【課題】記憶されているジョブの実行を不能にすることないセキュリティの強化を実現する。
【解決手段】情報機器がセキュリティモードを非強化モードから強化モードに切り替える際に、記憶しているジョブの中に強化モードのセキュリティ要件を満たさないジョブがあるかどうかを判別し、セキュリティ要件を満たさないジョブがある場合には、当該ジョブの実行を可能にしつつセキュリティ要件を満たすようにする予め定められた処置を実行し、当該処置が終了した後にセキュリティモードを強化モードへ切り替え、セキュリティ要件を満たさないジョブがない場合には、処置を実行せずにセキュリティモードを強化モードへ切り替える。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は画像形成装置および情報機器のためのセキュリティモードの切替え方法に関する。
【背景技術】
【０００２】
ＯＡ（Office Automation）機器と呼ばれるビジネスユースの情報機器の一つに複合機がある。近年の複合機は、コピー、プリント、イメージ入力、ファクシミリ通信、メール送受、データ保存などに利用可能な多機能周辺機器（ＭＦＰ：Multifunction Peripherals）として知られている。複合機は企業内のネットワークに組み込まれ、複合機に備わる操作パネルによる操作入力またはネットワークに接続されたコンピュータによるアクセスに応じて動作する。
【０００３】
このような複合機の多くが蓄積ジョブ機能を有している。蓄積ジョブ機能とは、与えられたジョブが蓄積ジョブと呼称する特定のジョブである場合に、それを直ちに実行せずにいったん記憶しておき、その後に実行指示操作が行われたときまたは予約された時期が到来したときに当該ジョブを実行する機能である。蓄積ジョブの代表例として、機密プリントジョブがある。コンピュータを操作するユーザは、複合機にドキュメントをプリントさせる際に機密プリント（親展プリントともいう）を指定することができる。機密プリントを指定したとき、ユーザはジョブに対するパスワードを入力する。複合機はコンピュータから与えられた機密プリントジョブを記憶する。ユーザが複合機の設置場所へ出向き、複合機の操作パネルによってパスワードを入力してプリントの開始を指示すると、記憶されている機密プリントジョブが実行される。機密プリントによれば、ドキュメントのプリントされた用紙をユーザがその場で受け取ることができるので、他人に用紙を覗き見されたり持ち去られたりするのを無くすことができる。
【０００４】
また、複合機の多くがセキュリティ機能を有している。動作設定においてセキュリティ機能が有効とされた状態の複合機は、ユーザ認証を行い、それによって不特定のユーザによる使用を防ぐ。認証されたユーザであっても、アクセス権限がなければ、複合機が記憶しているデータやジョブへのアクセスが禁止される。
【０００５】
複数のセキュリティモードを有した複合機においては、使用環境や運用状況に応じてセキュリティを強化しまたは緩和することができる。一般に、セキュリティを強化すると、強化以前よりも桁数の大きいパスワードを入力しなければならないというように、操作が面倒になる。したがって、通常はセキュリティを強化しないでおいて、必要なときだけセキュリティを強化するようにセキュリティモードを適時に切替える運用が考えられる。
【０００６】
セキュリティモードの切替えに関する先行技術としては、セキュリティを緩和するモード切替えに際して、機密保持の必要なジョブが記憶されている場合に、警告し、当該ジョブの消去を促す表示をし、または当該ジョブを消去する技術がある（特許文献１）。この先行技術によれば、機密保持の必要なジョブに対してユーザ以外の者が容易にアクセスできてしまうという状況の発生を防ぐことができる。
【先行技術文献】
【特許文献】
【０００７】
【特許文献１】特開２００８−２９４５７２号公報
【発明の概要】
【発明が解決しようとする課題】
【０００８】
セキュリティモードの切替えによってセキュリティが強化されたとき、既に記憶されている蓄積ジョブや保存されているデータのうち、強化後のセキュリティ要件を満たさないものにユーザがアクセスできないという事態が発生した。例えば、蓄積ジョブに付与されているパスワードが強化時のパスワード規約を満たさないことがある。この場合にユーザの入力したパスワードが受け付けられず、ユーザは蓄積ジョブを実行させることができない。
【０００９】
セキュリティ要件を満たさないジョブが記憶されたままでは、セキュリティを強化したことにならない。そこで、当該ジョブを強制的に消去することが考えられる。しかし、消去してしまうと、当該ジョブの実行を予定していたユーザの困惑するおそれがある。
【００１０】
本発明は、このような事情に鑑み、記憶されているジョブの実行を不能にすることないセキュリティの強化を実現することを目的としている。
