個人情報管理システム
【課題】各端末において新たに作成・追加された個人情報ファイルを、効率よく確実に探査できるようにする。
【解決手段】個人情報探査プログラムの常駐端末10Aでは、ファイルの追加・変更が検知されると、個人情報探査プログラムが起動されてリアルタイム探査が実行され、その結果が個人情報管理サーバ20に送信される一方、個人情報探査プログラムの非常駐端末10Bにおけるファイルについては個人情報管理サーバ20によって管理され、非常駐端末10Bにおけるファイルに関する最新情報と最後に個人情報ファイルの定期探査を行なった時点のファイルに関する情報との差分が定期的に監視され、その差分に対応するファイルが非常駐端末10Bから個人情報管理サーバ20側に抽出されて定期探査が個人情報管理サーバ20側で実行される。
【解決手段】個人情報探査プログラムの常駐端末10Aでは、ファイルの追加・変更が検知されると、個人情報探査プログラムが起動されてリアルタイム探査が実行され、その結果が個人情報管理サーバ20に送信される一方、個人情報探査プログラムの非常駐端末10Bにおけるファイルについては個人情報管理サーバ20によって管理され、非常駐端末10Bにおけるファイルに関する最新情報と最後に個人情報ファイルの定期探査を行なった時点のファイルに関する情報との差分が定期的に監視され、その差分に対応するファイルが非常駐端末10Bから個人情報管理サーバ20側に抽出されて定期探査が個人情報管理サーバ20側で実行される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、特定の個人を識別可能な個人情報を含む電子ファイルを個人情報ファイルとして探査し、探査された個人情報ファイルを管理する技術に関する。
【背景技術】
【0002】
近年、個人情報の保護の意識の高まりに伴い、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することが望まれている。また、個人情報保護法の施行に伴って、個人情報取扱事業者は、個人情報の流出・漏洩や不正利用を防止しながら、各個人から個人情報の開示要求や訂正要求を受けた場合にその個人情報の開示や訂正を行なうことが義務付けられている。
【0003】
ここで、個人情報とは、単体もしくは組合せによって特定の個人を識別することのできる情報で、例えば氏名,生年月日,連絡先(住所,居所,電話番号,電子メールアドレス)などが含まれる。各種企業内で保存されて取り扱われる顧客情報,取引先情報などが個人情報に該当する場合が多く、今後、このような個人情報を多数取り扱う企業は、個人情報取扱事業者として上述のような義務を果たさなければならない。
【0004】
上述のような義務を果たすためには、個人情報のための集中管理システムを導入して個人情報の一元化をはかることが必要不可欠となる。しかしながら、現実には、企業内において、顧客情報,取引先情報などの個人情報は、社員個人のパーソナルコンピュータ(以下、PCと略記する場合がある)や各部署のサーバに、ばらばらに分散して存在している場合が多い。より具体的には、個々の社員が各自の業務都合で自分のPCに個人情報(顧客情報等)を保存していたり、中央データベース、あるいは、各社員によって独自に収集された個人情報のサブセットが複数のPCにまちまちに存在していたりする。
【0005】
このため、上記集中管理システムを構築する場合や分散状態のままで上記義務を果たそうとする場合、いずれの場合であっても、管理者は、まず最初に、企業内にばらばらに存在する個人情報の洗い出しを行ない、企業内のどこにどのような個人情報が存在しているかを把握する必要があるが、現状、個人情報の洗い出しは、管理者が各社員に指示し人間対人間で全社・全部門の人的な協力を得て行なわれることになる。
【0006】
なお、例えば、下記特許文献1においては、個人情報保護法の施行に伴い、個人情報の流出・漏洩や不正利用を防止する個人情報保護サービスを提供するための技術「個人情報保護サービス事業の処理方法および装置」が提案・開示されている。しかし、下記特許文献1には、上述したような個人情報の洗い出しに関する技術については何ら開示されていない。
【特許文献1】特開2002−183367号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、各社員からの申告といった人的な協力のもとで個人情報の洗い出しを行なうと、手間がかかるだけでなく全ての個人情報を確実に漏れなく洗い出すのは困難になる。特に、個人情報の分散化が進んでいると、個人情報の洗い出しは極めて困難になる。
また、個人情報の洗い出しに漏れがあると、上記義務を果たせなくなるだけでなく、その個人情報の状態を管理できず、個人情報の不用意な流出・漏洩や個人情報の不正利用を招くおそれもある。
【0008】
従って、企業内の多数の端末に分散して存在する全ての個人情報ファイルを確実に探査し管理可能な状態に置くことが望まれている。
また、各端末において新たに作成・追加された個人情報ファイルを確実に洗い出すためには、例えば定期的に個人情報ファイルの探査を行なう必要がある。しかし、各端末における全てのデータを対象にして上述のような定期的な探査を行なうと、探査の都度、多大な処理時間を要することになってしまう。このため、各端末に応じた探査手法によって個人情報ファイルの探査を効率よく行なえるようにすることも望まれている。
【0009】
本発明は、このような状況に鑑み創案されたもので、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイルを確実に探査し管理可能な状態に置けるようにして、個人情報の開示要求や訂正要求に確実に対応できるようにするとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することを目的としている。さらに、本発明は、各端末において新たに作成・追加された個人情報ファイルを、効率よく確実に探査できるようにすることを目的としている。
【課題を解決するための手段】
【0010】
上記目的を達成するために、本発明の個人情報管理システムは、複数のクライアント端末と、該複数のクライアント端末とネットワークを介して相互に通信可能に接続され、該複数のクライアント端末における個人情報ファイルを管理する個人情報管理サーバとをそなえるとともに、該複数のクライアント端末が、個人情報ファイルの探査を実行するための個人情報探査プログラムを常駐させている第1クライアント端末と、前記個人情報探査プログラムを常駐させていない第2クライアント端末とを含み、該第1クライアント端末が、前記個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう第1個人情報探査手段と、該第1クライアント端末におけるファイルの追加・変更を検知する検知手段と、該検知手段によりファイルの追加・変更を検知した場合に、前記個人情報探査プログラムを起動し、追加・変更された当該ファイルが個人情報ファイルであるか否かを判定するアルタイム探査を該第1個人情報探査手段に実行させる第1制御手段と、該第1個人情報探査手段により当該ファイルが個人情報ファイルであると判定された場合、該ネットワークを介して該第1個人情報探査手段による判定結果を該個人情報管理サーバへ送信する送信手段とをそなえて構成され、該個人情報管理サーバが、前記個人情報探査プログラムを実行することにより該ネットワークを介して該第2クライアント端末における個人情報ファイルの探査を行なう第2個人情報探査手段と、該第2個人情報探査手段により最後に個人情報ファイルの定期探査を行なった時点での、該第2クライアント端末におけるファイルに関する情報を保存するファイル情報保存手段と、該第2クライアント端末におけるファイルに関する最新情報と該ファイル情報保存手段に保存されている情報とを比較し、最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更されたファイルを、差分ファイルとして、該ネットワークを介して該第2クライアント端末から定期的に抽出する差分抽出手段と、該差分抽出手段により抽出された前記差分ファイルが個人情報ファイルであるか否かを判定する定期探査を該第2個人情報探査手段に実行させる第2制御手段とをそなえて構成されていることを特徴としている。
【0011】
この個人情報管理システムにおいては、該第1制御手段が、該第1個人情報探査手段に、最初に該第1クライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、前記リアルタイム探査を実行させることが好ましく、また、該第2制御手段が、該第2個人情報探査手段に、最初に該第2クライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、前記定期探査を実行させることが好ましい。
【0012】
また、該ファイル情報保存手段が、ファイルに関する情報として、少なくともファイル作成/更新日時,ファイルサイズ,ファイル名を保存してもよいし、該個人情報管理サーバに、該ネットワークに接続されたクライアント端末に対し、当該クライアント端末の利用者からの要求に応じて前記個人情報探査プログラムをインストールするインストール手段や、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルに対し、デジタル署名を付与するデジタル署名手段をそなえて構成してもよい。
【0013】
このとき、該個人情報管理サーバが、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを保存しているクライアント端末から当該個人情報ファイルを強制的に回収してもよいし、回収された個人情報ファイルを管理者のみがアクセス可能なフォルダに格納してもよい。また、該個人情報管理サーバが、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを保存しているクライアント端末から当該個人情報ファイルが外部へ出力されるのを強制的に禁止したり、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを保存しているクライアント端末に対し警告情報を通知したりしてもよい。
【0014】
また、該複数のクライアント端末のそれぞれに、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを監視し、当該個人情報ファイルに対するアクセスが生じた場合にはその旨を該個人情報管理サーバに通知するアクセス監視手段をそなえて構成してもよい。
【0015】
さらに、上記個人情報管理システムにおいて、該個人情報管理サーバと相互に通信可能に接続され、電子ファイルに対するアクセスを管理するファイルアクセス管理サーバをさらにそなえ、該個人情報管理サーバが、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルに対するアクセスを該ファイルアクセス管理サーバに管理させるように構成してもよい。
【0016】
そして、前記個人情報探査プログラムが、判定対象ファイルが特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルであるか否かを判定する機能をコンピュータに実現させるためのものであって、当該判定対象ファイルに含まれるテキストデータを抽出する抽出手段、該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段、該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段、該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段、該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段、および、該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段として、該コンピュータを機能させてもよい。
【0017】
このとき、該第1判定手段において、該切出手段によって切り出された文字区間における文字列が、電話番号に該当するか否かを判定し、電話番号に該当しない場合に電子メールアドレスに該当するか否かを判定し、電子メールアドレスに該当しない場合に住所に該当するか否かを判定し、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当すると判定された時点で、当該文字列についての判定処理を終了してもよい。
【0018】
また、該第2判定手段が、該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間における文字列を氏名に該当する個人情報要素と見なして、当該判定対象ファイルが個人情報ファイルであるか否かを判定してもよい。
さらに、該第2判定手段が、前記計数結果に基づいて、該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とが多いほど大きくなる判定値を算出し、算出された判定値が所定閾値を超えた場合に当該判定対象ファイルが個人情報ファイルであると判定してもよい。
【0019】
そして、該個人情報管理サーバが、該第2判定手段によって算出された前記判定値に応じて、当該判定対象ファイルを管理したり、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを管理対象とし、該第2判定手段によって算出された前記判定値に応じて、当該個人情報ファイルを管理したりしてもよい。
【発明の効果】
【0020】
上述した本発明の個人情報管理システムによれば、個人情報探査プログラムを常駐させている第1クライアント端末では、ファイルの追加・変更が検知されると、個人情報探査プログラムが起動されてリアルタイム探査が実行され、追加・変更されたファイルが個人情報ファイルであるか否かの判定が行なわれ、その判定結果が個人情報管理サーバに送信される。これに対し、個人情報探査プログラムを常駐させていない第2クライアント端末におけるファイルについては個人情報管理サーバによって管理され、第2クライアント端末におけるファイルに関する最新情報と最後に個人情報ファイルの定期探査を行なった時点のファイルに関する情報との差分が定期的に監視され、その差分に対応するファイルが第2クライアント端末から個人情報管理サーバ側に抽出されて(吸い上げられて)定期探査が実行され、吸い上げられたファイルが個人情報ファイルであるか否かの判定が個人情報管理サーバで行なわれる。
【0021】
これにより、個人情報探査プログラム常駐の端末における個人情報ファイルついても、また、個人情報探査プログラム非常駐の端末における個人情報ファイルについても、自動的に探査して個人情報管理サーバの管理下に置くことが可能になる。
その際、最初に、個人情報探査プログラム常駐の端末において全データを対象にして個人情報ファイルの探査を1回だけ実行するとともに個人情報探査プログラム非常駐の端末については個人情報管理サーバがネットワークを介して全データを対象にして個人情報ファイルの探査を1回だけ実行しておけば、それ以降は、上述のごとく、追加・変更されたファイルや差分ファイルに対する探査(判定)を行なうだけで、毎回、全てのデータを対象にした探査を行なうことなく、各端末において新たに作成・追加された個人情報ファイルを、極めて効率よく確実に探査することができる。
【0022】
従って、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイルを確実に探査し管理可能な状態に置けるようにして、個人情報の開示要求や訂正要求に確実に対応できるようにするとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することを目的としている。
【0023】
このとき、第2クライアント端末における差分ファイルを抽出するための、ファイルに関する情報としては、少なくともファイル作成/更新日時,ファイルサイズ,ファイル名を用いることができ、その情報を参照しその情報の変更・追加を認識するだけで、差分ファイルを極めて容易に認識して抽出することができる。
【0024】
また、個人情報管理サーバが、ネットワークに接続されたクライアント端末に対し、そのクライアント端末の利用者からの要求に応じて個人情報探査プログラムをインストールするように構成することにより、クライアント端末毎に、その利用者が個人情報探査プログラムの常駐/非常駐を選択して設定できるので、利用者が、メモリ容量や、他プログラムとの相性の問題などの理由で個人情報探査プログラムの非常駐を要望する場合、その要望に対応することができ、利便性が高められる。非常駐を選択・設定された端末は、上述した第2クライアント端末として取り扱われ、個人情報管理サーバによる定期探査対象となる。
【0025】
さらに、本発明の個人情報管理システムにおいて探査された個人情報ファイルに対しデジタル署名を付与することにより、個人情報ファイルが改竄されていないことを保証することができ、第三者による偽造を防止することができる。
【0026】
また、本発明の個人情報管理システムにおいて探査された個人情報ファイルは個人情報管理サーバによって管理され、個人情報ファイルをクライアント端末から強制的に捕獲・回収したり、回収された個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したり、個人情報ファイルがクライアント端末から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを保存しているクライアント端末に対し警告情報を通知したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバに管理させたりすることが可能で、個人情報の不用意な流出・漏洩や個人情報の不正利用などをより確実に防止することができる。
【0027】
さらに、各クライアント端末において、探査された個人情報ファイルでを監視し、その個人情報ファイルに対するアクセスが生じた場合にはその旨を個人情報管理サーバに通知することにより、個人情報ファイルに対するアクセスが、個人情報管理サーバで追跡管理されることになり、個人情報の不正利用をより確実に防止することができる。
【0028】
一方、本発明の個人情報管理システムにおいて、個人情報探査プログラムをコンピュータで実行することによって実現される個人情報探査機能によれば、氏名以外の個人情報要素(電話番号,電子メールアドレス,住所のいずれか一つ)に該当せず且つ不適切文字もしくは不適切文字列を含む文字区間は個人情報に関するものではないと見なされる一方、氏名以外の個人情報要素に該当せず且つ不適切文字もしくは不適切文字列を含まない文字区間は個人情報、特に氏名に関するものであると見なされる。
【0029】
従って、氏名以外の個人情報要素(電話番号,電子メールアドレス,住所のいずれか一つ)に該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、氏名以外の個人情報要素に該当しないと判定された文字区間についてのみ不適切文字もしくは不適切文字列との照合処理が行なわれ、不適切文字もしくは不適切文字列が一つでも文字区間に含まれると判定された時点でその照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう従来手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探査処理を高速に行なうことが可能になる。また、不適切文字もしくは不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字もしくは不適切文字列を含まないデータ集合体、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高い電子ファイルを確実に探査することが可能になる。
【0030】
なお、上記文字判定手段をさらにそなえることで、氏名以外の個人情報要素に該当せず且つ不適切文字もしくは不適切文字列を含まない文字区間であって、その文字区間における文字の数が所定範囲内であり且つその文字区間における文字が漢字であるものを、氏名に関する情報であると見なすことが可能になり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。このとき、前記所定範囲を、氏名の文字数として一般的(適切)な数の範囲、例えば1以上6以下に設定することで、氏名の照合精度をより向上させることができるとともに、氏名の照合処理をより高速に行なうことができる。また、上記所定範囲を超える長い文字区間を照合手段による照合対象から除外することができるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探査処理のさらなる高速化に寄与することになる。
【0031】
そして、個人情報管理サーバが、上述した個人情報探査プログラムを実行することにより判定対象ファイル毎に算出された判定値に応じて、判定対象ファイルや個人情報ファイルを管理することにより、判定対象ファイルや個人情報ファイル毎に、判定値レベル(個人情報ファイルである可能性の高さ/個人情報要素数の多さ)に応じた管理手法を選択して実行することができる。
【発明を実施するための最良の形態】
【0032】
以下、図面を参照して本発明の実施の形態を説明する。
〔1〕本実施形態の個人情報管理システムの構成
図1は本発明の一実施形態としての個人情報管理システムの構成を示すブロック図で、この図1に示すように、本実施形態の個人情報管理システム1は、複数のクライアント端末10のほかに個人情報管理サーバ20およびファイルアクセス管理サーバ30をそなえて構成され、これらの端末10およびサーバ20,30がネットワーク〔例えば、社内LAN(Local Area Network)〕40を介して相互に通信可能に接続されている。
【0033】
各クライアント端末10は、企業等の社内において各社員(利用者)によって使用されるパーソナルコンピュータ(PC)等の端末装置によって構成され、図2〜図4を参照しながら後述するような機能構成を有している。
個人情報管理サーバ20は、複数のクライアント端末10およびファイルアクセス管理サーバ30とネットワーク40を介して相互に通信可能に接続され、各クライアント端末10における個人情報ファイルを管理するもので、図5を参照しながら後述するような機能構成を有している。
【0034】
本実施形態において、個人情報ファイルは、個人情報を含むレコードを所定数以上保有しているものであり、個人情報は、前述した通り、単体もしくは組合せによって特定の個人を識別することのできる情報(各種個人情報要素)、例えば氏名,生年月日,連絡先(住所,居所,電話番号,メールアドレス)などを含むものである。なお、個人情報としては、これら以外に、役職名,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号なども挙げられる。
【0035】
ファイルアクセス管理サーバ30は、複数のクライアント端末10および個人情報管理サーバ20とネットワーク40を介して相互に通信可能に接続され、電子ファイル(本実施形態では個人情報ファイル)に対するアクセスを管理するもので、図6を参照しながら後述するような機能構成を有している。
【0036】
そして、本実施形態では、複数のクライアント端末10としては、個人情報ファイルの探査を実行するための個人情報探査プログラム(後述)を常駐させている第1クライアント端末(個人情報探査プログラム常駐端末)10Aと、前記個人情報探査プログラムを常駐させていない第2クライアント端末(個人情報探査プログラム非常駐端末)10Bとが混在している。第1クライアント端末10Aは、図2および図3を参照しながら後述するような機能構成を有し、第2クライアント端末10Bは、図4を参照しながら後述するような機能構成を有している。なお、以下の説明において、第1クライアント端末と第2クライアント端末とを特定する必要がある場合にはそれぞれ符号10A,10Bを使用し、特定する必要がない場合には符号10を使用する。
【0037】
〔1−1〕本実施形態の第1クライアント端末の機能構成
図2は本実施形態の第1クライアント端末(個人情報探査プログラム常駐端末)10Aの機能構成を示すブロック図で、この図2に示すように、本実施形態の第1クライアント端末10Aは、各種処理を実行するCPU(Central Processin Unit)10aと、個人情報等を含む電子ファイルを保持しうる記憶部10bとをそなえるほか、個人情報管理サーバ20から提供される検疫テーブル10cや、記憶部10bに保持される電子ファイルのPマーク(プライバシレベルマーク;個人情報ファイルである可能性の高さを示すレベルで、後述する判定値によって決定されるレベル)を保持するPマークテーブル10dをそなえて構成され、後述するごとく、個人情報管理サーバ20から、CPU10aを後述する第1個人情報探査手段11として機能させるための個人情報探査プログラムをインストールされている。
【0038】
ここで、記憶部10bは、クライアント端末10A(10)に内蔵されるハードディスクや、クライアント端末10A(10)に接続・外付けされる記憶装置、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど),磁気ディスク,光ディスク,光磁気ディスクのほかICカード,ROMカートリッジ,磁気テープなどの記録媒体を用いる記憶装置である。なお、上述した検疫テーブル10cおよびPマークテーブル10dは、クライアント端末10Aを構成するRAM(Random Access Memory)やハードディスク等に保持されてもよいし、記憶部10bに保持されてもよい。
【0039】
CPU10aは、第1個人情報探査手段11,検知手段12,第1制御手段13,アクセス監視手段14および送受信手段15としての機能を果たすもので、これらの機能は、CPU10aが、後述するごとく個人情報管理サーバ20からインストールされた個人情報探査プログラムを実行することによって実現されるものとする。
【0040】
第1個人情報探査手段11は、個人情報管理サーバ20からインストールされる個人情報探査プログラムを実行することにより、記憶部10bに保存されている電子ファイルをテキストファイルにするテキスト抽出エンジンとして機能するとともに、検疫テーブル10cを用いて記憶部10bにおけるデータの中から個人情報ファイルを探査する探査エンジンとして機能するものである。つまり、第1個人情報探査手段11は、個人情報管理サーバ20から指示された条件(検疫テーブル10c)に従って、第1クライアント端末10Aの記憶部10bに存在する各種電子ファイルを参照して個人情報ファイルの探査を行ない、個人情報ファイルであると判定されたファイルをログ(ローカルキャッシュデータベース)に書き出すものである。また、本実施形態では、この第1個人情報探査手段11で得られた判定結果(判定値)に基づいて決定されたPマークがPマークテーブル10dに登録される。この第1個人情報探査手段11の機能構成の詳細については、図4を参照しながら後述する。
【0041】
検知手段12は、第1クライアント端末10Aの記憶部10bに既に保存されている電子ファイルに対する変更や、その記憶部10bへの新たな電子ファイルの追加を検知するものである。
第1制御手段13は、第1個人情報探査手段11に、図7を参照しながら後述する手順で、最初(本個人情報管理システム1の立ち上げ時/個人情報探査プログラムのインストール時/第1クライアント端末10Aの新規接続時)に第1クライアント端末10Aの記憶部10bにおける全データを対象にして個人情報ファイルの探査を一度だけ実行させてから、図8を参照しながら後述するごとく、検知手段12によりファイルの追加・変更を検知する都度、個人情報探査プログラムを起動し、追加・変更されたファイルが個人情報ファイルであるか否かを判定するアルタイム探査を第1個人情報探査手段11に実行させるものである。
【0042】
アクセス監視手段14は、第1個人情報探査手段11によって探査され個人情報ファイルであると判定された電子ファイル(Pマークを付与された電子ファイル)を監視し、その電子ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じた場合にはその旨をログ情報として書き出し送受信手段15を通じて個人情報管理サーバ20に通知するものである。
【0043】
送受信手段15は、ネットワーク40を介して個人情報管理サーバ20(もしくはファイルアクセス管理サーバ30)との間で各種情報を送受信するもので、第1個人情報探査手段11による判定結果を個人情報管理サーバ20へ送信する送信手段として機能するものである。送受信手段15が上記送信手段として機能する際、判定結果(個人情報ファイルのリンク先情報や判定値など)を、前回送信した探査結果との差分を得て、その差分を個人情報管理サーバ20へ送信するほか、送信すべき情報を暗号化するように構成してもよい。
