いられる各種ソフトウエアやデータを保持・記憶するものである。
【0051】
送受信部110Fは、情報処理端末110がネットワーク170を介してサーバ130や他の情報処理端末110などとの間でデータの送受信を行なうべく、処理部110Aとネットワーク170との間のインタフェースとして機能するものである。
【0052】
携帯型記憶装置120は、前述した通り、利用者毎に、自分専用にカスタマイズされた各種ツール(アプリケーションプログラム,ソフトウエア)やオリジナルデータを記憶・保持するもので、携帯型記憶装置120側のコネクタ121を情報処理端末110の接続ポート110Dに挿入することによって情報処理端末110の処理部110Aに接続される。この携帯型記憶装置120において、各種ソフトウエアおよびデータのうち、所定のソフトウエア(処理部110Aを復号鍵要求手段114および復号化手段115として機能させるプログラムや、OS)以外のソフトウエアおよびデータが、サーバ130(アクセス管理サーバ機能)によって管理される暗号鍵を用いて暗号化された暗号化情報として記憶されている。
【0053】
なお、携帯型記憶装置120に保存されている暗号化情報には、利用者毎にカスタマイズされたプログラムおよびオリジナルデータや、処理部110Aを個人情報探索手段116/116aおよび通知手段117として機能させるプログラムが含まれている。また、携帯型記憶装置120は、論理的なRAID(Redundant Arrays of Inexpensive Disk)構成を有しており、データの冗長性・信頼性を確保している。さらに、携帯型記憶装置120におけるアプリケーションプログラムは、携帯型記憶装置120内だけで動作するもので、情報処理端末110側のディスク等(記憶部110E等)にはアクセスできないようになっている。
【0054】
そして、認識手段111は、接続ポート110Dに携帯型記憶装置120が接続された
ことを認識するもので、この認識手段111によって接続ポート110Dに携帯型記憶装置120が接続されたことを認識すると、本実施形態の処理部110Aは、まず、携帯型記憶装置120における、暗号化されていない所定のソフトウエア(図2参照)を実行して、復号鍵要求手段114および復号化手段115として機能する。
【0055】
復号鍵要求手段114は、出力部(ディスプレイ)110Cを通じて暗号化情報(つまり携帯型記憶装置120)の利用者に対し暗号化情報についての認証情報(ユーザIDおよびパスワード)の入力を促し、これに応じて利用者によって入力部110Bから入力された暗号化情報ついての認証情報を送信し、サーバ130(アクセス管理サーバ機能)に対して暗号化情報に応じた復号鍵の送信を、送受信部110Fおよびネットワーク170を通じて、要求するものである。
【0056】
復号化手段115は、復号鍵要求手段114の要求に応じてサーバ130(アクセス管理サーバ機能)から送受信部110Fで受信した復号鍵を用いて暗号化情報を、元のソフトウエアおよびデータに復号化するものである。
【0057】
認証要求手段112は、認識手段111によって接続ポート110Dに携帯型記憶装置120が接続されたことを認識し、さらに復号化手段115によって携帯型記憶装置120の暗号化情報が復号化されると、携帯型記憶装置120についての認証をサーバ130(認証サーバ機能)に対して要求するものである。
【0058】
その際、認証要求手段112は、出力部(ディスプレイ)110Cを通じて携帯型記憶装置120の利用者に対し携帯型記憶装置120についての認証情報(ユーザIDおよびパスワード)の入力を促してその認証情報を入力部110Bから入力させ、そして、携帯型記憶装置120から装置識別情報(ディスクID)を読み出すとともに、携帯型記憶装置120に保持されているソフトウエア(ログイン時ソフトウエア)に関する情報、具体的には、各ソフトウエアを特定する情報(製品名,製品番号等)および各ソフトウエアのバージョン情報や生体データ値に基づく本人確認情報を携帯型記憶装置120から読み出し、さらに、出力部(ディスプレイ)110Cを通じて携帯型記憶装置120の利用者に対し第二次認証情報(ワンタイムパスワードなど)の入力を促して入力部110Bから入力させ、入力部110Bから入力された識別情報と、携帯型記憶装置120から読み出された装置識別情報・ソフトウエアに関する情報・本人確認情報などと、入力部110Bから入力された第二次認証情報とを、認証要求とともに、送受信部110Fおよびネットワーク170を通じて、サーバ130に送信するようになっている。
【0059】
なお、この実施形態では、個人認証情報としては、第一次個人認証として、例えばID番号とパスワードとを情報処理端末110のキーボードから入力することにより行う。なお、第一次個人認証として、IDとパスワードに代えて、別途発行されたワンタイムパスワードなどを入力するようにしてもよい。なお、この実施形態では、第一次個人認証として、IDとパスワードとを用いる場合を具体例とする。
【0060】
また、この実施形態では、第二次個人認証として、本人確認機能を有する携帯型記憶装置120の生体センサによって検出された生体データ値に基づく本人確認情報を、情報処理端末110がネットワーク170を通じてサーバ130に送信する。
【0061】
切換手段113は、認証要求手段112による要求に応じてサーバ130(認証サーバ機能)によって実行された認証の結果、携帯型記憶装置120およびその利用者の正当性が認証された場合、処理部110Aによる処理状態を、情報処理端末110側(記憶部110E)に記憶されたソフトウエアおよびデータを用いて処理を行なう内部処理状態から、携帯型記憶装置120に記憶された各種のソフトウエアおよびデータを携帯型記憶装置
120上で用いながら処理を行なう外部処理状態に切り換えるものである。
【0062】
このようにして外部処理状態に切り換えられると、処理部110Aによって、携帯型記憶装置120内に保存されているソフトウエアで使用可能なアプリケーションプログラムのメニュー画面が出力部(ディスプレイ)110Cに表示される。
【0063】
また、情報処理端末110において、携帯型記憶装置120を用いた外部処理状態を終了すると、切換手段113が、処理部110Aによる処理状態を外部処理状態から内部処理状態に切り換えるようになっている。
【0064】
さらに、認証要求手段112による要求に応じてサーバ130(認証サーバ機能)によって実行された認証の結果、携帯型記憶装置120およびその利用者の正当性が認証されなかった場合、つまり、サーバ130(認証サーバ機能)から認証失敗の通知を受けた場合、切換手段113による内部処理状態から外部処理状態への切換は禁止されるとともに、出力部110Cを通じて携帯型記憶装置120の利用者に対して認証失敗の通知が行なわれるようになっている。
【0065】
個人情報探索手段116/116aは、携帯型記憶装置120にインストールされた個人情報探索プログラムを実行することにより、携帯型記憶装置120におけるデータ(ファイル)の中から個人情報ファイルを探索して特定するものであり、通知手段117は、上記個人情報探索プログラムを実行することにより、個人情報探索手段116/116aによる探索結果を利用者もしくはサーバ130(個人情報管理サーバ機能)に通知するものである。利用者に対する通知は、例えば出力部110Cを通じて行なわれ、サーバ130(個人情報管理サーバ機能)に対する通知は送受信部110Fおよびネットワーク170を通じて行なわれる。なお、個人情報探索手段116および116aの詳細な構成については、それぞれ図4および図5を参照しながら後述する。
【0066】
本実施形態において、個人情報ファイル(個人情報集合体)は、個人情報を含むレコードを所定数以上保有しているものであり、個人情報は、前述した通り、単体もしくは組合せによって特定の個人を識別することのできる情報(各種個人情報要素)、例えば氏名,生年月日,連絡先(住所,居所,電話番号,メールアドレス)などを含むものである。なお、個人情報としては、これら以外に、役職名,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号なども挙げられる。
【0067】
〔1−3〕サーバの機能構成:
図3は本実施形態の情報処理システム100におけるサーバ(認証サーバ/アクセス管理サーバ/個人情報管理サーバ)130の機能構成を示すブロック図で、この図3に示すように、本実施形態のサーバ130は、一般的なサーバに通常備えられている、少なくとも処理部130A,記憶部130Bおよび送受信部130Cを有している。
【0068】
本実施形態のサーバ130では、処理部(CPU)130Aが、記憶部130Bにおけるプログラム(ソフトウエア)を実行することで、以下の3種類のサーバの機能を果たすように構成されている。
【0069】
(1)情報処理端末1の接続ポート110Dに接続された携帯型記憶装置120について
の認証を行なう認証サーバ(個人認証手段131,装置認証手段132,第二次認証手段133,通知手段134および記録手段135)。
【0070】
(2)情報処理端末1の接続ポート110Dに接続された携帯型記憶装置120における
暗号化情報に対するアクセスの管理を行なうアクセス管理サーバ(判定手段136および
復号鍵送信手段137)。
【0071】
(3)携帯型記憶装置120における個人情報ファイルを管理する個人情報管理サーバ(
調査手段138およびインストール手段139)。
なお、送受信部130Cは、サーバ130がネットワーク170を介して情報処理端末110との間でデータの送受信を行なうべく、処理部130Aとネットワーク170との間のインタフェースとして機能するものである。
【0072】
個人認証手段131は、情報処理端末110から携帯型記憶装置120についての認証要求を受けると、携帯型記憶装置120の利用者によって情報処理端末110の入力部110Bから入力された個人認証情報(ユーザIDとパスワード)に基づき、その利用者が正当な利用者(本携帯型記憶装置120に対する正当なアクセス権を有する者)であるか否かを判定して、利用者の第一次個人認証を行なうものである。
【0073】
より具体的に説明すると、個人認証手段131は、サーバ130(記憶部130B)に予め登録保存されている、携帯型記憶装置120についての登録者情報から、ユーザIDに対応する登録パスワードを読み出し、読み出された登録パスワードと、今回、サーバ130に送信されてきたパスワードとを比較照合し、これらのパスワードが一致した場合にその利用者の正当性を認証する一方、これらのパスワードが一致しない場合に認証失敗と判定するようになっている。なお、サーバ130(記憶部130B)に、ユーザIDに対応する登録パスワードが存在しない場合にも認証失敗と判定する。
【0074】
装置認証手段132は、情報処理端末から携帯型記憶装置120についての認証要求を受けると、携帯型記憶装置120から自動的に読み出された装置識別情報に基づき、その携帯型記憶装置120がサーバ130(認証サーバ機能)の管理対象装置であるか否かを判定して当該携帯型記憶装置120の装置認証を行なうものである。
【0075】
より具体的に説明すると、装置認証手段132は、サーバ130(記憶部130B)に予め登録保存されている管理対象装置の装置識別情報と、今回、携帯型記憶装置120から読み出されてサーバ130に送信されてきた装置識別情報とを比較照合し、一致する装置識別情報がある場合に当該携帯型記憶装置120の正当性を認証する一方、一致する装置識別情報がない場合に認証失敗と判定するようになっている。
【0076】
第二次認証手段133は、上述した個人認証(第一次個人認証)と装置認証とに続く第二次認証として、ソフトウェアの状態確認によるソフトウエア認証と、生体データ値に基づく本人確認情報による第二次個人認証とを行うものである。
【0077】
ここで、第二次認証手段133は、情報処理端末110から携帯型記憶装置120についての認証要求を受けると、認証対象の携帯型記憶装置120に記憶されているソフトウエア(ログイン時ソフトウエア)と、サーバ130の記憶部130Bに登録保存されている、携帯型記憶装置120が情報処理端末110に最後に接続されていた時に記憶されていたソフトウエア(ログオフ時ソフトウエア)との対照をとり、これらのソフトウエアが一致する否かを判定して、第二次認証としてのソフトウエア認証を行なう。
【0078】
また、第二次認証手段133は、情報処理端末110から携帯型記憶装置120についての認証要求を受けると、認証対象の携帯型記憶装置120を利用する利用者が所持する本人確認機能を有する携帯型記憶装置120の生体センサによって検出された生体データ値に基づく本人確認情報を参照して、第二次認証としての第二次個人認証を行なう。
【0079】
また、第二次認証手段133は、情報処理端末110から携帯型記憶装置120につい
ての認証要求を受けると、認証対象の携帯型記憶装置120に内蔵させたGPS位置検出部が求めた位置情報を用いて、予め定められた位置、予め届けられた位置(移動先)、予想される位置(移動先)などと比較することで、第二次個人認証を行なうようにしてもよい。
【0080】
なお、第二次認証手段133によるソフトウエアの一致判定に際しては、各ソフトウエアを特定する情報(製品名,製品番号等)が一致するか否かの判定と、各ソフトウエアのバージョン情報が一致するか否かの判定とが行なわれ、全てのソフトウエア製品が一致するだけでなく各ソフトウエア製品のバージョンも一致した場合に、ログイン時ソフトウエアとログオフ時ソフトウエアとが一致したものと判定するようになっている。
【0081】
また、情報処理端末110において携帯型記憶装置120を用いた処理を終了する際には、その終了時に携帯型記憶装置120に保有されているソフトウエアに関する情報が、ログオフ時ソフトウエアに関する情報として自動的にサーバ130に吸い上げられ、その携帯型記憶装置120を特定する情報(装置識別情報等)に対応付けられて記憶部130Bに登録保存されるようになっている。
【0082】
通知手段134は、個人認証手段131によって利用者が正当な利用者であることが認証され、且つ、装置認証手段132によって携帯型記憶装置120がサーバ130(認証サーバ機能)の管理対象装置であることが認証され、そして、第二次認証手段133によって第二次個人認証がなされた場合、当該携帯型記憶装置120およびその利用者の正当性が認証されたものと判断し、その旨を認証の結果として情報処理端末110に対し、送受信部130Cおよびネットワーク170を通じて通知するものである。
【0083】
また、サーバ130(認証サーバ機能)において、個人認証手段131によって利用者が正当な利用者であることが認証されなかった場合、もしくは、装置認証手段132によって携帯型記憶装置120がサーバ130(認証サーバ機能)の管理対象装置であることが認証されなかった場合、もしくは、第二次認証手段133によってログイン時ソフトウエアとログオフ時ソフトウエアとが一致していないと判定された場合、通知手段134は、当該携帯型記憶装置120またはその利用者の正当性の認証に失敗したものと判断し、その旨を認証の結果として情報処理端末110に対し、送受信部130Cおよびネットワーク170を通じて通知するようになっている。
【0084】
記録手段135は、携帯型記憶装置120およびその利用者の正当性が認証された場合、情報処理端末110の処理部110Aによる処理状態が外部処理状態に切り換えられ携帯型記憶装置120が開かれたものと判断して、その旨を履歴として例えば記憶部130Bに記録するものである。
【0085】
判定手段136は、情報処理端末110から前記暗号化情報についての認証情報(ユーザIDおよびパスワード)を受けると、その認証情報に基づき前記暗号化情報の利用者が正当な利用者であるか否かを判定するものである。
【0086】
より具体的に説明すると、判定手段136は、サーバ130(記憶部130B)に予め登録保存されている、前記暗号化情報についての登録者情報から、ユーザIDに対応する登録パスワードを読み出し、読み出された登録パスワードと、今回、サーバ130に送信されてきたパスワードとを比較照合し、これらのパスワードが一致した場合にその利用者が正当な利用者であると判定する一方、これらのパスワードが一致しない場合もしくはサーバ130(記憶部130B)にユーザIDに対応する登録パスワードが存在しない場合にはその利用者が正当な利用者ではないと判定してその旨を情報処理端末110に通知するようになっている。
【0087】
復号鍵送信手段137は、判定手段136によって前記暗号化情報の利用者が正当な利用者であると判定された場合、前記暗号化情報を復号化する復号鍵を、記憶部130Bから読み出して、情報処理端末110に対し送受信部130Cおよびネットワーク170を通じて送信するものである。
【0088】
調査手段138は、例えば、第二次認証におけるソフトウエア認証のために情報処理端末110から送信されてきたログイン時ソフトウエアに関する情報に基づいて、携帯型記憶装置120におけるソフトウエアに個人情報探索プログラムが含まれているか否かを調査するものである。
【0089】
インストール手段139は、調査手段138による調査の結果、前記個人情報プログラムが含まれていない場合、送受信部130C,ネットワーク170および情報処理端末110を通じて、携帯型記憶装置120に個人情報探索プログラムをインストールするものである。
【0090】
〔1−4〕個人情報探索手段の機能構成の第1例:
図4は本実施形態における個人情報探索手段の機能構成の第1例(符号116参照)を示すブロック図で、この図4に示すように、個人情報探索手段116は、検疫テーブル116Dを有するとともに、抽出手段116A,計数手段116Bおよび判定手段116Cとしての機能を有しており、これらの機能は、処理部110Aが、サーバ130(個人情報管理サーバ機能)のインストール手段139によってインストールされた個人情報探索プログラム、もしくは、携帯型記憶装置120に予め保持されている個人情報探索プログラムを実行することによって実現される。なお、検疫テーブル116Dは、サーバ130(個人情報管理サーバ機能)から予め提供されるか、上記個人情報探索プログラムに含まれるもので、個人情報ファイルを判定するための基準となる各種情報を保持している。
【0091】
