画像形成システム
【課題】 部外者でも情報漏えいの発信元の組織を特定し、発信元の組織の管理者に当該追跡情報を通知することによって、組織の管理者は保持している秘密鍵を用いて暗号化された個人情報を取得して漏えい元のユーザを特定可能とし、個人情報を部外に漏らすことなく追跡を実施することを可能とする。
【解決手段】 組織のポリシーに応じて、追跡情報のうち、所望の組織情報ないし個人情報に関わる部分のみを暗号化し、それ以外の情報を平文で電子透かしを生成、合成する。
【解決手段】 組織のポリシーに応じて、追跡情報のうち、所望の組織情報ないし個人情報に関わる部分のみを暗号化し、それ以外の情報を平文で電子透かしを生成、合成する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は電子写真方式に代表される印字方式を利用した印刷装置やデジタル複合機のような画像形成システムに関わるものである。
【背景技術】
【0002】
昨今、セキュリティに対する世の中の認識が高まり、例えば企業における顧客情報流出に代表される情報漏えいの問題が社会問題として認知されつつある。また、2005年から個人情報保護法が施行され、法的な面からも情報漏えいの対策が行なわれつつある。
【0003】
上記の社会情勢に鑑みて、従来、OA(オフィス・オートメーション)環境においても情報漏えい対策に配慮された製品が多数実現化されている。より一般的な製品として、社内外の電子メールなどのデジタルデータのやり取りを監視し、NGキーワードの検索や不正なあて先への送信を経路上探査する製品が存在する。いわゆるIT(Information Technology)環境においては、デジタルデータは全てネットワークを介して行なわれるため、その電気的な情報のやりとりは上記の製品において監視可能である。
【0004】
一方、レーザービームプリンタに代表されるような印刷装置や、デジタル複合機に関しては、情報の出力先として用紙媒体が使用されている。用紙に印刷された情報はネットワークを介して行なわれないため、IT環境における対策とは異なったアプローチによる情報漏えい対策が必要である。
【0005】
従来例として、上記の印刷装置やデジタル複合機において、印刷を実行する際に、内部的に生成される画像データをネットワークを介してサーバに格納する方法が実現されている。この時、画像データは出力したユーザや出力日時などの付加情報とともに記憶されるため、情報漏えい発覚時に、当該使用者を特定可能となる。この場合、用紙媒体に印刷されるすべてのデータは一旦デジタルデータに変換されるため、上記に上げたIT環境における情報漏えい対策に配慮された製品を用いて監視可能となる。
【0006】
しかし、上記印刷装置やデジタル複合機で印刷される情報は用紙媒体のドットレベルの情報(200dpi〜600dpi:dpiはdot per inchを示す)であるため非常に大きなデータとなり、そのまま格納する場合、ネットワークの流量やディスク容量に負担がかかってしまうという問題が発生し、非常に高度なセキュリティを求める顧客のみでしか活用することが困難であった。
【0007】
そこで、サーバ上に画像データを記憶するのではなく、用紙媒体そのものに出力したユーザや出力日時などの付加情報を直接書き込む方式が提案されている。付加情報の書き込み方として、可視方式と不可視方式があり、可視方式はQRコードに代表される2次元バーコードなどのユーザが視認できるパターンを埋め込む方式であり、不可視方式は電子透かし、ウォーターマーク、ステガノグラフィーなどと呼ばれる、人間に目につきにくい方法で記録される方式である。一般的に可視方式は画像の一部に対してパターンが埋め込まれるため、画像全体に対する影響は軽微であるが、可視のパターンが用紙の一部に記載されていることから、パターンを意図的に削除することによって情報を消失なさしめる攻撃がしやすいという特徴がある。一方、不可視方式は逆に用紙媒体の全体に記録されるため、画像全体に対する影響が比較的大きいが、意図的にパターンの一部を削除しても情報が消去しにくいという特徴がある。
【0008】
可視方式、不可視方式いずれの場合でも、ここで記録される情報は当該文書を印刷した組織や個人を特定する情報であり、例えば下記の情報が該当する。
【0009】
機体番号:
工場出荷時において印刷装置につけられた固有の番号。この情報は機器を製造するメーカーにおいて、どの顧客に納入されたかの情報を特定することが理論上可能である。
【0010】
会社名/組織名:
印刷装置を設置した、会社や官庁などの組織を特定する情報であり、これは印刷装置の管理者が自組織を識別する情報として設定する。例えば「○×商事」のような可視の文字列が記録される。
【0011】
連絡先:
これも組織名と同様、組織を特定する情報であり、印刷装置の管理者が自組織を識別する情報として設定する。電子メールのアドレスや電話番号などの文字列が記録される。
【0012】
部署名:
これは組織の中の部署名を特定する情報であり、印刷装置の管理者が自部署を識別する情報として設定する。「総務部総務課」「人事部」のような組織名が記録される。部署名は社外情報として扱われることもある。
【0013】
ユーザ名:
これは実際に印刷を行ったユーザの名前そのものを示す。それはシステムのアカウント名や、実名を使うものであるが、個人情報として位置づけられるものである。
【0014】
これらの情報を可視方式、不可視方式で埋め込んで印刷を行った用紙媒体は、実際に情報流出が発覚した際に、当該用紙媒体が入手できれば、解析ツールを利用して解析することにより、上記情報を集積することが可能となり、実際にどの会社のどの部署、どのユーザが特定可能となるため、情報漏えいを行った人物の手がかりが入手することが可能である。
【0015】
従来の発明としては、特許文献1において、不正コピーによる情報流出に対して追跡可能であるとともに、個人情報の記載に対してセキュリティを確保することの重要性が述べられている。
【特許文献1】特開2004-017538号公報
【発明の開示】
【発明が解決しようとする課題】
【0016】
従来の問題点として、
本来、情報漏えいを防止するための可視方式、不可視方式で付加した追跡情報を組織情報ないし個人情報の収集に使用される可能性があるという点が上げられる。一方、2005年から個人情報保護法が施行されており、このような個人情報の管理を厳格に実施する必要があり、従来のように追跡精度を高めるために個人情報を用紙媒体に付加することができなくなってきている。
【0017】
このような個人情報を用紙媒体に埋め込みつつ、機密性を保持するために暗号を用いることが考えられる。すなわち追跡情報のデータをそのまま電子透かしに変換して埋め込むのではなく、暗号化を施し、その結果を電子透かしに埋め込む方式である。この場合暗号化を施す暗号鍵は印刷を行う組織の管理者が保持する鍵を用いることが考えられる。しかし、部外者には暗号鍵を入手することができないため、実際に情報漏えいが発生した場合、電子透かしを解読しても追跡情報は暗号化されており、情報漏えいが発生した組織も特定できず、追跡情報の復号ができないため、結果として追跡ができない可能性がある。
【課題を解決するための手段】
【0018】
上記課題を解決するために、本発明による画像形成システムは、
ユーザを認証するユーザ認証手段と、
追跡情報を格納する追跡情報格納手段と、
追跡情報の一部を暗号化する追跡情報暗号化手段と、
暗号化する追跡情報を選択する追跡情報暗号化選択手段と、
追跡情報から電子透かしパターンを生成する電子透かし生成部と、
