画像形成装置およびそれを備えてなる文書管理システム
【課題】生体情報を用いる認証と生体情報を用いない認証とを組み合わせて文書データの格納および/または印刷に係る管理とセキュリティー確保を実現する。
【解決手段】符号情報を用いてユーザーを認証する符号認証部と、ユーザーの身体的特徴を表す生体情報を用いて前記ユーザーをさらに認証する生体認証部と、ユーザーからの指示を受け付け、その指示に応じて機密にすべき文書データに係る表示を行う操作表示部と、前記文書データの内容を表示、印刷または外部機器へ送信するため画像処理を行う画像処理部と、前記符号認証部、前記生体認証部、前記画像処理部および前記操作表示部を制御する制御部とを備え、前記制御部は、前記符号認証部による認証がなされた段階では前記文書データに係る属性を表示するが内容を表示せず、前記生体認証部による認証がなされた段階で内容の表示、印刷または外部機器への送信に関する指示を受け付けるように制御することを特徴とする画像形成装置。
【解決手段】符号情報を用いてユーザーを認証する符号認証部と、ユーザーの身体的特徴を表す生体情報を用いて前記ユーザーをさらに認証する生体認証部と、ユーザーからの指示を受け付け、その指示に応じて機密にすべき文書データに係る表示を行う操作表示部と、前記文書データの内容を表示、印刷または外部機器へ送信するため画像処理を行う画像処理部と、前記符号認証部、前記生体認証部、前記画像処理部および前記操作表示部を制御する制御部とを備え、前記制御部は、前記符号認証部による認証がなされた段階では前記文書データに係る属性を表示するが内容を表示せず、前記生体認証部による認証がなされた段階で内容の表示、印刷または外部機器への送信に関する指示を受け付けるように制御することを特徴とする画像形成装置。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、不特定の者のアクセスから保護されるべき文書データを扱うことのできる画像形成装置およびそれを備えてなる文書管理システムに関する。
【背景技術】
【0002】
近年、オフィスで扱う情報について、セキュリティーに関する要求が高まっている。例えば、重要な文書の印刷に際して特定の者にしか印刷出力が許可されない親展印刷機能など、文書印刷を厳格に管理する場面が増加している。文書の内容が不特定の第三者の目に触れることを防ぐためである。前述の親展印刷機能などで不特定の者を排除する手段としては、所定の暗証番号を入力させて入力の正誤を照合するID認証や、識別データが予め格納された専用のIDカードを用いるカード認証などが一般的である。そして、認証された者だけが装置内部に記憶された印刷データの詳細な属性を確認したり印刷処理したりできる。
【0003】
しかし、ID認証は暗証番号が漏洩するリスクがあり、カード認証はIDカードが盗まれたりコピーされたりするリスクがあり、いずれも人為的な管理が徹底されないと確実なセキュリティーとはいえない。
【0004】
一方近年は、各人に固有の生体情報を用いて認証を行う生体認証技術が注目されている。生体情報を用いれば暗証番号やIDカードの管理負担から開放されるからである。しかし、生体認証は生体情報の登録管理が厳格になされなければ確実なセキュリティーとはいえない。また、認証すべき固体数が多すぎると誤認証が生じるリスクがあり、唯一万能の認証方式ではない。
そこで、両者を組み合わせてより確実なセキュリティーを確保する手法が提案されている(例えば、特許文献1〜3参照)
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−31997号公報
【特許文献2】特開2007−156959号公報
【特許文献3】特開2008−146449号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
この発明に係る画像形成装置(代表的な具体的態様はいわゆるデジタル複合機)は、一般に複数のユーザーに共通で使用される。従って、不特定の第三者が画像形成装置の周辺にいる環境下で操作されることが想定される。前述の親展印刷機能は、ユーザーが画像形成装置を操作して印刷を行わせる際に認証を行うものである。
【0007】
しかし、前記特許文献1〜3には、画像形成装置に係る具体的な操作と認証との関係、あるいは、操作用画面に表示される内容、操作可能な機能と認証との具体的関係についての言及はない。
この発明は、以上のような事情を考慮してなされたものであって、生体情報を用いる認証と生体情報を用いない認証とを組み合わせて文書データの格納および/または印刷に係る管理とセキュリティー確保を実現する手法を提供するものである。
【課題を解決するための手段】
【0008】
この発明は、符号情報を用いてユーザーを認証する符号認証部と、ユーザーの身体的特徴を表す生体情報を用いて前記ユーザーをさらに認証する生体認証部と、ユーザーからの指示を受け付け、その指示に応じて機密にすべき文書データに係る表示を行う操作表示部と、前記文書データの内容を表示、印刷または外部機器へ送信するため画像処理を行う画像処理部と、前記符号認証部、前記生体認証部、前記画像処理部および前記操作表示部を制御する制御部とを備え、前記制御部は、前記符号認証部による認証がなされた段階では前記文書データに係る属性を表示するが内容を表示せず、前記生体認証部による認証がなされた段階で内容の表示、印刷または外部機器への送信に関する指示を受け付けるように制御することを特徴とする画像形成装置を提供する。
さらにこの発明は、前記画像形成装置と、ユーザーの指示に基づいて機密にすべき文書データを生成するユーザー端末と、生成された文書データを格納する管理サーバーとを備え、前記ユーザー端末、前記管理サーバーおよび前記画像形成装置がネットワークで接続されてなる文書管理システムを提供する。
【発明の効果】
【0009】
この発明の画像形成装置において、前記制御部は、前記符号認証部による認証がなされた段階では前記文書データに係る属性を表示するが内容を表示せず、前記生体認証部による認証がなされた段階で内容の表示、印刷または外部機器への送信に関する指示を受け付けるように制御するので、生体情報を用いる認証と生体情報を用いない認証とを組み合わせて機密にすべき文書データ(以下、機密データともいう)の属性や内容に係る表示、印刷および/または送信を制限し、機密管理を確実に行うことができる。
ID認証やカード認証による第1認証レベルでは、認証されたユーザーがアクセス可能なファイル数などセキュリティー上問題のない範囲の属性を表示し、さらに生体認証により第2認証レベルの認証を受けたユーザーには、そのユーザーの管理下にある機密データの詳細確認が可能となる。また、機密データの印刷や送信は、生体認証がされた後に可能となるので確実にセキュリティーが確保できる。
前記画像形成装置を備えてなる文書管理システムも同様の作用効果を奏する。
【0010】
この発明において、符号認証部は、符号情報を用いてユーザーを認証するものである。その具体的な態様は、例えば、ユーザーに予め定められた符号情報を入力させる入力キーと、入力のメニューあるいはガイダンスを表示する表示装置である。あるいは、符号情報を予め格納する読み取り可能な記録媒体から、格納された符号情報を読み取る装置、例えばカードリーダーのようなものである。後述する実施形態において、符号認証部は、操作部あるいはカードリーダーに相当する。
また、生体認証部は、ユーザーに固有の身体的特徴を表す生体情報を用いてユーザーを認証するものである。その具体的な態様としては、ユーザーの顔をカメラで撮影し、撮影されたユーザーの顔相を生体情報として用い、予め登録されたそのユーザーの生体情報と照合するものが挙げられる。後述する実施形態において、生体認証部はカメラおよび生体認証制御部に相当する。
さらに、画像処理部は、前記機密データの内容表示、印刷または外部機器への送信のための画像処理を行うものである。例えば、画像形成装置が原稿読取部を備え前記原稿読取部で読み取られた原稿のデータ、あるいは外部のユーザー端末で生成された文書データのフォーマット変換、シェーディング補正、画像フィルタ、諧調補正等に係る画像処理を行うものである。具体的なハードウェアとしては、LSI上に集積された論理回路、メモリー素子等からなるものであってもよい。その一部がCPUやデジタル・シグナル・プロセッサー(DSP)で実現されてもよい。画像処理部が画像形成部を備え、前記画像形成部が画像処理部からの出力に基づいて印刷を行ってもよい。後述する実施形態において、画像処理部は画像処理部、メモリーの一部および制御部の一部機能に相当する。
操作表示部は、ユーザーの指示を受け付け、その指示に応じて前記機密データの属性および/または内容を表示するものである。その具体的な態様としては、キースイッチ、タッチパネルおよび液晶表装置が挙げられる。後述する実施形態において、操作表示部は操作部および表示部に相当する。
制御部は、符号認証部、生体認証部、画像処理部および操作表示部を制御するものである。その具体的な態様は、フラッシュメモリ等に格納された制御プログラムをCPUが実行するものである。後述する実施形態において、制御部は制御部および認証制御部に相当する。
【図面の簡単な説明】
【0011】
【図1】この発明に係る文書管理システムの電気的な構成を示すブロック図である。
【図2】この発明に係る文書管理システムを用いてユーザーが保護された文書データを印刷する際にやり取りされる認証と文書データの送受を説明する説明図である(第1実施形態)。
【図3】この発明に係るデジタル複合機の操作部の具体的な外観を示す説明図である。
【図4】この発明に係るデジタル複合機の表示部に表示される画面の一例を示す説明図である。
【図5】図3の操作部の「ドキュメントファイリング」のボタンが押下されたことに応答して表示部に表示される照会結果の例を示す説明図である。
【図6】この発明に係る文書管理システムにおいて、生体認証されたユーザーの管理下にある文書データを表示する画面の一例を示す説明図である。
【図7】この発明に係るデジタル複合機の制御部および認証制御部が実行する処理の手順を示すフローチャートである(第1実施形態)。
【図8】この発明に係る文書管理システムを用いてユーザーが保護された文書データを印刷する際にやり取りされる認証と文書データの送受を説明する説明図である(第2実施形態)。
【発明を実施するための形態】
【0012】
以下、この発明の好ましい態様について説明する。
前記文書データは、その内容が参照されないようにユーザーが指定した保護符号と前記ユーザーの生体情報もしくは生体情報の取得先とが付加されてなり、前記制御部は、前記生体認証部による認証がされた段階でユーザーによる符号データの入力を受け付けるが前記文書データの内容の表示、印刷または外部機器への送信に関する指示を受け付けないように制御し、入力された符号データと前記保護符号とを照合し両者が一致した段階で前記文書データの表示、印刷または外部機器への送信に係る指示を受け付けるように制御してもよい。
このようにすれば、ユーザーが第2認証レベルの認証を受けた後でなければ機密データの表示、印刷または外部機器への送信に係る指示を受け付けないので、生体情報と保護符号とによって機密データを二重に保護することができる。
【0013】
また、前記符号認証部は、前記符号データの入力を受け付け、前記制御部は、入力された符号データと前記保護符号とを照合してもよい。
このようにすれば、第1認証レベルに係る符号情報の取得と前記照合データの取得はいずれも符号認証部を用いて行うことができるので、コスト的にも有利であり操作手順も統一できるためユーザーにとって便宜である。
【0014】
さらにまた、前記制御部は、第1認証レベルの認証を受けたユーザーについて、前記生体認証部による第2認証レベルの認証を試みてもよい。
このようにすれば、第1認証レベルの認証を受けたユーザーのみが第2認証レベルの認証の対象となるので、不特定の者をすべて対象とする場合に比べて対象者の数が絞られ、生体認証の精度を確保することができ、処理に要する時間も短くてすむ。
【0015】
前記制御部は、前記文書データの表示、印刷または外部機器への送信に係る一連の処理の開始時及びその処理の実行が中断した後の再開時に生体認証部による認証を再度行うように制御してもよい。
例えば、作業終了後にユーザーがログオフの操作を忘れて席に戻るなどして認証レベルが残った場合や処理中に印刷シートがなくなり、ユーザーが印刷シートを取りに行っている間に、他の者がもとのユーザーと入れ代わって一連の処理を開始あるいは再開する操作をする場合が考えられる。しかし、前述した発明の態様によれば、一連の処理の開始または再開の指示がされたときに生体認証部による認証が実行され、もとのユーザーの生体情報と一致しなければ処理の実行がされないので機密データの内容が他の者に知られないようにできる。
また、生体情報はユーザーに固有のものであるので、符号情報を入力しなおすといったような操作よりも簡便であり、ユーザーに負担をかけることなく認証できる。
【0016】
前記符号認証部は、ユーザーに数字、記号および/または文字を入力させて符号情報を取得してもよい。
あるいは、前記符号認証部は、前記符号情報がデータとして格納された携帯可能な記録媒体を接触または非接触で読み取りその符号情報を取得してもよい。
【0017】
前記生体認証部は、ユーザーの顔をカメラで撮影し、撮影されたユーザーの顔相を生体情報として用いてもよい。
このようにすれば、例えばユーザーが操作のために操作部の前にいる状態でユーザーを非接触で認証することができるので、ユーザーに負担をかけることなく認証を行うことができる。
【0018】
前記制御部は、前記文書データの表示、印刷または外部機器への送信に係る一連の処理を実行中、生体認証部による認証を断続的にくり返し、ユーザーが認証されなかった場合に実行中の処理を中断するよう制御してもよい。
このようにすれば、生体認証部による認証が不適合になったときは、即座に表示、印刷または送信の処理が中断され、機密データの内容が漏洩したとしてもそれを最小限にくい留めることができる。
【0019】
また、この発明の文書管理システムにおいて、前記ユーザー端末は、ユーザーによる符号情報の入力を受け付け、受け付けた符号情報を用いてユーザーを認証する端末側符号認証部と、ユーザーの身体的特徴を表す生体情報を用いて前記ユーザーを認証する端末側生体認証部と、前記符号認証部によって第1認証レベルの認証を受け、さらに前記生体認証部によって第2認証レベルの認証を受けたユーザーからの指示として、前記文書データの内容が参照されないための保護符号と前記ユーザーの生体情報もしくは生体情報の取得先とを付加する指示を受け付ける端末側制御部とを備えてなるものであってもよい。
