【課題】セキュリティの強化に伴う管理者の作業負担を低減する。
【解決手段】ユーザを限定するアクセス制限が設定されるメモリ領域を備えかつネットワークへの接続が可能な情報機器は、セキュリティを強化するモード変更操作に呼応して、メモリ領域に記憶されたデータについて、当該データ自体に設定されたアクセス制限と、メモリ領域に設定されたアクセス制限と、当該データを記憶させたユーザに対して予め登録されているユーザ認証用の情報とのうちのいずれかが強化後のセキュリティ要件を満たすか否かを判別し、いずれのセキュリティ要件をも満たさないデータがあった場合に、該当するデータをメモリ領域に記憶させたユーザまたはメモリ領域のアクセス制限を設定したユーザに対して、セキュリティ要件を満たすための操作の実行を促すメッセージをネットワークを介して送る。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は、複数のユーザが共用する情報機器およびその運用支援方法に関する。
【背景技術】
【０００２】
ＯＡ（Office Automation）機器と呼ばれるビジネスユースの情報機器の一つに複合機がある。近年の複合機は、コピー、プリント、イメージ入力、ファクシミリ通信、メール送受、およびドキュメントデータの保存などに利用可能な多機能周辺機器（ＭＦＰ：Multifunction Peripherals）として知られている。複合機は企業内のネットワークに組み込まれ、複合機に備わる操作パネルによる操作入力またはネットワークに接続されたコンピュータによるアクセスに応じて動作する。
【０００３】
このような複合機の多くがユーザを認証するセキュリティ機能を有している。典型的な認証方法は、ユーザが複合機の使用時に入力したユーザＩＤおよびパスワードを予め登録されているユーザＩＤおよびパスワードと照合する。照合で一致すれば、そのユーザは認証される。認証されなければそのユーザによる複合機の使用が全面的または部分的に制限される。
【０００４】
また、ドキュメントデータを保存するためのボックスと呼ばれるメモリ領域にもパスワードを設定することができる（例えば、特許文献１）。ボックスを利用するユーザは、設定されたパスワードを入力することによってボックスへのアクセスが許され、ボックス内のデータを読み出したりボックスにデータを記憶させたりすることができる。なお、ボックスはハードディスクドライブのような記憶装置のメモリ領域の一部を割り当てることによって設けられる。個々のユーザが専用する個人用ボックスおよび複数のユーザが共用する共有ボックスを設けることができる。
【０００５】
複数のセキュリティモードを有した複合機においては、使用環境や運用状況に応じてセキュリティを強化しまたは緩和することができる。一般に、セキュリティを強化すると、強化以前よりも桁数の大きいパスワードを入力しなければならないというように、操作が面倒になる。したがって、通常はセキュリティを強化しないでおいて、例えば一時的に他部署にも複合機を開放する場合のような特別の場合にだけセキュリティを強化する、といったセキュリティモードを適時に切替える運用が考えられる。
【０００６】
セキュリティモードの切替えに関する先行技術としては、セキュリティを緩和するモード切替えに際して、機密保持の必要なジョブが記憶されている場合に、警告し、当該ジョブの消去を促す表示をし、または当該ジョブを消去する技術がある（特許文献２）。
【先行技術文献】
【特許文献】
【０００７】
【特許文献１】特開２００３−８５１７９号公報
【特許文献２】特開２００８−２９４５７２号公報
【発明の概要】
【発明が解決しようとする課題】
【０００８】
情報機器を多数のユーザが共用する場合には、管理者を定め、この管理者がセキュリティモードの切替え操作を行うという運用が一般になされる。既に複数のユーザが情報機器を日常的に使用しているとき、突然に管理者がセキュリティを強化するモード切替えを行うと、強化後のパスワード規約に適合しないパスワードを登録しているユーザが情報機器自体およびボックスにアクセスできないという事態の生じるおそれが多分にある。この事態を避けるため、通常、管理者は事前にユーザに通知を出して認証用パスワードの変更を要請する。
【０００９】
