文書廃棄証明装置および文書廃棄証明プログラム
【課題】文書の存在および廃棄についての証明の機密性および完全性を保証することができ、生成から廃棄までの文書ライフサイクルを厳密に管理し得るようにする。
【解決手段】文書を生成する文書生成装置1、前記文書を廃棄する文書廃棄装置2またはこれらに接続するサーバ装置のいずれかに搭載されて用いられる文書廃棄証明装置10を、前記文書生成装置1での文書生成に関する情報を文書存在証明情報として取得する生成情報取得手段11と、前記文書廃棄装置2での文書廃棄に関する情報を文書廃棄証明情報として取得する廃棄情報取得手段12と、前記文書存在証明情報および文書廃棄証明情報を同一文書について互いに関連付けて保持管理する情報管理手段13とを備えて構成する。そして、前記文書存在証明情報および文書廃棄証明情報が、いずれも、デジタル証明情報を含んでいるようにする。
【解決手段】文書を生成する文書生成装置1、前記文書を廃棄する文書廃棄装置2またはこれらに接続するサーバ装置のいずれかに搭載されて用いられる文書廃棄証明装置10を、前記文書生成装置1での文書生成に関する情報を文書存在証明情報として取得する生成情報取得手段11と、前記文書廃棄装置2での文書廃棄に関する情報を文書廃棄証明情報として取得する廃棄情報取得手段12と、前記文書存在証明情報および文書廃棄証明情報を同一文書について互いに関連付けて保持管理する情報管理手段13とを備えて構成する。そして、前記文書存在証明情報および文書廃棄証明情報が、いずれも、デジタル証明情報を含んでいるようにする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、紙文書(以下、単に「文書」という)の存在およびその廃棄を証明する文書廃棄証明装置および文書廃棄証明プログラムに関する。
【背景技術】
【0002】
昨今、日本版SOX法(金融商品取引法)等への対応のため、企業内においては、文書の内部統制の必要に迫られており、単に文書の生成および廃棄を行うだけでなく、生成から廃棄までの文書ライフサイクルを管理することが重要視されている。このような文書管理を実現するための技術としては、従来、画像形成装置(複写機やプリンタ装置等)が用紙IDを有する用紙に文書を印刷出力するとともに、使用済みの文書を廃棄する文書廃棄装置(シュレッダ装置等)が当該文書の用紙IDを読み取るようにして、そのIDをキーにしてサーバ装置が文書の履歴を生成(印刷出力)から廃棄まで管理するというものが提案されている(例えば、特許文献1参照)。
【0003】
【特許文献1】特開2005−190365号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、従来における文書管理では、文書がどこで生成(コピー、プリント)され、どこで廃棄されたのかについて、必ずしも厳密に管理されているとは言えない。そのため、例えば管理下に複数の装置が存在する場合に、文書の生成および廃棄を実行した装置を特定することができないおそれがある。また、特定できても、その特定結果が改竄されたものであるか否かを検証することはできない。つまり、文書の生成や廃棄等に関する情報について、その改竄検知や情報漏洩防止等に対応しておらず、高度なセキュリティを確保することができない。
【0005】
そこで、本発明は、文書の存在および廃棄についての証明の機密性および完全性を保証することができ、生成から廃棄までの文書ライフサイクルの厳密な管理に貢献することのできる文書廃棄証明装置および文書廃棄証明プログラムを提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明は、上記目的を達成するために案出された文書廃棄証明装置および文書廃棄証明プログラムである。
請求項1に係る発明は、文書を生成する文書生成装置、前記文書を廃棄する文書廃棄装置またはこれらに接続するサーバ装置のいずれかに搭載されて用いられる文書廃棄証明装置であって、前記文書生成装置での文書生成に関する情報を文書存在証明情報として取得する生成情報取得手段と、前記文書廃棄装置での文書廃棄に関する情報を文書廃棄証明情報として取得する廃棄情報取得手段と、前記文書存在証明情報および文書廃棄証明情報を同一文書について互いに関連付けて保持管理する情報管理手段とを備えるとともに、前記文書存在証明情報および文書廃棄証明情報は、いずれも、デジタル証明情報を含んでいることを特徴とする文書廃棄証明装置である。
請求項2に係る発明は、前記デジタル証明情報が、前記文書生成装置が当該文書生成装置であることを証明するために保持しているデジタル証明書に関する情報、または、前記文書廃棄装置が当該文書廃棄装置であることを証明するために保持しているデジタル証明書に関する情報であることを特徴とする請求項1記載の文書廃棄証明装置である。
請求項3に係る発明は、前記デジタル証明情報が、前記文書生成装置のユーザが本人であることを証明するための認証情報、または、前記文書廃棄装置のユーザが本人であることを証明するための認証情報であることを特徴とする請求項1または2記載の文書廃棄証明装置である。
請求項4に係る発明は、前記デジタル証明情報が、前記文書生成装置での文書生成時を証明するためのタイムスタンプ情報、または、前記文書廃棄装置での文書廃棄時を証明するためのタイムスタンプ情報であることを特徴とする請求項1、2または3記載の文書廃棄証明装置である。
請求項5に係る発明は、文書を生成する文書生成装置におけるコンピュータとしての機能、前記文書を廃棄する文書廃棄装置におけるコンピュータとしての機能、または、これらに接続するサーバ装置におけるコンピュータとしての機能のいずれかを、前記文書生成装置での文書生成に関する情報を文書存在証明情報として取得する生成情報取得手段と、前記文書廃棄装置での文書廃棄に関する情報を文書廃棄証明情報として取得する廃棄情報取得手段と、前記文書存在証明情報および文書廃棄証明情報を同一文書について互いに関連付けて保持管理する情報管理手段として機能させるとともに、前記文書存在証明情報および文書廃棄証明情報は、いずれも、デジタル証明情報を含んでいることを特徴とする文書廃棄証明プログラムである。
【発明の効果】
【0007】
請求項1、5に係る発明では、文書存在証明情報および文書廃棄証明情報がいずれもデジタル証明情報を含んでいる。デジタル証明情報とは、被証明対象が真性であることを証明する情報のことをいい、その一例として信頼のある認証局が発行したデジタル証明書が挙げられる。このようなデジタル証明情報を含むことによって、文書存在証明情報および文書廃棄証明情報は、当該文書存在証明情報および当該文書廃棄証明情報が真正なものであることが証明される。したがって、文書存在証明情報によって特定される文書の生成と、文書廃棄証明情報によって特定される文書の廃棄とについても、その証明の機密性および完全性が保証されることになり、文書の生成から廃棄までの文書ライフサイクルの厳密な管理に貢献することが期待できる。
請求項2に係る発明によれば、デジタル証明情報が、文書生成を行う文書生成装置のデジタル証明書に関する情報、または、文書廃棄を行う文書廃棄装置のデジタル証明書に関する情報なので、文書が「どの装置にて」生成または廃棄されたかについて、改竄されることなく高信頼性の下で厳密に管理することができる。
請求項3に係る発明によれば、デジタル証明情報が、文書生成装置または文書廃棄装置のユーザの認証情報なので、文書が「誰により」生成または廃棄されたかについて、改竄されることなく高信頼性の下で厳密に管理することができる。
請求項4に係る発明によれば、デジタル証明情報が、文書生成時または文書廃棄時のタイムスタンプ情報なので、文書が「いつ」生成または廃棄されたかについて、改竄されることなく高信頼性の下で厳密に管理することができる。
【発明を実施するための最良の形態】
【0008】
以下、本発明に係る文書廃棄証明装置および文書廃棄証明プログラムについて説明する。
【0009】
先ず、本発明に係る文書廃棄証明装置および文書廃棄証明プログラムの説明に先立ち、当該文書廃棄証明装置および文書廃棄証明プログラムを含んで構成される文書廃棄証明システムの全体について説明する。
【0010】
図1は、文書廃棄証明システムの一構成例を示す説明図である。図例の文書廃棄証明システムは、文書生成装置1と、文書廃棄装置2と、これらを接続する通信回線3と、を備えて構成されている。