このようにすれば、ユーザーがユーザー端末で第2認証レベルの認証を受け、機密データを生成し、保護符号を付加した後、管理サーバーに格納することができる。さらに、格納された機密データを、前記ユーザーが前記画像形成装置で第2認証レベルの認証を受けて表示、印刷または外部機器へ送信させることができる。
ここで示した種々の好ましい態様は、それらを適宜組み合わせることもできる。
【0020】
以下、図面を用いてこの発明をさらに詳述する。なお、以下の説明は、すべての点で例示であって、この発明を限定するものと解されるべきではない。
図1は、この発明に係る文書管理システムの電気的な構成を示すブロック図である。文書管理システムは、通信ネットワーク47を介して通信可能に接続されたクライアント端末51および53、管理サーバー55、デジタル複合機57および59からなる。図1では、そのうちデジタル複合機59の内部の構成を示している。
【0021】
図1に示す様に、画像形成装置としてのデジタル複合機59は、原稿読取部11、画像処理部13、画像形成部15、制御部21、認証制御部23、カメラ31、生体認証処理部33、カードリーダー35、操作部37、表示部39、メモリー41、時間計測部43および通信部45を含む。
【0022】
原稿読取部11は、原稿を読み取るイメージスキャナ部である。さらに、原稿を一枚ずつ搬送する原稿搬送装置を備えていてもよい。画像処理部13は、原稿読取部11で読み取った原稿のデータを処理して画像形成部15へ印刷用の文書データを出力する。また、通信部45に接続されたネットワーク47を介して外部の機器から受信した文書データを処理する。外部の機器とは、例えば、クライアント端末53であってもよく、また、管理サーバー55であってもよい。画像形成部15は、いわゆるプリンタエンジンであって画像処理部13で処理された文書データをシート上に印刷する。
【0023】
制御部21は、デジタル複合機59の各ブロックの動作や処理を制御し、自らもデータの処理を実行する。制御部21は、具体的にはCPUあるいはマイクロコンピュータで構成される。制御部21は、認証制御部23を含む。即ち、制御部21としてのCPUあるいはマイクロコンピュータが行う制御やデータ処理のうち認証に係るものが認証制御部23に該当する。
【0024】
カメラ31は、操作部37の前で操作を行うオペレーターの顔を撮影する。この実施形態における生体認証は、カメラ31によりオペレーターの顔相を撮影しその特徴を照合することによって行われる。生体認証処理部33は、カメラ31によって捕捉されたオペレーターの顔の画像から顔相の特徴を抽出し、その結果を認証制御部23に渡す。
【0025】
カードリーダー35は、カード認証用の専用IDカードに格納された識別データを読み取って、認証制御部23に渡す。また、操作部37は、オペレーターからの指示を受け付けて制御部21に指示を渡す。表示部39は操作用の画面であって、その具体的構成の一例は、液晶表示装置である。操作部37の具体的構成の一例は、表示部39の液晶表示画面上に配置されたタッチパネルや独立したキースイッチであり、そのタッチパネルが押下された場所や押されたキースイッチを特定するための信号あるいはデータが認証制御部23に渡される。
【0026】
メモリー41は、制御部21が順次処理を実行するためのプログラムやデータを格納し、また、画像処理部13が処理する文書データを格納する読み書き可能なメモリーである。具体的な構成態様としては、揮発性メモリー部としてのDRAMと不揮発性メモリー部としてのハードディスク装置の組み合わせあるいは前記DRAMと不揮発性メモリー部としてのフラッシュメモリの組み合わせが挙げられる。時間計測部43はいわゆるタイマー機能を実現する回路である。通信部45は、外部の通信ネットワーク47を介して外部の機器と通信データをやり取りするためのインターフェイス回路である。
【0027】
(第1の実施形態)
図2は、この発明に係る文書管理システムを用いてユーザーが保護された文書データを印刷する際にやり取りされる認証と文書データの送受を説明する説明図である。つまり、前述の親展印刷を用いた印刷の手順を説明する図である。図2で、オペレーター61は、最初にクライアント端末53上で印刷データを作成する。そして、作成した印刷データにセキュリティー保護を付加した後に、その印刷データを管理サーバー55へ送信する(図2の「(1)文書データ送信」参照)。印刷データは文書データの一態様である。この実施形態で、管理サーバー55はデジタル複合機59と通信可能な別体としているが、両者が一体に構成されてもよい。また、この実施形態で、セキュリティー保護は5桁の暗証番号を付加して行われるものとする。その暗証番号は、オペレーター61に割り当てられた固有の暗証番号である。つまり、オペレーター61を他のオペレーターと識別する暗証番号である。管理サーバー55は、暗証番号が付与された文書データを格納する。
【0028】
次に、オペレーター61は、デジタル複合機59のところへ行き、操作部37を操作して印刷を実行する。
図3は、この発明に係るデジタル複合機の操作部の具体的な外観を示す説明図である。図3で、操作部37の左側約半分の領域を占める矩形の枠内の領域に符号として39を付しているが、これは、その枠内の領域が表示部39としての液晶表示装置により表示された画面であることを示している。つまり、画面内上方の「コピー読み込みできます」のメッセージ、画面略中央の画像形成装置のイラスト、そのイラストの左右にある「特別機能」、「両面コピー」「仕上げ」、「ファイリング」、「自動一時保存」、「原稿」、「コピー濃度」、「用紙」および「倍率」のボタンは、表示画面上のものである。この表示内容は、認証完了後の待機状態の一例である。
【0029】
表示部39の画面上には透明なタッチパネルが配置され、画面内のボタンにオペレーターが触れると画面上の前記ボタンの位置が押下されたことが制御部21に知らされる。制御部21は、画面に表示されている内容と押下された位置とを照合し、押下されたボタンに応じた処理を行う。
【0030】
操作部37の左側半分には、キースイッチが配置されている。「ドキュメントファイリング」、「ファックス/イメージ送信」、「コピー」、「ジョブ状況」、「ユーザー設定」、数字の「0」から「9」まで、「*」、「#/P」、「クリア」、「全解除」、「スタート」といったキースイッチである。
また、「ドキュメントファイリング」、「ファックス/イメージ送信」、「コピー」、「ジョブ状況」の各キースイッチにはランプが設けられている。さらに、「ドキュメントファイリング」キーの左側方にはプリンタの「レディ」と「データ」のランプが設けられている。また、「ファックス/イメージ送信」キーの左側方には「通信中」と「データ」のランプが設けられている。さらに、「スタート」キーには自照式のランプが設けられている。
【0031】
図4は、この発明に係るデジタル複合機の表示部に表示される画面の一例を示す説明図である。図4は、ID認証の暗証コード入力用画面である。図4の画面が表示された状態で、オペレーターは操作部37の「0」から「9」キーを押して5桁の暗証番号を入力しID認証を受ける。
【0032】
図2の説明に戻る。オペレーター61が、デジタル複合機59のところへ行ってまず行うのは、ID認証である(図2の「(2)認証」参照)。クライアント端末53で文書データに付加した暗証番号と同じものを操作部37の「0」から「9」キーを押して入力する。
制御部21は、メモリー41のうち不揮発性メモリー部に予め格納されたID番号と入力された暗証番号が一致すると、図3の待機画面を表示する。即ち、オペレーター61が認証されるとコピー読み込みや後述する親展印刷が可能になる。
【0033】
続いてオペレーター61が操作部37の「ドキュメントファイリング」ボタンを押下すると、管理サーバー55に格納された文書データの照会が行われ(図2の「(3)文書データ照会」参照)、照会の結果が表示部39に表示される。
照会先としての管理サーバー55は、デジタル複合機59のメモリー41の不揮発性メモリー部に予め登録されている。制御部21は、登録された照会先に基づき、通信部45を制御して通信ネットワーク47を介した管理サーバー55にアクセスさせる。
【0034】
管理サーバー55は、3つのセキュリティーレベルの文書データを格納する。第1のレベルは、個人ファイル、第2のレベルは部門ファイル、第3のレベルは共通ファイルである。個人ファイルは、オペレーター個人を識別する暗証番号が付された文書データである。オペレーター61が自分の暗証番号を付加した文書データは個人ファイルに該当する。部門ファイルは、個人の暗証番号でなく部門で共通の暗証番号が付加された文書データである。個人の暗証番号と部門の暗証番号の差異は、各人に異なる暗証番号が割り当てられているか、部門の所属員に共通の暗証番号が割り当てられているかの相違に過ぎない。文書データの認証処理上、両者は同じ手順で処理される。共通ファイルは登録されたユーザーであれば誰でも操作できる文書データである。共通ファイルは、文書データ作成時にオペレーターが暗証番号を付加しなかった文書データである。登録されたユーザーなら誰でも共通ファイルへのアクセスや印刷が可能である。未登録のユーザーは、そもそも管理サーバー55やデジタル複合機59のID認証を通過しないためにそれらの機器の操作ができず、結果的に前記文書データにアクセスできない。
オペレーター61が認証された状態では、オペレーター61の個人ファイルと共通ファイルが照会結果として表示される。
【0035】
図5は、図3の操作部の「ドキュメントファイリング」のボタンが押下されたことに応答して表示部に表示される照会結果の例を示す説明図である。図5の画面は、ID認証のみの段階であって、後述する生体認証が行われていない認証レベルで表示される照会結果である。この認証レベルでは、管理サーバー55に登録された各ユーザーの「ユーザー名」、「保存ファイル数」、「最終保存日」が表示される程度である。印刷、送信、プレビュー表示など、文書データの内容を参照する操作はこの認証レベルでは許可されない。
【0036】
図5に示す様に、管理サーバー55に登録されたユーザーとして“Yamada Taro”、“Sato Ken”および“Akata Hanako”がいる。登録ユーザーの数が多く、一画面に表示しきれない場合は、画面右端部の上下方向の矢印キーを押して画面をスクロールさせると表示されているユーザー以外のユーザーが現われる。ただし、図5の例では、前記矢印キーの上方に「1/1」と表示されているので、“Yamada Taro”、“Sato Ken”および“Akata Hanako”以外の登録ユーザーはないことが判る。
【0037】
登録ユーザー“Yamada Taro”は、管理サーバー55に次の数の文書データを格納している。スキャナによって読み取られた文書データが1つ、クライアント端末から受信した文書データが2つである。ファックスで受信した文書データはゼロである。それらの文書データのうち、最後に文書データが保存された日、即ち直近のデータ格納日は2010年1月25日である。
【0038】
ここで、ID認証を受けたオペレーター61は、“Yamada Taro”であるとする。図5の画面でオペレーター61が自身のユーザー名である“Yamada Taro”の欄を押下すると、それに認証制御部23が応答して生体認証処理が開始される。認証制御部23は、カメラ31がオペレーター61の顔を撮影し、撮影されたオペレーター61の顔の画像を用いて生体認証処理部33が顔相の特徴を抽出して認証制御部23に知らせる。認証制御部23は、登録ユーザーに係るデータの一つとして予め管理サーバー55に登録されている“Yamada Taro”の顔相の特徴と生体認証処理部33によって抽出された特徴とを照合し、既にID認証を受けた“Yamada Taro”についての生体認証を行う。
【0039】
認証制御部23が、カメラ31によって撮影されたオペレーター61がID認証を受けた“Yamada Taro”本人であると判断したら、認証レベルがさらに一段階上がり、ユーザー“Yamada Taro”の管理下にある文書データについてその詳細が表示される。
【0040】
図6は、この発明に係る文書管理システムにおいて、生体認証されたユーザーの管理下にある文書データを表示する画面の一例を示す説明図である。図6に示す様に、表示部39の画面には、“Yamada Taro”の管理下にある3つの文書データについて、それぞれの「ファイル名」、「ページ数」および「日付」が表示されている。さらに、その右側には、「印刷」、「送信」および「表示」ボタンが表示されている。
【0041】
先ほど、オペレーター61がクライアント端末53上で作成した印刷データは、「ファイル名」が“Product_info”、「ページ数」が13枚、格納された「日付」が“2010/01/25”即ち直近に格納された文書データとして表示されている。オペレーター61が“Product_info”が表示された部分を押下すると、制御部21は、その文書データが選択されたと判断し、それを明示するために“Product_info”の欄を反転表示させる(図6に図示せず)。文書データ“Product_info”が選択された状態で「印刷」、「送信」または「表示」ボタンが押下されると、そのボタンに応じて“Product_info”が印刷され、メールまたはFAX送信され、または表示部39にプレビュー表示される(図2の「(4)文書データ送信」参照)。
図2の例では、オペレーター61が「印刷」ボタンを押下して文書データの印刷を行っている(図2の「(5)印刷出力」参照)。
【0042】
≪フローチャートの説明≫
図7は、この発明に係るデジタル複合機の制御部および認証制御部が実行する処理の手順を示すフローチャートである。以下、図7のフローチャートに基づいて処理の流れを説明する。ただし、図7のフローチャートでは、ID認証に代えてカード認証を行う態様を示している。管理サーバー55および複合機59の使用が許可されたユーザーは、それぞれ専用のIDカードが貸与されている。IDカードには、各ユーザーに割り当てられた暗証番号と、各ユーザーの顔相の特徴が予め格納されており、カードリーダー35により読み取り可能であるとする。クライアント端末にも同様のカードリーダーが接続されている。オペレーター61がクライアント端末53に接続されたカードリーダーに自分のIDカードを読み取らせた状態で文書データを作成すれば、IDカードに格納された暗証番号を前記文書データに付加されて管理サーバー55に格納することができる。この状態で図7の最初のステップが開始されるものとする。カードリーダーは接触式でも非接触式でもよいが、以下の説明では非接触式であるとして説明する。
【0043】
最初に制御部21は、ID認証待ちの待機状態で待機する。このとき、表示部39に「カードリーダーにIDカードを読み取らせてください。」のメッセージが表示されるよう制御しつつIDカードの挿入を待つ(ステップS1)。