しかし、多数のユーザの中にパスワードを変更するのを忘れるユーザがいないとは限らない。ユーザがパスワードを変更するのを忘れたり通知のあったことを知らなかったりして結果的に管理者の要請に応えないことは起こり得る。したがって、管理者は、セキュリティの強化に際して、全てのユーザについてアクセスに支障が生じないかどうかをチェックしなければならず、大きな作業負担を強いられる。
【００１０】
本発明は、このような事情に鑑みてなされ、セキュリティの強化に伴う管理者の作業負担を低減することを目的としている。
【課題を解決するための手段】
【００１１】
上記目的を達成する装置は、ネットワークへの接続が可能な情報機器であって、ユーザを限定するアクセス制限が設定されるメモリ領域と、セキュリティを強化するモード変更操作に呼応して、前記メモリ領域が記憶するデータについて、当該データ自体に設定されたアクセス制限と、前記メモリ領域に設定されたアクセス制限と、当該データを記憶させたユーザに対して予め登録されているユーザ認証用の情報とのうちのいずれかが強化後のセキュリティ要件を満たすか否かを判別する判別手段と、いずれもがセキュリティ要件を満たさないとの前記判別手段からの判別結果を受け、判別結果に該当するデータを前記メモリ領域に記憶させたユーザまたは前記メモリ領域のアクセス制限を設定したユーザに対して、前記ネットワークを介してセキュリティ要件を満たすための操作の実行を促すメッセージを送る通知手段とを備える。
【００１２】
上記目的を達成する方法は、ユーザを限定するアクセス制限が設定されるメモリ領域を備えかつネットワークへの接続が可能な情報機器の運用支援方法であって、セキュリティを強化するモード変更操作に呼応して、前記情報機器が、前記メモリ領域に記憶されたデータについて、当該データ自体に設定されたアクセス制限と、前記メモリ領域に設定されたアクセス制限と、当該データを記憶させたユーザに対して予め登録されているユーザ認証用の情報とのうちのいずれかが強化後のセキュリティ要件を満たすか否かを判別し、いずれの前記セキュリティ要件をも満たさないデータがあった場合に、該当するデータを前記メモリ領域に記憶させたユーザまたは前記メモリ領域のアクセス制限を設定したユーザに対して、セキュリティ要件を満たすための操作の実行を促すメッセージをネットワークを介して送る。
【発明の効果】
【００１３】
セキュリティ要件を満たさないデータに関係するユーザに自動的にメッセージが送られるので、管理者がメッセージを送る必要がない。しかも、メッセージの送り先がデータ自体とメモリ領域とユーザ認証用の情報とのいずれもがセキュリティ要件を満たさないデータに関係するユーザに限定されるので、限定しない場合と比べて、メッセージを受けてユーザが正しく操作を実行したか否かをチェックの作業負担が小さい。
【図面の簡単な説明】
【００１４】
【図１】本発明の実施形態に係る複合機を有するネットワークの構成例を示す図である。
【図２】複合機のハードウェア構成を示すブロック図である。
【図３】メモリ領域としてのボックスの設定例を示す図である。
【図４】複合機の要部の機能構成例を示す図である。
【図５】ユーザ登録テーブルの項目を示す図である。
【図６】セキュリティ要件テーブルの項目を示す図である。
【図７】ボックス管理テーブルの項目を示す図である。
【図８】ファイル管理テーブルの項目を示す図である。
【図９】ユーザにセキュリティ強化を要求する／しないの場合分けの例を示す図である。
【図１０】セキュリティを設定する操作のためのセキュリティモード切替え画面の例を示す図である。
【図１１】ユーザにセキュリティ強化を要求する動作のフローチャートである。
【図１２】ユーザにセキュリティ強化を要求する動作のフローチャートである。
【図１３】ユーザにセキュリティ強化を要求する動作のフローチャートである。
【発明を実施するための形態】
【００１５】
セキュリティモードの切替え可能な情報機器として多機能の画像形成装置である複合機を例に挙げる。図１のように複合機２および複数のパーソナルコンピュータ３，４を有した情報処理システム１を想定する。情報処理システム１は、企業またはそれに類する組織に設けられたＬＡＮ(Local Area Network)であり、複合機２を介して公衆回線７と繋がりかつルータ６を介してインターネット８と繋がっている。ＭＦＰとも呼ばれる複合機２は、コピー機、プリンタ、イメージスキャナ、ファクシミリ通信機、メール送受機、およびドキュメント保存用のデータ記憶装置として利用可能である。複合機２およびパーソナルコンピュータ３，４はスイッチングハブ５を介して相互に通信することができる。
