アクセス可能な電子文書を提供するアクセス制御装置
【課題】
更新・削除が制限され,グループ構造を持つ電子文書を,ユーザ属性だけでなく,事務処理のステータスも条件としてアクセス制御を判定するアクセス制御装置を備えた文書管理システムを提供する。
【解決手段】
本発明の文書管理システムでは,アクセス制御部41で,文書群・文書・XML項目というグループ単位でアクセス制御を実施する。また,各グループ単位のアクセス制御において,事務処理のステータスやアクセス制御情報を取得し,これらを用いてアクセス制御判定を行う。アクセス制御の条件を記述したポリシ情報やユーザの属性情報をポリシ情報管理部7で管理する。また,アクセス制御実施後,表示用データ作成装置30で文書の最新状態に加工する。
更新・削除が制限され,グループ構造を持つ電子文書を,ユーザ属性だけでなく,事務処理のステータスも条件としてアクセス制御を判定するアクセス制御装置を備えた文書管理システムを提供する。
【解決手段】
本発明の文書管理システムでは,アクセス制御部41で,文書群・文書・XML項目というグループ単位でアクセス制御を実施する。また,各グループ単位のアクセス制御において,事務処理のステータスやアクセス制御情報を取得し,これらを用いてアクセス制御判定を行う。アクセス制御の条件を記述したポリシ情報やユーザの属性情報をポリシ情報管理部7で管理する。また,アクセス制御実施後,表示用データ作成装置30で文書の最新状態に加工する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は,更新と削除を制限される電子文書の文書管理システム,アクセス制御方法,表示方法に関する。
【背景技術】
【0002】
従来,データベースに保存されている電子文書を取得するために,ユーザは,クライアントとなるコンピュータ端末を使用し,インターネットやLAN(Local Area Network)を経由してデータベースサーバにアクセスし,電子文書の提供を受けている。データベースの管理者は,通常,許可していないユーザのアクセスを拒否できるように電子文書の管理を行っている。アクセス制御を行う際のルールをポリシと呼び,ポリシは,例えば,ユーザ名や職業,役職などの属性に基づいて決定される。
【0003】
近年,電子文書の一例として,XML(eXtensible Markup Language)で書かれた電子文書,XML文書が利用され始めている。XML文書は,文書作成者によって独自に定義されたタグを用いて,内容を要素に分け,構造化することができる。そのため,例えば,XML文書の特定の要素へのアクセスを拒否するといった,要素単位でのアクセス制御が可能となる。
【0004】
しかしながら,従来,アクセス可否を判定する際に用いられるポリシはアクセス制御対象のXML文書内に記述されていた。そのため,属性の新規作成,更新や削除や,要素の新規作成,更新や削除などの,ポリシやXML文書の変化に応じて,XML文書を修正する必要があり,XML文書の管理が困難であった。
【0005】
この課題に対して,電子文書について,アクセス制御対象のXML要素や利用者属性が追加・削除・変更された場合でも、XML要素毎のアクセス制御を可能とすることを目的とする技術がある(特許文献1,段落0006,0007,0013参照)。この技術では,XML文書の要素毎に,ユーザのアクセス可否を示す制限情報をアクセス制限情報記憶手段(利用者属性データベース)に記憶しておき,クライアントのユーザがリクエストしたXML文書の要素がアクセス可能であるかを制限情報に基づいて確認し,アクセス不可の要素を削除したXML文書をクライアントに提供する。
【0006】
一方,従来,紙文書として保管されていた文書の原本を,電子文書によって保管しようとする場合に,保管する組織や機関がその原本性を確保するためにどうすればよいか,が検討されている(例えば,非特許文献1)。非特許文献1には,原本性を確保するためには,改ざん防止機能が必要であること,より具体的には,保存期間内の電子文書データ(原本データ)は,変更・上書き・削除ができないようにし,データを変更する際は追記とすること,改変された文書を新しい版とすることで,文書の改変履歴や古い版の参照を可能とすること,等が記されている。
【0007】
非特許文献1に記載されている要件に従うと,新規文書の追加,文書の読み出しのみが許可され,更新や削除に関しては,それらの情報を記述した文書が作成される。また,これらの文書は,ユーザの属性や事務処理の進行状況や,特定の文書へのアクセスを制限するアクセス制御情報により,アクセス可否が判定される。
【0008】
【特許文献1】特開2005−275759号公報
【非特許文献1】“原本性保証システムガイドライン(9ページ,5.2改ざん防止機能(1)書換・消去不可機能)”[online],2001年3月,財団法人ニューメディア開発協会,[2007年6月4日検索],インターネット<URL:http://www.nmda.or.jp/nmda/soc/pdf/genpon_guide.pdf>
【発明の開示】
【発明が解決しようとする課題】
【0009】
非特許文献1に記されている要件を満たす文書管理システムにおいて,特許文献1に記載されているアクセス制御を行うとすると,以下に述べるいくつかの課題が生じる。
【0010】
特許文献1が開示する技術では,ユーザの属性毎のアクセス制御情報により,電子文書に対するアクセス制御を行う。しかし,本発明の対象となる利用環境では,電子文書に対するアクセス可否を判定する条件として,利用者属性データベースに格納されているユーザの属性だけでなく,特定文書(事務処理の進行状況,例外的なアクセス制御情報)を参照することがある。このような場合は,これらの特定文書の存在や内容を確認する処理が必要となり,アクセス制御が複雑となり,処理に時間が掛かるようになる。
【0011】
また,非特許文献1に記されている要件を満たす文書管理システムで扱われる電子文書は,XML文書のように独自に定義した要素により構造化された文書と,対象となる文書に関係する一連の事務処理に関連する文書とをまとめ,文書群というグループを構成することがある。
【0012】
しかしながら,文書群単位でアクセス制御を実施すると,アクセス制御情報が記述された文書そのものがアクセス制限され,アクセス制御を行う前に,当該アクセス制御情報が削除され,アクセス制限が機能しなくなるおそれがある。
【課題を解決するための手段】
【0013】
本発明は,電子文書管理システムにおける,正しいアクセス可否判定技術,および,高速なアクセス可否判定技術を提供する。
【0014】
本発明の一態様は,文書DBを備えた文書管理システムに於いて,電子文書要求に応じて,前記文書DBに登録された電子文書群を構成する電子文書のうち,アクセス可能な電子文書を提供するアクセス制御装置である。
【0015】
本発明が前提とする電子文書DBは,各々の前記電子文書の内容修正手段を備えないものであり,本発明が扱う電子文書群には,起点となるルート電子文書と,前記ルート電子文書または前記ルート電子文書への処理指示電子文書に対する,他の処理指示電子文書とが,互いに関連づけられて含まれ,前記電子文書群の最新の状態は,前記ルート電子文書または前記ルート電子文書への処理指示電子文書の構成要素に対する,他の前記処理指示電子文書に記載された処理指示の反映により,表現されることを特徴とする。
【0016】
さらに,本発明が提供するアクセス制御装置が備えるアクセス制御部は,前記電子文書群において,アクセス制御情報を含む処理指示電子文書の複数に対して,他の処理指示電子文書によるアクセス制御の対象か非対象かに係わらず,アクセスを行い,含まれる前記アクセス制御情報を取得し,取得した前記アクセス制御情報に基づく複数のアクセス制御判定結果を出力するアクセス制御判定部と,前記複数のアクセス制御判定結果を結合し,前記結合結果に基づき,アクセス可能な電子文書で構成された,アクセス可能電子文書群を,前記電子文書要求への応答として出力する結果結合部と,を備えることを特徴とする。
【0017】
上記構成により,アクセス制御判定部は,アクセス不許可と判断される処理指示文書に記されているアクセス制御情報であっても,取得することが可能になり,取得したアクセス制御情報を結果結合部が結合することにより,正確なアクセス制御判定に基づく,アクセス可能電子文書群の取得が可能になる。
【0018】
より具体的には,前記アクセス制御装置の前記アクセス制御部は,前記複数のアクセス制御判定として,前記電子文書群に含まれる,アクセス制御情報を含む処理指示電子文書に対するアクセス制御判定と,当該処理指示電子文書を構成する構成要素に対するアクセス制御判定と,を独立して,例えば,並行に行うものである。
【0019】
上記構成により,電子文書群が,アクセス制御対象となる,電子文書とその構成要素からなる場合であっても,漏れのないアクセス制御情報の取得と,正確なアクセス制御判定と,が可能になる。
【0020】
また,前記アクセス制御装置の前記アクセス制御部は,前記ポリシ管理部が管理するポリシ情報と,前記クライアントを利用するユーザIDとを参照し,前記ルート電子文書に対するアクセス制御判定を行い,前記判定結果が,アクセス不許可である場合は,アクセス制御情報を含む前記処理指示電子文書へのアクセスと,当該アクセスにより取得するアクセス制御情報に基づく前記アクセス制御判定と,を省略し,受信した前記電子文書要求に対して,アクセス不許可を応答することを特徴とする。
【0021】
この構成により,電子文書群全体がアクセス不許可の場合に,高速応答が可能になる。
【0022】
上記態様によれば,アクセス制御情報を記述した文書を削除することがないので,アクセス制御を確実に行うことが可能になる。
【0023】
また,アクセス不許可の判定結果を得た層より下位の層の,アクセス制御の判定と実行を省略することで,クライアントに対して結果を早く応答することができるため,利便性が向上する。
【発明の効果】
【0024】
本発明によれば,電子文書へのアクセス制御機能を備えた文書管理システムに於いて,アクセス制御判定を簡単に行うことができる。
【発明を実施するための最良の形態】
【0025】
本実施形態では,ある組織に対して,外部の申請者が文書を提出して処理を申請し,提出された文書が組織内部で処理され,提出された文書や内部処理結果を外部の第三者が申請により閲覧できる,という文書管理システムについて説明する。なお,本明細書を通じて,文書とは,ディジタル化された電子文書を指す。
【0026】