【課題を解決するための手段】
【００１１】
上記目的を達成する方法は、ジョブを記憶して指示に従って実行する機能を有した情報機器のためのセキュリティモードの切替え方法であって、セキュリティモードを非強化モードから強化モードに切り替える際に、記憶しているジョブの中に前記強化モードのセキュリティ要件を満たさないジョブがあるかどうかを前記情報機器が判別し、前記セキュリティ要件を満たさないジョブがある場合には、当該ジョブの実行を可能にしつつセキュリティ要件を満たすようにする予め定められた処置を前記情報機器が実行し、当該処置が終了した後に前記情報機器がセキュリティモードを前記強化モードへ切り替え、前記セキュリティ要件を満たさないジョブがない場合には、前記情報機器が前記処置を実行せずにセキュリティモードを前記強化モードへ切り替えることを特徴とする。
【発明の効果】
【００１２】
本発明によれば、強化によってセキュリティ要件を満たさなくなるジョブが記憶されている場合にも当該ジョブの実行を不能にすることなくセキュリティを強化することができる。
【図面の簡単な説明】
【００１３】
【図１】画像情報処理システムの構成を示す図である。
【図２】画像形成装置の外観図である。
【図３】画像形成装置のハードウェア構成を示す図である。
【図４】画像情報処理システムの機能構成を示すブロック図である。
【図５】セキュリティの設定操作のためのセキュリティモード切替え画面を示す図である。
【図６】強化モードの設定に係る仮強化設定処理のフローチャートである。
【図７】仮強化設定処理における蓄積ジョブに対する処置ルーチンのフローチャートである。
【図８】蓄積ジョブに対する処置における他の装置への移管ルーチンのフローチャートである。
【図９】蓄積ジョブに対する処置におけるユーザへの移管ルーチンのフローチャートである。
【図１０】仮強化設定ルーチンのフローチャートである。
【図１１】操作のためのボックス画面を示す図である。
【図１２】操作のためのパスワード入力画面を示す図である。
【図１３】機密プリントルーチンのフローチャートである。
【図１４】操作のための移管先通知画面を示す図である。
【図１５】操作のための通常の機密プリント画面を示す図である。
【図１６】操作のための特別の機密プリント画面を示す図である。
【図１７】操作のためのユーザ用のパスワード入力画面を示す図である。
【図１８】操作のための管理者用のパスワード入力画面を示す図である。
【発明を実施するための形態】
【００１４】
セキュリティモードの切替えが可能な情報機器の例としてプリントジョブを実行する画像形成装置を挙げる。まず、画像形成装置を有した画像情報処理システムの構成を説明し、その後に画像形成装置のセキュリィティを強化する手順を説明する。
【００１５】
図１に例示される画像情報処理システム１は、用紙に画像をプリントする複数の画像形成装置２，２ｂと、画像形成装置２，２ｂにプリントジョブを与えるクライアント５，６，７とを備える。本例において画像形成装置２，２ｂは同一構成の複合機である。複合機はＭＦＰとも呼ばれる多機能の情報機器であり、基本機能であるコピーおよびネットワークプリンティングに加えて、イメージ入力・ファクシミリ通信・メール送受・ドキュメントの保存などの種々の機能を有する。ドキュメントを保存するためのストレージとして、ハードディスクドライブが画像形成装置２，２ｂに内蔵されている。クライアント５，６，７は、パーソナルコンピュータに代表される情報処理装置である。画像形成装置２，２ｂおよびクライアント５，６，７は、有線または無線の通信路を含むネットワーク４を介した相互のアクセスおよび相互のデータ交換が可能である。
【００１６】
図２には画像形成装置２，２ｂの代表として画像形成装置２が描かれている。図２のように画像形成装置２は、原稿搬送部２１、スキャナ部２２、プリンタ部２３および給紙部２４を備える。これら四つの部分は積み重なるように配置され、タワー状の外観を形成する。最も上の部分である原稿搬送部２１はユーザがセットした原稿を１枚ずつ下方のスキャナ部２２に自動搬送する。スキャナ部２２は、原稿に記録された文字、記号、画像などの情報を光学的に読み取る。スキャナ部２２の下方に配置されたプリンタ部２３は、コピー、ネットワークプリンティングまたはファクシミリ受信といったジョブの実行に際して、給紙部２４から供給される用紙上に画像を形成する。画像の形成された用紙はプリント出力として排出口２３ａから排出される。最も下の部分である給紙部２４は、多段式の用紙ストッカを備え、ジョブの指定に応じたサイズの用紙を選択的にプリンタ部２３に供給する。
【００１７】
