情報管理システムおよび情報管理方法およびプログラムおよび記録媒体
【課題】情報を扱う担当者のミスや故意による漏洩を防止したり、情報の利用目的が消滅した時は、該情報について電子情報,紙文書の両方を消去するとともにその旨を通知して顧客に安心感を与えること。
【解決手段】窓口端末102において、入力された個人情報を個人情報管理DBへ登録し、登録された個人情報を特定する情報と顧客メールアドレスをQRコード104に変換し、身分証明書109から読み取られた画像とQRコード104を貼り付けた個人情報文書108を印刷する。また、廃棄装置113において、個人情報文書108を破棄する際、個人情報文書108からQRコード104を読み取って解析し、該解析結果から特定される個人情報を個人情報管理DBから削除させ、個人情報文書108が破棄され且つ個人情報管理DBから個人情報が削除された後、その旨の通知をQRコード104内の顧客メールアドレスを用いて通知処理する構成を特徴とする。
【解決手段】窓口端末102において、入力された個人情報を個人情報管理DBへ登録し、登録された個人情報を特定する情報と顧客メールアドレスをQRコード104に変換し、身分証明書109から読み取られた画像とQRコード104を貼り付けた個人情報文書108を印刷する。また、廃棄装置113において、個人情報文書108を破棄する際、個人情報文書108からQRコード104を読み取って解析し、該解析結果から特定される個人情報を個人情報管理DBから削除させ、個人情報文書108が破棄され且つ個人情報管理DBから個人情報が削除された後、その旨の通知をQRコード104内の顧客メールアドレスを用いて通知処理する構成を特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データベースに登録される機密情報と該機密情報の情報提供者より預かり複写等された紙文書を安全に保持及び破棄管理するための情報管理システムおよび情報管理方法およびプログラムおよび記録媒体に関する。
【背景技術】
【0002】
近年、機密文書の管理に関する意識は強くなっている特に顧客情報や、会員名簿などといった個人情報保護に対する関心が高くなっている。電子文書の普及により、電子文書に関しては、作成から廃棄に至るまで様々な管理方法、技術が考案されている。
【0003】
しかし、内部職員による個人情報の持ち出しや格納媒体の置き忘れ等、人間による事故が後を絶たない。
【0004】
また、社会では紙文書も依然として利用されており、我々の生活面では、免許証や保険証などを本人確認に使用することがある。会員申し込みや銀行口座開設など、企業活動の中でも、個人情報が複写された紙文書が使用されている。紙文書は、容易に複製でき、紛失もありえることから管理面の困難さ、安全面確保が課題である。特に廃棄処分時に事故が多発しており、人間の油断に最も脆弱性が表れる。
【0005】
以上のような状況を踏まえて、紙文書の出力から廃棄までの一連の処理に関して、機密文書を管理する発明として特許文献1が提案されている。
【0006】
特許文献1によれば、文書破棄装置が破棄する紙文書から破棄文書用紙IDを読み取り、該読み取った破棄文書用紙IDをサーバに送信し、紙文書を廃棄処分する。一方、サーバでは、破棄文書用紙IDをキーとして、出力された文書履歴DBから対象文書を抽出し、文書履歴DBの個人情報文書ログに廃棄された文書の用紙IDと廃棄情報を登録する。このことにより、文書の破棄又は未破棄の情報が管理でき、かつ確実な紙文書の破棄が可能になる。
【特許文献1】特開2005-190365号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、特許文献1の提案である紙文書の管理は、破棄を自動化して、破棄があれば管理DBに記録する方式である。
【0008】
個人情報に限って言えば、個人情報が記録された紙文書の破棄が顧客に通知されれば、顧客に安心感を与えることができる。破棄が顧客に伝える仕掛けがあれば、企業内の担当者にも注意を喚起して、人間の弱点を補強できる。
【0009】
特許文献1は、企業側だけで処分するだけであり、機密情報の提供者へは何ら破棄の通知を行われない。
【0010】
また、紙文書の破棄を管理するだけでは足らず、電子化された関連情報も連動して消去すべきであるが、特許文献1では考慮されていない。更に、内部職員の個人情報等の機密情報の持ち出しの防止にも配慮すべきであるが、この管理にも言及がない。
【0011】
個人情報には、企業のデータベースに登録された情報と身分証明書等の個人情報が記載された文書の複写物がある。個人情報が漏洩すると悪用されることが多く、個人情報の安全管理は、顧客にとっても重大な関心事である。漏洩は、内部社員による故意による持ち出し、当該情報が記録されたノートパソコンの置き忘れ及び紙文書の廃棄時の管理ミスが代表的な要因であり、上記特許文献1のような方法では機密情報の漏洩を防止できない等の問題点があった。
【0012】
本発明は、上記の問題点を解決するためになされたもので、本発明の目的は、情報を扱う担当者のミスや故意による漏洩を防止したり、個人情報の利用目的が消滅した時は、個人情報を電子情報、紙文書の両方を、速やかにかつ安全に消去して顧客に安心感を与える仕組みを提供することである。
【課題を解決するための手段】
【0013】
本発明は、通知先情報を含む情報を入力する第1の入力手段と、物理媒体から読み取った画像データを入力する第2の入力手段と、前記第1の入力手段による入力情報をデータベースへ登録するデータベース登録手段と、少なくとも前記データベース登録された入力情報を特定するための情報を所定コード形式に変換したコード情報を生成する生成手段と、前記第2の入力手段により入力された画像データと前記生成手段により生成されたコード情報を貼り付けた文書を印刷媒体に印刷する印刷手段と、前記印刷手段により印刷媒体に印刷された物理文書を破棄する破棄手段と、前記破棄手段の上流で前記物理文書から前記コード情報を読み取る読み取り手段と、前記読み取り手段により読み取られたコード情報を解析する解析手段と、前記解析手段の解析結果から特定される前記入力情報を前記データベースから削除させる削除制御手段と、前記物理文書が破棄され且つ前記データベースから前記入力情報が削除された後、その旨の通知を、取得した前記通知先情報を用いて通知処理する通知手段と、を有することを特徴とする。
【発明の効果】
【0014】
本発明によれば、機密情報提供者、例えば、個人情報を提供した顧客が、自己の個人情報の利用目的が消滅したとき、身分証明書等が複写された紙文書及び電子化された情報の両方が破棄されたことを通知によって認知できるので安心感を得る効果を奏する。
【0015】
また、身分証明書等が複写された紙文書を破棄する際に、電子化された情報も破棄することができる。
【0016】
さらに、機密情報のデータベース分割登録及び分割されたデータベースの情報を連結する情報が別途データベース化されており、且つ、この連結する情報のデータベースのキーとして2次元バーコードが使用されているので、簡単に、分割された情報をアクセスできず、一方を持ち出しても情報の価値が生じないので、機密情報の流出を防止できる効果を奏する。
【0017】
従って、情報を扱う担当者のミスや故意による漏洩を防止したり、情報の利用目的が消滅した時は、該情報について電子情報,紙文書の両方を消去するとともにその旨を通知して顧客に安心感を与えることができる等の効果を奏する。
【発明を実施するための最良の形態】
【0018】
〔第1実施形態〕
本発明の実施形態では、紙文書に付加する文書履歴情報は2次元バーコードのQRコードを使用して説明しているが、QRコードのどのモデル、どのバージョンでもよい。また、QRコード以外の他の2次元バーコードを使用しても実施可能である。2次元バーコード以外のバーコードを使用しても、他のコードを使用してもよいことはいうまでもない。さらに、紙に漉き込んだRFIDも読み込み/書き込みの手法をRFIDに合わせた形態に変更することにより、利用可能である。
【0019】
図1は、本発明の情報管理システム(機密情報保護システム)の全体構成の概要を示したシステム構成図である。
【0020】
企業の窓口担当者は、顧客から個人情報を聞き取り、窓口端末102の個人情報入力画面101(図3)から個人情報を入力する。
【0021】
入力された個人情報は、ネットワーク106を介してサーバa111が管理する個人情報管理DBa110とサーバb114が管理する個人情報管理DBb112にそれぞれ分割されて登録される。なお、分割された個人情報をつなげるための情報が第3のDBである個人情報リンクDB115に登録される。この個人情報リンクDB115は、安全性確保のため、最初のアクセスDBである個人情報管理DBa110とは離れたサーバに接続するのが好ましい。本実施形態ではサーバb114に接続する。
【0022】
次に、本人を確認するため、窓口担当者は、例えば身分証明書109を顧客から借用し、スキャナ107から画像を読み取らせる。窓口端末102は、前記個人情報と前記画像を合体させ、更に窓口端末102が持つQRコード生成機能により、個人情報を記録したQRコード104を添付した個人情報文書108をプリンタ103から印刷する。なお、この個人情報文書108は、企業内部の利用のみの目的で保管される。
【0023】
前記個人情報文書108は、企業内で使用され、時間の経過により利用目的が消滅するか又は保存期限を過ぎた場合は、廃棄装置113において破棄処分される。このとき、廃棄装置113は、前記QRコードを読み、該QRコード内の個人情報提供者である顧客のメールアドレスを用いて、顧客先端末105に破棄された旨のメールを発信し、同様に個人情報管理者にも通知する。さらに、廃棄装置113は、サーバa111及びサーバb114へ個人情報管理DBに記録された当該個人情報も削除される。
【0024】
図2は、図1に示した各装置のハードウェア構成の一例を説明するブロック図であり、図1と同一のものには同一の符号を付してある。
【0025】
図2において、サーバa111、サーバb114は、ネットワーク106を介して、窓口端末102、顧客先端末105、廃棄装置113と通信可能となっている。
【0026】
サーバa111は、CPU201、RAM202、ROM203、外部メモリ204、入力装置205、表示装置206、通信インタフェース208を含み、これらがシステムバスを介して互いに接続されている構成となっている。なお、実際には上記各部とシステムバスとの間にはインタフェース回路やチップセット等が存在するが、図では省略されている。なお、外部メモリ204は、個人情報管理DBa110を含む。
【0027】
CPU201は、ROM203又は外部メモリ204等に記憶保存されたプログラム等を読み出して実行することにより、各種制御処理を実行する。RAM202は、CPU201の作業領域として使用される。
【0028】
通信インタフェース208は、ネットワーク106に有線又は無線で接続され、ネットワーク106を介して他の装置と通信可能である。
【0029】
サーバb114についても、サーバa111と同様である。同様に、サーバb114の外部メモリは、個人情報管理DBb112を含む。
【0030】
窓口端末102は、CPU216、RAM217、ROM218、外部メモリ219、入力装置220、表示装置221、通信インタフェース224を含み、これらがシステムバスを介して互いに接続されている構成となっている。なお、実際には上記各部とシステムバスとの間にはインタフェース回路やチップセット等が存在するが、図では省略されている。
【0031】
CPU216は、ROM218又は外部メモリ219等に記憶保存されたプログラム等を読み出して実行することにより、各種制御処理を実行する。RAM217は、CPU201の作業領域として使用される。
【0032】
通信インタフェース224は、ネットワーク106に有線又は無線で接続され、ネットワーク106を介して他の装置と通信可能である。
【0033】
また、窓口端末102には、図示しないインタフェースを介して周辺機器としてスキャナ107,印刷装置103が接続されている。スキャナ107は、文書の画像データならびにQRコードを読み取る際に用いられる。また、外部メモリ219には、後述する文書レイアウト801が格納されている。
【0034】
CPU216は、RAM217においてQRコード生成処理を実行し、画像及びQRコードを文書レイアウト801に貼りつけて個人情報文書108を生成し、該個人情報文書108を印刷装置103から印刷するように制御する。
【0035】
廃棄装置113は、CPU209、RAM210、ROM211、外部メモリ212、通信インタフェース215を含み、これらがシステムバスを介して互いに接続されている構成となっている。なお、実際には上記各部とシステムバスとの間にはインタフェース回路やチップセット等が存在するが、図では省略されている。
【0036】
CPU209は、ROM211又は外部メモリ212等に記憶保存されたプログラム等を読み出して実行することにより、各種制御処理を実行する。RAM210は、CPU209の作業領域として使用される。通信インタフェース215は、ネットワーク106に有線又は無線で接続され、ネットワーク106を介して他の装置と通信可能である。
【0037】
また、廃棄装置113には、図示しないインタフェースを介して周辺機器としてインサータ225,スキャナ213,シュレッダ214が接続されており、CPU209により、これらを制御可能である。