電子透かしパターンと画像データを合成する画像データ合成部と、
を有することを特徴とする。
【発明の効果】
【0019】
本発明の画像形成システムにより、
組織のポリシーに応じて、
追跡情報のうち、所望の組織情報ないし個人情報に関わる部分のみを暗号化し、
それ以外の情報を平文で電子透かしを生成、合成することにより、
部外者でも情報漏えいの発信元の組織を特定し、
発信元の組織の管理者に当該追跡情報を通知することによって、
組織の管理者は保持している秘密鍵を用いて暗号化された個人情報を取得して漏えい元のユーザが特定可能となり、
個人情報を部外に漏らすことなく追跡を実施することが可能となる。
【発明を実施するための最良の形態】
【0020】
次に、本発明の詳細を実施例の記述に従って説明する。
【実施例1】
【0021】
図1は本発明第1実施例の構成を示すブロック図である。
【0022】
図1において、
110は印刷装置、102は印刷ジョブを生成するホストコンピュータである。
【0023】
印刷装置110はさらに、
ホストコンピュータ102から印刷ジョブを受信するインターフェイス111、
印刷ジョブを受信して後段に渡すジョブ受信部112、受信した印刷ジョブを解析して、PDL(Page Description Language=ページ記述言語)データと属性部に抽出して後段に渡すジョブ解析部113、
PDLデータを解析が完了するまで一時的に格納しておく、ハードディスクドライブなどの2次記憶装置から構成されるスプーラ114、印刷ジョブの「ジョブ名」「送信時間」「ジョブオーナ」「画質レベル」などの属性情報を印刷ジョブの出力が完了するまで一時的に格納する属性格納部115、スプーラ114からPDLデータ、属性格納部115から属性情報を取得して解析し、印刷に必要な画像データを生成する画像生成部116、画像生成部116から生成された画像データを印刷が完了するまで一時的に格納する2次記憶装置からなる画像格納部117、予め登録された組織の情報を格納する組織情報格納部122、組織情報格納部122の設定を変更するユーザインターフェイス部123、属性情報から電子透かしを生成する電子透かし生成部121、画像格納部117から取得した画像データと電子透かし生成部121で生成された電子透かしを合成して埋め込み画像データを生成する電子透かし合成部118、前段で生成された画像データを電子写真技術やインクジェット技術などの既知の印刷技術を用いて用紙媒体に印刷を行う印刷部119
から構成される。
【0024】
印刷装置110とホストコンピュータ102はトークンリング、IEEE802.11等の無線LANなどの規定の通信媒体を介して接続される。
【0025】
印刷部119は印刷技術の他に給紙、用紙搬送、排紙などの技術も含まれるが、従来技術から変更点がないので、説明を省略する。
【0026】
次に組織情報格納部122の役割を説明する。
【0027】
図3はユーザインターフェイス部123により設定を行う電子透かしの設定を行うGUI(グラフィックユーザインターフェイス)図である。
【0028】
本設定は印刷装置110が保持する操作パネルでもいいし、あるいは印刷装置110がWebサーバとなり、Webコンテンツとして提供された情報を、ネットワークを介してホストコンピュータ102が受信し、Webブラウザで表示した結果でもかまわない。
【0029】
図3において、301は画面全体を示し、
302は印刷装置110が固有に保持する機体番号に関する設定項目であることを示し、308は機体番号の記録方式をプルダウンメニューで選択できることを示している。
【0030】
303は管理者が設定できる会社名(あるいは組織名)に関する設定項目であることを示し、309は会社名の記録方式をプルダウンメニューで選択できることを示しており、314は実際に会社名の文字列を入力するテキスト・ボックスを示す。図3では例として「○×商事」という文字が入力されている。
【0031】
304は管理者が設定できる連絡先に関する設定項目であることを示し、310は連絡先の記録方式をプルダウンメニューで選択できることを示しており、315は実際に連絡先の文字列を入力するテキスト・ボックスを示す。図3では例として「03-XXX-YYYY」という電話番号が入力されている。
【0032】
305は印刷日時に関する設定項目であることを示す。ここで印刷日時は印刷装置110が保持している不図示のタイマーにより記録されている時刻から導き出され、311は印刷日時記録方式をプルダウンメニューで選択できることを示している。
【0033】
306は管理者が設定できる部署名に関する設定項目であることを示し、312は部署名の記録方式をプルダウンメニューで選択できることを示しており、316は実際に連絡先の文字列を入力するテキスト・ボックスを示す。図3では例として「総務部総務課」という部署名が入力されている。
【0034】
307は印刷者名に関する設定項目であることを示す。ここで印刷者名とはホストコンピュータ102にログインする際につけられたユーザ・アカウント情報か、あるいは印刷装置110の使用にあたってユーザインターフェイス部123を使ってログインが行われた際のユーザ・アカウント情報を示す。313は印刷者名の記録方式をプルダウンメニューで選択できることを示しており、図3ではちょうどメニューの選択中であることを示す。
【0035】
上記の記録方式とは、313で図示しているように「記録しない」「記録する」「暗号化して記録する」のいずれかが選択可能である。「記録しない」は電子透かしの情報として当該項目(欄の左側の302〜307の項目)を記録しないことを示す。本設定は管理者が決定した運用ポリシーにより決定し、例えば部署名306を記録しない、などの設定を行うことにより、部署名が外部に漏えいする可能性を未然に防ぐことが可能である。
【0036】
あるいは「記録する」に設定することにより、当該情報を電子透かし情報として載せることが可能である。この場合、情報はなんら暗号化されていないため、第3者が印刷用紙による情報漏えいを発見した際に、「記録する」に設定された情報を取得可能となり、本原稿に関する組織情報や個人情報が取得可能である。
【0037】
さらに「暗号化して記録する」に設定することにより、当該情報を暗号化してから電子透かし情報として載せることが可能である。この場合、情報は暗号化されているために、第3者が印刷用紙による情報漏えいを発見した際にも「暗号化して記録する」に設定された情報は取得できないため、個人情報の保護が可能である。これらの設定値はすべて組織情報格納部122によって記録される。
【0038】
暗号化に使用する暗号鍵は管理者により設定される。
【0039】
図9は暗号鍵を生成するためのパスワードを入力するGUI画面である。
【0040】
図9は図3の暗号化のパスワード設定ボタン317を押下することにより画面遷移する。図9において901は画面全体、902はパスワードの入力画面で、表示のフィードバックは*(アスタリスク)で隠蔽化される。903はパスワードの設定を確定するOKボタン、904は設定を取り消すキャンセルボタンを示す。
【0041】
ここで入力されたパスワードは組織情報格納部122に記録される。
【0042】
実際の暗号鍵は入力されたパスワードからPBE(パスワードベースの暗号化)方式によって暗号鍵が生成され、これが前記属性情報の隠蔽化に使用される。
【0043】
図4は組織情報格納部に情報が格納されていることを説明するための表である。
【0044】