【0044】
〔1−2〕本実施形態の第2クライアント端末の機能構成
図3は本実施形態の第2クライアント端末(個人情報探査プログラム常駐非端末)10Bの機能構成を示すブロック図で、この図3に示すように、本実施形態の第2クライアント端末10Bも、第1クライアント端末10Aと同様のCPU10aおよび記憶部10bをそなえて構成されているが、この第2クライアント端末10Bには、CPU10aを第1個人情報探査手段11として機能させるための個人情報探査プログラムがインストールされておらず、第2クライアント端末10BのCPU10aは、上述とほぼ同様のアクセス監視手段14および送受信手段15としての機能を果たすようになっている。その機能は、第2クライアント端末10Bに予めインストールされているプログラム、あるいは、個人情報管理サーバ20からインストールされたプログラムを実行することによって実現されるものとする。
【0045】
第2クライアント端末10Bのアクセス監視手段14は、後述するごとく個人情報管理サーバ20側の第2個人情報探査手段204(図5参照)によって探査され個人情報ファイルであると判定された電子ファイル(Pマークを付与された電子ファイル)を監視し、その電子ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じた場合にはその旨をログ情報として書き出し送受信手段15を通じて個人情報管理サーバ20に通知するものである。
【0046】
ここで、第2個人情報探査手段204(図5参照)による判定結果であるPマークに関する情報を各電子ファイルにフラグとして付与しておき、アクセス監視手段14がそのフラグを参照することで個人情報ファイル(Pマーク)を認識できるようにしてもよいし、第1クライアント端末10Aと同様のPマークテーブル10dを第2クライアント端末10Bにそなえておき、アクセス監視手段14がそのPマークテーブル10dを参照することで個人情報ファイル(Pマーク)を認識できるようにしてもよい。
【0047】
また、第2クライアント端末10Bの送受信手段15は、第1クライアント端末10Aと同様、ネットワーク40を介して個人情報管理サーバ20(もしくはファイルアクセス管理サーバ30)との間で各種情報を送受信するもので、上述した通り、アクセス管理手段14によって監視されているアクセスのログを個人情報管理サーバ20に通知する機能を果たすほか、個人情報管理サーバ20からの要求に応じて、第2クライアント端末10Bにおける全てのファイルもしくは後述する差分ファイルを個人情報管理サーバ20に送信したり、第2クライアント端末10B(記憶部10b)における全てのファイルに関する情報(例えばファイル作成/更新日時,ファイルサイズ,ファイル名)の最新のものをファイルディレクトリから抽出して送信したりする機能も果たすようになっている。
【0048】
〔1−3〕本実施形態の第1個人情報探査手段の詳細な機能構成
図4は本実施形態の第1クライアント端末10Aにおける第1個人情報探査手段11の詳細な機能構成を示すブロック図で、この図4に示すように、本実施形態の第1個人情報探査手段11は、抽出手段111,切出手段112,第1判定手段113,文字判定手段114,照合手段115および第2判定手段116としての機能を有しており、これらの機能も、CPU10aが、後述するごとく個人情報管理サーバ20からインストールされた個人情報探査プログラムを実行することによって実現される。
【0049】
抽出手段111は、記憶部10bにおける電子ファイル(判定対象ファイル)のテキストデータ〔例えばCSV(Comma Separated Value)形式のデータ〕を抽出するもので、前記テキスト抽出エンジンとして機能するものである。
切出手段112は、抽出手段111によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出して、判定対象/照合対象としてバッファ(図示略)に順次書き出すものである。ここで、区切り文字は、例えば半角スペース,半角カンマ(半角カンマ+半角スペースも半角カンマと見なす),タブ文字(半角),CR(Carrige Return),LF(Line Feed)である。
【0050】
また、切出手段112によって切り出される文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。本実施形態では、切出手段112が、上述のような記号文字を除去する機能を有しているものとする。
【0051】
第1判定手段113は、切出手段112によって切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、氏名以外の個人情報要素(具体的に本実施形態では電話番号,電子メールアドレス,住所のうちのいずれか一つ)に該当するか否かを判定すべく、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cとしての機能をそなえている。なお、本実施形態の第1判定手段113では、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で、上記文字列の判定処理を行なっている。
【0052】
電話番号判定手段113aは、上記文字列が電話番号に該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている電話番号判定条件を満たす場合、上記文字列が電話番号に該当するものと判定し、その旨を第2判定手段116に通知し、上記文字列に対する第1判定手段113による判定処理を終了させるものである。本実施形態において、電話番号判定条件は、上記文字列中に9〜15桁の数字が含まれていることとする。
【0053】
電子メールアドレス判定手段113bは、電話番号判定手段113aによって上記文字列が電話番号に該当しないと判定された場合に、上記文字列が電話メールアドレスに該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている電子メールアドレス判定条件を満たす場合、上記文字列が電子メールアドレスに該当するものと判定し、その旨を第2判定手段116に通知し、上記文字列に対する第1判定手段113による判定処理を終了させるものである。本実施形態において、電子メールアドレス判定条件は、上記文字列中に「一文字以上のASCII(American Standard Code for Information Interchange)」+「@(アットマーク)」+「一文字以上のASCII」+「.(ドット)」+「一文字以上のASCII」となる文字列が含まれていることとする。この場合、最短の電子メールアドレスは例えば「a@a.a」となる。
【0054】
住所判定手段113cは、電子メールアドレス判定手段113bによって上記文字列が電子メールアドレスに該当しないと判定された場合に、上記文字列が住所(居所)に該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている住所判定条件を満たす場合、上記文字列が住所に該当するものと判定し、その旨を第2判定手段116に通知するものである。本実施形態において、住所判定条件は、上記文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていることとする。このとき、CPU10aの演算処理能力が十分に高い場合には、上記文字列に加え、郵便番号に対応する7桁の数字が含まれていることを住所判定条件に加えてもよい。また、住所判定条件は、上述した条件に代え、上記文字列中に、郵便番号に対応する7桁ちょうどの数字列が含まれていること、あるいは、「3桁の数字列」+「−(ハイフン)」+「4桁の数字列」となる数字列が含まれていることとしてもよい。
【0055】
文字判定手段114は、第1判定手段113によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合に、その文字列が、検疫テーブル10cに設定されている文字判定条件を満たすか否か、具体的には、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であるか否かを判定するものである。本実施形態において、文字判定条件は、上述したように、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であることであるが、ここで、上記所定範囲は、氏名(苗字だけの場合や名前だけの場合を含む)の文字数として一般的(適切)な数の範囲、例えば1以上6以下に設定される。
【0056】
照合手段115は、第1判定手段113によって電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された文字区間であって、さらに文字判定手段114によって上記所定範囲内であり且つ全ての文字が漢字であると判定された文字区間について、当該文字区間に含まれる文字/文字列と氏名において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列とを照合することにより、当該文字区間が不適切文字/不適切文字列を含むか否かを判定し、その照合判定結果を第2判定手段116に通知するものである。
【0057】
ここで、不適切文字/不適切文字列は、検疫テーブル10cに予め設定されており、例えば、東京,大阪,横浜,九州,北海道,京都,首都,個人,学園,店,株,県,大学,学院,東証,研究,管理,総務,経理,営業,統括,製薬,販売,学校,教育,専門,建築,機械,法人,工場,製,技術,商,図書,不明,次長,公開,出版,広告,放送,対象,卸売,小売,企画,人事,情報,部門,社長,取締,部長,課長,係長,役員,本社,支社,事業,業務,教務,精密,石油,運輸,経営,戦略,資材,技師,電気,生産,税務,広報,運送,主任,電算,財務,事務,開発,政策,制作,経済,産業,金融,銀行,調査,英語,品質,保証,設備,担当,主席,主事,監査,支援,設計,保険,金庫,事業,代表,交通,第一,第二,第三,第四,第五,第六,第七,第八,第九,特販,施設,氏名,郵便,名前,名称,市役,所属,特色,幼稚,基督,協会,教会,組合,教団,商工,全国,支部,連絡,議会,生活,消費,推進,市役所,区役所,総合,修正,機能,概要,構成,企業,組織,関連,削除,文書,期限,有効といった、一般的な氏名において出現し得ない文字/文字列、つまり氏名としては不適切な文字/文字列である。
【0058】
第2判定手段(判定手段)116は、第1判定手段113における電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cによる判定結果と照合手段115による照合判定結果とに基づいて、判定対象ファイルが個人情報ファイルであるか否かを判定するものである。
【0059】
より具体的に説明すると、第2判定手段116は、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cからの判定結果の通知を受け電話番号,電子メールアドレス,住所のそれぞれに該当すると見なされた文字区間の数を計数するとともに、照合手段115からの照合判定結果を受け、照合手段115によって不適切文字/不適切文字列を含まないと判定された文字区間を氏名に該当するものと見なし、その数を計数する。
【0060】
そして、第2判定手段116は、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数結果(4つの計数値;電話番号数,電子メールアドレス数,住所数,氏名数)に基づいて、これらの計数値が大きくなるほど大きくなる判定値を算出する。例えば、第2判定手段116は、4つの計数値の総和を上記判定値として算出してもよいし、電話番号,電子メールアドレス,住所,氏名のそれぞれについて重み係数を予め設定しておき、各個人情報要素についての重み係数と計数値との乗算結果の総和を上記判定値として算出してもよく、上記判定値の算出手法は種々考えられる。
【0061】
上述のような判定値が算出されると、第2判定手段116は、その判定値に基づいて、判定対象ファイルが個人情報ファイルであるか否かを判定する。具体的には、前記判定値が所定閾値を超えた場合に判定対象ファイルが個人情報ファイルであると判定する。このような判定を行なう際に、第2判定手段116は、さらに、判定値の大きさに応じたPマーク(プライベートレベルマーク)を、判定対象ファイルに付与して、Pマークテーブル10dに設定・登録し、ランク付けを行なう。このPマークは、前述した通り、判定対象ファイルが個人情報ファイルである可能性の高さを示すレベルであり、判定値が大きいほどPマークは高いランクに設定される。
【0062】
例えば、前記判定値が10以上となった場合、判定対象ファイルが個人情報ファイルであると判定する。また、前記判定値が10以上100未満である場合、Pマークとして“P1”を付与し、前記判定値が100以上1000未満である場合、Pマークとして“P2”を付与し、前記判定値が1000以上10000未満である場合、Pマークとして“P3”を付与し、前記判定値が10000以上である場合、Pマークとして“P4”を付与する。なお、個人情報ファイルを判定するための所定閾値やPマークを決定するための基準値は、個人情報管理サーバ20(後述する管理コンソール24)から適宜設定される。また、ここではPマークを“P1”〜“P4”の4つにランク分けしているが、ランク分けの数はこれに限定されるものではない。
【0063】
上述のように判定対象ファイルに付与されたPマーク(Pマークテーブル10d)は、送受信手段16およびネットワーク40を介して個人情報管理サーバ20へ送信され、図5を参照しながら後述するごとく、収集手段23によりデータベース20bに保存される。そして、Pマークを付与された電子ファイル(判定対象ファイル/個人情報ファイル)は、そのPマークのランクに応じて、個人情報管理サーバ20(後述する個人情報管理手段208)により個人情報ファイルとして後述するごとく管理される。
【0064】
〔1−4〕本実施形態の個人情報管理サーバの機能構成
図5は本実施形態の個人情報管理サーバ20の機能構成を示すブロック図で、この図5に示すように、本実施形態の個人情報管理サーバ20は、各種処理を実行するCPU20aと、各クライアント端末10からのログ情報や個人情報ファイルなどを格納・保存するデータベース(RDB:Relational DataBase)20bと、このデータベース20bに保存されたログ情報や個人情報を含む各種情報を表示する表示部20cとをそなえて構成されている。
【0065】
CPU20aは、クライアント情報収集手段201,インストール手段202,収集手段203,第2個人情報探査手段204,差分抽出手段205,第2制御手段206,管理コンソール207,個人情報管理手段208,表示制御手段209,送受信手段210およびデジタル署名手段211としての機能を果たすもので、これらの機能は、CPU20aが、個人情報管理サーバ用プログラム(個人情報探査プログラムを含む)を実行することによって実現される。
【0066】
クライアント情報収集手段201は、本個人情報管理システム1の立ち上げ時や、新規のクライアント端末10をネットワーク40に接続した時など、個人情報ファイルの探査・管理を開始する際に、ネットワーク40および送受信手段210を介して通信可能に接続されたクライアント端末10からクライアント情報(ホスト情報)を収集し、個人情報ファイルの探査・管理対象のクライアント端末10を認識するものである。その際、各クライアント端末10が、上述した個人情報探査プログラムのインストールを要求しているか否か(個人情報探査プログラムの常駐を望むか否か)についての情報も収集される。
【0067】
インストール手段202は、ネットワーク40に接続されたクライアント端末10(10B)に対し、当該クライアント端末10(10B)の利用者からの要求に応じて、上述した個人情報探査プログラムを、ネットワーク40および送受信手段210を介してインストールするものである。このインストール手段202によって個人情報探査プログラムをインストールされたクライアント端末10が第1クライアント端末(個人情報探査プログラム常駐端末)10Aとなり、個人情報探査プログラムをインストールされなかったクライアント端末10が第2クライアント端末(個人情報探査プログラム非常駐端末)10Bとなる。
【0068】
収集手段203は、ネットワーク40および送受信手段210を介して、第1クライアント端末10Aで実行された個人情報ファイルの探査結果(個人情報ファイルのリンク先情報,判定値,Pマークなど)を受信・収集し、データベース20bに格納する機能を果たすほか、第2クライアント端末10Bにおける個人情報ファイルの探査を行なうべく、初回探査時に、第2クライアント端末10Bにおける全てのファイルを、ネットワーク40および送受信手段210を介して吸い上げる機能や、初回探査時以後の定期探査時に、第2クライアント端末10Bにおける差分ファイル(後述)を、ネットワーク40および送受信手段210を介して吸い上げる機能や、初回探査時や定期探査時に、第2クライアント端末10Bにおける最新のファイル情報(後述)を、ネットワーク40および送受信手段210を介して吸い上げる機能も果たすものである。
【0069】
第2個人情報探査手段204は、上述した個人情報探査プログラムをCPU20aで実行することにより、ネットワーク40を介して第2クライアント端末10Bにおける個人情報ファイルの探査を行なうもので、本実施形態では、収集手段203により第2クライアント端末10Bから吸い上げられたファイルを判定対象とし、そのファイルが個人情報ファイルであるか否かの判定を行なう。
【0070】
この第2個人情報探査手段204も、上述した第1個人情報探査手段11と同様、判定対象ファイルをテキストファイルにするテキスト抽出エンジンとして機能するとともに、データベース20bにおける検疫テーブル20b−1(上述した第1クライアント端末10Aにおける検疫テーブル10cと同じもの)を用いて第2クライアント端末10Bの記憶部10bにおけるデータの中から個人情報ファイルを探査する探査エンジンとして機能するものである。つまり、第2個人情報探査手段204は、検疫テーブル20b−1に従って、第2クライアント端末10Bの記憶部10bに存在する各種電子ファイルを参照して個人情報ファイルの探査を行ない、個人情報ファイルであると判定されたファイルをログに書き出すものである。また、本実施形態では、この第2個人情報探査手段204で得られた判定結果(判定値)に基づいて決定されたPマークが、データベース20bにおけるPマークテーブル20b−2(上述した第1クライアント端末10AにおけるPマークテーブル10dと同様のもの)に登録される。
【0071】
なお、第2個人情報探査手段204も、図4に示した第1個人情報探査手段11と同様の機能構成を有しているが、第2個人情報探査手段204では、抽出手段111には記憶部10bに代えて収集手段203が接続され、検疫テーブル10cおよびPマークテーブル10dに代えて検疫テーブル20b−1およびPマークテーブル20b−2が用いられる。また、第2判定手段116には、送受信手段16に代えて送受信手段210が接続され、第2個人情報探査手段204による判定結果は、第2クライアント端末10Bに通知されるようになっている。
【0072】
ここで、個人情報管理サーバ20のデータベース20bには、第1クライアント端末10Aに提供すべき検疫テーブル10cと同じ検疫テーブル20b−1と、第1クライアント端末10の第1個人情報探査手段11による判定結果(Pマーク)および第2個人情報探査手段204による判定結果(Pマーク)を保持するPマークテーブル20b−2と、後述するファイル情報保存手段20b−3とがそなえられている。
【0073】
ファイル情報保存手段20b−3は、初回探査時や定期探査時に、収集手段203によって第2クライアント端末10Bから吸い上げられた最新のファイル情報を、第2個人情報探査手段204により最後に個人情報ファイルの定期探査を行なった時点での、第2クライアント端末10Bにおけるファイルに関する情報として保存するものである。ここで、ファイル情報は、上述した通り、第2クライアント端末10B(記憶部10b)における全てのファイルに関する情報、具体的にはファイル作成/更新日時,ファイルサイズ,ファイル名である。
【0074】
差分抽出手段205は、定期探査時に、第2クライアント端末10Bにおけるファイルに関する最新情報(最新ファイル情報)とファイル情報保存手段20b−3に保存されている情報(最後に個人情報ファイルの定期探査を行なった時点でのファイル情報)とを比較し、最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更されたファイルを、差分ファイルとして、ネットワーク40,送受信手段410および収集手段203を介して第2クライアント端末10Bから定期的に抽出するものである。
【0075】
第2制御手段206は、第2個人情報探査手段204に、図7を参照しながら後述する手順で、最初(本個人情報管理システム1の立ち上げ時/第2クライアント端末10Bの新規接続時)に第2クライアント端末10Bの記憶部10bにおける全データを対象にして個人情報ファイルの探査を一度だけ実行させてから、図10を参照しながら後述するごとく、定期探査タイミングになる都度、個人情報探査プログラムを起動し、差分抽出手段205により抽出された差分ファイルが個人情報ファイルであるか否かを判定する定期探査を第2個人情報探査手段204に実行させるものである。
【0076】
管理コンソール207は、個人情報ファイルの判定条件(上記検疫テーブル10c,20b−1や、個人情報ファイルやPマークを判定するために必要になる所定閾値など)を設定して管理するものである。検疫テーブル10c,20b−1には、上述した電話番号判定条件,電子メールアドレス判定条件,住所判定条件,文字判定条件(上記所定範囲)や不適切文字/不適切文字列が設定される。
【0077】
個人情報管理手段208は、収集手段203によって収集されデータベース20bに格納された探査結果に基づいて、各クライアント端末10(10A,10B)における個人情報ファイルを管理するもので、個人情報探査手段11,204で個人情報ファイルであると判定された電子ファイル(Pマークの付与された電子ファイル;以下、個人情報ファイルという)を管理対象としている。
【0078】
この個人情報管理手段208は、データベース20bのPマークテーブル20b−2に登録されている個人情報ファイルの判定値(またはPマーク)に応じて、個人情報ファイルの利用者(保有者)に注意情報/警告情報を通知したり、個人情報ファイルを、その個人情報ファイルを保存しているクライアント端末10から強制的に捕獲・回収したり、その個人情報ファイルがクライアント端末10から外部へ出力されるのを強制的に禁止したり、その個人情報ファイルを管理者のみがアクセス可能なフォルダ(図示略)に格納したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させたりするものである。
【0079】
例えば、Pマークのランクが“P1”である場合、警告情報によるリコメンドは行なわないが“P1”の個人情報ファイルが存在することをログとして記録する。Pマークのランクが“P2”である場合、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報を通知する。Pマークのランクが“P3”である場合、その個人情報ファイルを保管している利用者が存在する旨を、システム管理者に対し警告情報としてメール等により通知するとともに、その個人情報ファイルの返却を利用者に指示する。Pマークのランクが“P4”である場合、その個人情報ファイルをクライアント端末10から強制的に捕獲・回収したり、個人情報ファイルがクライアント端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させたりする。なお、Pマークのランクが“P4”でなくても、“P3”の個人情報ファイルが所定日数放置された場合には、その個人情報ファイルに対して、Pマークのランクが“P4”である場合と同様の処置を実行するようにしてもよい。
【0080】
また、個人情報管理手段208は、各クライアント端末10もしくはデータベース20bに格納された個人情報ファイルを種々の確度で探査する機能や、表示制御手段26によってその探査結果等を表示部20cに表示させる機能を有している。
表示制御手段209は、表示部20cに各種情報を表示させるべく表示部20cの表示状態を制御するものであり、送受信手段210は、ネットワーク40を介して各クライアント端末10との間で各種情報を送受信するものである。
【0081】
デジタル署名手段211は、第1個人情報探査手段11もしくは第2個人情報探査手段204によって探査された個人情報ファイルに対し、デジタル署名を付与するものである。ここで、デジタル署名は、デジタル文書の正当性を保証するために付けられる暗号化された署名情報で、公開鍵暗号方式の応用によって、デジタル文書(ここでは個人情報ファイル)の作成者を証明し、且つその文書が改竄されていないことを保証するものである。署名者(個人情報管理サーバ20側の管理者)は、自身の秘密鍵を用いて暗号化した署名をデジタル文書に付加して送る。受取人(クライアント端末10側の利用者)は、署名者の公開鍵を用いて署名を復号し、正しい内容かどうか確認する。これにより、第三者による偽造防止のほか、署名者がそのデジタル文書を作成したことの証明にも用いることができる。
【0082】
なお、第1クライアント端末10Aの個人情報ファイルについては、第1クライアント端末10Aからネットワーク40を介して個人情報管理サーバ20へ送信され、デジタル署名手段211によってデジタル署名を付与されてから第1クライアント端末10Aに返送され、デジタル署名を付与されていない元の個人情報ファイルは削除されることになる。また、第2クライアント端末10Bの個人情報ファイルは、個人情報管理サーバ20側での判定後にデジタル署名手段211によってデジタル署名を付与されてから第2クライアント端末10Bに返送され、デジタル署名を付与されていない元の個人情報ファイルは削除されることになる。
【0083】
〔1−5〕本実施形態のファイルアクセス管理サーバの機能構成
図6は本実施形態のファイルアクセス管理サーバ30の機能構成を示すブロック図で、この図5に示すように、本実施形態のファイルアクセス管理サーバ30は、例えば、個人情報管理サーバ20(個人情報管理手段208)から指示された個人情報ファイル(Pマークのランクが“P4”の個人情報ファイル)を管理対象とするもので、各種処理を実行するCPU30aと、後述するごとく暗号鍵や復号鍵などを保存する記憶部30bとをそなえて構成されている。なお、ここでは、Pマークのランクが“P4”の個人情報ファイルを管理対象としているが、Pマークのランクに関係なく、個人情報探査手段11,204によって個人情報ファイルであると判定された全ての電子ファイルをファイルアクセス管理サーバ30の管理対象としてもよい。
【0084】
CPU30aは、後述する送受信手段31,変換手段32,暗号化手段33および判定手段34としての機能を果たすもので、これらの機能は、CPU30aが、ファイルアクセス管理サーバ用のプログラムを実行することによって実現される。また、記憶部30bは、後述するごとく、個人情報ファイルを暗号化するための暗号鍵や、暗号化された個人情報ファイルを復号化するための復号鍵や、暗号化された個人情報ファイルに対するアクセス権限(後述)や、予め登録されている利用者〔暗号化ファイルの閲覧を許可された登録者(社員)〕のユーザID/パスワードなどを保存するもので、例えばハードディスクやRAMによって構成されている。
【0085】
送受信手段31は、ファイルアクセス管理サーバ30が本来有している通信機能によって実現されるものであって、後述する個人情報ファイル受信手段31a,暗号化ファイル送信手段31b,認証情報受信手段31cおよび復号鍵送信手段31dとしての機能を果たす。
個人情報ファイル受信手段31aは、個人情報管理サーバ20からネットワーク30経由で管理対象の個人情報ファイルを受信するものである。
【0086】
変換手段32は、個人情報ファイル受信手段31aによって受信された管理対象の個人情報ファイルを、改竄操作の困難なPDF(Portable Document Format)ファイル等の完成文書ファイルに変換するものである。この変換手段32は例えばPDFドライバによって実現され、このPDFドライバを起動することにより、個人情報ファイルがPDF化され、完成文書ファイルとしてのPDFファイルが生成されるようになっている。
【0087】
暗号化手段33は、変換手段32で得られたPDFファイルを、所定の暗号鍵を用いて暗号化するものである。