図1は,本発明の一実施形態である文書管理システムの構成を示すブロック図の一例である。
【0027】
クライアント10は,文書を要求するユーザ端末である。ユーザとして,外部から文書を閲覧する一般利用者,外部から文書を申請する申請者,文書管理システムで業務を行う職員が存在する。図1ではクライアント10として1台示しているが,上記ユーザの種類別に複数のクライアント10が接続されることが望ましい。
【0028】
ネットワーク20はインターネットやLANであり,一般利用者,申請者,職員は,それぞれ異なるクライアント10を用いネットワーク20を経由して文書管理システムと通信し,処理を行う。
【0029】
表示用データ作成装置30は,クライアント10に要求された文書を最新の状態に加工する装置である。文書データ解析部32は、アクセス制御装置40から取得した文書群の中に存在する更新・削除に関する文書(処理指示文書)から,文書を修正するための情報を解析する。文書データ加工部33は、文書の要素の書き換えや削除を行う。そして,最新状態にした文書をクライアント10に送信する。また,アクセス制御装置40からユーザから要求された文書がアクセス不許可である結果を取得した場合は,エラー結果をクライアント10に送信する。
【0030】
アクセス制御装置40は,文書DB50から取得した文書群のアクセス制御を行い,アクセス不許可部分を削除して,表示用データ作成装置30に送信する。アクセス制御装置40は,アクセス制御部41,ポリシ管理部42,属性情報DB43,ポリシ情報DB44から構成される。
【0031】
ポリシ管理部42は,属性情報DB43やポリシ情報DB44で管理される情報の作成や更新を行う。また,アクセス制御部41がアクセス制御を行う際に,アクセス制御に必要な属性情報DB43やポリシ情報DB44の情報をアクセス制御部41に送信する。
【0032】
属性情報DB43は,ユーザを一意に識別するユーザIDに属性を付与し,それをリスト化した属性情報を保存している。本実施形態の文書管理システムでは,ユーザの属性には,一般利用者,申請者,職員の3種類があり,職員には更に役職・所属に関する属性も付与される。
【0033】
ポリシ情報DB44は,アクセス制御を実施する上でのポリシを記述した,アクセス制御リストを保存している。ポリシは,各文書群,文書,文書要素にアクセスできる条件が各ユーザ属性に対してリスト化して記述されている。
【0034】
アクセス制御部41は,文書DB50から取得した文書群にポリシ管理部42から取得した属性情報とポリシに基づいて,アクセス制御を行う。アクセス制御部41は,応答制御部45,文書群アクセス制御判定部46,文書アクセス制御判定部47,XML要素アクセス制御判定部48,結果結合部49から構成される。
【0035】
応答制御部45は,ポリシ管理部42から取得した属性情報を参照し,アクセス制御前の段階で取得したユーザIDでユーザの属性を確認する。ユーザIDは、図6に示す文書要求401に含まれている。
【0036】
応答制御部45は,ユーザの属性とポリシ管理部42から取得したポリシとを文書群アクセス制御判定部46,文書アクセス制御判定部47,XML要素アクセス制御判定部48からの要求に応じて,各部に送信する。
【0037】
文書群アクセス制御判定部46は,ユーザから要求された文書が含まれる文書群のアクセス可否をユーザの属性とポリシに基づいて判定する。アクセス可の場合は文書群を文書アクセス制御判定部47とXML要素アクセス制御判定部48に送信する。アクセス不許可の場合はエラー結果を表示用データ作成装置30に返す。
【0038】
文書アクセス制御判定部47は,文書群に含まれる全ての文書のアクセス可否をユーザの属性とポリシに基づいて判定する。アクセス不許可の文書があった場合は,不許可文書のIDを結果結合部49に送信する。
【0039】
XML要素アクセス制御判定部48は,文書群に含まれる文書のXML要素のアクセス可否をユーザ属性とポリシで判定する。アクセス不許可のXML要素があった場合は,アクセス不許可のXML要素が含まれる文書の文書IDとXML要素名を結果結合部49に送信する。
【0040】
結果結合部49は,文書アクセス制御判定部47,XML要素アクセス制御判定部48から送信されたアクセス不許可の文書IDとXML要素名を元に,アクセス不許可部分を削除,あるいは他の文字に置き換え,アクセス可能な文書群に加工し,アクセス制御済文書群として,表示データ作成装置30に送信する(詳細は後述する)。
【0041】
文書DB50は,文書管理システムで扱われる文書を保存しているデータベース装置である。本実施形態の文書管理システムでは,扱う文書の修正を許可しない。そのため,文書全体や文書の項目の更新や削除を制限するために,文書DB50に用いる記録媒体として,書き込みは出来るが消去ができない追記型と呼ばれるもの(例えば,DVD−R)を用いることが望ましい。ただし,これ以外の技術を用いても実現しても構わない。
【0042】
修正を許可しない,という前提のため,文書の最新の状態は,ルート文書またはルート電子文書への処理指示文書の構成要素に対する,他の処理指示文書に記載された処理指示の反映により,表現する。
【0043】
したがって,本実施形態の文書管理システムでは,起点となるルート文書と,ルート文書またはルート文書への処理指示文書に対する,他の処理指示文書とが,互いに関連づけられた電子文書群を処理対象とする。
【0044】
図1に示すクライアント10,表示用データ作成装置30,アクセス制御装置40,文書DB50は,例えば,図2に示す一般的な情報処理装置を用いて実現することが可能である。図2のハードウェア構成図に示す通り,情報処理装置は,CPU12と,メモリ13と,図1に示すネットワーク20を介して他の装置と通信を行うための通信装置14と,キーボードやマウス等の入力装置15と,モニタやプリンタ等の出力装置16と,読取装置17と,ハードディスク等の外部記憶装置18とが,バスなどの内部通信線11を介して接続されている。
【0045】
また,読取装置17にはICカードやUSBメモリのような,可搬性を有する記憶媒体19を接続することができる。以下に説明する各装置の各機能(処理部)は,これらの機能を実装したプログラムをメモリ13上にロードし,それをCPU12が実行することにより実現できる。
【0046】
また,アクセス制御装置40における属性情報DBとポリシ情報DB,および,文書DB50は,それぞれ一つ以上の外部記憶装置18を用いることにより実現できる。
【0047】
また,各プログラムは,予め外部記憶装置18に格納されていても良いし,必要なときに,上記情報処理装置が利用可能な媒体を介して、他の装置から外部記憶装置18に導入されてもよい。媒体とは、たとえば、読取装置17を用いて利用可能な記憶媒体19、または通信装置14を用いて利用可能な通信媒体(すなわちネットワーク20またはネットワーク20を伝搬する搬送波やディジタル信号)を指す。
【0048】
図3に本実施形態で扱う文書の書式を例示する。
【0049】
図3(a)は,文書管理システムで扱われる文書のフォーマット例101である。本実施形態において,文書とは独自に定義された要素から構造化された電子文書で,フォーマット例101では,XMLで記述され,複数のXML要素から構成されている。文書ID1011,ルート文書ID1012,親文書ID1013,文書名1014,提出日1015のXML要素は,全ての文書に共通に含まれる。文書ID1011は,文書を一意に識別するためのXML要素である。ルート文書ID1012は,一連の業務に関連する文書群の中で,処理の起点となる文書の文書IDを示したXML要素である。親文書ID1013は,自身の文書の親となる文書の文書IDを示したXML要素である。文書名1014は,文書の種類を識別するための名称を示したXML要素である。提出日1015は,文書が文書管理システムに登録された日付を示したXML要素である。それぞれの文書には,前述した共通するXML要素の次に,文書内容を記述したXML要素1016が続き,XML要素名を文書名とする。さらに,文書内容を記述したXML要素1016は,様々な項目のXML要素1017から構成され,それぞれの項目には独自のXML要素名が付く。また,文書の中には,外部の申請人が作成する申請文書と職員が作成する内部文書があり,それぞれ様々な種類の文書がある。以下にその一例を示す。
【0050】
図3(b)は,外部の申請人が提出する提出文書102の一例で,申請人の名前を示した要素,申請人が提出する内容を示した要素から構成されている。提出文書102には,ルート文書や親文書が存在しない。これは,申請人が作成する申請文書である。
【0051】
図3(c)は,申請人が提出した文書に関連する業務が職員によって終了したことを表す完了書103の一例で,完了処理の内容を示した要素から構成されている。これは,職員が作成する内部文書である。
【0052】
図3(d)は,過去に登録した文書に対して,文書を処理した職員の上長の決裁が下りたこと示す決裁書104の一例で,決裁者の名前を示した要素,決裁内容を示した要素から構成される。これは,職員が作成する内部文書である。
【0053】
図3(e)は,一般利用者や申請者が閲覧するのに不適切な文書群,文書,XML要素があった場合にその閲覧禁止内容を示す閲覧禁止書105の一例で,閲覧禁止範囲(文書群,文書,XML要素の何れか)を示した要素,閲覧禁止となった理由を示した要素から構成される。これは,職員が作成する内部文書である。
【0054】
図3(f)は,過去に登録した文書に削除したい内容がある場合に職員や申請者が作成する取消書106の一例で,取消範囲(文書群,文書,XML要素の何れか)を示した要素,取消対象の名称(文書群,文書ID,XML要素名の何れか)を示した要素から構成される。職員が作成した場合は,内部文書,申請者が作成した場合は,申請文書となる。
【0055】
図4は,一連の業務に関連する文書群の構造を例示する図である。
【0056】
図4(a)は,文書群の木構造を示す。申請者から送信される申請文書201がルート(根)文書となり,追加された処理指示文書(202〜212)が,分岐した枝それぞれにおいて,処理の流れに従って順に繋がり,親子関係を持つ。
【0057】
これらの親子関係を,図4(b)に示す管理テーブルで管理する。管理テーブルは,例えば,ルート文書IDを識別子として,文書DB50に格納すればよく,新たな電子文書を電子文書群に追加する際には,ルート文書IDをキーとして,対象となる管理テーブルを検索し更新すればよい。
【0058】