【0011】
文書生成装置1は、例えば複写機、プリンタ装置、これらの機能を統合した複合機等からなるもので、文書データを印刷出力することで文書の生成を行うものである。なお、文書生成装置1では、文書を生成する機能の他に、生成した文書にシステム内で一意の文書IDを付与する機能と、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)等の組み合わせからなるコンピュータとしての機能と、を備えているものとする。
【0012】
一方、文書廃棄装置2は、例えばシュレッダ装置からなるもので、再現不可能な状態にまで文書の裁断を行うことで文書の廃棄を行うものである。なお、文書廃棄装置2は、文書を廃棄する機能の他に、廃棄対象となる文書からの画像読み取りを行う機能と、CPU、RAM、ROM等の組み合わせからなるコンピュータとしての機能と、を備えているものとする。
【0013】
これら文書生成装置1および文書廃棄装置2は、それぞれが、当該装置の身分、すなわち当該装置であることを証明するために、信頼のある認証局によって発行されたデジタル証明書を予め保持している。デジタル証明書の仕様は、例えばITU(International Telecommunication Union)−TのX.509で規定されているものを用いることが考えられる。
【0014】
また、文書生成装置1および文書廃棄装置2は、いずれも、当該装置のユーザについて、当該ユーザが本人であることを認証する機能を備えている。ユーザの本人認証は、当該ユーザが所有するICカードやUSBキー等を用いて行うことが考えられる。
【0015】
さらに、文書生成装置1および文書廃棄装置2は、いずれも、時刻情報を外部のタイムスタンプサーバから通信回線3を介して取得する機能を備えているものとする。タイムスタンプサーバについては、公知のモノであるため、ここではその説明を省略する。なお、タイムスタンプサーバからの時刻情報の取得が行えない場合のために、自装置内に計時機能を備えていてもよい。
【0016】
このような文書生成装置1と文書廃棄装置2とを接続する通信回線3は、それぞれの間での各種情報の授受を可能にするものであれば、有線または無線を問わず、さらには公衆回線網等を利用した広域ネットワークを構築するものであっても、あるいはローカルエリアネットワークを構築するものであっても構わない。ただし、通信回線3上は、通信する情報の漏洩を防止するために、SSL(Secure Socket Layer)で暗号化されていることが望ましい。
【0017】
続いて、以上のようなシステム構成にて用いられる文書廃棄証明装置について説明する。図2は、本発明に係る文書廃棄証明装置の機能構成例を示すブロック図である。図例のように、文書廃棄証明装置10は、生成情報取得手段11と、廃棄情報取得手段12と、情報管理手段13としての機能を備えている。
【0018】
生成情報取得手段11は、文書生成装置1での文書生成に関する情報を取得するものである。以下、生成情報取得手段11が文書生成装置1から取得する、文書生成に関する情報を「文書存在証明情報」という。この文書存在証明情報には、デジタル証明情報が含まれているものとする。デジタル証明情報とは、被証明対象が真性であることを証明する情報のことをいい、具体的には文書生成装置1が保持するデジタル証明書に関する情報、文書生成装置1によるユーザの認証情報、および、文書生成装置1が取得したタイムスタンプ情報(または計時情報)が、これに相当する。
【0019】
廃棄情報取得手段12は、文書廃棄装置2での文書廃棄に関する情報を取得するものである。以下、廃棄情報取得手段12が文書廃棄装置2から取得する、文書廃棄に関する情報を「文書廃棄証明情報」という。この文書廃棄証明情報にも、文書存在証明情報と同様に、デジタル証明情報が含まれているものとする。
【0020】
情報管理手段13は、文書存在証明情報と文書廃棄証明情報とを同一文書について互いに関連付けて保持管理するものである。関連付けは、文書生成時に付与される文書IDを用いて行えばよい。また、保持管理は、後述するようなテーブル形式で行えばよい。
【0021】
図3は、情報管理テーブルの具体例を示す説明図である。図例では、文書の状態(ステータス)を管理するための文書ステータス管理テーブル(図3(a)参照)と、文書存在証明情報を管理するための生成証明情報管理テーブル(図3(b)参照)と、文書廃棄証明情報を管理するための廃棄証明情報管理テーブル(図3(c)参照)と、文書の廃棄条件を管理するための廃棄条件管理テーブル(図3(d)参照)とを示している。
【0022】
以上のような文書廃棄証明装置10を構成する各手段11〜13は、文書生成装置1または文書廃棄装置2におけるコンピュータとしての機能が、所定プログラムを実行することによって実現されるものである。その場合に、当該所定プログラムは、文書生成装置1内または文書廃棄装置2内へのインストールに先立ち、コンピュータ読み取り可能な記憶媒体に格納されて提供されるものであっても、または有線若しくは無線による通信手段を介して配信されるものであってもよい。つまり、上述した機能構成の文書廃棄証明装置10は、文書生成装置1または文書廃棄装置2にインストール可能な文書裁断プログラムによっても実現することが可能である。
【0023】
また、これらの各手段11〜13は、必ずしもその全てが文書生成装置1内または文書廃棄装置2内のいずれか一方に配されている必要はなく、それぞれに分散して配されていてもよい。つまり、上述した構成の文書廃棄証明装置10は、文書生成装置1若しくは文書廃棄装置2のいずれかに搭載され、またはこれらに分散して搭載されて用いられるものである。
【0024】
次に、以上のように構成された文書廃棄証明装置10における処理動作例について説明する。ここでは、図1(a)に示すように、文書生成装置1の側に、文書廃棄証明装置10が配設されている場合を例に挙げて説明する。
【0025】
先ず、文書生成装置1の側で文書を生成する際の処理動作例を説明する。図4は、本発明に係る文書廃棄証明装置10における処理動作例で、文書生成の際の処理動作例を示すフローチャートである。図例のように、文書生成の際には、文書生成装置1において、ユーザが自身のデジタル証明書を格納したICカードまたはUSBキーを用いてユーザ認証を行う(ステップ101、以下ステップを「S」と略す)。ここで、ユーザの認証情報は、ローカルで管理してもいいし、LDAP(Lightweight Directory Access Protocol)サーバにユーザ情報を問い合わせて認証してもよい。
【0026】
このユーザ認証の結果、ユーザが正しい者であれば(S102)、文書生成装置1では、拡大/縮小、編集、カラー/白黒、ステープル有無等のコピー条件が設定され(S103)、コピー対象となる原稿のセットおよびスタートボタン押下がされると(S104)、その原稿の複写を行うとともに、その複写画像の出力によって生成される文書についての文書IDの生成を行う(S105)。文書IDの生成は、公知技術を利用して行えばよい。そして、文書IDを生成すると、これを文書中に埋め込むためにQRコード(登録商標)等により二次元コード化し(S106)、その二次元コードを含む文書の印刷出力を行う(S107)。なお、文書IDは、二次元コードではなく、他の情報(例えばテキスト情報)によって印刷出力してもよく、またRFID(Radio Frequency Identification)等のICタグを利用して付加してもよい。
【0027】
この印刷出力を正しく行えれば、文書生成装置1では、その印刷出力後の用紙、すなわち生成した文書を装置外へ排出するとともに(S108)、その当該印刷出力処理の終了時についての時刻証明となるタイムスタンプ情報をタイムスタンプサーバから取得する(S109)。そして、タイムスタンプ情報の取得に成功したら、文書生成装置1が保持する当該文書生成装置1についてのデジタル証明書、処理開始時のユーザ認証によって得られたユーザの認証情報、および、印刷出力終了時のタイムスタンプ情報を基にして、印刷出力した文書が確かに存在していることを特定する情報である文書存在証明情報を生成するとともに(S110)、これを生成証明情報管理テーブルに格納して、その文書存在証明情報の保持管理を行う(S111)。
【0028】