【0038】
インサータ225は、紙文書の束を連続してスキャナ213に送り出すためのものである。スキャナ213は、インサータ225から送り出された紙文書を読み取るためのものである。シュレッダ214は、スキャナ213を介してインサータから送られた紙文書(個人情報文書等を記載した文書)を破棄処分にするためのものである。
【0039】
顧客先端末105については、端末又は携帯電話等の移動体通信装置であってもよい。なお、顧客先端末105のハードウェア構成については、サーバa111と同様であってもよい。
【0040】
サーバa111,サーバb114、廃棄装置113、窓口端末102、顧客先端末105は、ネットワーク106を介して相互に通信可能である。
【0041】
図3は、図1に示した個人情報入力画面101の一例を示す模式図である。
【0042】
図3に示した例では、個人情報を含む機密文書を作成するために、管理する企業の個人情報管理者は、会員番号301、氏名302、住所303、電話番号304、携帯電話番号305、E-mailアドレス306を入力する。
【0043】
入力時、312に示すように、入力項目の文字の間にセパレータ'&'を挿入し、入力データを区切る。セパレータ'&'により入力データは前半と後半に区切られる。なお、このセパレータ'&'は、窓口端末102のCPU216の制御により、ランダムに挿入するように構成してもよい。また、窓口端末102側ではセパレータは挿入せず、サーバa111側で入力情報の各項目をランダムに分割して、個人情報管理DBa110,個人情報管理DBb112に分散登録するように構成してもよい。
【0044】
なお、各入力項目302、303、304、305、306に対して、それぞれ登録部307、308、309,310、311が設けてあり、この登録部には、'1'または'2'を入力する。
【0045】
そして、各入力項目の入力データをDBに登録する時には、窓口端末102のCPU216の制御により、登録部に'1'が入力されている入力項目の入力データは、前半部分(セパレータ'&'の前の部分)が個人情報管理DBa110に、後半部分(セパレータ'&'の後ろの部分)が個人情報管理DBb112に登録される。また、登録部に'2'が入力されている入力項目の入力データは、前半部分が個人情報管理DBb112に、後半部分が個人情報管理DBa110に登録される。
【0046】
図3に示した例では、氏名302の登録部307に'1'が入力されているためセパレータ'&'の前の部分(苗字"観音")が個人情報管理DBa110に登録されセパレータ'&'の後ろの部分(名前"太郎")が個人情報管理DBb112に登録される。
【0047】
また、住所303の登録部308に2が入力されているので、セパレータ'&'の前の部分(都道府県市区町村名まで)が個人情報管理DBb112に登録され、セパレータ'&'の後ろの部分(町名、番地、マンションの号室など)の情報が個人情報管理DBa110に登録される。
【0048】
313は登録キーであり、各項目の情報を入力し、該入力した情報を登録するときに使用する。314はキャンセルキーであり、入力した情報をキャンセルするときに使用する。
【0049】
なお、図1に示した個人情報管理DBa110,個人情報管理DBb112は、同じ場所に存在しなくてもよい。例えば、東京と大阪に分散して管理することにより、例えば、個人情報管理DBa110の情報のデータを盗まれたとしても、個人を特定することが困難であるため、個人情報の漏洩を食い止めることが可能である。また、セパレータ文字'&'は、他の通常使用されない文字であればどのような文字であってもよい。
【0050】
図4は、図1に示した身分証明書109の一例を示す模式図である。
【0051】
身分証明書109としては、免許証、社員証、学生証、保険証などがあるが、ここでは、免許証を例としてあげている。免許証には、氏名、生年月日、本籍、住所が記載されており、当企業が使用しない重要な個人情報も含まれている。
【0052】
図5は、図1に示した個人情報管理DBa110,個人情報管理DBb112の及び個人情報リンクDB115の各レコード構成の一例を示す図である。
【0053】
図5に示すように、個人情報管理DBa110には、図3で入力した会員番号301、氏名302、住所303、電話番号304、携帯電話番号305、E-mailアドレス306が登録部307〜311で入力した規則に従って登録されている。例えば、個人情報入力画面101の氏名入力欄302において、"山口&三郎"と入力され、登録部307に'2'が入力された場合、504と509に示すように、"三郎"が個人情報管理DBa110に登録され、"山口"が個人情報管理DBb112に登録される。
【0054】
個人情報管理DBa110において、503は会員番号であり、当該個人情報管理DBa110のキーとなっている。
【0055】
505は削除期限であり、削除する日付が記録されているが、顧客からの要請又は他の業務システムの要請等のように何らかの変更により削除期限505前に削除したい場合がある。この場合は、削除フラッグ506に'*'が立てられ(オンにされて)、該当する個人情報文書108の破棄を伴った削除処理が要求される。
【0056】
廃棄装置113に個人情報文書108がセットされたとき、廃棄装置113はこの削除期限505を照合して、削除の可否を判断する。廃棄装置113は、削除期限505が経過又は削除フラッグ506のオンである場合に、紙である個人情報文書108と共に個人情報管理DBの情報も削除するように制御される。
【0057】
個人情報管理DBa110において、リンク507は、個人情報管理DBb112に分割された個人情報データをつなげるための個人情報リンクDB115の当該レコードのキーがQRコードで格納されている。なお、この個人情報管理DBa110のリンク507と同じQRコードが個人情報リンクDB115のキーであるリンク512に格納されている。
【0058】
個人情報リンクDB115の変換会員番号513は、個人情報管理DBb112のキーである変換会員番号508が格納されている。個人情報DBにアクセスする際、まず個人情報管理DBa110のレコード内のリンク507と同じQRコードが格納された個人情報リンクDB115のレコードを検索し、該検索されたレコードの変換会員番号513を用いて、個人情報管理DBb112のレコードを検索する。なお、変換会員番号508は、個人情報管理DBa110の会員番号503を暗号処理したものであるが、アクセスするときは暗号データのままでよい。
【0059】
個人情報リンクDB115の他の項目には、514,515に示すように、各個人情報データをセパレータで分離したときの分離コード'1'又は'2'が格納されており、この分離コードにより、個人情報管理DBa110と個人情報管理DBb112のデータをつなげることができる。514は前半部分が個人情報管理DBa110にあることを示し、515は、前半部分が個人情報管理DBb112にあることを示す。
【0060】
個人情報管理DBb112において、510はその他の情報であり、会員登録日などの実際の業務で利用される情報が格納される。
【0061】
なお、リンク507,512がQRコードで格納されている構成や変換会員番号508,513が暗号処理されている構成は、簡単にキーを入力してDBの内容を参照することができないように工夫したためである。
【0062】
このように、いずれかのDBのみでは、個人を特定する情報を得るのは困難である。特別に意図された特別なプログラムを作成して使用しない限り、個人情報管理DBa110と個人情報管理DBb112の場所、システム管理者を別々にすれば、個人情報の流出を防ぐことができ、企業内部の機密情報に安全性を与えることができる。
【0063】
図6は、個人情報文書108に付加されたQRコード104に記録される情報を示す図である。なお、このQRコード104に記録される情報は、後述する図7に示す個人情報登録処理により作成される。
【0064】
図6において、601はQRコード104に記録される情報である。
【0065】
会員番号602は、図3に示した会員番号301、図5に示した個人情報管理DBa110の会員番号503に対応し、顧客メールアドレス603がE−mailアドレス306等に対応し、保存期限606は削除期限505に対応している。保存期限606は、その期限以後に廃棄するときに、廃棄装置113が個人情報管理DBa110と照合して、破棄の可否を照合する。
【0066】
なお、この保存期限606(削除期限505)や削除フラッグ506は、他の業務システムが独自に定め他の業務システムから設定するものとしてもよいし、システム管理者や窓口担当者が端末から設定するようにしてもよいし、システム管理者や窓口担当者が端末から入力設定するようにしてもよい。
【0067】
作成者ID604は、窓口で顧客の個人情報を入力した職員のIDであり、窓口端末102にログインする際に入力された値に対応し、作成日時とともに窓口端末102のCPU216により設定される。
【0068】
個人情報管理者ID605は、破棄時の通知担当者になる他、当該文書の処置上の問題が生じたとときに担当する職員であり、端末102のCPU216が予め外部メモリ219に設定されたデータに基づいて設定する。
【0069】
以下、図7〜図9を参照して、窓口端末102の個人情報入力処理画面(図3)から入力された個人情報に基づいて窓口端末102により個人情報文書108を生成する処理について説明する。
【0070】
図7は、本発明における第1の制御処理手順の一例を示すフローチャートであり、個人情報入力時の処理に対応する。なお、S701,S709は窓口担当者の操作に対応する。また、S702,S704,S707,S710,S711〜S713は窓口端末102のCPU216が外部メモリ219に格納されるプログラムをRAM217に読み出して実行することにより実現される処理に対応する。さらに、S703,S705,S706,S708,S715〜S719はサーバa111のCPU201が外部メモリ204に格納されるプログラムをRAM202に読み出して実行することにより実現される処理に対応する。
【0071】
図8は、図1に示した窓口端末102のCPU201が外部メモリ219からプログラムを読み出して実行することにより実現する個人情報文書を生成する機能を示すブロック図である。
【0072】
図9は、図1に示した個人情報文書108の一例を示す模式図である。
【0073】
以下、個人情報文書108を生成する処理を詳細に説明する。
【0074】
まず、顧客が会員登録をする場合に個人情報を窓口にきて要請する。窓口担当者は、個人情報を窓口端末102の個人情報入力画面101から入力操作する(S701)。
【0075】
この入力操作に応じて、窓口端末102のCPU216は、入力データをチェックし(S702)、サーバa111に対して会員番号を要求する。
【0076】
サーバa111のCPU201は、窓口端末102からの要求に基づいて新規の会員番号を発行し、窓口端末102に送信する(S703)。
【0077】
窓口端末102のCPU216は、サーバa111から送信される会員番号を受信して、ステップS704に処理を進める。
【0078】
ステップS704では、窓口端末102のCPU216は、図3に示す入力情報以外の情報であり、QRコードに内包される他のデータ、窓口担当者IDや、作成日時、その他の情報をシステム等から取得する。そして、窓口端末102のCPU216は、QRコード形成データ(S701で入力された入力データ、S702で取得した会員番号、S704で取得したデータ等)をサーバa111に送信する。
【0079】
サーバa111のCPU201は、窓口端末102からの前記QRコード形成データを受信し(S705)、入力データのセパレータを処理して、個人情報の分離処理と、連結処理を実行して、RAM202上に、セパレータにより分割された個人情報と、セパレータを取り除かれた連結された個人情報が生成し、さらに、連結された個人情報を窓口端末102へ送信する(S706)。
【0080】
窓口端末102のCPU201は、セパレータが外れたデータ(連結された個人情報)をサーバa111から取得する。そして、窓口端末102のCPU201は、図8に示すQRコード情報生成部802により、サーバa111から取得したデータ(個人情報入力画面101から入力された顧客個人情報の連結情報,会員番号)とS704で取得したデータ(作成日時,作成者ID等のシステム情報)に基づいて図6に示した情報601を生成し、QRコード化してQRコードを生成し(S707)、RAM217を介して図8に示す付加情報文書生成部804に送る。
【0081】
そして、窓口端末102のCPU201は、図8に示す画像情報生成部803により窓口担当者からのスキャナによる身分証明書の入力を受け付ける。
【0082】
窓口担当者は、免許証等の個人情報である身分証明をする媒体を顧客から借り受け、これをスキャナ107で読み取らせるように操作する(S709)。
【0083】
この操作に応じて、窓口端末102のCPU201は、ステップS710において、図8に示す画像情報生成部803により、スキャナ107を用いて身分証明をする媒体の画像を読み取って画像データを生成し(個人情報媒体の画像形成)、RAM217を介して図8に示す付加情報文書生成部804に送る。
【0084】