ここで、抽出手段116Aは、携帯型記憶装置120に保存されているデータからデータファイル(判定対象ファイル)を抽出してテキストファイルにするテキスト抽出エンジンとして機能するものである。
【0092】
計数手段116Bは、携帯型記憶装置120におけるデータに含まれるファイル毎に、そのファイル(判定対象ファイル)に含まれる文字もしくは文字列と、個人情報において特徴的に出現する文字もしくは文字列として検疫テーブル116Dに予め設定された特徴文字もしくは特徴文字列とを照合し、前記特徴文字もしくは前記特徴文字列が当該ファイルにおいて出現する回数を計数するものである。なお、検疫テーブル116Dの具体例を図11(a)に示し、計数手段116Bの動作については、この図11(a)を参照しながら後述する。
【0093】
判定手段116Cは、計数手段116Bによる計数結果(計数値,判定値)に基づいて、当該ファイルが個人情報ファイルであるか否かを判定するとともに、本実施形態では、その計数結果に基づいて、携帯型記憶装置120に保持されているファイルのPマーク(プライバシレベルマーク;個人情報ファイルである可能性の高さを示すレベルで、後述する判定値によって決定されるレベル)を決定し探索結果として出力するものである。Pマークの詳細説明については、図5に示す第2判定手段1166の機能説明と併せて行なう。
【0094】
〔1−5〕個人情報探索手段の機能構成の第2例:
図5は本実施形態における個人情報探索手段の機能構成の第2例(符号116a参照)を示すブロック図で、この図5に示すように、個人情報探索手段116aは、検疫テーブ
ル1167を有するとともに、抽出手段1161,切出手段1162,第1判定手段1163,文字判定手段1164,照合手段1165および第2判定手段1166としての機能を有しており、これらの機能も、処理部110Aが、サーバ130(個人情報管理サーバ機能)のインストール手段139によってインストールされた個人情報探索プログラム、もしくは、携帯型記憶装置120に予め保持されている個人情報探索プログラムを実行することで実現される。なお、検疫テーブル1167も、サーバ130(個人情報管理サーバ機能)から予め提供されるか、上記個人情報探索プログラムに含まれるもので、個人情報ファイルを判定するための基準となる各種情報を保持している。
【0095】
ここで、第1判定手段1163,文字判定手段1164,照合手段1165および第2判定手段1166が、個人情報ファイル判定手段として機能する。本実施形態の個人情報ファイル判定手段は、後述するごとく、切出手段1162によって後述するごとく切り出された文字区間における文字列が個人情報要素であるか否かを判定し、個人情報要素であると判定された文字列の数(計数結果)に基づいて判定対象ファイルが個人情報ファイルであるか否かを判定するものである。
【0096】
抽出手段1161は、携帯型記憶装置120におけるファイルのテキストデータ〔例えばCSV(Comma Separated Value)形式のデータ〕を抽出し、ファイルバッファ(図示
略)に格納するもので、前記テキスト抽出エンジンとして機能するものである。なお、上記ファイルバッファには、2バイトコード文字(全角文字)がファイルバッファの終端で欠けないように取り込まれる。また、切出手段1162によってファイルバッファから後述するデータ整形用バッファ(図示略)へデータが切り出されて取り込まれると、その分だけデータが上記ファイルバッファに取り込まれるようになっている。
【0097】
切出手段1162は、抽出手段1161によって抽出されたテキストデータから、所定の区切り位置で区切られた文字区間を切り出して、判定対象/照合対象として後述するバッファ(図示略)に順次書き出すものである。
【0098】
ここで、上記所定の区切り位置としては、予め設定された区切り文字の出現位置、もしくは、1バイトコード文字と2バイトコード文字との境界位置(半角文字/ASCII文字のあとに全角文字が続く部分もしくは全角文字のあとに半角文字/ASCII文字が続く部分)、もしくは、全角算用数字「0」〜「9」と全角算用数字およびハイフンを除く文字との境界位置が含まれている。また、区切り文字は、データの区切りであるデリミタ(delimiter)、具体的には、半角スペース,半角カンマ(半角カンマ+半角スペースも
半角カンマと見なす),タブ文字(半角),CR(Carrige Return),LF(Line Feed
)のほか、「:(コロン)」,「;(セミコロン)」,「>」,「}」,「]」とする。
【0099】
切出手段1162は、ファイルバッファからテキストデータをデータ整形用バッファへ1文字ずつ切り出して取り込み、上述した区切り位置が出現すると、その区切り位置で取り込みを終了する。このときも2バイトコード文字(全角文字)がデータ整形用バッファの終端で欠けないようにデータ取込みを行なう。これにより、本実施形態では、例えば「佐藤太郎09012341234東京都港区」や「佐藤太郎sato@xxxx.com東京都港区」のごとく全角文字で記載された住所や氏名などと半角文字で記載された電話番号や電子メールアドレスなどの文字列とがテキストデータにおいて区切り文字によって区切られることなく混在する場合や、例えば「佐藤太郎09012341234東京都港区」のごとく全角文字で記載された住所や氏名などと全角文字で記載された電話番号などの数字列とがテキストデータにおいて区切り文字によって区切られることなく混在する場合であっても、住所,氏名,電話番号,電子メールアドレスなどの個人情報要素毎に文字区間「佐藤太郎」,「09012341234」,「東京都港区」,「sato@xxxx.com」,「09012341234」を切り出すことが可能になる。
【0100】
このようにデータ整形用バッファに取り込まれたデータ(判定対象の文字区間)は、データ整形用バッファからデータ解析用バッファ(図示略)へ取り込まれるが、その際、その文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号等が取り除かれる。このとき除去されるもの(不要文字)としては、例えば、半角スペース,全角スペースのほか、半角ハイフン,全角ハイフン,アンダバー,括弧記号,!,#,$,%,等号,+,*,疑問符,¥,/,|などの記号文字が定義される。本実施形態では、切出手段112が、上述のような不要文字を除去する機能を有しているものとする。
【0101】
第1判定手段1163は、上記データ解析用バッファに取り込まれた文字列、つまり、切出手段1162によって切り出され不要文字を除去された文字区間における文字列(以下、単に文字列という)が、氏名以外の個人情報要素(具体的に本実施形態では電話番号,電子メールアドレス,住所のうちのいずれか一つ)に該当するか否かを判定すべく、電話番号判定手段1163a,電子メールアドレス判定手段1163bおよび住所判定手段1163cとしての機能を備えている。なお、本実施形態の第1判定手段1163では、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で、上記文字列の判定処理を行なっている。また、第1判定手段1163は、上記データ解析用バッファに取り込まれたデータのサイズをチェックし、そのサイズが3バイト以下の場合、そのデータを個人情報と判断せず、判定処理を行なわないようにしてもよい。
【0102】
電話番号判定手段1163aは、上記文字列が電話番号に該当するか否かを判定するもので、上記文字列が検疫テーブル1167に設定されている電話番号判定条件を満たす場合、上記文字列が電話番号に該当するものと判定し、その旨を第2判定手段1166に通知し、上記文字列に対する第1判定手段1163による判定処理を終了させるものである。本実施形態において、電話番号判定条件は、上記文字列が9〜11桁の半角数字もしくは全角数字の連続であり、且つ、1文字目(先頭文字)が「0」で2文字目が「0」以外であることとする。
【0103】
電子メールアドレス判定手段1163bは、電話番号判定手段1163aによって上記文字列が電話番号に該当しないと判定された場合に、上記文字列が電話メールアドレスに該当するか否かを判定するもので、上記文字列が検疫テーブル1167に設定されている電子メールアドレス判定条件を満たす場合、上記文字列が電子メールアドレスに該当するものと判定し、その旨を第2判定手段1166に通知し、上記文字列に対する第1判定手段1163による判定処理を終了させるものである。
【0104】
本実施形態において、電子メールアドレス判定条件は、上記文字列中に「一文字以上のASCII」+「@(アットマーク)」+「一文字以上のASCII」+「.(ドット)
」+「一文字以上のASCII」となる文字列が含まれており、且つ、当該文字列の最後の文字が半角の英字であることとする。この場合、最短の電子メールアドレスは例えば「a@a.a」となり、また、例えば「123@45.67」のごとく英字以外の文字(例えば数字)で終わるような文字列は電子メールアドレスでないと判定されることになる。なお、上記電子メールアドレス判定条件によれば、5バイトに満たないデータは電子メールアドレスの判定対象にならず、判定処理を行なわない。
【0105】
住所判定手段1163cは、電子メールアドレス判定手段1163bによって上記文字列が電子メールアドレスに該当しないと判定された場合に、上記文字列が住所(居所)に該当するか否かを判定するもので、上記文字列が検疫テーブル1167に設定されている住所判定条件を満たす場合、上記文字列が住所に該当するものと判定し、その旨を第2判定手段1166に通知するものである。
【0106】
本実施形態において、住所判定条件は、上記文字列中に「1文字以上13文字以下の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字または半角文字」となる文字列が含まれており、且つ、当該文字列の先頭文字が日本全国における47都道府県名もしくは市区郡名の頭文字と一致することとする。これにより、例えば「受入区分名」といった「区」を途中に含む文字列であるが住所とは全く関係の無い文字列を誤って住所として判定することがなくなる。このとき、処理部110Aの演算処理能力が十分に高い場合には、上記文字列に加え、郵便番号に対応する7桁の数字が含まれていることを住所判定条件に加えてもよい。なお、上記住所判定条件によれば、5バイトに満たないデータは電子メールアドレスの判定対象にならず、判定処理を行なわない。
【0107】
文字判定手段1164は、第1判定手段1163によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合に、その文字列が、検疫テーブル1167に設定されている文字判定条件を満たすか否か、具体的には、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であるか否か、さらに、上記文字列の先頭文字が、日本人に多い苗字上位所定数に属する苗字の頭文字と一致するか否かを判定するものである。
【0108】
本実施形態において、文字判定条件は、上述したように、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であることであるが、ここで、上記所定範囲は、氏名の文字数として一般的(適切)な数の範囲、例えば2以上6以下に設定される。より具体的には、文字判定手段1164による判定条件は、上記文字列が、4バイト〜12バイトの2バイトコード文字であり、且つ、0x889F〜0xEEECの範囲内のデータ(Shift-JISの漢字領域)であり、且つ、第2バイトは0x40〜0x7Eまたは0x80〜0xFC(Shift-JISの仕様)であり、先頭文字が、日本人に多い苗字上位3000個に属する苗字の頭文字と一致することである。上位3000個の苗字を対象とすることで、日本人の8割以上を網羅することができる。
【0109】
照合手段1165は、第1判定手段1163によって電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された文字区間であって、さらに文字判定手段1164によって上記所定範囲内であり且つ全ての文字が漢字であると判定された文字区間について、当該文字区間に含まれる文字/文字列と氏名において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列とを照合することにより、当該文字区間が不適切文字/不適切文字列を含むか否かを判定し、その照合判定結果を第2判定手段1166に通知するものである。
【0110】
ここで、不適切文字/不適切文字列は、検疫テーブル10cに予め設定されており、例えば、東京,大阪,名古屋,横浜,九州,北海道,京都,首都,個人,学園,店,株,県,大学,学院,東証,研究,管理,総務,経理,営業,統括,製薬,販売,学校,教育,専門,建築,機械,法人,工場,製,技術,商,図書,不明,次長,公開,出版,広告,放送,対象,卸売,小売,企画,人事,情報,部門,社長,取締,部長,課長,係長,役員,本社,支社,事業,業務,教務,精密,石油,運輸,経営,戦略,資材,技師,電気,生産,税務,広報,運送,主任,電算,財務,事務,開発,政策,制作,経済,産業,金融,銀行,調査,英語,品質,保証,設備,担当,主席,主事,監査,支援,設計,保険,金庫,事業,代表,交通,第一,第二,第三,第四,第五,第六,第七,第八,第九,特販,施設,氏名,郵便,名前,名称,市役,所属,特色,幼稚,基督,協会,教会,組合,教団,商工,全国,支部,連絡,議会,生活,消費,推進,市役所,区役所,総合,修正,機能,概要,構成,企業,組織,関連,削除,文書,期限,有効,整備といった、一般的な氏名において出現し得ない文字/文字列、つまり、氏名としては不適切な文字/文字列である。
【0111】
第2判定手段1166は、第1判定手段1163における電話番号判定手段1163a,電子メールアドレス判定手段1163bおよび住所判定手段1163cによる判定結果と照合手段1165による照合判定結果とに基づいて、対象ファイルが個人情報ファイルであるか否かを判定するものである。
【0112】
より具体的に説明すると、第2判定手段1166は、電話番号判定手段1163a,電子メールアドレス判定手段1163bおよび住所判定手段1163cからの判定結果の通知を受け電話番号,電子メールアドレス,住所のそれぞれに該当すると見なされた文字区間の数を計数するとともに、照合手段1165からの照合判定結果を受け、照合手段1165によって不適切文字/不適切文字列を含まないと判定された文字区間を氏名に該当するものと見なし、その数を計数する。
【0113】
そして、第2判定手段1166は、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数結果(4つの計数値;電話番号数,電子メールアドレス数,住所数,氏名数)に基づいて、これらの計数値が大きくなるほど大きくなる判定値を算出する。例えば、第2判定手段1166は、4つの計数値の総和を上記判定値として算出してもよいし、電話番号,電子メールアドレス,住所,氏名のそれぞれについて重み係数を予め設定しておき、各個人情報要素についての重み係数と計数値との乗算結果の総和を上記判定値として算出してもよく、上記判定値の算出手法は種々考えられる。
【0114】
上述のような判定値が算出されると、第2判定手段1166は、その判定値に基づいて、判定対象ファイルが個人情報ファイルであるか否かを判定する。具体的には、前記判定値が所定閾値を超えた場合に判定対象ファイルが個人情報ファイルであると判定する。このような判定を行なう際に、第2判定手段1166は、さらに、判定値の大きさに応じたPマーク(プライベートレベルマーク)を、判定対象ファイルに付与して判定値とともに出力し、ランク付けを行なう。このPマークは、前述した通り、判定対象ファイルが個人情報ファイルである可能性の高さを示すレベルであり、判定値が大きいほどPマークは高いランクに設定される。
【0115】
例えば、前記判定値が10以上となった場合、判定対象ファイルが個人情報ファイルであると判定する。また、前記判定値が10以上100未満である場合、Pマークとして“P1”を付与し、前記判定値が100以上1000未満である場合、Pマークとして“P2”を付与し、前記判定値が1000以上10000未満である場合、Pマークとして“P3”を付与し、前記判定値が10000以上である場合、Pマークとして“P4”を付与する。なお、個人情報ファイルを判定するための所定閾値やPマークを決定するための基準値は、サーバ130(個人情報管理サーバ機能)において適宜設定されるものとする。また、ここではPマークを“P1”〜“P4”の4つにランク分けしているが、ランク分けの数はこれに限定されるものではない。
【0116】
上述のように判定対象ファイルに付与されたPマークは、判定値とともに、個人情報ファイルの探索結果として、送受信部110Fおよびネットワーク170を介してサーバ130(個人情報管理サーバ機能)へ送信され、サーバ130の記憶部130Bにおいて、判定対象ファイルを特定するための識別情報に対応付けられ管理情報として保存される。そして、Pマークを付与されたファイルは、そのPマークのランクに応じて、サーバ130(個人情報管理サーバ機能)により個人情報ファイルとして図15を参照しながら後述するごとく管理される。
【0117】
〔1−6〕本人確認機能を有する携帯型記憶装置の機能構成:
図9は本実施形態の情報処理システム100における本人確認機能を有する携帯型記憶装置120の本人確認機能部120bの機能構成を示すブロック図である。また、図10
は本実施形態の情報処理システム100における情報処理端末110と、本人確認機能を有する携帯型記憶装置120の外観構成を示す外観図である。
【0118】
この図9に示すように、本実施形態の本人確認機能部120bは、CPU151,気象センサ152,GPS位置検出部153,閾値テーブル154,生体センサ155,停止操作部156および回答入力部157を備えて構成されている。
【0119】
生体センサ155は、携帯型記憶装置120の表面に配置されており、利用者の身体の一部(例えば指)に接触することで、利用者の生体データ値として、体温,血圧,心拍数,呼吸数,脈波,心電,血中酸素飽和濃度,血中酸素濃度,筋組織酸素濃度のうちの少なくとも一つを所定周期で検出するものであるが、本実施形態では体温,血圧,心拍数,呼吸数など複数を検出するものを具体例とする。
【0120】