暗号化ファイル送信手段31bは、暗号化手段33によって暗号化(鍵掛け)されたファイル(以下、暗号化ファイルという)を、ネットワーク40経由で個人情報管理サーバ20に送信するものである。
【0088】
なお、ファイルアクセス管理サーバ30による管理に際しては、上述のような暗号化手段33による暗号化時に、ポリシー設定によって、各暗号化ファイルに対する各種アクセス権限(閲覧,印刷,コピー等の権限)が利用者毎や暗号化ファイル毎に設定される。その際、システム運用を簡易化すべく1種類のポリシを設定し、そのポリシ設定によって、全ての暗号化ファイルに対する各クライアント端末10でのアクセス権限〔例えば、本システム1を導入している社内の全社員/全利用者(ファイルアクセス管理サーバ30に登録されている全登録者)のアクセス権限〕として、閲覧権限のみを自動的(強制的)に設定・付与し、閲覧以外のアクセス、例えば印刷,コピー,別名保存,画面キャプチャ(スクリーンショット)などのアクセスを一切行なえないようにしてもよい。
【0089】
認証情報受信手段31cは、クライアント端末10もしくは個人情報管理サーバ20での暗号化ファイルに対するアクセス時にクライアント端末10もしくは個人情報管理サーバ20からネットワーク40経由で送信されてくる認証情報を受信するものである。ここで、認証情報は、暗号化ファイルを開こうとしているクライアント端末10もしくは個人情報管理サーバ20の利用者がその暗号化ファイルの正当な送信先(利用者/登録者)であることをファイルアクセス管理サーバ30で判定・認証するために必要な情報であり、ファイルアクセス管理サーバ30によるサービスの利用者についてこのファイルアクセス管理サーバ30(記憶部30b)に予め登録されたユーザIDおよびパスワードを含んでいる。これらのユーザIDおよびパスワードは、暗号化ファイルを開く際に利用者がキーボードやマウスを操作することにより入力される。
【0090】
判定手段34は、認証情報受信手段31cによって受信された認証情報に基づいて、認証情報を送信したクライアント端末10/個人情報管理サーバ20が暗号化ファイルの正当な送信先であるか否かを判定するもので、実際には、利用者によって入力されたユーザIDおよびパスワードが、ファイルアクセス管理サーバ30の記憶部30bに予め登録・保存されているユーザIDおよびパスワードと一致するか否かを判定することにより、その利用者が正当な登録者であるか否かを判定・認証するものである。
【0091】
復号鍵送信手段31dは、判定手段34によって利用者が正当な登録者であることが認証された場合に、暗号化ファイルを復号化するための復号鍵を記憶部30bから読み出してクライアント端末10もしくは個人情報管理サーバ20にネットワーク40経由で送信するものである。
そして、クライアント端末10もしくは個人情報管理サーバ20においては、ファイルアクセス管理サーバ30から復号鍵を受信すると、その復号鍵を用いて暗号化ファイルの復号化を行ない元の個人情報ファイルを復元し、復元された個人情報ファイルに対し、与えられたアクセス権限に応じたアクセス(例えば閲覧)が行なわれるようになる。
【0092】
〔2〕本実施形態の個人情報管理システムの動作
次に、図7〜図13を参照しながら、上述のごとく構成された本実施形態の個人情報管理システム1の動作について説明する。
〔2−1〕個人情報探査手段の動作
本実施形態の個人情報探査手段11,204では、以下のように、電話番号,電子メールアドレス,住所および氏名の出現頻度をそれぞれ数値化し、個人情報ファイルの特定・探査を行なっている。その際、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれている場合、その文字区間は、個人情報要素(本実施形態では氏名)には該当しないものと見なされて除外される一方、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれていない場合、その文字区間は、個人情報をなす個人情報要素に該当するものと見なされて、つまり個人情報要素が出現したものと見なされ、出現回数のカウントアップを行なっている。
【0093】
本実施形態の第1クライアント端末10Aもしくは個人情報管理サーバ20において、上述した個人情報探査手段11,204(個人情報探査プログラム)によって実行される、初回の個人情報ファイルの探査動作の一連の手順を、図7に示すフローチャート(ステップS102〜S118)に従って説明する。
【0094】
本実施形態の個人情報管理システム1を構築する際には、まず、個人情報管理サーバ20として機能すべきコンピュータに個人情報管理サーバ用プログラムをインストールし、そのコンピュータが個人情報管理サーバ用プログラムを実行することにより個人情報管理サーバ20としての機能を果たす。そして、個人情報ファイルの探査・管理を開始する際には、個人情報管理サーバ20により、図10(ステップS402,S403,S411)を参照しながら後述するごとく個人情報探査プログラムの常駐を希望するクライアント端末10に対しネットワーク40経由で個人情報探査プログラムがインストールされる。このようにインストールされた個人情報探査プログラムを第1クライアント端末10AのCPU10aで実行することにより、CPU10aが個人情報探査手段11,検知手段12,第1制御手段13,アクセス監視手段14および送受信手段15としての機能を果たす。なお、個人情報探査プログラムをインストールする際には、検疫テーブル10cも併せて送信される。また、個人情報探査プログラムは、個人情報管理サーバ用プログラムに予め含まれており、その個人情報探査プログラムがクライアント端末10にインストールされるとともに、その個人情報探査プログラムを個人情報管理サーバ20で実行することにより、個人情報管理サーバ20のCPU20aが第2個人情報探査手段204としての機能を果たす。
【0095】
そして、図7は、本個人情報管理システム1の立ち上げ時/個人情報探査プログラムのインストール時/第1クライアント端末10Aの新規接続時に、第1クライアント端末10Aにおいて、第1個人情報探査手段11によって実行される、初回の個人情報ファイルの探査動作の手順、もしくは、本個人情報管理システム1の立ち上げ時/第2クライアント端末10Bの新規接続時に、個人情報管理サーバ20において、第2個人情報探査手段204によって実行される、初回の個人情報ファイルの探査動作の手順を示している。
【0096】
クライアント端末10の全てのデータの中から、まだ判定対象となっていない電子ファイルが判定対象ファイルとして一つ選択されて読み出され(ステップS102)、その判定対象ファイルから抽出手段(テキスト抽出エンジン)111によりテキストデータが抽出される(ステップS103)。
【0097】
このように抽出されたテキストからは、切出手段112により、上述した区切り文字で区切られる文字区間が切り出され、判定対象/照合対象としてバッファ(図示略)に順次書き出される(ステップS104)。文字区間の切り出しに際し、前述したように、切出手段112により、文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。
【0098】
そして、切出手段112によって切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当するか否かを、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cによって順次判定する(ステップS105,S107,S109)。
【0099】
まず、電話番号判定手段113aにより、上記文字列が電話番号に該当するか否かが判定される(ステップS105)。その際、上記文字列が検疫テーブル10cに設定されている電話番号判定条件を満たしていれば、つまり上記文字列中に9〜15桁の数字が含まれていれば、上記文字列が電話番号に該当するものと判定され(ステップS105のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、電話番号の出現回数に対応する計数値が1だけカウントアップされ(ステップS106)、ステップS114の処理へ移行する。
【0100】
上記文字列が電話番号に該当しないと判定された場合(ステップS105のNOルート)、電子メールアドレス判定手段113bにより、上記文字列が電話メールアドレスに該当するか否かが判定される(ステップS107)。その際、上記文字列が検疫テーブル10cに設定されている電子メールアドレス判定条件を満たしていれば、つまり上記文字列中に「一文字以上のASCII」+「@」+「一文字以上のASCII」+「.」+「一文字以上のASCII」となる文字列が含まれていれば、上記文字列が電子メールアドレスに該当するものと判定され(ステップS107のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、電子メールアドレスの出現回数に対応する計数値が1だけカウントアップされ(ステップS108)、ステップS114の処理へ移行する。
【0101】
上記文字列が電子メールアドレスに該当しないと判定された場合(ステップS107のNOルート)、住所判定手段113cにより、上記文字列が住所(居所)に該当するか否かが判定される(ステップS109)。その際、上記文字列が検疫テーブル10cに設定されている住所判定条件を満たしていれば、つまり上記文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていれば、上記文字列が住所に該当するものと判定され(ステップS109のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、住所(居所)の出現回数に対応する計数値が1だけカウントアップされ(ステップS110)、ステップS114の処理へ移行する。
【0102】
上記文字列が住所に該当しないと判定された場合(ステップS109のNOルート)、つまり第1判定手段113によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合、文字判定手段114により、その文字列が、検疫テーブル10cに設定されている文字判定条件(文字数が1以上6以下であり全ての文字が漢字であること)を満たすか否かが判定される(ステップS111)。この文字判定条件を満たさない場合(ステップS111のNOルート)、ステップS114の処理へ移行する。
【0103】
一方、この文字判定条件を満たす場合(ステップS111のYESルート)、照合手段115により、当該文字区間(上記文字列)に含まれる文字/文字列と検疫テーブル10cに設定されている氏名についての不適切文字/不適切文字列とが照合され、当該文字区間に不適切文字/不適切文字列が含まれるか否かが判定される(ステップS112)。当該文字区間に、一つでも不適切文字/不適切文字列と一致する文字/文字列が存在した場合(ステップS112のYESルート)には、その時点不適切文字/不適切文字列との照合処理を直ちに終了し、ステップS114の処理へ移行する。
【0104】
また、当該文字区間に不適切文字/不適切文字列が含まれていない場合(ステップS112のNOルート)、その照合判定結果が第2判定手段116に通知され、この第2判定手段116において、当該文字区間が氏名に該当するものと見なされ、氏名の出現回数に対応する計数値が1だけカウントアップされ(ステップS113)、ステップS114の処理へ移行する。
【0105】
ステップS114では、判定対象ファイルから抽出されたテキストデータから未だ切り出されていない文字区間の有無が判定され、有る場合(YESルート)には、ステップS104に戻り、上述と同様の処理(ステップS104〜S113)を繰り返し実行する。このようにして全ての文字区間がテキストデータから切り出され全ての文字区間に対する判定処理,照合処理,計数処理等を終了すると(ステップS114のNOルート)、第2判定手段116において、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数値に基づいて、上述した判定値が算出される(ステップS115)。
【0106】
そして、第2判定手段116においては、ステップS115で算出された判定値に基づいて、上述したように、判定対象ファイルが個人情報ファイルであるか否かが判定されるとともに、Pマークのランク付け(本実施形態では“P1”〜“P4”の4つ)が行なわれる(ステップS116)。
【0107】
この後、クライアント端末における全ての電子ファイルについて個人情報の探査を行なったか否かを判定し(ステップS117)、まだ未探査の電子ファイルが存在する場合(ステップS117のNOルート)、ステップS102に戻り上述と同様の処理を実行する一方、全ての電子ファイルについて探査を完了した場合(ステップS117のYESルート)、ステップS116での個人情報ファイルの判定結果やPマークのランク付けの結果は、Pマークテーブル10dもしくは20b−2に登録され、送受信手段16およびネットワーク40を介して個人情報管理サーバ20に送信され、個人情報管理サーバ20において、収集手段203によりデータベース20bに登録・保存される(ステップS118)。また、第2クライアント端末10Bの判定結果等については、第2個人情報探査手段204からデータベース20bに登録・保存する(ステップS118)。このようなステップS118の処理完了後、個人情報ファイルの探査動作を終了する。
【0108】
〔2−2〕第1クライアント端末(個人情報探査プログラム常駐端末)の動作
次に、図8に示すフローチャート(ステップS21〜S26)に従って、第1クライアント端末10Aの動作について説明する。より具体的に、ここでは、図7を参照しながら上述した初回の個人情報ファイルの探査後に第1クライアント端末10Aで実行される、リアルタイム探査動作およびアクセス監視動作について説明する。
【0109】
第1クライアント端末10Aでは、検知手段12により、記憶部10bに既に保存されている電子ファイルに対する変更やその記憶部10bへの新たな電子ファイルの追加が監視されており(ステップS21)、ファイルの追加・変更が検知されると(ステップS21のYESルート)、その都度、第1制御手段13により直ちに個人情報探査プログラムが起動され(ステップS22)、第1個人情報探査手段11により、追加・変更されたファイルを判定対象ファイルとして図7のステップS103〜S116による判定処理を実行する(ステップS23)。これにより、追加・変更されたファイルが個人情報ファイルであるか否かを判定するアルタイム探査が実行され、判定結果が個人情報管理サーバ20に通知される(ステップS24)。
【0110】
また、第1クライアント端末10Aでは、アクセス監視手段14により、個人情報ファイル(つまり、Pマークを付与された電子ファイル/第1個人情報探査手段11により個人情報ファイルであると判定された電子ファイル)が監視されており(ステップS25)、その個人情報ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じると(ステップS21のNOルートからステップS25のYESルート)、その旨が、ログ情報として書き出され、送受信手段15およびネットワーク40を介して個人情報管理サーバ20に送信され(ステップS26)、個人情報管理サーバ20において、収集手段203によりデータベース20bに登録・保存される。
【0111】
〔2−3〕第2クライアント端末(個人情報探査プログラム非常駐端末)の動作
次に、図9に示すフローチャート(ステップS31〜S36)に従って、第2クライアント端末10Bの動作について説明する。より具体的に、ここでは、図7を参照しながら上述した初回の個人情報ファイルの探査後に第2クライアント端末10Bで実行される、ファイル/ファイル情報の送信動作およびアクセス監視動作について説明する。
【0112】
第2クライアント端末10Bでは、送受信手段15により、個人情報管理サーバ20からのファイル情報送信要求が監視されており(ステップS31)、ファイル情報送信要求を受けると(ステップS31のYESルート)、ファイルディレクトリを参照し、全ファイルの最新ファイル情報(例えばファイル作成/更新日時,ファイルサイズ,ファイル名)が送受信手段15およびネットワーク40を介して個人情報管理サーバ20に送信される(ステップS32)。
【0113】
また、第2クライアント端末10Bでは、送受信手段15により、個人情報管理サーバ20からの定期探査時の差分ファイルの送信要求が監視されており(ステップS33)、ファイル送信要求を受けると(ステップS31のNOルートからステップS33のYESルート)、その送信要求に応じた差分ファイルが、記憶部10bから読み出され、送受信手段15およびネットワーク40を介して個人情報管理サーバ20に送信される(ステップS34)。
【0114】
さらに、第2クライアント端末10Bでも、第1クライアント端末10Aと同様、アクセス監視手段14により、個人情報ファイル(つまり、Pマークを付与された電子ファイル/個人情報管理サーバ20の第2個人情報探査手段204により個人情報ファイルであると判定された電子ファイル)が監視されており(ステップS35)、その個人情報ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じると(ステップS33のNOルートからステップS35のYESルート)、その旨が、ログ情報として書き出され、送受信手段15およびネットワーク40を介して個人情報管理サーバ20に送信され(ステップS36)、個人情報管理サーバ20において、収集手段203によりデータベース20bに登録・保存される。
【0115】
〔2−4〕個人情報管理サーバの動作
次に、個人情報管理サーバ20の動作について、図10に示すフローチャート(ステップS401〜S428)および図11に示すフローチャート(ステップS501〜S511)に従って説明する。
個人情報管理サーバ20においては、本個人情報管理システム1の立ち上げ、または、ネットワーク40に対するクライアント端末10の新規接続を認識すると(ステップS401のYESルート)、クライアント情報収集手段201により、ネットワーク40を介して通信可能に接続されたクライアント端末10からクライアント情報が収集される(ステップS402)。
【0116】
収集されたクライアント情報から個人情報探査プログラムのインストール要求を発行しているクライアント端末10の有無が認識され(ステップS403)、インストール要求を発行しているクライアント端末10が存在しない場合(ステップS403のNOルート)、個人情報探査プログラムをインストールされていない第2クライアント端末10Bの一つから、ネットワーク40,送受信手段210および収集手段203を介して、その第2クライアント端末10Bの記憶部10bにおける全ファイルを吸い上げ、第2クライアント端末10Bにおける最新ファイル情報とともに受信する(ステップS404)。
【0117】
この後、当該第2クライアント端末10Bの全ファイルに対する初回の個人情報ファイルの探査を図7に示したステップS102〜S117の手順に従って実行し(ステップS405)、これにより得られた判定結果やPマークのランク付けの結果は、第2個人情報探査手段204からデータベース20bに登録・保存される(ステップS406,S117)。このとき、第2クライアント端末10Bから送信されてきた最新ファイル情報が、最後の定期探査時のファイル情報として、データベース20bのファイル情報保存手段20b−3に登録・保存される(ステップS407)。
【0118】
そして、全ての第2クライアント端末10Bに対する初回探査を完了したか否かを判定し(ステップS408)、まだ未探査の第2クライアント端末10Bが存在する場合(ステップS408のNOルート)、ステップS404に戻り上述と同様の処理を実行する一方、全ての第2クライアント端末10Bに対する初回探査を完了した場合(ステップS408のYESルート)、データベース20bに登録・保存された探査結果〔ここではPマークレベル(ランク)〕に応じて、個人情報管理手段208により、各個人情報ファイルに対する管理・操作が行なわれる(ステップS409)。個人情報管理手段208による管理・操作の詳細については、図11を参照しながら後述する。
【0119】
一方、インストール要求を発行しているクライアント端末10が存在する場合(ステップS403のYESルート)、そのクライアント端末10に対し、インストール手段202により、ネットワーク40経由で個人情報探査プログラムがインストールされる(ステップS410)。個人情報探査プログラムのインストール後、個人情報探査プログラムのインストール要求を発行していないクライアント端末10(つまり第2クライアント端末10B)の有無を認識し(ステップS411)、第2クライアント端末10Bが存在する場合(ステップS411のYESルート)、前述したステップS404〜S408と同様の処理を実行して第2クライアント端末10Bに対する初回探査を実行する(ステップS412)。
【0120】
第2クライアント端末10Bが存在しない場合(ステップS411のNOルート)、もしくは、ステップS412による初回探査を完了した後、個人情報探査プログラムをインストールされた第1クライアント端末10Aにおいて個人情報探査プログラムを実行することにより行なわれた個人情報ファイルの初回探査の結果(個人情報ファイルのリンク先情報,判定値,Pマークなど)が、収集手段203により、ネットワーク40および送受信手段210を介して受信・収集され、データベース20bに登録・保存されるのを待機し(ステップS413)、第1クライアント端末10Aの初回探査結果が得られると(ステップS413のYESルート)、データベース20bに登録・保存された探査結果に応じて、個人情報管理手段208により、後述するごとく各個人情報ファイルに対する管理・操作が行なわれる(ステップS409)。
【0121】
また、個人情報管理サーバ20が、第1クライアント端末10Aからリアルタイム探査結果を受信したことを認識すると(ステップS401のNOルートからステップS414のYESルート)、データベース20bに登録・保存されたリアルタイム探査結果に応じて、個人情報管理手段208により、後述するごとく各個人情報ファイルに対する管理・操作が行なわれる(ステップS409)。
【0122】
さらに、個人情報管理サーバ20が、第2クライアント端末10Bに対する定期探査を実行するタイミングを認識すると(ステップS414のNOルートからステップS415のYESルート)、定期探査対象の第2クライアント端末10Bに対し、最新のファイル情報を送信するようファイル情報送信要求を発行し、第2クライアント端末10Bからネットワーク40,送受信手段210および収集手段203を介して第2クライアント端末10Bにおける全てのファイルについての最新ファイル情報(ファイル作成/更新日時,ファイルサイズ,ファイル名)を取得する(ステップS416)。
【0123】
そして、差分抽出手段205により、ステップS416で取得された最新ファイル情報と、ファイル情報保存手段20b−3に保存されている、前回(最後に)個人情報ファイルの定期探査を行なった時点での当該第2クライアント端末10Bについてのファイル情報とを比較し、ファイル作成/更新日時,ファイルサイズ,ファイル名の変化の有無を判定する(ステップS417)。これにより、これらの情報が新規追加されたファイルや、これらの情報の少なくとも一部が変更されているファイル、つまり最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更されたファイルが、差分ファイルとして認識されることになる(ステップS418)。
【0124】
差分ファイルが存在することが認識された場合(ステップS418のYESルート)、当該第2クライアント端末10Bに対し、追加・変更されたファイル(差分ファイル)を送信するようファイル送信要求を発行し、当該第2クライアント端末10Bからネットワーク40,送受信手段210および収集手段203を介して差分ファイルを受信・抽出する(ステップS419)。
【0125】
この後、第2制御手段206により個人情報探査プログラムが起動され(ステップS420)、第2個人情報探査手段204により、差分ファイルを判定対象ファイルとして図7のステップ103〜S116による判定処理を実行する(ステップS421)。これにより、差分ファイルが個人情報ファイルであるか否かを判定する定期探査が実行され、その判定結果(定期探査結果)がデータベース20bに登録・保存される(ステップS422)。
【0126】
このとき、ステップS416で取得された最新ファイル情報は、最後に個人情報ファイルの定期探査を行なった時点でのファイル情報として、データベース20bのファイル情報保存手段20b−3に登録・保存される(ステップS423)。
そして、データベース20bに登録・保存された定期探査結果に応じて、個人情報管理手段208により、後述するごとく各個人情報ファイルに対する管理・操作が行なわれる(ステップS409)。
【0127】
一方、個人情報管理サーバ20では、ネットワーク40に既に接続されている第2クライアント端末10Bから、個人情報探査プログラムのインストール要求を受けると(ステップS415のNOルートからステップS424のYESルート)、その第2クライアント端末10Bに対し、インストール手段202により、ネットワーク40経由で個人情報探査プログラムがインストールされる(ステップS425)。
【0128】
これにより、第2クライアント端末10Bには、個人情報探査プログラムが常駐することになり、以降、第1クライアント端末10Aとして扱われることになる。このとき、データベース20bに保存されていた、その第1クライアント端末10Aに対応するPマークテーブル20b−2が、Pマークテーブル10dとして第1クライアント端末10Aに転送される(ステップS426)。
【0129】
さらに、個人情報管理サーバ20において、クライアント端末10からアクセスログ情報(図8のステップS25や図9のステップS36で通知されたログ情報)を受信すると(ステップS424のNOルートからステップS427のYESルート)、そのアクセスログ情報が、データベース20bに記録・保存される(ステップS428)。
【0130】
ついで、ステップS409で行なわれる、個人情報管理手段208による各個人情報ファイルに対する管理・操作について、図11を参照しながら説明する。
個人情報管理手段208では、データベース20bにおける初回探査結果,リアルタイム探査結果および定期探査結果(Pマークテーブル20b−2)を参照し、個人情報ファイル(Pマークを付与されたファイル)の有無を判定する(ステップS501)。
【0131】
個人情報ファイルが存在する場合(ステップS501のYESルート)、その個人情報ファイルに対し、デジタル署名付与手段211によってデジタル署名を付与させた後(ステップS502)、個人情報ファイルの探査結果〔ここではPマークレベル(ランク)〕に応じて、個人情報管理手段208により、各個人情報ファイルに対する管理・操作が以下のように行なわれる(ステップS503〜S511)。
【0132】
まず、Pマークレベル“P1”の個人情報ファイルの有無が判定され(ステップS503)、Pマークレベル“P1”の個人情報ファイルがある場合(ステップS503のYESルート)、その個人情報ファイルをアクセス監視対象(アクセスログの記録対象)として設定・登録する(ステップS504)。
【0133】
Pマークレベル“P1”の個人情報ファイルがない場合(ステップS503のNOルート)、もしくは、ステップS504での登録後、Pマークレベル“P2”の個人情報ファイルの有無が判定され(ステップS505)、Pマークレベル“P2”の個人情報ファイルがある場合(ステップS505のYESルート)、その個人情報ファイルをアクセス監視対象として設定・登録するとともに、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報が通知される(ステップS506)。
【0134】
Pマークレベル“P2”の個人情報ファイルがない場合(ステップS505のNOルート)、もしくは、ステップS506での注意情報通知後、Pマークレベル“P3”の個人情報ファイルの有無が判定され(ステップS507)、Pマークレベル“P3”の個人情報ファイルがある場合(ステップS507のYESルート)、その個人情報ファイルをアクセス監視対象として設定・登録するとともに、その個人情報ファイルを保管している利用者が存在する旨が、システム管理者に対し警告情報としてメール等により通知されるとともに、その個人情報ファイルの返却が利用者に指示される(ステップS508)。
【0135】