次に、窓口端末102のCPU201は、付加情報文書生成部804により、図9に示す個人情報文書108の901に示すように、ステップS710で読み取った画像データとステップS707で生成したQRコードを、外部メモリ219から読み出した文書レイアウト801に添付し(貼り付け)(S711)、さらに、当該文書レイアウトに、図9に示す個人情報文書108の104に示すように、ステップS702で取得した会員番号を添付して(貼り付けて)、さらに文書レイアウト801に他の必要な情報を掲載して個人情報文書108を生成し、RAM217上に保持する。
【0085】
次に、窓口端末102のCPU201は、ステップS712で生成した個人情報文書108を印刷装置103で印刷させ(S713)、処理を終了する。
【0086】
これにより、窓口担当者は、図9に示すような個人情報文書108を取得する(S714)。
【0087】
図9に示すように、個人情報文書108には、スキャナ107で読み取った身分証明書109(図4)の画像データ901、QRコード104が添付(合成)されて印刷されている。
【0088】
一方、サーバa111のCPU201は、ステップS706で取得し分離処理した個人情報に基づいて個人情報管理DBa110および個人情報管理DBb112の各レコードのレイアウトを形成する(S715)。
【0089】
次に、サーバa111のCPU201は、ステップS708で得たQRコードを個人情報管理DBa110のリンク項目507へセットし、個人情報管理DBa110の個人レコードを完成して個人情報管理DBa110に登録する(S716)。
【0090】
次に、サーバa111のCPU201は、会員番号を暗号処理して個人情報管理DBb112の変換会員番号項目508へセットし(S717)、個人情報管理DBb112の個人レコードを完成して個人情報管理DBb112に登録する(S718)。
【0091】
次に、サーバa111のCPU201は、個人情報リンクDB115のキーであるリンク項目512にステップS716で個人情報管理DBa110のリンク項目507へセットしたQRコード、変換会員番号項目513にステップS717で個人情報管理DBb112の変換会員番号項目508にセットした暗号処理した会員番号をセットし、さらに、セパレータ情報を該当する各種分離コード項目に埋め込み、個人情報リンクDB115のレコードを完成し、これを個人情報リンクDB115に登録する(S719)。そして、処理を終了する。
【0092】
なお、本実施形態では、個人情報文書108および対応する個人情報の保護管理について説明するが、保護の対象となるのは個人情報に限られるものではなく、全ての機密情報が本発明での保護管理の対象となるものとする。
【0093】
以下、図10〜図12を参照して、本発明における文書廃棄処理について説明する。
【0094】
図10は、個人情報を含む文書(図9に示した個人情報文書108)を廃棄装置113に通して廃棄した後に廃棄装置113から顧客に送られるメールの文面の一例を示す模式図である。
【0095】
顧客は、図10に示すような文面1001のメールを受け取ることにより、企業が個人情報を正しく廃棄したことを知ることができる。
【0096】
図11は、図1に示した廃棄装置113のCPU209が外部メモリ212からプログラムを読み出して実行することにより実現する文書を廃棄する機能を示すブロック図である。なお、図1と同一のものには同一の符号を付してある。
【0097】
図11において、インサータ制御部1107,スキャナ制御部1108,シュレッダ制御部1109,サーバ情報交換部1110,破棄判断制御部1111,QRコード解析部1112,メール送信部1113は、CPU209が外部メモリ212に記憶保存されたプログラムをRAM210に読み出して実行することにより実現される機能部である。
【0098】
まず、周辺機器について説明する。インサータ225は、束になった紙文書を順にスキャナ213に送り出す機構を備えている。インサータ225は、インサータ制御部1107を経由して中央制御を行う破棄判断制御部1111から指令を受け取り、インサータ制御部1107を経由して中央制御を行う破棄判断制御部1111して情報を送信する。
【0099】
スキャナ213は、破棄判断制御部1111の指令をスキャナ制御部1108経由して受け取り、順次紙文書を読み取り、該読み取り情報をスキャナ制御部1108経由して破棄判断制御部1111に送り出す。
【0100】
破棄判断制御部1111は、スキャナ213から取得した紙文書の読み取り情報をQRコード解析部1112に渡し、QRコードを解析させる。
【0101】
また、破棄判断制御部1111は、QRコード解析部1112からQRコード情報(QRコード解析結果)を受け取り、該QRコード情報に基づいてサーバ情報交換部1110を介してサーバa111と交信し、サーバa111から得た情報に基づき、当該個人文書を破棄すべきか、保存すべきか、不詳文書のため、別途不詳文書として区分けするかを判断する。
【0102】
そして、破棄する場合は、破棄判断制御部1111は、シュレッダ214に、対応する紙文書が渡るようにシュレッダ制御部1109に命令し、シュレッダ付属の区分け器からシュレッダに対応する紙文書を搬送する。なお、破棄の場合は、破棄した旨の通知メール(例えば図10)をQRコードにある顧客メールアドレスと個人情報管理者メールアドレスに送信するようにメール送信部1113に命令に送る。
【0103】
また、保存の場合は、破棄判断制御部1111は、保存スタッカ1104に、対応する紙文書が渡るようにシュレッダ制御部1109に命令する。
【0104】
また、不詳の場合は、破棄判断制御部1111は、不詳スタッカ1105に、対応する紙文書が渡るようにシュレッダ制御部1109に命令する。
【0105】
図12は、本発明における第1の制御処理手順の一例を示すフローチャートであり、図11に示した廃棄装置113の機能により実行される文書廃棄処理に対応する。なお、S1201〜S1210,S1215は廃棄装置113内の各機能部1107〜1113および周辺機器213,214,225により実行される処理に対応する。また、S1211,S1212はサーバa111のCPU201が外部メモリ204に格納されるプログラムをRAM202に読み出して実行することにより実現される処理に対応する。
【0106】
まず、インサータ225に紙文書がセットされ、これが検知されると、を破棄判断制御部1111が本フローチャートの処理を開始する。
【0107】
まず、破棄判断制御部1111は、インサータ225にセットされた紙文書の束について、1枚ずつ以下のS1202〜S1215の処理を繰り返すように制御する(S1201)。
【0108】
破棄判断制御部1111は、インサータ制御部1107を介して、インサータ225に1枚の紙文書をスキャナ213に送り出させ(S1202)、スキャナ213にインサータ225から送られた紙文書を読み取らせる(S1202)ように制御する。
【0109】
次に、破棄判断制御部1111は、スキャナ制御部1108から得た紙文書の読み取り結果を、QRコード解析部1112に渡し、QRコードを解析させる(S1203)。
【0110】
破棄判断制御部1111は、QRコード情報(QRコード解析結果)に基づいて、当該紙文書が個人情報文書108であるか否かを判定する(S1204)。
【0111】
そして、ステップS1204において、当該紙文書が個人文書でないと判定した場合には、破棄判断制御部1111は、ステップS1205に処理を進める。
【0112】
ステップS1205では、破棄判断制御部1111は、判定ができない文書(不詳文書)であるか、又は、読み取りに問題があったのかを判断し、不詳であった場合は、ステップS1213に処理を進め、当該紙文書を不詳スタッカ1105に区分けするように、スキャナ制御部1108を介してスキャナ213を制御する。そして、ステップS1201に処理を戻し、次の紙文書に処理を移行させる。
【0113】
一方、ステップS1205で、読み取りに問題があったと判断した場合には、破棄判断制御部1111は、ステップS1209に処理を進め、当該紙文書をシュレッダ214に送り破棄処分にするように、スキャナ制御部1108,シュレッダ制御部1109を介してスキャナ213,シュレッダ214を制御し、ステップS1214に処理を進める。
【0114】
また、ステップS1204で、当該紙文書が個人情報文書108であると判断した場合には、破棄判断制御部1111は、ステップS1206において、QRコード情報をサーバa111に送り、個人情報管理DBa110から当該会員の個人情報を検索してもらう。これを受けたサーバa111のCPU201は、個人情報管理DBa110から当該QRコードに基づいて個人情報を検索し、該検索結果として個人情報を廃棄装置113の破棄判断制御部1111に返信する(S1211)。
【0115】
サーバa111から個人情報を受け取ると、破棄判断制御部1111は、ステップS1207,S1208において、当該個人情報内の削除フラッグ506がオン(他の業務システム等において、当該顧客の個人情報を消去すべき状態が発生)、又は、削除期限が経過したか否かを判定する。
【0116】
そして、ステップS1207,S1208で、当該個人情報内の削除フラッグ506がオン、又は、削除期限が経過したと判定した場合には、破棄判断制御部1111は、ステップS1209に処理を進め、当該紙文書をシュレッダ214に送り破棄処分させ、ステップS1209に処理を進める。これとともに、破棄判断制御部1111は、当該個人情報を個人情報管理DBから削除させるようにサーバa111に指示する。これを受けたサーバa111のCPU201は、個人情報管理DBa110,個人情報管理DBb112,個人情報リンクDB115から当該個人情報を削除する(S1212)。これにより、顧客の個人情報を紙という物理媒体とDBという電子媒体の両方から消去することになる。
【0117】
そして、ステップS1214で、破棄判断制御部1111は、当該紙文書が個人情報文書108であるか否かを判定し、個人情報文書108であると判定した場合には、ステップS1215に処理を進める。
【0118】
ステップS1215では、破棄判断制御部1111は、当該QRコード情報内にある顧客メールアドレスと個人情報管理者メールアドレスに図10に示したような紙文書を破棄した旨のメールを送信するようにメール送信部1113を制御する。そして、ステップS1201に処理を戻し、次の紙文書に処理を移行させる。
【0119】
なお、本実施例では、破棄される紙文書にある当該QRコード情報に基づき、顧客メールアドレスと個人情報管理者メールアドレスを取得しているが、実際の運用では、当初の顧客メールアドレスと個人情報管理者メールアドレスがその後の経緯により、変更される場合が十分に予想される。従って、図示していないが、個人情報管理DBa110,個人情報管理DBb112,個人情報リンクDB115のいずれかに、顧客メールアドレスと個人情報管理者メールアドレスを格納し、変更の必要が発生した場合には、DBに記録されたアドレス群を変更し、通知の際は、通知先情報として、これらの情報を利用する方法することもできる。
【0120】
一方、ステップS1214で、当該紙文書が個人情報文書108でないと判定した場合には、破棄判断制御部1111は、ステップS1201に処理を戻し、次の紙文書に処理を移行させる。
【0121】
一方、ステップS1207,S1208で、当該個人情報内の削除フラッグ506がオフ、且つ、削除期限に未だ達していないと判定した場合には、破棄判断制御部1111は、ステップS1210に処理を進める。
【0122】
ステップS1210では、破棄判断制御部1111は、当該紙文書を保存スタッカ1104に送るようにスキャナ制御部1108を介してスキャナ213を制御する。そして、ステップS1201に処理を戻し、次の紙文書に処理を移行させる。
【0123】
そして、破棄判断制御部1111が、インサータ225にセットされた紙文書の束の全てについてS1202〜S1215の処理を終了したと判定した場合には、本フローチャートの処理を終了する。
【0124】
なお、上述した各種データの構成及びその内容はこれに限定されるものではなく、用途や目的に応じて、様々な構成や内容で構成されることは言うまでもない。
【0125】
以上、一実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記録媒体等としての実施形態をとることが可能であり、具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
【0126】
なお、上記実施形態では、個人情報文書108に付加したQRコード104内に会員番号等のデータベースに登録された個人情報を特定する情報とともに、連絡先となる顧客メールアドレス等を含め、個人情報文書108の破棄とデータベースに登録された個人情報の削除を実行した際には、上記QRコード104から取得した顧客メールアドレス等に、その旨のメールを通知する構成について説明した。
【0127】
しかし、個人情報文書108に付加したQRコード104内に、連絡先となる顧客メールアドレス等を含めず、データベースに登録された個人情報の削除する前にQRコード104内の会員番号に基づいてデータベース内の個人情報に含まれる顧客メールアドレス等を取得しておき、個人情報文書108の破棄とデータベースに登録された個人情報の削除を実行した際には、上記データベースより取得しておいた顧客メールアドレス等に、その旨のメールを通知するように構成してもよい。