やがて、オペレーター61がカードリーダー35にIDカードを近接させると、認証制御部23は、IDカードが提示されたことを認識する(ステップS2)
【0044】
認証制御部23は、提示されたIDカードに格納されたデータを読み取りそのデータが有効なデータか否かを確認する(ステップS3)。読み取られたデータが有効ならばルーチンはステップS4へ進み、有効でない場合ルーチンはステップS18進む。ここで、有効なデータとは、予め複合機や管理サーバーに登録された暗証番号と一致するデータのことである。そのデータがIDカードに格納されていれば、複合機や管理サーバーの操作が許可される。しかし、IDカードのデータが予め登録された暗証番号のいずれにも該当しなければ複合機や管理サーバーの操作は許可されない。
【0045】
前記ステップS3で、読み取られたデータが有効な場合、制御部21は、表示部39に図3に示す待機状態の画面を表示させように制御する(ステップS4)。この状態では、まだ生体認証は行われていない。この認証レベルでは、図5に示すように、パネル上に共通ファイルの名称等は表示するが、暗証番号が付加された文書ファイルについては件数のみ表示する。図5の画面で、何れかのユーザーを選択すると、図6のように、そのユーザーに固有の暗証番号が付加された文書ファイルの名称を確認/出力したりプレビュー閲覧したりする画面に移行する。図6の画面に至る途中で、認証制御部23は、生体認証を行う旨のメッセージと生体認証に同意する意思を示す承諾キーおよび同意しない意思を示す非承諾キーを画面に表示させる(図示せず)。そして認証制御部23は、オペレーター61によりいずれかのキーが押下されるのを待つ(ステップS5)。
【0046】
なお、この実施形態では、生体認証の具体的態様として公知の顔認証技術を使用する。だたし、生体認証は顔認証に限定されず、指紋・虹彩・静脈など一般に生体認証に用いられる身体的特徴を識別して認証することができる。好ましくは、非接触で生体認証を行う。
承諾キーが押下されたら、ルーチンはステップS6へ進む。一方、所定時間内に承諾キーが押下されないか、あるいは明示的に非承諾のキーが押下されたら、ルーチンはステップS9へ移行する。
【0047】
前記ステップS5で、承諾キーが押下されたら、制御部21は顔認証中である旨のメッセージを表示部39に表示させ(図示せず)、カメラ31および生体認証処理部33に顔相の特徴を取得させる。そしで、IDカードに予め登録された顔相の特徴データと照合し、カメラ31に撮影されたオペレーター61がIDカードに登録された者と一致するか否かを判定する(ステップS6)。
前記判定の結果(ステップS7)、照合が一致するとルーチンはステップS8へ進む。一方、照合が不一致であればルーチンはステップS21へ進む。
【0048】
前記照合が一致した場合、制御部21は、表示部39に顔認証が完了した旨のメッセージを表示させる(ステップS8)。これらの処理を経た後、制御部21は、図6の画面を表示させる。図6の画面で初めて暗証番号が付加された文書ファイルの名称や種別が表示され、その文書ファイルの印刷、送信、プレビュー確認が許可される。
制御部21は、オペレーター61が文書ファイルを選択し、印刷、送信、プレビューのいずれかのジョブを実行するように指示するのを待つ(ステップS9)。
【0049】
ジョブが選択されたら、制御部21は、選択されたジョブが、顔認証を行ったうえでジョブを開始すべきものかどうかを確認する(ステップS10)。選択された文書ファイルが個人ファイルあるいは部門ファイルの場合は、ジョブ開始時に顔認を行う。一方、選択された文書ファイルが共通ファイルの場合はジョブ開始時に顔認証は不要である。顔認証を要するジョブの場合、ルーチンはステップS11へ進む。一方、顔認証が不要な場合、ルーチンはステップS13へ進む。
【0050】
前記ステップS10の確認で、顔認証を要する場合、認証制御部23は、改めてオペレーター61の顔認証を実行する(ステップS11)。顔認証を行った結果(ステップS12)照合の結果、照合が一致すればルーチンはステップS13へ進み、照合が不一致ならルーチンはステップS21へ進む。
前記ステップS12の顔認証で照合が一致したら、制御部21は、オペレーター61によって指示されたジョブを実行する(ステップS13)。
【0051】
ジョブの実行を終えた後は待機状態に戻り、現在の認証レベルからのログオフが行われたかどうかを監視する(ステップS14)。ログオフが行われたならば、ルーチンはステップS17へ進む。一方、ログオフが行われなければ、ルーチンはステップS15へ進む。
前記ステップS15で、制御部21は、オペレーターが次のジョブを実行するよう指示したか否かを監視する。次のジョブとは、例えば、異なる文書ファイルの印刷であったり、新たな原稿を原稿読取部11に読み取らせてコピー、FAX送信あるいは電子メール送信を行うジョブであったりする。
【0052】
次のジョブの指示を受けた場合、ルーチンはステップS10へ戻る。次のジョブの指示がなければ、ルーチンはステップS16へ進む。
前記ステップS16で、制御部21は、時間計測部43により計測された時間を確認する。時間計測部43は、直前のジョブが終了してからの経過時間を計測している。直前のジョブが終了してから所定の時間が経過していれば、ルーチンはステップS17へ進む。一方、所定の時間がまだ経過していなければ、ルーチンはステップS14に戻る。
前記ステップS14の監視でログオフが行われた場合、制御部21は、前述のステップS1と同様、ID認証待ちの待機状態の画面を表示部39に表示させる(ステップS17)。そして、ルーチンはS1へ戻りループする。
【0053】
次に、前記ステップS3で、読み取られたIDカードのデータが有効でなかった場合の処理を説明する。その場合、認証制御部23は、読み取られたIDカードが不正使用のIDカードかどうかを確認する(ステップS18)。不正使用のIDカードとは、盗難や紛失などがあったためにその暗証番号に係るIDカードの使用を停止すべき旨の登録が管理サーバー55やデジタル複合機59になされているIDカードである。照合の結果、認証制御部23が不正使用のIDカードと判断した場合、ルーチンはステップS19へ進む。一方、不正使用のIDカードでないと判断した場合、ルーチンはステップS20へ進む。
【0054】
前記ステップS19で、制御部21は、デジタル複合機59の付近に設置された専用の状態表示ランプ(図示せず)を点灯あるいは点滅させて、周囲にいるものに対してIDカードの不正使用が行われたことを知らせる。それととともにシステム管理者や本来のIDカードのユーザーに宛てた電子メールを送信して通知する。そして、ルーチンはステップS20へ進む。
前記ステップS20で、認証制御部は、表示部39に「有効なカードではありません」とのメッセージを表示させる。その後、ルーチンはステップS1へ戻る。
【0055】
また、前記ステップS7およびS12の顔認証の結果、照合が不一致であった場合、ルーチンはステップS21へ進むが、ステップS21で制御部21は、表示部39に「確認できませんでした。再認証しますか?」とのメッセージを表示させ、かつ、「はい」と「いいえ」のボタンを表示させる。オペレーター61が「はい」ボタンを押下すると、ルーチンはステップS6へ進み、顔認証をもう一度行う。一方、オペレーター61が「いいえ」ボタンを押下したら、ルーチンはステップS17へ進み、ID認証待ちの画面を表示部39に表示させて待機する。
【0056】
(第2の実施形態)
この実施形態で、認証制御部23は、三段階の認証レベルで文書データを管理する。
第1の認証レベルは、部門管理が主たる目的であり、カード認証またはID認証による認証である。第1認証レベルで認証制御部23は、ユーザーに固有の暗証番号で認証が行われるのではなく、そのユーザーの属する部門に固有の暗証番号で認証を行う。従って、同一の暗証番号で同一部門の複数のユーザーが認証を受ける。
【0057】
第2の認証レベルは生体認証による。この実施形態における生体認証の具体的態様は、顔認証である。第2認証レベルは、第1認証レベルの部門外の者によるなりすましを確実に防止することを第1の目的とする。さらに、後述する第3認証レベルで認証されるべきユーザー以外の者によるなりすましを確実に防止することを目的とする。
【0058】
第3の認証レベルで認証制御部23は、ユーザーに固有の暗証コードで認証を行う。第1および第2認証レベルのみでは、同一部門内の他のユーザーは排除されない。第1認証レベルの暗証番号は部門に固有のものであり、第2認証レベルはその暗証番号に係る部門の者か否かを生態認証によりダブルチェックしているに過ぎないからである。同一部門の者に対しても機密を守るべき文書データは、第3認証レベルで保護する。この実施形態で第3認証レベルはID認証によるものとして説明する。ただし、カード認証も適用可能である。第3認証レベル用の暗証コードは、第2認証レベルで各ユーザーが自ら定義する暗証コードである。各ユーザーは、第2認証レベルで作成した文書データに前記暗証コードを付加して管理する。
【0059】
第1認証レベルがID認証による場合について説明する。この態様によれば、第1認証レベルに係る暗証コードと第2の認証レベルに係る生体情報は「認証サーバー」で一括管理される。前記認証サーバーは、文書管理システムに係るクライアント端末51および53、管理サーバー55、デジタル複合機57および59のいずれとも通信可能であってそれらが照合を行う際に必要な暗証番号や生体情報を提供し得る仮想のサーバーである。前記認証サーバーの具体的な実装形態は、例えば、管理サーバー55やデジタル複合機59のメモリー41のうち不揮発性メモリー部の特定の記憶領域を認証サーバーとして用いるものである。
【0060】
前記認証サーバーに係る記憶領域は、部門別かつユーザー別に階層化され、部門に固有の暗証番号は部門別の階層に格納される。ユーザー別の生体情報と暗証コードとはユーザー別の階層に格納される。前記認証サーバーにユーザーを登録する権限は、各部門で予め定められた特定の「管理者」のみに与えられる。即ち、前記「管理者」には、第3認証レベルで他の者をユーザーとして登録する特権が付与されている。
【0061】
ユーザーの登録は、「管理者」に係る第1認証レベルの暗証番号、第2認証レベルの生態情報および第3認証レベルの暗証コードを確認しつつ、管理サーバー55やデジタル複合機59の操作部37による所定の操作を経て行われる。各ユーザーは前記「管理者」によって、前記認証サーバーに「許可者」として登録される。登録された各ユーザーのデータは、各ユーザーに係る生態情報および暗証コードを含む。「管理者」は、自分が認証サーバーに登録した「許可者」の削除も行える。なお、「許可者」には、他の者をユーザーとして登録する権限や削除する権限は与えられない。
「管理者」の認証サーバーへの登録は、「管理者」および「許可者」に非公開の手順で予め行われる。「管理者」の削除も同様である。
【0062】
次に、第1認証レベルがカード認証による場合について説明する。第1認証レベルがカード認証による場合は、認証サーバーは存在しない。各ユーザーに係る生体情報と暗証コードとは、IDカードに格納される。IDカードは部門ごとに発行される。即ち、部門管理を目的としたIDカードである。IDカード内の記憶領域は、部門共通のルート階層の下にユーザー別の階層が設けられて階層化されている。部門に固有の暗証番号はルート階層に格納される。
【0063】
ユーザー別の生体情報と暗証コードとはユーザー別の階層に格納される。当初のIDカードには、部門の暗証番号と、部門内で予め定められた特定の「管理者」に係る生体情報と暗証コードのみが登録されている。
各ユーザーは前記「管理者」によって、前記IDカードに「許可者」として登録される。登録された各ユーザーのデータは、各ユーザーに係る生態情報および暗証コードを含む。「管理者」は、自分が認証サーバーに登録した「許可者」の削除も行える。
【0064】
続いて、第2の認証レベルの機能について説明する。第2認証レベルは、第1および第3認証レベルの認証と同時に実行される。
まず、第1認証レベルのID認証またはカード認証と同時に、顔認証が実行される。認証制御部23は、第1認証レベルのID認証またはカード認証操作が行われたとき、オペレーターの顔相が暗証番号に係る部門の「管理者」または「許可者」のいずれかであるか否かの照合を行う。当該部門の「管理者」および「許可者」の生体情報は、ID認証の場合は認証サーバーに予め登録されており、カード認証の場合はIDカードに予め登録されている。オペレーターの顔相が、当該部門の「管理者」および「許可者」の何れかの生体情報と一致しなければ、たとえ、暗証番号が有効であっても第1認証レベルの認証は成功しない。ここで、有効な暗証番号とは、その暗証番号が予め複合機や管理サーバーに登録されたいずれかの部門の暗証番号と一致することである。
【0065】
さらに、認証制御部23は、第3認証レベルのID認証(またはカード認証)と同時に、顔認証を実行する。第3認証レベルの場合は、オペレーターの顔相が暗証コードを登録したユーザーと一致するか否かの照合を行う。暗証コードは第2認証レベルで各ユーザーが登録する。認証制御部は、その暗証コードを、登録したユーザーの生体情報と対応付けて格納する。登録したユーザーは、「管理者」または「許可者」として登録されているから、その生体情報はID認証の場合は認証サーバーに予め登録されており、カード認証の場合はIDカードに予め登録されている。オペレーターの顔相が、当該暗証コードに対応付けられた生体情報と一致しなければ、第3認証レベルの認証は成功しない。
【0066】
≪ジョブ実行手順≫
「管理者」および「許可者」が、機密を要する文書データに係るジョブを実行する手順について説明する。このジョブを実行するのが、図8のオペレーター61であるとして説明する。
オペレーター61は、クライアント端末53で前記文書データを作成する。ここで、クライアント端末53には、カメラ31に相当するカメラが接続され、クライアント端末53を操作するオペレーターの顔が撮影できるように構成されている。さらに、クライアント端末53は前記カメラにより撮影された画像に基づいてオペレーター61顔相の特徴を抽出できるように構成されている。
【0067】
オペレーター61は、クライアント端末53で第2認証レベルの認証を受けて、印刷データを作成する。そして、作成した印刷データにセキュリティー保護を付加する。暗証コードが付与された印刷データは管理サーバー55へ送信される。
【0068】
ここで、印刷データへの暗証コードの付与は、例えば、次のようにして行われる。クライアント端末53上でオペレーター61は、作成した文書データを印刷すべく印刷用のダイアログボックスを開く。印刷用のダイアログボックスは、クライアント端末53にインストールされたプリンタドライバによって提供される。前記ダイアログボックスには、生成する印刷データに暗証コードを付加するオプションが用意されている。