Pマークレベル“P3”の個人情報ファイルがない場合(ステップS507のNOルート)、もしくは、ステップS508で警報情報通知および返却指示を行なった後、Pマークレベル“P4”の個人情報ファイルの有無が判定され(ステップS509)、Pマークレベル“P4”の個人情報ファイルがある場合(ステップS509のYESルート)、その個人情報ファイルがクライアント端末10から強制的に捕獲・回収され(ステップS510)、さらに、その個人情報ファイルをファイルアクセス管理サーバ30の管理下に置き、その個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させる(ステップS511)。Pマークレベル“P4”の個人情報ファイルがない場合(ステップS509のNOルート)、もしくは、ステップS511での処理終了後、処理を終了する。
【0136】
なお、前述した通り、Pマークレベル“P4”の個人情報ファイルについては、その個人情報ファイルがクライアント端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したりしてもよい。また、Pマークレベル“P3”の個人情報ファイルが所定日数放置された場合、Pマークレベル“P4”の個人情報ファイルと同様の処置を実行してもよい。さらに、Pマークレベル“P1”〜“P4”の個人情報ファイルの全てをファイルアクセス管理サーバ30の管理下に置くようにしてもよい。
【0137】
〔2−5〕ファイルアクセス管理サーバの動作
次に、図12および図13を参照しながら、ファイルアクセス管理サーバ30の動作について説明する。
まず、図12に示すフローチャート(ステップS61〜S64)に従って、本実施形態のファイルアクセス管理サーバ30によるファイル変換動作を説明する。
【0138】
ファイルアクセス管理サーバ30において、ファイルアクセス管理サーバ30の管理下に置くように指示された個人情報ファイル(管理対象の電子ファイル)が、個人情報管理サーバ20(個人情報管理手段208)からネットワーク40経由で個人情報ファイル受信手段31aにより受信されると(ステップS61のYESルート)、その個人情報ファイルが、変換手段32によりPDFファイルに変換され(ステップS62)、さらに暗号化手段33により、所定の暗号鍵を用いて暗号化処理(鍵掛け処理)が行なわれる(ステップS63)。そして、暗号化ファイルは、暗号化ファイル送信手段31bによりネットワーク40経由で個人情報管理サーバ20に送信される(ステップS64)。
【0139】
ついで、図13に示すフローチャート(ステップS71〜S75)に従って、本実施形態のファイルアクセス管理サーバ30による認証動作について説明する。
クライアント端末10の利用者や個人情報管理サーバ20の利用者(管理者)が、暗号化ファイルの内容を閲覧しようとする場合、その利用者によって認証情報が入力されファイルアクセス管理サーバ30へ送信される。そして、その認証情報がネットワーク40経由で認証情報受信手段31cにより受信されると(ステップS71のYESルート)、判定手段34は、認証情報に含まれるユーザIDによって記憶部30bを検索し、そのユーザIDに対応する登録パスワードを記憶部30bから読み出し、認証情報に含まれるパスワードと、記憶部30bから読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定(クライアント認証;ステップS72)を行なう。
【0140】
これらのパスワードが一致し、クライアント端末10もしくは個人情報管理サーバ20の利用者が正当な登録者(正当な送信先)であることが認証されると(ステップS73のYESルート)、復号鍵送信手段31dにより、暗号化ファイルを復号化するための復号鍵が記憶部30bから読み出され、そのクライアント端末10もしくは個人情報管理サーバ20にネットワーク40経由で送信される(ステップS74)。
【0141】
そして、クライアント端末10もしくは個人情報管理サーバ20において、復号鍵が受信されると、その復号鍵を用いて暗号化ファイルが復号化されて元の個人情報ファイルが復元され、その個人情報ファイルに対し、予め与えられたアクセス権限に応じたアクセスが実行される。例えば、前述したようにアクセス権限として閲覧権限のみが与えられている場合、利用者は、復元された個人情報ファイルの内容を閲覧することはできるが、閲覧以外のアクセス、例えばプリンタによる印刷出力や他の記録媒体へのコピーや画面コピー(画面キャプチャ)や別名保存などのアクセスは一切行なうことができない。
【0142】
一方、ファイルアクセス管理サーバ30の判定手段34によりパスワードが不一致であると判定された場合、もしくは、ユーザIDに対応する登録パスワードが記憶部30bに登録されていなかった場合には、利用者が正当な登録者(正当な送信先)ではないと判定され(ステップS73のNOルート)、ファイルアクセス管理サーバ30からクライアント端末10もしくは個人情報管理サーバ20にネットワーク40経由でエラー通知が行なわれる(ステップS75)。
【0143】
〔3〕本実施形態の個人情報管理システムの効果
このように、本発明の一実施形態としての個人情報管理システム1によれば、個人情報探査プログラムを常駐させている第1クライアント端末10Aでは、ファイルの追加・変更が検知されると、個人情報探査プログラムが起動されてリアルタイム探査が実行され、追加・変更されたファイルが個人情報ファイルであるか否かの判定が行なわれ、その判定結果が個人情報管理サーバ20に送信される。これに対し、個人情報探査プログラムを常駐させていない第2クライアント端末10Bにおけるファイルについては個人情報管理サーバ20によって管理され、第2クライアント端末10Bにおけるファイルに関する最新情報と最後に個人情報ファイルの定期探査を行なった時点のファイルに関する情報との差分が定期的に監視され、その差分に対応するファイルが第2クライアント端末10Bから個人情報管理サーバ20側に抽出されて(吸い上げられて)定期探査が実行され、吸い上げられたファイルが個人情報ファイルであるか否かの判定が個人情報管理サーバ20で行なわれる。
【0144】
これにより、個人情報探査プログラム常駐の端末10Aにおける個人情報ファイルついても、また、個人情報探査プログラム非常駐の端末10Bにおける個人情報ファイルについても、自動的に探査して個人情報管理サーバ20の管理下に置くことが可能になる。
その際、最初に、個人情報探査プログラム常駐の端末10Aにおいて全データを対象にして個人情報ファイルの探査を1回だけ実行するとともに個人情報探査プログラム非常駐の端末10Bについては個人情報管理サーバ20がネットワーク40を介して全データを対象にして個人情報ファイルの探査を1回だけ実行しておけば、それ以降は、上述のごとく、追加・変更されたファイルや差分ファイルに対する探査(判定)を行なうだけで、毎回、全てのデータを対象にした探査を行なうことなく、各端末10において新たに作成・追加された個人情報ファイルを、極めて効率よく確実に探査することができる。
【0145】
従って、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイル(個人情報ファイルである可能性の高い電子ファイル)を確実に探査し管理可能な状態に置くことができる。従って、個人情報の開示要求や訂正要求に確実に対応できるようにするとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することを目的としている。
【0146】
このとき、第2クライアント端末10Bにおける差分ファイルを抽出するための、ファイル情報としては、少なくともファイル作成/更新日時,ファイルサイズ,ファイル名を用いることができ、その情報を参照しその情報の変更・追加を認識するだけで、差分ファイルを極めて容易に認識して抽出することができる。
【0147】
また、個人情報管理サーバ20が、ネットワーク40に接続されたクライアント端末10に対し、そのクライアント端末10の利用者からの要求に応じて個人情報探査プログラムをインストールするように構成することにより、クライアント端末10毎に、その利用者が個人情報探査プログラムの常駐/非常駐を選択して設定できるので、利用者が、メモリ容量や、他プログラムとの相性の問題などの理由で個人情報探査プログラムの非常駐を要望する場合、その要望に対応することができ、利便性が高められる。非常駐を選択・設定された端末は、上述した第2クライアント端末10Bとして取り扱われ、個人情報管理サーバ20による定期探査対象となる。
【0148】
さらに、本実施形態の個人情報管理システム1において探査された個人情報ファイルに対しデジタル署名を付与することにより、個人情報ファイルが改竄されていないことを保証することができ、第三者による偽造を防止することができる。
【0149】
また、本実施形態の個人情報管理システム1において探査された個人情報ファイルは、各個人情報ファイルに付与されたPマーク(ランク/レベル)に応じ、個人情報管理サーバ20(個人情報管理手段208)によって管理され、個人情報ファイルをクライアント端末10(記憶部10b)から強制的に捕獲・回収したり、回収された個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したり、個人情報ファイルがクライアント端末10(記憶部10b)から外部へ出力されるのを強制的に禁止したり、個人情報ファイルの利用者(保有者)やシステム管理者に注意情報/警告情報を通知したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させたりすることが可能で、個人情報の不用意な流出・漏洩や個人情報の不正利用などをより確実に防止することができる。
【0150】
さらに、各クライアント端末10においてアクセス監視手段14により個人情報ファイルであると判定された電子ファイル(本実施形態ではPマークを付与されたファイル)が監視され、その電子ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じた場合にはその旨がログ情報として個人情報管理サーバ20に送信されデータベース20bに登録・保存されるので、個人情報ファイルである可能性の高い電子ファイルに対するアクセス(操作・変更履歴)が、個人情報管理サーバ20で追跡管理(トラッキング)されることになり、個人情報の不正利用をより確実に防止することができる。
【0151】
一方、本実施形態の個人情報管理システム1において、個人情報探査プログラムをコンピュータ(CPU10a,20a)で実行することによって実現される個人情報探査機能によれば、第2判定手段116において、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。
【0152】
従って、第1判定手段113において電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についてのみ不適切文字/不適切文字列との照合処理が行なわれ、さらに、照合手段115において不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう従来手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探査処理を高速に行なうことが可能になる。
【0153】
このとき、第1判定手段113において、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で文字区間における文字列の判定処理を行なうことで、判定処理をより高速に効率良く実行することが可能になる。
また、第2判定手段116において不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まない電子ファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高い電子ファイルを確実に探査することが可能になる。つまり、本実施形態によって個人情報ファイルであると判定される電子ファイルの数は、従来手法に比べよりも多くなり、個人情報ファイルである可能性の高い電子ファイル(疑わしい電子ファイル)を確実に洗い出すことができる。
【0154】
さらに、本実施形態では、文字判定手段114により、文字区間の文字数が1以上6以下であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合手段115による照合対象としているので、照合手段115による照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が6を超える長い文字区間が、照合手段115による照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探査処理のさらなる高速化に寄与することになる。
【0155】
そして、個人情報管理サーバ20が、上述した個人情報探査プログラムを実行することにより判定対象ファイル毎に算出された判定値(Pマーク)に応じて、判定対象ファイルや個人情報ファイルを管理することにより、判定対象ファイルや個人情報ファイル毎に、判定値レベル(個人情報ファイルである可能性の高さ/個人情報要素数の多さ)に応じた管理手法を選択して実行することができる。
【0156】
〔4〕その他
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
例えば、上述した実施形態では、個人情報ファイルを探査・管理する場合について説明したが、本発明は、企業内等で守秘情報(守秘義務のある情報)を探査・管理する場合にも上述と同様に適用され、上記実施形態と同様の作用効果を得ることができ、守秘情報の不用意な流出・漏洩や守秘情報の不正利用などを確実に防止することができる。その場合、不適切文字や不適切文字列としては、その守秘情報において出現し得ない文字もしくは文字列を設定することになる。
【0157】
また、上述した実施形態では、氏名以外の個人情報要素が、電話番号,電子メールアドレス,住所の3要素である場合について説明したが、本発明は、これに限定されるものでなく、氏名以外の個人情報要素としては、例えば、生年月日,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号などを用いてもよい。
【0158】
さらに、各クライアント端末10の個人情報探査手段11,204による探査(記憶部10bに保存されている全ての電子ファイルに対する探査)を完了しない間は、そのクライアント端末10の記憶部10bにおける電子ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更など;より具体的には、外部記録媒体への出力,メール添付など)を禁止するように構成してもよい。この場合、個人情報ファイルであると判定される電子ファイルの有無が確認され、個人情報ファイルであると判定された電子ファイルを個人情報管理サーバ20(もしくはファイルアクセス管理サーバ30)の管理下に置くまでは、そのクライアント端末10の記憶部10bにおける電子ファイルに対するアクセスが禁止されることになるので、より確実に個人情報の流出・漏洩を防止することが可能になる。
【0159】
ところで、第1クライアント端末10Aにおける、上述した第1個人情報探査手段11,検知手段12,第1制御手段13,アクセス監視手段14および送受信手段15としての機能(各手段の全部もしくは一部の機能)は、上述した通り、コンピュータ(CPU,情報処理装置,各種端末を含む)が、個人情報管理サーバ20からインストールされた所定のアプリケーションプログラム(個人情報探査プログラム)を実行することによって実現される。
【0160】
また、個人情報管理サーバ20における、上述したクライアント情報収集手段201,インストール手段202,収集手段203,第2個人情報探査手段204,差分抽出手段205,第2制御手段206,管理コンソール207,個人情報管理手段208,表示制御手段209,送受信手段210およびデジタル署名手段211としての機能(各手段の全部もしくは一部の機能)は、上述した通りコンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラム(個人情報管理サーバ用プログラム)を実行することによって実現される。
【0161】
個人情報探査プログラムを含む個人情報管理サーバ用プログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体から個人情報管理サーバ用プログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。
【0162】
ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたコンピュータプログラムを読み取るための手段とをそなえている。
【0163】
上記個人情報探査プログラムや上記個人情報管理サーバ用プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、個人情報探査手段11,CPU使用率監視手段12,入出力監視手段13,制御手段14,アクセス監視手段15,送受信手段16,クライアント情報収集手段201,インストール手段202,収集手段203,第2個人情報探査手段204,差分抽出手段205,第2制御手段206,管理コンソール207,個人情報管理手段208,表示制御手段209,送受信手段210およびデジタル署名手段211としての機能を実現させるプログラムコードを含んでいる。また、その機能の一部はアプリケーションプログラムではなくOSによって実現されてもよい。
【0164】
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROM等のメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。
【図面の簡単な説明】
【0165】
【図1】本発明の一実施形態としての個人情報管理システムの構成を示すブロック図である。
【図2】本実施形態の第1クライアント端末(個人情報探査プログラム常駐端末)の機能構成を示すブロック図である。
【図3】本実施形態の第2クライアント端末(個人情報探査プログラム常駐非端末)の機能構成を示すブロック図である。
【図4】本実施形態の第1クライアント端末における第1個人情報探査手段の詳細な機能構成を示すブロック図である。
【図5】本実施形態の個人情報管理サーバの機能構成を示すブロック図である。
【図6】本実施形態のファイルアクセス管理サーバの機能構成を示すブロック図である。
【図7】本実施形態の個人情報探査手段の動作を説明するためのフローチャートである。
【図8】本実施形態の第1クライアント端末の動作を説明するためのフローチャートである。
【図9】本実施形態の第2クライアント端末の動作を説明するためのフローチャートである。
【図10】本実施形態の個人情報管理サーバの動作を説明するためのフローチャートである。
【図11】本実施形態の個人情報管理サーバの動作を説明するためのフローチャートである。
【図12】本実施形態のファイルアクセス管理サーバによるファイル変換動作を説明するためのフローチャートである。
【図13】本実施形態のファイルアクセス管理サーバによる認証動作を説明するためのフローチャートである。
【符号の説明】
【0166】
1 個人情報管理システム
10 クライアント端末
10A 第1クライアント端末(個人情報探査プログラム常駐端末)
10B 第2クライアント端末(個人情報探査プログラム非常駐端末)
10a CPU
10b 記憶部
10c 検疫テーブル
10d Pマークテーブル
11 第1個人情報探査手段(探査エンジン,テキスト抽出エンジン)
111 抽出手段
112 切出手段
113 第1判定手段
113a 電話番号判定手段
113b 電子メールアドレス判定手段
113c 住所判定手段
114 文字判定手段
115 照合手段
116 第2判定手段
12 検知手段
13 第1制御手段
14 アクセス監視手段
15 送受信手段(送信手段)
20 個人情報管理サーバ
20a CPU
20b データベース
20b−1 検疫テーブル
20b−2 Pマークテーブル
20b−3 ファイル情報保存手段
20c 表示部
201 クライアント情報収集手段
202 インストール手段
203 収集手段
204 第2個人情報探査手段(探査エンジン,テキスト抽出エンジン)
205 差分抽出手段
206 第2制御手段
207 管理コンソール
208 個人情報管理手段
209 表示制御手段
210 送受信手段
211 デジタル署名手段
30 ファイルアクセス管理サーバ
30a CPU
30b 記憶部
31 送受信手段
31a 個人情報ファイル受信手段
31b 暗号化ファイル送信手段
31c 認証情報受信手段
31d 復号鍵送信手段
32 変換手段
33 暗号化手段
34 判定手段
40 ネットワーク(社内LAN)
【技術分野】
【0001】
本発明は、特定の個人を識別可能な個人情報を含む電子ファイルを個人情報ファイルとして探査し、探査された個人情報ファイルを管理する技術に関する。
【背景技術】
【0002】
近年、個人情報の保護の意識の高まりに伴い、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することが望まれている。また、個人情報保護法の施行に伴って、個人情報取扱事業者は、個人情報の流出・漏洩や不正利用を防止しながら、各個人から個人情報の開示要求や訂正要求を受けた場合にその個人情報の開示や訂正を行なうことが義務付けられている。
【0003】
ここで、個人情報とは、単体もしくは組合せによって特定の個人を識別することのできる情報で、例えば氏名,生年月日,連絡先(住所,居所,電話番号,電子メールアドレス)などが含まれる。各種企業内で保存されて取り扱われる顧客情報,取引先情報などが個人情報に該当する場合が多く、今後、このような個人情報を多数取り扱う企業は、個人情報取扱事業者として上述のような義務を果たさなければならない。
【0004】
上述のような義務を果たすためには、個人情報のための集中管理システムを導入して個人情報の一元化をはかることが必要不可欠となる。しかしながら、現実には、企業内において、顧客情報,取引先情報などの個人情報は、社員個人のパーソナルコンピュータ(以下、PCと略記する場合がある)や各部署のサーバに、ばらばらに分散して存在している場合が多い。より具体的には、個々の社員が各自の業務都合で自分のPCに個人情報(顧客情報等)を保存していたり、中央データベース、あるいは、各社員によって独自に収集された個人情報のサブセットが複数のPCにまちまちに存在していたりする。
【0005】
このため、上記集中管理システムを構築する場合や分散状態のままで上記義務を果たそうとする場合、いずれの場合であっても、管理者は、まず最初に、企業内にばらばらに存在する個人情報の洗い出しを行ない、企業内のどこにどのような個人情報が存在しているかを把握する必要があるが、現状、個人情報の洗い出しは、管理者が各社員に指示し人間対人間で全社・全部門の人的な協力を得て行なわれることになる。
【0006】
なお、例えば、下記特許文献1においては、個人情報保護法の施行に伴い、個人情報の流出・漏洩や不正利用を防止する個人情報保護サービスを提供するための技術「個人情報保護サービス事業の処理方法および装置」が提案・開示されている。しかし、下記特許文献1には、上述したような個人情報の洗い出しに関する技術については何ら開示されていない。
【特許文献1】特開2002−183367号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、各社員からの申告といった人的な協力のもとで個人情報の洗い出しを行なうと、手間がかかるだけでなく全ての個人情報を確実に漏れなく洗い出すのは困難になる。特に、個人情報の分散化が進んでいると、個人情報の洗い出しは極めて困難になる。
また、個人情報の洗い出しに漏れがあると、上記義務を果たせなくなるだけでなく、その個人情報の状態を管理できず、個人情報の不用意な流出・漏洩や個人情報の不正利用を招くおそれもある。
【0008】
従って、企業内の多数の端末に分散して存在する全ての個人情報ファイルを確実に探査し管理可能な状態に置くことが望まれている。
また、各端末において新たに作成・追加された個人情報ファイルを確実に洗い出すためには、例えば定期的に個人情報ファイルの探査を行なう必要がある。しかし、各端末における全てのデータを対象にして上述のような定期的な探査を行なうと、探査の都度、多大な処理時間を要することになってしまう。このため、各端末に応じた探査手法によって個人情報ファイルの探査を効率よく行なえるようにすることも望まれている。
【0009】
本発明は、このような状況に鑑み創案されたもので、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイルを確実に探査し管理可能な状態に置けるようにして、個人情報の開示要求や訂正要求に確実に対応できるようにするとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することを目的としている。さらに、本発明は、各端末において新たに作成・追加された個人情報ファイルを、効率よく確実に探査できるようにすることを目的としている。
【課題を解決するための手段】
【0010】
上記目的を達成するために、本発明の個人情報管理システムは、複数のクライアント端末と、該複数のクライアント端末とネットワークを介して相互に通信可能に接続され、該複数のクライアント端末における個人情報ファイルを管理する個人情報管理サーバとをそなえるとともに、該複数のクライアント端末が、個人情報ファイルの探査を実行するための個人情報探査プログラムを常駐させている第1クライアント端末と、前記個人情報探査プログラムを常駐させていない第2クライアント端末とを含み、該第1クライアント端末が、前記個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう第1個人情報探査手段と、該第1クライアント端末におけるファイルの追加・変更を検知する検知手段と、該検知手段によりファイルの追加・変更を検知した場合に、前記個人情報探査プログラムを起動し、追加・変更された当該ファイルが個人情報ファイルであるか否かを判定するアルタイム探査を該第1個人情報探査手段に実行させる第1制御手段と、該第1個人情報探査手段により当該ファイルが個人情報ファイルであると判定された場合、該ネットワークを介して該第1個人情報探査手段による判定結果を該個人情報管理サーバへ送信する送信手段とをそなえて構成され、該個人情報管理サーバが、前記個人情報探査プログラムを実行することにより該ネットワークを介して該第2クライアント端末における個人情報ファイルの探査を行なう第2個人情報探査手段と、該第2個人情報探査手段により最後に個人情報ファイルの定期探査を行なった時点での、該第2クライアント端末におけるファイルに関する情報を保存するファイル情報保存手段と、該第2クライアント端末におけるファイルに関する最新情報と該ファイル情報保存手段に保存されている情報とを比較し、最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更されたファイルを、差分ファイルとして、該ネットワークを介して該第2クライアント端末から定期的に抽出する差分抽出手段と、該差分抽出手段により抽出された前記差分ファイルが個人情報ファイルであるか否かを判定する定期探査を該第2個人情報探査手段に実行させる第2制御手段とをそなえて構成されていることを特徴としている。
【0011】
この個人情報管理システムにおいては、該第1制御手段が、該第1個人情報探査手段に、最初に該第1クライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、前記リアルタイム探査を実行させることが好ましく、また、該第2制御手段が、該第2個人情報探査手段に、最初に該第2クライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、前記定期探査を実行させることが好ましい。
【0012】
また、該ファイル情報保存手段が、ファイルに関する情報として、少なくともファイル作成/更新日時,ファイルサイズ,ファイル名を保存してもよいし、該個人情報管理サーバに、該ネットワークに接続されたクライアント端末に対し、当該クライアント端末の利用者からの要求に応じて前記個人情報探査プログラムをインストールするインストール手段や、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルに対し、デジタル署名を付与するデジタル署名手段をそなえて構成してもよい。
【0013】