【0128】
以上説明したように、本発明は、個人情報のような機密情報と共に、該情報提供者の身分証明書等の複写画像を印刷した紙文書を保管管理する場合に、該紙文書に当該情報提供者への通知情報(メールアドレス)を2次元バーコードにして付加するように構成する。これにより、当該紙文書が廃棄装置で破棄するときに、情報提供者(顧客等)に破棄を知らせることができる。この結果、顧客に安心感を与えることができ、企業内の担当者にも注意を喚起できる。
【0129】
なお、廃棄装置は、上記紙文書が破棄される時、当該紙文書に埋め込まれた2次元バーコードの情報に基づいてサーバと交信して、該2次元バーコードの情報に基づいて特定されるデータベース内の情報をも消去するように構成する。
【0130】
また、廃棄装置は、大量の紙文書を順次読み込み、廃棄すべき紙文書、破棄せず保管継続、不詳文書に仕分けして、破棄文書はシュレッダ等で粉砕する機能を持つ(保管文書は戻され、不詳文書は担当者が処置する)。
【0131】
また、情報提供を行う窓口では、機密情報の入力時、分割を指示でき、電子化された情報(データベース)の持ち出しがしにくいように、データを分割して複数のデータベースに分散して格納する。これにより、仮に、一方のデータベースの情報が持ち出されても機密情報が完全ではないので、利用できず(意味をなさず)、安全性を高めることができる。
【0132】
そして、分割された主データベースをアクセスし、更に他に分割されたデータベースのレコードを読むためには、第2のデータベースのキーを格納したリンク用のデータベースを参照しなければならないように構成する。これにより、個人情報等の機密情報を記録したデータベースは、特別なプログラムを作成しない限り、意図的に持ち出したり、参照したりできないようにすることができ、さらなる安全性を確保できる。
【0133】
さらに、分割されたデータベースを繋ぐリンクキーとして2次元バーコードを採用しているため、検索するためには特別なプログラムが必要となる。よって、単純なキー入力でデータベース検索を行うことができず、高い安全性を確保することができる。
【0134】
この結果、内部職員等の個人情報等の機密情報の持ち出しや、ミスによる情報漏洩を防止することができる。
【0135】
以下、図13に示すメモリマップを参照して本発明に係る情報管理システムを構成する各装置で読み取り可能なデータ処理プログラムの構成について説明する。
【0136】
図13は、本発明に係る情報管理システムを構成する各装置で読み取り可能な各種データ処理プログラムを格納する記録媒体(記憶媒体)のメモリマップを説明する図である。
【0137】
なお、特に図示しないが、記録媒体に記憶されるプログラム群を管理する情報、例えばバージョン情報,作成者等も記憶され、かつ、プログラム読み出し側のOS等に依存する情報、例えばプログラムを識別表示するアイコン等も記憶される場合もある。
【0138】
さらに、各種プログラムに従属するデータも上記ディレクトリに管理されている。また、インストールするプログラムやデータが圧縮されている場合に、解凍するプログラム等も記憶される場合もある。
【0139】
本実施形態における図7,図12に示す機能が外部からインストールされるプログラムによって、ホストコンピュータにより遂行されていてもよい。そして、その場合、CD−ROMやフラッシュメモリやFD等の記録媒体により、あるいはネットワークを介して外部の記録媒体から、プログラムを含む情報群を出力装置に供給される場合でも本発明は適用されるものである。
【0140】
以上のように、前述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムコードを読出し実行することによっても、本発明の目的が達成されることは言うまでもない。
【0141】
この場合、記録媒体から読み出されたプログラムコード自体が本発明の新規な機能を実現することになり、そのプログラムコードを記憶した記録媒体は本発明を構成することになる。
【0142】
プログラムコードを供給するための記録媒体としては、例えば、フレキシブルディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,DVD−ROM,磁気テープ,不揮発性のメモリカード,ROM,EEPROM,シリコンディスク等を用いることができる。
【0143】
また、コンピュータが読み出したプログラムコードを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムコードの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0144】
さらに、記録媒体から読み出されたプログラムコードが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0145】
また、本発明は、複数の機器から構成されるシステムに適用しても、1つの機器からなる装置に適用してもよい。また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのソフトウェアによって表されるプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0146】
さらに、本発明を達成するためのソフトウェアによって表されるプログラムをネットワーク上のサーバ,データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0147】
なお、上述した各実施形態およびその変形例を組み合わせた構成も全て本発明に含まれるものである。
【0148】
以上示したように、本発明は、個人情報等の機密文書の利用及び破棄における安全管理を目的とする。具体的には、身分証明書等が複写された個人情報を記録した紙文書及び電子化された関連の機密情報を利用中には漏洩や持ち出しをしにくくし、利用が終わり、破棄する場合には、紙文書の破棄と連動して電子化した情報も破棄し、更に、当該情報の提供者に、破棄の通知をする構成を有する。
【0149】
このような構成により、機密情報提供者、例えば、個人情報を提供した顧客が、自己の個人情報の利用目的が消滅したとき、紙文書及び電子化された情報の両方が破棄されたことを通知によって認知できるので安心感を得る効果を奏する。
【0150】
また、機密情報のデータベース分割登録及び分割されたデータベースの情報を連結する情報が別途データベース化されており、かつキーが2次元バーコードを使用しているので、簡単に、分割された情報をアクセスできず、一方を持ち出しても情報の価値が生じないので、機密情報の流出を防止できる効果を奏する。
【図面の簡単な説明】
【0151】
【図1】本発明の本発明の情報管理システム(機密情報保護システム)の全体構成の概要を示したシステム構成図である。
【図2】図1に示した各装置のハードウェア構成の一例を説明するブロック図である。
【図3】図1に示した個人情報入力画面101の一例を示す模式図である。
【図4】図1に示した身分証明書109の一例を示す模式図である。
【図5】図1に示した個人情報管理DBa110,個人情報管理DBb112の及び個人情報リンクDB115の各レコード構成の一例を示す図である。
【図6】個人情報文書108に付加されたQRコード104に記録される情報を示す図である。
【図7】本発明における第1の制御処理手順の一例を示すフローチャートである。
【図8】図1に示した窓口端末102のCPU201が外部メモリ219からプログラムを読み出して実行することにより実現する個人情報文書を生成する機能を示すブロック図である。
【図9】図1に示した個人情報文書108の一例を示す模式図である。
【図10】個人情報を含む文書(図9に示した個人情報文書108)を廃棄装置113に通して廃棄した後に廃棄装置113から顧客に送られるメールの文面の一例を示す模式図である。
【図11】図1に示した廃棄装置113のCPU209が外部メモリ212からプログラムを読み出して実行することにより実現する文書を廃棄する機能を示すブロック図である。
【図12】本発明における第1の制御処理手順の一例を示すフローチャートである。
【図13】本発明に係る情報管理システムを構成する各装置で読み取り可能な各種データ処理プログラムを格納する記録媒体(記憶媒体)のメモリマップを説明する図である。
【符号の説明】
【0152】
102 窓口端末
103 プリンタ
107 スキャナ
108 個人情報文書
104 QRコード
106 ネットワーク
111 サーバa
110 個人情報管理DBa
114 サーバb
112 個人情報管理DBb
115 個人情報リンクDB
113 廃棄装置
【技術分野】
【0001】
本発明は、データベースに登録される機密情報と該機密情報の情報提供者より預かり複写等された紙文書を安全に保持及び破棄管理するための情報管理システムおよび情報管理方法およびプログラムおよび記録媒体に関する。
【背景技術】
【0002】
近年、機密文書の管理に関する意識は強くなっている特に顧客情報や、会員名簿などといった個人情報保護に対する関心が高くなっている。電子文書の普及により、電子文書に関しては、作成から廃棄に至るまで様々な管理方法、技術が考案されている。
【0003】
しかし、内部職員による個人情報の持ち出しや格納媒体の置き忘れ等、人間による事故が後を絶たない。
【0004】
また、社会では紙文書も依然として利用されており、我々の生活面では、免許証や保険証などを本人確認に使用することがある。会員申し込みや銀行口座開設など、企業活動の中でも、個人情報が複写された紙文書が使用されている。紙文書は、容易に複製でき、紛失もありえることから管理面の困難さ、安全面確保が課題である。特に廃棄処分時に事故が多発しており、人間の油断に最も脆弱性が表れる。
【0005】
以上のような状況を踏まえて、紙文書の出力から廃棄までの一連の処理に関して、機密文書を管理する発明として特許文献1が提案されている。
【0006】
特許文献1によれば、文書破棄装置が破棄する紙文書から破棄文書用紙IDを読み取り、該読み取った破棄文書用紙IDをサーバに送信し、紙文書を廃棄処分する。一方、サーバでは、破棄文書用紙IDをキーとして、出力された文書履歴DBから対象文書を抽出し、文書履歴DBの個人情報文書ログに廃棄された文書の用紙IDと廃棄情報を登録する。このことにより、文書の破棄又は未破棄の情報が管理でき、かつ確実な紙文書の破棄が可能になる。
【特許文献1】特開2005-190365号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、特許文献1の提案である紙文書の管理は、破棄を自動化して、破棄があれば管理DBに記録する方式である。
【0008】
個人情報に限って言えば、個人情報が記録された紙文書の破棄が顧客に通知されれば、顧客に安心感を与えることができる。破棄が顧客に伝える仕掛けがあれば、企業内の担当者にも注意を喚起して、人間の弱点を補強できる。
【0009】
特許文献1は、企業側だけで処分するだけであり、機密情報の提供者へは何ら破棄の通知を行われない。
【0010】
また、紙文書の破棄を管理するだけでは足らず、電子化された関連情報も連動して消去すべきであるが、特許文献1では考慮されていない。更に、内部職員の個人情報等の機密情報の持ち出しの防止にも配慮すべきであるが、この管理にも言及がない。
【0011】
個人情報には、企業のデータベースに登録された情報と身分証明書等の個人情報が記載された文書の複写物がある。個人情報が漏洩すると悪用されることが多く、個人情報の安全管理は、顧客にとっても重大な関心事である。漏洩は、内部社員による故意による持ち出し、当該情報が記録されたノートパソコンの置き忘れ及び紙文書の廃棄時の管理ミスが代表的な要因であり、上記特許文献1のような方法では機密情報の漏洩を防止できない等の問題点があった。
【0012】
本発明は、上記の問題点を解決するためになされたもので、本発明の目的は、情報を扱う担当者のミスや故意による漏洩を防止したり、個人情報の利用目的が消滅した時は、個人情報を電子情報、紙文書の両方を、速やかにかつ安全に消去して顧客に安心感を与える仕組みを提供することである。
【課題を解決するための手段】
【0013】
本発明は、通知先情報を含む情報を入力する第1の入力手段と、物理媒体から読み取った画像データを入力する第2の入力手段と、前記第1の入力手段による入力情報をデータベースへ登録するデータベース登録手段と、少なくとも前記データベース登録された入力情報を特定するための情報を所定コード形式に変換したコード情報を生成する生成手段と、前記第2の入力手段により入力された画像データと前記生成手段により生成されたコード情報を貼り付けた文書を印刷媒体に印刷する印刷手段と、前記印刷手段により印刷媒体に印刷された物理文書を破棄する破棄手段と、前記破棄手段の上流で前記物理文書から前記コード情報を読み取る読み取り手段と、前記読み取り手段により読み取られたコード情報を解析する解析手段と、前記解析手段の解析結果から特定される前記入力情報を前記データベースから削除させる削除制御手段と、前記物理文書が破棄され且つ前記データベースから前記入力情報が削除された後、その旨の通知を、取得した前記通知先情報を用いて通知処理する通知手段と、を有することを特徴とする。