図4において、各行はGUIで表示した情報のエントリを示す。1列目は項目名、2列目は記憶方式について列挙形で記されている。具体的には下記のように定義づける。
0:記録しない
1:記録する
2:暗号化して記録する
3列目はエントリについて文字列を登録可能な場合に文字列が記入される。上記設定値はデータベースであり、記録形式は固定長リストでもXML形式でも構わない。エントリがないものはシステムが自動的に設定されるものであり、管理者が設定することはできない。
【0045】
実際の運用例を説明する。例えば会社名303や連絡先304を「記録する」に設定し、部署名306や印刷者名307を「暗号化して記録する」に設定しておく。仮に第3者が印刷用紙による情報漏えいを発見した際に、その第3者は会社名303と連絡先304は暗号化されていないので、電子透かしを解析することにより、これらの情報の読み込みが可能であり、本原稿の出力元(組織)をある程度特定可能である。
【0046】
第3者が上記の情報から出力元を特定し、原稿が出力元の管理者に渡ると、管理者は暗号化のパスワードを入力することにより暗号鍵が取得可能となり、暗号化して記録された部署名306や印刷者名307を復号して取得することが可能である。この作業によって、第3者には個人情報や組織の情報を開示することなく、組織内ではユーザも特定できるので確実な追跡が可能となる。
【0047】
次に実際に電子透かしを用紙に埋め込む処理について説明する。
【0048】
図5は電子透かし暗号化部120の動作を説明するフローチャートである。電子透かし暗号化部120はジョブ受信部112がホストコンピュータ102からの印刷ジョブを受け取り、ジョブ解析部113が印刷ジョブの解析を行い、属性格納部115に当該印刷ジョブの属性情報が格納された段階で処理が呼ばれる。
【0049】
図5において、501において組織情報格納部122から図4に格納されるエントリ(各行が相当する)を取得する。例えば、「機体情報」「1」が相当する。
【0050】
502においてエントリがまだあるか確認する。エントリがない場合には507に進む。エントリがある場合には503においてエントリの2カラム目が「暗号化して記憶する」すなわち列挙型が2であるかどうかの検査が行われる。2である場合には、504において電子透かし暗号化部120が内部に保持する暗号文リストにエントリを追加する。
【0051】
2でない場合は505において、エントリの2カラム目が「記憶する」すなわち列挙型が1であるかどうかの検査が行われる。1である場合には、506において平文リストに追加される。上記の504ないし506でのエントリの追加が組織情報格納部122から取得された全てのエントリに対してなされる。
【0052】
502においてエントリがすべて読み込まれたと認識すると、508において暗号化リストを、暗号鍵を使って暗号化を行う。このとき、暗号鍵は組織情報格納部122に格納されたパスワードから生成される。さらに、暗号化結果を506で追加された平文リストにマージ(連結)し、510において電子透かし生成部121に送られる。
【0053】
次に電子透かし生成部121の動作を説明する。
【0054】
用紙媒体に電子透かしを埋め込む具体的技術については、従来多くの技術が提案されているが、本実施例ではLVBC(Low Visibility BarCode)方式について説明する。なお、LVBC方式は電子透かしを説明するための一例であり、電子透かしとして用紙に情報を埋め込む技術であればよく、本発明に必須技術ではない。
【0055】
LVBCは紙面にユーザが所望する画像イメージとは別に格子状の点列(グリッド)を配置し、グリッドの中心地から変移させた位置に、ドットを打ち込むことにより情報を埋め込むことで、解析が容易な情報埋め込み手段を提供するものである。グリッドの間隔をあけてドットを打ち込むことにより、比較的可視性が低く、インクやトナーなどの消耗品の消費量を防いで電子透かしを埋め込むことが可能である。
【0056】
図6はLVBC方式で用紙に電子透かしを埋め込んだ際の拡大した模式図である。601の濃度の薄いドットは基底ドットを示しており、すべてのドットが格子状に並んでいることがわかる。基底ドットの位置には実際にはドットは印字しない。602は電子透かしとして実際に情報を埋め込んでドットを打ち込む電子透かしドットである。電子透かしドットは基底ドットの位置から8方向(dx,dy)のいずれかにわずかに変移しており、その変移の方向により8=2^3すなわち3bitの情報を埋め込むことが可能である。
【0057】
図7は各ドットの打ち込み位置がどのように情報埋め込みに反映されるかを示す模式図である。各グリッド上のドットは打ち込む位置によって0〜7の値をとることが可能であり、これが3bitの情報となる。図7では12個の電子透かしドットを打ち込むことにより、3bitx12個=36bit=4.5byteの情報を埋め込むことが可能である。
【0058】
次にLVBC方式で埋め込まれたデータの認識に関して説明する。
【0059】
認識は2つのプロセスから構成される。第1にLVBCによる電子透かしが埋め込まれたイメージデータを光学スキャナなどの機器を介して入力すると、イメージデータの中からグリッドを検出する。打ち込まれた画像は基底ドットではなく、電子透かしドットであるが、電子透かしのドットの変移がdx,dyそれぞれの方向にどう変移するかはそれぞれの軸に対して確率的には50%であり、平均値を計算するとグリッドの位置が算出可能である。実際には用紙は回転やスキャン時やプリンタ時の斜行によりグリッドが用紙搬送方向に水平、垂直にはならないが、グリッドの検出に回転方向への予測をいれることにより補正することができる。グリッドが算出できると、そのグリッド上に打たれるべき基底ドットの位置が予測できる。
【0060】
第2に基底ドットの位置が検出できると、実際に電子透かしドットが打ち込まれた位置を計測することにより、変移が測定できる。この変移を先ほどの回転方向への補正をかけることにより、変移を0〜7の3bitデータへ変換することが可能である。
【0061】
実際にはプリンタエンジンの性能や、トナーの残量低下による濃度低下、耐久劣化などの要因により、基底ドットから電子透かしドットの変移の測定に誤差が生じる可能性がある。誤差による埋め込み情報の誤認識を避けるため、埋め込みを行う元データにエラー訂正コードの付与や、同一パターンの複数回書き込みによって電子透かしデータの復元率を向上させる。
【0062】
さらに、電子透かしドットの点が小さいと、コピー世代を重ねることにより、
孤立点が細ることによりドットが消失する可能性もある。そこで実際にはコピー耐性の要求に応じて、電子透かしドットの点を大きくすることが可能である。ただし、可視性を低くするためのドットが大きくなると可視となり、原稿全体の品位を低下させることになるため、大きさには一定の限界がある。
【0063】
一般的なオフィス原稿の場合、文字などの比較的濃度の低い原稿が多いが、イメージ画像が多く貼り付けられているDTP画像などの場合、原稿の濃度が大きいため、単純に電子透かしドットを打っただけではドットが他のイメージの画素と誤認識する可能性が高く、エラー訂正コードでは復元しきれない場合がある。そこで、電子透かしを埋め込みたい原稿の濃度を検知して、打ち込む電子透かしドットを変更する。その方法について以下に説明する。
【0064】