【0069】
クライアント端末53は、前記オプションが選択されたとき、オペレーター61の顔認証を行う旨のメッセージと「はい」と「いいえ」のボタンを表示させる。オペレーター61が「はい」を選択すると、クライアント端末53は顔認証を実行し、かつ実行中は顔認証中である旨のメッセージを画面に表示させる。顔認証が成功しない場合、クライアント端末53はクライアント端末53の画面に「確認できませんでした。再認証しますか?」とのメッセージを表示させ、かつ、「はい」と「いいえ」のボタンを表示させる。顔認証を行う旨のメッセージまたは再認証するかどうかのメッセージで「いいえ」が選択されると暗証コードの付加なしで印刷データが生成される。再認証するかどうかのメッセージで「はい」が選択されると、顔認証が再度行われる。
【0070】
顔認証が成功すると、クライアント端末53は、暗証コード入力画面を表示させる。オペレーター61は、その暗証コード入力画面で自分が決めた暗証コードを入力する(図8の「(1)暗証コード入力」参照)。暗証コードの入力が完了すると、クライアント端末53は印刷データを生成し、その印刷データに前記暗証コードを付加する。さらに、その暗証コードをオペレーター61と関連付ける。つまり、前記文書データに暗証コードとユーザーを指定するデータとを付加する。オペレーター61はすでに第2認証レベルの認証を受けているので、認証サーバーまたはIDカードに登録された「管理者」および「許可者」のいずれか一人として特定されている。ユーザーを指定するデータは、その特定された「管理者」および「許可者」を示すものである。そして、暗証コードとユーザー指定とが付加された文書データを管理サーバー55へ送信する(図8の「(2)暗証コード付文書データ送信」参照)。
【0071】
次に、オペレーター61は、デジタル複合機59のところへ行き、操作部37を操作して印刷を実行する。オペレーター61は、デジタル複合機59のところへ行き、管理サーバー55に格納された文書データの印刷操作を行う。印刷は、第3レベルの認証を請けて行う必要がある。即ち、まず第1認証レベルとしてのカード認証またはID認証を行い、そのとき同時に行われる顔認証(第2認証レベル)を通過する。第2認証レベルでオペレーター61が「ドキュメントファイリング」ボタンを押下すると、管理サーバー55に格納された文書データの照会が行われ(図8の「(4)文書データ照会」参照)、照会の結果が表示部39に表示される。図5と同様の画面である。
【0072】
ここで、第2認証レベルの認証を受けたオペレーター61は、“Yamada Taro”であり、“Sato Ken”と“Akata Hanako”は同一部門のユーザーであるとする。他部門のユーザーは、図5の画面に表示されない。オペレーター61は、自身のユーザー名である“Yamada Taro”の欄を押下すると、それに応答して図6と同様の“Yamada Taro”の管理下にある3つの文書データの詳細が表示される。この実施形態においては、“Yamada Taro”と同一部門の“Sato Ken”や“Akata Hanako”の管理下にある文書データついても、“Yamada Taro”として第2認証レベルの認証を受けた“Yamada Taro”はその詳細を表示させることができる。また、暗証コードが付加されていない文書データは、印刷、送信、表示を行うことができる。
【0073】
暗証コードが付加された文書データは、次の手順を経なければ、印刷、送信、表示を行うことができない。“Yamada Taro”であるオペレーター61は、図6の画面で、“Product_info”が表示された部分を押下する。“Product_info”は、先ほどオペレーター61が暗証コードを付加した文書データである。それに応答して、制御部21は、その文書データが選択されたと判断し、それを明示するために“Product_info”の欄を反転表示させる。
【0074】
文書データ“Product_info”が選択された状態で「印刷」、「送信」または「表示」ボタンが押下されると、それに応答して認証制御部23は、第3レベルの認証処理を開始する。ここでは、「印刷」が押下されたものとする。認証制御部23は、まず、暗証コードの入力画面を表示部39に表示させる。暗証コードの入力画面は図4のような画面であるが、第1認証レベルの画面と区別するため「利用者認証」に代えて「文書データ使用者認証」、「登録されたバスワード」に代えて「文書データを使用するための暗証コード」と表示される。
【0075】
オペレーター61が文書データに自ら付加した暗証コードを「0」から「9」キーを用いて入力すると、それに応答して認証制御部23は、入力された暗証コードと“Product_info”に付加された暗証コードを照合する(図8の「(3)第3認証レベルの認証」参照)。照合が一致すると、認証制御部23はさらに生体認証を開始する。認証制御部23は、カメラ31にオペレーター61の顔を撮影させ、生体認証処理部33に顔相の特徴を抽出させ、その顔相の特徴と前記文書データに対応付けられたユーザー“Yamada Taro”の生体情報とを照合する。照合が一致したら、文書データ“Product_info”の印刷を実行する(図8の「(5)文書データ送信」および「(6)印刷出力」参照)。
【0076】
以上のように、第3認証レベルと同時に行われる生態認証は、少なくとも機密の文書データ生成時(複合機側および/または生体認証可能なクライアント端末側での操作)、文書データの印字開始時(複合機側操作)に実行される。
【0077】
なお、機密の文書データが印刷出力されるとデジタルトレイの排出トレイに排出されるが、デジタル複合機59の周辺にいる不特定の第三者がその印刷出力を自由に持ち出せることは好ましくない。機密文書が文書データとしてクライアント端末53、管理サーバー55およびデジタル複合機59に存在する間は暗証コードによって不特定の第三者のアクセスから保護できる。しかし、その文書データがシート上に印刷され有体物として存在するようになった後は、機械的、物理的に第三者のアクセスから保護する必要がある。好ましくは、デジタル複合機59は、機密文書の印刷出力を不特定の第三者のアクセスから保護するように考慮された排出トレイを備える。その排出トレイは、例えば、操作部37で所定の操作を行って前記暗証コードを入力しなければ開錠できないロック機構付きの蓋が排出トレイに備えられている。さらに好ましくは、デジタル複合機59は、ロック機構付きのキャビネットを備える。機密文書の印刷中に紙詰まりが発生し、機内に詰まったシートを除去するためにデジタル複合機の内部を開放する場合、操作部37で所定の操作を行って前記暗証コードを入力しなければシートの搬送路が開放されないようにするためである。
【0078】
≪変形例≫
以上の説明では、第3認証レベルはID認証によるものとしているが、カード認証を適用してもよい。この場合のカード認証とは、次のような態様である。
第1認証レベルの認証がID認証による場合、図8の(1)の暗証コード入力において、オペレーター61は、作成した文書データに暗証コードを付したい場合にIDカードをクライアント端末53が備えるカードリーダーに近接させておく。オペレーター61によって暗証コードが入力されると、クライアント端末53は、印刷データを生成し、その印刷データに前記暗証コードを付加すると共に、IDカードに、前記暗証コードとオペレーター61が顔認証で照合された登録ユーザーの生体情報とを、両者を対応付けて書き込む。前記生体情報は、認証サーバーに登録されている生体情報のコピーである。
【0079】
その後、図8の(3)第3認証レベルの認証において、オペレーター61は、カードリーダー35に、前記暗証コードと生体情報とが対応付けて書き込まれたIDカードを近接させる。文書データ“Product_info”が選択された状態で「印刷」ボタンが押下されると、認証制御部23は、IDカードから前記暗証コードと生体情報とを読み込む。そして、読み込んだ暗証コードと“Product_info”に付加された暗証コードを照合する。照合が一致すると、認証制御部23はさらに生体認証を行い、生体認証処理部33が抽出したオペレーター61の顔相とIDカードから読み込まれた生体情報とを照合する。照合が一致したら、文書データ“Product_info”の印刷を実行する。
【0080】
第1認証レベルの認証がカード認証による場合は、もう少し単純である。図8の(1)の暗証コード入力において、オペレーター61によって暗証コードが入力されると、クライアント端末53は、印刷データを生成し前記暗証コードを付加すると共に、前記暗証コードを顔認証で照合されたオペレーター61に対応付けてIDカードに書き込む。即ち、IDカードには、部門内の各ユーザーがその生体情報に対応付けられた格納されている。前記暗証コードは、顔認証により対応付けられた生体情報と共にそのユーザー固有の情報としてIDカードに格納される。
【0081】
その後、図8の(3)第3認証レベルの認証において、文書データ“Product_info”が選択された状態で「印刷」ボタンが押下されると、認証制御部23は、“Product_info”に付加された暗証コードがIDカードに格納されている何れかのユーザーの暗証コードと一致するか否かを照合する。照合が一致すると、認証制御部23はさらに生体認証を行い、生体認証処理部33が抽出したオペレーター61の顔相とIDカードに登録された前記ユーザーの生体情報とを照合する。照合が一致したら、文書データ“Product_info”の印刷を実行する。
【0082】
≪各認証レベルの意義≫
以上のように、この実施形態によれば、部門管理と機密文書の保護のために3つの認証レベルを用いる。
第1の認証レベルは部門ごとの課金や使用者の管理のためである。さらに、第2認証レベルの生体認証を行う対象を限られた人数に制限することにより生体認証の精度を確保する。
【0083】
第2の認証レベルは、第1認証レベルでのなりすましを防止するためである。さらに、第3認証レベルの認証に係る暗証コードの登録時と認証の際に暗証コードと生体情報とでダブルチェックを行って保護の万全を期すためである。さらに、第1認証レベルのID認証やカード認証を伴う処理を行った後、ログオフを忘れると、不特定の第三者がアクセスできるようになってしまうというリスクがある。しかし、この発明によれば、顔認証された利用者が装置から離れてカメラで認識不能になると、即座にログオフ処理が実行され、ログオフ忘れによるセキュリティー低下を抑制することができる。
第3の認証レベルは、機密文書をユーザーごとに実現するためである。この実施形態によれば、生体認証と組み合わせるので、暗証コードのみによる保護よりも確実な保護が実現される。
【0084】
前述した実施の形態の他にも、この発明について種々の変形例があり得る。それらの変形例は、この発明の範囲に属さないと解されるべきものではない。この発明には、請求の範囲と均等の意味および前記範囲内でのすべての変形とが含まれるべきである。
【符号の説明】
【0085】
11:原稿読取部
13:画像処理部
15:画像形成部
21:制御部
23:認証制御部
31:カメラ
33:生体認証処理部
35:カードリーダー
37:操作部
39:表示部
41:メモリー
43:時間計測部
45:通信部
47:通信ネットワーク
51、53:クライアント端末
55:管理サーバー
57、59:デジタル複合機
61:オペレーター
【技術分野】
【0001】
この発明は、不特定の者のアクセスから保護されるべき文書データを扱うことのできる画像形成装置およびそれを備えてなる文書管理システムに関する。
【背景技術】
【0002】
近年、オフィスで扱う情報について、セキュリティーに関する要求が高まっている。例えば、重要な文書の印刷に際して特定の者にしか印刷出力が許可されない親展印刷機能など、文書印刷を厳格に管理する場面が増加している。文書の内容が不特定の第三者の目に触れることを防ぐためである。前述の親展印刷機能などで不特定の者を排除する手段としては、所定の暗証番号を入力させて入力の正誤を照合するID認証や、識別データが予め格納された専用のIDカードを用いるカード認証などが一般的である。そして、認証された者だけが装置内部に記憶された印刷データの詳細な属性を確認したり印刷処理したりできる。
【0003】
しかし、ID認証は暗証番号が漏洩するリスクがあり、カード認証はIDカードが盗まれたりコピーされたりするリスクがあり、いずれも人為的な管理が徹底されないと確実なセキュリティーとはいえない。
【0004】
一方近年は、各人に固有の生体情報を用いて認証を行う生体認証技術が注目されている。生体情報を用いれば暗証番号やIDカードの管理負担から開放されるからである。しかし、生体認証は生体情報の登録管理が厳格になされなければ確実なセキュリティーとはいえない。また、認証すべき固体数が多すぎると誤認証が生じるリスクがあり、唯一万能の認証方式ではない。
そこで、両者を組み合わせてより確実なセキュリティーを確保する手法が提案されている(例えば、特許文献1〜3参照)
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−31997号公報
【特許文献2】特開2007−156959号公報
【特許文献3】特開2008−146449号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
この発明に係る画像形成装置(代表的な具体的態様はいわゆるデジタル複合機)は、一般に複数のユーザーに共通で使用される。従って、不特定の第三者が画像形成装置の周辺にいる環境下で操作されることが想定される。前述の親展印刷機能は、ユーザーが画像形成装置を操作して印刷を行わせる際に認証を行うものである。
【0007】
しかし、前記特許文献1〜3には、画像形成装置に係る具体的な操作と認証との関係、あるいは、操作用画面に表示される内容、操作可能な機能と認証との具体的関係についての言及はない。
この発明は、以上のような事情を考慮してなされたものであって、生体情報を用いる認証と生体情報を用いない認証とを組み合わせて文書データの格納および/または印刷に係る管理とセキュリティー確保を実現する手法を提供するものである。
【課題を解決するための手段】
【0008】
この発明は、符号情報を用いてユーザーを認証する符号認証部と、ユーザーの身体的特徴を表す生体情報を用いて前記ユーザーをさらに認証する生体認証部と、ユーザーからの指示を受け付け、その指示に応じて機密にすべき文書データに係る表示を行う操作表示部と、前記文書データの内容を表示、印刷または外部機器へ送信するため画像処理を行う画像処理部と、前記符号認証部、前記生体認証部、前記画像処理部および前記操作表示部を制御する制御部とを備え、前記制御部は、前記符号認証部による認証がなされた段階では前記文書データに係る属性を表示するが内容を表示せず、前記生体認証部による認証がなされた段階で内容の表示、印刷または外部機器への送信に関する指示を受け付けるように制御することを特徴とする画像形成装置を提供する。