このようにして、文書存在証明情報の保持管理を行えば、文書生成装置1が生成した文書について、「誰が」「いつ」「どこで」生成したものであるかを特定し得るようになる。しかも、その文書存在証明情報は、文書生成装置1によるユーザの認証情報、文書生成装置1が保持するデジタル証明書に関する情報および文書生成装置1が取得したタイムスタンプ情報を基にして生成されたもの、さらに具体的にはユーザ自身のデジタル証明書によって証明されるユーザID、文書生成装置1のデジタル証明書によって証明されるマシンID、タイムスタンプサーバによって証明されるタイムスタンプ情報等のデジタル証明情報を含むものなので、非常に信頼性の高いものとなる。なお、文書存在証明情報は、ユーザのデジタル証明書や文書生成装置1のデジタル証明書等の秘密鍵で署名したり、公開鍵で暗号化することで、改竄や情報漏洩等を防止することも可能である。
【0029】
以上に説明した処理動作例では、文書生成装置1が原稿を複写して文書を生成する場合のプロセスを例に挙げたが、例えばクライアントからのプリント指示に応じて画像データの印刷出力を行う場合についても、同様の処理を行うことが考えられる。ただし、プリント指示に応じた印刷出力を行う場合、タイムスタンプ情報は、クライアントのプリンタドライバで取得し、これを文書生成装置1へ送信したものであってもよい。ここで、クライアントと文書生成装置1はSSLで通信路が暗号化され、情報漏洩を防止し得ることは言うまでもない。
【0030】
続いて、文書廃棄装置2の側で、文書を廃棄する際の処理動作例を説明する。図5は、本発明に係る文書廃棄証明装置10における処理動作例で、文書廃棄の際の処理動作例を示すフローチャートである。図例のように、文書廃棄の際には、文書廃棄装置2において、ユーザが自身のデジタル証明書を格納したICカードまたはUSBキーを用いてユーザ認証を行う(S201)。ここで、ユーザの認証情報は、ローカルで管理してもいいし、LDAPサーバにユーザ情報を問い合わせて認証してもよい。
【0031】
このユーザ認証の結果、ユーザが正しい者である場合に(S202)、廃棄対象となる文書のセットおよびスタートボタン押下がされると(S203)、文書廃棄装置2では、当該文書からの画像読み取りを行って、その文書に付加されている二次元コードを読み取る(S204)。その結果、正しく読み取りを行えれば、その読み取り結果に基づいて、これを廃棄対象となる文書についての文書IDに変換する(S205)。このようにして、廃棄対象となる文書についての文書IDを取得すると、文書廃棄装置2は、その文書IDをキーにして、当該文書についての廃棄条件の問い合わせ、すなわち当該文書の廃棄可否についての問い合わせを行う(S206)。この問い合わせに対しては、廃棄条件管理テーブルの内容に基づいて、廃棄可否の回答が行われる。
【0032】
その結果、回答が文書廃棄否であったり、あるいは何らかの理由で回答が得られなかった場合(例えば、通信エラー発生)には、文書の破棄を行わないが、回答が文書廃棄可であれば(S207)、文書廃棄装置2では、セットされている廃棄対象文書を裁断して当該文書の廃棄を行うとともに(S208)、その文書廃棄処理の終了時についての時刻証明となるタイムスタンプ情報をタイムスタンプサーバから取得する(S209)。そして、タイムスタンプ情報の取得に成功したら、文書廃棄装置2が保持する当該文書廃棄装置2についてのデジタル証明書、処理開始時のユーザ認証によって得られたユーザの認証情報、および、文書廃棄終了時のタイムスタンプ情報を基にして、印刷出力した文書が確かに廃棄されていることを特定する情報である文書廃棄証明情報を生成するとともに(S210)、これを文書生成装置1の側へ送信して、その文書生成装置1の廃棄証明情報管理テーブルによる文書廃棄証明情報の保持管理を行わせる(S211)。
【0033】
このようにして、文書廃棄証明情報の保持管理を行えば、文書廃棄装置2が廃棄した文書について、「誰が」「いつ」「どこで」廃棄したものであるかを特定し得るようになる。しかも、その文書廃棄証明情報は、文書廃棄装置2によるユーザの認証情報、文書廃棄装置2が保持するデジタル証明書に関する情報および文書廃棄装置2が取得したタイムスタンプ情報を基にして生成されたもの、さらに具体的にはユーザ自身のデジタル証明書によって証明されるユーザID、文書廃棄装置2のデジタル証明書によって証明されるマシンID、タイムスタンプサーバによって証明されるタイムスタンプ情報等のデジタル証明情報を含むものなので、非常に信頼性の高いものとなる。なお、文書廃棄証明情報は、ユーザのデジタル証明書や文書廃棄装置2のデジタル証明書等の秘密鍵で署名したり、公開鍵で暗号化することで、改竄や情報漏洩等を防止することも可能である。
【0034】
また、文書廃棄証明情報の保持管理を、文書存在証明情報の保持管理と同様に、文書生成装置1の側にて行うことで、同一の文書IDによって特定される同一文書について、互いに関連付けて保持管理することが可能となるので、当該文書の生成から廃棄までの文書ライフサイクルの厳密な管理を行い得るとともに、それぞれがデジタル証明情報を含むことで、その証明の機密性および完全性が保証されることにもなる。
【0035】
なお、ここでは、図1(a)に示すように、文書生成装置1の側に文書廃棄証明装置10が配設されている場合、すなわち文書生成装置1の側に生成証明情報管理テーブルおよび廃棄証明情報管理テーブルが存在し、文書存在証明情報および文書廃棄証明情報の保持管理をその文書生成装置1の側で行う場合を例に挙げて説明したが、図1(b)に示すように、文書生成装置1の側と文書廃棄装置2の側とに文書廃棄証明装置10が分散して配設されたり、文書廃棄装置2の側に文書廃棄証明装置10が配設されたりして、それぞれの側で文書存在証明情報および文書廃棄証明情報の保持管理を行うようにしても構わない。その場合には、文書生成装置1が文書存在証明情報を文書廃棄装置2へ送信したり、その文書廃棄装置2の側で文書存在証明情報を文書廃棄証明情報と併せて保持管理したりすることになる。
【0036】
また、上述した構成の文書廃棄証明システムでは、文書廃棄証明装置10が文書生成装置1と文書廃棄装置2とのいずれの側に配設されている場合であっても、保持管理している文書廃棄証明情報を利用して、文書を廃棄したことを証明する廃棄証明書を出力することが考えられる。その場合は、文書廃棄証明情報を保持管理している側でのユーザ操作に応じて所望文書IDに対応する廃棄証明書を出力するようにしてもよいし、文書廃棄証明情報を保持管理していない側でのユーザ操作に応じて情報管理側への問い合わせを行い、その問い合わせの結果を基にして所望文書IDに対応する廃棄証明書を出力するようにしてもよい。つまり、廃棄証明書の出力は、システム構成に合わせて柔軟に適用することが考えられる。
【0037】
次に、文書廃棄証明システムの他の構成例を説明する。図6は、文書廃棄証明システムの他の構成例を示す説明図である。図例の文書廃棄証明システムは、文書生成装置1、文書廃棄装置2に加えて、これらに接続するサーバ装置4を備えている点で、上述した構成の文書廃棄証明システムとは異なる。なお、サーバ装置4は、通信回線3を介して、文書生成装置1および文書廃棄装置2と接続している。そして、文書生成装置1および文書廃棄装置2との間の通信は、SSLで暗号化されるものとする。
【0038】
サーバ装置4は、CPU、RAM、ROM等の組み合わせからなるコンピュータとしての機能を備えたもの、すなわち情報処理や情報記憶等を行うコンピュータ装置からなるもので、主にシステム内における文書管理を行うために配設されたものである。したがって、サーバ装置4が存在する場合には、そのサーバ装置4が文書廃棄証明装置10として機能するようになっている。ただし、サーバ装置4が存在する場合であっても、文書廃棄証明装置10が、文書生成装置1若しくは文書廃棄装置2のいずれかに搭載され、または文書生成装置1、文書廃棄装置2、サーバ装置4のそれぞれに分散して配されていても構わない。
【0039】
図7は、本発明に係る文書廃棄証明装置10における処理動作例で、当該文書廃棄証明装置10がサーバ装置4に配設されている場合の当該サーバ装置4での処理動作を示すフローチャートである。図例のように、サーバ装置4では、通信回線3を通じて当該サーバ装置4宛に送信されてくるコマンドの有無を常時監視している(S301)。そして、コマンドを受信すると、先ず、そのコマンドの種類を認識する(S302)。種類認識は、コマンドに含まれる属性情報に基づいて行うことが考えられる。