【００１６】
複合機２のハードウェア構成が図２に示される。複合機２は、操作パネル２０、イメージスキャナ２１、プリンタ２２、用紙ストッカ２３、電源回路２４、制御回路２５、画像処理回路２６、ファクシミリ通信モデム２７、外部接続インタフェース２８およびストレージ２９を備える。操作パネル２０と制御回路２５と外部接続インタフェース２８とストレージ２９とが、セキュリティモードの切替えに関係する要部２Ａの要素である。操作パネル２０には操作画面を表示するためのディスプレイ２０１としてＬＣＤ(Liquid Crystal Display)が配置されている。イメージスキャナ２１はカラー原稿の読取りが可能である。プリンタ２２は、両面プリントのためのユニットを備えており、多段形式の用紙ストッカ２３から供給される用紙の片面または両面にモノクロまたはカラーの画像をプリントする。電源回路２４は複合機２の随所に必要とされる電力を供給する。制御回路２５は、制御プログラムを記憶するＲＯＭ２５１、制御プログラムを実行するＣＰＵ（Central Processing Unit）２５２、およびプログラム実行のワークエリアとして用いられるＲＡＭ２５３を有する。画像処理回路２６はコピーやプリントにおけるビットマップ展開を含む種々の処理を担う。ファクシミリ通信モデム２７は公衆回線による通信に用いられる。外部接続インタフェース２８はＬＡＮケーブルとの接続に用いられる。本例のストレージ２９は数十Ｇバイト以上の大容量の不揮発性メモリ領域をもつハードディスクドライブ（ＨＤＤ）である。
【００１７】
ストレージ２９には、複合機２の制御に係わるデータを記憶するメモリ領域とともに、各種ドキュメントや画像を保存するメモリ領域であるボックス（Ｂｏｘ）が設けられる。図３の例では、複合機２に複数のユーザが共用する共有ボックス５１、個々のユーザが専用する個人用ボックス５２，５３，５４，５５および複数のユーザのグループに割り当てられるグループ用ボックス５６，５７が設けられている。いずれのボックス５１〜５７もユーザを限定するアクセス制限のためのパスワードを個別に設定することが可能である。
【００１８】
ボックス５１〜５７で記憶されるドキュメントデータの中には、それを作成するアプリケーションソフトウェアによって読取りパスワードが設定されたものがある。また、所定のソフトウェアにより暗号化された各種のデータもボックス５１〜５７で記憶される。このようなデータ保護がなされたデータの内容をユーザが閲覧するには、複合機２を使用するためのユーザ認証を受け、かつデータ自体に設定されたパスワードを入力しなければならない。さらに、データを記憶するボックスにパスワードが設定されている場合には、そのボックスのパスワードをも入力しなければ、データにアクセスすることができない。
【００１９】
本例の複合機２においては、非強化モードと強化モードの二つのセキュリティモードの選択が可能である。ただし、三つ以上のセキュリティモードを設けて多段階のセキュリティレベルの設定を可能にしてもよい。強化モードは、非強化モードと比べて、複合機２およびボックス５１〜５７へのアクセスを厳しく制限する。例えば強化モードにおいてはパスワードは８桁以上というパスワード規約が適用される。非強化モードから強化モードへ切り替わるとセキュリティが高まる。セキュリティモードを選択する操作は、情報処理システム１の運用に際して定められた管理者によって行われる。
【００２０】
セキュリティモードの切替えに係る機能構成が図４に示される。図４のように複合機２は、判別部３１、通知部３３、入力部３５、表示部３７、およびファイル編集部３９を備える。これらの機能要素は、制御用のコンピュータプログラムとそれを実行するコンピュータとしての上記ＣＰＵ２５２とで実現される。判別部３１には第１カウンタ３１１、第２カウンタ３１２、第３カウンタ３１３および比較部３１４が含まれる。
【００２１】