さらにこの発明は、前記画像形成装置と、ユーザーの指示に基づいて機密にすべき文書データを生成するユーザー端末と、生成された文書データを格納する管理サーバーとを備え、前記ユーザー端末、前記管理サーバーおよび前記画像形成装置がネットワークで接続されてなる文書管理システムを提供する。
【発明の効果】
【0009】
この発明の画像形成装置において、前記制御部は、前記符号認証部による認証がなされた段階では前記文書データに係る属性を表示するが内容を表示せず、前記生体認証部による認証がなされた段階で内容の表示、印刷または外部機器への送信に関する指示を受け付けるように制御するので、生体情報を用いる認証と生体情報を用いない認証とを組み合わせて機密にすべき文書データ(以下、機密データともいう)の属性や内容に係る表示、印刷および/または送信を制限し、機密管理を確実に行うことができる。
ID認証やカード認証による第1認証レベルでは、認証されたユーザーがアクセス可能なファイル数などセキュリティー上問題のない範囲の属性を表示し、さらに生体認証により第2認証レベルの認証を受けたユーザーには、そのユーザーの管理下にある機密データの詳細確認が可能となる。また、機密データの印刷や送信は、生体認証がされた後に可能となるので確実にセキュリティーが確保できる。
前記画像形成装置を備えてなる文書管理システムも同様の作用効果を奏する。
【0010】
この発明において、符号認証部は、符号情報を用いてユーザーを認証するものである。その具体的な態様は、例えば、ユーザーに予め定められた符号情報を入力させる入力キーと、入力のメニューあるいはガイダンスを表示する表示装置である。あるいは、符号情報を予め格納する読み取り可能な記録媒体から、格納された符号情報を読み取る装置、例えばカードリーダーのようなものである。後述する実施形態において、符号認証部は、操作部あるいはカードリーダーに相当する。
また、生体認証部は、ユーザーに固有の身体的特徴を表す生体情報を用いてユーザーを認証するものである。その具体的な態様としては、ユーザーの顔をカメラで撮影し、撮影されたユーザーの顔相を生体情報として用い、予め登録されたそのユーザーの生体情報と照合するものが挙げられる。後述する実施形態において、生体認証部はカメラおよび生体認証制御部に相当する。
さらに、画像処理部は、前記機密データの内容表示、印刷または外部機器への送信のための画像処理を行うものである。例えば、画像形成装置が原稿読取部を備え前記原稿読取部で読み取られた原稿のデータ、あるいは外部のユーザー端末で生成された文書データのフォーマット変換、シェーディング補正、画像フィルタ、諧調補正等に係る画像処理を行うものである。具体的なハードウェアとしては、LSI上に集積された論理回路、メモリー素子等からなるものであってもよい。その一部がCPUやデジタル・シグナル・プロセッサー(DSP)で実現されてもよい。画像処理部が画像形成部を備え、前記画像形成部が画像処理部からの出力に基づいて印刷を行ってもよい。後述する実施形態において、画像処理部は画像処理部、メモリーの一部および制御部の一部機能に相当する。
操作表示部は、ユーザーの指示を受け付け、その指示に応じて前記機密データの属性および/または内容を表示するものである。その具体的な態様としては、キースイッチ、タッチパネルおよび液晶表装置が挙げられる。後述する実施形態において、操作表示部は操作部および表示部に相当する。
制御部は、符号認証部、生体認証部、画像処理部および操作表示部を制御するものである。その具体的な態様は、フラッシュメモリ等に格納された制御プログラムをCPUが実行するものである。後述する実施形態において、制御部は制御部および認証制御部に相当する。
【図面の簡単な説明】
【0011】
【図1】この発明に係る文書管理システムの電気的な構成を示すブロック図である。
【図2】この発明に係る文書管理システムを用いてユーザーが保護された文書データを印刷する際にやり取りされる認証と文書データの送受を説明する説明図である(第1実施形態)。
【図3】この発明に係るデジタル複合機の操作部の具体的な外観を示す説明図である。
【図4】この発明に係るデジタル複合機の表示部に表示される画面の一例を示す説明図である。
【図5】図3の操作部の「ドキュメントファイリング」のボタンが押下されたことに応答して表示部に表示される照会結果の例を示す説明図である。
【図6】この発明に係る文書管理システムにおいて、生体認証されたユーザーの管理下にある文書データを表示する画面の一例を示す説明図である。
【図7】この発明に係るデジタル複合機の制御部および認証制御部が実行する処理の手順を示すフローチャートである(第1実施形態)。
【図8】この発明に係る文書管理システムを用いてユーザーが保護された文書データを印刷する際にやり取りされる認証と文書データの送受を説明する説明図である(第2実施形態)。
【発明を実施するための形態】
【0012】
以下、この発明の好ましい態様について説明する。
前記文書データは、その内容が参照されないようにユーザーが指定した保護符号と前記ユーザーの生体情報もしくは生体情報の取得先とが付加されてなり、前記制御部は、前記生体認証部による認証がされた段階でユーザーによる符号データの入力を受け付けるが前記文書データの内容の表示、印刷または外部機器への送信に関する指示を受け付けないように制御し、入力された符号データと前記保護符号とを照合し両者が一致した段階で前記文書データの表示、印刷または外部機器への送信に係る指示を受け付けるように制御してもよい。
このようにすれば、ユーザーが第2認証レベルの認証を受けた後でなければ機密データの表示、印刷または外部機器への送信に係る指示を受け付けないので、生体情報と保護符号とによって機密データを二重に保護することができる。
【0013】
また、前記符号認証部は、前記符号データの入力を受け付け、前記制御部は、入力された符号データと前記保護符号とを照合してもよい。
このようにすれば、第1認証レベルに係る符号情報の取得と前記照合データの取得はいずれも符号認証部を用いて行うことができるので、コスト的にも有利であり操作手順も統一できるためユーザーにとって便宜である。
【0014】
さらにまた、前記制御部は、第1認証レベルの認証を受けたユーザーについて、前記生体認証部による第2認証レベルの認証を試みてもよい。
このようにすれば、第1認証レベルの認証を受けたユーザーのみが第2認証レベルの認証の対象となるので、不特定の者をすべて対象とする場合に比べて対象者の数が絞られ、生体認証の精度を確保することができ、処理に要する時間も短くてすむ。
【0015】
前記制御部は、前記文書データの表示、印刷または外部機器への送信に係る一連の処理の開始時及びその処理の実行が中断した後の再開時に生体認証部による認証を再度行うように制御してもよい。
例えば、作業終了後にユーザーがログオフの操作を忘れて席に戻るなどして認証レベルが残った場合や処理中に印刷シートがなくなり、ユーザーが印刷シートを取りに行っている間に、他の者がもとのユーザーと入れ代わって一連の処理を開始あるいは再開する操作をする場合が考えられる。しかし、前述した発明の態様によれば、一連の処理の開始または再開の指示がされたときに生体認証部による認証が実行され、もとのユーザーの生体情報と一致しなければ処理の実行がされないので機密データの内容が他の者に知られないようにできる。
また、生体情報はユーザーに固有のものであるので、符号情報を入力しなおすといったような操作よりも簡便であり、ユーザーに負担をかけることなく認証できる。
【0016】
前記符号認証部は、ユーザーに数字、記号および/または文字を入力させて符号情報を取得してもよい。
あるいは、前記符号認証部は、前記符号情報がデータとして格納された携帯可能な記録媒体を接触または非接触で読み取りその符号情報を取得してもよい。
【0017】
前記生体認証部は、ユーザーの顔をカメラで撮影し、撮影されたユーザーの顔相を生体情報として用いてもよい。
このようにすれば、例えばユーザーが操作のために操作部の前にいる状態でユーザーを非接触で認証することができるので、ユーザーに負担をかけることなく認証を行うことができる。
【0018】
前記制御部は、前記文書データの表示、印刷または外部機器への送信に係る一連の処理を実行中、生体認証部による認証を断続的にくり返し、ユーザーが認証されなかった場合に実行中の処理を中断するよう制御してもよい。
このようにすれば、生体認証部による認証が不適合になったときは、即座に表示、印刷または送信の処理が中断され、機密データの内容が漏洩したとしてもそれを最小限にくい留めることができる。
【0019】
また、この発明の文書管理システムにおいて、前記ユーザー端末は、ユーザーによる符号情報の入力を受け付け、受け付けた符号情報を用いてユーザーを認証する端末側符号認証部と、ユーザーの身体的特徴を表す生体情報を用いて前記ユーザーを認証する端末側生体認証部と、前記符号認証部によって第1認証レベルの認証を受け、さらに前記生体認証部によって第2認証レベルの認証を受けたユーザーからの指示として、前記文書データの内容が参照されないための保護符号と前記ユーザーの生体情報もしくは生体情報の取得先とを付加する指示を受け付ける端末側制御部とを備えてなるものであってもよい。
このようにすれば、ユーザーがユーザー端末で第2認証レベルの認証を受け、機密データを生成し、保護符号を付加した後、管理サーバーに格納することができる。さらに、格納された機密データを、前記ユーザーが前記画像形成装置で第2認証レベルの認証を受けて表示、印刷または外部機器へ送信させることができる。
ここで示した種々の好ましい態様は、それらを適宜組み合わせることもできる。
【0020】
以下、図面を用いてこの発明をさらに詳述する。なお、以下の説明は、すべての点で例示であって、この発明を限定するものと解されるべきではない。
図1は、この発明に係る文書管理システムの電気的な構成を示すブロック図である。文書管理システムは、通信ネットワーク47を介して通信可能に接続されたクライアント端末51および53、管理サーバー55、デジタル複合機57および59からなる。図1では、そのうちデジタル複合機59の内部の構成を示している。
【0021】
図1に示す様に、画像形成装置としてのデジタル複合機59は、原稿読取部11、画像処理部13、画像形成部15、制御部21、認証制御部23、カメラ31、生体認証処理部33、カードリーダー35、操作部37、表示部39、メモリー41、時間計測部43および通信部45を含む。
【0022】
原稿読取部11は、原稿を読み取るイメージスキャナ部である。さらに、原稿を一枚ずつ搬送する原稿搬送装置を備えていてもよい。画像処理部13は、原稿読取部11で読み取った原稿のデータを処理して画像形成部15へ印刷用の文書データを出力する。また、通信部45に接続されたネットワーク47を介して外部の機器から受信した文書データを処理する。外部の機器とは、例えば、クライアント端末53であってもよく、また、管理サーバー55であってもよい。画像形成部15は、いわゆるプリンタエンジンであって画像処理部13で処理された文書データをシート上に印刷する。
【0023】
制御部21は、デジタル複合機59の各ブロックの動作や処理を制御し、自らもデータの処理を実行する。制御部21は、具体的にはCPUあるいはマイクロコンピュータで構成される。制御部21は、認証制御部23を含む。即ち、制御部21としてのCPUあるいはマイクロコンピュータが行う制御やデータ処理のうち認証に係るものが認証制御部23に該当する。
【0024】
カメラ31は、操作部37の前で操作を行うオペレーターの顔を撮影する。この実施形態における生体認証は、カメラ31によりオペレーターの顔相を撮影しその特徴を照合することによって行われる。生体認証処理部33は、カメラ31によって捕捉されたオペレーターの顔の画像から顔相の特徴を抽出し、その結果を認証制御部23に渡す。
【0025】
カードリーダー35は、カード認証用の専用IDカードに格納された識別データを読み取って、認証制御部23に渡す。また、操作部37は、オペレーターからの指示を受け付けて制御部21に指示を渡す。表示部39は操作用の画面であって、その具体的構成の一例は、液晶表示装置である。操作部37の具体的構成の一例は、表示部39の液晶表示画面上に配置されたタッチパネルや独立したキースイッチであり、そのタッチパネルが押下された場所や押されたキースイッチを特定するための信号あるいはデータが認証制御部23に渡される。
【0026】
メモリー41は、制御部21が順次処理を実行するためのプログラムやデータを格納し、また、画像処理部13が処理する文書データを格納する読み書き可能なメモリーである。具体的な構成態様としては、揮発性メモリー部としてのDRAMと不揮発性メモリー部としてのハードディスク装置の組み合わせあるいは前記DRAMと不揮発性メモリー部としてのフラッシュメモリの組み合わせが挙げられる。時間計測部43はいわゆるタイマー機能を実現する回路である。通信部45は、外部の通信ネットワーク47を介して外部の機器と通信データをやり取りするためのインターフェイス回路である。
【0027】
(第1の実施形態)
図2は、この発明に係る文書管理システムを用いてユーザーが保護された文書データを印刷する際にやり取りされる認証と文書データの送受を説明する説明図である。つまり、前述の親展印刷を用いた印刷の手順を説明する図である。図2で、オペレーター61は、最初にクライアント端末53上で印刷データを作成する。そして、作成した印刷データにセキュリティー保護を付加した後に、その印刷データを管理サーバー55へ送信する(図2の「(1)文書データ送信」参照)。印刷データは文書データの一態様である。この実施形態で、管理サーバー55はデジタル複合機59と通信可能な別体としているが、両者が一体に構成されてもよい。また、この実施形態で、セキュリティー保護は5桁の暗証番号を付加して行われるものとする。その暗証番号は、オペレーター61に割り当てられた固有の暗証番号である。つまり、オペレーター61を他のオペレーターと識別する暗証番号である。管理サーバー55は、暗証番号が付与された文書データを格納する。
【0028】
次に、オペレーター61は、デジタル複合機59のところへ行き、操作部37を操作して印刷を実行する。