画像形成装置２に対して、ユーザは直接の操作によって所望のジョブを実行させることができる。操作のためのマンマシンインタフェースとして、表示部２６および操作部２７がスキャナ部２２の前側に配置されている。表示部２６は操作画面を表示するためのディスプレイとしてＬＣＤ(Liquid Crystal Display)を有し、ユーザに対してジョブに関する情報やその他の情報を表示する。操作部２７は、表示部２６のディスプレイの前面に重ねられたタッチパネル２８とディスプレイの近傍に配置された操作ボタン群２９とを有する。
【００１８】
図３のように画像形成装置２は、上述した要素の他に、制御回路を構成する要素として、ＣＰＵ（Central Processing Unit）１０、ＲＯＭ(Read-Only Memory)１１、ＲＡＭ(Random Access Memory)１２、記憶部１３および通信インタフェース１４を備えている。ＣＰＵ１０はＲＯＭ１１に格納されるプログラムをＲＡＭ１２に読み出して実行する。これにより、画像形成機能が実現されるとともに、セキュリティモードを切り替える機能が実現される。記憶部１３は、ハードディスクドライブや半導体メモリといった記憶デバイスとそれにアクセスするための回路を備える。通信インタフェース１４は、ネットワーク４を介してクライアント５，６，７または他の情報処理装置とデータ通信を行ったり、電話回線を通じてファクシミリ送受信を行ったりするための手段である。なお、ＲＯＭ１１に記憶されるプログラムは、必要に応じてネットワーク４またはインターネットを介して外部の装置からダウンロードされ、最新バージョンのプログラムに更新される。
【００１９】
記憶部１３が有する不揮発性のメモリ領域の一部はいわゆるボックスに設定され、他の一部は画像形成装置２の制御に係わるデータの記憶に用いられる。ボックスはクライアント５，６，７のユーザが電子データ化された各種ドキュメントのファイルを保存したり、管理者が管理用のデータを保存したりするのに利用される。記憶部１３にはジョブ情報１５およびセキュリティ状態１９が記憶される。
【００２０】
記憶部１３はジョブ情報１５を記憶する。ジョブ情報１５は蓄積ジョブに関する情報であり、プリント出力の部数情報、仕分け（ソート）情報、両面プリント指定情報を含む。そして、ネットワーク４を介してジョブを受信する場合には、ジョブ情報１５にメールアドレス１６、パスワード１７および地紋１８の含まれることがある。メールアドレス１６は、ジョブを生成したクライアント５を利用するユーザに対して登録された電子メールのアドレスである。パスワード１７は、ジョブを生成したクライアント５を利用しているユーザが入力する認証用の情報である。本実施形態においてパスワード１７は、機密プリントジョブやパスワード付きボックス保存ジョブで使用される。地紋１８は、ジョブを生成したクライアント５を利用しているユーザによる地紋に係る設定の内容を示す情報である。ドキュメントのプリントにおいてコピーすると所定の文字や図が顕在化する地紋を付与することにより、複製を抑制する効果が生じる。
【００２１】
また、記憶部１３はセキュリティ状態１９を記憶する。セキュリティ状態１９は、画像形成装置２のセキュリティレベルの設定状態、すなわち現在のセキュリティモードを示す。セキュリティモードには非強化モードとそれよりもセキュリティレベルの高い強化モードとがある。強化モードが設定されてセキュリティが強化された状態（強化モードＯＮ状態）では、非強化状態よりも厳しいパスワード規約を満たさない蓄積ジョブは受信後に直ちに破棄され、パスワード規約を満たす蓄積ジョブはそれを記憶する際に必ず暗号化される。
【００２２】
図４は画像情報処理システム１の機能構成を示す。
【００２３】
画像形成装置２において、ＣＰＵ１０はプログラムを実行することにより、ジョブ管理部３２およびジョブ実行部３３として機能する。ジョブ管理部３２は、ジョブ情報１５から実行する蓄積ジョブを読み出してジョブ実行部３３に実行させる。ジョブ管理部３２は、ジョブ登録部３４とジョブ指定部３５とジョブ制御部３６とを有する。ジョブ登録部３４はネットワーク４を介して受信した蓄積ジョブをジョブ情報１５に登録する。ジョブ指定部３５は、ジョブ情報１５に記憶されている複数のジョブのうちから一つのジョブを指定する。ジョブ制御部３６は受信した蓄積ジョブを記憶部１３に記憶させる。その際にジョブ制御部３７はジョブに含まれるドキュメントデータをプリント用の画像データに変換する。ジョブ実行部３３は、ジョブ管理部３２から与えられたジョブを実行する機能要素である。プリントジョブを受けたとき、ジョブ実行部３３は、原稿搬送部２１、スキャナ部２２、プリンタ部２３および給紙部２４の駆動制御をする。
【００２４】
一方、図４で代表として例示するクライアント５は、通信インタフェース５１、ＣＰＵ５２、表示部５３および操作部５４とを備えている。通信インタフェース５１はネットワーク４を介して画像形成装置２とデータ通信するための手段である。ＣＰＵ５２は制御プログラムやアプリケーションプログラムを実行して情報処理装置としての各種機能を実現する。そして、ＣＰＵ５２は、クライアント５のユーザがキーボードやマウスを有した操作部５４によってプリント指示を入力した場合には、プリンタドライバ（ソフトウェア）を実行することによってジョブ生成部５６およびジョブ送信部５７として機能する。