図8は実際に用紙に電子透かしが載せられた状態を示す模式図である。801は用紙全体を示す。1つの電子透かし情報は802で示すタイルで構成され、同じタイルを用紙の全面に繰り返し配置する。例えば用紙のある部分を切り取ったり、汚したとしても、どこかに完全なタイルがある限りは情報の読み取りが可能である。803は元の原稿に描画された画像パターンである。画像パターン803は非常に濃度が大きい画像であるので、電子透かしドットを打ち込んでも、画像パターンにまぎれて情報を取得することができない。このようなパターンが用紙の全面に描画されると電子透かしドットが消失し、埋め込まれた情報を取得できなくなる。そこで、804のように、濃度の濃い画像の場合は白ドットで電子透かしドットを打ち込む。これによって元画像の濃度に関わらず、電子透かしドットを打ち込むことが可能となり、電子透かし情報を埋め込むことが可能となる。
【0065】
図2は本実施例による印刷装置が実際に埋め込むべき情報が電子透かし情報に変換する過程を示した模式図である。図2において、201は平文リストに記載されたエントリである。202は暗号文リストに記載されたエントリである。これら電子透かし暗号化部により暗号化、マージされ、203となり、電子透かし生成部により電子透かしドットから構成されるタイル205に変換される。
【実施例2】
【0066】
実施例1では埋め込む情報を暗号化するものとしないものにわけて分類していた。一般的な企業などの組織は事業所、部、課などの階層構造をしており、課外秘や部外秘など、組織や個人情報の隠蔽も階層構造に実施できることが望ましい場合も考えられる。
【0067】
本実施例では実施例1を改良し、複数の階層構造における組織や個人情報隠蔽を実施する方法について述べる。
【0068】
図13は本実施例におけるユーザインターフェイス部123により設定を行う電子透かしの設定を行うGUI(グラフィックユーザインターフェイス)図である。図5と比較して追加されたのは、1320-1325に描画されている暗号化レベル設定である。1320-1322は暗号化しないので無効な設定として記録される。1323および1324はLevel1と設定している。これは社外秘扱いとするもので、Level1のパスワードは社内であれば解読可能であるようにパスワードが公開される、といった運用が可能である。例えば1306の部署名に関しては社外には秘密であるが、社内であれば「総務部総務課」という文字列が取得可能となる。1307はLevel2と設定している。これは部外秘扱いとするもので、部外であれば、たとえ社内であってもユーザ名は取得できない。
【0069】
なお、本実施例ではLevel1とLevel2のみ選択可能であるが、組織の階層構造に応じてレベルを追加してもかまわない。
【0070】
図10は本実施例における組織情報格納部に情報が格納されていることを説明するための表である。この表では実施例1の図4と比較して、3カラム目が追加されている。これは暗号化のレベルを示す。0は暗号化をしないことを示し、1、2はそれぞれLevel1,Level2を示している。本設定は図13で説明したGUIから設定されるものである。
【0071】
図11は本実施例における暗号鍵を生成するためのパスワードを入力するGUI画面である。本図面では図9と比較して、暗号鍵のレベルを設定するプルダウンメニュー1105が追加されている。図11ではLevel1が設定されており、1102で入力するパスワードから生成する鍵(暗号鍵A)はLevel1に対するパスワード設定であることを示す。同様にプルダウンメニュー1105を操作して、Level2に切り替え、1102でパスワードを入力することによってLevel2用の鍵(暗号鍵B)を生成することが可能である。
【0072】
図12は本実施例における電子透かし暗号化部120の動作を説明するフローチャートである。本フローチャートは図5と比べて、レベルの判定を行う1204と1206および、レベルに応じて暗号文リストに追加する1205と1207、レベルに応じて暗号鍵を切り替えて暗号化を行う1210と1211が追加されている。
【図面の簡単な説明】
【0073】
【図1】本発明第1実施例の構成を示すブロック図である。
【図2】本実施例による印刷装置が実際に埋め込むべき情報が電子透かし情報に変換する過程を示した模式図である。
【図3】ユーザインターフェイス部123により設定を行う電子透かしの設定を行うGUI(グラフィックユーザインターフェイス)図である。
【図4】組織情報格納部に情報が格納されていることを説明するための表である。
【図5】電子透かし暗号化部120の動作を説明するフローチャートである。
【図6】LVBC方式で用紙に電子透かしを埋め込んだ際の拡大した模式図である。
【図7】各ドットの打ち込み位置がどのように情報埋め込みに反映されるかを示す模式図である。
【図8】実際に用紙に電子透かしが載せられた状態を示す模式図である。
【図9】暗号鍵を生成するためのパスワードを入力するGUI画面である。
【図10】第2実施例における組織情報格納部に情報が格納されていることを説明するための表である。
【図11】第2実施例における暗号鍵を生成するためのパスワードを入力するGUI画面である。
【図12】第2実施例における電子透かし暗号化部120の動作を説明するフローチャートである。
【図13】第2実施例におけるユーザインターフェイス部123により設定を行う電子透かしの設定を行うGUI(グラフィックユーザインターフェイス)図である。
【符号の説明】
【0074】
102 ホストコンピュータ
110 印刷装置
111 インターフェイス
112 ジョブ受信部
113 ジョブ解析部
114 スプーラ
115 属性格納部
116 画像生成部
117 画像格納部
118 電子透かし合成部
119 印刷部
120 電子透かし暗号化部
121 電子透かし生成部
122 組織情報格納部
123 ユーザインターフェイス部
【技術分野】
【0001】
本発明は電子写真方式に代表される印字方式を利用した印刷装置やデジタル複合機のような画像形成システムに関わるものである。
【背景技術】
【0002】
昨今、セキュリティに対する世の中の認識が高まり、例えば企業における顧客情報流出に代表される情報漏えいの問題が社会問題として認知されつつある。また、2005年から個人情報保護法が施行され、法的な面からも情報漏えいの対策が行なわれつつある。
【0003】
上記の社会情勢に鑑みて、従来、OA(オフィス・オートメーション)環境においても情報漏えい対策に配慮された製品が多数実現化されている。より一般的な製品として、社内外の電子メールなどのデジタルデータのやり取りを監視し、NGキーワードの検索や不正なあて先への送信を経路上探査する製品が存在する。いわゆるIT(Information Technology)環境においては、デジタルデータは全てネットワークを介して行なわれるため、その電気的な情報のやりとりは上記の製品において監視可能である。
【0004】
一方、レーザービームプリンタに代表されるような印刷装置や、デジタル複合機に関しては、情報の出力先として用紙媒体が使用されている。用紙に印刷された情報はネットワークを介して行なわれないため、IT環境における対策とは異なったアプローチによる情報漏えい対策が必要である。
【0005】
従来例として、上記の印刷装置やデジタル複合機において、印刷を実行する際に、内部的に生成される画像データをネットワークを介してサーバに格納する方法が実現されている。この時、画像データは出力したユーザや出力日時などの付加情報とともに記憶されるため、情報漏えい発覚時に、当該使用者を特定可能となる。この場合、用紙媒体に印刷されるすべてのデータは一旦デジタルデータに変換されるため、上記に上げたIT環境における情報漏えい対策に配慮された製品を用いて監視可能となる。