新たな電子文書は,クライアント10を操作する職員または一般利用者,申請者が追加作成するものであるから,クライアント10から文書が要求された場合には,アクセス制御装置40,表示用データ作成装置30は,電子文書群と併せて管理テーブルも取得し,クライアント10に応答することにより,管理テーブルの更新も可能になる。
【0059】
図4では,申請文書201,補正文書206のように,申請者が操作するクライアント10から受け付けた文書を2重線枠で示す。申請文書201,補正文書206には,申請を受け付けた職員による,受付処理に関連する業務が終了したことを表す完了書207,完了書209を付与する。
【0060】
文書を受け付けた組織(機関)内部の文書を一重線枠で示す。内部文書の中でいくつかは,承認者の決裁が下りたことを示す決裁書(204,208,210)が付与されることで,有効な文書となる。
【0061】
また,文書または文書群を一般利用者に公開できる段階になると,文書群全体を公開の対象とする公開書211が付与される。ただし,文書群が公開可能になった場合でも,公開が許可されない文書がある場合は,個別にアクセス制御が行われる。
【0062】
完了書207,完了書209,公開書211は,業務の状況を表す文書となる。
【0063】
また,各文書に,一般利用者や申請者が閲覧するのに不適切な文書やXML要素があった場合,職員が,禁止対象者と,禁止対象文書または項目を指定した閲覧禁止書203を発行する。閲覧禁止書203が発行されると,たとえば,一般利用者は全文書の内容や項目が閲覧禁止になり,申請者は内部文書の内容や項目が閲覧禁止となる。図4では,審査指令書202には閲覧禁止書203が発行されているため,文書全体あるいはXML要素が一般利用者や申請者に閲覧されないように処理される。具体的には,たとえば,他の文字への置き換え処理を行う。
【0064】
また,仕様として,各文書の訂正や削除を禁じているので,訂正や削除が必要な場合は,補正文書206や取消書212を職員や申請者が作成して追加する。図4では,公開書211は,取消書212が発行されているので,有効ではなくなる。取消書が付与されていない文書(もし,決裁書を必要とする場合は,さらに,決裁書が付与されている文書)を有効な文書と呼ぶ。
【0065】
図5は,アクセス制御リストの構成を例示する図である。
【0066】
図5(a)は,ポリシ管理部42が保存しているXMLで記述されたポリシ(アクセス制御リスト(ACLと略す)という)のフォーマット例301である。各文書群のアクセス制御のポリシを記述した文書群ACL302,各文書のアクセス制御のポリシを記述した文書ACL303,各XML要素のアクセス制御のポリシを記述したXML要素ACL304のように,構造化された各グループのポリシから構成されている。ACLのバージョンの管理はポリシ管理部で行う。
【0067】
図5(b)は,文書群ACLの一例302で,ある案件の文書群に対する,各ユーザ属性におけるアクセス可の条件を示すポリシが例示されている。図5(b)のポリシ例によれば,属性が一般利用者であるユーザは,文書群の中に公開書があり,さらに文書群全体に対する閲覧禁止書が存在しない場合,当該案件の文書群にアクセスすることができる。属性が申請者や職員であるユーザは,文書群の中の文書に関係なく,全ての場合で当該案件件の文書群にアクセスすることができる。
【0068】
図5(c)は,文書ACLの一例303で,提出文書に対するポリシが例示されている。図5(c)のポリシ例によれば,各ユーザ属性が,アクセス可の条件である一般利用者であるユーザは,文書群の中に完了書があり,さらに該当する提出文書に対する閲覧禁止書が存在しない場合,提出文書にアクセスすることができる。属性が申請者や職員であるユーザは,文書群の中の文書に関係なく,全ての場合で事件の文書群にアクセスすることができる。
【0069】
図5(d)は,XML要素ACLの一例304で,個人情報のXML要素に対するポリシが例示されている。図5(d)のポリシ例によれば,各ユーザ属性が,アクセス可の条件である一般利用者であるユーザは,アクセス可の条件が指定されていないため,個人情報のXML要素にアクセスすることができない。属性が申請者や職員であるユーザは,全ての場合で事件の文書群にアクセスすることができる。
【0070】
図6〜図8は,クライアント10が文書を要求してから,システムが結果を返すまでのデータと処理を処理階層別に表したシーケンス図である。
【0071】
図6について説明する。クライアント10は,クライアント10の出力装置16に表示されている文書名を選択し,クライアント10の利用者の識別子を伴う文書管理システムに文書要求(文書名)401を出す。
【0072】
表示用データ作成装置30の応答制御部31は,クライアント10から取得した文書要求401に含まれる文書名を,対応する文書ID402に変換した,文書要求を文書DB50に送信する。
【0073】
文書DB50は,要求された文書ID402を備える文書について文書DB50で記憶している文書を検索し,該当する文書を取得する。取得した文書に記述されているルート文書IDを確認し,そのルート文書IDが記述されている文書についてさらに検索し,取得する。取得した全ての文書は,ルート文書とルート文書または他の処理指示文書を親とする処理指示文書が,図4(b)の管理テーブルに基づく,図4(a)のような構成を持つ文書群である。
そして,アクセス制御装置40に文書応答(文書群)を出す。
【0074】
アクセス制御装置40は,表示用データ作成装置30がクライアント10から取得した,クライアント10のユーザ識別子を取得し,ポリシ管理部42からルート文書IDに基づきアクセス制御情報を取得し(404),文書DB50から取得した文書群にアクセス制御を行う(405)。その結果,部分的に削除あるいは他の文字に置き換えられたアクセス制御済文書群406が作成され,それらを表示用データ作成装置30に送信する。
【0075】
表示用データ作成装置30では,アクセス制御済文書群406の中に含まれている文書の更新や削除に関する文書からユーザから要求された文書を修正するための情報を参照し,文書を最新の状態に加工し(407),加工した文書408をクライアント10に送信する。
【0076】
図7は,図6のアクセス制御装置40アクセス制御情報取得404を詳細に説明したシーケンス図である。アクセス制御部41は,ポリシ管理部42に属性情報とACLの要求501を出す。
【0077】
ポリシ管理部42は,属性情報とACLの要求501を受けて,属性情報要求502を属性DB8に,ACL要求をポリシDB9に出す。要求を受けて,属性DB8は,最新の属性情報503をポリシ管理部に送信し,ポリシDB9は,最新のACLをポリシ管理部に送信する。ポリシ管理部42は,取得した属性情報とACL506をアクセス制御部41に送信する
図8は,図7のアクセス制御部41を詳細に説明したシーケンス図である。応答制御部45は,ポリシ管理部42から取得した属性情報,ACL602を,文書DB50は文書群601を,それぞれ文書群アクセス制御判定部46に送信する。
【0078】
文書群アクセス制御判定部46は,送信された文書群601に対し,属性情報とACL602に基づいたアクセス制御判定を実施する(603)。文書群601中の全ての文書がアクセス不許可の場合は,次のアクセス制御に進まず,応答制御部45を介して,表示用データ作成装置30にアクセス不許可というエラー604を返す。文書群601にアクセス可の場合は,文書群アクセス制御判定部46は文書群601をそれぞれ,文書アクセス制御判定部47とXML要素アクセス制御判定部48,結果結合部49に送信する。
【0079】
文書アクセス制御判定部47は,文書群アクセス制御判定部46から送信された文書群601と,属性情報とACL606に基づいてアクセス制御判定を実施する(607)。アクセス制御判定の結果,アクセス不許可となった文書ID608を結果結合部49に送信する。
【0080】
XML要素アクセス制御判定部48は,文書群アクセス制御判定部46から送信された文書群601と,属性情報とACL610に基づいてアクセス制御判定を実施する(611)。アクセス制御判定の結果,アクセス不許可となったXML要素の文書ID,XML要素名613を結果結合部49に送信する。
【0081】
結果結合部49は,送信された文書ID608とXML要素の文書ID,XML要素名613を参照して,文書群601のアクセス不許可部分を削除あるいは他の文字に置き換え,アクセス制御結果を結合する(614)。
【0082】
図9は,図4に示す文書群を構成している,文書と,各文書中のXML要素と,各XML要素の中をさらに構造化した要素と,をそれぞれ異なる階層に位置づけ,各階層間の関係を木構造で示した模式図である。この木構造をあらわすデータは,図4(b)に示す管理テーブルと併せて,アクセス制御装置40,表示用データ作成装置30が作成,管理すればよい。
データ群は,複数の階層より構成され,701から713は各階層の構成要素である。このデータ群を本実施形態の文書管理システムで扱われる文書に適応させると,第一階層は申請した文書に関係する一連の事務処理に関連する文書をまとめた文書群になる。第二階層は文書,第三階層は文書のXML要素になる。第四階層以降は,各XML要素の中をさらに構造化した要素になる。図9の点線部分はアクセス不許可であることを示し,ある階層の要素がアクセス不許可となるとその要素の下位層全てもアクセス不許可となる。例えば,第二階層にある要素703がアクセス不許可であるため,下位層の要素707,708,712もアクセス不許可となっている。
【0083】
図9では,要素703の文書には要素706の文書に関するアクセス制御情報が記述され,要素710の文書には要素711の文書に関するアクセス制御情報が記述されているものとする。
【0084】
従来技術のように階層順にアクセス制御を行うと,第2階層に対するアクセス制御で703を親とする枝,第3階層に対するアクセス制御で705を親とする枝がアクセス不許可となる。そのため,従来技術の課題として述べたように,第3階層に対するアクセス制御,第4階層に対するアクセス制御で,欠落するアクセス制御情報が存在し,706,711のアクセス制御を適切に行うことができない。
【0085】
図10は,図9のデータ群に対するアクセス制御処理を示したフローチャートである。図9の第一階層には,アクセス制御情報とアクセス制御対象の要素が含まれていないので,第一階層アクセス制御801を最初に行う。第一階層の全ての要素がアクセス不許可だった場合,他の階層のアクセス制御を省略することができるため,他の場合と比較して応答処理が早くなる。