判別部３１は、入力部３５が受け付ける強化モード選択操作に呼応して、ボックス５１〜５７内で記憶されているデータに対する判別をする。詳しくは、各データ自体に設定されたアクセス制限と、当該データを記憶するボックスに設定されたパスワードによるアクセス制限と、当該データの作成者であるユーザに対して予め登録されているユーザ認証用の情報（パスワード）とのうちのいずれかが強化モードのセキュリティ要件を満たすか否かを、判別部３１は判別する。ここでいうデータ自体に設定されたアクセス制限には、パスワードの設定、暗号化、および地紋の付与が含まれる。パスワードによるアクセス制限にはパスワードの有無、桁数および文字種が関係する。また、データの作成者とは、データを記憶させるジョブを複合機２に与えたユーザである。判別に際して判別部３１は、ユーザ登録テーブル４１、セキュリティ要件テーブル４２、ボックス管理テーブル４３、およびファイル管理テーブル４４を参照する。これらテーブル４１〜４４はストレージ２９によって記憶され、必要に応じてＲＡＭ２５２にロードされる。
【００２２】
判別部３１における第１カウンタ３１１は、ユーザ登録テーブル４１に登録されているユーザ認証用のパスワードがセキュリティ要件テーブル４２の示すセキュリティ要件を満たさないユーザの人数を計算する。第２カウンタ３１２は、ボックス管理テーブル４３の示すアクセス制限がセキュリティ要件を満たさないボックスの個数を計算する。第３カウンタ３１３は、ファイル管理テーブル４４の示すアクセス制限がセキュリティ要件を満たさないデータの個数を計算する。比較部３１４は、これら三つのカウンタ３１１〜３１３の計算値を比較し、最小の計算値がユーザの人数かボックスの個数かまたはデータの個数かを示す比較結果を通知部３３に伝える。
【００２３】
通知部３３は、判別部３１からの判別結果を受けて、セキュリティ要件を満たすための操作の実行を促すメッセージを所定のユーザに送る。メッセージを送る必要があるのは、セキュリティ不足のデータが存在する場合である。セキュリティ不足のデータとは、その作成者の認証用のパスワード、当該データを記憶するボックスのアクセス制限（主にパスワード）、および当該データ自体のアクセス制限（パスワード、暗号化、地紋など）のいずれもが強化モードのセキュリティ要件を満たしていないデータである。このようなセキュリティ不足のデータがストレージ２９内に無ければ本例の通知部３３はメッセージを送らない。
【００２４】
メッセージの送り先のユーザはセキュリティ不足のデータの作成者に限らない。データの作成者に送る場合と、データを記憶するボックスの作成者（ボックスのパスワードを設定したユーザ）に送る場合とがある。データの作成者とボックスの作成者のどちらが送り先になるかは比較部３１４の比較結果に依存する。第１カウンタ３１１の計算値が最小である場合には、第３カウンタ３１３による計算の対象であるセキュリティ不足のデータの作成者のうち、第１カウンタ３１１の計算対象であるユーザ（認証用パスワードが要件を満たさない）に対して、メッセージが送られる。第２カウンタ３１２の計算値が最小である場合には、第２カウンタ３１２の計算対象であるボックスの作成者に対して、メッセージが送られる。第３カウンタ３１３の計算値が最小である場合には、第３カウンタ３１３の計算対象であるセキュリティ不足のデータの作成者に対して、メッセージが送られる。
【００２５】
メッセージは例えば電子メールに記載されまたは添付され、インターネット８内またはＬＡＮ（情報処理システム１）内の図示しないメールサーバに送信される。電子メールはメールサーバからユーザの使用するパーソナルコンピュータ３ａ，３ｂ，３ｃ，３ｄへ適時に転送され、それによってユーザ（ボックス作成者を含む）にメッセージが届く。なお、電子メールに限らず、ＬＡＮ内のメッセージ通信またはファクシミリ通信によってメッセージをユーザに届けてもよい。
【００２６】
メッセージを受け取ったユーザは、メッセージの指示に従ってパスワードをパスワード規約に適合するものに変更する。ユーザがセキュリティを強化すべきボックスの作成者である場合には、ユーザは少なくともボックスのパスワードを変更する。それにより、ボックス内にセキュリティ不足のデータが複数存在していても、データの個々のパスワードを変更せずにセキュリティ不足が解消される。ユーザがボックスの作成者でなければ、認証用のパスワードとデータ自体のパスワードの少なくとも片方を変更する。データ自体のパスワードのみを変更してもよいが、対象データが複数ある場合には認証用のパスワードを変更する方が作業の手間が少ない。複合機２の全体のセキュリティの観点においても、片方のみ変更するのであれば認証用のパスワードを変更するのが望ましい。
