管理サーバおよび管理プログラム
【課題】効率的な処理によって、保護対象情報を含むファイルの探査を確実に行い、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止する。
【解決手段】利用者端末10と管理対象ファイルとが管理サーバ20によって管理され、管理サーバ20によって管理されている管理対象ファイルに対するアクセス頻度が基準値以上の利用者端末10が認識されると、その利用者端末10に対して探査プログラムを自動的かつ強制的にインストールする。このとき、管理対象ファイルに対するアクセス頻度が基準値未満の利用者端末10は自端末内に保護対象情報を蓄積している可能性が低いものとみなし、その利用者端末10に対する探査プログラムのインストールは行なわない。なお、基準値は利用者端末10の所在位置に応じて変更される。
【解決手段】利用者端末10と管理対象ファイルとが管理サーバ20によって管理され、管理サーバ20によって管理されている管理対象ファイルに対するアクセス頻度が基準値以上の利用者端末10が認識されると、その利用者端末10に対して探査プログラムを自動的かつ強制的にインストールする。このとき、管理対象ファイルに対するアクセス頻度が基準値未満の利用者端末10は自端末内に保護対象情報を蓄積している可能性が低いものとみなし、その利用者端末10に対する探査プログラムのインストールは行なわない。なお、基準値は利用者端末10の所在位置に応じて変更される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、パーソナルコンピュータ等の情報処理装置(利用者端末,サーバ等)を管理するとともに、その情報処理装置を備えたシステムにおいて、個人情報や機密情報などの保護対象情報にかかる要素を所定数以上有しているファイルを管理対象として管理する技術に関する。
【背景技術】
【0002】
近年、個人情報の保護の意識の高まりに伴い、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することが望まれている。特に、個人情報保護法の施行に伴って、個人情報取扱事業者は、個人情報の流出・漏洩や不正利用をより確実に防止する必要が生じている。ここで、個人情報とは、単体もしくは組合せによって特定の個人を識別することのできる情報で、例えば氏名,生年月日,連絡先(住所,居所,電話番号,電子メールアドレス等)などが含まれる。各種企業内で保存されて取り扱われる顧客情報,取引先情報などが個人情報に該当する場合が多い。
【0003】
このような個人情報は、当然、企業にとっては秘匿性の高い機密情報に該当するが、企業にとっての機密情報としては、個人情報のほかにも、発表前の新製品,特許出願前の技術,経営戦略などに係る情報が該当する。なお、システム監査学会によれば、機密情報とは、情報資産の中で、許可した者以外に開示したり、目的外に利用された場合、経営資源としての価値を損なうおそれのある情報と定義されている。
【0004】
上述のような個人情報や機密情報の流出・漏洩や不正利用を確実に防止するためには、集中管理システムを導入し、これらの個人情報や機密情報を一元的に管理することが望ましい。しかしながら、現実には、企業内において、顧客情報,取引先情報などの個人情報は、社員個人によって利用される複数の利用者端末〔パーソナルコンピュータ(以下、PCと略記する場合がある)〕や各部署のサーバに、ばらばらに分散して保存されている場合が多い。より具体的には、個々の社員が各自の業務都合で自分のPCに個人情報(顧客情報等)を保存していたり、中央データベース、あるいは、各社員によって独自に収集された個人情報のサブセットがPCにまちまちに存在していたりする。
【0005】
このため、上記集中管理システムを構築する場合、管理者は、まず最初に、企業内にばらばらに存在する個人情報や機密情報の洗い出しを行ない、企業内のどこにどのような個人情報や機密情報が存在しているかを把握する必要があるが、個人情報や機密情報の洗い出しは、管理者が各社員に指示し人間対人間で全社・全部門の人的な協力を得て行なわれることになる。
【0006】
なお、例えば下記特許文献1においては、個人情報保護法の施行に伴い、個人情報の流出・漏洩や不正利用を防止する個人情報保護サービスを提供するための技術「個人情報保護サービス事業の処理方法および装置」が提案・開示されている。この特許文献1では、個人情報を不適切に取得した企業を特定して警告することができ、且つ、適正に取得した企業から個人情報が不正に流出することを防止できるようにするための技術が開示されているが、上述のごとく企業内で個人情報が分散して存在している場合の対処については開示されていない。
【0007】
また、例えば下記特許文献2では、コンピュータシステムや、その他のデータ処理機器もしくはシステムにおいて、ファイルの不正複写を防止するためのファイル複写管理技術が開示され、特に、ファイルに格別の複写禁止措置を講じることなく、特定言語で記述さ
れたソースコード・ファイルや特定のファイル形式のマルチメディアデータ・ファイルなどの不正複写を防止するための技術が開示されているが、上述のごとく企業内で個人情報が分散して存在している場合の対処については開示されていない。
【0008】
さらに、例えば下記特許文献3においては、統合内部情報流出防止システムが開示されており、特に、出力装置および移動可能格納装置を通じたオフライン情報流出と、通信プログラムによるオンライン情報流出とを根本的に防止および監視することで、組織内部システムから重要情報が流出するのを防止するための技術が開示されているが、やはり、上述のごとく企業内で個人情報が分散して存在している場合の対処については開示されていない。