【0086】
一方,図9の第二階層以降で,アクセス制御情報とアクセス制御対象の要素が含まれ,互いに影響し合う階層について,アクセス制御を並列に行う。そして,アクセス制御結果結合805で,並列に行ったアクセス制御の結果を結合する図10では,第二階層802〜第四階層804が該当すると仮定している)。
【0087】
続けて,アクセス制御情報とアクセス制御対象の要素が含まれていない下位層のアクセス制御を,第n階層アクセス制御806まで行う。
【0088】
図11は,図10のフローチャート図を文書群,文書,XML要素というデータ構造に応用し,図8の文書群アクセス制御,文書アクセス制御,XML要素アクセス制御の判定処理を説明したフローチャート図である。また、図12は、アクセス制御結果結合の処理を説明したフローチャート図である。
【0089】
図11のS01からS05が文書群アクセス制御判定,S06からS11が文書アクセス制御判定,S12からS17がXML要素アクセス制御判定,S18からS19がアクセス制御判定結果結合の処理である。
【0090】
また、図11、図12の処理を図10に対応させると、S01からS05が第一階層アクセス制御801、S06からS11が第二階層アクセス制御802、S12からS17が第三階層アクセス制御803、S18からS19がアクセス制御結果結合805に当たる。
【0091】
文書群アクセス制御判定部46は,文書群の中の処理指示文書に,文書群を取消範囲とする有効な取消書があるかどうかタグを検索して確認する(S01)。取消書がある(文書群中の全ての文書が取り消されている)場合,要求する文書は存在しないことになるので,エラーを返す(S21)。
【0092】
取消書がない場合,文書群を閲覧禁止範囲とする閲覧禁止書があるかどうかタグを検索して確認する(S02)。閲覧禁止書があり,かつアクセス要求ユーザの属性が一般利用者である場合,文書群にアクセス不許可なのでエラーを返す(S21)。
【0093】
上記条件と一致しない場合,文書群ACLにユーザ属性に対するアクセス可の条件が存在するかどうか確認する(S03)。アクセス可の条件がない場合,エラーを返す(S21)。アクセス可の条件がある場合,条件を満たしているか確認する(S04)。具体的には,アクセス可の条件となる有効な文書の有無を確認する。アクセス可の条件を満たしていない場合,エラーを返す(S21)。
【0094】
アクセス可の条件を満たしている場合,文書群を文書アクセス制御判定部47とXML要素アクセス制御判定部48に送信する(S05)。文書アクセス制御判定部47とXML要素アクセス制御判定部48は独立して,処理を行う。
【0095】
文書群を受信した文書アクセス制御判定部47は,文書群の中に文書を取消範囲とする有効な取消書があるかどうかタグを検索して確認する(S06)。取消書がある場合,取消対象の文書IDを保存する(S07)。取消書がない場合は,S08に進む。文書を閲覧禁止範囲とする閲覧禁止書があるかどうかタグを検索して確認し,かつ見つかった閲覧禁止書の有効性をS07で保存した取消対象文書IDと決裁書から確認する(S08)。
【0096】
有効な閲覧禁止文書がある場合,閲覧禁止対象の文書IDを保存する(S09)。有効な閲覧禁止書がない場合は,S10に進む。ユーザ属性に対するアクセス可の条件(文書ACLに記述されている)を満たしていない文書の文書IDを保存する(S10)。アクセス不許可の文書IDを結果結合部に送信する(S11)。
【0097】
並行して文書群を受信したXML要素アクセス制御判定部48は,文書群の中にXML要素を取消範囲とする有効な取消書があるかどうかタグを検索して確認する(S12)。取消書がある場合,取消対象のXML要素の文書IDとXML要素名を保存する(S13)。取消書がない場合は,S14に進む。XMLを閲覧禁止範囲とする有効な閲覧禁止書があるかどうかタグを検索して確認する(S14)。
【0098】
閲覧禁止書があった場合は,閲覧禁止対象のXML要素の文書IDとXML要素名を保存する(S15)。閲覧禁止書がない場合は,S16に進む。ユーザ属性に対するアクセス可の条件(XML要素ACLに記述されている)を満たしていないXML要素の文書IDとXML要素名を保存する(S16)。アクセス不許可のXML要素の文書IDとXML要素名を結果結合部に送信する(S17)。
【0099】
結果結合部49は,アクセス制御判定結果結合処理として,文書アクセス制御判定部47から送信されたアクセス不許可の文書IDから各当する文書を間引き,併せて,XML要素アクセス制御判定部48から送信されたアクセス不許可のXML要素の内容を他の文字に置き換え(マスクし)(S18),アクセス制御判定結果結合の済んだ文書群を表示用データ作成装置30に送信する(S19)。
【0100】
表示用データ作成装置30は,文書群の取消書と補正書を反映し,要求された文書を最新の状態に加工し,表示したり印刷したりすることにより,要求者に提供する(S20)。
【0101】
もし,第四階層の各XML要素が,アクセス制御情報とアクセス制御対象の要素が含まれていない構造化された要素で構成されている場合は,S18,S19において,これらn階層のアクセス制御806も併せて行う。
【0102】
本発明は,上記実施形態で説明した,データの更新や削除が制限された電子文書管理システムに限らず,XML文書だけでなく,グループ構造を持つ電子文書のアクセス制御システムに広く適用可能である。
【図面の簡単な説明】
【0103】
【図1】本実施形態による文書管理システムの構成を示すブロック図である。
【図2】クライアントのハードウェア構成を示したブロック図である。
【図3】実施形態で扱う文書を例示する模式図である。
【図4】業務に関連する文書の構造を例示する図である。
【図5】各アクセス制御リスト(ACL)のフォーマットを例示する模式図である。
【図6】クライアントが文書を要求してから,文書を取得するまでのデータの流れを示したシーケンス図である。
【図7】アクセス制御情報を取得する際のデータの流れを示したシーケンス図である。
【図8】アクセス制御を実施する際のデータの流れを示したシーケンス図である。
【図9】木構造のデータ群を示した模式図である。
【図10】木構造のデータ群のアクセス制御処理を示したフローチャート図である。
【図11】文書群のアクセス制御処理を示したフローチャート図である。
【図12】文書群のアクセス制御結果結合処理を示したフローチャート図である。
【符号の説明】
【0104】
10:クライアント
20:ネットワーク
30:表示用データ作成装置
31:応答制御部
32:文書データ解析部
33:文書データ加工部
40:アクセス制御装置
41:アクセス制御部
42:ポリシ管理部
43:属性情報DB
44:ポリシ情報DB
45:応答制御部
46:文書群アクセス制御判定部
47:文書アクセス制御判定部
48:XML要素アクセス制御判定部
49:結果結合部
50:文書DB
【技術分野】
【0001】
本発明は,更新と削除を制限される電子文書の文書管理システム,アクセス制御方法,表示方法に関する。
【背景技術】
【0002】
従来,データベースに保存されている電子文書を取得するために,ユーザは,クライアントとなるコンピュータ端末を使用し,インターネットやLAN(Local Area Network)を経由してデータベースサーバにアクセスし,電子文書の提供を受けている。データベースの管理者は,通常,許可していないユーザのアクセスを拒否できるように電子文書の管理を行っている。アクセス制御を行う際のルールをポリシと呼び,ポリシは,例えば,ユーザ名や職業,役職などの属性に基づいて決定される。
【0003】
近年,電子文書の一例として,XML(eXtensible Markup Language)で書かれた電子文書,XML文書が利用され始めている。XML文書は,文書作成者によって独自に定義されたタグを用いて,内容を要素に分け,構造化することができる。そのため,例えば,XML文書の特定の要素へのアクセスを拒否するといった,要素単位でのアクセス制御が可能となる。
【0004】
しかしながら,従来,アクセス可否を判定する際に用いられるポリシはアクセス制御対象のXML文書内に記述されていた。そのため,属性の新規作成,更新や削除や,要素の新規作成,更新や削除などの,ポリシやXML文書の変化に応じて,XML文書を修正する必要があり,XML文書の管理が困難であった。
【0005】
この課題に対して,電子文書について,アクセス制御対象のXML要素や利用者属性が追加・削除・変更された場合でも、XML要素毎のアクセス制御を可能とすることを目的とする技術がある(特許文献1,段落0006,0007,0013参照)。この技術では,XML文書の要素毎に,ユーザのアクセス可否を示す制限情報をアクセス制限情報記憶手段(利用者属性データベース)に記憶しておき,クライアントのユーザがリクエストしたXML文書の要素がアクセス可能であるかを制限情報に基づいて確認し,アクセス不可の要素を削除したXML文書をクライアントに提供する。
【0006】
一方,従来,紙文書として保管されていた文書の原本を,電子文書によって保管しようとする場合に,保管する組織や機関がその原本性を確保するためにどうすればよいか,が検討されている(例えば,非特許文献1)。非特許文献1には,原本性を確保するためには,改ざん防止機能が必要であること,より具体的には,保存期間内の電子文書データ(原本データ)は,変更・上書き・削除ができないようにし,データを変更する際は追記とすること,改変された文書を新しい版とすることで,文書の改変履歴や古い版の参照を可能とすること,等が記されている。
【0007】
非特許文献1に記載されている要件に従うと,新規文書の追加,文書の読み出しのみが許可され,更新や削除に関しては,それらの情報を記述した文書が作成される。また,これらの文書は,ユーザの属性や事務処理の進行状況や,特定の文書へのアクセスを制限するアクセス制御情報により,アクセス可否が判定される。
【0008】
【特許文献1】特開2005−275759号公報
【非特許文献1】“原本性保証システムガイドライン(9ページ,5.2改ざん防止機能(1)書換・消去不可機能)”[online],2001年3月,財団法人ニューメディア開発協会,[2007年6月4日検索],インターネット<URL:http://www.nmda.or.jp/nmda/soc/pdf/genpon_guide.pdf>
【発明の開示】