気象センサ152は、携帯型記憶装置120の所在雰囲気中、すなわち、利用者が携帯型記憶装置120を利用している場所の気象データとして、気温,水温,湿度,気圧,水圧,日照状況,紫外線量,のうちの少なくとも一つを所定周期で検出する超小型のものであるが、本実施形態では、気温(もしくは水温),湿度,気圧(もしくは水圧)を検出するものとする。
【0121】
GPS位置検出部(位置検出手段)153は、携帯型記憶装置120の所在地、すなわち、利用者が携帯型記憶装置120を利用している場所の現在の所在位置(経度・緯度情報)を、全地球方位計測システム〔GPS(Global Positioning Systems)〕によって所定周期で検出するものである。その際、利用者の現在の所在位置として、高度や深度を検出してもよい。その場合、気圧に基づいて高度を計測する高度計(気象センサの気圧測定機能で代用可)や、水圧に基づいて深度を計測する深度計(気象センサの水圧測定機能で代用可)を位置検出手段として備える。
【0122】
閾値テーブル154は、利用者の体調を管理するための生体データ閾値を、気象条件毎に予め設定されて保持するもので、後述するCPU151の閾値設定手段151bとしての機能によって作成・設定されるもので、携帯型記憶装置120の記憶部120aを構成する例えばRAM(Random Access Memory),ROM(Read Only Memory),ハードディスク等の記憶部に保存・格納されている。
【0123】
このとき、生体データ閾値は、利用者毎に異なるほか、利用環境によっても異なるもので、利用者毎に、環境に応じた気象条件に従って設定される。利用者の平常時の体温T0,血圧P0,心拍数N0を基準にして、例えば、高温多湿環境下で携帯型記憶装置120を利用する場合には、気象条件が気温25〜30℃かつ湿度80%以上である時(気象条件1)の生体データ閾値として体温T1,血圧P1,心拍数N1を設定し、気象条件が気温30〜35℃かつ湿度60%以上である時(気象条件2)の生体データ閾値として体温T2,血圧P2,心拍数N2を設定し、気象条件が気温35℃以上かつ湿度50%以上である時の生体データ閾値として体温T3,血圧P3,心拍数N3を設定しておく。
【0124】
そして、気象条件1である時(気象条件3)には利用者の実際の体温T,血圧P,心拍数Nのいずれか一つもしくは全てが閾値T1,P1,N1を超えた場合、また、気象条件2である時には利用者の実際の体温T,血圧P,心拍数Nのいずれか一つもしくは全てが閾値T2,P2,N2を超えた場合、さらに、気象条件3である時には利用者の実際の体温T,血圧P,心拍数Nのいずれか一つもしくは全てが閾値T3,P3,N3を超えた場合、利用者の体調が異状であると判断する。
【0125】
また、低温環境下で携帯型記憶装置120を利用する場合には、気象条件が気温0〜1
0℃である時(気象条件4)の生体データ閾値として体温T4を設定し、気象条件が気温−10〜0℃である時(気象条件5)の生体データ閾値として体温T5を設定し、気象条件が気温−10℃以下である時(気象条件6)の生体データ閾値として体温T6を設定しておく。そして、気象条件4である時には利用者の実際の体温Tが閾値T4を下回った場合、また、気象条件5である時には利用者の実際の体温Tが閾値T5を下回った場合、さらに、気象条件6である時には利用者の実際の体温Tが閾値T6を下回った場合、利用者の体調が異状であると判断する。
【0126】
さらに、高高度(低気圧)環境下で携帯型記憶装置120を利用する場合には、気象条件が気圧A2〜A1である時(気象条件7)の生体データ閾値として心拍数N7,呼吸数K7を設定し、気象条件が気圧A3〜A2である時(気象条件8)の生体データ閾値として心拍数N8,呼吸数K8を設定し、気象条件が気温35℃以上かつ湿度50%以上である時(気象条件9)の生体データ閾値として心拍数N9,呼吸数N9を設定しておく。そして、気象条件7である時には利用者の実際の心拍数N,呼吸数Kのいずれか一方もしくは両方が閾値N7,K7を超えた場合、また、気象条件8である時には利用者の実際の心拍数N,呼吸数Kのいずれか一方もしくは両方が閾値N8,K8を超えた場合、さらに、気象条件9である時には利用者の実際の心拍数N,呼吸数Kのいずれか一方もしくは両方が閾値N9,K9を超えた場合、利用者の体調が異状であると判断する。
【0127】
CPU(Central Processing Unit)151は、所定のアプリケーションプログラム(
認証用携帯端末プログラム)を実行することにより、後述する閾値設定手段151b,閾値読出手段151c,比較手段151d,警告手段151e,通知手段151f,制御手段151aおよび問合せ手段151gとして機能するものである。
【0128】
停止操作部156は、後述する警告手段151eによって実行される警告動作(鳴動動作や点滅動作等)を、利用者の意識的な操作によって停止させるためのもので、実際には、携帯型記憶装置120における操作スイッチ等によって構成される。
【0129】
回答入力部157は、後述する問合せ手段151gによる問い合せに応じて、利用者が、後述する通知手段151fによる通知を実行するか否かを回答するためのもので、実際には、携帯型記憶装置120における操作スイッチや、表示画面(ディスプレイ)上のタッチパネルなどによって構成される。
【0130】
そして、閾値設定手段151bは、上述した閾値テーブル154を利用者毎に且つ利用環境に応じた気象条件毎に作成・設定するもので、利用者の平常時の体温T0,血圧P0,心拍数N0を基準として、上述のごとき気象条件と所定の生体データ閾値との対を入力設定するためのもので、利用者等が手動操作で入力するように構成されていてもよいし、利用者の平常時の体温T0,血圧P0,心拍数N0と利用環境とを指定入力することにより、自動的に入力するように構成されていてもよい。
【0131】
閾値読出手段151cは、気象センサ152によって検出された気象データ(気温/水温,湿度,気圧/水圧)に対応する気象条件について設定された生体データ閾値を閾値テーブル154から検索して読み出すものである。
【0132】
比較手段151dは、閾値読出手段151cによって読出された生体データ閾値と生体センサ155によって検出された生体データ値(体温,血圧,心拍数,呼吸数)とを比較し、上述したような基準に従って利用者が真正な本人であるか否か、あるいは体調異状を有するか、判断・検知するものである。
【0133】
警告手段151eは、後述の制御手段151aによって動作を制御され、比較手段15
1dによる比較の結果、利用者の体調異状を検知した場合、利用者に対して警告を発するものであり、本実施形態では、例えば、携帯型記憶装置120におけるブザー等を鳴動させたりLEDランプ等を点滅させたりする。このような警告動作(鳴動動作や点滅動作)は、上述した通り、利用者が停止操作部156を操作することにより、後述の制御手段151aを介して停止される。
【0134】
通知手段151fは、後述の制御手段151aによって動作を制御され、比較手段151dによる比較の結果、利用者が本人であるか否かや体調異状を検知した場合、その旨(本人確認情報、体調異常情報)を所定の連絡先に通知するもので、利用者の本人確認情報や体調異状情報を通知する際には、生体センサ155によって検出されている生体データ値,気象センサ152によって検出されている気象データ,およびGPS位置検出部153によって検出された利用者の所在位置も併せて通知する。その際、真正な本人でない場合や、体調異常が検出された場合などでは、通知手段151fは、予め登録されている電話番号に自動発呼することにより異状の通知を行なってもよいし、予め登録されているメールアドレスに対し電子メールを自動送信することにより、利用者の異状の通知を行なってもよい。
【0135】
なお、所定の連絡先については、制御手段151aによって切り換えられるもので、詳細については後述する。また、通知手段151fは、生体センサ155によって検出されている生体データ値,気象センサ152によって検出されている気象データ,およびGPS位置検出部153によって検出された利用者の所在位置を、上述したサーバ130に対し、所定周期で送信する機能を果たすものとする。
【0136】
ここで、問合せ手段151gは、やはり制御手段151aによって動作を制御され、警告手段151eの警告動作を停止させる操作が所定時間内に実行された場合、通知手段151fによる通知を実行するか否かについて利用者に問い合せるもので、携帯型記憶装置120におけるディスプレイ上に表示を行ない、利用者がタッチパネルや操作スイッチを操作して入力する回答を、制御手段151aによって受信するように構成されている。
【0137】
制御手段151aは、通知手段151fの通知動作および警告手段151eの警告動作を制御するもので、具体的には以下のような制御(a)〜(f)を主に行なう。
(a)比較手段151dによる比較の結果、利用者が真正の本人であると検知した場合
、通知手段151fと情報処理端末110とネットワーク170とを介して、サーバ130に対して本人確認情報を送出する。
【0138】
(b)比較手段151dによる比較の結果、利用者が真正の本人であると検知した場合
、GPS位置検出部153によって検出された利用者の所在位置を、本人確認情報と共に、通知手段151fと情報処理端末110とネットワーク170とを介して、サーバ130に対して送出する。
【0139】
(c)比較手段151dによる比較の結果、利用者が真正の本人ではないと検知した場
合、通知手段151fと情報処理端末110とネットワーク170とを介して、サーバ130に対して非本人確認情報を送出する。
【0140】
(d)比較手段151dによる比較の結果、利用者が真正の本人ではない検知した場合
、GPS位置検出部153によって検出された利用者の所在位置を、非本人確認情報と共に、通知手段151fと情報処理端末110とネットワーク170とを介して、サーバ130に対して送出する。
【0141】
(e)比較手段151dによる比較の結果、利用者の体調異常を検知した場合、通知手
段151fと情報処理端末110とネットワーク170とを介して、サーバ130に対して体調異常情報を送出する。
【0142】
(f)比較手段151dによる比較の結果、利用者の体調異常を検知した場合、GPS
位置検出部153によって検出された利用者の所在位置を、体調異常情報と共に、通知手段151fと情報処理端末110とネットワーク170とを介して、サーバ130に対して送出する。
【0143】
(g)比較手段153による比較の結果、利用者が真正な本人でない、あるいは、利用
者の体調異状を検知した場合、警告手段151eを介して利用者に対する警告動作を実行させる。
【0144】
(h)警告手段151eの警告動作を停止させる操作(停止操作部156の操作)が警
告動作を開始してから所定時間以上経過しても実行されない場合、通知手段151fによる通知を実行させる。この場合、例えばサーバ130に通知を行う。
【0145】
(i)利用者が問合せ手段151gによる問合せに対し所定回数連続して通知手段15
1fによる通知の実行を拒否した場合、通知手段151fによる通知を強制的に実行させる。この場合、例えばサーバ130に通知を行う。
【0146】
また、図10(a)の情報処理端末110のPCMCIAポート110Dに接続可能なように、図10(b)のように携帯型記憶装置120が構成されている。すなわち、この図10(b)の携帯型記憶装置120は、PCMCIAカード部分の表面に太陽光発電部120dが配置されており、未接続時の室内光などで発電を行うことが可能に構成されている。また、図示されない電源入力端子に外部電源が接続されるようにも構成されている。そして、GPS位置検出部153がPCMCIAカードの端部に配置され、さらに、そのGPS位置検出部153の筐体表面には生体センサ155が配置されている。
【0147】
さらに、図10(a)の情報処理端末110のUSBポート110D’に接続可能なように、図10(c)のように携帯型記憶装置120が構成されている。すなわち、この図10(c)の携帯型記憶装置120は、スティック状のメモリ部分の表面に太陽光発電部120dが配置されており、未接続時の室内光などで発電を行うことが可能に構成されている。また、図示されない電源入力端子に外部電源が接続されるようにも構成されている。そして、GPS位置検出部153がスティック状のメモリの端部に配置され、さらに、そのGPS位置検出部153の筐体表面には生体センサ155が配置されている。
【0148】
〔2〕本実施形態の情報処理システムの動作:
〔2−1〕情報処理端末110側の動作:
次に、上述のごとく構成された本実施形態の情報処理システム100における情報処理端末110の動作について、図6以降に示すフローチャートに従って説明する。
【0149】
図6に示すように、認識手段111によって、接続ポート110Dに携帯型記憶装置120が接続されたこと(接続ポート110Dに携帯型記憶装置120のコネクタ121が挿入されたこと)が認識されると(ステップS11のYESルート)、処理部110Aによって、携帯型記憶装置120における、暗号化されていない所定のソフトウエアが実行され、この処理部110Aが、復号鍵要求手段114および復号化手段115として機能する。
【0150】
まず、復号鍵要求手段114としての機能により、出力部(ディスプレイ)110Cを通じて暗号化情報(つまり携帯型記憶装置120)の利用者に対し暗号化情報についての
認証情報(ユーザIDおよびパスワード)の入力が促され、これに応じて利用者によって入力部110Bから入力された暗号化情報ついての認証情報が送信され、サーバ130(アクセス管理サーバ機能)に対して暗号化情報に応じた復号鍵の送信が、送受信部110Fおよびネットワーク170を通じて要求される(ステップS12)。
【0151】
復号鍵の送信要求に応じ、サーバ130(アクセス管理サーバ機能)からエラー通知(図7のステップS35参照)が行なわれた場合、復号鍵の受信はできず(ステップS13のNOルート)、出力部110Cを通じて利用者に対しエラー通知が行なわれる(ステップS14)。一方、復号鍵の送信要求に応じ、サーバ130(アクセス管理サーバ機能)から復号鍵が送信されてくると(図7のステップS34参照;ステップS13のYESルート)、復号化手段115としての機能により、その復号鍵を用いて、携帯型記憶装置120における暗号化情報が、元のソフトウエアおよびデータに復号される(ステップS15)。
【0152】
復号化手段115によって携帯型記憶装置120の暗号化情報が復号化されると、処理部110Aの認証要求手段112によって、出力部(ディスプレイ)110Cを通じて携帯型記憶装置120の利用者に対し携帯型記憶装置120についての認証情報(ユーザIDおよびパスワード)の入力を促し、その認証情報を利用者によって入力部110Bから入力させる。
【0153】
また、これと同時に、認証要求手段112からの認証要求によって、携帯型記憶装置120から装置識別情報(ディスクID)が読み出される(図11中のステップS9)とともに、携帯型記憶装置120に保持されているソフトウエア(ログイン時ソフトウエア)に関する情報〔各ソフトウエアを特定する情報(製品名,製品番号等)および各ソフトウエアのバージョン情報〕ならびに本人確認機能部120bによって得られた本人確認情報が携帯型記憶装置120から読み出される(図11中のステップS10,S11)。
【0154】
そして、入力部110Bから入力された識別情報と、携帯型記憶装置120から読み出された装置識別情報やソフトウエアに関する情報と、携帯型記憶装置120から得られた本人確認情報とが、認証要求手段112によって、認証要求とともに、送受信部110Fおよびネットワーク170を通じて、サーバ130(認証サーバ機能)に送信される(ステップS16)。
【0155】
認証要求手段112による要求に応じ、サーバ130(認証サーバ機能)からエラー通知(図7のステップS43参照)が行なわれた場合(ステップS17のNGルート)、出力部110Cを通じて利用者に対しエラー通知が行なわれる(ステップS18)。
【0156】
一方、認証要求手段112による要求に応じ、サーバ130(認証サーバ機能)から携帯型記憶装置120およびその利用者の正当性が認証された旨の通知を受け(図7のステップS40またはS41参照;ステップS17のOKルート)、携帯型記憶装置120に個人情報探索プログラムがインストールされている場合(ステップS19のYESルート)には、ステップS21へ直ちに移行する。また、携帯型記憶装置120に個人情報探索プログラムがインストールされていない場合(ステップS19のNOルート)には、後述するごとくサーバ130(個人情報管理サーバ機能)によって個人情報探索プログラムが携帯型記憶装置120に自動的にインストールされるので(図7のステップS41参照)、そのインストールを待ち、個人情報探索プログラムのインストール後(ステップS20のYESルート)、ステップS21へ移行する。
【0157】
ステップS21において、切換手段113により、処理部110Aによる処理状態が、情報処理端末110側(記憶部110E)に記憶されたソフトウエアおよびデータを用い
て処理を行なう内部処理状態から、携帯型記憶装置120に記憶された各種のソフトウエアおよびデータを携帯型記憶装置120上で用いながら処理を行なう外部処理状態に切り換えられる。このようにして外部処理状態に切り換えられると、処理部110Aによって、携帯型記憶装置120内に保存されているソフトウエアで使用可能なアプリケーションプログラムのメニュー画面が出力部(ディスプレイ)110Cに表示される。
【0158】
このとき、処理部110Aによって、携帯型記憶装置120にインストールされた個人情報探索プログラムが実行され、この処理部110Aが、個人情報探索手段116/116aとして機能することにより、携帯型記憶装置120におけるデータ(ファイル)の中から個人情報ファイルが探索されて特定され(ステップS22)、その結果が、通知手段117から出力部110Cを通じて利用者に通知されるとともに、通知手段117から送受信部110Fおよびネットワーク170を通じてサーバ130(個人情報管理サーバ機能)に通知される(ステップS23)。ステップS22における具体的な処理(個人情報の探索手法)については、図11〜図14を参照しながら後述する。なお、ステップS22およびS23の処理は、ステップS24の処理と並列的に実行してもよい。
【0159】