このとき、該個人情報管理サーバが、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを保存しているクライアント端末から当該個人情報ファイルを強制的に回収してもよいし、回収された個人情報ファイルを管理者のみがアクセス可能なフォルダに格納してもよい。また、該個人情報管理サーバが、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを保存しているクライアント端末から当該個人情報ファイルが外部へ出力されるのを強制的に禁止したり、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを保存しているクライアント端末に対し警告情報を通知したりしてもよい。
【0014】
また、該複数のクライアント端末のそれぞれに、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを監視し、当該個人情報ファイルに対するアクセスが生じた場合にはその旨を該個人情報管理サーバに通知するアクセス監視手段をそなえて構成してもよい。
【0015】
さらに、上記個人情報管理システムにおいて、該個人情報管理サーバと相互に通信可能に接続され、電子ファイルに対するアクセスを管理するファイルアクセス管理サーバをさらにそなえ、該個人情報管理サーバが、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルに対するアクセスを該ファイルアクセス管理サーバに管理させるように構成してもよい。
【0016】
そして、前記個人情報探査プログラムが、判定対象ファイルが特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルであるか否かを判定する機能をコンピュータに実現させるためのものであって、当該判定対象ファイルに含まれるテキストデータを抽出する抽出手段、該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段、該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段、該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段、該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段、および、該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段として、該コンピュータを機能させてもよい。
【0017】
このとき、該第1判定手段において、該切出手段によって切り出された文字区間における文字列が、電話番号に該当するか否かを判定し、電話番号に該当しない場合に電子メールアドレスに該当するか否かを判定し、電子メールアドレスに該当しない場合に住所に該当するか否かを判定し、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当すると判定された時点で、当該文字列についての判定処理を終了してもよい。
【0018】
また、該第2判定手段が、該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間における文字列を氏名に該当する個人情報要素と見なして、当該判定対象ファイルが個人情報ファイルであるか否かを判定してもよい。
さらに、該第2判定手段が、前記計数結果に基づいて、該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とが多いほど大きくなる判定値を算出し、算出された判定値が所定閾値を超えた場合に当該判定対象ファイルが個人情報ファイルであると判定してもよい。
【0019】
そして、該個人情報管理サーバが、該第2判定手段によって算出された前記判定値に応じて、当該判定対象ファイルを管理したり、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを管理対象とし、該第2判定手段によって算出された前記判定値に応じて、当該個人情報ファイルを管理したりしてもよい。
【発明の効果】
【0020】
上述した本発明の個人情報管理システムによれば、個人情報探査プログラムを常駐させている第1クライアント端末では、ファイルの追加・変更が検知されると、個人情報探査プログラムが起動されてリアルタイム探査が実行され、追加・変更されたファイルが個人情報ファイルであるか否かの判定が行なわれ、その判定結果が個人情報管理サーバに送信される。これに対し、個人情報探査プログラムを常駐させていない第2クライアント端末におけるファイルについては個人情報管理サーバによって管理され、第2クライアント端末におけるファイルに関する最新情報と最後に個人情報ファイルの定期探査を行なった時点のファイルに関する情報との差分が定期的に監視され、その差分に対応するファイルが第2クライアント端末から個人情報管理サーバ側に抽出されて(吸い上げられて)定期探査が実行され、吸い上げられたファイルが個人情報ファイルであるか否かの判定が個人情報管理サーバで行なわれる。
【0021】
これにより、個人情報探査プログラム常駐の端末における個人情報ファイルついても、また、個人情報探査プログラム非常駐の端末における個人情報ファイルについても、自動的に探査して個人情報管理サーバの管理下に置くことが可能になる。
その際、最初に、個人情報探査プログラム常駐の端末において全データを対象にして個人情報ファイルの探査を1回だけ実行するとともに個人情報探査プログラム非常駐の端末については個人情報管理サーバがネットワークを介して全データを対象にして個人情報ファイルの探査を1回だけ実行しておけば、それ以降は、上述のごとく、追加・変更されたファイルや差分ファイルに対する探査(判定)を行なうだけで、毎回、全てのデータを対象にした探査を行なうことなく、各端末において新たに作成・追加された個人情報ファイルを、極めて効率よく確実に探査することができる。
【0022】
従って、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイルを確実に探査し管理可能な状態に置けるようにして、個人情報の開示要求や訂正要求に確実に対応できるようにするとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することを目的としている。
【0023】
このとき、第2クライアント端末における差分ファイルを抽出するための、ファイルに関する情報としては、少なくともファイル作成/更新日時,ファイルサイズ,ファイル名を用いることができ、その情報を参照しその情報の変更・追加を認識するだけで、差分ファイルを極めて容易に認識して抽出することができる。
【0024】
また、個人情報管理サーバが、ネットワークに接続されたクライアント端末に対し、そのクライアント端末の利用者からの要求に応じて個人情報探査プログラムをインストールするように構成することにより、クライアント端末毎に、その利用者が個人情報探査プログラムの常駐/非常駐を選択して設定できるので、利用者が、メモリ容量や、他プログラムとの相性の問題などの理由で個人情報探査プログラムの非常駐を要望する場合、その要望に対応することができ、利便性が高められる。非常駐を選択・設定された端末は、上述した第2クライアント端末として取り扱われ、個人情報管理サーバによる定期探査対象となる。
【0025】
さらに、本発明の個人情報管理システムにおいて探査された個人情報ファイルに対しデジタル署名を付与することにより、個人情報ファイルが改竄されていないことを保証することができ、第三者による偽造を防止することができる。
【0026】
また、本発明の個人情報管理システムにおいて探査された個人情報ファイルは個人情報管理サーバによって管理され、個人情報ファイルをクライアント端末から強制的に捕獲・回収したり、回収された個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したり、個人情報ファイルがクライアント端末から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを保存しているクライアント端末に対し警告情報を通知したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバに管理させたりすることが可能で、個人情報の不用意な流出・漏洩や個人情報の不正利用などをより確実に防止することができる。
【0027】
さらに、各クライアント端末において、探査された個人情報ファイルでを監視し、その個人情報ファイルに対するアクセスが生じた場合にはその旨を個人情報管理サーバに通知することにより、個人情報ファイルに対するアクセスが、個人情報管理サーバで追跡管理されることになり、個人情報の不正利用をより確実に防止することができる。
【0028】
一方、本発明の個人情報管理システムにおいて、個人情報探査プログラムをコンピュータで実行することによって実現される個人情報探査機能によれば、氏名以外の個人情報要素(電話番号,電子メールアドレス,住所のいずれか一つ)に該当せず且つ不適切文字もしくは不適切文字列を含む文字区間は個人情報に関するものではないと見なされる一方、氏名以外の個人情報要素に該当せず且つ不適切文字もしくは不適切文字列を含まない文字区間は個人情報、特に氏名に関するものであると見なされる。
【0029】
従って、氏名以外の個人情報要素(電話番号,電子メールアドレス,住所のいずれか一つ)に該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、氏名以外の個人情報要素に該当しないと判定された文字区間についてのみ不適切文字もしくは不適切文字列との照合処理が行なわれ、不適切文字もしくは不適切文字列が一つでも文字区間に含まれると判定された時点でその照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう従来手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探査処理を高速に行なうことが可能になる。また、不適切文字もしくは不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字もしくは不適切文字列を含まないデータ集合体、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高い電子ファイルを確実に探査することが可能になる。
【0030】
なお、上記文字判定手段をさらにそなえることで、氏名以外の個人情報要素に該当せず且つ不適切文字もしくは不適切文字列を含まない文字区間であって、その文字区間における文字の数が所定範囲内であり且つその文字区間における文字が漢字であるものを、氏名に関する情報であると見なすことが可能になり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。このとき、前記所定範囲を、氏名の文字数として一般的(適切)な数の範囲、例えば1以上6以下に設定することで、氏名の照合精度をより向上させることができるとともに、氏名の照合処理をより高速に行なうことができる。また、上記所定範囲を超える長い文字区間を照合手段による照合対象から除外することができるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探査処理のさらなる高速化に寄与することになる。
【0031】
そして、個人情報管理サーバが、上述した個人情報探査プログラムを実行することにより判定対象ファイル毎に算出された判定値に応じて、判定対象ファイルや個人情報ファイルを管理することにより、判定対象ファイルや個人情報ファイル毎に、判定値レベル(個人情報ファイルである可能性の高さ/個人情報要素数の多さ)に応じた管理手法を選択して実行することができる。
【発明を実施するための最良の形態】
【0032】
以下、図面を参照して本発明の実施の形態を説明する。
〔1〕本実施形態の個人情報管理システムの構成
図1は本発明の一実施形態としての個人情報管理システムの構成を示すブロック図で、この図1に示すように、本実施形態の個人情報管理システム1は、複数のクライアント端末10のほかに個人情報管理サーバ20およびファイルアクセス管理サーバ30をそなえて構成され、これらの端末10およびサーバ20,30がネットワーク〔例えば、社内LAN(Local Area Network)〕40を介して相互に通信可能に接続されている。
【0033】
各クライアント端末10は、企業等の社内において各社員(利用者)によって使用されるパーソナルコンピュータ(PC)等の端末装置によって構成され、図2〜図4を参照しながら後述するような機能構成を有している。
個人情報管理サーバ20は、複数のクライアント端末10およびファイルアクセス管理サーバ30とネットワーク40を介して相互に通信可能に接続され、各クライアント端末10における個人情報ファイルを管理するもので、図5を参照しながら後述するような機能構成を有している。
【0034】
本実施形態において、個人情報ファイルは、個人情報を含むレコードを所定数以上保有しているものであり、個人情報は、前述した通り、単体もしくは組合せによって特定の個人を識別することのできる情報(各種個人情報要素)、例えば氏名,生年月日,連絡先(住所,居所,電話番号,メールアドレス)などを含むものである。なお、個人情報としては、これら以外に、役職名,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号なども挙げられる。
【0035】
ファイルアクセス管理サーバ30は、複数のクライアント端末10および個人情報管理サーバ20とネットワーク40を介して相互に通信可能に接続され、電子ファイル(本実施形態では個人情報ファイル)に対するアクセスを管理するもので、図6を参照しながら後述するような機能構成を有している。
【0036】
そして、本実施形態では、複数のクライアント端末10としては、個人情報ファイルの探査を実行するための個人情報探査プログラム(後述)を常駐させている第1クライアント端末(個人情報探査プログラム常駐端末)10Aと、前記個人情報探査プログラムを常駐させていない第2クライアント端末(個人情報探査プログラム非常駐端末)10Bとが混在している。第1クライアント端末10Aは、図2および図3を参照しながら後述するような機能構成を有し、第2クライアント端末10Bは、図4を参照しながら後述するような機能構成を有している。なお、以下の説明において、第1クライアント端末と第2クライアント端末とを特定する必要がある場合にはそれぞれ符号10A,10Bを使用し、特定する必要がない場合には符号10を使用する。
【0037】
〔1−1〕本実施形態の第1クライアント端末の機能構成
図2は本実施形態の第1クライアント端末(個人情報探査プログラム常駐端末)10Aの機能構成を示すブロック図で、この図2に示すように、本実施形態の第1クライアント端末10Aは、各種処理を実行するCPU(Central Processin Unit)10aと、個人情報等を含む電子ファイルを保持しうる記憶部10bとをそなえるほか、個人情報管理サーバ20から提供される検疫テーブル10cや、記憶部10bに保持される電子ファイルのPマーク(プライバシレベルマーク;個人情報ファイルである可能性の高さを示すレベルで、後述する判定値によって決定されるレベル)を保持するPマークテーブル10dをそなえて構成され、後述するごとく、個人情報管理サーバ20から、CPU10aを後述する第1個人情報探査手段11として機能させるための個人情報探査プログラムをインストールされている。
【0038】
ここで、記憶部10bは、クライアント端末10A(10)に内蔵されるハードディスクや、クライアント端末10A(10)に接続・外付けされる記憶装置、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど),磁気ディスク,光ディスク,光磁気ディスクのほかICカード,ROMカートリッジ,磁気テープなどの記録媒体を用いる記憶装置である。なお、上述した検疫テーブル10cおよびPマークテーブル10dは、クライアント端末10Aを構成するRAM(Random Access Memory)やハードディスク等に保持されてもよいし、記憶部10bに保持されてもよい。
【0039】
CPU10aは、第1個人情報探査手段11,検知手段12,第1制御手段13,アクセス監視手段14および送受信手段15としての機能を果たすもので、これらの機能は、CPU10aが、後述するごとく個人情報管理サーバ20からインストールされた個人情報探査プログラムを実行することによって実現されるものとする。
【0040】
第1個人情報探査手段11は、個人情報管理サーバ20からインストールされる個人情報探査プログラムを実行することにより、記憶部10bに保存されている電子ファイルをテキストファイルにするテキスト抽出エンジンとして機能するとともに、検疫テーブル10cを用いて記憶部10bにおけるデータの中から個人情報ファイルを探査する探査エンジンとして機能するものである。つまり、第1個人情報探査手段11は、個人情報管理サーバ20から指示された条件(検疫テーブル10c)に従って、第1クライアント端末10Aの記憶部10bに存在する各種電子ファイルを参照して個人情報ファイルの探査を行ない、個人情報ファイルであると判定されたファイルをログ(ローカルキャッシュデータベース)に書き出すものである。また、本実施形態では、この第1個人情報探査手段11で得られた判定結果(判定値)に基づいて決定されたPマークがPマークテーブル10dに登録される。この第1個人情報探査手段11の機能構成の詳細については、図4を参照しながら後述する。
【0041】
検知手段12は、第1クライアント端末10Aの記憶部10bに既に保存されている電子ファイルに対する変更や、その記憶部10bへの新たな電子ファイルの追加を検知するものである。
第1制御手段13は、第1個人情報探査手段11に、図7を参照しながら後述する手順で、最初(本個人情報管理システム1の立ち上げ時/個人情報探査プログラムのインストール時/第1クライアント端末10Aの新規接続時)に第1クライアント端末10Aの記憶部10bにおける全データを対象にして個人情報ファイルの探査を一度だけ実行させてから、図8を参照しながら後述するごとく、検知手段12によりファイルの追加・変更を検知する都度、個人情報探査プログラムを起動し、追加・変更されたファイルが個人情報ファイルであるか否かを判定するアルタイム探査を第1個人情報探査手段11に実行させるものである。
【0042】
アクセス監視手段14は、第1個人情報探査手段11によって探査され個人情報ファイルであると判定された電子ファイル(Pマークを付与された電子ファイル)を監視し、その電子ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じた場合にはその旨をログ情報として書き出し送受信手段15を通じて個人情報管理サーバ20に通知するものである。
【0043】
送受信手段15は、ネットワーク40を介して個人情報管理サーバ20(もしくはファイルアクセス管理サーバ30)との間で各種情報を送受信するもので、第1個人情報探査手段11による判定結果を個人情報管理サーバ20へ送信する送信手段として機能するものである。送受信手段15が上記送信手段として機能する際、判定結果(個人情報ファイルのリンク先情報や判定値など)を、前回送信した探査結果との差分を得て、その差分を個人情報管理サーバ20へ送信するほか、送信すべき情報を暗号化するように構成してもよい。
【0044】
〔1−2〕本実施形態の第2クライアント端末の機能構成
図3は本実施形態の第2クライアント端末(個人情報探査プログラム常駐非端末)10Bの機能構成を示すブロック図で、この図3に示すように、本実施形態の第2クライアント端末10Bも、第1クライアント端末10Aと同様のCPU10aおよび記憶部10bをそなえて構成されているが、この第2クライアント端末10Bには、CPU10aを第1個人情報探査手段11として機能させるための個人情報探査プログラムがインストールされておらず、第2クライアント端末10BのCPU10aは、上述とほぼ同様のアクセス監視手段14および送受信手段15としての機能を果たすようになっている。その機能は、第2クライアント端末10Bに予めインストールされているプログラム、あるいは、個人情報管理サーバ20からインストールされたプログラムを実行することによって実現されるものとする。
【0045】
第2クライアント端末10Bのアクセス監視手段14は、後述するごとく個人情報管理サーバ20側の第2個人情報探査手段204(図5参照)によって探査され個人情報ファイルであると判定された電子ファイル(Pマークを付与された電子ファイル)を監視し、その電子ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じた場合にはその旨をログ情報として書き出し送受信手段15を通じて個人情報管理サーバ20に通知するものである。
【0046】
ここで、第2個人情報探査手段204(図5参照)による判定結果であるPマークに関する情報を各電子ファイルにフラグとして付与しておき、アクセス監視手段14がそのフラグを参照することで個人情報ファイル(Pマーク)を認識できるようにしてもよいし、第1クライアント端末10Aと同様のPマークテーブル10dを第2クライアント端末10Bにそなえておき、アクセス監視手段14がそのPマークテーブル10dを参照することで個人情報ファイル(Pマーク)を認識できるようにしてもよい。
【0047】
また、第2クライアント端末10Bの送受信手段15は、第1クライアント端末10Aと同様、ネットワーク40を介して個人情報管理サーバ20(もしくはファイルアクセス管理サーバ30)との間で各種情報を送受信するもので、上述した通り、アクセス管理手段14によって監視されているアクセスのログを個人情報管理サーバ20に通知する機能を果たすほか、個人情報管理サーバ20からの要求に応じて、第2クライアント端末10Bにおける全てのファイルもしくは後述する差分ファイルを個人情報管理サーバ20に送信したり、第2クライアント端末10B(記憶部10b)における全てのファイルに関する情報(例えばファイル作成/更新日時,ファイルサイズ,ファイル名)の最新のものをファイルディレクトリから抽出して送信したりする機能も果たすようになっている。
【0048】
〔1−3〕本実施形態の第1個人情報探査手段の詳細な機能構成
図4は本実施形態の第1クライアント端末10Aにおける第1個人情報探査手段11の詳細な機能構成を示すブロック図で、この図4に示すように、本実施形態の第1個人情報探査手段11は、抽出手段111,切出手段112,第1判定手段113,文字判定手段114,照合手段115および第2判定手段116としての機能を有しており、これらの機能も、CPU10aが、後述するごとく個人情報管理サーバ20からインストールされた個人情報探査プログラムを実行することによって実現される。
【0049】
抽出手段111は、記憶部10bにおける電子ファイル(判定対象ファイル)のテキストデータ〔例えばCSV(Comma Separated Value)形式のデータ〕を抽出するもので、前記テキスト抽出エンジンとして機能するものである。
切出手段112は、抽出手段111によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出して、判定対象/照合対象としてバッファ(図示略)に順次書き出すものである。ここで、区切り文字は、例えば半角スペース,半角カンマ(半角カンマ+半角スペースも半角カンマと見なす),タブ文字(半角),CR(Carrige Return),LF(Line Feed)である。
【0050】
また、切出手段112によって切り出される文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。本実施形態では、切出手段112が、上述のような記号文字を除去する機能を有しているものとする。
【0051】
第1判定手段113は、切出手段112によって切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、氏名以外の個人情報要素(具体的に本実施形態では電話番号,電子メールアドレス,住所のうちのいずれか一つ)に該当するか否かを判定すべく、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cとしての機能をそなえている。なお、本実施形態の第1判定手段113では、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で、上記文字列の判定処理を行なっている。
【0052】
電話番号判定手段113aは、上記文字列が電話番号に該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている電話番号判定条件を満たす場合、上記文字列が電話番号に該当するものと判定し、その旨を第2判定手段116に通知し、上記文字列に対する第1判定手段113による判定処理を終了させるものである。本実施形態において、電話番号判定条件は、上記文字列中に9〜15桁の数字が含まれていることとする。
【0053】
電子メールアドレス判定手段113bは、電話番号判定手段113aによって上記文字列が電話番号に該当しないと判定された場合に、上記文字列が電話メールアドレスに該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている電子メールアドレス判定条件を満たす場合、上記文字列が電子メールアドレスに該当するものと判定し、その旨を第2判定手段116に通知し、上記文字列に対する第1判定手段113による判定処理を終了させるものである。本実施形態において、電子メールアドレス判定条件は、上記文字列中に「一文字以上のASCII(American Standard Code for Information Interchange)」+「@(アットマーク)」+「一文字以上のASCII」+「.(ドット)」+「一文字以上のASCII」となる文字列が含まれていることとする。この場合、最短の電子メールアドレスは例えば「a@a.a」となる。
【0054】
住所判定手段113cは、電子メールアドレス判定手段113bによって上記文字列が電子メールアドレスに該当しないと判定された場合に、上記文字列が住所(居所)に該当するか否かを判定するもので、上記文字列が検疫テーブル10cに設定されている住所判定条件を満たす場合、上記文字列が住所に該当するものと判定し、その旨を第2判定手段116に通知するものである。本実施形態において、住所判定条件は、上記文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていることとする。このとき、CPU10aの演算処理能力が十分に高い場合には、上記文字列に加え、郵便番号に対応する7桁の数字が含まれていることを住所判定条件に加えてもよい。また、住所判定条件は、上述した条件に代え、上記文字列中に、郵便番号に対応する7桁ちょうどの数字列が含まれていること、あるいは、「3桁の数字列」+「−(ハイフン)」+「4桁の数字列」となる数字列が含まれていることとしてもよい。
【0055】
文字判定手段114は、第1判定手段113によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合に、その文字列が、検疫テーブル10cに設定されている文字判定条件を満たすか否か、具体的には、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であるか否かを判定するものである。本実施形態において、文字判定条件は、上述したように、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であることであるが、ここで、上記所定範囲は、氏名(苗字だけの場合や名前だけの場合を含む)の文字数として一般的(適切)な数の範囲、例えば1以上6以下に設定される。
【0056】
照合手段115は、第1判定手段113によって電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された文字区間であって、さらに文字判定手段114によって上記所定範囲内であり且つ全ての文字が漢字であると判定された文字区間について、当該文字区間に含まれる文字/文字列と氏名において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列とを照合することにより、当該文字区間が不適切文字/不適切文字列を含むか否かを判定し、その照合判定結果を第2判定手段116に通知するものである。
【0057】