【発明が解決しようとする課題】
【0009】
非特許文献1に記されている要件を満たす文書管理システムにおいて,特許文献1に記載されているアクセス制御を行うとすると,以下に述べるいくつかの課題が生じる。
【0010】
特許文献1が開示する技術では,ユーザの属性毎のアクセス制御情報により,電子文書に対するアクセス制御を行う。しかし,本発明の対象となる利用環境では,電子文書に対するアクセス可否を判定する条件として,利用者属性データベースに格納されているユーザの属性だけでなく,特定文書(事務処理の進行状況,例外的なアクセス制御情報)を参照することがある。このような場合は,これらの特定文書の存在や内容を確認する処理が必要となり,アクセス制御が複雑となり,処理に時間が掛かるようになる。
【0011】
また,非特許文献1に記されている要件を満たす文書管理システムで扱われる電子文書は,XML文書のように独自に定義した要素により構造化された文書と,対象となる文書に関係する一連の事務処理に関連する文書とをまとめ,文書群というグループを構成することがある。
【0012】
しかしながら,文書群単位でアクセス制御を実施すると,アクセス制御情報が記述された文書そのものがアクセス制限され,アクセス制御を行う前に,当該アクセス制御情報が削除され,アクセス制限が機能しなくなるおそれがある。
【課題を解決するための手段】
【0013】
本発明は,電子文書管理システムにおける,正しいアクセス可否判定技術,および,高速なアクセス可否判定技術を提供する。
【0014】
本発明の一態様は,文書DBを備えた文書管理システムに於いて,電子文書要求に応じて,前記文書DBに登録された電子文書群を構成する電子文書のうち,アクセス可能な電子文書を提供するアクセス制御装置である。
【0015】
本発明が前提とする電子文書DBは,各々の前記電子文書の内容修正手段を備えないものであり,本発明が扱う電子文書群には,起点となるルート電子文書と,前記ルート電子文書または前記ルート電子文書への処理指示電子文書に対する,他の処理指示電子文書とが,互いに関連づけられて含まれ,前記電子文書群の最新の状態は,前記ルート電子文書または前記ルート電子文書への処理指示電子文書の構成要素に対する,他の前記処理指示電子文書に記載された処理指示の反映により,表現されることを特徴とする。
【0016】
さらに,本発明が提供するアクセス制御装置が備えるアクセス制御部は,前記電子文書群において,アクセス制御情報を含む処理指示電子文書の複数に対して,他の処理指示電子文書によるアクセス制御の対象か非対象かに係わらず,アクセスを行い,含まれる前記アクセス制御情報を取得し,取得した前記アクセス制御情報に基づく複数のアクセス制御判定結果を出力するアクセス制御判定部と,前記複数のアクセス制御判定結果を結合し,前記結合結果に基づき,アクセス可能な電子文書で構成された,アクセス可能電子文書群を,前記電子文書要求への応答として出力する結果結合部と,を備えることを特徴とする。
【0017】
上記構成により,アクセス制御判定部は,アクセス不許可と判断される処理指示文書に記されているアクセス制御情報であっても,取得することが可能になり,取得したアクセス制御情報を結果結合部が結合することにより,正確なアクセス制御判定に基づく,アクセス可能電子文書群の取得が可能になる。
【0018】
より具体的には,前記アクセス制御装置の前記アクセス制御部は,前記複数のアクセス制御判定として,前記電子文書群に含まれる,アクセス制御情報を含む処理指示電子文書に対するアクセス制御判定と,当該処理指示電子文書を構成する構成要素に対するアクセス制御判定と,を独立して,例えば,並行に行うものである。
【0019】
上記構成により,電子文書群が,アクセス制御対象となる,電子文書とその構成要素からなる場合であっても,漏れのないアクセス制御情報の取得と,正確なアクセス制御判定と,が可能になる。
【0020】
また,前記アクセス制御装置の前記アクセス制御部は,前記ポリシ管理部が管理するポリシ情報と,前記クライアントを利用するユーザIDとを参照し,前記ルート電子文書に対するアクセス制御判定を行い,前記判定結果が,アクセス不許可である場合は,アクセス制御情報を含む前記処理指示電子文書へのアクセスと,当該アクセスにより取得するアクセス制御情報に基づく前記アクセス制御判定と,を省略し,受信した前記電子文書要求に対して,アクセス不許可を応答することを特徴とする。
【0021】
この構成により,電子文書群全体がアクセス不許可の場合に,高速応答が可能になる。
【0022】
上記態様によれば,アクセス制御情報を記述した文書を削除することがないので,アクセス制御を確実に行うことが可能になる。
【0023】
また,アクセス不許可の判定結果を得た層より下位の層の,アクセス制御の判定と実行を省略することで,クライアントに対して結果を早く応答することができるため,利便性が向上する。
【発明の効果】
【0024】
本発明によれば,電子文書へのアクセス制御機能を備えた文書管理システムに於いて,アクセス制御判定を簡単に行うことができる。
【発明を実施するための最良の形態】
【0025】
本実施形態では,ある組織に対して,外部の申請者が文書を提出して処理を申請し,提出された文書が組織内部で処理され,提出された文書や内部処理結果を外部の第三者が申請により閲覧できる,という文書管理システムについて説明する。なお,本明細書を通じて,文書とは,ディジタル化された電子文書を指す。
【0026】
図1は,本発明の一実施形態である文書管理システムの構成を示すブロック図の一例である。
【0027】
クライアント10は,文書を要求するユーザ端末である。ユーザとして,外部から文書を閲覧する一般利用者,外部から文書を申請する申請者,文書管理システムで業務を行う職員が存在する。図1ではクライアント10として1台示しているが,上記ユーザの種類別に複数のクライアント10が接続されることが望ましい。
【0028】
ネットワーク20はインターネットやLANであり,一般利用者,申請者,職員は,それぞれ異なるクライアント10を用いネットワーク20を経由して文書管理システムと通信し,処理を行う。
【0029】
表示用データ作成装置30は,クライアント10に要求された文書を最新の状態に加工する装置である。文書データ解析部32は、アクセス制御装置40から取得した文書群の中に存在する更新・削除に関する文書(処理指示文書)から,文書を修正するための情報を解析する。文書データ加工部33は、文書の要素の書き換えや削除を行う。そして,最新状態にした文書をクライアント10に送信する。また,アクセス制御装置40からユーザから要求された文書がアクセス不許可である結果を取得した場合は,エラー結果をクライアント10に送信する。
【0030】
アクセス制御装置40は,文書DB50から取得した文書群のアクセス制御を行い,アクセス不許可部分を削除して,表示用データ作成装置30に送信する。アクセス制御装置40は,アクセス制御部41,ポリシ管理部42,属性情報DB43,ポリシ情報DB44から構成される。
【0031】
ポリシ管理部42は,属性情報DB43やポリシ情報DB44で管理される情報の作成や更新を行う。また,アクセス制御部41がアクセス制御を行う際に,アクセス制御に必要な属性情報DB43やポリシ情報DB44の情報をアクセス制御部41に送信する。
【0032】
属性情報DB43は,ユーザを一意に識別するユーザIDに属性を付与し,それをリスト化した属性情報を保存している。本実施形態の文書管理システムでは,ユーザの属性には,一般利用者,申請者,職員の3種類があり,職員には更に役職・所属に関する属性も付与される。
【0033】
ポリシ情報DB44は,アクセス制御を実施する上でのポリシを記述した,アクセス制御リストを保存している。ポリシは,各文書群,文書,文書要素にアクセスできる条件が各ユーザ属性に対してリスト化して記述されている。
【0034】
アクセス制御部41は,文書DB50から取得した文書群にポリシ管理部42から取得した属性情報とポリシに基づいて,アクセス制御を行う。アクセス制御部41は,応答制御部45,文書群アクセス制御判定部46,文書アクセス制御判定部47,XML要素アクセス制御判定部48,結果結合部49から構成される。
【0035】
応答制御部45は,ポリシ管理部42から取得した属性情報を参照し,アクセス制御前の段階で取得したユーザIDでユーザの属性を確認する。ユーザIDは、図6に示す文書要求401に含まれている。
【0036】
応答制御部45は,ユーザの属性とポリシ管理部42から取得したポリシとを文書群アクセス制御判定部46,文書アクセス制御判定部47,XML要素アクセス制御判定部48からの要求に応じて,各部に送信する。
【0037】
文書群アクセス制御判定部46は,ユーザから要求された文書が含まれる文書群のアクセス可否をユーザの属性とポリシに基づいて判定する。アクセス可の場合は文書群を文書アクセス制御判定部47とXML要素アクセス制御判定部48に送信する。アクセス不許可の場合はエラー結果を表示用データ作成装置30に返す。
【0038】
文書アクセス制御判定部47は,文書群に含まれる全ての文書のアクセス可否をユーザの属性とポリシに基づいて判定する。アクセス不許可の文書があった場合は,不許可文書のIDを結果結合部49に送信する。
【0039】
XML要素アクセス制御判定部48は,文書群に含まれる文書のXML要素のアクセス可否をユーザ属性とポリシで判定する。アクセス不許可のXML要素があった場合は,アクセス不許可のXML要素が含まれる文書の文書IDとXML要素名を結果結合部49に送信する。
【0040】
結果結合部49は,文書アクセス制御判定部47,XML要素アクセス制御判定部48から送信されたアクセス不許可の文書IDとXML要素名を元に,アクセス不許可部分を削除,あるいは他の文字に置き換え,アクセス可能な文書群に加工し,アクセス制御済文書群として,表示データ作成装置30に送信する(詳細は後述する)。
【0041】
文書DB50は,文書管理システムで扱われる文書を保存しているデータベース装置である。本実施形態の文書管理システムでは,扱う文書の修正を許可しない。そのため,文書全体や文書の項目の更新や削除を制限するために,文書DB50に用いる記録媒体として,書き込みは出来るが消去ができない追記型と呼ばれるもの(例えば,DVD−R)を用いることが望ましい。ただし,これ以外の技術を用いても実現しても構わない。
【0042】
修正を許可しない,という前提のため,文書の最新の状態は,ルート文書またはルート電子文書への処理指示文書の構成要素に対する,他の処理指示文書に記載された処理指示の反映により,表現する。