この後、利用者は、情報処理端末110の環境を利用し、情報処理端末110の出力部110Cを参照しながら入力部110Bを操作することにより、携帯型記憶装置120における、自分専用にカスタマイズされた各種のソフトウエアやオリジナルデータを用いた処理を行なうことになる(ステップS24、図11中のステップS13)。
【0160】
そして、情報処理端末110において、携帯型記憶装置120を用いた外部処理状態を終了すると、つまりステップS24の処理を終了すると(ステップS25のYESルート)、その処理終了時点での携帯型記憶装置120におけるソフトウエアに関する情報が携帯型記憶装置120から吸い上げられ、情報処理端末110からサーバ130(認証サーバ機能)に対して送信され(ステップS26)、サーバ130において、当該携帯型記憶装置120の次回のソフトウエア認証に際してログオフ時ソフトウエアに関する情報として用いるべく、その情報が、当該携帯型記憶装置120に対応付けられて記憶部130Bに登録保存される。
【0161】
このようにソフトウエアに関する情報が送信されると、切換手段113によって、処理部110Aによる処理状態が外部処理状態から内部処理状態に切り換えられ(ステップS27)、ステップS11の処理に戻る。
【0162】
〔2−2〕サーバ130側の動作:
次に、上述のごとく構成された本実施形態の情報処理システム100におけるサーバ(認証サーバ/アクセス管理サーバ/個人情報管理サーバ)130の動作について、図7に示すフローチャート(ステップS31〜S43)と、図8に示すフローチャート(ステップS81〜89)に従って説明する。
【0163】
図7に示すように、サーバ130では、情報処理端末110からネットワーク170および送受信部130Cを通じて、携帯型記憶装置120の暗号化情報についての認証要求を受けると(ステップS31のYESルート)、判定手段136によって、サーバ130(記憶部130B)に予め登録保存されている、前記暗号化情報についての登録者情報から、ユーザIDに対応する登録パスワードが読み出され、読み出された登録パスワードと、今回、サーバ130に送信されてきたパスワードとが比較照合され(ステップS32)、これらのパスワードが一致した場合にその利用者が正当な利用者であると判定され(ステップS33のYESルート)、復号鍵送信手段137により、当該暗号化情報を復号化する復号鍵が、記憶部130Bから読み出され、情報処理端末110に対し送受信部130Cおよびネットワーク170を通じて送信される(ステップS34)。
【0164】
一方、パスワードが一致しない場合もしくはサーバ130(記憶部130B)にユーザIDに対応する登録パスワードが存在しない場合にはその利用者が正当な利用者ではないと判定され、その旨が、エラー通知として、情報処理端末110に対し送受信部130Cおよびネットワーク170を通じて通知される(ステップS35)。
【0165】
情報処理端末110からネットワーク170および送受信部130Cを通じて、携帯型記憶装置120およびその利用者についての認証要求を受けると(ステップS31のNOルートおよびステップS36のYESルート)、図7のステップS37において、まず、個人認証手段131によって、サーバ130(記憶部130B)に予め登録保存されている、携帯型記憶装置120についての登録者情報から、ユーザIDに対応する登録パスワードが読み出され、読み出された登録パスワードと、今回、サーバ130に送信されてきたパスワードとが比較照合され、これらのパスワードが一致した場合にその利用者の正当性が認証される(図8中のステップS801)。
【0166】
一方、これらのパスワードが一致しない場合やサーバ130(記憶部130B)にユーザIDに対応する登録パスワードが存在しない場合に個人認証失敗と判定される(図8中のステップS802でN、ステップS809)。
【0167】
また、図7のステップS37において、装置認証手段132によって、サーバ130(記憶部130B)に予め登録保存されている管理対象装置の装置識別情報と、今回、携帯型記憶装置120から読み出されてサーバ130に送信されてきた装置識別情報とが比較照合され、一致する装置識別情報がある場合に当該携帯型記憶装置120の正当性が認証される(図8中のステップS803)。一方、一致する装置識別情報がない場合に装置認証失敗と判定される(図8中のステップS804でN、ステップS809)。
【0168】
そして、図7のステップS37において、第二次認証手段133によって、認証対象の携帯型記憶装置120に記憶されているソフトウエア(ログイン時ソフトウエア)と、サーバ130の記憶部130Bに登録保存されている、携帯型記憶装置120が情報処理端末110に最後に接続されていた時に記憶されていたソフトウエア(ログオフ時ソフトウエア)との対照がとられ、これらのソフトウエアが一致する場合に当該携帯型記憶装置120におけるソフトウエアの正当性が認証される(図8中のステップS805)。これらのソフトウエアが一致しない場合にはソフトウエア失敗と判定される(図8中のステップS806でN、ステップS809)。
【0169】
さらに、図7のステップS37において、第二次認証手段133によって、本人確認機能を有する携帯型記憶装置120からの本人確認情報が得られると、当該携帯型記憶装置120における第二次個人認証にて利用者の正当性が認証される(図8中のステップS807)。
【0170】
携帯型記憶装置120から、これらの本人確認情報が得られない場合、あるいは、非本人確認情報が得られた場合には、第二次個人認証失敗と判定される(図8中のステップS808でN、ステップS809)。
【0171】
ここで、携帯型記憶装置120の本人確認機能部120bによる本人確認を用いると、生体認証による本人確認情報を用いることで正確な第二次個人認証を行うことが可能になる。なお、利用者が真正な利用者本人以外である場合だけではなく、利用者が第三者に脅迫されている状態などにおいても生体認証に異常値がでるため、サーバ130側で異常を検知することが可能になる。
【0172】
また、携帯型記憶装置120は、情報処理端末の接続ポートに接続された際に該接続ポート経由の電源供給(バスパワー)で動作するだけでなく、図示されない外部電源装置もしくは内蔵発電装置としての太陽光発電部120dまたは情報処理端末110の接続ポートの少なくとも一つ経由で充電されうる二次電池120cを備えているため、使用後や未使用時(使用前)にも二次電池120cが充電されている(図6中のステップS2,S3,S4)状態になりうる。なお、この充電に際しては、既知の各種の充電制御を用いればよい。
【0173】
そして、この二次電池120cを電源として、情報処理端末110の接続ポートに接続される以前(直前)もしくは接続される際に、二次電池120cに各部が動作可能な充電がなされていて電池残量が十分であれば(図11中のステップS5でYes)、利用者(携帯型記憶装置の所持者、あるいは、携帯型記憶装置を情報処理端末に接続する者)の生体データ値を取得するよう構成されている(図11中のステップS6,S7,S8)。
【0174】
なお、二次電池120cはリチウム、ニッケルカドミウム、ニッケル水素などの充電可能な各種電池だけではなく、大容量のコンデンサなどであってもよい。また、内蔵発電装置として、太陽光発電部120d以外にも、振動、回転力、磁界、温度差などを源にして発電を行う各種の発電装置を用いることが可能である。
【0175】
そして、電池120cの残量があり(図11中のステップS5でYes)、生体データを検出するたびに(図11中のステップS7でYes)、本人確認情報(あるいは非本人確認情報)を最新のものに更新しておく(図11中のステップS8)。なお、この本人確認情報を取得した時刻の情報を、本人確認情報と共に保存しておいてもよい。
【0176】
このため、携帯型記憶装置120の使用時あるいは使用開始時に、その携帯型記憶装置が真正な本人に使用されているか否かを確認することが可能になる。すなわち、情報処理端末110の電源を入れる前、すなわち、携帯型記憶装置120に対して情報処理端末110の接続ポート経由で電源が供給される前であっても、携帯型記憶装置120は内蔵の二次電池120cにより動作して利用者の生体データ値の取得を実行(図11中のステップS6)しているため、携帯型記憶装置120が情報処理端末110に接続された際あるいは直後に利用者の生体データ値を取得できなくても、携帯型記憶装置120が真正な本人に使用されているか否かを確認することが可能になる。
【0177】
なお、携帯型記憶装置120から本人確認情報と本人確認情報取得時刻情報とを得て、取得時刻を判定基準としてもよい。すなわち、本人確認情報取得時刻が所定の範囲内の新しいものであれば信頼性が高く、逆に、本人確認情報取得時刻が一定の範囲以上の古いものであれば信頼性を低く扱うことも可能である。
【0178】
同様に、この二次電池120cを電源として、情報処理端末110の接続ポートに接続される以前(直前)もしくは接続される際に、利用者(携帯型記憶装置の所持者、あるいは、携帯型記憶装置を情報処理端末に接続する者)の位置情報を、GPS位置検出部153が取得するよう構成されている。
【0179】
このため、携帯型記憶装置120の使用時あるいは使用開始時に、その携帯型記憶装置が真正な本人に使用されているか否かを、位置情報から確認することが可能になる。すなわち、情報処理端末110の電源を入れる前、すなわち、携帯型記憶装置120に対して情報処理端末110の接続ポート経由で電源が供給される前であっても、携帯型記憶装置120は内蔵の二次電池120cにより動作して利用者の位置情報の取得を実行しているため、携帯型記憶装置120が情報処理端末110に接続された際あるいは直後に利用者の位置情報を取得できなくても、携帯型記憶装置120が真正な本人に使用されているか
否かを位置情報を参照して確認することが可能になる。
【0180】
この場合、予め定められた位置、予め届けられた位置(移動先)、予想される位置(移動先)などと、携帯型記憶装置120から得られた位置情報とを比較することで、認証を行って本人か否かを確認すればよい。
【0181】
実際には、携帯型記憶装置120を情報処理端末110に接続した時点では、利用者の手は携帯型記憶装置120から離れてしまっているため、情報処理端末110からバスパワーの電源供給を受けた時点では生体データ値の取得は殆ど不可能であるが、接続直前に生体データ値の取得を実行(図11中のステップS6〜S8)しているため、何ら問題なく取得済みの本人確認情報を情報処理端末110に送出することが可能になる(図11中のステップS11)。
【0182】
そして、サーバ130(認証サーバ機能)において、個人認証手段131によって利者が正当な利用者であることが認証されなかった場合(個人認証失敗)、もしくは、装置認証手段132によって携帯型記憶装置120がサーバ130(認証サーバ機能)の管理対象装置であることが認証されなかった場合(装置認証失敗)、もしくは、第二次認証手段133によってログイン時ソフトウエアとログオフ時ソフトウエアとが一致していないと判定された場合(第二次認証失敗)、本人確認情報による第二次個人認証により正当な利用者であることが認証されなかった場合(第二次個人認証の失敗)には、当該携帯型記憶装置120またはその利用者の正当性の認証に失敗したものと判断され(ステップS38のNOルート)、通知手段134によって、その旨が認証の結果として情報処理端末110に対し、送受信部130Cおよびネットワーク170を通じて通知される(ステップS43)。
【0183】
一方、サーバ130(認証サーバ機能)において、個人認証手段131によって利用者が正当な利用者であることが認証され、且つ、装置認証手段132によって携帯型記憶装置120がサーバ130(認証サーバ機能)の管理対象装置であることが認証され、且つ、第二次認証手段133によってログイン時ソフトウエアとログオフ時ソフトウエアとが一致していると判定され、さらに、本人確認情報による第二次個人認証が正当であると判断された場合、当該携帯型記憶装置120およびその利用者の正当性が認証されたものと判断され(ステップS38のYESルート)、調査手段138によって、ソフトウエア認証のために情報処理端末110から送信されてきたログイン時ソフトウエアに関する情報に基づいて、携帯型記憶装置120におけるソフトウエアに個人情報探索プログラムが含まれているか否かが調査される(ステップS39)。
【0184】
個人情報探索プログラムがインストール済みの場合(ステップS39のYESルート)には、通知手段134によって、当該携帯型記憶装置120およびその利用者の正当性が認証されたことが、直ちに、認証の結果として情報処理端末110に対し、送受信部130Cおよびネットワーク170を通じて通知される(ステップS40)。
【0185】
個人情報探索プログラムがインストールされていない場合(ステップS39のNOルート)には、インストール手段139によって、送受信部130C,ネットワーク170および情報処理端末110を通じて、携帯型記憶装置120に個人情報探索プログラムがインストールされるとともに、通知手段134によって、当該携帯型記憶装置120およびその利用者の正当性が認証されたことが、認証の結果として情報処理端末110に対し、送受信部130Cおよびネットワーク170を通じて通知される(ステップS41)。
【0186】
この後、記録手段135によって、情報処理端末110の処理部110Aによる処理状態が外部処理状態に切り換えられ携帯型記憶装置120が開かれたものと判断されて、そ
の旨が履歴として記憶部130Bに記録される。
【0187】
なお、サーバ130の個人情報管理サーバとしての機能によって実行される、具体的な個人情報管理動作については、個人情報探索手段116/116aの動作について説明してから、図15を参照しながら後述する。
【0188】
〔2−3〕図4に示す個人情報探索手段の動作(第1探索手法):
次に、図6のステップS22において、図4に示す個人情報探索手段116によって行なわれる処理、つまり図4に示す個人情報探索手段116の動作(第1探索手法)について、図11〜図13を参照しながら説明する。ここで、図11(a)は図4に示す個人情報探索手段116において用いられる検疫テーブル116Dの具体例を示す図、図12(b)はタイトルヘッダの具体例を示す図、図13は図4に示す個人情報探索手段116の動作(第1探索手法)を説明するためのフローチャートである。
【0189】
本実施形態の個人情報探索手段116では、以下のように、住所,電話番号,メールアドレス,氏名の出現頻度を数値化し、個人情報ファイルの特定を行なっている。
より具体的には、個人情報探索手段116の計数手段116Bによって、まず、判定対象ファイルに含まれる文字もしくは文字列と個人情報において特徴的に出現する文字/文字列として予め設定された特徴文字/特徴文字列とを照合し、特徴文字/特徴文字列が判定対象ファイルにおいて出現する回数を計数している。ただし、本実施形態では、文字列による照合・認識を行なうと処理部110Aにかかる負荷が極めて大きくなるので、1文字ずつの照合・認識を行なうものとする。従って、検疫テーブル116Dには、図11(a)を参照しながら後述するごとく、特徴文字が1文字ずつ設定されている。なお、処理部110Aの演算処理能力が十分に高い場合には文字列による照合・認識を行なってもよい。
【0190】
そして、判定対象ファイル(テキストファイル)から抽出された文字を、1文字ずつ、検疫テーブル116Dにおける特徴文字と照合し、これらが一致する場合には、その特徴文字が出現したものと判断して、その特徴文字のカウント値を“1”カウントアップする。このようにして対象ファイルに含まれる全ての文字における、特徴文字の出現回数を計数してから、その計数結果に基づいて個人情報ファイルの特定(対象ファイルが個人情報ファイルであるか否かの判定)を行なっている。
【0191】
ここで、検疫テーブル116Dに予め設定される特徴文字について具体的に説明する。
一般的な個人情報では、通常、住所が必須となる。そこで、図11(a)に示すように、日本国内の住所において特徴的に出現する文字を特徴文字として検疫テーブル116Dに設定登録しておく。例えば、住所情報には“都”,“道”,“府”,“県”,“市”,“区”,“町”,“村”,“郡”などが含まれている可能性が高く、“東京都”の場合、“東”,“京”の文字は通常文書中にも出現するが住所情報の場合、“都”と組合わせて出現することになるので、“都”の出現回数を住所数として見なすことが可能になる。同様に“府”や“県”や“道”も住所の見なし情報となるほか、“@”についてはメールアドレスの見なし情報として用いることが可能になる。
【0192】
図11(a)に示す検疫テーブル116Dでは、以下のような特徴文字およびポイントが設定されている。
(1)住所の見なし情報(特徴文字)として“東”,“京”,“都”,“大”,“阪”,
“府”,“北”,“海”,“道”が設定され、これらの特徴文字の計数値の合計が住所ポイント1として計数・算出される。
【0193】
(2)住所の見なし情報(特徴文字)として、住所ポイント1以外の府県名、つまり“山
”,“形”,“神”,“奈”,“川”,“埼”,“玉”,…,“福”,“岡”,“県”などが設定され、これらの特徴文字の計数値の合計が住所ポイント2として計数・算出される。
【0194】
(3)住所の見なし情報(特徴文字)として“市”,“区”,“町”,“村”,“郡”が
設定され、これらの特徴文字の計数値の合計が住所ポイント3として算出される。
(4)メールアドレスの見なし情報(特徴文字)として“@”が設定され、この“@”の
計数値がメールアドレスポイントとして用いられる。
【0195】
(5)電話番号の見なし情報(特徴文字列)として、“N”(数字,ハイフンからなる所
定桁数の数字列)が設定され、その計数値が電話番号ポイントとして用いられる。より具体的には、電話番号は“090-XXXX-XXXX”,“03-XXXX-XXXX”,“048-XXX-XXXX”という
ように、携帯電話機局番や市外局番に対応する特定の数字列“090”,“03”,“048”の後に8桁もしくは7桁の数字列が連続する構成となっており、このような数字列が出現した場合に電話番号ポイントを“1”カウントアップする。このとき、数字列中におけるハイフンの有無に関係なくカウントアップを行なう。
【0196】
(6)氏名の見なし情報(特徴文字)として、例えば日本国内における苗字のベスト50