【0040】
受信したコマンドが、文書生成装置1から送信されたもので、当該文書生成装置1が生成した文書存在証明情報のテーブル格納を要求するコマンドであれば、サーバ装置4は、そのコマンドに続けて当該文書存在証明情報を受信して、その受信した文書存在証明情報の記憶保持を行う(S303)。すなわち、受信した文書存在証明情報を、当該文書存在証明情報に係る文書IDに対応付けて、生成証明情報管理テーブル(図3(b)参照)内に格納登録する。さらに、サーバ装置4は、文書ステータス管理テーブル(図3(a)参照)に関し、当該文書IDについての文書ステータスを「コピー」または「プリント」に設定する(S304)。また、文書存在証明情報と併せて、文書の廃棄条件についての情報が送信された場合には、その情報の廃棄条件管理テーブル(図3(d)参照)内への格納登録も行う。これらの処理により、サーバ装置4では、文書生成装置1が生成した文書について、「誰が」「いつ」「どこで」生成したものであるかを特定し得るとともに、その文書が生成済みで、かつ、未廃棄の状態であることを特定し得るようになる。
【0041】
また、受信したコマンドが、文書廃棄装置2から送信されたもので、当該文書廃棄装置2が廃棄対象とする文書についての廃棄条件を要求するコマンド、すなわち当該文書廃棄装置2からの文書廃棄可否の問い合わせに相当するものであれば、サーバ装置4は、そのコマンドによって特定される文書ID(廃棄対象文書の文書ID)を認識して(S305)、当該文書IDに係る廃棄条件についての情報を廃棄条件管理テーブル内から読み出して取得し(S306)、その取得結果を文書廃棄可否の問い合わせに対する回答として文書廃棄装置2へ返信する(S307)。
【0042】
また、受信したコマンドが、文書廃棄装置2から送信されたもので、当該文書廃棄装置2が生成した文書廃棄証明情報のテーブル格納を要求するコマンドであれば、サーバ装置4は、そのコマンドに続けて当該文書廃棄証明情報を受信して、その受信した文書廃棄証明情報の記憶保持を行う(S308)。すなわち、受信した文書廃棄証明情報を、当該文書廃棄証明情報に係る文書IDに対応付けて、廃棄証明情報管理テーブル(図3(c)参照)内に格納登録する。さらに、サーバ装置4は、文書ステータス管理テーブル(図3(a)参照)に関し、当該文書IDについての文書ステータスを「廃棄済」に設定する(S309)。これらの処理により、サーバ装置4では、文書廃棄装置2が廃棄した文書について、「誰が」「いつ」「どこで」廃棄したものであるかを特定し得るとともに、その文書が廃棄済の状態であることを特定し得るようになる。
【0043】
以上のように、サーバ装置4を備えた構成の文書廃棄証明システムにおいても、当該サーバ装置4が文書廃棄証明情報および文書存在証明情報の保持管理を、同一の文書IDによって特定される同一文書について、互いに関連付けて行うことが可能となるので、当該文書の生成から廃棄までの文書ライフサイクルの厳密な管理を行い得るとともに、それぞれがデジタル証明情報を含むことで、その証明の機密性および完全性が保証されることにもなる。
【0044】
つまり、本実施形態で例に挙げて説明した文書廃棄証明システムでは、いずれの構成例においても、文書の生成および廃棄の証明に、デジタル証明書(デバイス証明書)や通信経路暗号化等といったPKI(Public Key Infrastructure)技術を適用し、その存在証明および廃棄証明の機密性、完全性を保証するようになっている。したがって、例えば管理下に複数の装置が存在する場合であっても文書の生成および廃棄を実行した装置を特定することができ、しかもその特定結果が改竄されたものであるか否かを検証することができるので、文書の生成や廃棄等に関する情報について高度なセキュリティを確保して、文書の存在および廃棄についての証明の機密性および完全性を保証することができ、結果として生成から廃棄までの文書ライフサイクルの厳密な管理が実現可能となるのである。
【0045】
なお、本実施形態では、本発明の好適な実施具体例について説明したが、本発明はその内容に限定されるものではなく、その要旨を逸脱しない範囲で適宜変更することが可能である。
例えば、本実施形態では、文書生成装置1として複写機、プリンタ装置、複合機等の装置を用いた例を示したが、ドキュワークス(登録商標)文書やPDF(Portable Document Format)文書等といった既存の電子文書からポータブルドキュメントを生成するソフトウエアを用いることも考えられる。
また、本実施形態で説明した文書廃棄証明システムの構成に加えて、各装置に保持させるデジタル証明書を発行する発行局(CA)を構成要素として組み合わせてもよい。
さらに、廃棄条件等の廃棄ポリシーを管理するための機能(例えば、廃棄条件管理テーブル)は、文書廃棄証明装置10が管理するのではなく、通信回線3上に存在する外部のポリシーサーバ装置(例えば、Adobe LiveCycle Policy Server)で管理しても構わない。
さらにまた、文書存在証明情報および文書廃棄証明情報の管理については、いわゆるイントラネットのような同一企業内でのネットワーク内で行うのではなく、例えば企業間で文書を交換する場合を考慮して、証明情報管理装置をIDC(データセンタ)で提供するASP(Application Service Provider)サービスとしてもよい。
【図面の簡単な説明】
【0046】
【図1】文書廃棄証明システムの一構成例を示す説明図である。
【図2】本発明に係る文書廃棄証明装置の機能構成例を示すブロック図である。
【図3】情報管理テーブルの具体例を示す説明図である。
【図4】本発明に係る文書廃棄証明装置における処理動作例で、文書生成の際の処理動作例を示すフローチャートである。
【図5】本発明に係る文書廃棄証明装置における処理動作例で、文書廃棄の際の処理動作例を示すフローチャートである。
【図6】文書廃棄証明システムの他の構成例を示す説明図である。
【図7】本発明に係る文書廃棄証明装置における処理動作例で、当該文書廃棄証明装置がサーバ装置に配設されている場合の当該サーバ装置での処理動作を示すフローチャートである。
【符号の説明】
【0047】
1…文書生成装置、2…文書廃棄装置、3…通信回線、4…サーバ装置、10…文書廃棄照明装置、11…生成情報取得手段、12…廃棄情報取得手段、13…情報管理手段
【技術分野】
【0001】
本発明は、紙文書(以下、単に「文書」という)の存在およびその廃棄を証明する文書廃棄証明装置および文書廃棄証明プログラムに関する。
【背景技術】
【0002】
昨今、日本版SOX法(金融商品取引法)等への対応のため、企業内においては、文書の内部統制の必要に迫られており、単に文書の生成および廃棄を行うだけでなく、生成から廃棄までの文書ライフサイクルを管理することが重要視されている。このような文書管理を実現するための技術としては、従来、画像形成装置(複写機やプリンタ装置等)が用紙IDを有する用紙に文書を印刷出力するとともに、使用済みの文書を廃棄する文書廃棄装置(シュレッダ装置等)が当該文書の用紙IDを読み取るようにして、そのIDをキーにしてサーバ装置が文書の履歴を生成(印刷出力)から廃棄まで管理するというものが提案されている(例えば、特許文献1参照)。
【0003】
【特許文献1】特開2005−190365号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、従来における文書管理では、文書がどこで生成(コピー、プリント)され、どこで廃棄されたのかについて、必ずしも厳密に管理されているとは言えない。そのため、例えば管理下に複数の装置が存在する場合に、文書の生成および廃棄を実行した装置を特定することができないおそれがある。また、特定できても、その特定結果が改竄されたものであるか否かを検証することはできない。つまり、文書の生成や廃棄等に関する情報について、その改竄検知や情報漏洩防止等に対応しておらず、高度なセキュリティを確保することができない。
【0005】
そこで、本発明は、文書の存在および廃棄についての証明の機密性および完全性を保証することができ、生成から廃棄までの文書ライフサイクルの厳密な管理に貢献することのできる文書廃棄証明装置および文書廃棄証明プログラムを提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明は、上記目的を達成するために案出された文書廃棄証明装置および文書廃棄証明プログラムである。