【特許文献1】特開2002−183367号公報
【特許文献2】特開2001−350671号公報
【特許文献3】特表2003−535398号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
上述のごとく各社員からの申告といった人的な協力のもとで個人情報や機密情報の洗い出しを行なうと、手間がかかるだけでなく全ての個人情報や機密情報を確実に漏れなく洗い出すのは困難になる。特に、個人情報や機密情報の分散化が進んでいると、個人情報や機密情報の洗い出しは極めて困難になる。また、社内LAN(Local Area Network)等のネットワークに接続された全ての利用者端末を対象にして個人情報や機密情報の洗い出しを行なうとなると、多大な労力を要することになるため、個人情報や機密情報の洗い出しを効率的に行なえるようにすることが望まれている。
【0010】
また、電子情報ファイルを取り扱う利用者端末(PC)は、どこへでも持ち運ぶことが可能であり、もちろん、輸出規制対象国〔例えばキャッチオール規制の対象とならないホワイト国(2006年5月現在で26カ国)以外の国〕や、利用者の所属する企業が許可しない国/地域に持ち込むことも可能である。そのような国や地域で、輸出規制対象の技術等に関連する技術者の個人情報ファイルを開いて閲覧したりすることは、輸出規制対象の技術等が輸出規制対象国や地域で流出する機会を生じさせることになるため好ましくない。従って、予め規定された国や地域において、特定の個人情報ファイルの開封を禁止できるようにすることが望まれている。
【0011】
本発明は、このような状況に鑑み創案されたもので、効率的な処理によって、保護対象情報を含む電子情報ファイルの探査を確実に行なえるようにして、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止することを目的としている。
【0012】
また、本発明は、このような状況に鑑み創案されたもので、特定の個人についての個人情報を利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルを取り扱いできるようにして、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することを目的としている。
【課題を解決するための手段】
【0013】
上記目的を達成するための本発明は、以下に列記するように構成されている。
(1)請求項1記載の発明は、ネットワークを介して利用者端末と相互に通信可能に接続され該利用者端末を管理するとともに、保護対象情報に係る要素を所定数以上保有しているファイルを管理対象ファイルとして管理する管理サーバであって、該利用者端末による該管理対象ファイルに対するアクセスのログを収集するログ収集手段と、該ログ収集手段によって収集されたログに基づいて、該利用者端末の該管理対象ファイルに対するアクセス頻度を算出するアクセス頻度算出手段と、該アクセス頻度算出手段によって算出され
た該アクセス頻度が基準値以上であるか否かを判定するアクセス頻度判定手段と、前記利用者端末の所在位置を検出する端末位置検出手段と、前記端末位置検出手段によって検出された前記利用者端末の所在位置に応じて、前記基準値を変更する基準値変更手段と、該アクセス頻度判定手段によって該利用者端末の該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された場合、該保護対象情報に係る要素を所定数以上保有しているファイルを当該利用者端末によって自己探査させる探査プログラムを、該ネットワークを介して当該利用者端末にインストールするインストール手段と、該ネットワークを介して、該利用者端末で実行された自己探査結果を収集する探査結果収集手段と、該アクセス頻度算出手段によって算出された該アクセス頻度、および、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末を管理する管理手段と、該利用者端末による該管理対象ファイルに対してアクセスした時点における該利用者端末の所在位置を検出する位置検出手段と、該位置検出手段によって検出された前記所在位置に応じて前記基準値を変更する基準値変更手段と、を備えて構成されたことを特徴とする管理サーバである。
【0014】
(2)請求項2記載の発明は、前記管理手段は、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末において探査された該ファイルを該管理対象ファイルとして取り扱う、ことを特徴とする請求項1記載の管理サーバである。
【0015】
(3)請求項3記載の発明は、前記管理手段は、該アクセス頻度算出手段によって算出された該アクセス頻度、もしくは、前記端末位置情報検出手段によって検出された前記所在位置の少なくとも一方に応じて、該利用者端末からの管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを設定し、該セキュリティレベルに応じた動作制限を該利用者端末に実行させる、ことを特徴とする請求項1または請求項2に記載の管理サーバである。
【0016】
(4)請求項4記載の発明は、前記管理手段は、該アクセス頻度判定手段によって該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された利用者端末、あるいは、前記端末位置情報検出手段によって検出された前記所在位置が所定の条件を満たさない利用者端末については該セキュリティレベルを高く設定して該利用者端末の動作制限を厳格化する一方、該アクセス頻度判定手段によって該アクセス頻度が基準値未満であると判定された利用者端末については該セキュリティレベルを低く設定して該利用者端末の動作制限を解除もしくは緩和する、ことを特徴とする請求項3記載の管理サーバである。