に含まれる文字“佐”,“藤”,“田”,“中”,“高”,“橋”,…,“山”,“田”が設定され、これらの特徴文字の計数値の合計が氏名ポイントとして算出される。
【0197】
(7)検疫合計ポイントとして、上述した項目(1)〜(6)の各ポイントの合計値が計数・算
出される。
ここで、図11(a)中において、「」には、各特徴文字の出現回数を示す計数値、もしくは、各ポイント(出現回数の合計値)が書き込まれ、最大、例えば1千万程度まで計数可能になっている。
【0198】
また、上述のような検疫テーブル116Dを用いて得られた計数結果(出現回数)に基づいて各都道府県名の出現率を算出する際に、重複文字が存在する場合の取扱について説明する。例えば“東京都”と“京都府”とがテキストファイルに混在する場合、“都”が重複するため、“都”の計数値には“東京都”の計数値に“京都府”のカウントが混ざることになる。“京都府”の“府”は“大阪府”の“府”と重複するので、まず“大阪”の出現率を算定し、その出現率を“府”の出現率から減算すれば、“京都府”の出現率を予測することが可能になる。このようにして予測された“京都府”の出現率を“都”の出現率から減算することにより、“東京都”の出現率とすることができる。また、県名と市名とが重複するような場合(例えば大阪府大阪市)、“大阪”の出現率が2倍になるが、郵政省管理で公開されている日本の住所録に基づいて都道府県名別の重複率を算定し、算定された重複率に基づいて出現率の調整を行なうことにより、実際の出現率を推定することが可能である。
【0199】
さらに、都道府県表示が無い場合の取扱について説明する。データファイルにおいて、都道府県名について図12(b)に示すようなタイトルヘッダを用いる場合や、政令指定都市の住所表示や郵便番号を使用した住所表示では、“都”,“道”,“府”,“県”の出現率が極端に低下することになる。その代わり県名等の名称出現率が高くなるので、名称出現率から、データファイルが住所情報を含む個人情報ファイルであることの特定を行なうことが可能になる。
【0200】
なお、上述した検疫テーブル116Dでは、住所,メールアドレス,電話番号,氏名において特徴的に出現する文字/文字列を特徴文字/特徴文字列として設定しているが、本発明は、これらに限定されるものでなく、生年月日,役職名,個人識別情報(例えば、住
民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号など)において特徴的に出現する文字/文字列を特徴文字/特徴文字列として設定してもよい。
【0201】
そして、個人情報探索手段116の判定手段116Cによって、上述した検疫テーブル116Dを用いて得られた計数結果に基づき、判定対象ファイルが個人情報ファイルである度合いを示す判定値が算出される。その判定値としては、(a)検疫テーブル116Dの
検疫合計ポイント(上記項目(7)参照)の値をそのまま用いてもよいし、(b)特徴文字/特徴文字列の出現率が高いほど大きくなる判定ポイントを前記判定値として算出してもよいし、(c)特徴文字/特徴文字列毎に得られた計数結果に基づいて判定対象ファイルにおけ
る特徴文字/特徴文字列の出現パターンを求め、求められた出現パターンと特徴文字/特徴文字列の出現パターンとして予め設定された特徴出現パターンとの一致の度合いを示す一致度を前記判定値として算出してもよいし、(d)これら3種類の判定値のうちの2以上
を組み合わせ、2以上の判定値を所定関数に代入して算出された値を前記判定値として用いてもよい。
【0202】
このとき、判定対象ファイルに複数種類の情報(例えば住所,メールアドレス,電話番号,氏名の4種類)に係る特徴文字/特徴文字列が存在している場合、判定対象ファイル中に1種類の情報に係る特徴文字/特徴文字列が存在している場合よりも、前記判定値が大きくなるように、計数結果に対する重み付けを行なう。つまり、判定対象ファイル中に、個人を特定しうる複数種類の情報が含まれている場合には、その判定対象ファイルが個人情報ファイルである可能性は、個人を特定しうる情報が1種類だけ含まれている場合よりも高いと考えられるので、その判定対象ファイルについての判定値(重要度)が大きくなるように重み付けを行なう。また、その情報の種類数が多いほど、判定値が大きくなるように重み付けを行なうようにしてもよい。これにより、より確実に個人情報ファイルを特定することが可能になる。
【0203】
上述のような判定値が算出されると、個人情報探索手段116の判定手段116Cによって、その判定値に基づいて、判定対象ファイルが個人情報ファイルであるか否かを判定する。例えば、前記判定値が所定閾値を超えた場合に判定対象ファイルが個人情報ファイルであると判定する。このような判定を行なう際に、本実施形態では、前述した通り、判定値の大きさに応じたPマーク(プライベートレベルマーク)を判定対象ファイルに付与してランク付けを行なっている。このPマークは、前述した通り、判定対象ファイルが個人情報ファイルである可能性の高さを示すレベルであり、判定値が大きいほどPマークは高いランクに設定される。
【0204】
上述した個人情報探索手段116によって実行される個人情報探索(個人情報ファイル特定)の一連の手順を、図13に示すフローチャート(ステップS51〜S57)に従って説明する。
【0205】
図13に示すように、情報処理端末110の処理部110Aにおいて、図6のステップS22で個人情報探索プログラムが実行されると、携帯型記憶装置120が参照され、この携帯型記憶装置120におけるPマーク未設定のファイルの有無が判定される(ステップS51)。Pマーク未設定のファイルが存在しない場合(ステップS51のNOルート)には個人情報探索処理を終了する一方、Pマーク未設定のファイルが存在する場合(ステップS51のYESルート)、携帯型記憶装置120からPマーク未設定のファイルが判定対象ファイルとして一つ選択され(ステップS52)、その判定対象ファイルが、抽出手段116A(テキスト抽出エンジン)によりテキストファイルに変換される(ステップS53)。
【0206】
そして、テキストファイルから抽出された文字を、1文字ずつ、検疫テーブル116D
における特徴文字と照合し、これらが一致する場合には、その特徴文字が出現したものと判断して、計数手段116Bにより、その特徴文字のカウント値を“1”カウントアップする(ステップS54)。このようにして判定対象ファイルに含まれる全ての文字における、特徴文字の出現回数を計数してから、その計数結果に基づいて、判定手段116Cにより、判定対象ファイルが個人情報ファイルである度合いを示す判定値(例えば上記項目(a)〜(d)参照)を算出する(ステップS55)。
【0207】
ステップS55で算出された判定値に基づいて、上述したように、判定手段116Cにより、判定対象ファイルが個人情報ファイルであるか否かの判定を行なうとともにPマークのランク付けを行なう(ステップS56)。個人情報ファイルの判定結果やPマークのランク付けの結果は、送受信部110Fおよびネットワーク170を介して、サーバ130(個人情報管理サーバ機能)にも送信され(ステップS57)、サーバ130(個人情報管理サーバ機能)において、記憶部130Bに保存される。この後、ステップS51に戻り、携帯型記憶装置120においてPマーク未設定のファイルが無くなるまで(ステップS51でNO判定となるまで)、ステップS52〜S57が繰り返し実行される。
【0208】
〔2−4〕図5に示す個人情報探索手段の動作(第2探索手法):
次に、図6のステップS22において、図5に示す個人情報探索手段116aによって行なわれる処理、つまり図5に示す個人情報探索手段116aの動作(第2探索手法)について、図14に示すフローチャート(ステップS61〜S76)に従って説明する。
【0209】
図14に示すように、情報処理端末110の処理部110Aにおいて、図6のステップS22で個人情報探索プログラムが実行されると、携帯型記憶装置120が参照され、この携帯型記憶装置120におけるPマーク未設定のファイルの有無が判定される(ステップS61)。Pマーク未設定のファイルが存在しない場合(ステップS61のNOルート)には個人情報探索処理を終了する一方、Pマーク未設定のファイルが存在する場合(ステップS61のYESルート)、携帯型記憶装置120からPマーク未設定のファイルが判定対象ファイルとして一つ選択され、その判定対象ファイルから抽出手段1161によりテキストデータが抽出され、上記ファイルバッファに取り込まれる(ステップS62)。
【0210】
このようにファイルバッファに取り込まれたテキストからは、切出手段1162により、文字区間が、上述した所定の区切り位置で区切られて切り出され、判定対象/照合対象として上記データ整形用バッファを経由して上記データ解析用バッファに順次書き出される(ステップS63)。文字区間の切り出しに際し、前述したように、切出手段1162により、文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の不要文字、例えば半角スペース,全角スペースのほか、半角ハイフン,全角ハイフン,アンダバー,括弧記号,!,#,$,%,等号,+,*,疑問符,¥,/,|などの記号文字が除去される。
【0211】
そして、切出手段1162によって切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当するか否かを、電話番号判定手段1163a,電子メールアドレス判定手段1163bおよび住所判定手段1163cによって順次判定する(ステップS64,S66,S68)。
【0212】
まず、電話番号判定手段1163aにより、上記文字列が電話番号に該当するか否かが判定される(ステップS64)。その際、上記文字列が検疫テーブル1167に設定されている電話番号判定条件を満たしていれば、つまり上記文字列が9〜11桁の半角数字もしくは全角数字の連続であり、且つ、1文字目(先頭文字)が「0」で2文字目が「0」以外であれば、上記文字列が電話番号に該当するものと判定され(ステップS64のYE
Sルート)、その旨が第2判定手段1166に通知され、この第2判定手段1166において、電話番号の出現回数に対応する計数値が1だけカウントアップされ(ステップS65)、ステップS73の処理へ移行する。
【0213】
上記文字列が電話番号に該当しないと判定された場合(ステップS64のNOルート)、電子メールアドレス判定手段1163bにより、上記文字列が電話メールアドレスに該当するか否かが判定される(ステップS66)。その際、上記文字列が検疫テーブル1167に設定されている電子メールアドレス判定条件を満たしていれば、つまり上記文字列中に「一文字以上のASCII」+「@(アットマーク)」+「一文字以上のASCII
」+「.(ドット)」+「一文字以上のASCII」となる文字列が含まれており、且つ、当該文字列の最後の文字が半角の英字であれば、上記文字列が電子メールアドレスに該当するものと判定され(ステップS106のYESルート)、その旨が第2判定手段1166に通知され、この第2判定手段1166において、電子メールアドレスの出現回数に対応する計数値が1だけカウントアップされ(ステップS67)、ステップS73の処理へ移行する。
【0214】
上記文字列が電子メールアドレスに該当しないと判定された場合(ステップS66のNOルート)、住所判定手段1163cにより、上記文字列が住所(居所)に該当するか否かが判定される(ステップS68)。その際、上記文字列が検疫テーブル1167に設定されている住所判定条件を満たしていれば、つまり上記文字列中に「1文字以上13文字以下の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字または半角文字」となる文字列が含まれており、且つ、当該文字列の先頭文字が日本全国における47都道府県名もしくは市区郡名の頭文字と一致していれば、上記文字列が住所に該当するものと判定され(ステップS68のYESルート)、その旨が第2判定手段1166に通知され、この第2判定手段1166において、住所(居所)の出現回数に対応する計数値が1だけカウントアップされ(ステップS69)、ステップS73の処理へ移行する。
【0215】
上記文字列が住所に該当しないと判定された場合(ステップS68のNOルート)、つまり第1判定手段1163によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合、文字判定手段1164により、その文字列が、検疫テーブル1167に設定されている文字判定条件(文字数が2以上6以下であり且つ全ての文字が漢字であり且つ上記文字列の先頭文字が日本人に多い苗字上位所定数に属する苗字の頭文字と一致すること)を満たすか否かが判定される(ステップS70)。この文字判定条件を満たさない場合(ステップS70のNOルート)、ステップS73の処理へ移行する。
【0216】
一方、この文字判定条件を満たす場合(ステップS70のYESルート)、照合手段1165により、当該文字区間(上記文字列)に含まれる文字/文字列と検疫テーブル1167に設定されている氏名についての不適切文字/不適切文字列とが照合され、当該文字区間に不適切文字/不適切文字列が含まれるか否かが判定される(ステップS71)。当該文字区間に、一つでも不適切文字/不適切文字列と一致する文字/文字列が存在した場合(ステップS71のYESルート)には、その時点で不適切文字/不適切文字列との照合処理を直ちに終了し、ステップS73の処理へ移行する。
【0217】
また、当該文字区間に不適切文字/不適切文字列が含まれていない場合(ステップS71のNOルート)、その照合判定結果が第2判定手段1166に通知され、この第2判定手段1166において、当該文字区間が氏名に該当するものと見なされ、氏名の出現回数に対応する計数値が1だけカウントアップされ(ステップS72)、ステップS73の処理へ移行する。
【0218】
ステップS73では、対象ファイルから抽出されたテキストデータから未だ切り出されていない文字区間の有無が判定され、有る場合(YESルート)には、ステップS63に戻り、上述と同様の処理(ステップS63〜S72)を繰り返し実行する。このようにして全ての文字区間がテキストデータから切り出され全ての文字区間に対する判定処理,照合処理,計数処理等を終了すると(ステップS73のNOルート)、第2判定手段1166において、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数値に基づいて、上述した判定値が算出される(ステップS74)。
【0219】
そして、第2判定手段1166においては、ステップS74で算出された判定値に基づいて、上述したように、回覧対象電子ファイルが個人情報ファイルであるか否かが判定されるとともに、Pマークのランク付け(本実施形態では“P1”〜“P4”の4つ)が行なわれる(ステップS75)。個人情報ファイルの判定結果やPマークのランク付けの結果は、通知手段117,送受信部110Fおよびネットワーク170を介して、サーバ130(個人情報管理サーバ機能)に通知される(ステップS76)。
【0220】
〔2−5〕個人情報管理動作:
ついで、サーバ130の個人情報管理サーバとしての動作について、図15に示すフローチャート(ステップS81〜S89)に従って説明する。
【0221】
図15に示すように、サーバ130(個人情報管理サーバ機能)は、情報処理端末110から通知された、携帯型記憶装置120における個人情報ファイルについての判定結果(判定値やPマーク)を記憶部130Bに保存し、その判定結果を参照し、個人情報ファイル(Pマークを付与されたファイル)の有無を判定する(ステップS81)。
【0222】
個人情報ファイルが存在する場合(ステップS81のYESルート)、その個人情報ファイルの判定結果〔ここではPマークレベル(ランク)〕に応じて、サーバ130(個人情報管理サーバ機能)により、各個人情報ファイルに対する管理・操作が以下のように行なわれる(ステップS82〜S89)。
【0223】
まず、Pマークレベル“P1”の個人情報ファイルの有無が判定され(ステップS82)、Pマークレベル“P1”の個人情報ファイルがある場合(ステップS82のYESルート)、その個人情報ファイルをアクセス監視対象(アクセスログの記録対象)として設定・登録する(ステップS83)。
【0224】
Pマークレベル“P1”の個人情報ファイルがない場合(ステップS82のNOルート)、もしくは、ステップS83の登録後、Pマークレベル“P2”の個人情報ファイルの有無が判定され(ステップS84)、Pマークレベル“P2”の個人情報ファイルがある場合(ステップS84のYESルート)、その個人情報ファイルをアクセス監視対象として設定・登録するとともに、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報が通知される(ステップS85)。
【0225】
Pマークレベル“P2”の個人情報ファイルがない場合(ステップS84のNOルート)、もしくは、ステップS85での注意情報通知後、Pマークレベル“P3”の個人情報ファイルの有無が判定され(ステップS86)、Pマークレベル“P3”の個人情報ファイルがある場合(ステップS86のYESルート)、その個人情報ファイルをアクセス監視対象として設定・登録するとともに、その個人情報ファイルを保管している利用者が存在する旨が、システム管理者に対し警告情報としてメール等により通知されるとともに、その個人情報ファイルの返却が利用者に指示される(ステップS87)。
【0226】
Pマークレベル“P3”の個人情報ファイルがない場合(ステップS86のNOルート
)、もしくは、ステップS87で警報情報通知および返却指示を行なった後、Pマークレベル“P4”の個人情報ファイルの有無が判定され(ステップS88)、Pマークレベル“P4”の個人情報ファイルがある場合(ステップS88のYESルート)、その個人情報ファイルが携帯型記憶装置120から情報処理端末110およびネットワーク170を介して強制的に捕獲・回収される(ステップS89)。Pマークレベル“P4”の個人情報ファイルがない場合(ステップS88のNOルート)、もしくは、ステップS89での処理終了後、処理を終了する。
【0227】