【0006】
しかし、上記印刷装置やデジタル複合機で印刷される情報は用紙媒体のドットレベルの情報(200dpi〜600dpi:dpiはdot per inchを示す)であるため非常に大きなデータとなり、そのまま格納する場合、ネットワークの流量やディスク容量に負担がかかってしまうという問題が発生し、非常に高度なセキュリティを求める顧客のみでしか活用することが困難であった。
【0007】
そこで、サーバ上に画像データを記憶するのではなく、用紙媒体そのものに出力したユーザや出力日時などの付加情報を直接書き込む方式が提案されている。付加情報の書き込み方として、可視方式と不可視方式があり、可視方式はQRコードに代表される2次元バーコードなどのユーザが視認できるパターンを埋め込む方式であり、不可視方式は電子透かし、ウォーターマーク、ステガノグラフィーなどと呼ばれる、人間に目につきにくい方法で記録される方式である。一般的に可視方式は画像の一部に対してパターンが埋め込まれるため、画像全体に対する影響は軽微であるが、可視のパターンが用紙の一部に記載されていることから、パターンを意図的に削除することによって情報を消失なさしめる攻撃がしやすいという特徴がある。一方、不可視方式は逆に用紙媒体の全体に記録されるため、画像全体に対する影響が比較的大きいが、意図的にパターンの一部を削除しても情報が消去しにくいという特徴がある。
【0008】
可視方式、不可視方式いずれの場合でも、ここで記録される情報は当該文書を印刷した組織や個人を特定する情報であり、例えば下記の情報が該当する。
【0009】
機体番号:
工場出荷時において印刷装置につけられた固有の番号。この情報は機器を製造するメーカーにおいて、どの顧客に納入されたかの情報を特定することが理論上可能である。
【0010】
会社名/組織名:
印刷装置を設置した、会社や官庁などの組織を特定する情報であり、これは印刷装置の管理者が自組織を識別する情報として設定する。例えば「○×商事」のような可視の文字列が記録される。
【0011】
連絡先:
これも組織名と同様、組織を特定する情報であり、印刷装置の管理者が自組織を識別する情報として設定する。電子メールのアドレスや電話番号などの文字列が記録される。
【0012】
部署名:
これは組織の中の部署名を特定する情報であり、印刷装置の管理者が自部署を識別する情報として設定する。「総務部総務課」「人事部」のような組織名が記録される。部署名は社外情報として扱われることもある。
【0013】
ユーザ名:
これは実際に印刷を行ったユーザの名前そのものを示す。それはシステムのアカウント名や、実名を使うものであるが、個人情報として位置づけられるものである。
【0014】
これらの情報を可視方式、不可視方式で埋め込んで印刷を行った用紙媒体は、実際に情報流出が発覚した際に、当該用紙媒体が入手できれば、解析ツールを利用して解析することにより、上記情報を集積することが可能となり、実際にどの会社のどの部署、どのユーザが特定可能となるため、情報漏えいを行った人物の手がかりが入手することが可能である。
【0015】
従来の発明としては、特許文献1において、不正コピーによる情報流出に対して追跡可能であるとともに、個人情報の記載に対してセキュリティを確保することの重要性が述べられている。
【特許文献1】特開2004-017538号公報
【発明の開示】
【発明が解決しようとする課題】
【0016】
従来の問題点として、
本来、情報漏えいを防止するための可視方式、不可視方式で付加した追跡情報を組織情報ないし個人情報の収集に使用される可能性があるという点が上げられる。一方、2005年から個人情報保護法が施行されており、このような個人情報の管理を厳格に実施する必要があり、従来のように追跡精度を高めるために個人情報を用紙媒体に付加することができなくなってきている。
【0017】
このような個人情報を用紙媒体に埋め込みつつ、機密性を保持するために暗号を用いることが考えられる。すなわち追跡情報のデータをそのまま電子透かしに変換して埋め込むのではなく、暗号化を施し、その結果を電子透かしに埋め込む方式である。この場合暗号化を施す暗号鍵は印刷を行う組織の管理者が保持する鍵を用いることが考えられる。しかし、部外者には暗号鍵を入手することができないため、実際に情報漏えいが発生した場合、電子透かしを解読しても追跡情報は暗号化されており、情報漏えいが発生した組織も特定できず、追跡情報の復号ができないため、結果として追跡ができない可能性がある。
【課題を解決するための手段】
【0018】
上記課題を解決するために、本発明による画像形成システムは、
ユーザを認証するユーザ認証手段と、
追跡情報を格納する追跡情報格納手段と、
追跡情報の一部を暗号化する追跡情報暗号化手段と、
暗号化する追跡情報を選択する追跡情報暗号化選択手段と、
追跡情報から電子透かしパターンを生成する電子透かし生成部と、
電子透かしパターンと画像データを合成する画像データ合成部と、
を有することを特徴とする。
【発明の効果】
【0019】
本発明の画像形成システムにより、
組織のポリシーに応じて、
追跡情報のうち、所望の組織情報ないし個人情報に関わる部分のみを暗号化し、
それ以外の情報を平文で電子透かしを生成、合成することにより、
部外者でも情報漏えいの発信元の組織を特定し、
発信元の組織の管理者に当該追跡情報を通知することによって、
組織の管理者は保持している秘密鍵を用いて暗号化された個人情報を取得して漏えい元のユーザが特定可能となり、
個人情報を部外に漏らすことなく追跡を実施することが可能となる。
【発明を実施するための最良の形態】
【0020】
次に、本発明の詳細を実施例の記述に従って説明する。
【実施例1】
【0021】
図1は本発明第1実施例の構成を示すブロック図である。
【0022】
図1において、
110は印刷装置、102は印刷ジョブを生成するホストコンピュータである。
【0023】
印刷装置110はさらに、
ホストコンピュータ102から印刷ジョブを受信するインターフェイス111、
印刷ジョブを受信して後段に渡すジョブ受信部112、受信した印刷ジョブを解析して、PDL(Page Description Language=ページ記述言語)データと属性部に抽出して後段に渡すジョブ解析部113、
PDLデータを解析が完了するまで一時的に格納しておく、ハードディスクドライブなどの2次記憶装置から構成されるスプーラ114、印刷ジョブの「ジョブ名」「送信時間」「ジョブオーナ」「画質レベル」などの属性情報を印刷ジョブの出力が完了するまで一時的に格納する属性格納部115、スプーラ114からPDLデータ、属性格納部115から属性情報を取得して解析し、印刷に必要な画像データを生成する画像生成部116、画像生成部116から生成された画像データを印刷が完了するまで一時的に格納する2次記憶装置からなる画像格納部117、予め登録された組織の情報を格納する組織情報格納部122、組織情報格納部122の設定を変更するユーザインターフェイス部123、属性情報から電子透かしを生成する電子透かし生成部121、画像格納部117から取得した画像データと電子透かし生成部121で生成された電子透かしを合成して埋め込み画像データを生成する電子透かし合成部118、前段で生成された画像データを電子写真技術やインクジェット技術などの既知の印刷技術を用いて用紙媒体に印刷を行う印刷部119
から構成される。
【0024】
印刷装置110とホストコンピュータ102はトークンリング、IEEE802.11等の無線LANなどの規定の通信媒体を介して接続される。