【発明の効果】
【0014】
本発明によれば、機密情報提供者、例えば、個人情報を提供した顧客が、自己の個人情報の利用目的が消滅したとき、身分証明書等が複写された紙文書及び電子化された情報の両方が破棄されたことを通知によって認知できるので安心感を得る効果を奏する。
【0015】
また、身分証明書等が複写された紙文書を破棄する際に、電子化された情報も破棄することができる。
【0016】
さらに、機密情報のデータベース分割登録及び分割されたデータベースの情報を連結する情報が別途データベース化されており、且つ、この連結する情報のデータベースのキーとして2次元バーコードが使用されているので、簡単に、分割された情報をアクセスできず、一方を持ち出しても情報の価値が生じないので、機密情報の流出を防止できる効果を奏する。
【0017】
従って、情報を扱う担当者のミスや故意による漏洩を防止したり、情報の利用目的が消滅した時は、該情報について電子情報,紙文書の両方を消去するとともにその旨を通知して顧客に安心感を与えることができる等の効果を奏する。
【発明を実施するための最良の形態】
【0018】
〔第1実施形態〕
本発明の実施形態では、紙文書に付加する文書履歴情報は2次元バーコードのQRコードを使用して説明しているが、QRコードのどのモデル、どのバージョンでもよい。また、QRコード以外の他の2次元バーコードを使用しても実施可能である。2次元バーコード以外のバーコードを使用しても、他のコードを使用してもよいことはいうまでもない。さらに、紙に漉き込んだRFIDも読み込み/書き込みの手法をRFIDに合わせた形態に変更することにより、利用可能である。
【0019】
図1は、本発明の情報管理システム(機密情報保護システム)の全体構成の概要を示したシステム構成図である。
【0020】
企業の窓口担当者は、顧客から個人情報を聞き取り、窓口端末102の個人情報入力画面101(図3)から個人情報を入力する。
【0021】
入力された個人情報は、ネットワーク106を介してサーバa111が管理する個人情報管理DBa110とサーバb114が管理する個人情報管理DBb112にそれぞれ分割されて登録される。なお、分割された個人情報をつなげるための情報が第3のDBである個人情報リンクDB115に登録される。この個人情報リンクDB115は、安全性確保のため、最初のアクセスDBである個人情報管理DBa110とは離れたサーバに接続するのが好ましい。本実施形態ではサーバb114に接続する。
【0022】
次に、本人を確認するため、窓口担当者は、例えば身分証明書109を顧客から借用し、スキャナ107から画像を読み取らせる。窓口端末102は、前記個人情報と前記画像を合体させ、更に窓口端末102が持つQRコード生成機能により、個人情報を記録したQRコード104を添付した個人情報文書108をプリンタ103から印刷する。なお、この個人情報文書108は、企業内部の利用のみの目的で保管される。
【0023】
前記個人情報文書108は、企業内で使用され、時間の経過により利用目的が消滅するか又は保存期限を過ぎた場合は、廃棄装置113において破棄処分される。このとき、廃棄装置113は、前記QRコードを読み、該QRコード内の個人情報提供者である顧客のメールアドレスを用いて、顧客先端末105に破棄された旨のメールを発信し、同様に個人情報管理者にも通知する。さらに、廃棄装置113は、サーバa111及びサーバb114へ個人情報管理DBに記録された当該個人情報も削除される。
【0024】
図2は、図1に示した各装置のハードウェア構成の一例を説明するブロック図であり、図1と同一のものには同一の符号を付してある。
【0025】
図2において、サーバa111、サーバb114は、ネットワーク106を介して、窓口端末102、顧客先端末105、廃棄装置113と通信可能となっている。
【0026】
サーバa111は、CPU201、RAM202、ROM203、外部メモリ204、入力装置205、表示装置206、通信インタフェース208を含み、これらがシステムバスを介して互いに接続されている構成となっている。なお、実際には上記各部とシステムバスとの間にはインタフェース回路やチップセット等が存在するが、図では省略されている。なお、外部メモリ204は、個人情報管理DBa110を含む。
【0027】
CPU201は、ROM203又は外部メモリ204等に記憶保存されたプログラム等を読み出して実行することにより、各種制御処理を実行する。RAM202は、CPU201の作業領域として使用される。
【0028】
通信インタフェース208は、ネットワーク106に有線又は無線で接続され、ネットワーク106を介して他の装置と通信可能である。
【0029】
サーバb114についても、サーバa111と同様である。同様に、サーバb114の外部メモリは、個人情報管理DBb112を含む。
【0030】
窓口端末102は、CPU216、RAM217、ROM218、外部メモリ219、入力装置220、表示装置221、通信インタフェース224を含み、これらがシステムバスを介して互いに接続されている構成となっている。なお、実際には上記各部とシステムバスとの間にはインタフェース回路やチップセット等が存在するが、図では省略されている。
【0031】
CPU216は、ROM218又は外部メモリ219等に記憶保存されたプログラム等を読み出して実行することにより、各種制御処理を実行する。RAM217は、CPU201の作業領域として使用される。
【0032】
通信インタフェース224は、ネットワーク106に有線又は無線で接続され、ネットワーク106を介して他の装置と通信可能である。
【0033】
また、窓口端末102には、図示しないインタフェースを介して周辺機器としてスキャナ107,印刷装置103が接続されている。スキャナ107は、文書の画像データならびにQRコードを読み取る際に用いられる。また、外部メモリ219には、後述する文書レイアウト801が格納されている。
【0034】
CPU216は、RAM217においてQRコード生成処理を実行し、画像及びQRコードを文書レイアウト801に貼りつけて個人情報文書108を生成し、該個人情報文書108を印刷装置103から印刷するように制御する。
【0035】
廃棄装置113は、CPU209、RAM210、ROM211、外部メモリ212、通信インタフェース215を含み、これらがシステムバスを介して互いに接続されている構成となっている。なお、実際には上記各部とシステムバスとの間にはインタフェース回路やチップセット等が存在するが、図では省略されている。
【0036】
CPU209は、ROM211又は外部メモリ212等に記憶保存されたプログラム等を読み出して実行することにより、各種制御処理を実行する。RAM210は、CPU209の作業領域として使用される。通信インタフェース215は、ネットワーク106に有線又は無線で接続され、ネットワーク106を介して他の装置と通信可能である。
【0037】
また、廃棄装置113には、図示しないインタフェースを介して周辺機器としてインサータ225,スキャナ213,シュレッダ214が接続されており、CPU209により、これらを制御可能である。
【0038】
インサータ225は、紙文書の束を連続してスキャナ213に送り出すためのものである。スキャナ213は、インサータ225から送り出された紙文書を読み取るためのものである。シュレッダ214は、スキャナ213を介してインサータから送られた紙文書(個人情報文書等を記載した文書)を破棄処分にするためのものである。
【0039】
顧客先端末105については、端末又は携帯電話等の移動体通信装置であってもよい。なお、顧客先端末105のハードウェア構成については、サーバa111と同様であってもよい。
【0040】
サーバa111,サーバb114、廃棄装置113、窓口端末102、顧客先端末105は、ネットワーク106を介して相互に通信可能である。
【0041】
図3は、図1に示した個人情報入力画面101の一例を示す模式図である。
【0042】
図3に示した例では、個人情報を含む機密文書を作成するために、管理する企業の個人情報管理者は、会員番号301、氏名302、住所303、電話番号304、携帯電話番号305、E-mailアドレス306を入力する。
【0043】
入力時、312に示すように、入力項目の文字の間にセパレータ'&'を挿入し、入力データを区切る。セパレータ'&'により入力データは前半と後半に区切られる。なお、このセパレータ'&'は、窓口端末102のCPU216の制御により、ランダムに挿入するように構成してもよい。また、窓口端末102側ではセパレータは挿入せず、サーバa111側で入力情報の各項目をランダムに分割して、個人情報管理DBa110,個人情報管理DBb112に分散登録するように構成してもよい。
【0044】
なお、各入力項目302、303、304、305、306に対して、それぞれ登録部307、308、309,310、311が設けてあり、この登録部には、'1'または'2'を入力する。
【0045】
そして、各入力項目の入力データをDBに登録する時には、窓口端末102のCPU216の制御により、登録部に'1'が入力されている入力項目の入力データは、前半部分(セパレータ'&'の前の部分)が個人情報管理DBa110に、後半部分(セパレータ'&'の後ろの部分)が個人情報管理DBb112に登録される。また、登録部に'2'が入力されている入力項目の入力データは、前半部分が個人情報管理DBb112に、後半部分が個人情報管理DBa110に登録される。
【0046】
図3に示した例では、氏名302の登録部307に'1'が入力されているためセパレータ'&'の前の部分(苗字"観音")が個人情報管理DBa110に登録されセパレータ'&'の後ろの部分(名前"太郎")が個人情報管理DBb112に登録される。
【0047】
また、住所303の登録部308に2が入力されているので、セパレータ'&'の前の部分(都道府県市区町村名まで)が個人情報管理DBb112に登録され、セパレータ'&'の後ろの部分(町名、番地、マンションの号室など)の情報が個人情報管理DBa110に登録される。
【0048】
313は登録キーであり、各項目の情報を入力し、該入力した情報を登録するときに使用する。314はキャンセルキーであり、入力した情報をキャンセルするときに使用する。
【0049】
なお、図1に示した個人情報管理DBa110,個人情報管理DBb112は、同じ場所に存在しなくてもよい。例えば、東京と大阪に分散して管理することにより、例えば、個人情報管理DBa110の情報のデータを盗まれたとしても、個人を特定することが困難であるため、個人情報の漏洩を食い止めることが可能である。また、セパレータ文字'&'は、他の通常使用されない文字であればどのような文字であってもよい。
【0050】
図4は、図1に示した身分証明書109の一例を示す模式図である。
【0051】
身分証明書109としては、免許証、社員証、学生証、保険証などがあるが、ここでは、免許証を例としてあげている。免許証には、氏名、生年月日、本籍、住所が記載されており、当企業が使用しない重要な個人情報も含まれている。
【0052】
図5は、図1に示した個人情報管理DBa110,個人情報管理DBb112の及び個人情報リンクDB115の各レコード構成の一例を示す図である。
【0053】
図5に示すように、個人情報管理DBa110には、図3で入力した会員番号301、氏名302、住所303、電話番号304、携帯電話番号305、E-mailアドレス306が登録部307〜311で入力した規則に従って登録されている。例えば、個人情報入力画面101の氏名入力欄302において、"山口&三郎"と入力され、登録部307に'2'が入力された場合、504と509に示すように、"三郎"が個人情報管理DBa110に登録され、"山口"が個人情報管理DBb112に登録される。
【0054】
個人情報管理DBa110において、503は会員番号であり、当該個人情報管理DBa110のキーとなっている。
【0055】
505は削除期限であり、削除する日付が記録されているが、顧客からの要請又は他の業務システムの要請等のように何らかの変更により削除期限505前に削除したい場合がある。この場合は、削除フラッグ506に'*'が立てられ(オンにされて)、該当する個人情報文書108の破棄を伴った削除処理が要求される。
【0056】
廃棄装置113に個人情報文書108がセットされたとき、廃棄装置113はこの削除期限505を照合して、削除の可否を判断する。廃棄装置113は、削除期限505が経過又は削除フラッグ506のオンである場合に、紙である個人情報文書108と共に個人情報管理DBの情報も削除するように制御される。
【0057】
個人情報管理DBa110において、リンク507は、個人情報管理DBb112に分割された個人情報データをつなげるための個人情報リンクDB115の当該レコードのキーがQRコードで格納されている。なお、この個人情報管理DBa110のリンク507と同じQRコードが個人情報リンクDB115のキーであるリンク512に格納されている。
【0058】
個人情報リンクDB115の変換会員番号513は、個人情報管理DBb112のキーである変換会員番号508が格納されている。個人情報DBにアクセスする際、まず個人情報管理DBa110のレコード内のリンク507と同じQRコードが格納された個人情報リンクDB115のレコードを検索し、該検索されたレコードの変換会員番号513を用いて、個人情報管理DBb112のレコードを検索する。なお、変換会員番号508は、個人情報管理DBa110の会員番号503を暗号処理したものであるが、アクセスするときは暗号データのままでよい。