【００２５】
クライアント５において、ユーザがハードディスクドライブ５５に格納された多数のファイルの中からプリントするファイル（元データ）を選択してプリント指示を与えると、プリンタドライバが表示部５３に所定の操作画面を表示させる。操作画面には、機密プリント用のＩＤとパスワードを入力するための画面や地紋を設定するための画面が含まれる。ユーザによる操作に応じて、ジョブ生成部５６がプリント対象の元データを組み入れたジョブを生成する。生成されたジョブをジョブ送信部５７が画像形成装置２に送信する。
【００２６】
以上の構成の画像情報処理システム１において、画像形成装置２のセキュリティは次の手順で強化される。
【００２７】
本例ではセキュリティモードの切替え操作は画像形成装置２の管理者によって行われる。管理者は、画像形成装置２の操作部２７によって管理者用パスワードの入力を含む所定の入力操作を行い、図５に示すセキュリティモード切替え画面Ｑ１０を表示部２６に表示させる。
【００２８】
図５（Ａ）のようにセキュリティモード切替え画面Ｑ１０では、左端部にジョブリストＬ１が配置され、ジョブリストＬ１の右側に案内メッセージＭ１および二つの設定ボタンＢ１，Ｂ２が表示される。設定ボタンＢ１（ＯＦＦボタン）は強化モードを非強化モードに切替える場合に押下され、設定ボタンＢ２（ＯＮボタン）は非強化モードを強化モードに切替える場合に押下される。図５（Ａ）では、セキュリティモードが非強化モードであるのを表すために設定ボタンＢ１が強調表示されている。
【００２９】
ジョブリストＬ１にはクライアント５，６，７から与えられた実行待ち状態のジョブが一覧表示される。ただし、蓄積ジョブは実行が指示されて実行待ちになるまではジョブリストＬ１の表示対象外である。通常、セキュリティモードの切替えは実行待ち状態のジョブがないときに行われる。図５（Ａ）においてジョブリストＬ１内にジョブはない。これは実行待ち状態のジョブがないことを示す。
【００３０】
管理者はセキュリティを強化するために設定ボタンＢ２を押下する。そうすると、記憶している蓄積ジョブに対して後述する所定の処置が行われ、処置が終了した後に非強化モードが強化モードに切り替わる。処置の開始から強化モードに切り替わるまでの状態である“強化モード仮ＯＮ状態”では、図５（Ｂ）のように仮ＯＮボタンＢ３および案内メッセージＭ２を有したセキュリティモード切替え画面Ｑ１０ｂが表示される。仮ＯＮボタンＢ３は強化モード仮ＯＮ状態であることを表すだけのアイコンである。仮ＯＮボタンＢ３が押下されても画像形成装置２の状態は変化しない。
【００３１】
強化モード仮ＯＮ状態となる期間の長さは不定である。蓄積ジョブがない場合のように処置に係る仮強化設定ルーチンの処理が即座に終了する場合もあれば、切替えの猶予として定めた例えば数日〜２週間といった日数の期間にわたって強化モード仮ＯＮ状態が続くこともある。管理者は、強化モード仮ＯＮ状態が長く続く場合には、いったん管理者モードを終了させてユーザ用の操作画面を表示するユーザモードに戻し、以後の適時に改めてセキュリティモード切替え画面Ｑ１０を表示させて強化モードか否かを確認すればよい。そのとき、強化モードであれば、図示は省略するが、セキュリティモード切替え画面Ｑ１０において設定ボタンＢ１に代わって設定ボタンＢ２が強調表示される。強化モード仮ＯＮ状態であれば、セキュリティモード切替え画面Ｑ１０ｂが表示される。
【００３２】
強化モード仮ＯＮ状態において、クライアント５，６，７からの通信または画像形成装置２の直接の操作で新たに与えられるジョブに対しては、強化モードにおけるセキュリティ要件が適用される。例えば、ジョブに付与されるパスワードは強化されたパスワード規約を満たす必要がある。したがって、新たなジョブの入力によって画像形成装置２のセキュリティが低下することない。
【００３３】
強化モード仮ＯＮ状態で行われる蓄積ジョブに対する処置は、強化モードのセキュリティ要件を満たさない蓄積ジョブに対してそのユーザがアクセスできないという不都合の発生を防ぐとともに、そのような蓄積ジョブが記憶され続けるという脆弱な状況を早期に終わらせるために行われる。本例では、蓄積ジョブに対する処置の選択肢として次の三つの処理が定められている。
（１）ジョブの実行および記憶が可能な外部機器（他の装置）へ当該ジョブを移す。
（２）ジョブに含まれるデータを暗号化して当該ジョブを与えたユーザにメール通信によって返却する。
（３）管理者用の記憶手段にジョブを記憶させる。
【００３４】
以下、フローチャートを用いてセキュリティの強化に関わる画像形成装置２の動作を説明する。
【００３５】