【0017】
(5)請求項5記載の発明は、暗号化された管理対象ファイルが前記利用者端末側で開封される際に、前記利用者端末から開封要求として復号鍵送信要求を受信し、前記復号鍵送信要求を受信した時点における前記利用者端末の所在位置を検出し、この所在位置が予め定められた所定条件を満たしているか否かを判定し、前記所在位置が前記所定条件を満たしていると判定された場合に前記利用者端末での前記管理対象ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記利用者端末での前記管理者対象ファイルの開封を禁止する制御を行う、ことを特徴とする請求項1〜請求項4のいずれかに記載の管理サーバである。
【0018】
(6)請求項6記載の発明は、ネットワークを介して利用者端末と相互に通信可能に接続され該利用者端末を管理するとともに、保護対象情報に係る要素を所定数以上保有しているファイルを管理対象ファイルとして管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、該利用者端末による該管理対象ファイルに対するアクセスのログを収集するログ収集手段、該ログ収集手段によって収集されたログに基づいて、該利用者端末の該管理対象ファイルに対するアクセス頻度を算出するアクセス頻度算出手段、該アクセス頻度算出手段によって算出された該アクセス頻度が基準値以上であるか否
かを判定するアクセス頻度判定手段、前記利用者端末の所在位置を検出する端末位置検出手段、前記端末位置検出手段によって検出された前記利用者端末の所在位置に応じて、前記基準値を変更する基準値変更手段、該アクセス頻度判定手段によって該利用者端末の該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された場合、該保護対象情報に係る要素を所定数以上保有しているファイルを当該利用者端末によって自己探査させる探査プログラムを、該ネットワークを介して当該利用者端末にインストールするインストール手段、該ネットワークを介して、該利用者端末で実行された自己探査結果を収集する探査結果収集手段、および、該アクセス頻度算出手段によって算出された該アクセス頻度、および、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末を管理する管理手段、として該コンピュータを機能させる、ことを特徴とする管理プログラムである。
【0019】
(7)請求項7記載の発明は、前記管理手段は、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末において探査された該ファイルを該管理対象ファイルとして取り扱うように、該コンピュータを機能させる、ことを特徴とする請求項6記載の管理プログラムである。
【0020】
(8)請求項8記載の発明は、前記管理手段は、該アクセス頻度算出手段によって算出された該アクセス頻度、もしくは、前記端末位置情報検出手段によって検出された前記所在位置の少なくとも一方に応じて、該利用者端末からの管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを設定し、該セキュリティレベルに応じた動作制限を該利用者端末に実行させるように、該コンピュータを機能させる、ことを特徴とする請求項6または請求項7に記載の管理プログラムである。
【0021】
(9)請求項9記載の発明は、前記管理手段は、該アクセス頻度判定手段によって該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された利用者端末、あるいは、前記端末位置情報検出手段によって検出された前記所在位置が所定の条件を満たさない利用者端末については該セキュリティレベルを高く設定して該利用者端末の動作制限を厳格化する一方、該アクセス頻度判定手段によって該アクセス頻度が基準値未満であると判定された利用者端末については該セキュリティレベルを低く設定して該利用者端末の動作制限を解除もしくは緩和するように、該コンピュータを機能させる、ことを特徴とする請求項8記載の管理プログラムである。
【0022】
(10)請求項10記載の発明は、前記管理手段は、暗号化された管理対象ファイルが前記利用者端末側で開封される際に、前記利用者端末から開封要求として復号鍵送信要求を受信し、前記復号鍵送信要求を受信した時点における前記利用者端末の所在位置を検出し、この所在位置が予め定められた所定条件を満たしているか否かを判定し、前記所在位置が前記所定条件を満たしていると判定された場合に前記利用者端末での前記管理対象ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記利用者端末での前記管理者対象ファイルの開封を禁止する制御を行う、ように該コンピュータを機能させる、ことを特徴とする請求項6乃至請求項9のいずれかに記載の管理プログラムである。
【0023】
また、該管理手段が、該利用者端末の動作制限として、外部アクセス禁止,外部記憶媒体へのデータ書き出し禁止,社外へのメール送信禁止,添付ファイルの暗号化管理のうちの少なくとも一つを該利用者端末に実行させてもよい。
【0024】
さらに、上記管理サーバにおいて、該管理手段が、該アクセス頻度算出手段によって算出された該アクセス頻度に応じて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開してもよい。その際、該管理手段が、該ア