請求項1に係る発明は、文書を生成する文書生成装置、前記文書を廃棄する文書廃棄装置またはこれらに接続するサーバ装置のいずれかに搭載されて用いられる文書廃棄証明装置であって、前記文書生成装置での文書生成に関する情報を文書存在証明情報として取得する生成情報取得手段と、前記文書廃棄装置での文書廃棄に関する情報を文書廃棄証明情報として取得する廃棄情報取得手段と、前記文書存在証明情報および文書廃棄証明情報を同一文書について互いに関連付けて保持管理する情報管理手段とを備えるとともに、前記文書存在証明情報および文書廃棄証明情報は、いずれも、デジタル証明情報を含んでいることを特徴とする文書廃棄証明装置である。
請求項2に係る発明は、前記デジタル証明情報が、前記文書生成装置が当該文書生成装置であることを証明するために保持しているデジタル証明書に関する情報、または、前記文書廃棄装置が当該文書廃棄装置であることを証明するために保持しているデジタル証明書に関する情報であることを特徴とする請求項1記載の文書廃棄証明装置である。
請求項3に係る発明は、前記デジタル証明情報が、前記文書生成装置のユーザが本人であることを証明するための認証情報、または、前記文書廃棄装置のユーザが本人であることを証明するための認証情報であることを特徴とする請求項1または2記載の文書廃棄証明装置である。
請求項4に係る発明は、前記デジタル証明情報が、前記文書生成装置での文書生成時を証明するためのタイムスタンプ情報、または、前記文書廃棄装置での文書廃棄時を証明するためのタイムスタンプ情報であることを特徴とする請求項1、2または3記載の文書廃棄証明装置である。
請求項5に係る発明は、文書を生成する文書生成装置におけるコンピュータとしての機能、前記文書を廃棄する文書廃棄装置におけるコンピュータとしての機能、または、これらに接続するサーバ装置におけるコンピュータとしての機能のいずれかを、前記文書生成装置での文書生成に関する情報を文書存在証明情報として取得する生成情報取得手段と、前記文書廃棄装置での文書廃棄に関する情報を文書廃棄証明情報として取得する廃棄情報取得手段と、前記文書存在証明情報および文書廃棄証明情報を同一文書について互いに関連付けて保持管理する情報管理手段として機能させるとともに、前記文書存在証明情報および文書廃棄証明情報は、いずれも、デジタル証明情報を含んでいることを特徴とする文書廃棄証明プログラムである。
【発明の効果】
【0007】
請求項1、5に係る発明では、文書存在証明情報および文書廃棄証明情報がいずれもデジタル証明情報を含んでいる。デジタル証明情報とは、被証明対象が真性であることを証明する情報のことをいい、その一例として信頼のある認証局が発行したデジタル証明書が挙げられる。このようなデジタル証明情報を含むことによって、文書存在証明情報および文書廃棄証明情報は、当該文書存在証明情報および当該文書廃棄証明情報が真正なものであることが証明される。したがって、文書存在証明情報によって特定される文書の生成と、文書廃棄証明情報によって特定される文書の廃棄とについても、その証明の機密性および完全性が保証されることになり、文書の生成から廃棄までの文書ライフサイクルの厳密な管理に貢献することが期待できる。
請求項2に係る発明によれば、デジタル証明情報が、文書生成を行う文書生成装置のデジタル証明書に関する情報、または、文書廃棄を行う文書廃棄装置のデジタル証明書に関する情報なので、文書が「どの装置にて」生成または廃棄されたかについて、改竄されることなく高信頼性の下で厳密に管理することができる。
請求項3に係る発明によれば、デジタル証明情報が、文書生成装置または文書廃棄装置のユーザの認証情報なので、文書が「誰により」生成または廃棄されたかについて、改竄されることなく高信頼性の下で厳密に管理することができる。
請求項4に係る発明によれば、デジタル証明情報が、文書生成時または文書廃棄時のタイムスタンプ情報なので、文書が「いつ」生成または廃棄されたかについて、改竄されることなく高信頼性の下で厳密に管理することができる。
【発明を実施するための最良の形態】
【0008】
以下、本発明に係る文書廃棄証明装置および文書廃棄証明プログラムについて説明する。
【0009】
先ず、本発明に係る文書廃棄証明装置および文書廃棄証明プログラムの説明に先立ち、当該文書廃棄証明装置および文書廃棄証明プログラムを含んで構成される文書廃棄証明システムの全体について説明する。
【0010】
図1は、文書廃棄証明システムの一構成例を示す説明図である。図例の文書廃棄証明システムは、文書生成装置1と、文書廃棄装置2と、これらを接続する通信回線3と、を備えて構成されている。
【0011】
文書生成装置1は、例えば複写機、プリンタ装置、これらの機能を統合した複合機等からなるもので、文書データを印刷出力することで文書の生成を行うものである。なお、文書生成装置1では、文書を生成する機能の他に、生成した文書にシステム内で一意の文書IDを付与する機能と、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)等の組み合わせからなるコンピュータとしての機能と、を備えているものとする。
【0012】
一方、文書廃棄装置2は、例えばシュレッダ装置からなるもので、再現不可能な状態にまで文書の裁断を行うことで文書の廃棄を行うものである。なお、文書廃棄装置2は、文書を廃棄する機能の他に、廃棄対象となる文書からの画像読み取りを行う機能と、CPU、RAM、ROM等の組み合わせからなるコンピュータとしての機能と、を備えているものとする。
【0013】
これら文書生成装置1および文書廃棄装置2は、それぞれが、当該装置の身分、すなわち当該装置であることを証明するために、信頼のある認証局によって発行されたデジタル証明書を予め保持している。デジタル証明書の仕様は、例えばITU(International Telecommunication Union)−TのX.509で規定されているものを用いることが考えられる。
【0014】
また、文書生成装置1および文書廃棄装置2は、いずれも、当該装置のユーザについて、当該ユーザが本人であることを認証する機能を備えている。ユーザの本人認証は、当該ユーザが所有するICカードやUSBキー等を用いて行うことが考えられる。
【0015】
さらに、文書生成装置1および文書廃棄装置2は、いずれも、時刻情報を外部のタイムスタンプサーバから通信回線3を介して取得する機能を備えているものとする。タイムスタンプサーバについては、公知のモノであるため、ここではその説明を省略する。なお、タイムスタンプサーバからの時刻情報の取得が行えない場合のために、自装置内に計時機能を備えていてもよい。
【0016】
このような文書生成装置1と文書廃棄装置2とを接続する通信回線3は、それぞれの間での各種情報の授受を可能にするものであれば、有線または無線を問わず、さらには公衆回線網等を利用した広域ネットワークを構築するものであっても、あるいはローカルエリアネットワークを構築するものであっても構わない。ただし、通信回線3上は、通信する情報の漏洩を防止するために、SSL(Secure Socket Layer)で暗号化されていることが望ましい。
【0017】
続いて、以上のようなシステム構成にて用いられる文書廃棄証明装置について説明する。図2は、本発明に係る文書廃棄証明装置の機能構成例を示すブロック図である。図例のように、文書廃棄証明装置10は、生成情報取得手段11と、廃棄情報取得手段12と、情報管理手段13としての機能を備えている。
【0018】
生成情報取得手段11は、文書生成装置1での文書生成に関する情報を取得するものである。以下、生成情報取得手段11が文書生成装置1から取得する、文書生成に関する情報を「文書存在証明情報」という。この文書存在証明情報には、デジタル証明情報が含まれているものとする。デジタル証明情報とは、被証明対象が真性であることを証明する情報のことをいい、具体的には文書生成装置1が保持するデジタル証明書に関する情報、文書生成装置1によるユーザの認証情報、および、文書生成装置1が取得したタイムスタンプ情報(または計時情報)が、これに相当する。
【0019】