【0059】
個人情報リンクDB115の他の項目には、514,515に示すように、各個人情報データをセパレータで分離したときの分離コード'1'又は'2'が格納されており、この分離コードにより、個人情報管理DBa110と個人情報管理DBb112のデータをつなげることができる。514は前半部分が個人情報管理DBa110にあることを示し、515は、前半部分が個人情報管理DBb112にあることを示す。
【0060】
個人情報管理DBb112において、510はその他の情報であり、会員登録日などの実際の業務で利用される情報が格納される。
【0061】
なお、リンク507,512がQRコードで格納されている構成や変換会員番号508,513が暗号処理されている構成は、簡単にキーを入力してDBの内容を参照することができないように工夫したためである。
【0062】
このように、いずれかのDBのみでは、個人を特定する情報を得るのは困難である。特別に意図された特別なプログラムを作成して使用しない限り、個人情報管理DBa110と個人情報管理DBb112の場所、システム管理者を別々にすれば、個人情報の流出を防ぐことができ、企業内部の機密情報に安全性を与えることができる。
【0063】
図6は、個人情報文書108に付加されたQRコード104に記録される情報を示す図である。なお、このQRコード104に記録される情報は、後述する図7に示す個人情報登録処理により作成される。
【0064】
図6において、601はQRコード104に記録される情報である。
【0065】
会員番号602は、図3に示した会員番号301、図5に示した個人情報管理DBa110の会員番号503に対応し、顧客メールアドレス603がE−mailアドレス306等に対応し、保存期限606は削除期限505に対応している。保存期限606は、その期限以後に廃棄するときに、廃棄装置113が個人情報管理DBa110と照合して、破棄の可否を照合する。
【0066】
なお、この保存期限606(削除期限505)や削除フラッグ506は、他の業務システムが独自に定め他の業務システムから設定するものとしてもよいし、システム管理者や窓口担当者が端末から設定するようにしてもよいし、システム管理者や窓口担当者が端末から入力設定するようにしてもよい。
【0067】
作成者ID604は、窓口で顧客の個人情報を入力した職員のIDであり、窓口端末102にログインする際に入力された値に対応し、作成日時とともに窓口端末102のCPU216により設定される。
【0068】
個人情報管理者ID605は、破棄時の通知担当者になる他、当該文書の処置上の問題が生じたとときに担当する職員であり、端末102のCPU216が予め外部メモリ219に設定されたデータに基づいて設定する。
【0069】
以下、図7〜図9を参照して、窓口端末102の個人情報入力処理画面(図3)から入力された個人情報に基づいて窓口端末102により個人情報文書108を生成する処理について説明する。
【0070】
図7は、本発明における第1の制御処理手順の一例を示すフローチャートであり、個人情報入力時の処理に対応する。なお、S701,S709は窓口担当者の操作に対応する。また、S702,S704,S707,S710,S711〜S713は窓口端末102のCPU216が外部メモリ219に格納されるプログラムをRAM217に読み出して実行することにより実現される処理に対応する。さらに、S703,S705,S706,S708,S715〜S719はサーバa111のCPU201が外部メモリ204に格納されるプログラムをRAM202に読み出して実行することにより実現される処理に対応する。
【0071】
図8は、図1に示した窓口端末102のCPU201が外部メモリ219からプログラムを読み出して実行することにより実現する個人情報文書を生成する機能を示すブロック図である。
【0072】
図9は、図1に示した個人情報文書108の一例を示す模式図である。
【0073】
以下、個人情報文書108を生成する処理を詳細に説明する。
【0074】
まず、顧客が会員登録をする場合に個人情報を窓口にきて要請する。窓口担当者は、個人情報を窓口端末102の個人情報入力画面101から入力操作する(S701)。
【0075】
この入力操作に応じて、窓口端末102のCPU216は、入力データをチェックし(S702)、サーバa111に対して会員番号を要求する。
【0076】
サーバa111のCPU201は、窓口端末102からの要求に基づいて新規の会員番号を発行し、窓口端末102に送信する(S703)。
【0077】
窓口端末102のCPU216は、サーバa111から送信される会員番号を受信して、ステップS704に処理を進める。
【0078】
ステップS704では、窓口端末102のCPU216は、図3に示す入力情報以外の情報であり、QRコードに内包される他のデータ、窓口担当者IDや、作成日時、その他の情報をシステム等から取得する。そして、窓口端末102のCPU216は、QRコード形成データ(S701で入力された入力データ、S702で取得した会員番号、S704で取得したデータ等)をサーバa111に送信する。
【0079】
サーバa111のCPU201は、窓口端末102からの前記QRコード形成データを受信し(S705)、入力データのセパレータを処理して、個人情報の分離処理と、連結処理を実行して、RAM202上に、セパレータにより分割された個人情報と、セパレータを取り除かれた連結された個人情報が生成し、さらに、連結された個人情報を窓口端末102へ送信する(S706)。
【0080】
窓口端末102のCPU201は、セパレータが外れたデータ(連結された個人情報)をサーバa111から取得する。そして、窓口端末102のCPU201は、図8に示すQRコード情報生成部802により、サーバa111から取得したデータ(個人情報入力画面101から入力された顧客個人情報の連結情報,会員番号)とS704で取得したデータ(作成日時,作成者ID等のシステム情報)に基づいて図6に示した情報601を生成し、QRコード化してQRコードを生成し(S707)、RAM217を介して図8に示す付加情報文書生成部804に送る。
【0081】
そして、窓口端末102のCPU201は、図8に示す画像情報生成部803により窓口担当者からのスキャナによる身分証明書の入力を受け付ける。
【0082】
窓口担当者は、免許証等の個人情報である身分証明をする媒体を顧客から借り受け、これをスキャナ107で読み取らせるように操作する(S709)。
【0083】
この操作に応じて、窓口端末102のCPU201は、ステップS710において、図8に示す画像情報生成部803により、スキャナ107を用いて身分証明をする媒体の画像を読み取って画像データを生成し(個人情報媒体の画像形成)、RAM217を介して図8に示す付加情報文書生成部804に送る。
【0084】
次に、窓口端末102のCPU201は、付加情報文書生成部804により、図9に示す個人情報文書108の901に示すように、ステップS710で読み取った画像データとステップS707で生成したQRコードを、外部メモリ219から読み出した文書レイアウト801に添付し(貼り付け)(S711)、さらに、当該文書レイアウトに、図9に示す個人情報文書108の104に示すように、ステップS702で取得した会員番号を添付して(貼り付けて)、さらに文書レイアウト801に他の必要な情報を掲載して個人情報文書108を生成し、RAM217上に保持する。
【0085】
次に、窓口端末102のCPU201は、ステップS712で生成した個人情報文書108を印刷装置103で印刷させ(S713)、処理を終了する。
【0086】
これにより、窓口担当者は、図9に示すような個人情報文書108を取得する(S714)。
【0087】
図9に示すように、個人情報文書108には、スキャナ107で読み取った身分証明書109(図4)の画像データ901、QRコード104が添付(合成)されて印刷されている。
【0088】
一方、サーバa111のCPU201は、ステップS706で取得し分離処理した個人情報に基づいて個人情報管理DBa110および個人情報管理DBb112の各レコードのレイアウトを形成する(S715)。
【0089】
次に、サーバa111のCPU201は、ステップS708で得たQRコードを個人情報管理DBa110のリンク項目507へセットし、個人情報管理DBa110の個人レコードを完成して個人情報管理DBa110に登録する(S716)。
【0090】
次に、サーバa111のCPU201は、会員番号を暗号処理して個人情報管理DBb112の変換会員番号項目508へセットし(S717)、個人情報管理DBb112の個人レコードを完成して個人情報管理DBb112に登録する(S718)。
【0091】
次に、サーバa111のCPU201は、個人情報リンクDB115のキーであるリンク項目512にステップS716で個人情報管理DBa110のリンク項目507へセットしたQRコード、変換会員番号項目513にステップS717で個人情報管理DBb112の変換会員番号項目508にセットした暗号処理した会員番号をセットし、さらに、セパレータ情報を該当する各種分離コード項目に埋め込み、個人情報リンクDB115のレコードを完成し、これを個人情報リンクDB115に登録する(S719)。そして、処理を終了する。
【0092】
なお、本実施形態では、個人情報文書108および対応する個人情報の保護管理について説明するが、保護の対象となるのは個人情報に限られるものではなく、全ての機密情報が本発明での保護管理の対象となるものとする。
【0093】
以下、図10〜図12を参照して、本発明における文書廃棄処理について説明する。
【0094】
図10は、個人情報を含む文書(図9に示した個人情報文書108)を廃棄装置113に通して廃棄した後に廃棄装置113から顧客に送られるメールの文面の一例を示す模式図である。
【0095】
顧客は、図10に示すような文面1001のメールを受け取ることにより、企業が個人情報を正しく廃棄したことを知ることができる。
【0096】
図11は、図1に示した廃棄装置113のCPU209が外部メモリ212からプログラムを読み出して実行することにより実現する文書を廃棄する機能を示すブロック図である。なお、図1と同一のものには同一の符号を付してある。
【0097】
図11において、インサータ制御部1107,スキャナ制御部1108,シュレッダ制御部1109,サーバ情報交換部1110,破棄判断制御部1111,QRコード解析部1112,メール送信部1113は、CPU209が外部メモリ212に記憶保存されたプログラムをRAM210に読み出して実行することにより実現される機能部である。
【0098】
まず、周辺機器について説明する。インサータ225は、束になった紙文書を順にスキャナ213に送り出す機構を備えている。インサータ225は、インサータ制御部1107を経由して中央制御を行う破棄判断制御部1111から指令を受け取り、インサータ制御部1107を経由して中央制御を行う破棄判断制御部1111して情報を送信する。
【0099】
スキャナ213は、破棄判断制御部1111の指令をスキャナ制御部1108経由して受け取り、順次紙文書を読み取り、該読み取り情報をスキャナ制御部1108経由して破棄判断制御部1111に送り出す。
【0100】
破棄判断制御部1111は、スキャナ213から取得した紙文書の読み取り情報をQRコード解析部1112に渡し、QRコードを解析させる。
【0101】
また、破棄判断制御部1111は、QRコード解析部1112からQRコード情報(QRコード解析結果)を受け取り、該QRコード情報に基づいてサーバ情報交換部1110を介してサーバa111と交信し、サーバa111から得た情報に基づき、当該個人文書を破棄すべきか、保存すべきか、不詳文書のため、別途不詳文書として区分けするかを判断する。
【0102】
そして、破棄する場合は、破棄判断制御部1111は、シュレッダ214に、対応する紙文書が渡るようにシュレッダ制御部1109に命令し、シュレッダ付属の区分け器からシュレッダに対応する紙文書を搬送する。なお、破棄の場合は、破棄した旨の通知メール(例えば図10)をQRコードにある顧客メールアドレスと個人情報管理者メールアドレスに送信するようにメール送信部1113に命令に送る。
【0103】
また、保存の場合は、破棄判断制御部1111は、保存スタッカ1104に、対応する紙文書が渡るようにシュレッダ制御部1109に命令する。
【0104】
また、不詳の場合は、破棄判断制御部1111は、不詳スタッカ1105に、対応する紙文書が渡るようにシュレッダ制御部1109に命令する。
【0105】
図12は、本発明における第1の制御処理手順の一例を示すフローチャートであり、図11に示した廃棄装置113の機能により実行される文書廃棄処理に対応する。なお、S1201〜S1210,S1215は廃棄装置113内の各機能部1107〜1113および周辺機器213,214,225により実行される処理に対応する。また、S1211,S1212はサーバa111のCPU201が外部メモリ204に格納されるプログラムをRAM202に読み出して実行することにより実現される処理に対応する。
【0106】