クセス頻度判定手段によって該利用者端末の該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された場合、該公開情報の作成・公開を行なってもよく、また、該公開情報として、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とが含まれていてもよし、該利用者端末における該管理対象ファイルの数の集計結果が含まれていてもよいし、該管理対象ファイルに対するアクセスの数の集計結果が含まれていてもよい。
【0025】
なお、該保護対象情報が個人情報であり、該探査プログラムが、該利用者端末の記憶部におけるデータの中から特定の個人を識別可能な個人情報要素を所定数以上保有しているファイルつまり個人情報ファイルを探査する探査手段として、該利用者端末を機能させてもよい。
【0026】
その際、該探査手段が、判定対象ファイルに含まれるテキストデータを抽出する抽出手段と、該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段とを備えて構成されていてもよい(請求項7)。
【0027】
また、本発明の管理プログラムは、ネットワークを介して利用者端末と相互に通信可能に接続されこの利用者端末を管理するとともに、保護対象情報に係る要素を所定数以上保有しているファイルを管理対象ファイルとして管理する管理サーバとして、コンピュータを機能させるものであって、それぞれ、上述した管理サーバとしての機能を実現させるものである。
【発明の効果】
【0028】
本発明によれば、以下に列記するような効果を得ることができる。
(1)請求項1と請求項6との発明によれば、管理サーバの管理範囲に含まれる、利用者端末と管理対象ファイル(保護対象情報に係る要素を所定数以上保有しているファイル)とが管理サーバによって管理され、管理サーバによって管理されている管理対象ファイルに対するアクセス頻度が基準値以上の利用者端末が認識されると、その利用者端末には保護対象情報を含むファイルが保有されている可能性が高いものとみなし、その利用者端末に対して探査プログラムが自動的かつ強制的にインストールされる。このとき、管理対象ファイルに対するアクセス頻度が基準値未満の利用者端末は自端末内に保護対象情報を蓄積している可能性が低いものとみなし、その利用者端末に対する探査プログラムのインストールは行なわない。
【0029】
なお、利用者端末の所在位置を検出して、検出された利用者端末の所在位置に応じて基準値を変更することで、特定の個人についての個人情報を利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルを取り扱いできるようにして、たとえば、社内や国内など安定した所在位置の場合には基準を緩やかにすると共に、社外や遠隔地や国外など管理が難しい所在位置の場合には基準を厳格化することで、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することが可能になる。
【0030】
(2)請求項2と請求項7とに記載の発明では、探査プログラムをインストールされた利用者端末において探査プログラムが自動的かつ強制的に実行されることにより、保護対象情報(個人情報や機密情報)に係る要素を所定数以上保有しているファイル(個人情報ファイルや機密情報ファイルなどの管理対象ファイル)が自己探査され、その自己探査結果が管理サーバに収集される。つまり、管理対象ファイルにアクセスし自端末内に保護対象情報を蓄積した可能性の高い利用者端末において、保護対象情報を含むファイルの自己探索が強制的に実行され、そのようなファイルを管理サーバの管理下に置くとともに、その自己探索結果や管理対象ファイルに対するアクセス頻度に基づいて利用者端末を管理することができる。
【0031】
これにより、保護対象情報を含むファイルが保有されている可能性が高い利用者端末については、自動的かつ強制的に探査プログラムがインストールされて個人情報ファイル/機密情報ファイル等の自己探査が行なわれ、探査された個人情報ファイル/機密情報ファイル等が直ちに管理サーバの管理下に置かれ、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止することができる。また、保護対象情報を含むファイルが保有されている可能性が低い利用者端末については、探査プログラムのインストールや自己探査を行なわずに済むため、効率的な処理によって、保護対象情報を含むファイル(個人情報ファイルや機密情報ファイル等)の探査を確実に行なうことができ、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止できる利点がある。
【0032】
(3)請求項3と請求項8とに記載の発明では、管理対象ファイルに対するアクセス頻度、もしくは、利用者端末の所在位置の少なくとも一方に応じて利用者端末についてのセキュリティレベルを設定することにより、保護対象情報を含むファイルが保有されている可能性が高い利用者端末については動作制限を厳格化すると共に、上記可能性の低い場合には端末は動作制限を緩やかにして効率よく使用できる環境が提供されることになる。これにより、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
【0033】
なお、利用者端末の所在位置を検出して、検出された利用者端末の所在位置に応じてセキュリティレベを変更することで、特定の個人についての個人情報を利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルを取り扱いできるようにして、たとえば、社内や国内など安定した所在位置の場合には基準を緩やかにすると共に、社外や遠隔地や国外など管理が難しい所在位置の場合には基準を厳格化することで、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することが可能になる。