廃棄情報取得手段12は、文書廃棄装置2での文書廃棄に関する情報を取得するものである。以下、廃棄情報取得手段12が文書廃棄装置2から取得する、文書廃棄に関する情報を「文書廃棄証明情報」という。この文書廃棄証明情報にも、文書存在証明情報と同様に、デジタル証明情報が含まれているものとする。
【0020】
情報管理手段13は、文書存在証明情報と文書廃棄証明情報とを同一文書について互いに関連付けて保持管理するものである。関連付けは、文書生成時に付与される文書IDを用いて行えばよい。また、保持管理は、後述するようなテーブル形式で行えばよい。
【0021】
図3は、情報管理テーブルの具体例を示す説明図である。図例では、文書の状態(ステータス)を管理するための文書ステータス管理テーブル(図3(a)参照)と、文書存在証明情報を管理するための生成証明情報管理テーブル(図3(b)参照)と、文書廃棄証明情報を管理するための廃棄証明情報管理テーブル(図3(c)参照)と、文書の廃棄条件を管理するための廃棄条件管理テーブル(図3(d)参照)とを示している。
【0022】
以上のような文書廃棄証明装置10を構成する各手段11〜13は、文書生成装置1または文書廃棄装置2におけるコンピュータとしての機能が、所定プログラムを実行することによって実現されるものである。その場合に、当該所定プログラムは、文書生成装置1内または文書廃棄装置2内へのインストールに先立ち、コンピュータ読み取り可能な記憶媒体に格納されて提供されるものであっても、または有線若しくは無線による通信手段を介して配信されるものであってもよい。つまり、上述した機能構成の文書廃棄証明装置10は、文書生成装置1または文書廃棄装置2にインストール可能な文書裁断プログラムによっても実現することが可能である。
【0023】
また、これらの各手段11〜13は、必ずしもその全てが文書生成装置1内または文書廃棄装置2内のいずれか一方に配されている必要はなく、それぞれに分散して配されていてもよい。つまり、上述した構成の文書廃棄証明装置10は、文書生成装置1若しくは文書廃棄装置2のいずれかに搭載され、またはこれらに分散して搭載されて用いられるものである。
【0024】
次に、以上のように構成された文書廃棄証明装置10における処理動作例について説明する。ここでは、図1(a)に示すように、文書生成装置1の側に、文書廃棄証明装置10が配設されている場合を例に挙げて説明する。
【0025】
先ず、文書生成装置1の側で文書を生成する際の処理動作例を説明する。図4は、本発明に係る文書廃棄証明装置10における処理動作例で、文書生成の際の処理動作例を示すフローチャートである。図例のように、文書生成の際には、文書生成装置1において、ユーザが自身のデジタル証明書を格納したICカードまたはUSBキーを用いてユーザ認証を行う(ステップ101、以下ステップを「S」と略す)。ここで、ユーザの認証情報は、ローカルで管理してもいいし、LDAP(Lightweight Directory Access Protocol)サーバにユーザ情報を問い合わせて認証してもよい。
【0026】
このユーザ認証の結果、ユーザが正しい者であれば(S102)、文書生成装置1では、拡大/縮小、編集、カラー/白黒、ステープル有無等のコピー条件が設定され(S103)、コピー対象となる原稿のセットおよびスタートボタン押下がされると(S104)、その原稿の複写を行うとともに、その複写画像の出力によって生成される文書についての文書IDの生成を行う(S105)。文書IDの生成は、公知技術を利用して行えばよい。そして、文書IDを生成すると、これを文書中に埋め込むためにQRコード(登録商標)等により二次元コード化し(S106)、その二次元コードを含む文書の印刷出力を行う(S107)。なお、文書IDは、二次元コードではなく、他の情報(例えばテキスト情報)によって印刷出力してもよく、またRFID(Radio Frequency Identification)等のICタグを利用して付加してもよい。
【0027】
この印刷出力を正しく行えれば、文書生成装置1では、その印刷出力後の用紙、すなわち生成した文書を装置外へ排出するとともに(S108)、その当該印刷出力処理の終了時についての時刻証明となるタイムスタンプ情報をタイムスタンプサーバから取得する(S109)。そして、タイムスタンプ情報の取得に成功したら、文書生成装置1が保持する当該文書生成装置1についてのデジタル証明書、処理開始時のユーザ認証によって得られたユーザの認証情報、および、印刷出力終了時のタイムスタンプ情報を基にして、印刷出力した文書が確かに存在していることを特定する情報である文書存在証明情報を生成するとともに(S110)、これを生成証明情報管理テーブルに格納して、その文書存在証明情報の保持管理を行う(S111)。
【0028】
このようにして、文書存在証明情報の保持管理を行えば、文書生成装置1が生成した文書について、「誰が」「いつ」「どこで」生成したものであるかを特定し得るようになる。しかも、その文書存在証明情報は、文書生成装置1によるユーザの認証情報、文書生成装置1が保持するデジタル証明書に関する情報および文書生成装置1が取得したタイムスタンプ情報を基にして生成されたもの、さらに具体的にはユーザ自身のデジタル証明書によって証明されるユーザID、文書生成装置1のデジタル証明書によって証明されるマシンID、タイムスタンプサーバによって証明されるタイムスタンプ情報等のデジタル証明情報を含むものなので、非常に信頼性の高いものとなる。なお、文書存在証明情報は、ユーザのデジタル証明書や文書生成装置1のデジタル証明書等の秘密鍵で署名したり、公開鍵で暗号化することで、改竄や情報漏洩等を防止することも可能である。
【0029】
以上に説明した処理動作例では、文書生成装置1が原稿を複写して文書を生成する場合のプロセスを例に挙げたが、例えばクライアントからのプリント指示に応じて画像データの印刷出力を行う場合についても、同様の処理を行うことが考えられる。ただし、プリント指示に応じた印刷出力を行う場合、タイムスタンプ情報は、クライアントのプリンタドライバで取得し、これを文書生成装置1へ送信したものであってもよい。ここで、クライアントと文書生成装置1はSSLで通信路が暗号化され、情報漏洩を防止し得ることは言うまでもない。
【0030】
続いて、文書廃棄装置2の側で、文書を廃棄する際の処理動作例を説明する。図5は、本発明に係る文書廃棄証明装置10における処理動作例で、文書廃棄の際の処理動作例を示すフローチャートである。図例のように、文書廃棄の際には、文書廃棄装置2において、ユーザが自身のデジタル証明書を格納したICカードまたはUSBキーを用いてユーザ認証を行う(S201)。ここで、ユーザの認証情報は、ローカルで管理してもいいし、LDAPサーバにユーザ情報を問い合わせて認証してもよい。
【0031】
このユーザ認証の結果、ユーザが正しい者である場合に(S202)、廃棄対象となる文書のセットおよびスタートボタン押下がされると(S203)、文書廃棄装置2では、当該文書からの画像読み取りを行って、その文書に付加されている二次元コードを読み取る(S204)。その結果、正しく読み取りを行えれば、その読み取り結果に基づいて、これを廃棄対象となる文書についての文書IDに変換する(S205)。このようにして、廃棄対象となる文書についての文書IDを取得すると、文書廃棄装置2は、その文書IDをキーにして、当該文書についての廃棄条件の問い合わせ、すなわち当該文書の廃棄可否についての問い合わせを行う(S206)。この問い合わせに対しては、廃棄条件管理テーブルの内容に基づいて、廃棄可否の回答が行われる。
【0032】
その結果、回答が文書廃棄否であったり、あるいは何らかの理由で回答が得られなかった場合(例えば、通信エラー発生)には、文書の破棄を行わないが、回答が文書廃棄可であれば(S207)、文書廃棄装置2では、セットされている廃棄対象文書を裁断して当該文書の廃棄を行うとともに(S208)、その文書廃棄処理の終了時についての時刻証明となるタイムスタンプ情報をタイムスタンプサーバから取得する(S209)。そして、タイムスタンプ情報の取得に成功したら、文書廃棄装置2が保持する当該文書廃棄装置2についてのデジタル証明書、処理開始時のユーザ認証によって得られたユーザの認証情報、および、文書廃棄終了時のタイムスタンプ情報を基にして、印刷出力した文書が確かに廃棄されていることを特定する情報である文書廃棄証明情報を生成するとともに(S210)、これを文書生成装置1の側へ送信して、その文書生成装置1の廃棄証明情報管理テーブルによる文書廃棄証明情報の保持管理を行わせる(S211)。