【0043】
したがって,本実施形態の文書管理システムでは,起点となるルート文書と,ルート文書またはルート文書への処理指示文書に対する,他の処理指示文書とが,互いに関連づけられた電子文書群を処理対象とする。
【0044】
図1に示すクライアント10,表示用データ作成装置30,アクセス制御装置40,文書DB50は,例えば,図2に示す一般的な情報処理装置を用いて実現することが可能である。図2のハードウェア構成図に示す通り,情報処理装置は,CPU12と,メモリ13と,図1に示すネットワーク20を介して他の装置と通信を行うための通信装置14と,キーボードやマウス等の入力装置15と,モニタやプリンタ等の出力装置16と,読取装置17と,ハードディスク等の外部記憶装置18とが,バスなどの内部通信線11を介して接続されている。
【0045】
また,読取装置17にはICカードやUSBメモリのような,可搬性を有する記憶媒体19を接続することができる。以下に説明する各装置の各機能(処理部)は,これらの機能を実装したプログラムをメモリ13上にロードし,それをCPU12が実行することにより実現できる。
【0046】
また,アクセス制御装置40における属性情報DBとポリシ情報DB,および,文書DB50は,それぞれ一つ以上の外部記憶装置18を用いることにより実現できる。
【0047】
また,各プログラムは,予め外部記憶装置18に格納されていても良いし,必要なときに,上記情報処理装置が利用可能な媒体を介して、他の装置から外部記憶装置18に導入されてもよい。媒体とは、たとえば、読取装置17を用いて利用可能な記憶媒体19、または通信装置14を用いて利用可能な通信媒体(すなわちネットワーク20またはネットワーク20を伝搬する搬送波やディジタル信号)を指す。
【0048】
図3に本実施形態で扱う文書の書式を例示する。
【0049】
図3(a)は,文書管理システムで扱われる文書のフォーマット例101である。本実施形態において,文書とは独自に定義された要素から構造化された電子文書で,フォーマット例101では,XMLで記述され,複数のXML要素から構成されている。文書ID1011,ルート文書ID1012,親文書ID1013,文書名1014,提出日1015のXML要素は,全ての文書に共通に含まれる。文書ID1011は,文書を一意に識別するためのXML要素である。ルート文書ID1012は,一連の業務に関連する文書群の中で,処理の起点となる文書の文書IDを示したXML要素である。親文書ID1013は,自身の文書の親となる文書の文書IDを示したXML要素である。文書名1014は,文書の種類を識別するための名称を示したXML要素である。提出日1015は,文書が文書管理システムに登録された日付を示したXML要素である。それぞれの文書には,前述した共通するXML要素の次に,文書内容を記述したXML要素1016が続き,XML要素名を文書名とする。さらに,文書内容を記述したXML要素1016は,様々な項目のXML要素1017から構成され,それぞれの項目には独自のXML要素名が付く。また,文書の中には,外部の申請人が作成する申請文書と職員が作成する内部文書があり,それぞれ様々な種類の文書がある。以下にその一例を示す。
【0050】
図3(b)は,外部の申請人が提出する提出文書102の一例で,申請人の名前を示した要素,申請人が提出する内容を示した要素から構成されている。提出文書102には,ルート文書や親文書が存在しない。これは,申請人が作成する申請文書である。
【0051】
図3(c)は,申請人が提出した文書に関連する業務が職員によって終了したことを表す完了書103の一例で,完了処理の内容を示した要素から構成されている。これは,職員が作成する内部文書である。
【0052】
図3(d)は,過去に登録した文書に対して,文書を処理した職員の上長の決裁が下りたこと示す決裁書104の一例で,決裁者の名前を示した要素,決裁内容を示した要素から構成される。これは,職員が作成する内部文書である。
【0053】
図3(e)は,一般利用者や申請者が閲覧するのに不適切な文書群,文書,XML要素があった場合にその閲覧禁止内容を示す閲覧禁止書105の一例で,閲覧禁止範囲(文書群,文書,XML要素の何れか)を示した要素,閲覧禁止となった理由を示した要素から構成される。これは,職員が作成する内部文書である。
【0054】
図3(f)は,過去に登録した文書に削除したい内容がある場合に職員や申請者が作成する取消書106の一例で,取消範囲(文書群,文書,XML要素の何れか)を示した要素,取消対象の名称(文書群,文書ID,XML要素名の何れか)を示した要素から構成される。職員が作成した場合は,内部文書,申請者が作成した場合は,申請文書となる。
【0055】
図4は,一連の業務に関連する文書群の構造を例示する図である。
【0056】
図4(a)は,文書群の木構造を示す。申請者から送信される申請文書201がルート(根)文書となり,追加された処理指示文書(202〜212)が,分岐した枝それぞれにおいて,処理の流れに従って順に繋がり,親子関係を持つ。
【0057】
これらの親子関係を,図4(b)に示す管理テーブルで管理する。管理テーブルは,例えば,ルート文書IDを識別子として,文書DB50に格納すればよく,新たな電子文書を電子文書群に追加する際には,ルート文書IDをキーとして,対象となる管理テーブルを検索し更新すればよい。
【0058】
新たな電子文書は,クライアント10を操作する職員または一般利用者,申請者が追加作成するものであるから,クライアント10から文書が要求された場合には,アクセス制御装置40,表示用データ作成装置30は,電子文書群と併せて管理テーブルも取得し,クライアント10に応答することにより,管理テーブルの更新も可能になる。
【0059】
図4では,申請文書201,補正文書206のように,申請者が操作するクライアント10から受け付けた文書を2重線枠で示す。申請文書201,補正文書206には,申請を受け付けた職員による,受付処理に関連する業務が終了したことを表す完了書207,完了書209を付与する。
【0060】
文書を受け付けた組織(機関)内部の文書を一重線枠で示す。内部文書の中でいくつかは,承認者の決裁が下りたことを示す決裁書(204,208,210)が付与されることで,有効な文書となる。
【0061】
また,文書または文書群を一般利用者に公開できる段階になると,文書群全体を公開の対象とする公開書211が付与される。ただし,文書群が公開可能になった場合でも,公開が許可されない文書がある場合は,個別にアクセス制御が行われる。
【0062】
完了書207,完了書209,公開書211は,業務の状況を表す文書となる。
【0063】
また,各文書に,一般利用者や申請者が閲覧するのに不適切な文書やXML要素があった場合,職員が,禁止対象者と,禁止対象文書または項目を指定した閲覧禁止書203を発行する。閲覧禁止書203が発行されると,たとえば,一般利用者は全文書の内容や項目が閲覧禁止になり,申請者は内部文書の内容や項目が閲覧禁止となる。図4では,審査指令書202には閲覧禁止書203が発行されているため,文書全体あるいはXML要素が一般利用者や申請者に閲覧されないように処理される。具体的には,たとえば,他の文字への置き換え処理を行う。
【0064】
また,仕様として,各文書の訂正や削除を禁じているので,訂正や削除が必要な場合は,補正文書206や取消書212を職員や申請者が作成して追加する。図4では,公開書211は,取消書212が発行されているので,有効ではなくなる。取消書が付与されていない文書(もし,決裁書を必要とする場合は,さらに,決裁書が付与されている文書)を有効な文書と呼ぶ。
【0065】
図5は,アクセス制御リストの構成を例示する図である。
【0066】
図5(a)は,ポリシ管理部42が保存しているXMLで記述されたポリシ(アクセス制御リスト(ACLと略す)という)のフォーマット例301である。各文書群のアクセス制御のポリシを記述した文書群ACL302,各文書のアクセス制御のポリシを記述した文書ACL303,各XML要素のアクセス制御のポリシを記述したXML要素ACL304のように,構造化された各グループのポリシから構成されている。ACLのバージョンの管理はポリシ管理部で行う。
【0067】
図5(b)は,文書群ACLの一例302で,ある案件の文書群に対する,各ユーザ属性におけるアクセス可の条件を示すポリシが例示されている。図5(b)のポリシ例によれば,属性が一般利用者であるユーザは,文書群の中に公開書があり,さらに文書群全体に対する閲覧禁止書が存在しない場合,当該案件の文書群にアクセスすることができる。属性が申請者や職員であるユーザは,文書群の中の文書に関係なく,全ての場合で当該案件件の文書群にアクセスすることができる。
【0068】
図5(c)は,文書ACLの一例303で,提出文書に対するポリシが例示されている。図5(c)のポリシ例によれば,各ユーザ属性が,アクセス可の条件である一般利用者であるユーザは,文書群の中に完了書があり,さらに該当する提出文書に対する閲覧禁止書が存在しない場合,提出文書にアクセスすることができる。属性が申請者や職員であるユーザは,文書群の中の文書に関係なく,全ての場合で事件の文書群にアクセスすることができる。
【0069】
図5(d)は,XML要素ACLの一例304で,個人情報のXML要素に対するポリシが例示されている。図5(d)のポリシ例によれば,各ユーザ属性が,アクセス可の条件である一般利用者であるユーザは,アクセス可の条件が指定されていないため,個人情報のXML要素にアクセスすることができない。属性が申請者や職員であるユーザは,全ての場合で事件の文書群にアクセスすることができる。
【0070】
図6〜図8は,クライアント10が文書を要求してから,システムが結果を返すまでのデータと処理を処理階層別に表したシーケンス図である。
【0071】
図6について説明する。クライアント10は,クライアント10の出力装置16に表示されている文書名を選択し,クライアント10の利用者の識別子を伴う文書管理システムに文書要求(文書名)401を出す。
【0072】
表示用データ作成装置30の応答制御部31は,クライアント10から取得した文書要求401に含まれる文書名を,対応する文書ID402に変換した,文書要求を文書DB50に送信する。
【0073】