上述のセキュリティモード切替え画面Ｑ１０における設定ボタンＢ２（ＯＮボタン）の押下に呼応して、図６に示される仮強化設定処理が実行される。最初に画像形成装置２は強化モード仮ＯＮ状態となる期間の最大長さを規定するタイマをセットする（＃１１）。ここでいうタイマのセットとは、設定ボタンＢ２の押下からの経過時間の判定を可能にする処理であればよく、カウンタによる計時の開始に限らず、設定ボタンＢ２の押下の日時の記憶であってもよい。
【００３６】
画像形成装置２は、記憶部１３に蓄積された全てのジョブを対象にして、パスワードが付与されたジョブを検索する（＃１２、＃２０）。パスワードを含む蓄積ジョブが見つかると、画像形成装置２は当該蓄積ジョブからパスワードを抽出する（＃１３）。このとき、共通鍵による暗号化および復号化が双方向に可能とされている場合には、暗号化されたパスワードに対して共通鍵を適用してパスワードを復号化する。続いて、画像形成装置２は抽出したパスワードが強化モードのパスワード規約を満たしているかどうかをチェックする（＃１４）。パスワード規約を満たす蓄積ジョブは処置の対象外である。蓄積ジョブのパスワードがパスワード規約を満たさない場合は、さらに地紋設定の有無をチェックする（＃１５）。本例のセキュリティポリシーにおいて、複製が抑制される地紋設定はセキュリティの強化に適合する。したがって、パスワードがパスワード規約を満たさず且つ地紋設定のない蓄積ジョブが、処置の対象となる強化モードのセキュリティ要件を満たさないジョブである。
【００３７】
チェックした蓄積ジョブが処置の対象であれば、画像形成装置２は図５（Ｂ）に示したセキュリティモード切替え画面Ｑ１０ｂを表示する（＃１６）。案内メッセージＭ２および強調表示された仮ＯＮボタンＢ３は、画像形成装置２の状態が強化モード仮ＯＮ状態であることを管理者に知らせる。セキュリティモード切替え画面Ｑ１０ｂの表示に続いて、直ちに画像形成装置２は所定の処置を始める。
【００３８】
本例では、処置対象の蓄積ジョブのそれぞれに対して、選択肢である上記三つの処理のいずれか一つが実行される。実行可能であればどの処理を選択してもよいが、本例では次のようにして一つの処理が選択される。
【００３９】
まず、画像形成装置２は当該蓄積ジョブの受け入れが可能な他の装置の有無をチェックする（＃１７）。当該蓄積ジョブを受け入れるには、非強化モードまたはそれと同等かよりセキュリティ要件の緩いモードが設定されており、かつジョブを記憶するだけでなく実行に必要な機能を有していることが必要である。本例の画像情報処理システム１においては、画像形成装置２と同型の画像形成装置２ｂが非強化モードであれば、画像形成装置２ｂが受け入れ先の候補となる。ただし、受け入れ先は画像形成装置２と同型に限定されない。受け入れ先の有無を調べる方法としては、モードを問い合わせるブロードキャストパケットをネットワーク４へ送出して応答をチェックする方法がある。なお、画像形成装置２のセキュリティを強化するのに画像形成装置２ｂでは強化しない状況としては、より重要なデータの保存や出力には画像形成装置２を用いるというシステム運用上の取り決めがなされている場合が考えられる。
【００４０】
受け入れ先があれば、他の装置への移管ルーチン（＃２１）に進んで当該蓄積ジョブを受け入れ先へ移す。受け入れ先がなければ、次に画像形成装置２は当該蓄積ジョブにメールアドレスが含まれているかどうかをチェックする（＃１８）。メールアドレスが含まれている場合には、ユーザへの移管ルーチン（＃２２）へ進み、後述のように当該蓄積ジョブのデータを添付した電子メールをユーザに送る。
【００４１】
当該蓄積ジョブを他の装置へ移すこともユーザに返すこともできない場合には、当該蓄積ジョブを画像形成装置２内でセキュリティ対策を施して保管する。詳しくは、当該蓄積ジョブをそれが記憶されているメモリ領域から消去予定のデータを暫定的に記憶するために設けたパスワード付の管理者用ボックスへ移す（＃１９）。管理者用ボックスで記憶するにあたって当該蓄積ジョブをこれに含まれるパスワードを用いて暗号化する。
【００４２】
蓄積された全てのジョブについての処置の要否の判別が終わった時点で強化モード仮ＯＮ状態でなければ、画像形成装置２はセキュリティモードを強化モードに設定する（＃２３，＃２４）。これにより、非強化モードが強化モードに切り替わる。
【００４３】
このような仮強化設定処理におけるステップ＃１２〜＃１８の処理を実行するＣＰＵ１０が、セキュリティの強化によってセキュリティ要件を満たさなくなるジョブがあるかどうかを判別する判別手段に相当する。ステップ＃１９、＃２１および＃２０の処理を実行するＣＰＵ１０が、ジョブの実行を可能にしつつセキュリティ要件を満たすようにする予め定められた処置を実行する処置手段に相当する。そして、ステップ＃２３，＃２４の処理および後述する図９の強化設定ルーチンを実行するＣＰＵ１０が、セキュリティを強化するセキュリティモード切替え手段に相当する。