【0033】
このようにして、文書廃棄証明情報の保持管理を行えば、文書廃棄装置2が廃棄した文書について、「誰が」「いつ」「どこで」廃棄したものであるかを特定し得るようになる。しかも、その文書廃棄証明情報は、文書廃棄装置2によるユーザの認証情報、文書廃棄装置2が保持するデジタル証明書に関する情報および文書廃棄装置2が取得したタイムスタンプ情報を基にして生成されたもの、さらに具体的にはユーザ自身のデジタル証明書によって証明されるユーザID、文書廃棄装置2のデジタル証明書によって証明されるマシンID、タイムスタンプサーバによって証明されるタイムスタンプ情報等のデジタル証明情報を含むものなので、非常に信頼性の高いものとなる。なお、文書廃棄証明情報は、ユーザのデジタル証明書や文書廃棄装置2のデジタル証明書等の秘密鍵で署名したり、公開鍵で暗号化することで、改竄や情報漏洩等を防止することも可能である。
【0034】
また、文書廃棄証明情報の保持管理を、文書存在証明情報の保持管理と同様に、文書生成装置1の側にて行うことで、同一の文書IDによって特定される同一文書について、互いに関連付けて保持管理することが可能となるので、当該文書の生成から廃棄までの文書ライフサイクルの厳密な管理を行い得るとともに、それぞれがデジタル証明情報を含むことで、その証明の機密性および完全性が保証されることにもなる。
【0035】
なお、ここでは、図1(a)に示すように、文書生成装置1の側に文書廃棄証明装置10が配設されている場合、すなわち文書生成装置1の側に生成証明情報管理テーブルおよび廃棄証明情報管理テーブルが存在し、文書存在証明情報および文書廃棄証明情報の保持管理をその文書生成装置1の側で行う場合を例に挙げて説明したが、図1(b)に示すように、文書生成装置1の側と文書廃棄装置2の側とに文書廃棄証明装置10が分散して配設されたり、文書廃棄装置2の側に文書廃棄証明装置10が配設されたりして、それぞれの側で文書存在証明情報および文書廃棄証明情報の保持管理を行うようにしても構わない。その場合には、文書生成装置1が文書存在証明情報を文書廃棄装置2へ送信したり、その文書廃棄装置2の側で文書存在証明情報を文書廃棄証明情報と併せて保持管理したりすることになる。
【0036】
また、上述した構成の文書廃棄証明システムでは、文書廃棄証明装置10が文書生成装置1と文書廃棄装置2とのいずれの側に配設されている場合であっても、保持管理している文書廃棄証明情報を利用して、文書を廃棄したことを証明する廃棄証明書を出力することが考えられる。その場合は、文書廃棄証明情報を保持管理している側でのユーザ操作に応じて所望文書IDに対応する廃棄証明書を出力するようにしてもよいし、文書廃棄証明情報を保持管理していない側でのユーザ操作に応じて情報管理側への問い合わせを行い、その問い合わせの結果を基にして所望文書IDに対応する廃棄証明書を出力するようにしてもよい。つまり、廃棄証明書の出力は、システム構成に合わせて柔軟に適用することが考えられる。
【0037】
次に、文書廃棄証明システムの他の構成例を説明する。図6は、文書廃棄証明システムの他の構成例を示す説明図である。図例の文書廃棄証明システムは、文書生成装置1、文書廃棄装置2に加えて、これらに接続するサーバ装置4を備えている点で、上述した構成の文書廃棄証明システムとは異なる。なお、サーバ装置4は、通信回線3を介して、文書生成装置1および文書廃棄装置2と接続している。そして、文書生成装置1および文書廃棄装置2との間の通信は、SSLで暗号化されるものとする。
【0038】
サーバ装置4は、CPU、RAM、ROM等の組み合わせからなるコンピュータとしての機能を備えたもの、すなわち情報処理や情報記憶等を行うコンピュータ装置からなるもので、主にシステム内における文書管理を行うために配設されたものである。したがって、サーバ装置4が存在する場合には、そのサーバ装置4が文書廃棄証明装置10として機能するようになっている。ただし、サーバ装置4が存在する場合であっても、文書廃棄証明装置10が、文書生成装置1若しくは文書廃棄装置2のいずれかに搭載され、または文書生成装置1、文書廃棄装置2、サーバ装置4のそれぞれに分散して配されていても構わない。
【0039】
図7は、本発明に係る文書廃棄証明装置10における処理動作例で、当該文書廃棄証明装置10がサーバ装置4に配設されている場合の当該サーバ装置4での処理動作を示すフローチャートである。図例のように、サーバ装置4では、通信回線3を通じて当該サーバ装置4宛に送信されてくるコマンドの有無を常時監視している(S301)。そして、コマンドを受信すると、先ず、そのコマンドの種類を認識する(S302)。種類認識は、コマンドに含まれる属性情報に基づいて行うことが考えられる。
【0040】
受信したコマンドが、文書生成装置1から送信されたもので、当該文書生成装置1が生成した文書存在証明情報のテーブル格納を要求するコマンドであれば、サーバ装置4は、そのコマンドに続けて当該文書存在証明情報を受信して、その受信した文書存在証明情報の記憶保持を行う(S303)。すなわち、受信した文書存在証明情報を、当該文書存在証明情報に係る文書IDに対応付けて、生成証明情報管理テーブル(図3(b)参照)内に格納登録する。さらに、サーバ装置4は、文書ステータス管理テーブル(図3(a)参照)に関し、当該文書IDについての文書ステータスを「コピー」または「プリント」に設定する(S304)。また、文書存在証明情報と併せて、文書の廃棄条件についての情報が送信された場合には、その情報の廃棄条件管理テーブル(図3(d)参照)内への格納登録も行う。これらの処理により、サーバ装置4では、文書生成装置1が生成した文書について、「誰が」「いつ」「どこで」生成したものであるかを特定し得るとともに、その文書が生成済みで、かつ、未廃棄の状態であることを特定し得るようになる。
【0041】
また、受信したコマンドが、文書廃棄装置2から送信されたもので、当該文書廃棄装置2が廃棄対象とする文書についての廃棄条件を要求するコマンド、すなわち当該文書廃棄装置2からの文書廃棄可否の問い合わせに相当するものであれば、サーバ装置4は、そのコマンドによって特定される文書ID(廃棄対象文書の文書ID)を認識して(S305)、当該文書IDに係る廃棄条件についての情報を廃棄条件管理テーブル内から読み出して取得し(S306)、その取得結果を文書廃棄可否の問い合わせに対する回答として文書廃棄装置2へ返信する(S307)。
【0042】
また、受信したコマンドが、文書廃棄装置2から送信されたもので、当該文書廃棄装置2が生成した文書廃棄証明情報のテーブル格納を要求するコマンドであれば、サーバ装置4は、そのコマンドに続けて当該文書廃棄証明情報を受信して、その受信した文書廃棄証明情報の記憶保持を行う(S308)。すなわち、受信した文書廃棄証明情報を、当該文書廃棄証明情報に係る文書IDに対応付けて、廃棄証明情報管理テーブル(図3(c)参照)内に格納登録する。さらに、サーバ装置4は、文書ステータス管理テーブル(図3(a)参照)に関し、当該文書IDについての文書ステータスを「廃棄済」に設定する(S309)。これらの処理により、サーバ装置4では、文書廃棄装置2が廃棄した文書について、「誰が」「いつ」「どこで」廃棄したものであるかを特定し得るとともに、その文書が廃棄済の状態であることを特定し得るようになる。
【0043】
以上のように、サーバ装置4を備えた構成の文書廃棄証明システムにおいても、当該サーバ装置4が文書廃棄証明情報および文書存在証明情報の保持管理を、同一の文書IDによって特定される同一文書について、互いに関連付けて行うことが可能となるので、当該文書の生成から廃棄までの文書ライフサイクルの厳密な管理を行い得るとともに、それぞれがデジタル証明情報を含むことで、その証明の機密性および完全性が保証されることにもなる。
【0044】