図3は、この発明に係るデジタル複合機の操作部の具体的な外観を示す説明図である。図3で、操作部37の左側約半分の領域を占める矩形の枠内の領域に符号として39を付しているが、これは、その枠内の領域が表示部39としての液晶表示装置により表示された画面であることを示している。つまり、画面内上方の「コピー読み込みできます」のメッセージ、画面略中央の画像形成装置のイラスト、そのイラストの左右にある「特別機能」、「両面コピー」「仕上げ」、「ファイリング」、「自動一時保存」、「原稿」、「コピー濃度」、「用紙」および「倍率」のボタンは、表示画面上のものである。この表示内容は、認証完了後の待機状態の一例である。
【0029】
表示部39の画面上には透明なタッチパネルが配置され、画面内のボタンにオペレーターが触れると画面上の前記ボタンの位置が押下されたことが制御部21に知らされる。制御部21は、画面に表示されている内容と押下された位置とを照合し、押下されたボタンに応じた処理を行う。
【0030】
操作部37の左側半分には、キースイッチが配置されている。「ドキュメントファイリング」、「ファックス/イメージ送信」、「コピー」、「ジョブ状況」、「ユーザー設定」、数字の「0」から「9」まで、「*」、「#/P」、「クリア」、「全解除」、「スタート」といったキースイッチである。
また、「ドキュメントファイリング」、「ファックス/イメージ送信」、「コピー」、「ジョブ状況」の各キースイッチにはランプが設けられている。さらに、「ドキュメントファイリング」キーの左側方にはプリンタの「レディ」と「データ」のランプが設けられている。また、「ファックス/イメージ送信」キーの左側方には「通信中」と「データ」のランプが設けられている。さらに、「スタート」キーには自照式のランプが設けられている。
【0031】
図4は、この発明に係るデジタル複合機の表示部に表示される画面の一例を示す説明図である。図4は、ID認証の暗証コード入力用画面である。図4の画面が表示された状態で、オペレーターは操作部37の「0」から「9」キーを押して5桁の暗証番号を入力しID認証を受ける。
【0032】
図2の説明に戻る。オペレーター61が、デジタル複合機59のところへ行ってまず行うのは、ID認証である(図2の「(2)認証」参照)。クライアント端末53で文書データに付加した暗証番号と同じものを操作部37の「0」から「9」キーを押して入力する。
制御部21は、メモリー41のうち不揮発性メモリー部に予め格納されたID番号と入力された暗証番号が一致すると、図3の待機画面を表示する。即ち、オペレーター61が認証されるとコピー読み込みや後述する親展印刷が可能になる。
【0033】
続いてオペレーター61が操作部37の「ドキュメントファイリング」ボタンを押下すると、管理サーバー55に格納された文書データの照会が行われ(図2の「(3)文書データ照会」参照)、照会の結果が表示部39に表示される。
照会先としての管理サーバー55は、デジタル複合機59のメモリー41の不揮発性メモリー部に予め登録されている。制御部21は、登録された照会先に基づき、通信部45を制御して通信ネットワーク47を介した管理サーバー55にアクセスさせる。
【0034】
管理サーバー55は、3つのセキュリティーレベルの文書データを格納する。第1のレベルは、個人ファイル、第2のレベルは部門ファイル、第3のレベルは共通ファイルである。個人ファイルは、オペレーター個人を識別する暗証番号が付された文書データである。オペレーター61が自分の暗証番号を付加した文書データは個人ファイルに該当する。部門ファイルは、個人の暗証番号でなく部門で共通の暗証番号が付加された文書データである。個人の暗証番号と部門の暗証番号の差異は、各人に異なる暗証番号が割り当てられているか、部門の所属員に共通の暗証番号が割り当てられているかの相違に過ぎない。文書データの認証処理上、両者は同じ手順で処理される。共通ファイルは登録されたユーザーであれば誰でも操作できる文書データである。共通ファイルは、文書データ作成時にオペレーターが暗証番号を付加しなかった文書データである。登録されたユーザーなら誰でも共通ファイルへのアクセスや印刷が可能である。未登録のユーザーは、そもそも管理サーバー55やデジタル複合機59のID認証を通過しないためにそれらの機器の操作ができず、結果的に前記文書データにアクセスできない。
オペレーター61が認証された状態では、オペレーター61の個人ファイルと共通ファイルが照会結果として表示される。
【0035】
図5は、図3の操作部の「ドキュメントファイリング」のボタンが押下されたことに応答して表示部に表示される照会結果の例を示す説明図である。図5の画面は、ID認証のみの段階であって、後述する生体認証が行われていない認証レベルで表示される照会結果である。この認証レベルでは、管理サーバー55に登録された各ユーザーの「ユーザー名」、「保存ファイル数」、「最終保存日」が表示される程度である。印刷、送信、プレビュー表示など、文書データの内容を参照する操作はこの認証レベルでは許可されない。
【0036】
図5に示す様に、管理サーバー55に登録されたユーザーとして“Yamada Taro”、“Sato Ken”および“Akata Hanako”がいる。登録ユーザーの数が多く、一画面に表示しきれない場合は、画面右端部の上下方向の矢印キーを押して画面をスクロールさせると表示されているユーザー以外のユーザーが現われる。ただし、図5の例では、前記矢印キーの上方に「1/1」と表示されているので、“Yamada Taro”、“Sato Ken”および“Akata Hanako”以外の登録ユーザーはないことが判る。
【0037】
登録ユーザー“Yamada Taro”は、管理サーバー55に次の数の文書データを格納している。スキャナによって読み取られた文書データが1つ、クライアント端末から受信した文書データが2つである。ファックスで受信した文書データはゼロである。それらの文書データのうち、最後に文書データが保存された日、即ち直近のデータ格納日は2010年1月25日である。
【0038】
ここで、ID認証を受けたオペレーター61は、“Yamada Taro”であるとする。図5の画面でオペレーター61が自身のユーザー名である“Yamada Taro”の欄を押下すると、それに認証制御部23が応答して生体認証処理が開始される。認証制御部23は、カメラ31がオペレーター61の顔を撮影し、撮影されたオペレーター61の顔の画像を用いて生体認証処理部33が顔相の特徴を抽出して認証制御部23に知らせる。認証制御部23は、登録ユーザーに係るデータの一つとして予め管理サーバー55に登録されている“Yamada Taro”の顔相の特徴と生体認証処理部33によって抽出された特徴とを照合し、既にID認証を受けた“Yamada Taro”についての生体認証を行う。
【0039】
認証制御部23が、カメラ31によって撮影されたオペレーター61がID認証を受けた“Yamada Taro”本人であると判断したら、認証レベルがさらに一段階上がり、ユーザー“Yamada Taro”の管理下にある文書データについてその詳細が表示される。
【0040】
図6は、この発明に係る文書管理システムにおいて、生体認証されたユーザーの管理下にある文書データを表示する画面の一例を示す説明図である。図6に示す様に、表示部39の画面には、“Yamada Taro”の管理下にある3つの文書データについて、それぞれの「ファイル名」、「ページ数」および「日付」が表示されている。さらに、その右側には、「印刷」、「送信」および「表示」ボタンが表示されている。
【0041】
先ほど、オペレーター61がクライアント端末53上で作成した印刷データは、「ファイル名」が“Product_info”、「ページ数」が13枚、格納された「日付」が“2010/01/25”即ち直近に格納された文書データとして表示されている。オペレーター61が“Product_info”が表示された部分を押下すると、制御部21は、その文書データが選択されたと判断し、それを明示するために“Product_info”の欄を反転表示させる(図6に図示せず)。文書データ“Product_info”が選択された状態で「印刷」、「送信」または「表示」ボタンが押下されると、そのボタンに応じて“Product_info”が印刷され、メールまたはFAX送信され、または表示部39にプレビュー表示される(図2の「(4)文書データ送信」参照)。
図2の例では、オペレーター61が「印刷」ボタンを押下して文書データの印刷を行っている(図2の「(5)印刷出力」参照)。
【0042】
≪フローチャートの説明≫
図7は、この発明に係るデジタル複合機の制御部および認証制御部が実行する処理の手順を示すフローチャートである。以下、図7のフローチャートに基づいて処理の流れを説明する。ただし、図7のフローチャートでは、ID認証に代えてカード認証を行う態様を示している。管理サーバー55および複合機59の使用が許可されたユーザーは、それぞれ専用のIDカードが貸与されている。IDカードには、各ユーザーに割り当てられた暗証番号と、各ユーザーの顔相の特徴が予め格納されており、カードリーダー35により読み取り可能であるとする。クライアント端末にも同様のカードリーダーが接続されている。オペレーター61がクライアント端末53に接続されたカードリーダーに自分のIDカードを読み取らせた状態で文書データを作成すれば、IDカードに格納された暗証番号を前記文書データに付加されて管理サーバー55に格納することができる。この状態で図7の最初のステップが開始されるものとする。カードリーダーは接触式でも非接触式でもよいが、以下の説明では非接触式であるとして説明する。
【0043】
最初に制御部21は、ID認証待ちの待機状態で待機する。このとき、表示部39に「カードリーダーにIDカードを読み取らせてください。」のメッセージが表示されるよう制御しつつIDカードの挿入を待つ(ステップS1)。
やがて、オペレーター61がカードリーダー35にIDカードを近接させると、認証制御部23は、IDカードが提示されたことを認識する(ステップS2)
【0044】
認証制御部23は、提示されたIDカードに格納されたデータを読み取りそのデータが有効なデータか否かを確認する(ステップS3)。読み取られたデータが有効ならばルーチンはステップS4へ進み、有効でない場合ルーチンはステップS18進む。ここで、有効なデータとは、予め複合機や管理サーバーに登録された暗証番号と一致するデータのことである。そのデータがIDカードに格納されていれば、複合機や管理サーバーの操作が許可される。しかし、IDカードのデータが予め登録された暗証番号のいずれにも該当しなければ複合機や管理サーバーの操作は許可されない。
【0045】
前記ステップS3で、読み取られたデータが有効な場合、制御部21は、表示部39に図3に示す待機状態の画面を表示させように制御する(ステップS4)。この状態では、まだ生体認証は行われていない。この認証レベルでは、図5に示すように、パネル上に共通ファイルの名称等は表示するが、暗証番号が付加された文書ファイルについては件数のみ表示する。図5の画面で、何れかのユーザーを選択すると、図6のように、そのユーザーに固有の暗証番号が付加された文書ファイルの名称を確認/出力したりプレビュー閲覧したりする画面に移行する。図6の画面に至る途中で、認証制御部23は、生体認証を行う旨のメッセージと生体認証に同意する意思を示す承諾キーおよび同意しない意思を示す非承諾キーを画面に表示させる(図示せず)。そして認証制御部23は、オペレーター61によりいずれかのキーが押下されるのを待つ(ステップS5)。
【0046】
なお、この実施形態では、生体認証の具体的態様として公知の顔認証技術を使用する。だたし、生体認証は顔認証に限定されず、指紋・虹彩・静脈など一般に生体認証に用いられる身体的特徴を識別して認証することができる。好ましくは、非接触で生体認証を行う。
承諾キーが押下されたら、ルーチンはステップS6へ進む。一方、所定時間内に承諾キーが押下されないか、あるいは明示的に非承諾のキーが押下されたら、ルーチンはステップS9へ移行する。
【0047】
前記ステップS5で、承諾キーが押下されたら、制御部21は顔認証中である旨のメッセージを表示部39に表示させ(図示せず)、カメラ31および生体認証処理部33に顔相の特徴を取得させる。そしで、IDカードに予め登録された顔相の特徴データと照合し、カメラ31に撮影されたオペレーター61がIDカードに登録された者と一致するか否かを判定する(ステップS6)。
前記判定の結果(ステップS7)、照合が一致するとルーチンはステップS8へ進む。一方、照合が不一致であればルーチンはステップS21へ進む。
【0048】
前記照合が一致した場合、制御部21は、表示部39に顔認証が完了した旨のメッセージを表示させる(ステップS8)。これらの処理を経た後、制御部21は、図6の画面を表示させる。図6の画面で初めて暗証番号が付加された文書ファイルの名称や種別が表示され、その文書ファイルの印刷、送信、プレビュー確認が許可される。
制御部21は、オペレーター61が文書ファイルを選択し、印刷、送信、プレビューのいずれかのジョブを実行するように指示するのを待つ(ステップS9)。
【0049】
ジョブが選択されたら、制御部21は、選択されたジョブが、顔認証を行ったうえでジョブを開始すべきものかどうかを確認する(ステップS10)。選択された文書ファイルが個人ファイルあるいは部門ファイルの場合は、ジョブ開始時に顔認を行う。一方、選択された文書ファイルが共通ファイルの場合はジョブ開始時に顔認証は不要である。顔認証を要するジョブの場合、ルーチンはステップS11へ進む。一方、顔認証が不要な場合、ルーチンはステップS13へ進む。
【0050】
前記ステップS10の確認で、顔認証を要する場合、認証制御部23は、改めてオペレーター61の顔認証を実行する(ステップS11)。顔認証を行った結果(ステップS12)照合の結果、照合が一致すればルーチンはステップS13へ進み、照合が不一致ならルーチンはステップS21へ進む。
前記ステップS12の顔認証で照合が一致したら、制御部21は、オペレーター61によって指示されたジョブを実行する(ステップS13)。
【0051】
ジョブの実行を終えた後は待機状態に戻り、現在の認証レベルからのログオフが行われたかどうかを監視する(ステップS14)。ログオフが行われたならば、ルーチンはステップS17へ進む。一方、ログオフが行われなければ、ルーチンはステップS15へ進む。
前記ステップS15で、制御部21は、オペレーターが次のジョブを実行するよう指示したか否かを監視する。次のジョブとは、例えば、異なる文書ファイルの印刷であったり、新たな原稿を原稿読取部11に読み取らせてコピー、FAX送信あるいは電子メール送信を行うジョブであったりする。
【0052】
次のジョブの指示を受けた場合、ルーチンはステップS10へ戻る。次のジョブの指示がなければ、ルーチンはステップS16へ進む。