【0034】
(4)請求項4と請求項9とに記載の発明では、管理対象ファイルに対するアクセス頻度に応じて利用者端末についてのセキュリティレベルを設定することにより、保護対象情報を含むファイルが保有されている可能性が高い利用者端末、つまりは、保護対象情報を含むファイル(管理対象ファイル)の不用意な流出・漏洩や不正利用などが発生する可能性の高い利用者端末についてはセキュリティレベルを高く設定して動作制限(外部アクセス禁止,外部記憶媒体へのデータ書き出し禁止,社外へのメール送信禁止,添付ファイル
の暗号化管理)が厳格化される一方でその可能性の低い利用者端末についてはセキュリティレベルを低く設定して動作制限が解除もしくは緩和される。
【0035】
これにより、上記可能性の低い場合には端末を効率よく使用できる環境が提供されることになるので、利用者は、自発的に、自分の端末を上記可能性の低い状態に移行させるようになり、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
【0036】
(5)請求項5と請求項10と記載の発明では、暗号化された管理対象ファイルが利用者端末側で開封される際に、利用者端末の所在位置を検出し、所在位置が所定条件を満たしていると判定された場合に利用者端末での管理対象ファイルの開封を許可する一方、所在位置が前記所定条件を満たしていないと判定された場合に利用者端末での管理者対象ファイルの開封を禁止する制御を行うことにより、個人情報を含む管理対象ファイルを利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルの取り扱い(開封)が可能になり、たとえば、社内や国内など安定した所在位置の場合には開封許可にすると共に、社外や遠隔地や国外など管理が難しい所在位置の場合には開封禁止のように基準を厳格化することで、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することが可能になる。
【0037】
なお、以上の各発明において、管理対処ファイルに対するアクセス頻度に応じてアクセス状況の公開を行なうことにより、保護対象情報を含むファイルが保有されている可能性が高い利用者端末、つまりは、保護対象情報を含むファイル(管理対象ファイル)の不用意な流出・漏洩や不正利用などが発生する可能性の高い利用者端末については、管理対象ファイルに対するアクセス状況(例えば、管理対象ファイルのファイル名,利用者端末を特定しうる情報,利用者端末の所有者を特定しうる情報,管理対象ファイルの数の集計結果,管理対象ファイルに対するアクセスの数の集計結果など)が公開される。これにより、不正なアクセスが発覚しやすく不正行為を行ない難い環境が提供されることになり、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
【0038】
一方、保護対象情報が個人情報であり、特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルを管理対象ファイルとして探査する場合、本発明の探査手段では、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。
【0039】
従って、電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についてのみ不適切文字/不適切文字列との照合処理が行なわれ、さらに、不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探査処理を高速に行なうことが可能になる。
【0040】
また、不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まないファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高いファイルを確実に探査することが可能になる。つまり、本発明の探査手段により個人情報ファイルであると判定されるファイルの数が多くなり、個人情報ファイルである可能性の高いファイル(疑わしいファイ
ル)を確実に洗い出すことができる。
【0041】
さらに、文字区間の文字数が所定範囲内であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合対象としているので、照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が所定範囲を超える長い文字区間が、照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探査処理のさらなる高速化に寄与することになる。
【発明を実施するための最良の形態】
【0042】
以下、図面を参照して本発明の実施の形態を説明する。
〔1〕本実施形態の個人情報管理システムの構成:
図Aは本発明の一実施形態としての個人情報管理システム(管理システム)の全体構成を示すブロック図であり、この図Aに示すように、本実施形態の個人情報管理システム(管理システム)1は、複数の利用者端末10のほかに管理サーバ20を備えて構成され、これらの端末10およびサーバ20がネットワーク〔例えば、社内LAN(Local Area Network)〕40を介して相互に通信可能に接続されている。
【0043】