【００４４】
図７は他の装置への移管ルーチンの処理を示す。画像形成装置２は蓄積ジョブを蓄積ジョブに含まれるパスワードで暗号化し（＃２１１）、暗号化した蓄積ジョブを受け入れ先の装置へ送信する（＃２１２）。受け入れ先から正常応答が得られて送信が完了した後、画像形成装置２は記憶部１３内の蓄積ジョブを消去して登録を削除し（＃２１３）、削除履歴を登録する（＃２１４）。
【００４５】
図８はユーザへの移管ルーチンの処理を示す。画像形成装置２は蓄積ジョブからメールアドレスを抽出してメールの宛先に設定する（＃２２１、＃２２２）。蓄積ジョブの画像データを当該ジョブに含まれるパスワードを使用して暗号化し（＃２２３）、暗号化した画像データを添付ファイルとしてメールに付加する（＃２２４）。さらに、メールヘッダに開封済み確認メッセージを付加する（＃２２５）。そして、メールを送信する（＃２２６）。
【００４６】
メールを送信しても直ぐには蓄積ジョブは削除されない。本例において、蓄積ジョブの削除はメールの開封を知らせる開封通知の受信を待って行われる。ユーザがメールをいつ開封するかは定かではなく、例えばメール送信から数日以上が経って開封通知が届くことも考えられる。開封通知の受信確認は図９に示される強化設定ルーチンで行われる。強化設定ルーチンは、画像形成装置２の電源ＯＮ状態において繰り返される制御ループに組み込まれたルーチンの一つであり、自動的に実行される。
【００４７】
図９のように強化設定ルーチンにおいて最初に画像形成装置２はタイムアウトかどうかをチェックする（＃３１）。タイムアウトは、現状の強化モード仮ＯＮ状態が始まった時点から現時点までの期間が規定の長さに達したことを意味する。すなわち、このチェックは、非強化モードから強化モードへの切替えの猶予期間中であるか猶予期間が満了したかどうかのチェックである。
【００４８】
猶予期間中である場合、画像形成装置２は開封通知の受信の有無をチェックする（＃３２）。開封通知の受信があれば、ユーザへの移管ルーチンで送信したメールがユーザに届いたことは確かである。開封通知は、ユーザが通知ジョブやメール返信によって意図的に送信するものでも、クライアント５，６，７に組み込まれた手段が開封を検知して自動的に送信するものでもよい。
【００４９】
開封通知の受信があった場合には、画像形成装置２は、それまで削除を保留していた該当する蓄積ジョブを削除し（＃３３）、蓄積ジョブの削除を履歴情報に登録する（＃３４）。そして、今回の削除によって開封通知を待つ蓄積ジョブがなくなり、処置の対象である蓄積ジョブが残っていなければ、画像形成装置２はセキュリティモードを強化モードに設定する（＃３５、＃３８）。これにより、設定ボタンＢ２の押下に呼応した画像形成装置２のモード切替え動作が完結する。開封通知の受信がない場合は、仮ＯＮ時のジョブ受信ルーチンの処理（＃３６）が実行される。
【００５０】
一方、猶予期間が満了している場合には、画像形成装置２は開封通知を待つ蓄積ジョブを上述の管理者用ボックスへ移し（＃３７）、その後にセキュリティモードを強化モードに設定する（＃３８）。つまり、強化モード仮ＯＮ状態が強制的に終了される。
【００５１】
図１０は仮ＯＮ時のジョブ受信ルーチンのフローチャートである。このルーチンにおいて、画像形成装置２は、ジョブの受信を待ち受け（＃５１）、新たなジョブの受信に応答する。受信したジョブがパスワードの付与されたジョブでなければ、そのジョブを実行する（＃５２、＃５６）。ここでの実行は、ジョブが蓄積ジョブである場合にそれをリストに登録して記憶する動作を含む。新たに受信したジョブがパスワードの付与されたジョブであれば、画像形成装置２は、付与されているパスワードが強化モードのパスワード規約を満たすかどうかをチェックする（＃５３）。パスワード規約を満たすジョブが実行され（＃５６）、パスワード規約を満たさないジョブは破棄される（＃５４）。ジョブの破棄に際して、画像形成装置２は、ユーザにジョブの破棄を通知する（＃５５）。
【００５２】
ジョブの破棄を通知することにより、ユーザが困惑するのを防ぐことができる。強化モード仮ＯＮ状態では、パスワード規約が強化されて間もないので、パスワード規約が強化されたことを承知していないユーザがいると考えられる。そのようなユーザにより与えられたパスワードに不備のあるジョブを破棄することで画像形成装置２のセキュリティが保たれる。しかし、破棄を通知しなければ、ジョブの実行されない理由が分からずにユーザが困惑するかもしれない。特に蓄積ジョブについてみると、ユーザが画像形成装置２にジョブが記憶されていると思い込んでクライアント側で元データを消去してしまうことも起こり得る。このような事態を防ぐためにジョブの破棄が通知される。破棄の通知には理由を付すのが望ましい。例えば「セキュリティが強化されたので、このジョブを実行できません。規約を満たすようにパスワードを変更してください。」というようなメッセージを含めるとよい。通知の手法は、電子メールでもよいし、ＴＣＰ／ＩＰを用いる独自の通信でもよい。クライアントのディスプレイにポップアップ表示するものでもよい。