文書DB50は,要求された文書ID402を備える文書について文書DB50で記憶している文書を検索し,該当する文書を取得する。取得した文書に記述されているルート文書IDを確認し,そのルート文書IDが記述されている文書についてさらに検索し,取得する。取得した全ての文書は,ルート文書とルート文書または他の処理指示文書を親とする処理指示文書が,図4(b)の管理テーブルに基づく,図4(a)のような構成を持つ文書群である。
そして,アクセス制御装置40に文書応答(文書群)を出す。
【0074】
アクセス制御装置40は,表示用データ作成装置30がクライアント10から取得した,クライアント10のユーザ識別子を取得し,ポリシ管理部42からルート文書IDに基づきアクセス制御情報を取得し(404),文書DB50から取得した文書群にアクセス制御を行う(405)。その結果,部分的に削除あるいは他の文字に置き換えられたアクセス制御済文書群406が作成され,それらを表示用データ作成装置30に送信する。
【0075】
表示用データ作成装置30では,アクセス制御済文書群406の中に含まれている文書の更新や削除に関する文書からユーザから要求された文書を修正するための情報を参照し,文書を最新の状態に加工し(407),加工した文書408をクライアント10に送信する。
【0076】
図7は,図6のアクセス制御装置40アクセス制御情報取得404を詳細に説明したシーケンス図である。アクセス制御部41は,ポリシ管理部42に属性情報とACLの要求501を出す。
【0077】
ポリシ管理部42は,属性情報とACLの要求501を受けて,属性情報要求502を属性DB8に,ACL要求をポリシDB9に出す。要求を受けて,属性DB8は,最新の属性情報503をポリシ管理部に送信し,ポリシDB9は,最新のACLをポリシ管理部に送信する。ポリシ管理部42は,取得した属性情報とACL506をアクセス制御部41に送信する
図8は,図7のアクセス制御部41を詳細に説明したシーケンス図である。応答制御部45は,ポリシ管理部42から取得した属性情報,ACL602を,文書DB50は文書群601を,それぞれ文書群アクセス制御判定部46に送信する。
【0078】
文書群アクセス制御判定部46は,送信された文書群601に対し,属性情報とACL602に基づいたアクセス制御判定を実施する(603)。文書群601中の全ての文書がアクセス不許可の場合は,次のアクセス制御に進まず,応答制御部45を介して,表示用データ作成装置30にアクセス不許可というエラー604を返す。文書群601にアクセス可の場合は,文書群アクセス制御判定部46は文書群601をそれぞれ,文書アクセス制御判定部47とXML要素アクセス制御判定部48,結果結合部49に送信する。
【0079】
文書アクセス制御判定部47は,文書群アクセス制御判定部46から送信された文書群601と,属性情報とACL606に基づいてアクセス制御判定を実施する(607)。アクセス制御判定の結果,アクセス不許可となった文書ID608を結果結合部49に送信する。
【0080】
XML要素アクセス制御判定部48は,文書群アクセス制御判定部46から送信された文書群601と,属性情報とACL610に基づいてアクセス制御判定を実施する(611)。アクセス制御判定の結果,アクセス不許可となったXML要素の文書ID,XML要素名613を結果結合部49に送信する。
【0081】
結果結合部49は,送信された文書ID608とXML要素の文書ID,XML要素名613を参照して,文書群601のアクセス不許可部分を削除あるいは他の文字に置き換え,アクセス制御結果を結合する(614)。
【0082】
図9は,図4に示す文書群を構成している,文書と,各文書中のXML要素と,各XML要素の中をさらに構造化した要素と,をそれぞれ異なる階層に位置づけ,各階層間の関係を木構造で示した模式図である。この木構造をあらわすデータは,図4(b)に示す管理テーブルと併せて,アクセス制御装置40,表示用データ作成装置30が作成,管理すればよい。
データ群は,複数の階層より構成され,701から713は各階層の構成要素である。このデータ群を本実施形態の文書管理システムで扱われる文書に適応させると,第一階層は申請した文書に関係する一連の事務処理に関連する文書をまとめた文書群になる。第二階層は文書,第三階層は文書のXML要素になる。第四階層以降は,各XML要素の中をさらに構造化した要素になる。図9の点線部分はアクセス不許可であることを示し,ある階層の要素がアクセス不許可となるとその要素の下位層全てもアクセス不許可となる。例えば,第二階層にある要素703がアクセス不許可であるため,下位層の要素707,708,712もアクセス不許可となっている。
【0083】
図9では,要素703の文書には要素706の文書に関するアクセス制御情報が記述され,要素710の文書には要素711の文書に関するアクセス制御情報が記述されているものとする。
【0084】
従来技術のように階層順にアクセス制御を行うと,第2階層に対するアクセス制御で703を親とする枝,第3階層に対するアクセス制御で705を親とする枝がアクセス不許可となる。そのため,従来技術の課題として述べたように,第3階層に対するアクセス制御,第4階層に対するアクセス制御で,欠落するアクセス制御情報が存在し,706,711のアクセス制御を適切に行うことができない。
【0085】
図10は,図9のデータ群に対するアクセス制御処理を示したフローチャートである。図9の第一階層には,アクセス制御情報とアクセス制御対象の要素が含まれていないので,第一階層アクセス制御801を最初に行う。第一階層の全ての要素がアクセス不許可だった場合,他の階層のアクセス制御を省略することができるため,他の場合と比較して応答処理が早くなる。
【0086】
一方,図9の第二階層以降で,アクセス制御情報とアクセス制御対象の要素が含まれ,互いに影響し合う階層について,アクセス制御を並列に行う。そして,アクセス制御結果結合805で,並列に行ったアクセス制御の結果を結合する図10では,第二階層802〜第四階層804が該当すると仮定している)。
【0087】
続けて,アクセス制御情報とアクセス制御対象の要素が含まれていない下位層のアクセス制御を,第n階層アクセス制御806まで行う。
【0088】
図11は,図10のフローチャート図を文書群,文書,XML要素というデータ構造に応用し,図8の文書群アクセス制御,文書アクセス制御,XML要素アクセス制御の判定処理を説明したフローチャート図である。また、図12は、アクセス制御結果結合の処理を説明したフローチャート図である。
【0089】
図11のS01からS05が文書群アクセス制御判定,S06からS11が文書アクセス制御判定,S12からS17がXML要素アクセス制御判定,S18からS19がアクセス制御判定結果結合の処理である。
【0090】
また、図11、図12の処理を図10に対応させると、S01からS05が第一階層アクセス制御801、S06からS11が第二階層アクセス制御802、S12からS17が第三階層アクセス制御803、S18からS19がアクセス制御結果結合805に当たる。
【0091】
文書群アクセス制御判定部46は,文書群の中の処理指示文書に,文書群を取消範囲とする有効な取消書があるかどうかタグを検索して確認する(S01)。取消書がある(文書群中の全ての文書が取り消されている)場合,要求する文書は存在しないことになるので,エラーを返す(S21)。
【0092】
取消書がない場合,文書群を閲覧禁止範囲とする閲覧禁止書があるかどうかタグを検索して確認する(S02)。閲覧禁止書があり,かつアクセス要求ユーザの属性が一般利用者である場合,文書群にアクセス不許可なのでエラーを返す(S21)。
【0093】
上記条件と一致しない場合,文書群ACLにユーザ属性に対するアクセス可の条件が存在するかどうか確認する(S03)。アクセス可の条件がない場合,エラーを返す(S21)。アクセス可の条件がある場合,条件を満たしているか確認する(S04)。具体的には,アクセス可の条件となる有効な文書の有無を確認する。アクセス可の条件を満たしていない場合,エラーを返す(S21)。
【0094】
アクセス可の条件を満たしている場合,文書群を文書アクセス制御判定部47とXML要素アクセス制御判定部48に送信する(S05)。文書アクセス制御判定部47とXML要素アクセス制御判定部48は独立して,処理を行う。
【0095】
文書群を受信した文書アクセス制御判定部47は,文書群の中に文書を取消範囲とする有効な取消書があるかどうかタグを検索して確認する(S06)。取消書がある場合,取消対象の文書IDを保存する(S07)。取消書がない場合は,S08に進む。文書を閲覧禁止範囲とする閲覧禁止書があるかどうかタグを検索して確認し,かつ見つかった閲覧禁止書の有効性をS07で保存した取消対象文書IDと決裁書から確認する(S08)。
【0096】
有効な閲覧禁止文書がある場合,閲覧禁止対象の文書IDを保存する(S09)。有効な閲覧禁止書がない場合は,S10に進む。ユーザ属性に対するアクセス可の条件(文書ACLに記述されている)を満たしていない文書の文書IDを保存する(S10)。アクセス不許可の文書IDを結果結合部に送信する(S11)。
【0097】
並行して文書群を受信したXML要素アクセス制御判定部48は,文書群の中にXML要素を取消範囲とする有効な取消書があるかどうかタグを検索して確認する(S12)。取消書がある場合,取消対象のXML要素の文書IDとXML要素名を保存する(S13)。取消書がない場合は,S14に進む。XMLを閲覧禁止範囲とする有効な閲覧禁止書があるかどうかタグを検索して確認する(S14)。
【0098】
閲覧禁止書があった場合は,閲覧禁止対象のXML要素の文書IDとXML要素名を保存する(S15)。閲覧禁止書がない場合は,S16に進む。ユーザ属性に対するアクセス可の条件(XML要素ACLに記述されている)を満たしていないXML要素の文書IDとXML要素名を保存する(S16)。アクセス不許可のXML要素の文書IDとXML要素名を結果結合部に送信する(S17)。
【0099】
結果結合部49は,アクセス制御判定結果結合処理として,文書アクセス制御判定部47から送信されたアクセス不許可の文書IDから各当する文書を間引き,併せて,XML要素アクセス制御判定部48から送信されたアクセス不許可のXML要素の内容を他の文字に置き換え(マスクし)(S18),アクセス制御判定結果結合の済んだ文書群を表示用データ作成装置30に送信する(S19)。
【0100】
表示用データ作成装置30は,文書群の取消書と補正書を反映し,要求された文書を最新の状態に加工し,表示したり印刷したりすることにより,要求者に提供する(S20)。