なお、前述した通り、Pマークレベル“P4”の個人情報ファイルについては、その個人情報ファイルが携帯型記憶装置120から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したりしてもよい。また、Pマークレベル“P3”の個人情報ファイルが所定日数放置された場合、Pマークレベル“P4”の個人情報ファイルと同様の処置を実行してもよい。
【0228】
〔3〕本実施形態の情報処理システムの効果:
このように本発明の一実施形態としての情報処理システム100によれば、情報処理端末110の接続ポート110Dに携帯型記憶装置120のコネクタ121が接続されたことが認識手段111によって認識されると、携帯型記憶装置120についての認証がサーバ130(認証サーバ機能)に対し認証要求手段112によって要求される。サーバ130(認証サーバ機能)においては、個人認証手段131によって利用者が正当な登録者であることが認証され、且つ、装置認証手段132によって携帯型記憶装置120がサーバ130(認証サーバ機能)の管理対象装置であることが認証され、、第二次認証手段133によってログイン時ソフトウエアとログオフ時ソフトウエアとが一致していると判定され、さらに、生体データ値に基づく本人確認情報第二次個人認証がなされた場合、携帯型記憶装置120およびその利用者の正当性が認証されたものと判断され、その旨が認証の結果としてサーバ130(認証サーバ機能)から情報処理端末110に対し通知手段134によって通知される。
【0229】
そして、認証要求手段112による要求に応じてサーバ130(認証サーバ機能)によって実行された認証の結果、携帯型記憶装置120およびその利用者の正当性が認証されると、情報処理端末110の処理部110Aによる処理状態が、切換手段113によって、内部処理状態から、各種のソフトウエアおよびデータを携帯型記憶装置120上で用いながら処理を行なう外部処理状態に切り換えられる。
【0230】
これにより、利用者は、利用者毎に自分専用にカスタマイズされた各種のソフトウエアやオリジナルデータを携帯型記憶装置120に保存し、その携帯型記憶装置120のコネクタ121を外出先の情報処理端末110における接続ポート110Dに接続するだけで、重量のあるノートPC等を持ち歩くことなく、オリジナルデータと通常使い慣れたプログラムや利用環境とをその外出先の情報処理端末110で利用することが可能になる。
【0231】
その際、上述のごとくサーバ130(認証サーバ機能)において、認証手段311,312および133により個人認証、装置認証、第二次認証(ソフトウエア認証、第二次個人認証)という四重の認証を行なっているので、万一、携帯型記憶装置120を紛失したり携帯型記憶装置120が盗難に遭ったりしても、携帯型記憶装置120のセキュリティ性能が確保され、携帯型記憶装置120内の情報の漏洩や携帯型記憶装置120の不正な利用を確実に防止することができる。
【0232】
また、携帯型記憶装置120にインストールされているソフトウエア(ログイン時ソフトウエア)と携帯型記憶装置120が最後に情報処理端末110(サーバ130)に接続されていた時にインストールされていたソフトウエア(ログオフ時ソフトウエア)との対
照をとりこれらのソフトウエアが一致する否かを判定するソフトウエア認証を行なうことにより、これらのソフトウエアが完全に一致した場合に、情報処理端末110の処理部110Aが携帯型記憶装置120におけるソフトウエアおよびデータを用いた外部処理状態に切り換えられるようになる。
【0233】
従って、万一、個人認証や装置認証に必要な情報(ユーザID,パスワード,生体データ値,携帯型記憶装置120の装置識別情報など)が盗まれ、第三者が本来の携帯型記憶装置とは異なる携帯型記憶装置を用い、その携帯型記憶装置120内のソフトウエアによって成りすましによる不正なネットワーク接続を行なおうとしても、その成りすまし装置に保有されるソフトウエアと、盗まれた情報に対応する携帯型記憶装置についてのログオフ時ソフトウエアとが完全に一致することはほとんどありえないので、上述したソフトウエア認証によって、成りすまし装置のネットワーク170への接続(図1におけるサーバ130以外の端末やサーバへの接続)を確実に拒絶することが可能になり、セキュリティ性能を大幅に向上させることができる。
【0234】
なお、携帯型記憶装置120は、情報処理端末110の接続ポートに接続された際に該接続ポート経由の電源供給で動作するだけでなく、外部電源装置もしくは内蔵発電装置または前記接続ポートの少なくとも一つ経由で充電されうる二次電池を備えているため、未使用時に二次電池が充電されている。そして、この二次電池を電源として、情報処理端末110の接続ポートに接続される以前(直前)もしくは接続される際に、利用者(携帯型記憶装置120の所持者、あるいは、携帯型記憶装置120を情報処理端末110に接続する者)の生体データ値や位置情報を取得するよう構成されている。
【0235】
このため、携帯型記憶装置120の使用時あるいは使用開始時に、その携帯型記憶装置120が真正な本人に使用されているか否かを確認することが可能になる。すなわち、情報処理端末110の電源を入れる前、すなわち、携帯型記憶装置120に対して情報処理端末110の接続ポート経由で電源が供給される前であっても、携帯型記憶装置120は内蔵の二次電池により動作して生体データ値や位置情報の取得を実行しているため、携帯型記憶装置120が情報処理端末110に接続された際に利用者の生体データ値や位置情報を取得できなくても、携帯型記憶装置120が真正な本人に使用されているか否かを確認することが可能になる。
【0236】
この場合において、情報処理端末110に対して携帯型記憶装置120を接続する直前までは、利用者の手が携帯型記憶装置120に触れているが、接続が完了した時点(情報処理端末110からバスパワーにより携帯型記憶装置120に電源供給される時点)では既に利用者の手は携帯型記憶装置120から離れてしまっているものの、本実施形態によれば確実な生体データ値の取得が可能になっている。また、情報処理端末110に生体データ値の取得のための検出手段を設ける必要がないため、利用者は、各地で各種の情報処理端末110を使用することが可能になる。
【0237】
また、利用者が正当な利用者であると認証されなかった場合には、携帯型記憶装置120が記憶しているソフトウエアおよびデータを消去するコマンドを、認証サーバ130から携帯型記憶装置が接続されている情報処理端末110に与える(図6中のステップS14)ことで、万一、携帯型記憶装置120を紛失したり携帯型記憶装置120が盗難に遭ったりしても、正当な利用者以外へのデータの漏洩を一層確実に拒絶することが可能になり、セキュリティ性能を大幅に向上させることができる。
【0238】
上述した情報処理システム100のサーバ130(認証サーバ機能)において、携帯型記憶装置120およびその利用者の正当性が認証された場合、その認証結果によって情報処理端末110の処理部110Aによる処理状態が外部処理状態に切り換えられ携帯型記
憶装置120が開かれたことが、記録手段135によって履歴として記録されるので、携帯型記憶装置120がオープンされ、その携帯型記憶装置120内の情報が情報処理端末110の処理部110Aによる処理対象となったことを記憶部130Bに記録して管理することが可能になり、携帯型記憶装置120の不正利用が発覚したような場合に、記憶部130Bに記録された履歴に基づいて、不正利用された携帯型記憶装置120や、その利用時間や、その利用に用いられた情報処理端末110などを特定することが可能になる。
【0239】
また、携帯型記憶装置120において、各種のソフトウエアおよびデータのうち、所定のソフトウエア以外のソフトウエアおよびデータを、サーバ130(アクセス管理サーバ機能)の管理下に置き暗号化情報として保存しておく。そして、暗号化情報の利用者については、サーバ130(アクセス管理サーバ機能)により正当な利用者であることを認証されれば、情報処理端末110の処理部110Aによって、サーバ130(アクセス管理サーバ)から受信した復号鍵で暗号化情報が復号化され、暗号化情報の内容(ソフトウエアおよびデータ)を用いた処理が実行されることになるが、正当な利用者以外のものは、暗号化情報を復号化することができず、その内容を用いた処理を行なうことは不可能になっている。なお、サーバ130が認証サーバ機能とアクセス管理サーバ機能とを併せもっているため、認証サーバ機能における正当な利用者の認証をアクセス管理サーバ機能に適用することが可能である。
【0240】
つまり、携帯型記憶装置120において、各種のソフトウエアおよびデータのうち、所定のソフトウエア(処理部110Aを復号鍵要求手段114および復号化手段115として機能させるプログラム)以外のソフトウエアおよびデータは、全て暗号化されており、その暗号化情報は、正当な利用者のみが復号化できるように構成されているので、万一、携帯型記憶装置120を紛失したり携帯型記憶装置120が盗難に遭ったりしても、携帯型記憶装置120のセキュリティ性能が確保され、携帯型記憶装置120内の情報の漏洩/改竄や携帯型記憶装置120の不正な利用を確実に防止することができ、且つ、正当な利用者のアクセスは可能になるので、正当な利用者についての利便性を損なうことがない。
【0241】
また、携帯型記憶装置120が情報処理端末110に接続された際には、サーバ130(個人情報管理サーバ機能)の調査手段138により、携帯型記憶装置120において個人情報探索プログラム(処理部110Aを個人情報探索手段116/116aとして機能させるプログラム)がインストールされているか否かが調査され、インストールされていない場合、その個人情報探索プログラムが自動的(強制的)にインストールされる。そして、携帯型記憶装置120にインストールされた個人情報探索プログラムを情報処理端末110の処理部110Aが実行することで、携帯型記憶装置120におけるデータの中から個人情報ファイルが探索されて特定され、その探索結果が利用者もしくはサーバ130(個人情報管理サーバ機能)に通知される。
【0242】
これにより、携帯型記憶装置120における個人情報ファイルが保存されている場合に、その旨が利用者やサーバ130(個人情報管理サーバ機能)に通知され、利用者に注意を喚起したりその個人情報ファイルをサーバ130(個人情報管理サーバ機能)の管理下に置くことができ、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報を確実に保護することができる。
【0243】
その際、個人情報探索手段116としての機能を用いることにより、携帯型記憶装置120におけるファイル毎に、特徴文字や特徴文字列の出現回数に基づいてファイルが個人情報ファイルであるか否かが判定され、個人情報ファイルを自動的に探索して特定することができるので、携帯型記憶装置120内における個人情報ファイル(個人情報ファイルである可能性の高いファイル)を確実に探索して洗い出すことができる。
【0244】
また、特定の個人を識別可能な個人情報要素を所定数以上保有しているファイルを個人情報ファイルとして判定する場合、本実施形態の個人情報探索手段116aとしての機能を用いることにより、第2判定手段1166において、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。
【0245】
従って、第1判定手段1163において電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についてのみ不適切文字/不適切文字列との照合処理が行なわれ、さらに、照合手段1165において不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの判定処理を高速に行なうことが可能になる。
【0246】
このとき、第1判定手段1163において、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で文字区間における文字列の判定処理を行なうことで、判定処理をより高速に効率良く実行することが可能になる。
【0247】
また、第2判定手段1166において不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まない電子ファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高い電子ファイルを確実に判定することが可能になる。つまり、個人情報ファイルである可能性の高いファイル(疑わしいファイル)を確実に洗い出すことができる。
【0248】
さらに、本実施形態では、文字判定手段1164により、文字区間の文字数が1以上6以下であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合手段1165による照合対象としているので、照合手段1165による照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が6を超える長い文字区間が、照合手段1165による照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの判定処理のさらなる高速化に寄与することになる。
【0249】
特に、本実施形態の個人情報探査手段116aによれば、切出手段1162によりテキストデータから判定対象の文字区間として切り出す際、テキストデータ内の要素が明確な区切り文字によって区切られていない場合であっても、1バイトコード文字と2バイトコード文字との境界位置つまり半角文字と全角文字との境界位置(半角文字のあとに全角文字が続く部分もしくは全角文字のあとに半角文字が続く部分)や、全角算用数字と全角算用数字およびハイフンを除く文字との境界位置で、テキストデータが区切られて文字区間として切り出されることになる。
【0250】
これにより、全角文字で記載された住所や氏名などと半角文字で記載された電話番号や電子メールアドレスなどの文字列とがテキストデータにおいて区切り文字によって区切られることなく混在する場合や、全角文字で記載された住所や氏名などと全角文字で記載された電話番号などの数字列とがテキストデータにおいて区切り文字によって区切られることなく混在する場合であっても、住所,氏名,電話番号,電子メールアドレスなどの個人
情報要素毎に文字区間を切り出すことができる。従って、住所,氏名,電話番号,電子メールアドレスなどの個人情報要素の判定を確実に行なえるようになり、個人情報ファイルを効率よく短時間で確実に判定することができる。
【0251】
また、電子メールアドレス判定手段1163bによる電子メールアドレス判定条件として、判定対象の文字区間における文字列に「一文字以上のASCII文字」+「@(アッ
トマーク)」+「一文字以上のASCII文字」+「.(ドット)」+「一文字以上のA
SCII文字」となる文字列が含まれており、且つ、当該文字列の最後の文字が半角の英字であることを設定することにより、「@(アットマーク)」を単価や単位の表示に用い
ている文字列であって、「@(アットマーク)」のあとに「一文字以上の半角数字」+「.(ドット)」+「一文字以上の半角数字」となる数字列(例えば「123@45.67」)を、電
子メールアドレスとして誤って判定することを確実に防止することができる。従って、電子メールアドレスなどの個人情報要素の判定を確実に行なえるようになり、個人情報ファイルを効率よく短時間で確実に判定することができる。
【0252】
電子メールアドレスにおいて“@”以降の最後の「.(ドット)」以降の文字列は、現在のところ、必ず、例えば“com”,“net”,“jp”などの英字列になっている。また、“@”は、一般に、単価や単位の表示に用いられることが多々ある。例えば、ある物品の1
個当たりの値段や重さを表示する際、“@100.00”とか“@10.55”というように“@”を用いる場合がある。このため、電子メールアドレス判定条件が、単に判定対象の文字区間における文字列に「一文字以上のASCII文字」+「@(アットマーク)」+「一文字以
上のASCII文字」+「.(ドット)」+「一文字以上のASCII文字」となる文字
列が含まれていることとすると、上記のような“@100.00”や“@10.55”を含む文字列も
電子メールアドレスとして誤って認識してしまうことになるが、文字列の最後の文字が半角の英字であることを電子メールアドレス判定条件に追加することで、上述のような数字列“@100.00”や“@10.55”を含む文字列を電子メールアドレスとして誤認識するのを確
実に防止することができるのである。
【0253】
さらに、住所判定手段1163cによる住所判定条件として、判定対象の文字区間における文字列に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字または半角文字」となる文字列が含まれていることに加え、判定対象の文字区間の先頭文字と47都道府県名もしくは市区郡名の頭文字との一致をみることで、「市」,「区」,「郡」を途中に含む文字列であるが住所とは全く関係の無い文字列を誤って住所として判定することがなくなり、47都道府県名もしくは市区郡名の完全一致を判定する場合に比べ極めて短時間で、住所としての確度の高い文字区間を効率よく確実に判定することができる。
【0254】
またさらに、文字判定手段1164による文字判定条件(氏名判定条件)に、判定対象の文字列の先頭文字が、日本人に多い苗字上位所定数(例えば上位3000種類)に属する苗字の頭文字と一致することを追加することにより、苗字の完全一致を判定する場合に比べ極めて短時間で、氏名としての確度の高い文字区間を効率よく確実に判定することができる。
【0255】
そして、サーバ130(個人情報管理サーバ機能)により、第2判定手段1166で得られた計数結果(判定値レベル)に応じて、個人情報ファイルであると判定されたファイルの管理を行なうことにより、個人情報ファイル毎に、判定値レベル(個人情報ファイルである可能性の高さ/個人情報要素数の多さ)に応じた管理手法を選択して実行することができる。つまり、前述した通り、個人情報探索手段116/116aによって個人情報ファイルであると判定されたファイルは、そのファイルに付与されたPマーク(ランク/レベル)に応じ、サーバ130(個人情報管理サーバ機能)によって管理され、作成者や
回覧先利用者やシステム管理者に注意情報/警告情報を通知したり、そのファイルを携帯型記憶装置120から強制的に捕獲・回収して回覧を禁止したり、そのファイルを管理者のみがアクセス可能なフォルダに格納したりすることが可能で、個人情報の不用意な流出・漏洩や個人情報の不正利用などをより確実に防止することができる。