【００５３】
次に、強化モード仮ＯＮ状態においてユーザが蓄積ジョブへアクセスする場合の画像形成装置２の動作を説明する。
【００５４】
パスワード付の蓄積ジョブは、記憶部１３に設けられる図示しない機密ボックスに記憶される。この機密ボックスへのアクセスには図１１に例示されるボックス画面Ｑ２０が用いられる。図１１のように、ボックス画面Ｑ２０は機密ボックスにアクセスするための選択ボタンＢ２１を有する。
【００５５】
蓄積ジョブへのアクセスの例として、ユーザが機密プリントを実行させようとする場合を想定する。ユーザはボックス画面Ｑ２０を表示させ、選択ボタンＢ２１の押下によって機密ボックスを選択する。選択ボタンＢ２１の押下に呼応して図１２に示すパスワード入力画面Ｑ２１が表示される。ユーザはパスワード入力画面Ｑ２１において機密文書のＩＤとパスワードを入力する。
【００５６】
図１３は画像形成装置２が実行する機密プリントルーチンのフローチャートである。画像形成装置２は、ログイン処理（＃６１）においてユーザによるアクセスを受け付け、パスワード入力画面Ｑ２１によってユーザの指定した蓄積ジョブが画像形成装置２内にあるかどうかをチェックする（＃６２）。当該蓄積ジョブがあれば、当該蓄積ジョブのパスワードがパスワード規約を満たしているかどうかをチェックする（＃６３）。
【００５７】
指定された蓄積ジョブが画像形成装置２内にない場合には、画像形成装置２は蓄積ジョブの削除履歴を参照し、図１４に例示される移管先通知画面Ｑ２２を表示する（＃６２、＃６６）。移管先通知画面Ｑ２２は、蓄積ジョブが他の装置へ移管されたことおよび移管先の装置をメッセージＭ２２によってユーザに知らせる。
【００５８】
指定された蓄積ジョブが画像形成装置２内にあってかつそのパスワードがパスワード規約を満たす場合には、画像形成装置は図１５に例示される通常の機密プリント画面Ｑ２３を表示する。機密プリント画面Ｑ２３において、ユーザはボタンＢ３１，Ｂ３２，Ｂ３３，Ｂ３４，Ｂ３５を選択的に押下することによって、蓄積ジョブのドキュメントについて印刷（プリント）、編集、地紋編集、削除、送信（ファクシミリやデータ転送）といった処理を指定することができる。例えばユーザがボタンＢ３１を押下すると、プリント動作が開始される。また、ユーザがボタンＢ３３を押下すると、地紋を編集したり地紋を取り外したりするための図示しない操作画面が表示される。
【００５９】
一方、指定された蓄積ジョブが画像形成装置２内にあってかつそのパスワードがパスワード規約を満たさない場合には、画像形成装置２は当該蓄積ジョブにおける地紋設定の有無をチェックする（＃６４）。
【００６０】
地紋設定がある場合には、画像形成装置２は図１６に例示される特別の機密プリント画面Ｑ２４を表示する（＃６８）。この機密プリント画面Ｑ２４は、プリントに際して地紋の付加が不可欠であることを知らせるメッセージＭ２４を有する。機密プリント画面Ｑ２４が表示された場合、ユーザはボタンＢ３３の押下によって地紋を編集することはできるが地紋の付与を解除することはできない。
【００６１】
地紋設定がない場合には、画像形成装置２は図１７に例示されるパスワード入力画面Ｑ２５を表示する（＃６５）。このパスワード入力画面Ｑ２５は、管理者用ボックスに移された蓄積ジョブにユーザがアクセスするために表示される。ユーザは入力すべきワンタイムパスワードを管理者に尋ね、そのワンタイムパスワードを入力することで一度のみ蓄積ジョブへのアクセスが許可される。
【００６２】
なお、管理者は図１８に例示されるパスワード入力画面Ｑ２６において所定のパスワードを入力することにより管理者用ボックスにアクセスすることができる。パスワード入力画面Ｑ２６は、図１１のボックス画面Ｑ２０において選択ボタンＢ２２が押下されると表示される。そして、パスワード入力画面Ｑ２６において適正なパスワードが入力された後にＯＫボタンＢ４１が押下されると、管理者用ボックスに入れられたセキュリティを満たさない蓄積ジョブが一覧表示される。
【００６３】
以上の実施形態では画像形成装置としての複合機を例に挙げたが、これに限らない。セキュリティレベルの２段または多段の切替えが可能な情報機器に本発明を適用することができる。セキュリティ要件として、パスワードの形式および地紋設定の有無の他に、ドキュメントの機密レベルや蓄積ジョブ機能の利用についてのユーザの権限といった要件を判別してもよい。
【符号の説明】
【００６４】
１ 画像情報処理システム
２ 画像形成装置（情報機器）
２ｂ 画像形成装置（他の装置）
１０ ＣＰＵ（コンピュータプログラムを実行する手段）