【００２７】
ユーザへのメッセージの送出だけでなく、管理者への情報提供も通知部３３が担う。通知部３３は、判別部３１の三つのカウンタ３１１〜３１３の計算値のうちの最小値が予め決められた設定値よりも小さい場合に、当該最小値に対応するユーザ（メッセージを送るべきデータの作成者またはボックスの作成者）が誰であるかを表示部３７に伝える。表示部３７は、操作パネル２０のディスプレイ２０１に判別部３１から伝えられたユーザの氏名および連絡先を示す情報を表示する。表示されたユーザ情報は、操作パネル２０を用いて強化モード選択操作をする管理者の目にとまる。管理者は、表示されたユーザと直接に会ったり電話をかけたりしてパスワードの変更を要請することができる。管理者による直接の要請はユーザへのより確実な働きかけとなる。上記設定値を５〜１０程度としておけば、管理者に大きな負担をかけることはない。
【００２８】
ファイル編集部３９は、セキュリティ不足のデータ数を削減するための地紋付与手段である。ファイル編集部３９は、地紋の付加された第１の画像データがストレージ２９に記憶されており、かつセキュリティ不足のデータの中に第１の画像データを記憶させたユーザが記憶させた地紋の付加されていない第２の画像データが含まれる場合に、第２の画像データに第１の画像データに付与されている地紋と同じ地紋を付与する。地紋の付与されプリントされたドキュメントをコピーすると所定の文字や図が顕在化する。地紋の付与には複製を抑制する心理的効果がある。このことから、本実施形態では、地紋の付与がセキュリティ不足を解消する対策の一つとされている。
【００２９】
ユーザ登録テーブル４１は、登録データ項目として、図５のように識別コード（ＩＤ）４１１、認証用のパスワード４１２、ユーザ名４１３、メールアドレス４１４、および電話番号４１５を有する。ユーザ登録テーブル４１は上述の判別部３１および通知部３３に参照される。図６のようにセキュリティ要件テーブル４２の登録データ項目は、パスワード桁数４２１およびパスワード文字種４２２を含んでいる。図７のようにボックス管理テーブル４３は、種別４３１、作成者４３２およびパスワード４３３を登録データ項目として有する。図８のようにファイル管理テーブル４４は、ファイルの記憶場所を示すボックス４４１、ファイル名４４２、作成者４４３、パスワード４４４およびファイル属性４４５を登録データ項目として有する。ファイル属性４４５が示す情報には地紋に関する情報が含まれる。
【００３０】
図９は本実施形態におけるユーザにセキュリティ強化を要求する／しないの場合分けを示す。図９ではユーザにメッセージを送ってデータのセキュリティ強化を要求する場合に斜線が付されている。図９において、ユーザが満たすとは、そのユーザの認証用のパスワードがセキュリティ要件を満たすことであり、ユーザが満たさないとは、そのユーザの認証用のパスワードがセキュリティ要件を満たさないことである。共有ボックス、個人用ボックスおよびグループ用ボックスについては、それぞれに設定されたパスワードがセキュリティ要件を満たす場合と満たさない場合とがある。パスワードが設定されていない場合はセキュリティ要件を満たさない場合に含まれる。また、各ボックスのデータ記憶状態を場合分けすると、三つの場合が考えられる。第１はボックス内のデータが全てセキュリティ要件を満たす場合であり、第２はボックス内にデータ自体に設定されたアクセス制限（パスワード、暗号化、地紋など）がセキュリティ要件を満たさないデータが一つ以上ある場合である。そして、第３はデータが全く記憶されていない空の状態である場合、すなわちボックスが実質的に未使用の場合である。空の状態であれば、そのボックスのパスワードがセキュリティ要件を満たさなくても、情報漏えいを心配すべきデータ自体が無いので、ボックスの作成者にセキュリティ強化を要求しない。
【００３１】