【0101】
もし,第四階層の各XML要素が,アクセス制御情報とアクセス制御対象の要素が含まれていない構造化された要素で構成されている場合は,S18,S19において,これらn階層のアクセス制御806も併せて行う。
【0102】
本発明は,上記実施形態で説明した,データの更新や削除が制限された電子文書管理システムに限らず,XML文書だけでなく,グループ構造を持つ電子文書のアクセス制御システムに広く適用可能である。
【図面の簡単な説明】
【0103】
【図1】本実施形態による文書管理システムの構成を示すブロック図である。
【図2】クライアントのハードウェア構成を示したブロック図である。
【図3】実施形態で扱う文書を例示する模式図である。
【図4】業務に関連する文書の構造を例示する図である。
【図5】各アクセス制御リスト(ACL)のフォーマットを例示する模式図である。
【図6】クライアントが文書を要求してから,文書を取得するまでのデータの流れを示したシーケンス図である。
【図7】アクセス制御情報を取得する際のデータの流れを示したシーケンス図である。
【図8】アクセス制御を実施する際のデータの流れを示したシーケンス図である。
【図9】木構造のデータ群を示した模式図である。
【図10】木構造のデータ群のアクセス制御処理を示したフローチャート図である。
【図11】文書群のアクセス制御処理を示したフローチャート図である。
【図12】文書群のアクセス制御結果結合処理を示したフローチャート図である。
【符号の説明】
【0104】
10:クライアント
20:ネットワーク
30:表示用データ作成装置
31:応答制御部
32:文書データ解析部
33:文書データ加工部
40:アクセス制御装置
41:アクセス制御部
42:ポリシ管理部
43:属性情報DB
44:ポリシ情報DB
45:応答制御部
46:文書群アクセス制御判定部
47:文書アクセス制御判定部
48:XML要素アクセス制御判定部
49:結果結合部
50:文書DB
【特許請求の範囲】
【請求項1】
文書DBを備えた文書管理システムに於いて,電子文書要求に応じて,前記文書DBに登録された電子文書群を構成する電子文書のうち,アクセス可能な電子文書を提供するアクセス制御装置であって,
前記電子文書DBは,各々の前記電子文書の内容修正手段を備えず,
前記電子文書群には,起点となるルート電子文書と,前記ルート電子文書または前記ルート電子文書への処理指示電子文書に対する,他の処理指示電子文書とが,互いに関連づけられて含まれるものであり,
前記電子文書群の最新の状態は,前記ルート電子文書または前記ルート電子文書への処理指示電子文書の構成要素に対する,他の前記処理指示電子文書に記載された処理指示の反映により,表現されるものであり,
前記アクセス制御装置が備えるアクセス制御部は,
前記電子文書群において,アクセス制御情報を含む処理指示電子文書の複数に対して,他の処理指示電子文書によるアクセス制御の対象か非対象かに係わらず,アクセスを行い,含まれる前記アクセス制御情報を取得し,取得した前記アクセス制御情報に基づく複数のアクセス制御判定結果を出力するアクセス制御判定部と,
前記複数のアクセス制御判定結果を結合し,前記結合結果に基づき,アクセス可能な電子文書で構成された,アクセス可能電子文書群を,前記電子文書要求への応答として出力する結果結合部と,を備える
ことを特徴とするアクセス制御装置。
【請求項2】
請求項1に記載のアクセス制御装置において,
前記アクセス制御装置の前記アクセス制御部は,
前記複数のアクセス制御判定として,前記電子文書群に含まれる,アクセス制御情報を含む処理指示電子文書に対するアクセス制御判定と,当該処理指示電子文書を構成する構成要素に対するアクセス制御判定と,を独立して行う
ことを特徴とするアクセス制御装置。
【請求項3】
請求項1に記載のアクセス制御装置において,
前記アクセス制御装置は,
ユーザを識別するユーザIDと,当該ユーザIDに付与された属性との対応付けを記憶する属性情報DBと,前記アクセス制御判定の条件を記したポリシ情報を記憶するポリシ情報DBと,を管理するポリシ管理部を備え,
前記アクセス制御部は,前記アクセス制御判定において,前記ポリシ管理部に管理されるポリシ情報を参照する
ことを特徴とするアクセス制御装置。
【請求項4】
請求項1に記載のアクセス制御装置において,
前記アクセス制御部は,
前記ポリシ管理部が管理するポリシ情報と,前記クライアントを利用するユーザIDとを参照し,前記ルート電子文書に対するアクセス制御判定を行い,
前記判定結果が,アクセス不許可である場合は,アクセス制御情報を含む前記処理指示電子文書へのアクセスと,当該アクセスにより取得するアクセス制御情報に基づく前記アクセス制御判定と,を省略し,
受信した前記電子文書要求に対して,アクセス不許可を応答する
ことを特徴とするアクセス制御装置。
【請求項5】
請求項1に記載のアクセス制御装置において,
前記処理指示電子文書が複数の文書要素からなる場合に,
前記アクセス制御判定部は,
電子文書群単位でのアクセス可否判定を行う文書群アクセス制御判定部と,処理指示電子文書単位でのアクセス可否判定を行う文書アクセス制御判定部と,文書要素単位でのアクセス可否判定を行う文書要素アクセス制御判定部とを備え,
前記文書群アクセス制御判定部は,電子文書群単位でのアクセス制御判定結果が不許可でなければ,前記文書アクセス制御判定部と,前記文書要素アクセス制御判定部は,並行して,処理指示電子文書のアクセス制御判定処理と,文書要素のアクセス制御判定と,を行う
ことを特徴とするアクセス制御装置。
【請求項6】
請求項1に記載のアクセス制御装置において,
前記結果結合部は,
前記複数のアクセス制御判定結果に基づき,アクセス不許可の前記電子文書および前記構成要素を削除し,および,他の文字に置き換えることにより,前記アクセス可能電子文書群を構成する
ことを特徴とするアクセス制御装置。
【請求項1】
文書DBを備えた文書管理システムに於いて,電子文書要求に応じて,前記文書DBに登録された電子文書群を構成する電子文書のうち,アクセス可能な電子文書を提供するアクセス制御装置であって,
前記電子文書DBは,各々の前記電子文書の内容修正手段を備えず,
前記電子文書群には,起点となるルート電子文書と,前記ルート電子文書または前記ルート電子文書への処理指示電子文書に対する,他の処理指示電子文書とが,互いに関連づけられて含まれるものであり,
前記電子文書群の最新の状態は,前記ルート電子文書または前記ルート電子文書への処理指示電子文書の構成要素に対する,他の前記処理指示電子文書に記載された処理指示の反映により,表現されるものであり,
前記アクセス制御装置が備えるアクセス制御部は,
前記電子文書群において,アクセス制御情報を含む処理指示電子文書の複数に対して,他の処理指示電子文書によるアクセス制御の対象か非対象かに係わらず,アクセスを行い,含まれる前記アクセス制御情報を取得し,取得した前記アクセス制御情報に基づく複数のアクセス制御判定結果を出力するアクセス制御判定部と,
前記複数のアクセス制御判定結果を結合し,前記結合結果に基づき,アクセス可能な電子文書で構成された,アクセス可能電子文書群を,前記電子文書要求への応答として出力する結果結合部と,を備える
ことを特徴とするアクセス制御装置。
【請求項2】
請求項1に記載のアクセス制御装置において,
前記アクセス制御装置の前記アクセス制御部は,
前記複数のアクセス制御判定として,前記電子文書群に含まれる,アクセス制御情報を含む処理指示電子文書に対するアクセス制御判定と,当該処理指示電子文書を構成する構成要素に対するアクセス制御判定と,を独立して行う
ことを特徴とするアクセス制御装置。
【請求項3】
請求項1に記載のアクセス制御装置において,
前記アクセス制御装置は,
ユーザを識別するユーザIDと,当該ユーザIDに付与された属性との対応付けを記憶する属性情報DBと,前記アクセス制御判定の条件を記したポリシ情報を記憶するポリシ情報DBと,を管理するポリシ管理部を備え,
前記アクセス制御部は,前記アクセス制御判定において,前記ポリシ管理部に管理されるポリシ情報を参照する
ことを特徴とするアクセス制御装置。
【請求項4】
請求項1に記載のアクセス制御装置において,
前記アクセス制御部は,
前記ポリシ管理部が管理するポリシ情報と,前記クライアントを利用するユーザIDとを参照し,前記ルート電子文書に対するアクセス制御判定を行い,
前記判定結果が,アクセス不許可である場合は,アクセス制御情報を含む前記処理指示電子文書へのアクセスと,当該アクセスにより取得するアクセス制御情報に基づく前記アクセス制御判定と,を省略し,
受信した前記電子文書要求に対して,アクセス不許可を応答する
ことを特徴とするアクセス制御装置。
【請求項5】
請求項1に記載のアクセス制御装置において,
前記処理指示電子文書が複数の文書要素からなる場合に,
前記アクセス制御判定部は,
電子文書群単位でのアクセス可否判定を行う文書群アクセス制御判定部と,処理指示電子文書単位でのアクセス可否判定を行う文書アクセス制御判定部と,文書要素単位でのアクセス可否判定を行う文書要素アクセス制御判定部とを備え,
前記文書群アクセス制御判定部は,電子文書群単位でのアクセス制御判定結果が不許可でなければ,前記文書アクセス制御判定部と,前記文書要素アクセス制御判定部は,並行して,処理指示電子文書のアクセス制御判定処理と,文書要素のアクセス制御判定と,を行う
ことを特徴とするアクセス制御装置。
【請求項6】
請求項1に記載のアクセス制御装置において,
前記結果結合部は,
前記複数のアクセス制御判定結果に基づき,アクセス不許可の前記電子文書および前記構成要素を削除し,および,他の文字に置き換えることにより,前記アクセス可能電子文書群を構成する
ことを特徴とするアクセス制御装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2009−104347(P2009−104347A)
【公開日】平成21年5月14日(2009.5.14)
【国際特許分類】
【出願番号】特願2007−274586(P2007−274586)
【出願日】平成19年10月23日(2007.10.23)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成21年5月14日(2009.5.14)
【国際特許分類】
【出願日】平成19年10月23日(2007.10.23)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]