前記ステップS16で、制御部21は、時間計測部43により計測された時間を確認する。時間計測部43は、直前のジョブが終了してからの経過時間を計測している。直前のジョブが終了してから所定の時間が経過していれば、ルーチンはステップS17へ進む。一方、所定の時間がまだ経過していなければ、ルーチンはステップS14に戻る。
前記ステップS14の監視でログオフが行われた場合、制御部21は、前述のステップS1と同様、ID認証待ちの待機状態の画面を表示部39に表示させる(ステップS17)。そして、ルーチンはS1へ戻りループする。
【0053】
次に、前記ステップS3で、読み取られたIDカードのデータが有効でなかった場合の処理を説明する。その場合、認証制御部23は、読み取られたIDカードが不正使用のIDカードかどうかを確認する(ステップS18)。不正使用のIDカードとは、盗難や紛失などがあったためにその暗証番号に係るIDカードの使用を停止すべき旨の登録が管理サーバー55やデジタル複合機59になされているIDカードである。照合の結果、認証制御部23が不正使用のIDカードと判断した場合、ルーチンはステップS19へ進む。一方、不正使用のIDカードでないと判断した場合、ルーチンはステップS20へ進む。
【0054】
前記ステップS19で、制御部21は、デジタル複合機59の付近に設置された専用の状態表示ランプ(図示せず)を点灯あるいは点滅させて、周囲にいるものに対してIDカードの不正使用が行われたことを知らせる。それととともにシステム管理者や本来のIDカードのユーザーに宛てた電子メールを送信して通知する。そして、ルーチンはステップS20へ進む。
前記ステップS20で、認証制御部は、表示部39に「有効なカードではありません」とのメッセージを表示させる。その後、ルーチンはステップS1へ戻る。
【0055】
また、前記ステップS7およびS12の顔認証の結果、照合が不一致であった場合、ルーチンはステップS21へ進むが、ステップS21で制御部21は、表示部39に「確認できませんでした。再認証しますか?」とのメッセージを表示させ、かつ、「はい」と「いいえ」のボタンを表示させる。オペレーター61が「はい」ボタンを押下すると、ルーチンはステップS6へ進み、顔認証をもう一度行う。一方、オペレーター61が「いいえ」ボタンを押下したら、ルーチンはステップS17へ進み、ID認証待ちの画面を表示部39に表示させて待機する。
【0056】
(第2の実施形態)
この実施形態で、認証制御部23は、三段階の認証レベルで文書データを管理する。
第1の認証レベルは、部門管理が主たる目的であり、カード認証またはID認証による認証である。第1認証レベルで認証制御部23は、ユーザーに固有の暗証番号で認証が行われるのではなく、そのユーザーの属する部門に固有の暗証番号で認証を行う。従って、同一の暗証番号で同一部門の複数のユーザーが認証を受ける。
【0057】
第2の認証レベルは生体認証による。この実施形態における生体認証の具体的態様は、顔認証である。第2認証レベルは、第1認証レベルの部門外の者によるなりすましを確実に防止することを第1の目的とする。さらに、後述する第3認証レベルで認証されるべきユーザー以外の者によるなりすましを確実に防止することを目的とする。
【0058】
第3の認証レベルで認証制御部23は、ユーザーに固有の暗証コードで認証を行う。第1および第2認証レベルのみでは、同一部門内の他のユーザーは排除されない。第1認証レベルの暗証番号は部門に固有のものであり、第2認証レベルはその暗証番号に係る部門の者か否かを生態認証によりダブルチェックしているに過ぎないからである。同一部門の者に対しても機密を守るべき文書データは、第3認証レベルで保護する。この実施形態で第3認証レベルはID認証によるものとして説明する。ただし、カード認証も適用可能である。第3認証レベル用の暗証コードは、第2認証レベルで各ユーザーが自ら定義する暗証コードである。各ユーザーは、第2認証レベルで作成した文書データに前記暗証コードを付加して管理する。
【0059】
第1認証レベルがID認証による場合について説明する。この態様によれば、第1認証レベルに係る暗証コードと第2の認証レベルに係る生体情報は「認証サーバー」で一括管理される。前記認証サーバーは、文書管理システムに係るクライアント端末51および53、管理サーバー55、デジタル複合機57および59のいずれとも通信可能であってそれらが照合を行う際に必要な暗証番号や生体情報を提供し得る仮想のサーバーである。前記認証サーバーの具体的な実装形態は、例えば、管理サーバー55やデジタル複合機59のメモリー41のうち不揮発性メモリー部の特定の記憶領域を認証サーバーとして用いるものである。
【0060】
前記認証サーバーに係る記憶領域は、部門別かつユーザー別に階層化され、部門に固有の暗証番号は部門別の階層に格納される。ユーザー別の生体情報と暗証コードとはユーザー別の階層に格納される。前記認証サーバーにユーザーを登録する権限は、各部門で予め定められた特定の「管理者」のみに与えられる。即ち、前記「管理者」には、第3認証レベルで他の者をユーザーとして登録する特権が付与されている。
【0061】
ユーザーの登録は、「管理者」に係る第1認証レベルの暗証番号、第2認証レベルの生態情報および第3認証レベルの暗証コードを確認しつつ、管理サーバー55やデジタル複合機59の操作部37による所定の操作を経て行われる。各ユーザーは前記「管理者」によって、前記認証サーバーに「許可者」として登録される。登録された各ユーザーのデータは、各ユーザーに係る生態情報および暗証コードを含む。「管理者」は、自分が認証サーバーに登録した「許可者」の削除も行える。なお、「許可者」には、他の者をユーザーとして登録する権限や削除する権限は与えられない。
「管理者」の認証サーバーへの登録は、「管理者」および「許可者」に非公開の手順で予め行われる。「管理者」の削除も同様である。
【0062】
次に、第1認証レベルがカード認証による場合について説明する。第1認証レベルがカード認証による場合は、認証サーバーは存在しない。各ユーザーに係る生体情報と暗証コードとは、IDカードに格納される。IDカードは部門ごとに発行される。即ち、部門管理を目的としたIDカードである。IDカード内の記憶領域は、部門共通のルート階層の下にユーザー別の階層が設けられて階層化されている。部門に固有の暗証番号はルート階層に格納される。
【0063】
ユーザー別の生体情報と暗証コードとはユーザー別の階層に格納される。当初のIDカードには、部門の暗証番号と、部門内で予め定められた特定の「管理者」に係る生体情報と暗証コードのみが登録されている。
各ユーザーは前記「管理者」によって、前記IDカードに「許可者」として登録される。登録された各ユーザーのデータは、各ユーザーに係る生態情報および暗証コードを含む。「管理者」は、自分が認証サーバーに登録した「許可者」の削除も行える。
【0064】
続いて、第2の認証レベルの機能について説明する。第2認証レベルは、第1および第3認証レベルの認証と同時に実行される。
まず、第1認証レベルのID認証またはカード認証と同時に、顔認証が実行される。認証制御部23は、第1認証レベルのID認証またはカード認証操作が行われたとき、オペレーターの顔相が暗証番号に係る部門の「管理者」または「許可者」のいずれかであるか否かの照合を行う。当該部門の「管理者」および「許可者」の生体情報は、ID認証の場合は認証サーバーに予め登録されており、カード認証の場合はIDカードに予め登録されている。オペレーターの顔相が、当該部門の「管理者」および「許可者」の何れかの生体情報と一致しなければ、たとえ、暗証番号が有効であっても第1認証レベルの認証は成功しない。ここで、有効な暗証番号とは、その暗証番号が予め複合機や管理サーバーに登録されたいずれかの部門の暗証番号と一致することである。
【0065】
さらに、認証制御部23は、第3認証レベルのID認証(またはカード認証)と同時に、顔認証を実行する。第3認証レベルの場合は、オペレーターの顔相が暗証コードを登録したユーザーと一致するか否かの照合を行う。暗証コードは第2認証レベルで各ユーザーが登録する。認証制御部は、その暗証コードを、登録したユーザーの生体情報と対応付けて格納する。登録したユーザーは、「管理者」または「許可者」として登録されているから、その生体情報はID認証の場合は認証サーバーに予め登録されており、カード認証の場合はIDカードに予め登録されている。オペレーターの顔相が、当該暗証コードに対応付けられた生体情報と一致しなければ、第3認証レベルの認証は成功しない。
【0066】
≪ジョブ実行手順≫
「管理者」および「許可者」が、機密を要する文書データに係るジョブを実行する手順について説明する。このジョブを実行するのが、図8のオペレーター61であるとして説明する。
オペレーター61は、クライアント端末53で前記文書データを作成する。ここで、クライアント端末53には、カメラ31に相当するカメラが接続され、クライアント端末53を操作するオペレーターの顔が撮影できるように構成されている。さらに、クライアント端末53は前記カメラにより撮影された画像に基づいてオペレーター61顔相の特徴を抽出できるように構成されている。
【0067】
オペレーター61は、クライアント端末53で第2認証レベルの認証を受けて、印刷データを作成する。そして、作成した印刷データにセキュリティー保護を付加する。暗証コードが付与された印刷データは管理サーバー55へ送信される。
【0068】
ここで、印刷データへの暗証コードの付与は、例えば、次のようにして行われる。クライアント端末53上でオペレーター61は、作成した文書データを印刷すべく印刷用のダイアログボックスを開く。印刷用のダイアログボックスは、クライアント端末53にインストールされたプリンタドライバによって提供される。前記ダイアログボックスには、生成する印刷データに暗証コードを付加するオプションが用意されている。
【0069】
クライアント端末53は、前記オプションが選択されたとき、オペレーター61の顔認証を行う旨のメッセージと「はい」と「いいえ」のボタンを表示させる。オペレーター61が「はい」を選択すると、クライアント端末53は顔認証を実行し、かつ実行中は顔認証中である旨のメッセージを画面に表示させる。顔認証が成功しない場合、クライアント端末53はクライアント端末53の画面に「確認できませんでした。再認証しますか?」とのメッセージを表示させ、かつ、「はい」と「いいえ」のボタンを表示させる。顔認証を行う旨のメッセージまたは再認証するかどうかのメッセージで「いいえ」が選択されると暗証コードの付加なしで印刷データが生成される。再認証するかどうかのメッセージで「はい」が選択されると、顔認証が再度行われる。
【0070】
顔認証が成功すると、クライアント端末53は、暗証コード入力画面を表示させる。オペレーター61は、その暗証コード入力画面で自分が決めた暗証コードを入力する(図8の「(1)暗証コード入力」参照)。暗証コードの入力が完了すると、クライアント端末53は印刷データを生成し、その印刷データに前記暗証コードを付加する。さらに、その暗証コードをオペレーター61と関連付ける。つまり、前記文書データに暗証コードとユーザーを指定するデータとを付加する。オペレーター61はすでに第2認証レベルの認証を受けているので、認証サーバーまたはIDカードに登録された「管理者」および「許可者」のいずれか一人として特定されている。ユーザーを指定するデータは、その特定された「管理者」および「許可者」を示すものである。そして、暗証コードとユーザー指定とが付加された文書データを管理サーバー55へ送信する(図8の「(2)暗証コード付文書データ送信」参照)。
【0071】
次に、オペレーター61は、デジタル複合機59のところへ行き、操作部37を操作して印刷を実行する。オペレーター61は、デジタル複合機59のところへ行き、管理サーバー55に格納された文書データの印刷操作を行う。印刷は、第3レベルの認証を請けて行う必要がある。即ち、まず第1認証レベルとしてのカード認証またはID認証を行い、そのとき同時に行われる顔認証(第2認証レベル)を通過する。第2認証レベルでオペレーター61が「ドキュメントファイリング」ボタンを押下すると、管理サーバー55に格納された文書データの照会が行われ(図8の「(4)文書データ照会」参照)、照会の結果が表示部39に表示される。図5と同様の画面である。
【0072】
ここで、第2認証レベルの認証を受けたオペレーター61は、“Yamada Taro”であり、“Sato Ken”と“Akata Hanako”は同一部門のユーザーであるとする。他部門のユーザーは、図5の画面に表示されない。オペレーター61は、自身のユーザー名である“Yamada Taro”の欄を押下すると、それに応答して図6と同様の“Yamada Taro”の管理下にある3つの文書データの詳細が表示される。この実施形態においては、“Yamada Taro”と同一部門の“Sato Ken”や“Akata Hanako”の管理下にある文書データついても、“Yamada Taro”として第2認証レベルの認証を受けた“Yamada Taro”はその詳細を表示させることができる。また、暗証コードが付加されていない文書データは、印刷、送信、表示を行うことができる。
【0073】
暗証コードが付加された文書データは、次の手順を経なければ、印刷、送信、表示を行うことができない。“Yamada Taro”であるオペレーター61は、図6の画面で、“Product_info”が表示された部分を押下する。“Product_info”は、先ほどオペレーター61が暗証コードを付加した文書データである。それに応答して、制御部21は、その文書データが選択されたと判断し、それを明示するために“Product_info”の欄を反転表示させる。
【0074】
文書データ“Product_info”が選択された状態で「印刷」、「送信」または「表示」ボタンが押下されると、それに応答して認証制御部23は、第3レベルの認証処理を開始する。ここでは、「印刷」が押下されたものとする。認証制御部23は、まず、暗証コードの入力画面を表示部39に表示させる。暗証コードの入力画面は図4のような画面であるが、第1認証レベルの画面と区別するため「利用者認証」に代えて「文書データ使用者認証」、「登録されたバスワード」に代えて「文書データを使用するための暗証コード」と表示される。
【0075】
オペレーター61が文書データに自ら付加した暗証コードを「0」から「9」キーを用いて入力すると、それに応答して認証制御部23は、入力された暗証コードと“Product_info”に付加された暗証コードを照合する(図8の「(3)第3認証レベルの認証」参照)。照合が一致すると、認証制御部23はさらに生体認証を開始する。認証制御部23は、カメラ31にオペレーター61の顔を撮影させ、生体認証処理部33に顔相の特徴を抽出させ、その顔相の特徴と前記文書データに対応付けられたユーザー“Yamada Taro”の生体情報とを照合する。照合が一致したら、文書データ“Product_info”の印刷を実行する(図8の「(5)文書データ送信」および「(6)印刷出力」参照)。