【0256】
〔4〕その他の実施形態(変形例):
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
【0257】
例えば、上述した実施形態では、3種類のサーバ(認証サーバ,アクセス管理サーバ,個人情報管理サーバ)としての機能を一つのサーバ130によって実現しているが、これらのサーバを2つのサーバに分けて実現してもよいし、3つのサーバに分けて実現してもよい。
【0258】
また、不正アクセス,情報漏洩,データ毀損などに対して保険金の支払いを行う保険が存在する場合において、以上の実施形態を用いることでリスクが大幅に減少することが予想されるため、本実施形態の情報処理システム100での認証がなされている場合には、その認証完了情報をサーバ130から保険会社のサーバに転送して保険会社側で確認することで、保険掛け金の割引きをすることも可能である。この場合、情報処理システム100側では認証を完了したデータを保険会社に転送するだけであり、システムの大幅な改良を要しない。また、保険会社側でも、認証を完了したデータを受けることで、確実な状態を確保しつつ、料金(保険掛け金)の値下げを実行することが可能になる。
【0259】
また、携帯型記憶装置120に存在するPマークレベル“P1”〜“P3”の個人情報ファイルが、メールにファイル添付された場合には、予め定められた会社のメールサーバ経由でメールが送信されるようにメーラが制御する。そして、この場合には、管理者が許可したファイルのみがメールサーバ経由で送信可能になり、セキュリティを確保するうえで望ましい。
【0260】
また、情報処理端末110は、ネットワーク170経由でサーバ130に接続された状態のもとで、サーバ130の管理に基づいて、携帯型記憶装置120に保存されているPマークレベル“P1”〜“P3”の個人情報ファイルを開くことが可能である。ただし、この場合は、既に説明したように、Pマークが付された個人情報ファイルへのアクセスは、サーバ130によるアクセス監視対象(アクセスログの記録対象)となっており、Pマークが付された個人情報ファイルを情報処理端末110で開いたことは、情報処理端末110からサーバ130に自動的に通知される。
【0261】
ここで、情報処理端末110でPマークが付された個人情報ファイルを開いた後に元の保存場所である携帯型記憶装置120に保存しようとすると、既に説明したPマークレベルの判定が再度実行され、Pマークレベルに変更がなければ保存を行い、Pマークレベルに変更が生じていればサーバ130へのPマークレベル変更の通知を行った上で保存を行う。
【0262】
また、ここで、情報処理端末110でPマークが付された個人情報ファイルを開いた後に他の記憶媒体に保存しようとすると、既に説明したPマークレベルの判定が再度実行され、Pマークレベルに変更がなければ、予め定められたPマーク付個人情報ファイルの取り扱い基準に従って、可能であれば他の記憶媒体に保存を行い、Pマークレベルに変更があればサーバ130へのPマークレベル変更の通知を行った上で、予め定められたPマークが付された個人情報ファイルの取り扱い基準に従って、可能であれば他の記憶媒体に保存を行う。
【0263】
なお、予め定められたPマーク付個人情報ファイル取り扱い基準とは、Pマークレベルに応じて、個人情報ファイルを他の記録媒体に記憶させることが可能であるか否かについて定められた基準であり、サーバ130側の記憶部130Bなどに格納されている。この場合、情報処理端末110がPマークが付された個人情報ファイルを開く(アクセスする)時点でサーバ130の監視対象となっているため、他の記録媒体への保存もサーバ130による許可/不許可の制御が伴う。
【0264】
また、上述した実施形態では、携帯型記憶装置120に保存されたファイルが個人情報ファイルであるか否かを判定する場合について説明したが、本発明は、企業内等で守秘情報(守秘義務のある情報)を含むファイルであるか否かを判定する場合にも上述と同様に適用され、上記実施形態と同様の作用効果を得ることができ、守秘情報の不用意な流出・漏洩や守秘情報の不正利用などを確実に防止することができる。その場合、不適切文字や不適切文字列としては、その守秘情報において出現し得ない文字もしくは文字列を設定することになる。
【0265】
さらに、上述した実施形態では、氏名の判定条件に、氏名において出現し得ない漢字/漢字列として予め設定された不適切文字/不適切文字列を判定対象の文字区間に含まないことを設定しているが、住所判定条件にも、住所において出現し得ない漢字/漢字列として予め設定された不適切文字/不適切文字列を判定対象の文字区間に含まないことをさらに追加してもよい。
【0266】
またさらに、上述した実施形態では、氏名以外の個人情報要素が、電話番号,電子メールアドレス,住所の3要素である場合について説明したが、本発明は、これに限定されるものでなく、氏名以外の個人情報要素としては、例えば、生年月日,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号などを用いてもよい。
【0267】
ところで、情報処理端末110における、上述した認識手段111,認証要求手段112および切換手段113としての機能(各手段の全部もしくは一部の機能)は、上述した通り、処理部110Aが、情報処理端末110の記憶部110Eに予めインストールされた所定のアプリケーションプログラムを実行することによって実現される。
【0268】
また、情報処理端末110における、上述した復号鍵要求手段114および復号化手段115としての機能(各手段の全部もしくは一部の機能)は、上述した通り、処理部110Aが、携帯型記憶装置120において予めインストールされている暗号化されていない所定のソフトウエアを実行することによって実現される。
【0269】
さらに、情報処理端末110における、上述した個人情報探索手段116および通知手段117としての機能(各手段の全部もしくは一部の機能)は、上述した通り、処理部110Aが、携帯型記憶装置120において予めインストールされている個人情報探索プログラムを実行することによって実行される。
【0270】
また、サーバ130における、上述した個人認証手段131,装置認証手段132,第二次認証手段133,通知手段134,記録手段135,判定手段136,復号鍵送信手段137,調査手段138およびインストール手段139としての機能(各手段の全部もしくは一部の機能)は、上述した通り、処理部130Aが、サーバ130の記憶部130Bに予めインストールされた所定のアプリケーションプログラムを実行することによって実現される。
【0271】
そして、情報処理端末110の記憶部110Eに予めインストールされる所定のアプリ
ケーションプログラムや、携帯型記憶装置120において予めインストールされている暗号化されていない所定のソフトウエアや、携帯型記憶装置120において予めインストールされるべき個人情報探索プログラムや、サーバ130の記憶部130Bに予めインストールされる所定のアプリケーションプログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体から所定のアプリケーションプログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。
【0272】
ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたコンピュータプログラムを読み取るための手段とを備えている。上記個人情報探索プログラムや上記個人情報管理サーバ用プログラムとしてのアプリケーションプログラムは、コンピュータ(処理部110A,31)に、各手段111〜117および311〜139としての機能を実現させるプログラムコードを含んでいる。また、その機能の一部は、アプリケーションプログラムではなくOSによって実現されてもよい。
【0273】
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROM等のメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。
【0274】
また、以上の実施形態の説明では、二次電池120cを電力源として携帯型記憶装置120の未使用時(情報処理端末110に対して未接続時)に生体データ値の取得と本人確認情報の生成とを行うようにしていたが、未使用時に生体データ値の取得と保存のみを行っておいて、携帯型記憶装置120が情報処理端末110に接続されてから判定や本人確認情報の生成を行うようにしてもよい。なお、電池残量が少ない場合に、このように生体データ値の取得と保存、判定や本人確認情報の生成を分けて行うことも望ましい。
【0275】
また、携帯型記憶装置120が未使用時に生体データ値の取得や本人確認情報の生成を行う動作例を説明してきたが、携帯型記憶装置120が情報処理端末110に接続された状態においても、可能であれば生体データ値の取得を行うようにしてもよい。
【0276】
〔5〕付記:
なお、以下に記述する付記1〜付記21も本発明の実施形態の一態様または変形例に含まれる。
【0277】
(付記1)
少なくとも、各種処理を実行する処理部、前記処理部に対する情報入力を行なう入力部、前記処理部による処理結果を出力する出力部、および、前記処理部に外部装置を接続すべく前記外部装置側のコネクタを挿入される接続ポートを備える情報処理端末と、
各種のソフトウエアおよびデータを記憶する記憶機能を有すると共に、利用者の生体データ値を検出することで該利用者本人であることが確認された場合に本人確認情報を送出
する本人確認機能を有し、前記接続ポートに前記外部装置として接続されうる携帯型記憶装置と、
前記情報処理端末に接続され、前記情報処理端末の前記接続ポートに接続された前記携帯型記憶装置についての認証を行なう認証サーバと、を備え、
前記情報処理端末が、
前記接続ポートに前記携帯型記憶装置が接続されたことを認識する認識手段と、
前記認識手段によって前記接続ポートに前記携帯型記憶装置が接続されたことを認識すると、前記携帯型記憶装置についての認証を前記認証サーバに対して要求する認証要求手段と、
前記認証要求手段による要求に応じて前記認証サーバによって実行された認証の結果、前記携帯型記憶装置および前記携帯型記憶装置の利用者の正当性が認証された場合、前記処理部による処理状態を、前記情報処理端末側に記憶されたソフトウエアおよびデータを用いて処理を行なう内部処理状態から、前記携帯型記憶装置に記憶された前記各種のソフトウエアおよびデータを前記携帯型記憶装置上で用いながら処理を行なう外部処理状態に切り換える切換手段とを備えて構成され、
前記認証サーバが、
前記情報処理端末から前記携帯型記憶装置についての認証要求を受けると、前記携帯型記憶装置の利用者によって前記情報処理端末の前記入力部から入力される個人認証情報に基づき前記利用者が正当な利用者であるか否かを判定して、前記利用者の第一次個人認証を行なう個人認証手段と、
前記情報処理端末から前記携帯型記憶装置についての認証要求を受けると、前記携帯型記憶装置から自動的に読み出される装置識別情報に基づき前記携帯型記憶装置が前記認証サーバの管理対象装置であるか否かを判定して、前記携帯型記憶装置の装置認証を行なう装置認証手段と、
前記携帯型記憶装置に記憶されているソフトウエア(以下、ログイン時ソフトウエアという)と前記携帯型記憶装置が情報処理端末に最後に接続されていた時に記憶されていたソフトウエア(以下、ログオフ時ソフトウエアという)との対照をとりこれらのソフトウエアが一致する否かを判定してソフトウエア認証を行うと共に、前記本人確認情報に基づき前記利用者の第二次個人認証を行なう第二次認証手段と、
前記個人認証手段によって前記利用者が正当な利用者であることが第一次個人認証され、且つ、該装置認証手段によって前記携帯型記憶装置が前記認証サーバの管理対象装置であることが認証され、且つ、前記第二次認証手段によって正当な利用者であることが第二次個人認証された場合、前記携帯型記憶装置および前記携帯型記憶装置の利用者の正当性が認証されたものと判断し、その旨を認証の結果として前記情報処理端末に対して通知する通知手段とを備えて構成され、
前記携帯型記憶装置が、外部電源装置もしくは内蔵発電装置または前記接続ポートの少なくとも一つ経由で充電されうる二次電池を備え、前記二次電池を電源として、前記接続ポートに接続される以前もしくは接続される際に前記利用者の生体データ値を取得するよう構成されている、情報処理システムにおいて、
前記情報処理端末に接続され、前記情報処理端末の該接続ポートに接続された前記携帯型記憶装置についての認証を行なう認証サーバ。
【0278】
(付記2)
前記携帯型記憶装置が、
該利用者の生体データ値を検出する生体センサと、
該利用者の所在雰囲気中の気象データを検出する気象センサと、
該利用者の体調を管理するための生体データ閾値を、気象条件毎に予め設定されて保持する閾値テーブルと、
該気象センサによって検出された気象データに対応する気象条件について設定された生体データ閾値を該閾値テーブルから検索して読み出す閾値読出手段と、
該閾値読出手段によって読み出された生体データ閾値と該生体センサによって検出された生体データ値とを比較する比較手段と、
該比較手段による比較の結果、該利用者本人であることが確認された場合に、本人確認情報を送出する制御手段と、を備え、
前記制御手段は、前記二次電池を電源として、該携帯型記憶装置が前記接続ポートに接続される以前もしくは接続される際に前記利用者の生体データ値を取得するよう制御する、情報処理システムにおいて、
前記情報処理端末に接続され、前記情報処理端末の該接続ポートに接続された前記携帯型記憶装置についての認証を行なう付記1に記載の認証サーバ。
【0279】
(付記3)
前記携帯型記憶装置は、位置情報を取得する位置情報取得手段を備え、
前記制御手段は、前記二次電池を電源として、該携帯型記憶装置が前記接続ポートに接続される以前もしくは接続される際の位置情報を前記位置情報取得手段を介して取得するするよう制御する、情報処理システムにおいて、
前記情報処理端末に接続され、前記情報処理端末の該接続ポートに接続された前記携帯型記憶装置についての認証を行なう付記2に記載の認証サーバ。
【0280】
(付記4)
前記認証サーバにおいて、前記利用者が正当な利用者であると認証されなかった場合には、前記携帯型記憶装置が記憶している前記ソフトウエアおよび前記データを消去するコマンドを、前記携帯型記憶装置が接続されている前記情報処理端末に与える、
ことを特徴とする付記1〜3のいずれか一項に記載の認証サーバ。
【0281】
(付記5)
少なくとも、各種処理を実行する処理部、前記処理部に対する情報入力を行なう入力部、前記処理部による処理結果を出力する出力部、および、前記処理部に外部装置を接続すべく前記外部装置側のコネクタを挿入される接続ポートを備える情報処理端末と、
各種のソフトウエアおよびデータを記憶する記憶機能を有すると共に、利用者の生体データ値を検出することで該利用者本人であることが確認された場合に本人確認情報を送出する本人確認機能を有し、前記接続ポートに前記外部装置として接続されうる携帯型記憶装置と、
前記情報処理端末に接続され、前記情報処理端末の前記接続ポートに接続された前記携帯型記憶装置についての認証を行なう認証サーバと、を備え、
前記情報処理端末が、
前記接続ポートに前記携帯型記憶装置が接続されたことを認識する認識手段と、
前記認識手段によって前記接続ポートに前記携帯型記憶装置が接続されたことを認識すると、前記携帯型記憶装置についての認証を前記認証サーバに対して要求する認証要求手段と、
前記認証要求手段による要求に応じて前記認証サーバによって実行された認証の結果、前記携帯型記憶装置および前記携帯型記憶装置の利用者の正当性が認証された場合、前記処理部による処理状態を、前記情報処理端末側に記憶されたソフトウエアおよびデータを用いて処理を行なう内部処理状態から、前記携帯型記憶装置に記憶された前記各種のソフトウエアおよびデータを前記携帯型記憶装置上で用いながら処理を行なう外部処理状態に切り換える切換手段とを備えて構成され、
前記認証サーバが、
前記情報処理端末から前記携帯型記憶装置についての認証要求を受けると、前記携帯型記憶装置の利用者によって前記情報処理端末の前記入力部から入力される個人認証情報に基づき前記利用者が正当な利用者であるか否かを判定して、前記利用者の第一次個人認証を行なう個人認証手段と、
前記情報処理端末から前記携帯型記憶装置についての認証要求を受けると、前記携帯型記憶装置から自動的に読み出される装置識別情報に基づき前記携帯型記憶装置が前記認証サーバの管理対象装置であるか否かを判定して、前記携帯型記憶装置の装置認証を行なう装置認証手段と、
前記携帯型記憶装置に記憶されているソフトウエア(以下、ログイン時ソフトウエアという)と前記携帯型記憶装置が情報処理端末に最後に接続されていた時に記憶されていたソフトウエア(以下、ログオフ時ソフトウエアという)との対照をとりこれらのソフトウエアが一致する否かを判定してソフトウエア認証を行うと共に、前記本人確認情報に基づき前記利用者の第二次個人認証を行なう第二次認証手段と、
前記個人認証手段によって前記利用者が正当な利用者であることが第一次個人認証され、且つ、該装置認証手段によって前記携帯型記憶装置が前記認証サーバの管理対象装置であることが認証され、且つ、前記第二次認証手段によって正当な利用者であることが第二次個人認証された場合、前記携帯型記憶装置および前記携帯型記憶装置の利用者の正当性が認証されたものと判断し、その旨を認証の結果として前記情報処理端末に対して通知する通知手段とを備えて構成され、
前記携帯型記憶装置が、外部電源装置もしくは内蔵発電装置または前記接続ポートの少なくとも一つ経由で充電されうる二次電池を備え、前記二次電池を電源として、前記接続ポートに接続される以前もしくは接続される際に前記利用者の生体データ値を取得するよう構成されている、情報処理システムにおいて、
前記情報処理端末に接続され、前記情報処理端末の該接続ポートに接続された前記携帯型記憶装置についての認証を行なう認証サーバとして、コンピュータを機能させる認証サーバ用プログラム。
【0282】
(付記6)
前記携帯型記憶装置が、
該利用者の生体データ値を検出する生体センサと、
該利用者の所在雰囲気中の気象データを検出する気象センサと、