本実施形態においてセキュリティ強化を要求する場合とは、図９において斜線で示されるように、ユーザ、ボックスおよびデータのいずれもがセキュリティ要件を満たさない場合のみである。詳しくは、ユーザの認証用のパスワードがセキュリティ要件を満たさず、且つボックスに設定されたパスワードがセキュリティ要件を満たさず、且つデータ自体に設定されたアクセス制限がセキュリティ要件を満たさない場合に限って、ユーザまたはボックスの作成者に対してセキュリティ強化が要求される。言い換えれば、セキュリティ要件を満たす少なくとも１つの対策が講じられておれば、セキュリティ強化は要求されない。このようにセキュリティ強化を要求する場合を情報漏えいを防ぐ上での最小限に限定することにより、要求に応えるユーザの作業負担を軽減することができる。逆にデータやボックスに講じられる２重３重のセキュリティ対策のうち１つでも要件を満たさないときに強化を要求するというように、何でもかでもセキュリティ強化を要求すると、ユーザが煩わしく思って要求になかなか応えず、セキュリティ強化が進まない状況の発生が予想される。
【００３２】
図１０はセキュリティモードの切替えのための操作画面の例を示す。複合機２の管理者は、操作パネル２０によって管理者用パスワードの入力を含む所定の入力操作を行い、図１０のセキュリティモード切替え画面Ｑ１０をディスプレイ２０１に表示させる。セキュリティモード切替え画面Ｑ１０では、左端部にジョブリストＬ１が配置され、ジョブリストＬ１の右側に案内メッセージＭ１および二つの設定ボタンＢ１，Ｂ２が表示される。設定ボタンＢ１（ＯＦＦボタン）は強化モードを非強化モードに切替える場合に押下され、設定ボタンＢ２（ＯＮボタン）は非強化モードを強化モードに切替える場合に押下される。図１０では、セキュリティモードが非強化モードであるのを表すために設定ボタンＢ１が強調表示されている。ジョブリストＬ１にはクライアント５，６，７から与えられた実行待ち状態のジョブが一覧表示される。通常、セキュリティモードの切替えは実行待ち状態のジョブがないときに行われる。図示においてジョブリストＬ１内にジョブはない。これは実行待ち状態のジョブがないことを示す。
【００３３】
以下、図１１〜図１３のフローチャートを参照して、セキュリティを強化するときの複合機２の動作を説明する。
【００３４】
ユーザ認証を行う認証機能ＯＮ状態において、セキュリティレベルを上げるモード切替え操作が行われると（＃１，＃２，＃３）、判別部３１による判別が始まる。まず、判別部３１は、登録されているユーザの中に認証用のパスワードがセキュリティ要件を満たさないユーザ（セキュリティ不足のユーザ）がいるかどうかを判別する（＃４，＃５）。セキュリティ不足のユーザがいなければメッセージを送る必要がない。判別部３１は、セキュリティ不足のユーザがいる場合にのみ、登録されているボックスの中に設定されているパスワードがセキュリティ要件を満たさないボックス（セキュリティ不足のボックス）があるかどうかを判別する（＃６，＃７）。セキュリティ不足のボックスがいなければメッセージを送る必要がないので、複合機２は図示における以降の処理を行わない。
【００３５】
セキュリティ不足のボックスがあった場合、判別部３１はそのボックスが個人用かそれ以外のボックスかを判別する（＃８）。セキュリティ不足のボックスが共有ボックス５１かグループ用ボックス５６，５７である場合、作成者からアクセスがあったときに、判別部３１は当該ボックス内にセキュリティ不足のデータがあるか否かをチェックする（＃１１，＃１２，＃１５）。セキュリティ不足のデータがあれば、通知部３３が当該ボックスの作成者に対して当該ボックスのセキュリティ強化を要請するメッセージを送る（＃１６）。ボックスの作成者以外のユーザであってセキュリティを満たすユーザが当該ボックスに新たなデータを記憶させようとアクセスした場合には、ファイル編集部３９が新たなデータを暗号化または他のセキュリティ対応を施した後に当該ボックスに格納する（＃１２、＃１３、＃１４）。
【００３６】
個人用とそれ以外とに係わらずセキュリティ不足のボックスがあった場合に、判別部３１はそのボックスにデータが登録されているか否かを判別する（＃９）。データが登録されておりかつセキュリティ不足のデータがあれば、判別部３１はファイル管理テーブル４４を参照してセキュリティ不足のデータの作成者をメッセージ送り先の選定の対象ユーザとして特定する（＃１８）。判別部３１の第１カウンタ３１１は、特定されたユーザの人数をカウントする（＃１９）。セキュリティ不足のボックス内に登録されているデータがなければ、新たにデータを登録させようとするアクセスがあったときに（＃１７）、アクセスしたユーザに対してセキュリティ強化を促すべくステップ＃１８以降の処理が行われる。