【0025】
印刷部119は印刷技術の他に給紙、用紙搬送、排紙などの技術も含まれるが、従来技術から変更点がないので、説明を省略する。
【0026】
次に組織情報格納部122の役割を説明する。
【0027】
図3はユーザインターフェイス部123により設定を行う電子透かしの設定を行うGUI(グラフィックユーザインターフェイス)図である。
【0028】
本設定は印刷装置110が保持する操作パネルでもいいし、あるいは印刷装置110がWebサーバとなり、Webコンテンツとして提供された情報を、ネットワークを介してホストコンピュータ102が受信し、Webブラウザで表示した結果でもかまわない。
【0029】
図3において、301は画面全体を示し、
302は印刷装置110が固有に保持する機体番号に関する設定項目であることを示し、308は機体番号の記録方式をプルダウンメニューで選択できることを示している。
【0030】
303は管理者が設定できる会社名(あるいは組織名)に関する設定項目であることを示し、309は会社名の記録方式をプルダウンメニューで選択できることを示しており、314は実際に会社名の文字列を入力するテキスト・ボックスを示す。図3では例として「○×商事」という文字が入力されている。
【0031】
304は管理者が設定できる連絡先に関する設定項目であることを示し、310は連絡先の記録方式をプルダウンメニューで選択できることを示しており、315は実際に連絡先の文字列を入力するテキスト・ボックスを示す。図3では例として「03-XXX-YYYY」という電話番号が入力されている。
【0032】
305は印刷日時に関する設定項目であることを示す。ここで印刷日時は印刷装置110が保持している不図示のタイマーにより記録されている時刻から導き出され、311は印刷日時記録方式をプルダウンメニューで選択できることを示している。
【0033】
306は管理者が設定できる部署名に関する設定項目であることを示し、312は部署名の記録方式をプルダウンメニューで選択できることを示しており、316は実際に連絡先の文字列を入力するテキスト・ボックスを示す。図3では例として「総務部総務課」という部署名が入力されている。
【0034】
307は印刷者名に関する設定項目であることを示す。ここで印刷者名とはホストコンピュータ102にログインする際につけられたユーザ・アカウント情報か、あるいは印刷装置110の使用にあたってユーザインターフェイス部123を使ってログインが行われた際のユーザ・アカウント情報を示す。313は印刷者名の記録方式をプルダウンメニューで選択できることを示しており、図3ではちょうどメニューの選択中であることを示す。
【0035】
上記の記録方式とは、313で図示しているように「記録しない」「記録する」「暗号化して記録する」のいずれかが選択可能である。「記録しない」は電子透かしの情報として当該項目(欄の左側の302〜307の項目)を記録しないことを示す。本設定は管理者が決定した運用ポリシーにより決定し、例えば部署名306を記録しない、などの設定を行うことにより、部署名が外部に漏えいする可能性を未然に防ぐことが可能である。
【0036】
あるいは「記録する」に設定することにより、当該情報を電子透かし情報として載せることが可能である。この場合、情報はなんら暗号化されていないため、第3者が印刷用紙による情報漏えいを発見した際に、「記録する」に設定された情報を取得可能となり、本原稿に関する組織情報や個人情報が取得可能である。
【0037】
さらに「暗号化して記録する」に設定することにより、当該情報を暗号化してから電子透かし情報として載せることが可能である。この場合、情報は暗号化されているために、第3者が印刷用紙による情報漏えいを発見した際にも「暗号化して記録する」に設定された情報は取得できないため、個人情報の保護が可能である。これらの設定値はすべて組織情報格納部122によって記録される。
【0038】
暗号化に使用する暗号鍵は管理者により設定される。
【0039】
図9は暗号鍵を生成するためのパスワードを入力するGUI画面である。
【0040】
図9は図3の暗号化のパスワード設定ボタン317を押下することにより画面遷移する。図9において901は画面全体、902はパスワードの入力画面で、表示のフィードバックは*(アスタリスク)で隠蔽化される。903はパスワードの設定を確定するOKボタン、904は設定を取り消すキャンセルボタンを示す。
【0041】
ここで入力されたパスワードは組織情報格納部122に記録される。
【0042】
実際の暗号鍵は入力されたパスワードからPBE(パスワードベースの暗号化)方式によって暗号鍵が生成され、これが前記属性情報の隠蔽化に使用される。
【0043】
図4は組織情報格納部に情報が格納されていることを説明するための表である。
【0044】
図4において、各行はGUIで表示した情報のエントリを示す。1列目は項目名、2列目は記憶方式について列挙形で記されている。具体的には下記のように定義づける。
0:記録しない
1:記録する
2:暗号化して記録する
3列目はエントリについて文字列を登録可能な場合に文字列が記入される。上記設定値はデータベースであり、記録形式は固定長リストでもXML形式でも構わない。エントリがないものはシステムが自動的に設定されるものであり、管理者が設定することはできない。
【0045】
実際の運用例を説明する。例えば会社名303や連絡先304を「記録する」に設定し、部署名306や印刷者名307を「暗号化して記録する」に設定しておく。仮に第3者が印刷用紙による情報漏えいを発見した際に、その第3者は会社名303と連絡先304は暗号化されていないので、電子透かしを解析することにより、これらの情報の読み込みが可能であり、本原稿の出力元(組織)をある程度特定可能である。
【0046】
第3者が上記の情報から出力元を特定し、原稿が出力元の管理者に渡ると、管理者は暗号化のパスワードを入力することにより暗号鍵が取得可能となり、暗号化して記録された部署名306や印刷者名307を復号して取得することが可能である。この作業によって、第3者には個人情報や組織の情報を開示することなく、組織内ではユーザも特定できるので確実な追跡が可能となる。
【0047】
次に実際に電子透かしを用紙に埋め込む処理について説明する。
【0048】
図5は電子透かし暗号化部120の動作を説明するフローチャートである。電子透かし暗号化部120はジョブ受信部112がホストコンピュータ102からの印刷ジョブを受け取り、ジョブ解析部113が印刷ジョブの解析を行い、属性格納部115に当該印刷ジョブの属性情報が格納された段階で処理が呼ばれる。
【0049】
図5において、501において組織情報格納部122から図4に格納されるエントリ(各行が相当する)を取得する。例えば、「機体情報」「1」が相当する。
【0050】
502においてエントリがまだあるか確認する。エントリがない場合には507に進む。エントリがある場合には503においてエントリの2カラム目が「暗号化して記憶する」すなわち列挙型が2であるかどうかの検査が行われる。2である場合には、504において電子透かし暗号化部120が内部に保持する暗号文リストにエントリを追加する。
【0051】
2でない場合は505において、エントリの2カラム目が「記憶する」すなわち列挙型が1であるかどうかの検査が行われる。1である場合には、506において平文リストに追加される。上記の504ないし506でのエントリの追加が組織情報格納部122から取得された全てのエントリに対してなされる。
【0052】