【特許請求の範囲】
【請求項１】
ジョブを記憶して指示に従って実行する機能を有した画像形成装置であって、
セキュリティの強化を指示する操作入力に呼応して、記憶しているジョブの中に強化によってセキュリティ要件を満たさなくなるジョブがあるかどうかを判別する判別手段と、
セキュリティ要件を満たさなくなるジョブがあると前記判別手段によって判別された場合に、当該ジョブの実行を可能にしつつセキュリティ要件を満たすようにする予め定められた処置を実行する処置手段と、
セキュリティ要件を満たさなくなるジョブがあると前記判別手段によって判別された場合には前記処置手段による処置が終了した後にセキュリティを強化し、セキュリティ要件を満たさなくなるジョブがないと判別された場合には直ちにセキュリティを強化する、セキュリティモード切替え手段とを備える
ことを特徴とする画像形成装置。
【請求項２】
前記処置として、
ジョブに含まれるデータを暗号化して、当該ジョブを与えたユーザ宛のメールに添付することによって返却する処理、
前記情報機器からジョブの実行および記憶が可能な他の装置へ、当該ジョブを移管する処理、および
管理者用の記憶手段にジョブを記憶させる処理、のうちの少なくともいずれかが定められた請求項１記載の画像形成装置。
【請求項３】
セキュリティの強化を指示する前記操作入力のための操作画面を表示する表示手段を有し、
前記操作入力が行われてから前記処置手段による処置が終了するまでの期間には、前記操作画面においてセキュリティを強化するモード切替えの準備段階であることが前記表示手段によって表示される
請求項１または請求項２記載の画像形成装置。
【請求項４】
ユーザが前記処置手段により他の装置へ移管されたジョブにアクセスしたときに、移管先を当該ユーザに通知する
請求項２記載の画像形成装置。
【請求項５】
前記操作入力が行われてから前記処置手段による処置が終了するまでの期間において、強化後のセキュリティ要件を満たさないプリントジョブが与えられたときには、地紋を付加するプリント動作を行う
請求項１ないし請求項４のいずれかに記載の画像形成装置。
【請求項６】
ジョブを記憶して指示に従って実行する機能を有した情報機器のための、セキュリティモードの切替え方法であって、
セキュリティモードを非強化モードから強化モードに切り替える際に、記憶しているジョブの中に前記強化モードのセキュリティ要件を満たさないジョブがあるかどうかを前記情報機器が判別し、
前記セキュリティ要件を満たさないジョブがある場合には、当該ジョブの実行を可能にしつつセキュリティ要件を満たすようにする予め定められた処置を前記情報機器が実行し、当該処置が終了した後に前記情報機器がセキュリティモードを前記強化モードへ切り替え、
前記セキュリティ要件を満たさないジョブがない場合には、前記情報機器が前記処置を実行せずにセキュリティモードを前記強化モードへ切り替える
ことを特徴とするセキュリティモードの切替え方法。
【請求項７】
前記処置として、
ジョブに含まれるデータを暗号化して、当該ジョブを与えたユーザ宛のメールに添付することによって返却する処理、
前記情報機器からジョブの実行および記憶が可能な他の装置へ、当該ジョブを移管する処理、および
管理者用の記憶手段にジョブを記憶させる処理、のうちの少なくともいずれかが定められた請求項６記載のセキュリティモードの切替え方法。
【請求項８】
指定されたジョブを記憶して指示に従って実行する画像形成装置が有するコンピュータのためのコンピュータプログラムであって、
前記コンピュータによって実行されたときに、
セキュリティの強化を指示する操作入力に呼応して、記憶しているジョブの中に強化によってセキュリティ要件を満たさなくなるジョブがあるかどうかを判別する判別手段と、
セキュリティ要件を満たさなくなるジョブがあると前記判別手段によって判別された場合に、当該ジョブの実行を可能にしつつセキュリティ要件を満たすようにする処置を実行する処置手段と、
セキュリティ要件を満たさなくなるジョブがあると前記判別手段によって判別された場合には前記処置手段による処置が終了した後にセキュリティを強化し、セキュリティ要件を満たさなくなるジョブがないと判別された場合には直ちにセキュリティを強化する、セキュリティモード切替え手段と、を前記コンピュータに実現させる
ことを特徴とするコンピュータプログラム。

【図１】

【図２】

【図３】

【図４】

【図５】

【図６】

【図７】

【図８】

【図９】

【図１０】

【図１１】

【図１２】

【図１３】

【図１４】

【図１５】

【図１６】

【図１７】

【図１８】

【公開番号】特開２０１１−４１１７（Ｐ２０１１−４１１７Ａ）
【公開日】平成２３年１月６日（２０１１．１．６）
【国際特許分類】
【出願番号】特願２００９−１４４９６４（Ｐ２００９−１４４９６４）
【出願日】平成２１年６月１８日（２００９．６．１８）
【出願人】（３０３０００３７２）コニカミノルタビジネステクノロジーズ株式会社 (12,802)
【Ｆターム（参考）】