【００３７】
特定された対象ユーザが地紋を付加したデータの作成者である場合に、ファイル編集部３９はそのユーザの作成したセキュリティ不足のデータに地紋を付加する（＃２０，＃２１，＃２２）。地紋の付加により上述のとおりセキュリティ要件が満たされるので、地紋の付加が行われると、セキュリティ不足のデータの総数が減少する。
【００３８】
判別部３１の第２カウンタ３１２は、メッセージ送り先の選定に係わる対象ボックスとしてのセキュリティ不足のボックスの数をカウントする（＃２３）。第３カウンタ３１３は、メッセージ送り先の選定に係わる対象データとしてのセキュリティ不足のデータの数をカウントする（＃２４）。通知部３３は、対象ユーザ、対象ボックスおよび対象データの中で最もカウント数の少ないものを判定し、メッセージの送り先とするユーザを決定する（＃２５）。例えば、対象データ数および対象ユーザ数と比べて対象ボックス数が少なければ、対象ボックスの作成者が送り先に決まり、対象データ数および対象ボックス数と比べて対象ユーザ数が少なければ、対象ユーザが送り先に決まる。また、対象ユーザ数および対象ボックス数と比べて対象データ数が少なければ、対象データのユーザが送り先に決まる。通知部３３は送り先に決まったユーザ（ボックスの作成者を含む）に対してメッセージを送り、セキュリティ要件を満たすためのアクセス制限の設定変更を要請する（＃２９）。上述のとおりメッセージの送り先を最小限に選定することにより、通知部３３の処理負担が軽減される。そして、最小限のユーザがメッセージに応えることで、セキュリティを強化することができる。
【００３９】
また、通知部３３は、対象ユーザ数が設定数よりも少ない場合には対象ユーザの氏名およびメールアドレスや内線電話番号といった連絡先情報を操作パネル２０のディスプレイ２０１に表示するとともに、表示した情報を示すメッセージを管理者の使用するコンピュータに送信する（＃２６、＃２７、＃２８）。
【００４０】
以上の実施形態において種々の変形がある。セキュリティ強化によって要件を満たさなくなったユーザの認証用パスワードを無効とし、ユーザに送るメッセージにワンタイムパスワードを含ませてセキュリティ強化のためのアクセスを行わせるようにしてもよい。メッセージを自動送信する代わりに管理者が送信準備できるように画面表示してもよい。共有ボックス５１およびグループ用ボックス５６，５７の作成者にメッセージを送る代わりに、当該ボックス内のセキュリティ不足のデータの作成者にメッセージを送ってもよい。セキュリティ不足のデータを有する共有ボックス５１またはグループ用ボックス５６，５７へのアクセスを、認証用のパスワードがセキュリティ要件を満たさないユーザのみについて禁止してもよいし、当該ボックスを共用するユーザ全員について禁止してもよい。
【００４１】
１ユーザが複数のボックスまたは複数のデータを使用している場合に、ボックス毎またはデータ毎にセキュリティ強化を要請しても良いし、１通のメッセージでまとめて要請してもよい。
【００４２】
メッセージに応えてユーザがセキュリティ不足の一つのデータに対してパスワードを変更したとき、ボックス内の他のデータおよび他のボックスのデータについても自動的にパスワードを変更するようにしても良い。一つのデータに対して地紋を作成したり変更したりしたときに、そのユーザが作成した他のデータについても、自動的に仮地紋を作成しても良い。ユーザの作業負担を減らす為、セキュリティ変更を促さず、自動的にパスワードや地紋を生成して仮パスワードとしても良い。パスワードを一括変更するか、個別変更するかをユーザに選択させるようにしても良い。
【００４３】
メッセージを送ってから所定時間経過しても、ユーザがセキュリティ強化を実施しない（アクセスしない）場合には、該当ユーザの登録を削除するようにしても良い。
【符号の説明】
【００４４】
１ 情報処理システム（ネットワーク）
２ 複合機（情報機器）
５１ 共有ボックス（メモリ領域）
５２〜５５ 個人用ボックス（メモリ領域）
５６，５７ グループ用ボックス（メモリ領域）
３１ 判別部（判別手段）
３３ 通知部（通知手段）
３１１ 第１カウンタ（第１のカウント手段）
３１２ 第２カウンタ（第２のカウント手段）
３１３ 第３カウンタ（第３のカウント手段）
３１４ 比較部（比較手段）