502においてエントリがすべて読み込まれたと認識すると、508において暗号化リストを、暗号鍵を使って暗号化を行う。このとき、暗号鍵は組織情報格納部122に格納されたパスワードから生成される。さらに、暗号化結果を506で追加された平文リストにマージ(連結)し、510において電子透かし生成部121に送られる。
【0053】
次に電子透かし生成部121の動作を説明する。
【0054】
用紙媒体に電子透かしを埋め込む具体的技術については、従来多くの技術が提案されているが、本実施例ではLVBC(Low Visibility BarCode)方式について説明する。なお、LVBC方式は電子透かしを説明するための一例であり、電子透かしとして用紙に情報を埋め込む技術であればよく、本発明に必須技術ではない。
【0055】
LVBCは紙面にユーザが所望する画像イメージとは別に格子状の点列(グリッド)を配置し、グリッドの中心地から変移させた位置に、ドットを打ち込むことにより情報を埋め込むことで、解析が容易な情報埋め込み手段を提供するものである。グリッドの間隔をあけてドットを打ち込むことにより、比較的可視性が低く、インクやトナーなどの消耗品の消費量を防いで電子透かしを埋め込むことが可能である。
【0056】
図6はLVBC方式で用紙に電子透かしを埋め込んだ際の拡大した模式図である。601の濃度の薄いドットは基底ドットを示しており、すべてのドットが格子状に並んでいることがわかる。基底ドットの位置には実際にはドットは印字しない。602は電子透かしとして実際に情報を埋め込んでドットを打ち込む電子透かしドットである。電子透かしドットは基底ドットの位置から8方向(dx,dy)のいずれかにわずかに変移しており、その変移の方向により8=2^3すなわち3bitの情報を埋め込むことが可能である。
【0057】
図7は各ドットの打ち込み位置がどのように情報埋め込みに反映されるかを示す模式図である。各グリッド上のドットは打ち込む位置によって0〜7の値をとることが可能であり、これが3bitの情報となる。図7では12個の電子透かしドットを打ち込むことにより、3bitx12個=36bit=4.5byteの情報を埋め込むことが可能である。
【0058】
次にLVBC方式で埋め込まれたデータの認識に関して説明する。
【0059】
認識は2つのプロセスから構成される。第1にLVBCによる電子透かしが埋め込まれたイメージデータを光学スキャナなどの機器を介して入力すると、イメージデータの中からグリッドを検出する。打ち込まれた画像は基底ドットではなく、電子透かしドットであるが、電子透かしのドットの変移がdx,dyそれぞれの方向にどう変移するかはそれぞれの軸に対して確率的には50%であり、平均値を計算するとグリッドの位置が算出可能である。実際には用紙は回転やスキャン時やプリンタ時の斜行によりグリッドが用紙搬送方向に水平、垂直にはならないが、グリッドの検出に回転方向への予測をいれることにより補正することができる。グリッドが算出できると、そのグリッド上に打たれるべき基底ドットの位置が予測できる。
【0060】
第2に基底ドットの位置が検出できると、実際に電子透かしドットが打ち込まれた位置を計測することにより、変移が測定できる。この変移を先ほどの回転方向への補正をかけることにより、変移を0〜7の3bitデータへ変換することが可能である。
【0061】
実際にはプリンタエンジンの性能や、トナーの残量低下による濃度低下、耐久劣化などの要因により、基底ドットから電子透かしドットの変移の測定に誤差が生じる可能性がある。誤差による埋め込み情報の誤認識を避けるため、埋め込みを行う元データにエラー訂正コードの付与や、同一パターンの複数回書き込みによって電子透かしデータの復元率を向上させる。
【0062】
さらに、電子透かしドットの点が小さいと、コピー世代を重ねることにより、
孤立点が細ることによりドットが消失する可能性もある。そこで実際にはコピー耐性の要求に応じて、電子透かしドットの点を大きくすることが可能である。ただし、可視性を低くするためのドットが大きくなると可視となり、原稿全体の品位を低下させることになるため、大きさには一定の限界がある。
【0063】
一般的なオフィス原稿の場合、文字などの比較的濃度の低い原稿が多いが、イメージ画像が多く貼り付けられているDTP画像などの場合、原稿の濃度が大きいため、単純に電子透かしドットを打っただけではドットが他のイメージの画素と誤認識する可能性が高く、エラー訂正コードでは復元しきれない場合がある。そこで、電子透かしを埋め込みたい原稿の濃度を検知して、打ち込む電子透かしドットを変更する。その方法について以下に説明する。
【0064】
図8は実際に用紙に電子透かしが載せられた状態を示す模式図である。801は用紙全体を示す。1つの電子透かし情報は802で示すタイルで構成され、同じタイルを用紙の全面に繰り返し配置する。例えば用紙のある部分を切り取ったり、汚したとしても、どこかに完全なタイルがある限りは情報の読み取りが可能である。803は元の原稿に描画された画像パターンである。画像パターン803は非常に濃度が大きい画像であるので、電子透かしドットを打ち込んでも、画像パターンにまぎれて情報を取得することができない。このようなパターンが用紙の全面に描画されると電子透かしドットが消失し、埋め込まれた情報を取得できなくなる。そこで、804のように、濃度の濃い画像の場合は白ドットで電子透かしドットを打ち込む。これによって元画像の濃度に関わらず、電子透かしドットを打ち込むことが可能となり、電子透かし情報を埋め込むことが可能となる。
【0065】
図2は本実施例による印刷装置が実際に埋め込むべき情報が電子透かし情報に変換する過程を示した模式図である。図2において、201は平文リストに記載されたエントリである。202は暗号文リストに記載されたエントリである。これら電子透かし暗号化部により暗号化、マージされ、203となり、電子透かし生成部により電子透かしドットから構成されるタイル205に変換される。
【実施例2】
【0066】
実施例1では埋め込む情報を暗号化するものとしないものにわけて分類していた。一般的な企業などの組織は事業所、部、課などの階層構造をしており、課外秘や部外秘など、組織や個人情報の隠蔽も階層構造に実施できることが望ましい場合も考えられる。
【0067】
本実施例では実施例1を改良し、複数の階層構造における組織や個人情報隠蔽を実施する方法について述べる。
【0068】
図13は本実施例におけるユーザインターフェイス部123により設定を行う電子透かしの設定を行うGUI(グラフィックユーザインターフェイス)図である。図5と比較して追加されたのは、1320-1325に描画されている暗号化レベル設定である。1320-1322は暗号化しないので無効な設定として記録される。1323および1324はLevel1と設定している。これは社外秘扱いとするもので、Level1のパスワードは社内であれば解読可能であるようにパスワードが公開される、といった運用が可能である。例えば1306の部署名に関しては社外には秘密であるが、社内であれば「総務部総務課」という文字列が取得可能となる。1307はLevel2と設定している。これは部外秘扱いとするもので、部外であれば、たとえ社内であってもユーザ名は取得できない。
【0069】
なお、本実施例ではLevel1とLevel2のみ選択可能であるが、組織の階層構造に応じてレベルを追加してもかまわない。
【0070】