まず、インサータ225に紙文書がセットされ、これが検知されると、を破棄判断制御部1111が本フローチャートの処理を開始する。
【0107】
まず、破棄判断制御部1111は、インサータ225にセットされた紙文書の束について、1枚ずつ以下のS1202〜S1215の処理を繰り返すように制御する(S1201)。
【0108】
破棄判断制御部1111は、インサータ制御部1107を介して、インサータ225に1枚の紙文書をスキャナ213に送り出させ(S1202)、スキャナ213にインサータ225から送られた紙文書を読み取らせる(S1202)ように制御する。
【0109】
次に、破棄判断制御部1111は、スキャナ制御部1108から得た紙文書の読み取り結果を、QRコード解析部1112に渡し、QRコードを解析させる(S1203)。
【0110】
破棄判断制御部1111は、QRコード情報(QRコード解析結果)に基づいて、当該紙文書が個人情報文書108であるか否かを判定する(S1204)。
【0111】
そして、ステップS1204において、当該紙文書が個人文書でないと判定した場合には、破棄判断制御部1111は、ステップS1205に処理を進める。
【0112】
ステップS1205では、破棄判断制御部1111は、判定ができない文書(不詳文書)であるか、又は、読み取りに問題があったのかを判断し、不詳であった場合は、ステップS1213に処理を進め、当該紙文書を不詳スタッカ1105に区分けするように、スキャナ制御部1108を介してスキャナ213を制御する。そして、ステップS1201に処理を戻し、次の紙文書に処理を移行させる。
【0113】
一方、ステップS1205で、読み取りに問題があったと判断した場合には、破棄判断制御部1111は、ステップS1209に処理を進め、当該紙文書をシュレッダ214に送り破棄処分にするように、スキャナ制御部1108,シュレッダ制御部1109を介してスキャナ213,シュレッダ214を制御し、ステップS1214に処理を進める。
【0114】
また、ステップS1204で、当該紙文書が個人情報文書108であると判断した場合には、破棄判断制御部1111は、ステップS1206において、QRコード情報をサーバa111に送り、個人情報管理DBa110から当該会員の個人情報を検索してもらう。これを受けたサーバa111のCPU201は、個人情報管理DBa110から当該QRコードに基づいて個人情報を検索し、該検索結果として個人情報を廃棄装置113の破棄判断制御部1111に返信する(S1211)。
【0115】
サーバa111から個人情報を受け取ると、破棄判断制御部1111は、ステップS1207,S1208において、当該個人情報内の削除フラッグ506がオン(他の業務システム等において、当該顧客の個人情報を消去すべき状態が発生)、又は、削除期限が経過したか否かを判定する。
【0116】
そして、ステップS1207,S1208で、当該個人情報内の削除フラッグ506がオン、又は、削除期限が経過したと判定した場合には、破棄判断制御部1111は、ステップS1209に処理を進め、当該紙文書をシュレッダ214に送り破棄処分させ、ステップS1209に処理を進める。これとともに、破棄判断制御部1111は、当該個人情報を個人情報管理DBから削除させるようにサーバa111に指示する。これを受けたサーバa111のCPU201は、個人情報管理DBa110,個人情報管理DBb112,個人情報リンクDB115から当該個人情報を削除する(S1212)。これにより、顧客の個人情報を紙という物理媒体とDBという電子媒体の両方から消去することになる。
【0117】
そして、ステップS1214で、破棄判断制御部1111は、当該紙文書が個人情報文書108であるか否かを判定し、個人情報文書108であると判定した場合には、ステップS1215に処理を進める。
【0118】
ステップS1215では、破棄判断制御部1111は、当該QRコード情報内にある顧客メールアドレスと個人情報管理者メールアドレスに図10に示したような紙文書を破棄した旨のメールを送信するようにメール送信部1113を制御する。そして、ステップS1201に処理を戻し、次の紙文書に処理を移行させる。
【0119】
なお、本実施例では、破棄される紙文書にある当該QRコード情報に基づき、顧客メールアドレスと個人情報管理者メールアドレスを取得しているが、実際の運用では、当初の顧客メールアドレスと個人情報管理者メールアドレスがその後の経緯により、変更される場合が十分に予想される。従って、図示していないが、個人情報管理DBa110,個人情報管理DBb112,個人情報リンクDB115のいずれかに、顧客メールアドレスと個人情報管理者メールアドレスを格納し、変更の必要が発生した場合には、DBに記録されたアドレス群を変更し、通知の際は、通知先情報として、これらの情報を利用する方法することもできる。
【0120】
一方、ステップS1214で、当該紙文書が個人情報文書108でないと判定した場合には、破棄判断制御部1111は、ステップS1201に処理を戻し、次の紙文書に処理を移行させる。
【0121】
一方、ステップS1207,S1208で、当該個人情報内の削除フラッグ506がオフ、且つ、削除期限に未だ達していないと判定した場合には、破棄判断制御部1111は、ステップS1210に処理を進める。
【0122】
ステップS1210では、破棄判断制御部1111は、当該紙文書を保存スタッカ1104に送るようにスキャナ制御部1108を介してスキャナ213を制御する。そして、ステップS1201に処理を戻し、次の紙文書に処理を移行させる。
【0123】
そして、破棄判断制御部1111が、インサータ225にセットされた紙文書の束の全てについてS1202〜S1215の処理を終了したと判定した場合には、本フローチャートの処理を終了する。
【0124】
なお、上述した各種データの構成及びその内容はこれに限定されるものではなく、用途や目的に応じて、様々な構成や内容で構成されることは言うまでもない。
【0125】
以上、一実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記録媒体等としての実施形態をとることが可能であり、具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
【0126】
なお、上記実施形態では、個人情報文書108に付加したQRコード104内に会員番号等のデータベースに登録された個人情報を特定する情報とともに、連絡先となる顧客メールアドレス等を含め、個人情報文書108の破棄とデータベースに登録された個人情報の削除を実行した際には、上記QRコード104から取得した顧客メールアドレス等に、その旨のメールを通知する構成について説明した。
【0127】
しかし、個人情報文書108に付加したQRコード104内に、連絡先となる顧客メールアドレス等を含めず、データベースに登録された個人情報の削除する前にQRコード104内の会員番号に基づいてデータベース内の個人情報に含まれる顧客メールアドレス等を取得しておき、個人情報文書108の破棄とデータベースに登録された個人情報の削除を実行した際には、上記データベースより取得しておいた顧客メールアドレス等に、その旨のメールを通知するように構成してもよい。
【0128】
以上説明したように、本発明は、個人情報のような機密情報と共に、該情報提供者の身分証明書等の複写画像を印刷した紙文書を保管管理する場合に、該紙文書に当該情報提供者への通知情報(メールアドレス)を2次元バーコードにして付加するように構成する。これにより、当該紙文書が廃棄装置で破棄するときに、情報提供者(顧客等)に破棄を知らせることができる。この結果、顧客に安心感を与えることができ、企業内の担当者にも注意を喚起できる。
【0129】
なお、廃棄装置は、上記紙文書が破棄される時、当該紙文書に埋め込まれた2次元バーコードの情報に基づいてサーバと交信して、該2次元バーコードの情報に基づいて特定されるデータベース内の情報をも消去するように構成する。
【0130】
また、廃棄装置は、大量の紙文書を順次読み込み、廃棄すべき紙文書、破棄せず保管継続、不詳文書に仕分けして、破棄文書はシュレッダ等で粉砕する機能を持つ(保管文書は戻され、不詳文書は担当者が処置する)。
【0131】
また、情報提供を行う窓口では、機密情報の入力時、分割を指示でき、電子化された情報(データベース)の持ち出しがしにくいように、データを分割して複数のデータベースに分散して格納する。これにより、仮に、一方のデータベースの情報が持ち出されても機密情報が完全ではないので、利用できず(意味をなさず)、安全性を高めることができる。
【0132】
そして、分割された主データベースをアクセスし、更に他に分割されたデータベースのレコードを読むためには、第2のデータベースのキーを格納したリンク用のデータベースを参照しなければならないように構成する。これにより、個人情報等の機密情報を記録したデータベースは、特別なプログラムを作成しない限り、意図的に持ち出したり、参照したりできないようにすることができ、さらなる安全性を確保できる。
【0133】
さらに、分割されたデータベースを繋ぐリンクキーとして2次元バーコードを採用しているため、検索するためには特別なプログラムが必要となる。よって、単純なキー入力でデータベース検索を行うことができず、高い安全性を確保することができる。
【0134】
この結果、内部職員等の個人情報等の機密情報の持ち出しや、ミスによる情報漏洩を防止することができる。
【0135】
以下、図13に示すメモリマップを参照して本発明に係る情報管理システムを構成する各装置で読み取り可能なデータ処理プログラムの構成について説明する。
【0136】
図13は、本発明に係る情報管理システムを構成する各装置で読み取り可能な各種データ処理プログラムを格納する記録媒体(記憶媒体)のメモリマップを説明する図である。
【0137】
なお、特に図示しないが、記録媒体に記憶されるプログラム群を管理する情報、例えばバージョン情報,作成者等も記憶され、かつ、プログラム読み出し側のOS等に依存する情報、例えばプログラムを識別表示するアイコン等も記憶される場合もある。
【0138】
さらに、各種プログラムに従属するデータも上記ディレクトリに管理されている。また、インストールするプログラムやデータが圧縮されている場合に、解凍するプログラム等も記憶される場合もある。
【0139】
本実施形態における図7,図12に示す機能が外部からインストールされるプログラムによって、ホストコンピュータにより遂行されていてもよい。そして、その場合、CD−ROMやフラッシュメモリやFD等の記録媒体により、あるいはネットワークを介して外部の記録媒体から、プログラムを含む情報群を出力装置に供給される場合でも本発明は適用されるものである。
【0140】
以上のように、前述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムコードを読出し実行することによっても、本発明の目的が達成されることは言うまでもない。
【0141】
この場合、記録媒体から読み出されたプログラムコード自体が本発明の新規な機能を実現することになり、そのプログラムコードを記憶した記録媒体は本発明を構成することになる。
【0142】
プログラムコードを供給するための記録媒体としては、例えば、フレキシブルディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,DVD−ROM,磁気テープ,不揮発性のメモリカード,ROM,EEPROM,シリコンディスク等を用いることができる。
【0143】
また、コンピュータが読み出したプログラムコードを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムコードの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0144】
さらに、記録媒体から読み出されたプログラムコードが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0145】
また、本発明は、複数の機器から構成されるシステムに適用しても、1つの機器からなる装置に適用してもよい。また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのソフトウェアによって表されるプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0146】
さらに、本発明を達成するためのソフトウェアによって表されるプログラムをネットワーク上のサーバ,データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0147】
なお、上述した各実施形態およびその変形例を組み合わせた構成も全て本発明に含まれるものである。
【0148】
以上示したように、本発明は、個人情報等の機密文書の利用及び破棄における安全管理を目的とする。具体的には、身分証明書等が複写された個人情報を記録した紙文書及び電子化された関連の機密情報を利用中には漏洩や持ち出しをしにくくし、利用が終わり、破棄する場合には、紙文書の破棄と連動して電子化した情報も破棄し、更に、当該情報の提供者に、破棄の通知をする構成を有する。
【0149】
このような構成により、機密情報提供者、例えば、個人情報を提供した顧客が、自己の個人情報の利用目的が消滅したとき、紙文書及び電子化された情報の両方が破棄されたことを通知によって認知できるので安心感を得る効果を奏する。