【特許請求の範囲】
【請求項１】
ネットワークへの接続が可能な情報機器であって、
ユーザを限定するアクセス制限が設定されるメモリ領域と、
セキュリティを強化するモード変更操作に呼応して、前記メモリ領域が記憶するデータについて、当該データ自体に設定されたアクセス制限と、前記メモリ領域に設定されたアクセス制限と、当該データを記憶させたユーザに対して予め登録されているユーザ認証用の情報とのうちのいずれかが強化後のセキュリティ要件を満たすか否かを判別する判別手段と、
いずれもがセキュリティ要件を満たさないとの前記判別手段からの判別結果を受け、当該判別結果に該当するデータを前記メモリ領域に記憶させたユーザまたは前記メモリ領域のアクセス制限を設定したユーザに対して、前記ネットワークを介してセキュリティ要件を満たすための操作の実行を促すメッセージを送る通知手段とを備える
ことを特徴とする情報機器。
【請求項２】
ユーザを限定するアクセス制限がそれぞれに設定される複数のメモリ領域を有し、
前記判別手段は、メモリ領域ごとに当該メモリ領域が記憶するデータについて前記セキュリティ要件を満たすか否かを判別し、
前記通知手段は、いずれもがセキュリティ要件を満たさないと判別されたデータを記憶させたユーザまたは当該データを記憶する各メモリ領域のアクセス制限を設定したユーザにメッセージを送る
請求項１記載の情報機器。
【請求項３】
前記判別手段は、ユーザ認証用の情報が前記セキュリティ要件を満たさないユーザの人数を計算する第１のカウント手段と、
アクセス制限が前記セキュリティ要件を満たさないメモリ領域の個数を計算する第２のカウント手段と、
アクセス制限が前記セキュリティ要件を満たさないデータの個数を計算する第３のカウント手段と、
前記第１、第２および第３のカウント手段の計算値を比較する比較手段とを有しており、
前記通知手段は、前記比較手段の比較結果に基づき、前記第１のカウント手段の計算値が最小である場合には、前記第３のカウント手段の計算の対象であるデータを記憶させたユーザのうちの前記第１のカウント手段の計算の対象であるユーザに対してメッセージを送り、前記第２のカウント手段の計算値が最小である場合には、前記第２のカウント手段の計算の対象であるメモリ領域のアクセス制限を設定したユーザに対してメッセージを送り、前記第３のカウント手段の計算値が最小である場合には、前記第３のカウント手段の計算の対象であるデータを記憶させたユーザに対してメッセージを送る
請求項２記載の情報機器。
【請求項４】
前記通知手段は、前記第１、第２および第３のカウント手段の計算値のうちの最小値が予め決められた設定値よりも小さい場合に、当該最小値に対応するユーザが誰であるかを前記モード変更操作をした操作者に知らせる
請求項３記載の情報機器。
【請求項５】
地紋の付加された第１の画像データが記憶されており、かつアクセス制限が前記セキュリティ要件を満たさないデータの中に、前記第１の画像データを記憶させたユーザが記憶させた地紋の付加されていない第２の画像データが含まれる場合に、前記第２の画像データに前記第１の画像データに付与されている地紋と同じ地紋を付与する地紋付与手段をさらに備える
請求項１ないし請求項４のいずれかに記載の情報機器。
【請求項６】
ユーザを限定するアクセス制限が設定されるメモリ領域を備えかつネットワークへの接続が可能な情報機器を制御するコンピュータのためのコンピュータプログラムであって、
前記コンピュータによって実行されたときに、
セキュリティを強化するモード変更操作に呼応して、前記メモリ領域が記憶するデータについて、当該データ自体に設定されたアクセス制限と、前記メモリ領域に設定されたアクセス制限と、当該データを記憶させたユーザに対して予め登録されているユーザ認証用の情報とのうちのいずれかが強化後のセキュリティ要件を満たすか否かを判別する判別手段と、
いずれもがセキュリティ要件を満たさないとの前記判別手段からの判別結果を受け、当該判別結果に該当するデータを前記メモリ領域に記憶させたユーザまたは前記メモリ領域のアクセス制限を設定したユーザに対して、前記ネットワークを介してセキュリティ要件を満たすための操作の実行を促すメッセージを送る通知手段と、を前記コンピュータに実現させる
ことを特徴とするコンピュータプログラム。
【請求項７】
ユーザを限定するアクセス制限が設定されるメモリ領域を備えかつネットワークへの接続が可能な情報機器の運用支援方法であって、
セキュリティを強化するモード変更操作に呼応して、前記情報機器が、前記メモリ領域に記憶されたデータについて、当該データ自体に設定されたアクセス制限と、前記メモリ領域に設定されたアクセス制限と、当該データを記憶させたユーザに対して予め登録されているユーザ認証用の情報とのうちのいずれかが強化後のセキュリティ要件を満たすか否かを判別し、いずれの前記セキュリティ要件をも満たさないデータがあった場合に、該当するデータを前記メモリ領域に記憶させたユーザまたは前記メモリ領域のアクセス制限を設定したユーザに対して、セキュリティ要件を満たすための操作の実行を促すメッセージをネットワークを介して送る
ことを特徴とする情報機器の運用支援方法。

【図１】

【図２】

【図３】

【図４】

【図５】

【図６】

【図７】

【図８】

【図９】

【図１０】

【図１１】

【図１２】

【図１３】

【公開番号】特開２０１１−３９９４５（Ｐ２０１１−３９９４５Ａ）
【公開日】平成２３年２月２４日（２０１１．２．２４）
【国際特許分類】
【出願番号】特願２００９−１８８７７９（Ｐ２００９−１８８７７９）
【出願日】平成２１年８月１７日（２００９．８．１７）
【出願人】（３０３０００３７２）コニカミノルタビジネステクノロジーズ株式会社 (12,802)
【Ｆターム（参考）】