つまり、本実施形態で例に挙げて説明した文書廃棄証明システムでは、いずれの構成例においても、文書の生成および廃棄の証明に、デジタル証明書(デバイス証明書)や通信経路暗号化等といったPKI(Public Key Infrastructure)技術を適用し、その存在証明および廃棄証明の機密性、完全性を保証するようになっている。したがって、例えば管理下に複数の装置が存在する場合であっても文書の生成および廃棄を実行した装置を特定することができ、しかもその特定結果が改竄されたものであるか否かを検証することができるので、文書の生成や廃棄等に関する情報について高度なセキュリティを確保して、文書の存在および廃棄についての証明の機密性および完全性を保証することができ、結果として生成から廃棄までの文書ライフサイクルの厳密な管理が実現可能となるのである。
【0045】
なお、本実施形態では、本発明の好適な実施具体例について説明したが、本発明はその内容に限定されるものではなく、その要旨を逸脱しない範囲で適宜変更することが可能である。
例えば、本実施形態では、文書生成装置1として複写機、プリンタ装置、複合機等の装置を用いた例を示したが、ドキュワークス(登録商標)文書やPDF(Portable Document Format)文書等といった既存の電子文書からポータブルドキュメントを生成するソフトウエアを用いることも考えられる。
また、本実施形態で説明した文書廃棄証明システムの構成に加えて、各装置に保持させるデジタル証明書を発行する発行局(CA)を構成要素として組み合わせてもよい。
さらに、廃棄条件等の廃棄ポリシーを管理するための機能(例えば、廃棄条件管理テーブル)は、文書廃棄証明装置10が管理するのではなく、通信回線3上に存在する外部のポリシーサーバ装置(例えば、Adobe LiveCycle Policy Server)で管理しても構わない。
さらにまた、文書存在証明情報および文書廃棄証明情報の管理については、いわゆるイントラネットのような同一企業内でのネットワーク内で行うのではなく、例えば企業間で文書を交換する場合を考慮して、証明情報管理装置をIDC(データセンタ)で提供するASP(Application Service Provider)サービスとしてもよい。
【図面の簡単な説明】
【0046】
【図1】文書廃棄証明システムの一構成例を示す説明図である。
【図2】本発明に係る文書廃棄証明装置の機能構成例を示すブロック図である。
【図3】情報管理テーブルの具体例を示す説明図である。
【図4】本発明に係る文書廃棄証明装置における処理動作例で、文書生成の際の処理動作例を示すフローチャートである。
【図5】本発明に係る文書廃棄証明装置における処理動作例で、文書廃棄の際の処理動作例を示すフローチャートである。
【図6】文書廃棄証明システムの他の構成例を示す説明図である。
【図7】本発明に係る文書廃棄証明装置における処理動作例で、当該文書廃棄証明装置がサーバ装置に配設されている場合の当該サーバ装置での処理動作を示すフローチャートである。
【符号の説明】
【0047】
1…文書生成装置、2…文書廃棄装置、3…通信回線、4…サーバ装置、10…文書廃棄照明装置、11…生成情報取得手段、12…廃棄情報取得手段、13…情報管理手段
【特許請求の範囲】
【請求項1】
文書を生成する文書生成装置、前記文書を廃棄する文書廃棄装置またはこれらに接続するサーバ装置のいずれかに搭載されて用いられる文書廃棄証明装置であって、
前記文書生成装置での文書生成に関する情報を文書存在証明情報として取得する生成情報取得手段と、
前記文書廃棄装置での文書廃棄に関する情報を文書廃棄証明情報として取得する廃棄情報取得手段と、
前記文書存在証明情報および文書廃棄証明情報を同一文書について互いに関連付けて保持管理する情報管理手段とを備えるとともに、
前記文書存在証明情報および文書廃棄証明情報は、いずれも、デジタル証明情報を含んでいる
ことを特徴とする文書廃棄証明装置。
【請求項2】
前記デジタル証明情報は、前記文書生成装置が当該文書生成装置であることを証明するために保持しているデジタル証明書に関する情報、または、前記文書廃棄装置が当該文書廃棄装置であることを証明するために保持しているデジタル証明書に関する情報であることを特徴とする請求項1記載の文書廃棄証明装置。
【請求項3】
前記デジタル証明情報は、前記文書生成装置のユーザが本人であることを証明するための認証情報、または、前記文書廃棄装置のユーザが本人であることを証明するための認証情報であることを特徴とする請求項1または2記載の文書廃棄証明装置。
【請求項4】
前記デジタル証明情報は、前記文書生成装置での文書生成時を証明するためのタイムスタンプ情報、または、前記文書廃棄装置での文書廃棄時を証明するためのタイムスタンプ情報であることを特徴とする請求項1、2または3記載の文書廃棄証明装置。
【請求項5】
文書を生成する文書生成装置におけるコンピュータとしての機能、前記文書を廃棄する文書廃棄装置におけるコンピュータとしての機能、または、これらに接続するサーバ装置におけるコンピュータとしての機能のいずれかを、
前記文書生成装置での文書生成に関する情報を文書存在証明情報として取得する生成情報取得手段と、
前記文書廃棄装置での文書廃棄に関する情報を文書廃棄証明情報として取得する廃棄情報取得手段と、
前記文書存在証明情報および文書廃棄証明情報を同一文書について互いに関連付けて保持管理する情報管理手段として機能させるとともに、
前記文書存在証明情報および文書廃棄証明情報は、いずれも、デジタル証明情報を含んでいる
ことを特徴とする文書廃棄証明プログラム。
【請求項1】
文書を生成する文書生成装置、前記文書を廃棄する文書廃棄装置またはこれらに接続するサーバ装置のいずれかに搭載されて用いられる文書廃棄証明装置であって、
前記文書生成装置での文書生成に関する情報を文書存在証明情報として取得する生成情報取得手段と、
前記文書廃棄装置での文書廃棄に関する情報を文書廃棄証明情報として取得する廃棄情報取得手段と、
前記文書存在証明情報および文書廃棄証明情報を同一文書について互いに関連付けて保持管理する情報管理手段とを備えるとともに、
前記文書存在証明情報および文書廃棄証明情報は、いずれも、デジタル証明情報を含んでいる
ことを特徴とする文書廃棄証明装置。
【請求項2】
前記デジタル証明情報は、前記文書生成装置が当該文書生成装置であることを証明するために保持しているデジタル証明書に関する情報、または、前記文書廃棄装置が当該文書廃棄装置であることを証明するために保持しているデジタル証明書に関する情報であることを特徴とする請求項1記載の文書廃棄証明装置。
【請求項3】
前記デジタル証明情報は、前記文書生成装置のユーザが本人であることを証明するための認証情報、または、前記文書廃棄装置のユーザが本人であることを証明するための認証情報であることを特徴とする請求項1または2記載の文書廃棄証明装置。
【請求項4】
前記デジタル証明情報は、前記文書生成装置での文書生成時を証明するためのタイムスタンプ情報、または、前記文書廃棄装置での文書廃棄時を証明するためのタイムスタンプ情報であることを特徴とする請求項1、2または3記載の文書廃棄証明装置。
【請求項5】
文書を生成する文書生成装置におけるコンピュータとしての機能、前記文書を廃棄する文書廃棄装置におけるコンピュータとしての機能、または、これらに接続するサーバ装置におけるコンピュータとしての機能のいずれかを、
前記文書生成装置での文書生成に関する情報を文書存在証明情報として取得する生成情報取得手段と、
前記文書廃棄装置での文書廃棄に関する情報を文書廃棄証明情報として取得する廃棄情報取得手段と、
前記文書存在証明情報および文書廃棄証明情報を同一文書について互いに関連付けて保持管理する情報管理手段として機能させるとともに、
前記文書存在証明情報および文書廃棄証明情報は、いずれも、デジタル証明情報を含んでいる
ことを特徴とする文書廃棄証明プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2008−118493(P2008−118493A)
【公開日】平成20年5月22日(2008.5.22)
【国際特許分類】
【出願番号】特願2006−301150(P2006−301150)
【出願日】平成18年11月7日(2006.11.7)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成20年5月22日(2008.5.22)
【国際特許分類】
【出願日】平成18年11月7日(2006.11.7)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]