図10は本実施例における組織情報格納部に情報が格納されていることを説明するための表である。この表では実施例1の図4と比較して、3カラム目が追加されている。これは暗号化のレベルを示す。0は暗号化をしないことを示し、1、2はそれぞれLevel1,Level2を示している。本設定は図13で説明したGUIから設定されるものである。
【0071】
図11は本実施例における暗号鍵を生成するためのパスワードを入力するGUI画面である。本図面では図9と比較して、暗号鍵のレベルを設定するプルダウンメニュー1105が追加されている。図11ではLevel1が設定されており、1102で入力するパスワードから生成する鍵(暗号鍵A)はLevel1に対するパスワード設定であることを示す。同様にプルダウンメニュー1105を操作して、Level2に切り替え、1102でパスワードを入力することによってLevel2用の鍵(暗号鍵B)を生成することが可能である。
【0072】
図12は本実施例における電子透かし暗号化部120の動作を説明するフローチャートである。本フローチャートは図5と比べて、レベルの判定を行う1204と1206および、レベルに応じて暗号文リストに追加する1205と1207、レベルに応じて暗号鍵を切り替えて暗号化を行う1210と1211が追加されている。
【図面の簡単な説明】
【0073】
【図1】本発明第1実施例の構成を示すブロック図である。
【図2】本実施例による印刷装置が実際に埋め込むべき情報が電子透かし情報に変換する過程を示した模式図である。
【図3】ユーザインターフェイス部123により設定を行う電子透かしの設定を行うGUI(グラフィックユーザインターフェイス)図である。
【図4】組織情報格納部に情報が格納されていることを説明するための表である。
【図5】電子透かし暗号化部120の動作を説明するフローチャートである。
【図6】LVBC方式で用紙に電子透かしを埋め込んだ際の拡大した模式図である。
【図7】各ドットの打ち込み位置がどのように情報埋め込みに反映されるかを示す模式図である。
【図8】実際に用紙に電子透かしが載せられた状態を示す模式図である。
【図9】暗号鍵を生成するためのパスワードを入力するGUI画面である。
【図10】第2実施例における組織情報格納部に情報が格納されていることを説明するための表である。
【図11】第2実施例における暗号鍵を生成するためのパスワードを入力するGUI画面である。
【図12】第2実施例における電子透かし暗号化部120の動作を説明するフローチャートである。
【図13】第2実施例におけるユーザインターフェイス部123により設定を行う電子透かしの設定を行うGUI(グラフィックユーザインターフェイス)図である。
【符号の説明】
【0074】
102 ホストコンピュータ
110 印刷装置
111 インターフェイス
112 ジョブ受信部
113 ジョブ解析部
114 スプーラ
115 属性格納部
116 画像生成部
117 画像格納部
118 電子透かし合成部
119 印刷部
120 電子透かし暗号化部
121 電子透かし生成部
122 組織情報格納部
123 ユーザインターフェイス部
【特許請求の範囲】
【請求項1】
ホストコンピュータから印刷ジョブを送信し、印刷装置によって実際に用紙に印刷を行う印刷装置からなる画像形成システムであって、
ホストコンピュータにあって、
送信する印刷ジョブに個人を特定できる個人情報を付加する個人情報付加手段と、
印刷装置にあって、
組織を特定できる組織情報を格納する組織情報格納手段と、
前記組織情報格納手段に格納する組織情報を設定する組織情報入力手段と、
前記ホストコンピュータから送信された前記個人情報および組織情報を項目別にそれぞれ記録しない、記録する、暗号化して記録する3者のいずれかに設定する情報記録ポリシー設定手段と、
暗号化を行う暗号鍵を設定する暗号鍵設定手段と、
印刷ジョブを印刷する際に、前記組織情報格納手段から組織情報および印刷ジョブから個人情報を取得し、前記情報記録ポリシー設定手段の設定に従い、必要な情報のみ暗号化を加える暗号化手段と、
前記暗号化手段から出力された、平文および暗号文から構成された組織情報および個人情報の集合を、所定の電子透かし手段を用いてイメージパターンに変換する電子透かし生成手段と、
前記電子透かし生成手段によって作成されたイメージパターンを、印刷ジョブから生成された画像データに合成する、電子透かし合成手段と
を有する特徴とする画像形成システム。
【請求項2】
暗号化して記録する際の暗号化レベルを設定する情報記録ポリシー設定手段と、
暗号化を行う暗号鍵を暗号化レベルに応じて設定する暗号鍵設定手段と、
印刷ジョブを印刷する際に、記組織情報格納手段から組織情報および印刷ジョブから個人情報を取得し、前記情報記録ポリシー設定手段の設定に従い、必要な情報のみを暗号化レベルに応じて暗号化を加える暗号化手段と、
を有する特徴とする請求項1に記載の画像形成システム。
【請求項1】
ホストコンピュータから印刷ジョブを送信し、印刷装置によって実際に用紙に印刷を行う印刷装置からなる画像形成システムであって、
ホストコンピュータにあって、
送信する印刷ジョブに個人を特定できる個人情報を付加する個人情報付加手段と、
印刷装置にあって、
組織を特定できる組織情報を格納する組織情報格納手段と、
前記組織情報格納手段に格納する組織情報を設定する組織情報入力手段と、
前記ホストコンピュータから送信された前記個人情報および組織情報を項目別にそれぞれ記録しない、記録する、暗号化して記録する3者のいずれかに設定する情報記録ポリシー設定手段と、
暗号化を行う暗号鍵を設定する暗号鍵設定手段と、
印刷ジョブを印刷する際に、前記組織情報格納手段から組織情報および印刷ジョブから個人情報を取得し、前記情報記録ポリシー設定手段の設定に従い、必要な情報のみ暗号化を加える暗号化手段と、
前記暗号化手段から出力された、平文および暗号文から構成された組織情報および個人情報の集合を、所定の電子透かし手段を用いてイメージパターンに変換する電子透かし生成手段と、
前記電子透かし生成手段によって作成されたイメージパターンを、印刷ジョブから生成された画像データに合成する、電子透かし合成手段と
を有する特徴とする画像形成システム。
【請求項2】
暗号化して記録する際の暗号化レベルを設定する情報記録ポリシー設定手段と、
暗号化を行う暗号鍵を暗号化レベルに応じて設定する暗号鍵設定手段と、
印刷ジョブを印刷する際に、記組織情報格納手段から組織情報および印刷ジョブから個人情報を取得し、前記情報記録ポリシー設定手段の設定に従い、必要な情報のみを暗号化レベルに応じて暗号化を加える暗号化手段と、
を有する特徴とする請求項1に記載の画像形成システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2010−663(P2010−663A)
【公開日】平成22年1月7日(2010.1.7)
【国際特許分類】
【出願番号】特願2008−160721(P2008−160721)
【出願日】平成20年6月19日(2008.6.19)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.QRコード
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成22年1月7日(2010.1.7)
【国際特許分類】
【出願日】平成20年6月19日(2008.6.19)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.QRコード
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]