【0076】
以上のように、第3認証レベルと同時に行われる生態認証は、少なくとも機密の文書データ生成時(複合機側および/または生体認証可能なクライアント端末側での操作)、文書データの印字開始時(複合機側操作)に実行される。
【0077】
なお、機密の文書データが印刷出力されるとデジタルトレイの排出トレイに排出されるが、デジタル複合機59の周辺にいる不特定の第三者がその印刷出力を自由に持ち出せることは好ましくない。機密文書が文書データとしてクライアント端末53、管理サーバー55およびデジタル複合機59に存在する間は暗証コードによって不特定の第三者のアクセスから保護できる。しかし、その文書データがシート上に印刷され有体物として存在するようになった後は、機械的、物理的に第三者のアクセスから保護する必要がある。好ましくは、デジタル複合機59は、機密文書の印刷出力を不特定の第三者のアクセスから保護するように考慮された排出トレイを備える。その排出トレイは、例えば、操作部37で所定の操作を行って前記暗証コードを入力しなければ開錠できないロック機構付きの蓋が排出トレイに備えられている。さらに好ましくは、デジタル複合機59は、ロック機構付きのキャビネットを備える。機密文書の印刷中に紙詰まりが発生し、機内に詰まったシートを除去するためにデジタル複合機の内部を開放する場合、操作部37で所定の操作を行って前記暗証コードを入力しなければシートの搬送路が開放されないようにするためである。
【0078】
≪変形例≫
以上の説明では、第3認証レベルはID認証によるものとしているが、カード認証を適用してもよい。この場合のカード認証とは、次のような態様である。
第1認証レベルの認証がID認証による場合、図8の(1)の暗証コード入力において、オペレーター61は、作成した文書データに暗証コードを付したい場合にIDカードをクライアント端末53が備えるカードリーダーに近接させておく。オペレーター61によって暗証コードが入力されると、クライアント端末53は、印刷データを生成し、その印刷データに前記暗証コードを付加すると共に、IDカードに、前記暗証コードとオペレーター61が顔認証で照合された登録ユーザーの生体情報とを、両者を対応付けて書き込む。前記生体情報は、認証サーバーに登録されている生体情報のコピーである。
【0079】
その後、図8の(3)第3認証レベルの認証において、オペレーター61は、カードリーダー35に、前記暗証コードと生体情報とが対応付けて書き込まれたIDカードを近接させる。文書データ“Product_info”が選択された状態で「印刷」ボタンが押下されると、認証制御部23は、IDカードから前記暗証コードと生体情報とを読み込む。そして、読み込んだ暗証コードと“Product_info”に付加された暗証コードを照合する。照合が一致すると、認証制御部23はさらに生体認証を行い、生体認証処理部33が抽出したオペレーター61の顔相とIDカードから読み込まれた生体情報とを照合する。照合が一致したら、文書データ“Product_info”の印刷を実行する。
【0080】
第1認証レベルの認証がカード認証による場合は、もう少し単純である。図8の(1)の暗証コード入力において、オペレーター61によって暗証コードが入力されると、クライアント端末53は、印刷データを生成し前記暗証コードを付加すると共に、前記暗証コードを顔認証で照合されたオペレーター61に対応付けてIDカードに書き込む。即ち、IDカードには、部門内の各ユーザーがその生体情報に対応付けられた格納されている。前記暗証コードは、顔認証により対応付けられた生体情報と共にそのユーザー固有の情報としてIDカードに格納される。
【0081】
その後、図8の(3)第3認証レベルの認証において、文書データ“Product_info”が選択された状態で「印刷」ボタンが押下されると、認証制御部23は、“Product_info”に付加された暗証コードがIDカードに格納されている何れかのユーザーの暗証コードと一致するか否かを照合する。照合が一致すると、認証制御部23はさらに生体認証を行い、生体認証処理部33が抽出したオペレーター61の顔相とIDカードに登録された前記ユーザーの生体情報とを照合する。照合が一致したら、文書データ“Product_info”の印刷を実行する。
【0082】
≪各認証レベルの意義≫
以上のように、この実施形態によれば、部門管理と機密文書の保護のために3つの認証レベルを用いる。
第1の認証レベルは部門ごとの課金や使用者の管理のためである。さらに、第2認証レベルの生体認証を行う対象を限られた人数に制限することにより生体認証の精度を確保する。
【0083】
第2の認証レベルは、第1認証レベルでのなりすましを防止するためである。さらに、第3認証レベルの認証に係る暗証コードの登録時と認証の際に暗証コードと生体情報とでダブルチェックを行って保護の万全を期すためである。さらに、第1認証レベルのID認証やカード認証を伴う処理を行った後、ログオフを忘れると、不特定の第三者がアクセスできるようになってしまうというリスクがある。しかし、この発明によれば、顔認証された利用者が装置から離れてカメラで認識不能になると、即座にログオフ処理が実行され、ログオフ忘れによるセキュリティー低下を抑制することができる。
第3の認証レベルは、機密文書をユーザーごとに実現するためである。この実施形態によれば、生体認証と組み合わせるので、暗証コードのみによる保護よりも確実な保護が実現される。
【0084】
前述した実施の形態の他にも、この発明について種々の変形例があり得る。それらの変形例は、この発明の範囲に属さないと解されるべきものではない。この発明には、請求の範囲と均等の意味および前記範囲内でのすべての変形とが含まれるべきである。
【符号の説明】
【0085】
11:原稿読取部
13:画像処理部
15:画像形成部
21:制御部
23:認証制御部
31:カメラ
33:生体認証処理部
35:カードリーダー
37:操作部
39:表示部
41:メモリー
43:時間計測部
45:通信部
47:通信ネットワーク
51、53:クライアント端末
55:管理サーバー
57、59:デジタル複合機
61:オペレーター
【特許請求の範囲】
【請求項1】
符号情報を用いてユーザーを認証する符号認証部と、
ユーザーの身体的特徴を表す生体情報を用いて前記ユーザーをさらに認証する生体認証部と、
ユーザーからの指示を受け付け、その指示に応じて機密にすべき文書データに係る表示を行う操作表示部と、
前記文書データの内容を表示、印刷または外部機器へ送信するため画像処理を行う画像処理部と、
前記符号認証部、前記生体認証部、前記画像処理部および前記操作表示部を制御する制御部とを備え、
前記制御部は、前記符号認証部による認証がなされた段階では前記文書データに係る属性を表示するが内容を表示せず、前記生体認証部による認証がなされた段階で内容の表示、印刷または外部機器への送信に関する指示を受け付けるように制御することを特徴とする画像形成装置。
【請求項2】
前記文書データは、その内容が参照されないようにユーザーが指定した保護符号と前記ユーザーの生体情報もしくは生体情報の取得先とが付加されてなり、
前記制御部は、前記生体認証部による認証がされた段階でユーザーによる符号データの入力を受け付けるが前記文書データの内容の表示、印刷または外部機器への送信に関する指示を受け付けないように制御し、入力された符号データと前記保護符号とを照合し両者が一致した段階で前記文書データの表示、印刷または外部機器への送信に係る指示を受け付けるように制御する請求項1に記載の画像形成装置。
【請求項3】
前記符号認証部は、前記符号データの入力を受け付け、
前記制御部は、入力された符号データと前記保護符号とを照合する請求項2に記載の画像形成装置。
【請求項4】
前記制御部は、第1認証レベルの認証を受けたユーザーについて、前記生体認証部による第2認証レベルの認証を試みる請求項1〜3のいずれか一つに記載の画像形成装置。
【請求項5】
前記制御部は、前記文書データの表示、印刷または外部機器への送信に係る一連の処理の開始時及びその処理の実行が中断した後の再開時に生体認証部による認証を再度行うように制御する請求項1〜4のいずれか一つに記載の画像形成装置。
【請求項6】
前記符号認証部は、ユーザーに数字、記号および/または文字を入力させて符号情報を取得する請求項1〜5のいずれか一つに記載の画像形成装置。
【請求項7】
前記符号認証部は、前記符号情報がデータとして格納された携帯可能な記録媒体を接触または非接触で読み取りその符号情報を取得する請求項1〜5のいずれか一つに記載の画像形成装置。
【請求項8】
前記生体認証部は、ユーザーの顔をカメラで撮影し、撮影されたユーザーの顔相を生体情報として用いる請求項1〜7のいずれか一つに記載の画像形成装置。
【請求項9】
前記制御部は、前記文書データの表示、印刷または外部機器への送信に係る一連の処理を実行中、生体認証部による認証を断続的にくり返し、ユーザーが認証されなかった場合に実行中の処理を中断するよう制御する請求項1〜5のいずれか一つに記載の画像形成装置。
【請求項10】
請求項1〜9のいずれか一つに記載の画像形成装置と、
ユーザーの指示に基づいて機密にすべき文書データを生成するユーザー端末と、
生成された文書データを格納する管理サーバーとを備え、
前記ユーザー端末、前記管理サーバーおよび前記画像形成装置がネットワークで接続されてなる文書管理システム。
【請求項11】
前記ユーザー端末は、ユーザーによる符号情報の入力を受け付け、受け付けた符号情報を用いてユーザーを認証する端末側符号認証部と、
ユーザーの身体的特徴を表す生体情報を用いて前記ユーザーを認証する端末側生体認証部と、
前記符号認証部によって第1認証レベルの認証を受け、さらに前記生体認証部によって第2認証レベルの認証を受けたユーザーからの指示として、前記文書データの内容が参照されないための保護符号と前記ユーザーの生体情報もしくは生体情報の取得先とを付加する指示を受け付ける端末側制御部とを備えてなる請求項10に記載の文書管理システム。
【請求項1】
符号情報を用いてユーザーを認証する符号認証部と、
ユーザーの身体的特徴を表す生体情報を用いて前記ユーザーをさらに認証する生体認証部と、
ユーザーからの指示を受け付け、その指示に応じて機密にすべき文書データに係る表示を行う操作表示部と、
前記文書データの内容を表示、印刷または外部機器へ送信するため画像処理を行う画像処理部と、
前記符号認証部、前記生体認証部、前記画像処理部および前記操作表示部を制御する制御部とを備え、
前記制御部は、前記符号認証部による認証がなされた段階では前記文書データに係る属性を表示するが内容を表示せず、前記生体認証部による認証がなされた段階で内容の表示、印刷または外部機器への送信に関する指示を受け付けるように制御することを特徴とする画像形成装置。
【請求項2】
前記文書データは、その内容が参照されないようにユーザーが指定した保護符号と前記ユーザーの生体情報もしくは生体情報の取得先とが付加されてなり、
前記制御部は、前記生体認証部による認証がされた段階でユーザーによる符号データの入力を受け付けるが前記文書データの内容の表示、印刷または外部機器への送信に関する指示を受け付けないように制御し、入力された符号データと前記保護符号とを照合し両者が一致した段階で前記文書データの表示、印刷または外部機器への送信に係る指示を受け付けるように制御する請求項1に記載の画像形成装置。
【請求項3】
前記符号認証部は、前記符号データの入力を受け付け、
前記制御部は、入力された符号データと前記保護符号とを照合する請求項2に記載の画像形成装置。
【請求項4】
前記制御部は、第1認証レベルの認証を受けたユーザーについて、前記生体認証部による第2認証レベルの認証を試みる請求項1〜3のいずれか一つに記載の画像形成装置。
【請求項5】
前記制御部は、前記文書データの表示、印刷または外部機器への送信に係る一連の処理の開始時及びその処理の実行が中断した後の再開時に生体認証部による認証を再度行うように制御する請求項1〜4のいずれか一つに記載の画像形成装置。
【請求項6】
前記符号認証部は、ユーザーに数字、記号および/または文字を入力させて符号情報を取得する請求項1〜5のいずれか一つに記載の画像形成装置。
【請求項7】
前記符号認証部は、前記符号情報がデータとして格納された携帯可能な記録媒体を接触または非接触で読み取りその符号情報を取得する請求項1〜5のいずれか一つに記載の画像形成装置。
【請求項8】
前記生体認証部は、ユーザーの顔をカメラで撮影し、撮影されたユーザーの顔相を生体情報として用いる請求項1〜7のいずれか一つに記載の画像形成装置。
【請求項9】
前記制御部は、前記文書データの表示、印刷または外部機器への送信に係る一連の処理を実行中、生体認証部による認証を断続的にくり返し、ユーザーが認証されなかった場合に実行中の処理を中断するよう制御する請求項1〜5のいずれか一つに記載の画像形成装置。
【請求項10】
請求項1〜9のいずれか一つに記載の画像形成装置と、
ユーザーの指示に基づいて機密にすべき文書データを生成するユーザー端末と、
生成された文書データを格納する管理サーバーとを備え、
前記ユーザー端末、前記管理サーバーおよび前記画像形成装置がネットワークで接続されてなる文書管理システム。
【請求項11】
前記ユーザー端末は、ユーザーによる符号情報の入力を受け付け、受け付けた符号情報を用いてユーザーを認証する端末側符号認証部と、
ユーザーの身体的特徴を表す生体情報を用いて前記ユーザーを認証する端末側生体認証部と、
前記符号認証部によって第1認証レベルの認証を受け、さらに前記生体認証部によって第2認証レベルの認証を受けたユーザーからの指示として、前記文書データの内容が参照されないための保護符号と前記ユーザーの生体情報もしくは生体情報の取得先とを付加する指示を受け付ける端末側制御部とを備えてなる請求項10に記載の文書管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2011−221847(P2011−221847A)
【公開日】平成23年11月4日(2011.11.4)
【国際特許分類】
【出願番号】特願2010−91349(P2010−91349)
【出願日】平成22年4月12日(2010.4.12)
【出願人】(000005049)シャープ株式会社 (33,933)
【Fターム(参考)】
【公開日】平成23年11月4日(2011.11.4)
【国際特許分類】
【出願日】平成22年4月12日(2010.4.12)
【出願人】(000005049)シャープ株式会社 (33,933)
【Fターム(参考)】
[ Back to top ]