該利用者の体調を管理するための生体データ閾値を、気象条件毎に予め設定されて保持する閾値テーブルと、
該気象センサによって検出された気象データに対応する気象条件について設定された生体データ閾値を該閾値テーブルから検索して読み出す閾値読出手段と、
該閾値読出手段によって読み出された生体データ閾値と該生体センサによって検出された生体データ値とを比較する比較手段と、
該比較手段による比較の結果、該利用者本人であることが確認された場合に、本人確認情報を送出する制御手段と、を備え、
前記制御手段は、前記二次電池を電源として、該携帯型記憶装置が前記接続ポートに接続される以前もしくは接続される際に前記利用者の生体データ値を取得するよう制御する、情報処理システムにおいて、
前記情報処理端末に接続され、前記情報処理端末の該接続ポートに接続された前記携帯型記憶装置についての認証を行なう認証サーバとして、コンピュータを機能させる付記5に記載の認証サーバ用プログラム。
【0283】
(付記7)
前記携帯型記憶装置は、位置情報を取得する位置情報取得手段を備え、
前記制御手段は、前記二次電池を電源として、該携帯型記憶装置が前記接続ポートに接続される以前もしくは接続される際の位置情報を前記位置情報取得手段を介して取得するするよう制御する、情報処理システムにおいて、
前記情報処理端末に接続され、前記情報処理端末の該接続ポートに接続された前記携帯型記憶装置についての認証を行なう認証サーバとして、コンピュータを機能させる付記6に記載の認証サーバ用プログラム。
【0284】
(付記8)
前記認証サーバにおいて、前記利用者が正当な利用者であると認証されなかった場合には、前記携帯型記憶装置が記憶している前記ソフトウエアおよび前記データを消去するコマンドを、前記携帯型記憶装置が接続されている前記情報処理端末に与える認証サーバとして、コンピュータを機能させる付記5〜7に記載の認証サーバ用プログラム。
【0285】
(付記9)
少なくとも、各種処理を実行する処理部、前記処理部に対する情報入力を行なう入力部、前記処理部による処理結果を出力する出力部、および、前記処理部に外部装置を接続すべく前記外部装置側のコネクタを挿入される接続ポートを備える情報処理端末と、
各種のソフトウエアおよびデータを記憶する記憶機能を有すると共に、利用者の生体データ値を検出することで該利用者本人であることが確認された場合に本人確認情報を送出する本人確認機能を有し、前記接続ポートに前記外部装置として接続されうる携帯型記憶装置と、
前記情報処理端末に接続され、前記情報処理端末の前記接続ポートに接続された前記携帯型記憶装置についての認証を行なう認証サーバと、を備え、
前記情報処理端末が、
前記接続ポートに前記携帯型記憶装置が接続されたことを認識する認識手段と、
前記認識手段によって前記接続ポートに前記携帯型記憶装置が接続されたことを認識すると、前記携帯型記憶装置についての認証を前記認証サーバに対して要求する認証要求手段と、
前記認証要求手段による要求に応じて前記認証サーバによって実行された認証の結果、前記携帯型記憶装置および前記携帯型記憶装置の利用者の正当性が認証された場合、前記処理部による処理状態を、前記情報処理端末側に記憶されたソフトウエアおよびデータを用いて処理を行なう内部処理状態から、前記携帯型記憶装置に記憶された前記各種のソフトウエアおよびデータを前記携帯型記憶装置上で用いながら処理を行なう外部処理状態に切り換える切換手段とを備えて構成され、
前記認証サーバが、
前記情報処理端末から前記携帯型記憶装置についての認証要求を受けると、前記携帯型記憶装置の利用者によって前記情報処理端末の前記入力部から入力される個人認証情報に基づき前記利用者が正当な利用者であるか否かを判定して、前記利用者の第一次個人認証を行なう個人認証手段と、
前記情報処理端末から前記携帯型記憶装置についての認証要求を受けると、前記携帯型記憶装置から自動的に読み出される装置識別情報に基づき前記携帯型記憶装置が前記認証サーバの管理対象装置であるか否かを判定して、前記携帯型記憶装置の装置認証を行なう装置認証手段と、
前記携帯型記憶装置に記憶されているソフトウエア(以下、ログイン時ソフトウエアという)と前記携帯型記憶装置が情報処理端末に最後に接続されていた時に記憶されていたソフトウエア(以下、ログオフ時ソフトウエアという)との対照をとりこれらのソフトウエアが一致する否かを判定してソフトウエア認証を行うと共に、前記本人確認情報に基づき前記利用者の第二次個人認証を行なう第二次認証手段と、
前記個人認証手段によって前記利用者が正当な利用者であることが第一次個人認証され、且つ、該装置認証手段によって前記携帯型記憶装置が前記認証サーバの管理対象装置であることが認証され、且つ、前記第二次認証手段によって正当な利用者であることが第二次個人認証された場合、前記携帯型記憶装置および前記携帯型記憶装置の利用者の正当性が認証されたものと判断し、その旨を認証の結果として前記情報処理端末に対して通知する通知手段とを備えて構成され、
前記携帯型記憶装置が、外部電源装置もしくは内蔵発電装置または前記接続ポートの少なくとも一つ経由で充電されうる二次電池を備え、前記二次電池を電源として、前記接続
ポートに接続される以前もしくは接続される際に前記利用者の生体データ値を取得するよう制御することを特徴とする情報処理システム制御方法。
【0286】
(付記10)
前記携帯型記憶装置が、
該利用者の生体データ値を検出する生体センサと、
該利用者の所在雰囲気中の気象データを検出する気象センサと、
該利用者の体調を管理するための生体データ閾値を、気象条件毎に予め設定されて保持する閾値テーブルと、
該気象センサによって検出された気象データに対応する気象条件について設定された生体データ閾値を該閾値テーブルから検索して読み出す閾値読出手段と、
該閾値読出手段によって読み出された生体データ閾値と該生体センサによって検出された生体データ値とを比較する比較手段と、
該比較手段による比較の結果、該利用者本人であることが確認された場合に、本人確認情報を送出する制御手段と、を備え、
前記制御手段は、前記二次電池を電源として、該携帯型記憶装置が前記接続ポートに接続される以前もしくは接続される際に前記利用者の生体データ値を取得するよう制御することを特徴とする付記9記載の情報処理システム制御方法。
【0287】
(付記11)
前記携帯型記憶装置は、位置情報を取得する位置情報取得手段を備え、
前記制御手段は、前記二次電池を電源として、該携帯型記憶装置が前記接続ポートに接続される以前もしくは接続される際の位置情報を前記位置情報取得手段を介して取得するするよう制御することを特徴とする付記10記載の情報処理システム制御方法。
【0288】
(付記12)
前記認証サーバにおいて、前記利用者が正当な利用者であると認証されなかった場合には、前記携帯型記憶装置が記憶している前記ソフトウエアおよび前記データを消去するコマンドを、前記携帯型記憶装置が接続されている前記情報処理端末に与える、ことを特徴とする付記9〜11のいずれか一項に記載の情報処理システム制御方法。
【図面の簡単な説明】
【0289】
【図1】本発明の一実施形態としての情報処理システムの構成を示すブロック図である。
【図2】本実施形態の情報処理システムにおける情報処理端末および携帯型記憶装置の機能構成を示すブロック図である。
【図3】本実施形態の情報処理システムにおけるサーバ(認証サーバ/アクセス管理サーバ/個人情報管理サーバ)の機能構成を示すブロック図である。
【図4】本実施形態における個人情報探索手段の機能構成の第1例を示すブロック図である。
【図5】本実施形態における個人情報探索手段の機能構成の第2例を示すブロック図である。
【図6】本実施形態の情報処理システムにおける情報処理端末の動作を説明するためのフローチャートである。
【図7】本実施形態の情報処理システムにおけるサーバ(認証サーバ/アクセス管理サーバ/個人情報管理サーバ)の動作を説明するためのフローチャートである。
【図8】本実施形態の情報処理システムにおけるサーバ(認証サーバ/アクセス管理サーバ/個人情報管理サーバ)の動作を説明するためのフローチャートである。
【図9】本実施形態の情報処理システムにおける本人確認機能を有する携帯型記憶装置の構成を示すブロック図である。
【図10】本実施形態の情報処理システムにおける、情報処理端末と、本人確認機能を有する携帯型記憶装置の外観構成を示す外観図である。
【図11】本実施形態の情報処理システムにおける本人確認機能を有する携帯型記憶装置の動作を説瞑するためのフローチャートである。
【図12】個人情報探索手段において用いられる検疫テーブルの具体例と、タイトルヘッダの具体例を示す図である。
【図13】図4に示す個人情報探索手段の動作(第1探索手法)を説明するためのフローチャートである。
【図14】図5に示す個人情報探索手段の動作(第2探索手法)を説明するためのフローチャートである。
【図15】本実施形態のサーバの動作(個人情報管理サーバとしての動作)を説明するためのフローチャートである。
【符号の説明】
【0290】
100 情報処理システム
110A 情報処理端末(PC)
110B 処理部(CPU)
110C 入力部(キーボード,マウス)
110D 出力部(ディスプレイ)
110E 接続ポート
110F 記憶部(HD)
110G 送受信部
111 認識手段
112 認証要求手段
113 切換手段
114 復号鍵要求手段
115 復号化手段
116,116a 個人情報探索手段
116A 抽出手段
116B 計数手段
116C 判定手段
116D 検疫テーブル
1161 抽出手段
1162 切出手段
1163 第1判定手段
1163a 電話番号判定手段
1163b 電子メールアドレス判定手段
1163c 住所判定手段
1164 文字判定手段
1165 照合手段
1166 第2判定手段
1167 検疫テーブル
117 通知手段
120 携帯型記憶装置
121 コネクタ
120a 記憶部
120b 本人確認機能部
120c 二次電池
120d 太陽光発電部
130 サーバ(認証サーバ/アクセス管理サーバ/個人情報管理サーバ)
131 個人認証手段
132 装置認証手段
133 第二次認証手段
134 通知手段
135 記録手段
136 判定手段
137 復号鍵送信手段
138 調査手段
139 インストール手段
170 ネットワーク(インターネット,社内LAN)

【特許請求の範囲】
【請求項1】
少なくとも、各種処理を実行する処理部、前記処理部に対する情報入力を行なう入力部、前記処理部による処理結果を出力する出力部、および、前記処理部に外部装置を接続すべく前記外部装置側のコネクタを挿入される接続ポートを備える情報処理端末と、
各種のソフトウエアおよびデータを記憶する記憶機能を有すると共に、利用者の生体データ値を検出することで該利用者本人であることが確認された場合に本人確認情報を送出する本人確認機能を有し、前記接続ポートに前記外部装置として接続されうる携帯型記憶装置と、
前記情報処理端末に接続され、前記情報処理端末の前記接続ポートに接続された前記携帯型記憶装置についての認証を行なう認証サーバと、
前記情報処理端末に接続され、前記情報処理端末の該接続ポートに接続された前記携帯型記憶装置における暗号化情報に対するアクセスの管理を行なうアクセス管理サーバと、を備え、
前記情報処理端末が、
前記接続ポートに前記携帯型記憶装置が接続されたことを認識する認識手段と、
前記認識手段によって前記接続ポートに前記携帯型記憶装置が接続されたことを認識すると、前記携帯型記憶装置についての認証を前記認証サーバに対して要求する認証要求手段と、
前記認証要求手段による要求に応じて前記認証サーバによって実行された認証の結果、前記携帯型記憶装置および前記携帯型記憶装置の利用者の正当性が認証された場合、前記処理部による処理状態を、前記情報処理端末側に記憶されたソフトウエアおよびデータを用いて処理を行なう内部処理状態から、前記携帯型記憶装置に記憶された前記各種のソフトウエアおよびデータを前記携帯型記憶装置上で用いながら処理を行なう外部処理状態に切り換える切換手段とを備えて構成され、
前記認証サーバが、
前記情報処理端末から前記携帯型記憶装置についての認証要求を受けると、前記携帯型記憶装置の利用者によって前記情報処理端末の前記入力部から入力される個人認証情報に基づき前記利用者が正当な利用者であるか否かを判定して、前記利用者の第一次個人認証を行なう個人認証手段と、
前記情報処理端末から前記携帯型記憶装置についての認証要求を受けると、前記携帯型記憶装置から自動的に読み出される装置識別情報に基づき前記携帯型記憶装置が前記認証サーバの管理対象装置であるか否かを判定して、前記携帯型記憶装置の装置認証を行なう装置認証手段と、
前記携帯型記憶装置に記憶されているソフトウエア(以下、ログイン時ソフトウエアという)と前記携帯型記憶装置が情報処理端末に最後に接続されていた時に記憶されていたソフトウエア(以下、ログオフ時ソフトウエアという)との対照をとりこれらのソフトウエアが一致する否かを判定してソフトウエア認証を行うと共に、前記本人確認情報に基づき前記利用者の第二次個人認証を行なう第二次認証手段と、
前記個人認証手段によって前記利用者が正当な利用者であることが第一次個人認証され、且つ、該装置認証手段によって前記携帯型記憶装置が前記認証サーバの管理対象装置であることが認証され、且つ、前記第二次認証手段によって正当な利用者であることが第二次個人認証された場合、前記携帯型記憶装置および前記携帯型記憶装置の利用者の正当性が認証されたものと判断し、その旨を認証の結果として前記情報処理端末に対して通知する通知手段とを備えて構成され、
前記携帯型記憶装置が、
外部電源装置もしくは内蔵発電装置または前記接続ポートの少なくとも一つ経由で充電されうる二次電池を備え、前記二次電池を電源として、前記接続ポートに接続される以前もしくは接続される際に前記利用者の生体データ値を取得するよう構成され、
前記携帯型記憶装置において、前記各種のソフトウエアおよびデータのうち、所定のソ
フトウエア以外のソフトウエアおよびデータが、前記アクセス管理サーバによって管理される暗号鍵を用いて暗号化された暗号化情報として記憶され、
前記情報処理端末の前記処理部が、
前記認識手段によって前記接続ポートに前記携帯型記憶装置が接続されたことを認識すると、前記携帯型記憶装置における前記所定のソフトウエアを実行することにより、前記暗号化情報の利用者によって前記情報処理端末の前記入力部から入力される、前記暗号化情報ついての認証情報を送信し、前記アクセス管理サーバに対して前記暗号化情報に応じた復号鍵を要求する復号鍵要求手段、および、前記復号鍵要求手段の要求に応じて前記アクセス管理サーバから受信した前記復号鍵を用いて前記暗号化情報を復号化する復号化手段としての機能を果たすように構成され、
前記アクセス管理サーバが、
前記情報処理端末から前記暗号化情報についての認証情報を受けると、前記認証情報に基づき前記暗号化情報の利用者が正当な利用者であるか否かを判定する判定手段と、
前記判定手段によって前記暗号化情報の利用者が正当な利用者であると判定された場合、前記暗号化情報を復号化する復号鍵を前記情報処理端末に送信する復号鍵送信手段とをそなえて構成されている、
ことを特徴とする情報処理システム。
【請求項2】
前記携帯型記憶装置は、
該利用者の生体データ値を検出する生体センサと、
該利用者の所在雰囲気中の気象データを検出する気象センサと、
該利用者の体調を管理するための生体データ閾値を、気象条件毎に予め設定されて保持する閾値テーブルと、
該気象センサによって検出された気象データに対応する気象条件について設定された生体データ閾値を該閾値テーブルから検索して読み出す閾値読出手段と、
該閾値読出手段によって読み出された生体データ閾値と該生体センサによって検出された生体データ値とを比較する比較手段と、
該比較手段による比較の結果、該利用者本人であることが確認された場合に、本人確認情報を送出する制御手段と、を備え、
前記制御手段は、前記二次電池を電源として、該携帯型記憶装置が前記接続ポートに接続される以前もしくは接続される際に前記利用者の生体データ値を取得するよう制御する、
ことを特徴とする請求項1記載の情報処理システム。
【請求項3】
前記携帯型記憶装置は、位置情報を取得する位置情報取得手段を備え、
前記制御手段は、前記二次電池を電源として、該携帯型記憶装置が前記接続ポートに接続される以前もしくは接続される際の位置情報を前記位置情報取得手段を介して取得するするよう制御する、
ことを特徴とする請求項2記載の情報処理システム。
【請求項4】
前記認証サーバにおいて、前記利用者が正当な利用者であると認証されなかった場合には、前記携帯型記憶装置が記憶している前記ソフトウエアおよび前記データを消去するコマンドを、前記携帯型記憶装置が接続されている前記情報処理端末に与える、
ことを特徴とする請求項1乃至請求項3のいずれか一項に記載の情報処理システム。
【請求項5】
該認証サーバが、
該アクセス管理サーバとしての機能を併せもっている、
ことを特徴とする請求項1乃至請求項4のいずれか一項に記載の情報処理システム。
【請求項6】
該認証サーバが、
該携帯型記憶装置および該携帯型記憶装置の利用者の正当性が認証された場合、該情報処理端末の該処理部による処理状態が前記外部処理状態に切り換えられ該携帯型記憶装置が開かれたものと判断して、その旨を履歴として記録する記録手段をさらにそなえて構成されている、
ことを特徴とする請求項1乃至請求項5のいずれか一項に記載の情報処理システム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate

【図10】
image rotate

【図11】
image rotate

【図12】
image rotate

【図13】
image rotate

【図14】
image rotate

【図15】
image rotate


【公開番号】特開2008−65844(P2008−65844A)
【公開日】平成20年3月21日(2008.3.21)
【国際特許分類】
【出願番号】特願2007−264313(P2007−264313)
【出願日】平成19年10月10日(2007.10.10)
【分割の表示】特願2006−136101(P2006−136101)の分割
【原出願日】平成18年5月16日(2006.5.16)
【出願人】(592112938)クオリティ株式会社 (121)
【Fターム(参考)】