【0150】
また、機密情報のデータベース分割登録及び分割されたデータベースの情報を連結する情報が別途データベース化されており、かつキーが2次元バーコードを使用しているので、簡単に、分割された情報をアクセスできず、一方を持ち出しても情報の価値が生じないので、機密情報の流出を防止できる効果を奏する。
【図面の簡単な説明】
【0151】
【図1】本発明の本発明の情報管理システム(機密情報保護システム)の全体構成の概要を示したシステム構成図である。
【図2】図1に示した各装置のハードウェア構成の一例を説明するブロック図である。
【図3】図1に示した個人情報入力画面101の一例を示す模式図である。
【図4】図1に示した身分証明書109の一例を示す模式図である。
【図5】図1に示した個人情報管理DBa110,個人情報管理DBb112の及び個人情報リンクDB115の各レコード構成の一例を示す図である。
【図6】個人情報文書108に付加されたQRコード104に記録される情報を示す図である。
【図7】本発明における第1の制御処理手順の一例を示すフローチャートである。
【図8】図1に示した窓口端末102のCPU201が外部メモリ219からプログラムを読み出して実行することにより実現する個人情報文書を生成する機能を示すブロック図である。
【図9】図1に示した個人情報文書108の一例を示す模式図である。
【図10】個人情報を含む文書(図9に示した個人情報文書108)を廃棄装置113に通して廃棄した後に廃棄装置113から顧客に送られるメールの文面の一例を示す模式図である。
【図11】図1に示した廃棄装置113のCPU209が外部メモリ212からプログラムを読み出して実行することにより実現する文書を廃棄する機能を示すブロック図である。
【図12】本発明における第1の制御処理手順の一例を示すフローチャートである。
【図13】本発明に係る情報管理システムを構成する各装置で読み取り可能な各種データ処理プログラムを格納する記録媒体(記憶媒体)のメモリマップを説明する図である。
【符号の説明】
【0152】
102 窓口端末
103 プリンタ
107 スキャナ
108 個人情報文書
104 QRコード
106 ネットワーク
111 サーバa
110 個人情報管理DBa
114 サーバb
112 個人情報管理DBb
115 個人情報リンクDB
113 廃棄装置
【特許請求の範囲】
【請求項1】
通知先情報を含む情報を入力する第1の入力手段と、
物理媒体から読み取った画像データを入力する第2の入力手段と、
前記第1の入力手段による入力情報をデータベースへ登録するデータベース登録手段と、
少なくとも前記データベース登録された入力情報を特定するための情報を所定コード形式に変換したコード情報を生成する生成手段と、
前記第2の入力手段により入力された画像データと前記生成手段により生成されたコード情報を貼り付けた文書を印刷媒体に印刷する印刷手段と、
前記印刷手段により印刷媒体に印刷された物理文書を破棄する破棄手段と、
前記破棄手段で前記物理文書を破棄する際、該物理文書から前記コード情報を読み取る読み取り手段と、
前記読み取り手段により読み取られたコード情報を解析する解析手段と、
前記解析手段の解析結果から特定される前記入力情報を前記データベースから削除させる削除制御手段と、
前記物理文書が破棄され且つ前記データベースから前記入力情報が削除された後、その旨の通知を、取得した前記通知先情報を用いて通知処理する通知手段と、
を有することを特徴とする情報管理システム。
【請求項2】
前記生成手段は、前記入力情報を特定するための情報とともに前記通知先情報を所定コード形式に変換したコード情報を生成するものであり、
前記通知手段は、前記解析手段の解析結果に含まれる前記通知先情報を用いて前記通知処理を行うことを特徴とする請求項1に記載の情報管理システム。
【請求項3】
前記削除制御手段は、前記解析手段の解析結果から特定される前記入力情報を前記データベースから削除する前に、前記データベースに記録された前記通知先情報を取得しておくものであり、
前記通知手段は、前記削除制御手段により取得された前記通知先情報を用いて前記通知処理を行うことを特徴とする請求項1に記載の情報管理システム。
【請求項4】
前記データベース登録手段は、前記入力情報を分割して複数のデータベースへ登録することを特徴とする請求項1乃至3のいずれか1項に記載の情報管理システム。
【請求項5】
前記データベース登録手段は、前記複数のデータベースに分割されて登録された情報を復元するための情報を前記複数のデータベースとは異なる他のデータベースに登録することを特徴とする請求項4に記載の情報管理システム。
【請求項6】
前記データベース登録手段は、前記他のデータベースのキーを所定コード形式にて登録することを特徴とする請求項5に記載の情報管理システム。
【請求項7】
前記所定コード形式は、2次元バーコード形式を含むことを特徴とする請求項1乃至6のいずれか1項に記載の情報管理システム。
【請求項8】
前記削除制御手段は、前記解析手段の解析結果から特定される前記入力情報を前記データベースから削除する前に、前記入力情報を取得し、該取得した入力情報に基づいて当該入力情報が削除可能か否かを判断し、削除可能と判断した場合に、当該入力情報を削除し、前記読み取り手段により読み取られた前記物理文書を前記破棄手段に出力させるように制御することを特徴とする請求項1乃至7のいずれか1項に記載の文書管理システム。
【請求項9】
前記削除制御手段は、前記入力情報が削除可能でないと判断した場合、当該入力情報を前記データベースから削除させず、且つ、前記読み取り手段により読み取られた前記物理文書を前記破棄手段とは異なる保存部に出力させるように制御することを特徴とする請求項8に記載の文書管理システム。
【請求項10】
通知先情報を含む情報を入力する第1の入力ステップと、
物理媒体から読み取った画像データを入力する第2の入力ステップと、
前記第1の入力ステップによる入力情報をデータベースへ登録するデータベース登録ステップと、
少なくとも前記データベース登録された入力情報を特定するための情報を所定コード形式に変換したコード情報を生成する生成ステップと、
前記第2の入力ステップにより入力された画像データと前記生成ステップにより生成されたコード情報を貼り付けた文書を印刷媒体に印刷する印刷ステップと、
前記印刷ステップにより印刷媒体に印刷された物理文書を破棄する破棄ステップと、
前記破棄ステップで前記物理文書を破棄する際、該物理文書から前記コード情報を読み取る読み取りステップと、
前記読み取りステップにより読み取られたコード情報を解析する解析ステップと、
前記解析ステップの解析結果から特定される前記入力情報を前記データベースから削除させる削除ステップと、
前記物理文書が破棄され且つ前記データベースから前記入力情報が削除された後、その旨の通知を、取得した前記通知先情報を用いて通知処理する通知ステップと、
を有することを特徴とする情報管理方法。
【請求項11】
請求項1乃至9のいずれかに記載された情報管理システムをコンピュータに実現させるためのプログラム、又は、請求項10に記載された情報管理方法をコンピュータに実行させるためのプログラム。
【請求項12】
請求項1乃至9のいずれかに記載された情報管理システムをコンピュータに実現させるためのプログラム、又は、請求項10に記載された情報管理方法をコンピュータに実行させるためのプログラムをコンピュータが読み取り可能に記憶した記録媒体。
【請求項1】
通知先情報を含む情報を入力する第1の入力手段と、
物理媒体から読み取った画像データを入力する第2の入力手段と、
前記第1の入力手段による入力情報をデータベースへ登録するデータベース登録手段と、
少なくとも前記データベース登録された入力情報を特定するための情報を所定コード形式に変換したコード情報を生成する生成手段と、
前記第2の入力手段により入力された画像データと前記生成手段により生成されたコード情報を貼り付けた文書を印刷媒体に印刷する印刷手段と、
前記印刷手段により印刷媒体に印刷された物理文書を破棄する破棄手段と、
前記破棄手段で前記物理文書を破棄する際、該物理文書から前記コード情報を読み取る読み取り手段と、
前記読み取り手段により読み取られたコード情報を解析する解析手段と、
前記解析手段の解析結果から特定される前記入力情報を前記データベースから削除させる削除制御手段と、
前記物理文書が破棄され且つ前記データベースから前記入力情報が削除された後、その旨の通知を、取得した前記通知先情報を用いて通知処理する通知手段と、
を有することを特徴とする情報管理システム。
【請求項2】
前記生成手段は、前記入力情報を特定するための情報とともに前記通知先情報を所定コード形式に変換したコード情報を生成するものであり、
前記通知手段は、前記解析手段の解析結果に含まれる前記通知先情報を用いて前記通知処理を行うことを特徴とする請求項1に記載の情報管理システム。
【請求項3】
前記削除制御手段は、前記解析手段の解析結果から特定される前記入力情報を前記データベースから削除する前に、前記データベースに記録された前記通知先情報を取得しておくものであり、
前記通知手段は、前記削除制御手段により取得された前記通知先情報を用いて前記通知処理を行うことを特徴とする請求項1に記載の情報管理システム。
【請求項4】
前記データベース登録手段は、前記入力情報を分割して複数のデータベースへ登録することを特徴とする請求項1乃至3のいずれか1項に記載の情報管理システム。
【請求項5】
前記データベース登録手段は、前記複数のデータベースに分割されて登録された情報を復元するための情報を前記複数のデータベースとは異なる他のデータベースに登録することを特徴とする請求項4に記載の情報管理システム。
【請求項6】
前記データベース登録手段は、前記他のデータベースのキーを所定コード形式にて登録することを特徴とする請求項5に記載の情報管理システム。
【請求項7】
前記所定コード形式は、2次元バーコード形式を含むことを特徴とする請求項1乃至6のいずれか1項に記載の情報管理システム。
【請求項8】
前記削除制御手段は、前記解析手段の解析結果から特定される前記入力情報を前記データベースから削除する前に、前記入力情報を取得し、該取得した入力情報に基づいて当該入力情報が削除可能か否かを判断し、削除可能と判断した場合に、当該入力情報を削除し、前記読み取り手段により読み取られた前記物理文書を前記破棄手段に出力させるように制御することを特徴とする請求項1乃至7のいずれか1項に記載の文書管理システム。
【請求項9】
前記削除制御手段は、前記入力情報が削除可能でないと判断した場合、当該入力情報を前記データベースから削除させず、且つ、前記読み取り手段により読み取られた前記物理文書を前記破棄手段とは異なる保存部に出力させるように制御することを特徴とする請求項8に記載の文書管理システム。
【請求項10】
通知先情報を含む情報を入力する第1の入力ステップと、
物理媒体から読み取った画像データを入力する第2の入力ステップと、
前記第1の入力ステップによる入力情報をデータベースへ登録するデータベース登録ステップと、
少なくとも前記データベース登録された入力情報を特定するための情報を所定コード形式に変換したコード情報を生成する生成ステップと、
前記第2の入力ステップにより入力された画像データと前記生成ステップにより生成されたコード情報を貼り付けた文書を印刷媒体に印刷する印刷ステップと、
前記印刷ステップにより印刷媒体に印刷された物理文書を破棄する破棄ステップと、
前記破棄ステップで前記物理文書を破棄する際、該物理文書から前記コード情報を読み取る読み取りステップと、
前記読み取りステップにより読み取られたコード情報を解析する解析ステップと、
前記解析ステップの解析結果から特定される前記入力情報を前記データベースから削除させる削除ステップと、
前記物理文書が破棄され且つ前記データベースから前記入力情報が削除された後、その旨の通知を、取得した前記通知先情報を用いて通知処理する通知ステップと、
を有することを特徴とする情報管理方法。
【請求項11】
請求項1乃至9のいずれかに記載された情報管理システムをコンピュータに実現させるためのプログラム、又は、請求項10に記載された情報管理方法をコンピュータに実行させるためのプログラム。
【請求項12】
請求項1乃至9のいずれかに記載された情報管理システムをコンピュータに実現させるためのプログラム、又は、請求項10に記載された情報管理方法をコンピュータに実行させるためのプログラムをコンピュータが読み取り可能に記憶した記録媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2008−140053(P2008−140053A)
【公開日】平成20年6月19日(2008.6.19)
【国際特許分類】
【出願番号】特願2006−324766(P2006−324766)
【出願日】平成18年11月30日(2006.11.30)
【出願人】(301015956)キヤノンソフトウェア株式会社 (364)
【Fターム(参考)】
【公開日】平成20年6月19日(2008.6.19)
【国際特許分類】
【出願日】平成18年11月30日(2006.11.30)
【出願人】(301015956)キヤノンソフトウェア株式会社 (364)
【Fターム(参考)】
[ Back to top ]