各利用者端末10は、企業等の社内において各社員(利用者)によって使用されるパーソナルコンピュータ(PC)等の端末装置によって構成され、個人情報ファイルの探査機能(後述)を実現するための探査プログラム(後述)を、後述するごとく管理サーバ20からインストールされた場合の、利用者端末10の詳細な機能構成については図1を参照しながら後述する。
【0044】
本実施形態では、利用者端末10がネットワーク40に接続された時点では、その利用者端末10には上記探査プログラムはインストールされていないものとするが、当初から上記探査プログラムがインストールされていてもよい。
【0045】
そして、管理対象ファイル(本実施形態では個人情報ファイル)に対するアクセス頻度が、常時、予め定められた基準値未満である利用者端末10に対しては、上記探査プログラムはインストールされていないが、後述するごとく、管理対象ファイルに対するアクセス頻度が上記基準値以上となった利用者端末10に対しては、上記探査プログラムがインストールされ、利用者端末10は、図1を参照しながら後述するような機能を備えることになる。
【0046】
管理サーバ20は、複数の利用者端末10とネットワーク40を介して相互に通信可能に接続され、各利用者端末10を管理するとともに、保護対象情報(本実施形態では個人情報)に係る要素を所定数以上保有しているファイルを管理対象ファイル(個人情報ファイル)として管理するもので、図1を参照しながら後述するような機能構成を有しているほか、図3を参照しながら後述するような、ファイルアクセス管理サーバ(管理対象ファイルに対するアクセスを管理するサーバ)としての機能構成も有している。
【0047】
本実施形態における管理対象ファイルとしての個人情報ファイルは、特定の個人を識別可能な個人情報要素を所定数以上保有していることを条件として、後述するごとく探査プログラムを実行することにより探査・特定されるものであり、個人情報は、前述した通り、単体もしくは組合せによって特定の個人を識別することのできる情報(各種個人情報要素)、例えば氏名,生年月日,連絡先(住所,居所,電話番号,メールアドレス)などを含むものである。なお、個人情報としては、これら以外に、役職名,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号なども挙げられる。
【0048】
〔1−1〕本実施形態の管理サーバの機能構成:
図1は本実施形態の利用者端末10と管理サーバ20との機能構成を示すブロック図である。
【0049】
この図1に示すように、管理サーバ20は、各種処理を実行するCPU21と、各利用者端末10から収集される、利用者情報やアクセスログや個人情報ファイル探査結果などに関する情報を格納・保存するデータベース(RDB:Relational DataBase)20bと
、このデータベース22に保存された各種情報や、後述する管理手段21kによって集計・作成された公開情報を表示する表示部23とを備えて構成されている。
【0050】
CPU21は、利用者情報収集手段21a,ログ収集手段21b,端末位置検出手段21c,基準値変更手段21d,アクセス頻度算出手段21e,基準値記憶手段21f,アクセス頻度判定手段21g,インストール手段21h,探査結果収集手段21i,管理コンソール21j,管理手段21k,表示制御手段21mおよび送受信手段21n,としての機能を果たすものである。そして、以上の機能は、CPU21が管理プログラムを実行することによって実現される。
【0051】
ここで、管理プログラムには、利用者端末10を後述する探査手段110として機能させるべく利用者端末10にインストールすべきプログラム(探査プログラム)も含まれているものとする。また、管理プログラムに、利用者端末10を後述する動作制限手段13として機能させるべく利用者端末10にインストールすべきプログラムが含まれていてもよい。
【0052】
利用者情報収集手段21aは、本システム1の立ち上げ時や、利用者端末10がネットワーク40に接続されたことを検知した時や、所定の周期毎に、ネットワーク40および送受信手段21nを介して通信可能に接続された利用者端末10からMACアドレス等の利用者情報(ホスト情報)を収集し、当該利用者端末10に、上記探査プログラムのほかに、当該利用者端末10を外部記憶媒体50用のドライブ14(図1参照;後述)や暗号化手段/登録手段15(図1参照;後述)として機能させるプログラムがインストールされているか否かを認識するものである。当該利用者端末10を外部記憶媒体用ドライブ14や暗号化手段/登録手段15として機能させるプログラムのインストール状況は、後述するごとく管理手段21kの処理で用いられるため、データベース22に、当該利用者端末10に対応付けられて登録・保存される。
【0053】
なお、外部記憶媒体(図1の符号50参照)としては、例えば、フレキシブルディスク,CD(Compact Disc),DVD(Digital Versatile Disk),磁気ディスク,光ディスク,光磁気ディスク,メモリカード,USB(Universal Serial Bus)メモリ,外付けハードディスク等の各種記憶媒体が挙げられる。また、本実施形態では、利用者情報収集手段21aが、各利用者端末10での閲覧禁止サイトへのアクセス回数についても利用者情報として収集し、各利用者端末10に対応付けてデータベース22に登録・保存するものとする。
【0054】
ログ収集手段21bは、各利用者端末10による個人情報ファイル(管理対象ファイル)に対するアクセスのログを収集するものである。本実施形態では、ネットワーク40を介して利用者端末10に対して公開されているファイル(管理サーバ20上に保存されているファイルや、ネットワーク40に接続された他のサーバに保存されているファイル等)について、予め、後述する探査プログラムと同様のプログラムを管理サーバ20や各サーバ等で実行することにより、個人情報ファイルが探査・特定されており、個人情報ファイルであると判定されたファイルには、個人情報ファイルであることを示すフラグ等が設