ここで、不適切文字/不適切文字列は、検疫テーブル10cに予め設定されており、例えば、東京,大阪,横浜,九州,北海道,京都,首都,個人,学園,店,株,県,大学,学院,東証,研究,管理,総務,経理,営業,統括,製薬,販売,学校,教育,専門,建築,機械,法人,工場,製,技術,商,図書,不明,次長,公開,出版,広告,放送,対象,卸売,小売,企画,人事,情報,部門,社長,取締,部長,課長,係長,役員,本社,支社,事業,業務,教務,精密,石油,運輸,経営,戦略,資材,技師,電気,生産,税務,広報,運送,主任,電算,財務,事務,開発,政策,制作,経済,産業,金融,銀行,調査,英語,品質,保証,設備,担当,主席,主事,監査,支援,設計,保険,金庫,事業,代表,交通,第一,第二,第三,第四,第五,第六,第七,第八,第九,特販,施設,氏名,郵便,名前,名称,市役,所属,特色,幼稚,基督,協会,教会,組合,教団,商工,全国,支部,連絡,議会,生活,消費,推進,市役所,区役所,総合,修正,機能,概要,構成,企業,組織,関連,削除,文書,期限,有効といった、一般的な氏名において出現し得ない文字/文字列、つまり氏名としては不適切な文字/文字列である。
【0058】
第2判定手段(判定手段)116は、第1判定手段113における電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cによる判定結果と照合手段115による照合判定結果とに基づいて、判定対象ファイルが個人情報ファイルであるか否かを判定するものである。
【0059】
より具体的に説明すると、第2判定手段116は、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cからの判定結果の通知を受け電話番号,電子メールアドレス,住所のそれぞれに該当すると見なされた文字区間の数を計数するとともに、照合手段115からの照合判定結果を受け、照合手段115によって不適切文字/不適切文字列を含まないと判定された文字区間を氏名に該当するものと見なし、その数を計数する。
【0060】
そして、第2判定手段116は、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数結果(4つの計数値;電話番号数,電子メールアドレス数,住所数,氏名数)に基づいて、これらの計数値が大きくなるほど大きくなる判定値を算出する。例えば、第2判定手段116は、4つの計数値の総和を上記判定値として算出してもよいし、電話番号,電子メールアドレス,住所,氏名のそれぞれについて重み係数を予め設定しておき、各個人情報要素についての重み係数と計数値との乗算結果の総和を上記判定値として算出してもよく、上記判定値の算出手法は種々考えられる。
【0061】
上述のような判定値が算出されると、第2判定手段116は、その判定値に基づいて、判定対象ファイルが個人情報ファイルであるか否かを判定する。具体的には、前記判定値が所定閾値を超えた場合に判定対象ファイルが個人情報ファイルであると判定する。このような判定を行なう際に、第2判定手段116は、さらに、判定値の大きさに応じたPマーク(プライベートレベルマーク)を、判定対象ファイルに付与して、Pマークテーブル10dに設定・登録し、ランク付けを行なう。このPマークは、前述した通り、判定対象ファイルが個人情報ファイルである可能性の高さを示すレベルであり、判定値が大きいほどPマークは高いランクに設定される。
【0062】
例えば、前記判定値が10以上となった場合、判定対象ファイルが個人情報ファイルであると判定する。また、前記判定値が10以上100未満である場合、Pマークとして“P1”を付与し、前記判定値が100以上1000未満である場合、Pマークとして“P2”を付与し、前記判定値が1000以上10000未満である場合、Pマークとして“P3”を付与し、前記判定値が10000以上である場合、Pマークとして“P4”を付与する。なお、個人情報ファイルを判定するための所定閾値やPマークを決定するための基準値は、個人情報管理サーバ20(後述する管理コンソール24)から適宜設定される。また、ここではPマークを“P1”〜“P4”の4つにランク分けしているが、ランク分けの数はこれに限定されるものではない。
【0063】
上述のように判定対象ファイルに付与されたPマーク(Pマークテーブル10d)は、送受信手段16およびネットワーク40を介して個人情報管理サーバ20へ送信され、図5を参照しながら後述するごとく、収集手段23によりデータベース20bに保存される。そして、Pマークを付与された電子ファイル(判定対象ファイル/個人情報ファイル)は、そのPマークのランクに応じて、個人情報管理サーバ20(後述する個人情報管理手段208)により個人情報ファイルとして後述するごとく管理される。
【0064】
〔1−4〕本実施形態の個人情報管理サーバの機能構成
図5は本実施形態の個人情報管理サーバ20の機能構成を示すブロック図で、この図5に示すように、本実施形態の個人情報管理サーバ20は、各種処理を実行するCPU20aと、各クライアント端末10からのログ情報や個人情報ファイルなどを格納・保存するデータベース(RDB:Relational DataBase)20bと、このデータベース20bに保存されたログ情報や個人情報を含む各種情報を表示する表示部20cとをそなえて構成されている。
【0065】
CPU20aは、クライアント情報収集手段201,インストール手段202,収集手段203,第2個人情報探査手段204,差分抽出手段205,第2制御手段206,管理コンソール207,個人情報管理手段208,表示制御手段209,送受信手段210およびデジタル署名手段211としての機能を果たすもので、これらの機能は、CPU20aが、個人情報管理サーバ用プログラム(個人情報探査プログラムを含む)を実行することによって実現される。
【0066】
クライアント情報収集手段201は、本個人情報管理システム1の立ち上げ時や、新規のクライアント端末10をネットワーク40に接続した時など、個人情報ファイルの探査・管理を開始する際に、ネットワーク40および送受信手段210を介して通信可能に接続されたクライアント端末10からクライアント情報(ホスト情報)を収集し、個人情報ファイルの探査・管理対象のクライアント端末10を認識するものである。その際、各クライアント端末10が、上述した個人情報探査プログラムのインストールを要求しているか否か(個人情報探査プログラムの常駐を望むか否か)についての情報も収集される。
【0067】
インストール手段202は、ネットワーク40に接続されたクライアント端末10(10B)に対し、当該クライアント端末10(10B)の利用者からの要求に応じて、上述した個人情報探査プログラムを、ネットワーク40および送受信手段210を介してインストールするものである。このインストール手段202によって個人情報探査プログラムをインストールされたクライアント端末10が第1クライアント端末(個人情報探査プログラム常駐端末)10Aとなり、個人情報探査プログラムをインストールされなかったクライアント端末10が第2クライアント端末(個人情報探査プログラム非常駐端末)10Bとなる。
【0068】
収集手段203は、ネットワーク40および送受信手段210を介して、第1クライアント端末10Aで実行された個人情報ファイルの探査結果(個人情報ファイルのリンク先情報,判定値,Pマークなど)を受信・収集し、データベース20bに格納する機能を果たすほか、第2クライアント端末10Bにおける個人情報ファイルの探査を行なうべく、初回探査時に、第2クライアント端末10Bにおける全てのファイルを、ネットワーク40および送受信手段210を介して吸い上げる機能や、初回探査時以後の定期探査時に、第2クライアント端末10Bにおける差分ファイル(後述)を、ネットワーク40および送受信手段210を介して吸い上げる機能や、初回探査時や定期探査時に、第2クライアント端末10Bにおける最新のファイル情報(後述)を、ネットワーク40および送受信手段210を介して吸い上げる機能も果たすものである。
【0069】
第2個人情報探査手段204は、上述した個人情報探査プログラムをCPU20aで実行することにより、ネットワーク40を介して第2クライアント端末10Bにおける個人情報ファイルの探査を行なうもので、本実施形態では、収集手段203により第2クライアント端末10Bから吸い上げられたファイルを判定対象とし、そのファイルが個人情報ファイルであるか否かの判定を行なう。
【0070】
この第2個人情報探査手段204も、上述した第1個人情報探査手段11と同様、判定対象ファイルをテキストファイルにするテキスト抽出エンジンとして機能するとともに、データベース20bにおける検疫テーブル20b−1(上述した第1クライアント端末10Aにおける検疫テーブル10cと同じもの)を用いて第2クライアント端末10Bの記憶部10bにおけるデータの中から個人情報ファイルを探査する探査エンジンとして機能するものである。つまり、第2個人情報探査手段204は、検疫テーブル20b−1に従って、第2クライアント端末10Bの記憶部10bに存在する各種電子ファイルを参照して個人情報ファイルの探査を行ない、個人情報ファイルであると判定されたファイルをログに書き出すものである。また、本実施形態では、この第2個人情報探査手段204で得られた判定結果(判定値)に基づいて決定されたPマークが、データベース20bにおけるPマークテーブル20b−2(上述した第1クライアント端末10AにおけるPマークテーブル10dと同様のもの)に登録される。
【0071】
なお、第2個人情報探査手段204も、図4に示した第1個人情報探査手段11と同様の機能構成を有しているが、第2個人情報探査手段204では、抽出手段111には記憶部10bに代えて収集手段203が接続され、検疫テーブル10cおよびPマークテーブル10dに代えて検疫テーブル20b−1およびPマークテーブル20b−2が用いられる。また、第2判定手段116には、送受信手段16に代えて送受信手段210が接続され、第2個人情報探査手段204による判定結果は、第2クライアント端末10Bに通知されるようになっている。
【0072】
ここで、個人情報管理サーバ20のデータベース20bには、第1クライアント端末10Aに提供すべき検疫テーブル10cと同じ検疫テーブル20b−1と、第1クライアント端末10の第1個人情報探査手段11による判定結果(Pマーク)および第2個人情報探査手段204による判定結果(Pマーク)を保持するPマークテーブル20b−2と、後述するファイル情報保存手段20b−3とがそなえられている。
【0073】
ファイル情報保存手段20b−3は、初回探査時や定期探査時に、収集手段203によって第2クライアント端末10Bから吸い上げられた最新のファイル情報を、第2個人情報探査手段204により最後に個人情報ファイルの定期探査を行なった時点での、第2クライアント端末10Bにおけるファイルに関する情報として保存するものである。ここで、ファイル情報は、上述した通り、第2クライアント端末10B(記憶部10b)における全てのファイルに関する情報、具体的にはファイル作成/更新日時,ファイルサイズ,ファイル名である。
【0074】
差分抽出手段205は、定期探査時に、第2クライアント端末10Bにおけるファイルに関する最新情報(最新ファイル情報)とファイル情報保存手段20b−3に保存されている情報(最後に個人情報ファイルの定期探査を行なった時点でのファイル情報)とを比較し、最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更されたファイルを、差分ファイルとして、ネットワーク40,送受信手段410および収集手段203を介して第2クライアント端末10Bから定期的に抽出するものである。
【0075】
第2制御手段206は、第2個人情報探査手段204に、図7を参照しながら後述する手順で、最初(本個人情報管理システム1の立ち上げ時/第2クライアント端末10Bの新規接続時)に第2クライアント端末10Bの記憶部10bにおける全データを対象にして個人情報ファイルの探査を一度だけ実行させてから、図10を参照しながら後述するごとく、定期探査タイミングになる都度、個人情報探査プログラムを起動し、差分抽出手段205により抽出された差分ファイルが個人情報ファイルであるか否かを判定する定期探査を第2個人情報探査手段204に実行させるものである。
【0076】
管理コンソール207は、個人情報ファイルの判定条件(上記検疫テーブル10c,20b−1や、個人情報ファイルやPマークを判定するために必要になる所定閾値など)を設定して管理するものである。検疫テーブル10c,20b−1には、上述した電話番号判定条件,電子メールアドレス判定条件,住所判定条件,文字判定条件(上記所定範囲)や不適切文字/不適切文字列が設定される。
【0077】
個人情報管理手段208は、収集手段203によって収集されデータベース20bに格納された探査結果に基づいて、各クライアント端末10(10A,10B)における個人情報ファイルを管理するもので、個人情報探査手段11,204で個人情報ファイルであると判定された電子ファイル(Pマークの付与された電子ファイル;以下、個人情報ファイルという)を管理対象としている。
【0078】
この個人情報管理手段208は、データベース20bのPマークテーブル20b−2に登録されている個人情報ファイルの判定値(またはPマーク)に応じて、個人情報ファイルの利用者(保有者)に注意情報/警告情報を通知したり、個人情報ファイルを、その個人情報ファイルを保存しているクライアント端末10から強制的に捕獲・回収したり、その個人情報ファイルがクライアント端末10から外部へ出力されるのを強制的に禁止したり、その個人情報ファイルを管理者のみがアクセス可能なフォルダ(図示略)に格納したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させたりするものである。
【0079】
例えば、Pマークのランクが“P1”である場合、警告情報によるリコメンドは行なわないが“P1”の個人情報ファイルが存在することをログとして記録する。Pマークのランクが“P2”である場合、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報を通知する。Pマークのランクが“P3”である場合、その個人情報ファイルを保管している利用者が存在する旨を、システム管理者に対し警告情報としてメール等により通知するとともに、その個人情報ファイルの返却を利用者に指示する。Pマークのランクが“P4”である場合、その個人情報ファイルをクライアント端末10から強制的に捕獲・回収したり、個人情報ファイルがクライアント端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させたりする。なお、Pマークのランクが“P4”でなくても、“P3”の個人情報ファイルが所定日数放置された場合には、その個人情報ファイルに対して、Pマークのランクが“P4”である場合と同様の処置を実行するようにしてもよい。
【0080】
また、個人情報管理手段208は、各クライアント端末10もしくはデータベース20bに格納された個人情報ファイルを種々の確度で探査する機能や、表示制御手段26によってその探査結果等を表示部20cに表示させる機能を有している。
表示制御手段209は、表示部20cに各種情報を表示させるべく表示部20cの表示状態を制御するものであり、送受信手段210は、ネットワーク40を介して各クライアント端末10との間で各種情報を送受信するものである。
【0081】
デジタル署名手段211は、第1個人情報探査手段11もしくは第2個人情報探査手段204によって探査された個人情報ファイルに対し、デジタル署名を付与するものである。ここで、デジタル署名は、デジタル文書の正当性を保証するために付けられる暗号化された署名情報で、公開鍵暗号方式の応用によって、デジタル文書(ここでは個人情報ファイル)の作成者を証明し、且つその文書が改竄されていないことを保証するものである。署名者(個人情報管理サーバ20側の管理者)は、自身の秘密鍵を用いて暗号化した署名をデジタル文書に付加して送る。受取人(クライアント端末10側の利用者)は、署名者の公開鍵を用いて署名を復号し、正しい内容かどうか確認する。これにより、第三者による偽造防止のほか、署名者がそのデジタル文書を作成したことの証明にも用いることができる。
【0082】
なお、第1クライアント端末10Aの個人情報ファイルについては、第1クライアント端末10Aからネットワーク40を介して個人情報管理サーバ20へ送信され、デジタル署名手段211によってデジタル署名を付与されてから第1クライアント端末10Aに返送され、デジタル署名を付与されていない元の個人情報ファイルは削除されることになる。また、第2クライアント端末10Bの個人情報ファイルは、個人情報管理サーバ20側での判定後にデジタル署名手段211によってデジタル署名を付与されてから第2クライアント端末10Bに返送され、デジタル署名を付与されていない元の個人情報ファイルは削除されることになる。
【0083】
〔1−5〕本実施形態のファイルアクセス管理サーバの機能構成
図6は本実施形態のファイルアクセス管理サーバ30の機能構成を示すブロック図で、この図5に示すように、本実施形態のファイルアクセス管理サーバ30は、例えば、個人情報管理サーバ20(個人情報管理手段208)から指示された個人情報ファイル(Pマークのランクが“P4”の個人情報ファイル)を管理対象とするもので、各種処理を実行するCPU30aと、後述するごとく暗号鍵や復号鍵などを保存する記憶部30bとをそなえて構成されている。なお、ここでは、Pマークのランクが“P4”の個人情報ファイルを管理対象としているが、Pマークのランクに関係なく、個人情報探査手段11,204によって個人情報ファイルであると判定された全ての電子ファイルをファイルアクセス管理サーバ30の管理対象としてもよい。
【0084】
CPU30aは、後述する送受信手段31,変換手段32,暗号化手段33および判定手段34としての機能を果たすもので、これらの機能は、CPU30aが、ファイルアクセス管理サーバ用のプログラムを実行することによって実現される。また、記憶部30bは、後述するごとく、個人情報ファイルを暗号化するための暗号鍵や、暗号化された個人情報ファイルを復号化するための復号鍵や、暗号化された個人情報ファイルに対するアクセス権限(後述)や、予め登録されている利用者〔暗号化ファイルの閲覧を許可された登録者(社員)〕のユーザID/パスワードなどを保存するもので、例えばハードディスクやRAMによって構成されている。
【0085】
送受信手段31は、ファイルアクセス管理サーバ30が本来有している通信機能によって実現されるものであって、後述する個人情報ファイル受信手段31a,暗号化ファイル送信手段31b,認証情報受信手段31cおよび復号鍵送信手段31dとしての機能を果たす。
個人情報ファイル受信手段31aは、個人情報管理サーバ20からネットワーク30経由で管理対象の個人情報ファイルを受信するものである。
【0086】
変換手段32は、個人情報ファイル受信手段31aによって受信された管理対象の個人情報ファイルを、改竄操作の困難なPDF(Portable Document Format)ファイル等の完成文書ファイルに変換するものである。この変換手段32は例えばPDFドライバによって実現され、このPDFドライバを起動することにより、個人情報ファイルがPDF化され、完成文書ファイルとしてのPDFファイルが生成されるようになっている。
【0087】
暗号化手段33は、変換手段32で得られたPDFファイルを、所定の暗号鍵を用いて暗号化するものである。
暗号化ファイル送信手段31bは、暗号化手段33によって暗号化(鍵掛け)されたファイル(以下、暗号化ファイルという)を、ネットワーク40経由で個人情報管理サーバ20に送信するものである。
【0088】
なお、ファイルアクセス管理サーバ30による管理に際しては、上述のような暗号化手段33による暗号化時に、ポリシー設定によって、各暗号化ファイルに対する各種アクセス権限(閲覧,印刷,コピー等の権限)が利用者毎や暗号化ファイル毎に設定される。その際、システム運用を簡易化すべく1種類のポリシを設定し、そのポリシ設定によって、全ての暗号化ファイルに対する各クライアント端末10でのアクセス権限〔例えば、本システム1を導入している社内の全社員/全利用者(ファイルアクセス管理サーバ30に登録されている全登録者)のアクセス権限〕として、閲覧権限のみを自動的(強制的)に設定・付与し、閲覧以外のアクセス、例えば印刷,コピー,別名保存,画面キャプチャ(スクリーンショット)などのアクセスを一切行なえないようにしてもよい。
【0089】
認証情報受信手段31cは、クライアント端末10もしくは個人情報管理サーバ20での暗号化ファイルに対するアクセス時にクライアント端末10もしくは個人情報管理サーバ20からネットワーク40経由で送信されてくる認証情報を受信するものである。ここで、認証情報は、暗号化ファイルを開こうとしているクライアント端末10もしくは個人情報管理サーバ20の利用者がその暗号化ファイルの正当な送信先(利用者/登録者)であることをファイルアクセス管理サーバ30で判定・認証するために必要な情報であり、ファイルアクセス管理サーバ30によるサービスの利用者についてこのファイルアクセス管理サーバ30(記憶部30b)に予め登録されたユーザIDおよびパスワードを含んでいる。これらのユーザIDおよびパスワードは、暗号化ファイルを開く際に利用者がキーボードやマウスを操作することにより入力される。
【0090】
判定手段34は、認証情報受信手段31cによって受信された認証情報に基づいて、認証情報を送信したクライアント端末10/個人情報管理サーバ20が暗号化ファイルの正当な送信先であるか否かを判定するもので、実際には、利用者によって入力されたユーザIDおよびパスワードが、ファイルアクセス管理サーバ30の記憶部30bに予め登録・保存されているユーザIDおよびパスワードと一致するか否かを判定することにより、その利用者が正当な登録者であるか否かを判定・認証するものである。
【0091】
復号鍵送信手段31dは、判定手段34によって利用者が正当な登録者であることが認証された場合に、暗号化ファイルを復号化するための復号鍵を記憶部30bから読み出してクライアント端末10もしくは個人情報管理サーバ20にネットワーク40経由で送信するものである。
そして、クライアント端末10もしくは個人情報管理サーバ20においては、ファイルアクセス管理サーバ30から復号鍵を受信すると、その復号鍵を用いて暗号化ファイルの復号化を行ない元の個人情報ファイルを復元し、復元された個人情報ファイルに対し、与えられたアクセス権限に応じたアクセス(例えば閲覧)が行なわれるようになる。
【0092】
〔2〕本実施形態の個人情報管理システムの動作
次に、図7〜図13を参照しながら、上述のごとく構成された本実施形態の個人情報管理システム1の動作について説明する。
〔2−1〕個人情報探査手段の動作
本実施形態の個人情報探査手段11,204では、以下のように、電話番号,電子メールアドレス,住所および氏名の出現頻度をそれぞれ数値化し、個人情報ファイルの特定・探査を行なっている。その際、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれている場合、その文字区間は、個人情報要素(本実施形態では氏名)には該当しないものと見なされて除外される一方、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれていない場合、その文字区間は、個人情報をなす個人情報要素に該当するものと見なされて、つまり個人情報要素が出現したものと見なされ、出現回数のカウントアップを行なっている。
【0093】
本実施形態の第1クライアント端末10Aもしくは個人情報管理サーバ20において、上述した個人情報探査手段11,204(個人情報探査プログラム)によって実行される、初回の個人情報ファイルの探査動作の一連の手順を、図7に示すフローチャート(ステップS102〜S118)に従って説明する。
【0094】
本実施形態の個人情報管理システム1を構築する際には、まず、個人情報管理サーバ20として機能すべきコンピュータに個人情報管理サーバ用プログラムをインストールし、そのコンピュータが個人情報管理サーバ用プログラムを実行することにより個人情報管理サーバ20としての機能を果たす。そして、個人情報ファイルの探査・管理を開始する際には、個人情報管理サーバ20により、図10(ステップS402,S403,S411)を参照しながら後述するごとく個人情報探査プログラムの常駐を希望するクライアント端末10に対しネットワーク40経由で個人情報探査プログラムがインストールされる。このようにインストールされた個人情報探査プログラムを第1クライアント端末10AのCPU10aで実行することにより、CPU10aが個人情報探査手段11,検知手段12,第1制御手段13,アクセス監視手段14および送受信手段15としての機能を果たす。なお、個人情報探査プログラムをインストールする際には、検疫テーブル10cも併せて送信される。また、個人情報探査プログラムは、個人情報管理サーバ用プログラムに予め含まれており、その個人情報探査プログラムがクライアント端末10にインストールされるとともに、その個人情報探査プログラムを個人情報管理サーバ20で実行することにより、個人情報管理サーバ20のCPU20aが第2個人情報探査手段204としての機能を果たす。
【0095】
そして、図7は、本個人情報管理システム1の立ち上げ時/個人情報探査プログラムのインストール時/第1クライアント端末10Aの新規接続時に、第1クライアント端末10Aにおいて、第1個人情報探査手段11によって実行される、初回の個人情報ファイルの探査動作の手順、もしくは、本個人情報管理システム1の立ち上げ時/第2クライアント端末10Bの新規接続時に、個人情報管理サーバ20において、第2個人情報探査手段204によって実行される、初回の個人情報ファイルの探査動作の手順を示している。
【0096】
クライアント端末10の全てのデータの中から、まだ判定対象となっていない電子ファイルが判定対象ファイルとして一つ選択されて読み出され(ステップS102)、その判定対象ファイルから抽出手段(テキスト抽出エンジン)111によりテキストデータが抽出される(ステップS103)。
【0097】
このように抽出されたテキストからは、切出手段112により、上述した区切り文字で区切られる文字区間が切り出され、判定対象/照合対象としてバッファ(図示略)に順次書き出される(ステップS104)。文字区間の切り出しに際し、前述したように、切出手段112により、文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。
【0098】
そして、切出手段112によって切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当するか否かを、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cによって順次判定する(ステップS105,S107,S109)。
【0099】
まず、電話番号判定手段113aにより、上記文字列が電話番号に該当するか否かが判定される(ステップS105)。その際、上記文字列が検疫テーブル10cに設定されている電話番号判定条件を満たしていれば、つまり上記文字列中に9〜15桁の数字が含まれていれば、上記文字列が電話番号に該当するものと判定され(ステップS105のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、電話番号の出現回数に対応する計数値が1だけカウントアップされ(ステップS106)、ステップS114の処理へ移行する。
【0100】
上記文字列が電話番号に該当しないと判定された場合(ステップS105のNOルート)、電子メールアドレス判定手段113bにより、上記文字列が電話メールアドレスに該当するか否かが判定される(ステップS107)。その際、上記文字列が検疫テーブル10cに設定されている電子メールアドレス判定条件を満たしていれば、つまり上記文字列中に「一文字以上のASCII」+「@」+「一文字以上のASCII」+「.」+「一文字以上のASCII」となる文字列が含まれていれば、上記文字列が電子メールアドレスに該当するものと判定され(ステップS107のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、電子メールアドレスの出現回数に対応する計数値が1だけカウントアップされ(ステップS108)、ステップS114の処理へ移行する。
【0101】
上記文字列が電子メールアドレスに該当しないと判定された場合(ステップS107のNOルート)、住所判定手段113cにより、上記文字列が住所(居所)に該当するか否かが判定される(ステップS109)。その際、上記文字列が検疫テーブル10cに設定されている住所判定条件を満たしていれば、つまり上記文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていれば、上記文字列が住所に該当するものと判定され(ステップS109のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、住所(居所)の出現回数に対応する計数値が1だけカウントアップされ(ステップS110)、ステップS114の処理へ移行する。