定されている。このようなフラグ等を設定されたファイル(個人情報ファイル)に対するアクセスが利用者端末10によって行なわれた場合、アクセスを行なった利用者端末10を特定しうる情報やアクセス種別などがアクセスログとして記録され、そのアクセスログがログ収集手段21bによって収集されるようになっている。
【0055】
そのアクセスログは、個人情報ファイルに対するアクセスが行なわれる都度、ログ収集手段21bによって収集されてもよいし、そのアクセスログを、個人情報ファイルを保有しているサーバ上でアクセスログを蓄積しておき定期的な収集タイミング毎にログ収集手段21bによって収集するようにしてもよく、本実施形態では後述のごとく定期的な収集タイミング毎に収集することにする。
【0056】
ここで収集されるアクセスログは、アクセス種別やアクセス回数を含み、個人情報ファイルのファイル名や、その個人情報に対するアクセスを行なった利用者端末10を特定しうる情報(PC名)や、その利用者端末10の所有者を特定しうる情報(所有者名)と対応付けられて、データベース22に登録・保存されるようになっている。
【0057】
端末位置検出手段21cは、管理サーバ20に対するアクセスがあった時点での利用者端末10の所在位置を検出するものである。より具体的に、本実施形態において、端末位置検出手段21cは、管理サーバ20に対するアクセスを受信した時点における利用者端末10の接続環境から利用者端末10の所在国、所在都道府県、所在位置域、所在番地などを前記所在位置として検出するものである。この端末位置検出手段21cは、利用者端末10の接続環境として、例えば、利用者端末10が最初に接続されたアクセスポイントやプロバイダ等のグローバルIPアドレスを参照することにより、利用者端末10の所在国や所在位置域を検出することが可能である。この場合、プロバイダに割り当てられたグローバルIPアドレスを参照することにより、所在国や所在国内の大まかな地域を特定することが可能である。また、企業のLANなどからの接続の場合には、接続環境から、所在して接続している会社の社名やその所在位置を特定することが可能である。
【0058】
なお、利用者端末10がGPS(Global Positioning System)機能を有している場合
には、そのGPS機能によって得られた利用者端末10の所在位置情報(緯度・経度情報)を、ネットワーク40を通じて利用者端末10から受信することにより、端末位置検出手段21cは、その緯度・経度情報から利用者端末10の所在位置/所在国を検出するように構成してもよい。
【0059】
この場合、利用者端末10側では定期的にGPS機能によって位置情報を取得することが望ましく、定期的に取得した所在位置情報もしくは最終の所在位置情報をネットワーク40を介して端末位置検出手段21cに送信する。この場合、最新の所在位置情報だけではなく、それ以前の経由地(経由国)なども、開封許否の判断対象とすることが望ましい。
【0060】
なお、端末位置検出手段21cでは、利用者端末10の位置情報が取得できなくなって一定時間が経過した時点で、利用者端末10の位置情報を無効化する。すなわち、利用者端末10の最新の位置が不明であるとして扱う。
【0061】
また、以上のようにGPS機能による利用者端末10の所在位置情報が無効化された場合であっても、大手プロバイダのIPアドレス情報やアクセスポイントの情報が取得できる場合には、端末位置検出手段21cは、利用者端末10の所在位置情報は有効なものとして扱う。
【0062】
また、以上のようにGPS機能による利用者端末10の所在位置情報が無効化された場
合であって、中小のプロバイダのIPアドレス情報やアクセスポイントの情報が取得できる場合、あるいは、会社のサーバなどによるIPアドレス情報が取得できる場合は、サーバから得られる利用者端末10の所在位置情報の信頼性が低いため、端末位置検出手段21cは、利用者端末10の所在位置情報は無効なものとして扱うことが望ましい。
【0063】
基準値変更手段21dは、端末位置検出手段21cによって検出された利用者端末の所在位置に応じて、後述する基準値の値を変更する手段である。すなわち、検出された利用者端末10の所在位置に応じて基準値を変更することで、特定の個人についての個人情報を利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルを取り扱いできるようにして、たとえば、社内や国内など安定した所在位置の場合には基準を緩やかにすると共に、社外や遠隔地や国外など管理が難しい所在位置の場合には基準を厳格化する。
【0064】
アクセス頻度算出手段21eは、ログ収集手段21bによって収集されたログに基づいて、各利用者端末10の個人情報ファイルに対するアクセス頻度を算出するものである。ここで、アクセス頻度は、例えば、利用者端末10毎に、単位時間(例えば24時間)当たりのアクセス回数として算出されるが、これまでの総アクセス回数として算出するようにしてもよい。
【0065】
アクセス頻度判定手段21gは、アクセス頻度算出手段21eによって算出されたアクセス頻度が基準値(例えば5回/24時間)以上であるか否かを判定するものである。
なお、このアクセス頻度に関する基準値は、基準値記憶手段21fに記憶されており、基準値変更手段21dによって利用者端末10の所在位置に応じて変更されることがある。
【0066】