【0102】
上記文字列が住所に該当しないと判定された場合(ステップS109のNOルート)、つまり第1判定手段113によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合、文字判定手段114により、その文字列が、検疫テーブル10cに設定されている文字判定条件(文字数が1以上6以下であり全ての文字が漢字であること)を満たすか否かが判定される(ステップS111)。この文字判定条件を満たさない場合(ステップS111のNOルート)、ステップS114の処理へ移行する。
【0103】
一方、この文字判定条件を満たす場合(ステップS111のYESルート)、照合手段115により、当該文字区間(上記文字列)に含まれる文字/文字列と検疫テーブル10cに設定されている氏名についての不適切文字/不適切文字列とが照合され、当該文字区間に不適切文字/不適切文字列が含まれるか否かが判定される(ステップS112)。当該文字区間に、一つでも不適切文字/不適切文字列と一致する文字/文字列が存在した場合(ステップS112のYESルート)には、その時点不適切文字/不適切文字列との照合処理を直ちに終了し、ステップS114の処理へ移行する。
【0104】
また、当該文字区間に不適切文字/不適切文字列が含まれていない場合(ステップS112のNOルート)、その照合判定結果が第2判定手段116に通知され、この第2判定手段116において、当該文字区間が氏名に該当するものと見なされ、氏名の出現回数に対応する計数値が1だけカウントアップされ(ステップS113)、ステップS114の処理へ移行する。
【0105】
ステップS114では、判定対象ファイルから抽出されたテキストデータから未だ切り出されていない文字区間の有無が判定され、有る場合(YESルート)には、ステップS104に戻り、上述と同様の処理(ステップS104〜S113)を繰り返し実行する。このようにして全ての文字区間がテキストデータから切り出され全ての文字区間に対する判定処理,照合処理,計数処理等を終了すると(ステップS114のNOルート)、第2判定手段116において、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数値に基づいて、上述した判定値が算出される(ステップS115)。
【0106】
そして、第2判定手段116においては、ステップS115で算出された判定値に基づいて、上述したように、判定対象ファイルが個人情報ファイルであるか否かが判定されるとともに、Pマークのランク付け(本実施形態では“P1”〜“P4”の4つ)が行なわれる(ステップS116)。
【0107】
この後、クライアント端末における全ての電子ファイルについて個人情報の探査を行なったか否かを判定し(ステップS117)、まだ未探査の電子ファイルが存在する場合(ステップS117のNOルート)、ステップS102に戻り上述と同様の処理を実行する一方、全ての電子ファイルについて探査を完了した場合(ステップS117のYESルート)、ステップS116での個人情報ファイルの判定結果やPマークのランク付けの結果は、Pマークテーブル10dもしくは20b−2に登録され、送受信手段16およびネットワーク40を介して個人情報管理サーバ20に送信され、個人情報管理サーバ20において、収集手段203によりデータベース20bに登録・保存される(ステップS118)。また、第2クライアント端末10Bの判定結果等については、第2個人情報探査手段204からデータベース20bに登録・保存する(ステップS118)。このようなステップS118の処理完了後、個人情報ファイルの探査動作を終了する。
【0108】
〔2−2〕第1クライアント端末(個人情報探査プログラム常駐端末)の動作
次に、図8に示すフローチャート(ステップS21〜S26)に従って、第1クライアント端末10Aの動作について説明する。より具体的に、ここでは、図7を参照しながら上述した初回の個人情報ファイルの探査後に第1クライアント端末10Aで実行される、リアルタイム探査動作およびアクセス監視動作について説明する。
【0109】
第1クライアント端末10Aでは、検知手段12により、記憶部10bに既に保存されている電子ファイルに対する変更やその記憶部10bへの新たな電子ファイルの追加が監視されており(ステップS21)、ファイルの追加・変更が検知されると(ステップS21のYESルート)、その都度、第1制御手段13により直ちに個人情報探査プログラムが起動され(ステップS22)、第1個人情報探査手段11により、追加・変更されたファイルを判定対象ファイルとして図7のステップS103〜S116による判定処理を実行する(ステップS23)。これにより、追加・変更されたファイルが個人情報ファイルであるか否かを判定するアルタイム探査が実行され、判定結果が個人情報管理サーバ20に通知される(ステップS24)。
【0110】
また、第1クライアント端末10Aでは、アクセス監視手段14により、個人情報ファイル(つまり、Pマークを付与された電子ファイル/第1個人情報探査手段11により個人情報ファイルであると判定された電子ファイル)が監視されており(ステップS25)、その個人情報ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じると(ステップS21のNOルートからステップS25のYESルート)、その旨が、ログ情報として書き出され、送受信手段15およびネットワーク40を介して個人情報管理サーバ20に送信され(ステップS26)、個人情報管理サーバ20において、収集手段203によりデータベース20bに登録・保存される。
【0111】
〔2−3〕第2クライアント端末(個人情報探査プログラム非常駐端末)の動作
次に、図9に示すフローチャート(ステップS31〜S36)に従って、第2クライアント端末10Bの動作について説明する。より具体的に、ここでは、図7を参照しながら上述した初回の個人情報ファイルの探査後に第2クライアント端末10Bで実行される、ファイル/ファイル情報の送信動作およびアクセス監視動作について説明する。
【0112】
第2クライアント端末10Bでは、送受信手段15により、個人情報管理サーバ20からのファイル情報送信要求が監視されており(ステップS31)、ファイル情報送信要求を受けると(ステップS31のYESルート)、ファイルディレクトリを参照し、全ファイルの最新ファイル情報(例えばファイル作成/更新日時,ファイルサイズ,ファイル名)が送受信手段15およびネットワーク40を介して個人情報管理サーバ20に送信される(ステップS32)。
【0113】
また、第2クライアント端末10Bでは、送受信手段15により、個人情報管理サーバ20からの定期探査時の差分ファイルの送信要求が監視されており(ステップS33)、ファイル送信要求を受けると(ステップS31のNOルートからステップS33のYESルート)、その送信要求に応じた差分ファイルが、記憶部10bから読み出され、送受信手段15およびネットワーク40を介して個人情報管理サーバ20に送信される(ステップS34)。
【0114】
さらに、第2クライアント端末10Bでも、第1クライアント端末10Aと同様、アクセス監視手段14により、個人情報ファイル(つまり、Pマークを付与された電子ファイル/個人情報管理サーバ20の第2個人情報探査手段204により個人情報ファイルであると判定された電子ファイル)が監視されており(ステップS35)、その個人情報ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じると(ステップS33のNOルートからステップS35のYESルート)、その旨が、ログ情報として書き出され、送受信手段15およびネットワーク40を介して個人情報管理サーバ20に送信され(ステップS36)、個人情報管理サーバ20において、収集手段203によりデータベース20bに登録・保存される。
【0115】
〔2−4〕個人情報管理サーバの動作
次に、個人情報管理サーバ20の動作について、図10に示すフローチャート(ステップS401〜S428)および図11に示すフローチャート(ステップS501〜S511)に従って説明する。
個人情報管理サーバ20においては、本個人情報管理システム1の立ち上げ、または、ネットワーク40に対するクライアント端末10の新規接続を認識すると(ステップS401のYESルート)、クライアント情報収集手段201により、ネットワーク40を介して通信可能に接続されたクライアント端末10からクライアント情報が収集される(ステップS402)。
【0116】
収集されたクライアント情報から個人情報探査プログラムのインストール要求を発行しているクライアント端末10の有無が認識され(ステップS403)、インストール要求を発行しているクライアント端末10が存在しない場合(ステップS403のNOルート)、個人情報探査プログラムをインストールされていない第2クライアント端末10Bの一つから、ネットワーク40,送受信手段210および収集手段203を介して、その第2クライアント端末10Bの記憶部10bにおける全ファイルを吸い上げ、第2クライアント端末10Bにおける最新ファイル情報とともに受信する(ステップS404)。
【0117】
この後、当該第2クライアント端末10Bの全ファイルに対する初回の個人情報ファイルの探査を図7に示したステップS102〜S117の手順に従って実行し(ステップS405)、これにより得られた判定結果やPマークのランク付けの結果は、第2個人情報探査手段204からデータベース20bに登録・保存される(ステップS406,S117)。このとき、第2クライアント端末10Bから送信されてきた最新ファイル情報が、最後の定期探査時のファイル情報として、データベース20bのファイル情報保存手段20b−3に登録・保存される(ステップS407)。
【0118】
そして、全ての第2クライアント端末10Bに対する初回探査を完了したか否かを判定し(ステップS408)、まだ未探査の第2クライアント端末10Bが存在する場合(ステップS408のNOルート)、ステップS404に戻り上述と同様の処理を実行する一方、全ての第2クライアント端末10Bに対する初回探査を完了した場合(ステップS408のYESルート)、データベース20bに登録・保存された探査結果〔ここではPマークレベル(ランク)〕に応じて、個人情報管理手段208により、各個人情報ファイルに対する管理・操作が行なわれる(ステップS409)。個人情報管理手段208による管理・操作の詳細については、図11を参照しながら後述する。
【0119】
一方、インストール要求を発行しているクライアント端末10が存在する場合(ステップS403のYESルート)、そのクライアント端末10に対し、インストール手段202により、ネットワーク40経由で個人情報探査プログラムがインストールされる(ステップS410)。個人情報探査プログラムのインストール後、個人情報探査プログラムのインストール要求を発行していないクライアント端末10(つまり第2クライアント端末10B)の有無を認識し(ステップS411)、第2クライアント端末10Bが存在する場合(ステップS411のYESルート)、前述したステップS404〜S408と同様の処理を実行して第2クライアント端末10Bに対する初回探査を実行する(ステップS412)。
【0120】
第2クライアント端末10Bが存在しない場合(ステップS411のNOルート)、もしくは、ステップS412による初回探査を完了した後、個人情報探査プログラムをインストールされた第1クライアント端末10Aにおいて個人情報探査プログラムを実行することにより行なわれた個人情報ファイルの初回探査の結果(個人情報ファイルのリンク先情報,判定値,Pマークなど)が、収集手段203により、ネットワーク40および送受信手段210を介して受信・収集され、データベース20bに登録・保存されるのを待機し(ステップS413)、第1クライアント端末10Aの初回探査結果が得られると(ステップS413のYESルート)、データベース20bに登録・保存された探査結果に応じて、個人情報管理手段208により、後述するごとく各個人情報ファイルに対する管理・操作が行なわれる(ステップS409)。
【0121】
また、個人情報管理サーバ20が、第1クライアント端末10Aからリアルタイム探査結果を受信したことを認識すると(ステップS401のNOルートからステップS414のYESルート)、データベース20bに登録・保存されたリアルタイム探査結果に応じて、個人情報管理手段208により、後述するごとく各個人情報ファイルに対する管理・操作が行なわれる(ステップS409)。
【0122】
さらに、個人情報管理サーバ20が、第2クライアント端末10Bに対する定期探査を実行するタイミングを認識すると(ステップS414のNOルートからステップS415のYESルート)、定期探査対象の第2クライアント端末10Bに対し、最新のファイル情報を送信するようファイル情報送信要求を発行し、第2クライアント端末10Bからネットワーク40,送受信手段210および収集手段203を介して第2クライアント端末10Bにおける全てのファイルについての最新ファイル情報(ファイル作成/更新日時,ファイルサイズ,ファイル名)を取得する(ステップS416)。
【0123】
そして、差分抽出手段205により、ステップS416で取得された最新ファイル情報と、ファイル情報保存手段20b−3に保存されている、前回(最後に)個人情報ファイルの定期探査を行なった時点での当該第2クライアント端末10Bについてのファイル情報とを比較し、ファイル作成/更新日時,ファイルサイズ,ファイル名の変化の有無を判定する(ステップS417)。これにより、これらの情報が新規追加されたファイルや、これらの情報の少なくとも一部が変更されているファイル、つまり最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更されたファイルが、差分ファイルとして認識されることになる(ステップS418)。
【0124】
差分ファイルが存在することが認識された場合(ステップS418のYESルート)、当該第2クライアント端末10Bに対し、追加・変更されたファイル(差分ファイル)を送信するようファイル送信要求を発行し、当該第2クライアント端末10Bからネットワーク40,送受信手段210および収集手段203を介して差分ファイルを受信・抽出する(ステップS419)。
【0125】
この後、第2制御手段206により個人情報探査プログラムが起動され(ステップS420)、第2個人情報探査手段204により、差分ファイルを判定対象ファイルとして図7のステップ103〜S116による判定処理を実行する(ステップS421)。これにより、差分ファイルが個人情報ファイルであるか否かを判定する定期探査が実行され、その判定結果(定期探査結果)がデータベース20bに登録・保存される(ステップS422)。
【0126】
このとき、ステップS416で取得された最新ファイル情報は、最後に個人情報ファイルの定期探査を行なった時点でのファイル情報として、データベース20bのファイル情報保存手段20b−3に登録・保存される(ステップS423)。
そして、データベース20bに登録・保存された定期探査結果に応じて、個人情報管理手段208により、後述するごとく各個人情報ファイルに対する管理・操作が行なわれる(ステップS409)。
【0127】
一方、個人情報管理サーバ20では、ネットワーク40に既に接続されている第2クライアント端末10Bから、個人情報探査プログラムのインストール要求を受けると(ステップS415のNOルートからステップS424のYESルート)、その第2クライアント端末10Bに対し、インストール手段202により、ネットワーク40経由で個人情報探査プログラムがインストールされる(ステップS425)。
【0128】
これにより、第2クライアント端末10Bには、個人情報探査プログラムが常駐することになり、以降、第1クライアント端末10Aとして扱われることになる。このとき、データベース20bに保存されていた、その第1クライアント端末10Aに対応するPマークテーブル20b−2が、Pマークテーブル10dとして第1クライアント端末10Aに転送される(ステップS426)。
【0129】
さらに、個人情報管理サーバ20において、クライアント端末10からアクセスログ情報(図8のステップS25や図9のステップS36で通知されたログ情報)を受信すると(ステップS424のNOルートからステップS427のYESルート)、そのアクセスログ情報が、データベース20bに記録・保存される(ステップS428)。
【0130】
ついで、ステップS409で行なわれる、個人情報管理手段208による各個人情報ファイルに対する管理・操作について、図11を参照しながら説明する。
個人情報管理手段208では、データベース20bにおける初回探査結果,リアルタイム探査結果および定期探査結果(Pマークテーブル20b−2)を参照し、個人情報ファイル(Pマークを付与されたファイル)の有無を判定する(ステップS501)。
【0131】
個人情報ファイルが存在する場合(ステップS501のYESルート)、その個人情報ファイルに対し、デジタル署名付与手段211によってデジタル署名を付与させた後(ステップS502)、個人情報ファイルの探査結果〔ここではPマークレベル(ランク)〕に応じて、個人情報管理手段208により、各個人情報ファイルに対する管理・操作が以下のように行なわれる(ステップS503〜S511)。
【0132】
まず、Pマークレベル“P1”の個人情報ファイルの有無が判定され(ステップS503)、Pマークレベル“P1”の個人情報ファイルがある場合(ステップS503のYESルート)、その個人情報ファイルをアクセス監視対象(アクセスログの記録対象)として設定・登録する(ステップS504)。
【0133】
Pマークレベル“P1”の個人情報ファイルがない場合(ステップS503のNOルート)、もしくは、ステップS504での登録後、Pマークレベル“P2”の個人情報ファイルの有無が判定され(ステップS505)、Pマークレベル“P2”の個人情報ファイルがある場合(ステップS505のYESルート)、その個人情報ファイルをアクセス監視対象として設定・登録するとともに、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報が通知される(ステップS506)。
【0134】
Pマークレベル“P2”の個人情報ファイルがない場合(ステップS505のNOルート)、もしくは、ステップS506での注意情報通知後、Pマークレベル“P3”の個人情報ファイルの有無が判定され(ステップS507)、Pマークレベル“P3”の個人情報ファイルがある場合(ステップS507のYESルート)、その個人情報ファイルをアクセス監視対象として設定・登録するとともに、その個人情報ファイルを保管している利用者が存在する旨が、システム管理者に対し警告情報としてメール等により通知されるとともに、その個人情報ファイルの返却が利用者に指示される(ステップS508)。
【0135】
Pマークレベル“P3”の個人情報ファイルがない場合(ステップS507のNOルート)、もしくは、ステップS508で警報情報通知および返却指示を行なった後、Pマークレベル“P4”の個人情報ファイルの有無が判定され(ステップS509)、Pマークレベル“P4”の個人情報ファイルがある場合(ステップS509のYESルート)、その個人情報ファイルがクライアント端末10から強制的に捕獲・回収され(ステップS510)、さらに、その個人情報ファイルをファイルアクセス管理サーバ30の管理下に置き、その個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させる(ステップS511)。Pマークレベル“P4”の個人情報ファイルがない場合(ステップS509のNOルート)、もしくは、ステップS511での処理終了後、処理を終了する。
【0136】
なお、前述した通り、Pマークレベル“P4”の個人情報ファイルについては、その個人情報ファイルがクライアント端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したりしてもよい。また、Pマークレベル“P3”の個人情報ファイルが所定日数放置された場合、Pマークレベル“P4”の個人情報ファイルと同様の処置を実行してもよい。さらに、Pマークレベル“P1”〜“P4”の個人情報ファイルの全てをファイルアクセス管理サーバ30の管理下に置くようにしてもよい。
【0137】
〔2−5〕ファイルアクセス管理サーバの動作
次に、図12および図13を参照しながら、ファイルアクセス管理サーバ30の動作について説明する。
まず、図12に示すフローチャート(ステップS61〜S64)に従って、本実施形態のファイルアクセス管理サーバ30によるファイル変換動作を説明する。
【0138】
ファイルアクセス管理サーバ30において、ファイルアクセス管理サーバ30の管理下に置くように指示された個人情報ファイル(管理対象の電子ファイル)が、個人情報管理サーバ20(個人情報管理手段208)からネットワーク40経由で個人情報ファイル受信手段31aにより受信されると(ステップS61のYESルート)、その個人情報ファイルが、変換手段32によりPDFファイルに変換され(ステップS62)、さらに暗号化手段33により、所定の暗号鍵を用いて暗号化処理(鍵掛け処理)が行なわれる(ステップS63)。そして、暗号化ファイルは、暗号化ファイル送信手段31bによりネットワーク40経由で個人情報管理サーバ20に送信される(ステップS64)。
【0139】
ついで、図13に示すフローチャート(ステップS71〜S75)に従って、本実施形態のファイルアクセス管理サーバ30による認証動作について説明する。
クライアント端末10の利用者や個人情報管理サーバ20の利用者(管理者)が、暗号化ファイルの内容を閲覧しようとする場合、その利用者によって認証情報が入力されファイルアクセス管理サーバ30へ送信される。そして、その認証情報がネットワーク40経由で認証情報受信手段31cにより受信されると(ステップS71のYESルート)、判定手段34は、認証情報に含まれるユーザIDによって記憶部30bを検索し、そのユーザIDに対応する登録パスワードを記憶部30bから読み出し、認証情報に含まれるパスワードと、記憶部30bから読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定(クライアント認証;ステップS72)を行なう。
【0140】
これらのパスワードが一致し、クライアント端末10もしくは個人情報管理サーバ20の利用者が正当な登録者(正当な送信先)であることが認証されると(ステップS73のYESルート)、復号鍵送信手段31dにより、暗号化ファイルを復号化するための復号鍵が記憶部30bから読み出され、そのクライアント端末10もしくは個人情報管理サーバ20にネットワーク40経由で送信される(ステップS74)。
【0141】
そして、クライアント端末10もしくは個人情報管理サーバ20において、復号鍵が受信されると、その復号鍵を用いて暗号化ファイルが復号化されて元の個人情報ファイルが復元され、その個人情報ファイルに対し、予め与えられたアクセス権限に応じたアクセスが実行される。例えば、前述したようにアクセス権限として閲覧権限のみが与えられている場合、利用者は、復元された個人情報ファイルの内容を閲覧することはできるが、閲覧以外のアクセス、例えばプリンタによる印刷出力や他の記録媒体へのコピーや画面コピー(画面キャプチャ)や別名保存などのアクセスは一切行なうことができない。
【0142】
一方、ファイルアクセス管理サーバ30の判定手段34によりパスワードが不一致であると判定された場合、もしくは、ユーザIDに対応する登録パスワードが記憶部30bに登録されていなかった場合には、利用者が正当な登録者(正当な送信先)ではないと判定され(ステップS73のNOルート)、ファイルアクセス管理サーバ30からクライアント端末10もしくは個人情報管理サーバ20にネットワーク40経由でエラー通知が行なわれる(ステップS75)。
【0143】
〔3〕本実施形態の個人情報管理システムの効果
このように、本発明の一実施形態としての個人情報管理システム1によれば、個人情報探査プログラムを常駐させている第1クライアント端末10Aでは、ファイルの追加・変更が検知されると、個人情報探査プログラムが起動されてリアルタイム探査が実行され、追加・変更されたファイルが個人情報ファイルであるか否かの判定が行なわれ、その判定結果が個人情報管理サーバ20に送信される。これに対し、個人情報探査プログラムを常駐させていない第2クライアント端末10Bにおけるファイルについては個人情報管理サーバ20によって管理され、第2クライアント端末10Bにおけるファイルに関する最新情報と最後に個人情報ファイルの定期探査を行なった時点のファイルに関する情報との差分が定期的に監視され、その差分に対応するファイルが第2クライアント端末10Bから個人情報管理サーバ20側に抽出されて(吸い上げられて)定期探査が実行され、吸い上げられたファイルが個人情報ファイルであるか否かの判定が個人情報管理サーバ20で行なわれる。
【0144】
これにより、個人情報探査プログラム常駐の端末10Aにおける個人情報ファイルついても、また、個人情報探査プログラム非常駐の端末10Bにおける個人情報ファイルについても、自動的に探査して個人情報管理サーバ20の管理下に置くことが可能になる。
その際、最初に、個人情報探査プログラム常駐の端末10Aにおいて全データを対象にして個人情報ファイルの探査を1回だけ実行するとともに個人情報探査プログラム非常駐の端末10Bについては個人情報管理サーバ20がネットワーク40を介して全データを対象にして個人情報ファイルの探査を1回だけ実行しておけば、それ以降は、上述のごとく、追加・変更されたファイルや差分ファイルに対する探査(判定)を行なうだけで、毎回、全てのデータを対象にした探査を行なうことなく、各端末10において新たに作成・追加された個人情報ファイルを、極めて効率よく確実に探査することができる。
【0145】
従って、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイル(個人情報ファイルである可能性の高い電子ファイル)を確実に探査し管理可能な状態に置くことができる。従って、個人情報の開示要求や訂正要求に確実に対応できるようにするとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することを目的としている。
【0146】
このとき、第2クライアント端末10Bにおける差分ファイルを抽出するための、ファイル情報としては、少なくともファイル作成/更新日時,ファイルサイズ,ファイル名を用いることができ、その情報を参照しその情報の変更・追加を認識するだけで、差分ファイルを極めて容易に認識して抽出することができる。
【0147】
また、個人情報管理サーバ20が、ネットワーク40に接続されたクライアント端末10に対し、そのクライアント端末10の利用者からの要求に応じて個人情報探査プログラムをインストールするように構成することにより、クライアント端末10毎に、その利用者が個人情報探査プログラムの常駐/非常駐を選択して設定できるので、利用者が、メモリ容量や、他プログラムとの相性の問題などの理由で個人情報探査プログラムの非常駐を要望する場合、その要望に対応することができ、利便性が高められる。非常駐を選択・設定された端末は、上述した第2クライアント端末10Bとして取り扱われ、個人情報管理サーバ20による定期探査対象となる。
【0148】
さらに、本実施形態の個人情報管理システム1において探査された個人情報ファイルに対しデジタル署名を付与することにより、個人情報ファイルが改竄されていないことを保証することができ、第三者による偽造を防止することができる。
【0149】
また、本実施形態の個人情報管理システム1において探査された個人情報ファイルは、各個人情報ファイルに付与されたPマーク(ランク/レベル)に応じ、個人情報管理サーバ20(個人情報管理手段208)によって管理され、個人情報ファイルをクライアント端末10(記憶部10b)から強制的に捕獲・回収したり、回収された個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したり、個人情報ファイルがクライアント端末10(記憶部10b)から外部へ出力されるのを強制的に禁止したり、個人情報ファイルの利用者(保有者)やシステム管理者に注意情報/警告情報を通知したり、個人情報ファイルに対するアクセスをファイルアクセス管理サーバ30に管理させたりすることが可能で、個人情報の不用意な流出・漏洩や個人情報の不正利用などをより確実に防止することができる。
【0150】
さらに、各クライアント端末10においてアクセス監視手段14により個人情報ファイルであると判定された電子ファイル(本実施形態ではPマークを付与されたファイル)が監視され、その電子ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更)が生じた場合にはその旨がログ情報として個人情報管理サーバ20に送信されデータベース20bに登録・保存されるので、個人情報ファイルである可能性の高い電子ファイルに対するアクセス(操作・変更履歴)が、個人情報管理サーバ20で追跡管理(トラッキング)されることになり、個人情報の不正利用をより確実に防止することができる。
【0151】
一方、本実施形態の個人情報管理システム1において、個人情報探査プログラムをコンピュータ(CPU10a,20a)で実行することによって実現される個人情報探査機能によれば、第2判定手段116において、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。
【0152】
従って、第1判定手段113において電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についてのみ不適切文字/不適切文字列との照合処理が行なわれ、さらに、照合手段115において不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう従来手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探査処理を高速に行なうことが可能になる。
【0153】
このとき、第1判定手段113において、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で文字区間における文字列の判定処理を行なうことで、判定処理をより高速に効率良く実行することが可能になる。
また、第2判定手段116において不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まない電子ファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高い電子ファイルを確実に探査することが可能になる。つまり、本実施形態によって個人情報ファイルであると判定される電子ファイルの数は、従来手法に比べよりも多くなり、個人情報ファイルである可能性の高い電子ファイル(疑わしい電子ファイル)を確実に洗い出すことができる。
【0154】
さらに、本実施形態では、文字判定手段114により、文字区間の文字数が1以上6以下であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合手段115による照合対象としているので、照合手段115による照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が6を超える長い文字区間が、照合手段115による照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探査処理のさらなる高速化に寄与することになる。
【0155】
そして、個人情報管理サーバ20が、上述した個人情報探査プログラムを実行することにより判定対象ファイル毎に算出された判定値(Pマーク)に応じて、判定対象ファイルや個人情報ファイルを管理することにより、判定対象ファイルや個人情報ファイル毎に、判定値レベル(個人情報ファイルである可能性の高さ/個人情報要素数の多さ)に応じた管理手法を選択して実行することができる。
【0156】
〔4〕その他
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
例えば、上述した実施形態では、個人情報ファイルを探査・管理する場合について説明したが、本発明は、企業内等で守秘情報(守秘義務のある情報)を探査・管理する場合にも上述と同様に適用され、上記実施形態と同様の作用効果を得ることができ、守秘情報の不用意な流出・漏洩や守秘情報の不正利用などを確実に防止することができる。その場合、不適切文字や不適切文字列としては、その守秘情報において出現し得ない文字もしくは文字列を設定することになる。
【0157】
また、上述した実施形態では、氏名以外の個人情報要素が、電話番号,電子メールアドレス,住所の3要素である場合について説明したが、本発明は、これに限定されるものでなく、氏名以外の個人情報要素としては、例えば、生年月日,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号などを用いてもよい。
【0158】
さらに、各クライアント端末10の個人情報探査手段11,204による探査(記憶部10bに保存されている全ての電子ファイルに対する探査)を完了しない間は、そのクライアント端末10の記憶部10bにおける電子ファイルに対するアクセス(例えば、リネイム,コピー,消去,移動などによるデータ変更など;より具体的には、外部記録媒体への出力,メール添付など)を禁止するように構成してもよい。この場合、個人情報ファイルであると判定される電子ファイルの有無が確認され、個人情報ファイルであると判定された電子ファイルを個人情報管理サーバ20(もしくはファイルアクセス管理サーバ30)の管理下に置くまでは、そのクライアント端末10の記憶部10bにおける電子ファイルに対するアクセスが禁止されることになるので、より確実に個人情報の流出・漏洩を防止することが可能になる。
【0159】
ところで、第1クライアント端末10Aにおける、上述した第1個人情報探査手段11,検知手段12,第1制御手段13,アクセス監視手段14および送受信手段15としての機能(各手段の全部もしくは一部の機能)は、上述した通り、コンピュータ(CPU,情報処理装置,各種端末を含む)が、個人情報管理サーバ20からインストールされた所定のアプリケーションプログラム(個人情報探査プログラム)を実行することによって実現される。
【0160】
また、個人情報管理サーバ20における、上述したクライアント情報収集手段201,インストール手段202,収集手段203,第2個人情報探査手段204,差分抽出手段205,第2制御手段206,管理コンソール207,個人情報管理手段208,表示制御手段209,送受信手段210およびデジタル署名手段211としての機能(各手段の全部もしくは一部の機能)は、上述した通りコンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラム(個人情報管理サーバ用プログラム)を実行することによって実現される。
【0161】
個人情報探査プログラムを含む個人情報管理サーバ用プログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体から個人情報管理サーバ用プログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。
【0162】
ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたコンピュータプログラムを読み取るための手段とをそなえている。
【0163】
上記個人情報探査プログラムや上記個人情報管理サーバ用プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、個人情報探査手段11,CPU使用率監視手段12,入出力監視手段13,制御手段14,アクセス監視手段15,送受信手段16,クライアント情報収集手段201,インストール手段202,収集手段203,第2個人情報探査手段204,差分抽出手段205,第2制御手段206,管理コンソール207,個人情報管理手段208,表示制御手段209,送受信手段210およびデジタル署名手段211としての機能を実現させるプログラムコードを含んでいる。また、その機能の一部はアプリケーションプログラムではなくOSによって実現されてもよい。
【0164】
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROM等のメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。
【図面の簡単な説明】
【0165】
【図1】本発明の一実施形態としての個人情報管理システムの構成を示すブロック図である。
【図2】本実施形態の第1クライアント端末(個人情報探査プログラム常駐端末)の機能構成を示すブロック図である。
【図3】本実施形態の第2クライアント端末(個人情報探査プログラム常駐非端末)の機能構成を示すブロック図である。
【図4】本実施形態の第1クライアント端末における第1個人情報探査手段の詳細な機能構成を示すブロック図である。
【図5】本実施形態の個人情報管理サーバの機能構成を示すブロック図である。
【図6】本実施形態のファイルアクセス管理サーバの機能構成を示すブロック図である。
【図7】本実施形態の個人情報探査手段の動作を説明するためのフローチャートである。
【図8】本実施形態の第1クライアント端末の動作を説明するためのフローチャートである。
【図9】本実施形態の第2クライアント端末の動作を説明するためのフローチャートである。
【図10】本実施形態の個人情報管理サーバの動作を説明するためのフローチャートである。
【図11】本実施形態の個人情報管理サーバの動作を説明するためのフローチャートである。
【図12】本実施形態のファイルアクセス管理サーバによるファイル変換動作を説明するためのフローチャートである。
【図13】本実施形態のファイルアクセス管理サーバによる認証動作を説明するためのフローチャートである。
【符号の説明】
【0166】
1 個人情報管理システム
10 クライアント端末
10A 第1クライアント端末(個人情報探査プログラム常駐端末)
10B 第2クライアント端末(個人情報探査プログラム非常駐端末)
10a CPU
10b 記憶部
10c 検疫テーブル
10d Pマークテーブル
11 第1個人情報探査手段(探査エンジン,テキスト抽出エンジン)
111 抽出手段
112 切出手段
113 第1判定手段
113a 電話番号判定手段
113b 電子メールアドレス判定手段
113c 住所判定手段
114 文字判定手段
115 照合手段
116 第2判定手段
12 検知手段
13 第1制御手段
14 アクセス監視手段
15 送受信手段(送信手段)
20 個人情報管理サーバ
20a CPU
20b データベース
20b−1 検疫テーブル
20b−2 Pマークテーブル
20b−3 ファイル情報保存手段
20c 表示部
201 クライアント情報収集手段
202 インストール手段
203 収集手段
204 第2個人情報探査手段(探査エンジン,テキスト抽出エンジン)
205 差分抽出手段
206 第2制御手段
207 管理コンソール
208 個人情報管理手段
209 表示制御手段
210 送受信手段
211 デジタル署名手段
30 ファイルアクセス管理サーバ
30a CPU
30b 記憶部
31 送受信手段
31a 個人情報ファイル受信手段
31b 暗号化ファイル送信手段
31c 認証情報受信手段
31d 復号鍵送信手段
32 変換手段
33 暗号化手段
34 判定手段
40 ネットワーク(社内LAN)
【特許請求の範囲】
【請求項1】
複数のクライアント端末と、
該複数のクライアント端末とネットワークを介して相互に通信可能に接続され、該複数のクライアント端末における個人情報ファイルを管理する個人情報管理サーバとをそなえるとともに、
該複数のクライアント端末が、個人情報ファイルの探査を実行するための個人情報探査プログラムを常駐させている第1クライアント端末と、前記個人情報探査プログラムを常駐させていない第2クライアント端末とを含み、
該第1クライアント端末が、
前記個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう第1個人情報探査手段と、
該第1クライアント端末におけるファイルの追加・変更を検知する検知手段と、
該検知手段によりファイルの追加・変更を検知した場合に、前記個人情報探査プログラムを起動し、追加・変更された当該ファイルが個人情報ファイルであるか否かを判定するアルタイム探査を該第1個人情報探査手段に実行させる第1制御手段と、
該第1個人情報探査手段により当該ファイルが個人情報ファイルであると判定された場合、該ネットワークを介して該第1個人情報探査手段による判定結果を該個人情報管理サーバへ送信する送信手段とをそなえて構成され、
該個人情報管理サーバが、
前記個人情報探査プログラムを実行することにより該ネットワークを介して該第2クライアント端末における個人情報ファイルの探査を行なう第2個人情報探査手段と、
該第2個人情報探査手段により最後に個人情報ファイルの定期探査を行なった時点での、該第2クライアント端末におけるファイルに関する情報を保存するファイル情報保存手段と、
該第2クライアント端末におけるファイルに関する最新情報と該ファイル情報保存手段に保存されている情報とを比較し、最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更されたファイルを、差分ファイルとして、該ネットワークを介して該第2クライアント端末から定期的に抽出する差分抽出手段と、
該差分抽出手段により抽出された前記差分ファイルが個人情報ファイルであるか否かを判定する定期探査を該第2個人情報探査手段に実行させる第2制御手段とをそなえて構成されていることを特徴とする、個人情報管理システム。
【請求項2】
該第1制御手段が、該第1個人情報探査手段に、最初に該第1クライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、前記リアルタイム探査を実行させることを特徴とする、請求項1記載の個人情報管理システム。
【請求項3】
該第2制御手段が、該第2個人情報探査手段に、最初に該第2クライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、前記定期探査を実行させることを特徴とする、請求項1または請求項2に記載の個人情報管理システム。
【請求項4】
該ファイル情報保存手段が、ファイルに関する情報として、少なくともファイル作成/更新日時,ファイルサイズ,ファイル名を保存していることを特徴とする、請求項1〜請求項3のいずれか一項に記載の個人情報管理システム。
【請求項5】
該個人情報管理サーバが、
該ネットワークに接続されたクライアント端末に対し、当該クライアント端末の利用者からの要求に応じて前記個人情報探査プログラムをインストールするインストール手段をさらにそなえて構成されていることを特徴とする、請求項1〜請求項4のいずれか一項に記載の個人情報管理システム。
【請求項6】
該個人情報管理サーバが、
該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルに対し、デジタル署名を付与するデジタル署名手段をさらにそなえて構成されていることを特徴とする、請求項1〜請求項5のいずれか一項に記載の個人情報管理システム。
【請求項7】
該個人情報管理サーバが、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを保存しているクライアント端末から当該個人情報ファイルを強制的に回収することを特徴とする、請求項1〜請求項6のいずれか一項に記載の個人情報管理システム。
【請求項8】
該個人情報管理サーバが、回収された個人情報ファイルを管理者のみがアクセス可能なフォルダに格納することを特徴とする、請求項7記載の個人情報管理システム。
【請求項9】
該個人情報管理サーバが、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを保存しているクライアント端末から当該個人情報ファイルが外部へ出力されるのを強制的に禁止することを特徴とする、請求項1〜請求項6のいずれか一項に記載の個人情報管理システム。
【請求項10】
該個人情報管理サーバが、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを保存しているクライアント端末に対し警告情報を通知することを特徴とする、請求項1〜請求項6のいずれか一項に記載の個人情報管理システム。
【請求項11】
該複数のクライアント端末のそれぞれが、
該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを監視し、当該個人情報ファイルに対するアクセスが生じた場合にはその旨を該個人情報管理サーバに通知するアクセス監視手段をさらにそなえて構成されていることを特徴とする、請求項1〜請求項6のいずれか一項に記載の個人情報管理システム。
【請求項12】
該個人情報管理サーバと相互に通信可能に接続され、電子ファイルに対するアクセスを管理するファイルアクセス管理サーバをさらにそなえ、
該個人情報管理サーバが、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルに対するアクセスを該ファイルアクセス管理サーバに管理させることを特徴とする、請求項1〜請求項11のいずれか一項に記載の個人情報管理システム。
【請求項13】
前記個人情報探査プログラムが、
判定対象ファイルが特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルであるか否かを判定する機能をコンピュータに実現させるためのものであって、
当該判定対象ファイルに含まれるテキストデータを抽出する抽出手段、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段、および、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段として、該コンピュータを機能させることを特徴とする、請求項1〜請求項12のいずれか一項に記載の個人情報管理システム。
【請求項14】
該第1判定手段において、該切出手段によって切り出された文字区間における文字列が、電話番号に該当するか否かを判定し、電話番号に該当しない場合に電子メールアドレスに該当するか否かを判定し、電子メールアドレスに該当しない場合に住所に該当するか否かを判定し、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当すると判定された時点で、当該文字列についての判定処理を終了することを特徴とする、請求項13記載の個人情報管理システム。
【請求項15】
該第2判定手段が、該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間における文字列を氏名に該当する個人情報要素と見なして、当該判定対象ファイルが個人情報ファイルであるか否かを判定することを特徴とする、請求項13または請求項14に記載の個人情報管理システム。
【請求項16】
該第2判定手段が、前記計数結果に基づいて、該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とが多いほど大きくなる判定値を算出し、算出された判定値が所定閾値を超えた場合に当該判定対象ファイルが個人情報ファイルであると判定することを特徴とする、請求項13〜請求項15のいずれか一項に記載の個人情報管理システム。
【請求項17】
該個人情報管理サーバが、該第2判定手段によって算出された前記判定値に応じて、当該判定対象ファイルを管理することを特徴とする、請求項16記載の個人情報管理システム。
【請求項18】
該個人情報管理サーバが、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを管理対象とし、該第2判定手段によって算出された前記判定値に応じて、当該個人情報ファイルを管理することを特徴とする、請求項16または請求項17に記載の個人情報管理システム。
【請求項1】
複数のクライアント端末と、
該複数のクライアント端末とネットワークを介して相互に通信可能に接続され、該複数のクライアント端末における個人情報ファイルを管理する個人情報管理サーバとをそなえるとともに、
該複数のクライアント端末が、個人情報ファイルの探査を実行するための個人情報探査プログラムを常駐させている第1クライアント端末と、前記個人情報探査プログラムを常駐させていない第2クライアント端末とを含み、
該第1クライアント端末が、
前記個人情報探査プログラムを実行することにより個人情報ファイルの探査を行なう第1個人情報探査手段と、
該第1クライアント端末におけるファイルの追加・変更を検知する検知手段と、
該検知手段によりファイルの追加・変更を検知した場合に、前記個人情報探査プログラムを起動し、追加・変更された当該ファイルが個人情報ファイルであるか否かを判定するアルタイム探査を該第1個人情報探査手段に実行させる第1制御手段と、
該第1個人情報探査手段により当該ファイルが個人情報ファイルであると判定された場合、該ネットワークを介して該第1個人情報探査手段による判定結果を該個人情報管理サーバへ送信する送信手段とをそなえて構成され、
該個人情報管理サーバが、
前記個人情報探査プログラムを実行することにより該ネットワークを介して該第2クライアント端末における個人情報ファイルの探査を行なう第2個人情報探査手段と、
該第2個人情報探査手段により最後に個人情報ファイルの定期探査を行なった時点での、該第2クライアント端末におけるファイルに関する情報を保存するファイル情報保存手段と、
該第2クライアント端末におけるファイルに関する最新情報と該ファイル情報保存手段に保存されている情報とを比較し、最後に個人情報ファイルの定期探査を行なった時点から現時点までの間に追加・変更されたファイルを、差分ファイルとして、該ネットワークを介して該第2クライアント端末から定期的に抽出する差分抽出手段と、
該差分抽出手段により抽出された前記差分ファイルが個人情報ファイルであるか否かを判定する定期探査を該第2個人情報探査手段に実行させる第2制御手段とをそなえて構成されていることを特徴とする、個人情報管理システム。
【請求項2】
該第1制御手段が、該第1個人情報探査手段に、最初に該第1クライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、前記リアルタイム探査を実行させることを特徴とする、請求項1記載の個人情報管理システム。
【請求項3】
該第2制御手段が、該第2個人情報探査手段に、最初に該第2クライアント端末における全データを対象にして個人情報ファイルの探査を実行させてから、前記定期探査を実行させることを特徴とする、請求項1または請求項2に記載の個人情報管理システム。
【請求項4】
該ファイル情報保存手段が、ファイルに関する情報として、少なくともファイル作成/更新日時,ファイルサイズ,ファイル名を保存していることを特徴とする、請求項1〜請求項3のいずれか一項に記載の個人情報管理システム。
【請求項5】
該個人情報管理サーバが、
該ネットワークに接続されたクライアント端末に対し、当該クライアント端末の利用者からの要求に応じて前記個人情報探査プログラムをインストールするインストール手段をさらにそなえて構成されていることを特徴とする、請求項1〜請求項4のいずれか一項に記載の個人情報管理システム。
【請求項6】
該個人情報管理サーバが、
該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルに対し、デジタル署名を付与するデジタル署名手段をさらにそなえて構成されていることを特徴とする、請求項1〜請求項5のいずれか一項に記載の個人情報管理システム。
【請求項7】
該個人情報管理サーバが、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを保存しているクライアント端末から当該個人情報ファイルを強制的に回収することを特徴とする、請求項1〜請求項6のいずれか一項に記載の個人情報管理システム。
【請求項8】
該個人情報管理サーバが、回収された個人情報ファイルを管理者のみがアクセス可能なフォルダに格納することを特徴とする、請求項7記載の個人情報管理システム。
【請求項9】
該個人情報管理サーバが、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを保存しているクライアント端末から当該個人情報ファイルが外部へ出力されるのを強制的に禁止することを特徴とする、請求項1〜請求項6のいずれか一項に記載の個人情報管理システム。
【請求項10】
該個人情報管理サーバが、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを保存しているクライアント端末に対し警告情報を通知することを特徴とする、請求項1〜請求項6のいずれか一項に記載の個人情報管理システム。
【請求項11】
該複数のクライアント端末のそれぞれが、
該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを監視し、当該個人情報ファイルに対するアクセスが生じた場合にはその旨を該個人情報管理サーバに通知するアクセス監視手段をさらにそなえて構成されていることを特徴とする、請求項1〜請求項6のいずれか一項に記載の個人情報管理システム。
【請求項12】
該個人情報管理サーバと相互に通信可能に接続され、電子ファイルに対するアクセスを管理するファイルアクセス管理サーバをさらにそなえ、
該個人情報管理サーバが、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルに対するアクセスを該ファイルアクセス管理サーバに管理させることを特徴とする、請求項1〜請求項11のいずれか一項に記載の個人情報管理システム。
【請求項13】
前記個人情報探査プログラムが、
判定対象ファイルが特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルであるか否かを判定する機能をコンピュータに実現させるためのものであって、
当該判定対象ファイルに含まれるテキストデータを抽出する抽出手段、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段、および、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段として、該コンピュータを機能させることを特徴とする、請求項1〜請求項12のいずれか一項に記載の個人情報管理システム。
【請求項14】
該第1判定手段において、該切出手段によって切り出された文字区間における文字列が、電話番号に該当するか否かを判定し、電話番号に該当しない場合に電子メールアドレスに該当するか否かを判定し、電子メールアドレスに該当しない場合に住所に該当するか否かを判定し、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当すると判定された時点で、当該文字列についての判定処理を終了することを特徴とする、請求項13記載の個人情報管理システム。
【請求項15】
該第2判定手段が、該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間における文字列を氏名に該当する個人情報要素と見なして、当該判定対象ファイルが個人情報ファイルであるか否かを判定することを特徴とする、請求項13または請求項14に記載の個人情報管理システム。
【請求項16】
該第2判定手段が、前記計数結果に基づいて、該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とが多いほど大きくなる判定値を算出し、算出された判定値が所定閾値を超えた場合に当該判定対象ファイルが個人情報ファイルであると判定することを特徴とする、請求項13〜請求項15のいずれか一項に記載の個人情報管理システム。
【請求項17】
該個人情報管理サーバが、該第2判定手段によって算出された前記判定値に応じて、当該判定対象ファイルを管理することを特徴とする、請求項16記載の個人情報管理システム。
【請求項18】
該個人情報管理サーバが、該第1個人情報探査手段もしくは該第2個人情報探査手段によって探査された個人情報ファイルを管理対象とし、該第2判定手段によって算出された前記判定値に応じて、当該個人情報ファイルを管理することを特徴とする、請求項16または請求項17に記載の個人情報管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2007−4645(P2007−4645A)
【公開日】平成19年1月11日(2007.1.11)
【国際特許分類】
【出願番号】特願2005−185878(P2005−185878)
【出願日】平成17年6月27日(2005.6.27)
【出願人】(592112938)クオリティ株式会社 (121)
【Fターム(参考)】
【公開日】平成19年1月11日(2007.1.11)
【国際特許分類】
【出願日】平成17年6月27日(2005.6.27)
【出願人】(592112938)クオリティ株式会社 (121)
【Fターム(参考)】
[ Back to top ]