インストール手段21hは、アクセス頻度判定手段21gによって、ある利用者端末10の個人情報ファイルに対するアクセス頻度が基準値以上であると判定された場合、個人情報に係る要素を所定数以上保有しているファイルを当該利用者端末10によって自己探査させる探査プログラムを、送受信手段21nおよびネットワーク40を介して当該利用者端末10にインストールし、その探査プログラムを当該利用者端末10に実行させて当該利用者端末10の記憶部16における個人情報ファイル(管理対象ファイル)を探査させるものである。
【0067】
探査結果収集手段21iは、ネットワーク40および送受信手段21nを介して、利用者端末10で実行された自己探査結果、具体的には個人情報ファイルのファイル名やリンク先情報のほか後述する判定値やPマークなどを受信・収集し、各利用者端末10に対応付けてデータベース22に格納する機能を果たす。
【0068】
管理コンソール21jは、アクセス頻度判定手段21gで判定基準として用いられる上記基準値や、個人情報ファイルの判定条件(後述する検疫テーブル10cや、個人情報ファイルやPマークを判定するために必要になる所定閾値など)を設定して管理するものである。検疫テーブル10cには、後述するごとく、電話番号判定条件,電子メールアドレス判定条件,住所判定条件,文字判定条件(上記所定範囲)や不適切文字/不適切文字列が設定される。
【0069】
管理手段21kは、アクセス頻度算出手段21eによって算出されたアクセス頻度(アクセス頻度判定手段21gによる判定結果)、および、探査結果収集手段21iによって収集された自己探査結果に基づいて、利用者端末10や個人情報ファイルを管理するとともに、探査結果収集手段21iによって収集された自己探査結果に基づいて、利用者端末10において探査手段110により探査された個人情報ファイル(後述するPマークを付
与されたファイル)を管理対象ファイルとして取り扱うようになっている。
【0070】
この管理手段21kは、アクセス頻度算出手段21eによって算出されたアクセス頻度(アクセス頻度判定手段21gによる判定結果)、もしくは、端末位置検出手段21cによって検出された利用者端末10の所在位置の少なくとも一方に応じて、利用者端末10からの個人情報ファイルの流出を防止するための、利用者端末10におけるセキュリティレベルを設定し、そのセキュリティレベルに応じた動作制限を利用者端末10(後述する動作制限手段13)に実行させるものである。
【0071】
具体的に、本実施形態の管理手段21kは、アクセス頻度判定手段21gによって個人情報ファイルに対するアクセス頻度が基準値以上であると判定された利用者端末10についてはセキュリティレベルを高く設定して利用者端末10の動作制限を厳格化する一方、アクセス頻度判定手段21gによってアクセス頻度が基準値未満であると判定された利用者端末10についてはセキュリティレベルを低く設定して利用者端末10の動作制限を解除もしくは緩和する。
【0072】
また、具体的には、本実施形態の管理手段21kは、端末位置検出手段21cによって検出された利用者端末10の所在位置が所定の条件を満たすと判定された利用者端末10についてはセキュリティレベルを低く設定して利用者端末10の動作制限を解除もしくは緩和する一方、端末位置検出手段21cによって検出された利用者端末10の所在位置が所定の条件を満たさないと判定された場合には、利用者端末10についてはセキュリティレベルを高く設定して利用者端末10の動作制限を厳格化する。
【0073】
また、具体的には、本実施形態の管理手段21kは、アクセス頻度判定手段21gによって個人情報ファイルに対するアクセス頻度と端末位置検出手段21cによって検出された利用者端末10の所在位置との両方の条件によって、利用者端末10についてはセキュリティレベルを設定してもよい。
【0074】
その際、管理手段21kは、利用者端末10の動作制限として、例えば、外部アクセス禁止(インターネット接続等)や、外部記憶媒体50(USBメモリ等)へのデータ書き出し禁止や、社外へのメール送信禁止や、メールの添付ファイルの暗号化管理(管理サーバ20の、後述するファイルアクセス管理サーバとしての機能による管理下に置くこと)、暗号化ファイルの復号禁止、のうちの少なくとも一つを利用者端末10(動作制限手段13)に実行させる。
【0075】
このようなセキュリティレベルの設定(動作制限の設定)を管理手段21kが行なうことにより、管理サーバ20や他のサーバなどネットワーク40上に保有されている個人情報ファイルに対するアクセス頻度の低い利用者端末10、つまりは個人情報ファイルが保有されている可能性が低く個人情報ファイルの不用意な流出・漏洩や不正利用などが発生する可能性の低い利用者端末10については、動作制限を解除もしくは緩和され、利用者端末10を効率よく使用できる環境が利用者に提供されるようになっている。
【0076】
ここで、動作制限の状態としては、外部アクセス禁止(インターネット接続等)や、外部記憶媒体50(USBメモリ等)へのデータ書き出し禁止や、社外へのメール送信禁止や、メールの添付ファイルの暗号化管理(管理サーバ20の、後述するファイルアクセス管理サーバとしての機能による管理下に置くこと)の全てを行なう状態(全制限状態)と、全てを行なわない状態(解除状態)との段階を設定しておき、セキュリティレベル「低」が設定された場合には解除状態に切り替える一方、セキュリティレベル「高」が設定された場合には全制限状態に切り替えるようにしてもよい。また、動作制限の状態として、全制限状態から解除状態までの間に複数段階の状態を設定しておき、セキュリティレベル
「低」から「高」までの各レベルに対応させて段階的に切り替えるようにしてもよい。
【0077】
また、動作制限の他の状態としては、暗号化された管理対象ファイルが利用者端末10側で開封される際に、利用者端末10の所在位置を端末位置検出手段21cで検出し、所
在位置が所定条件を満たしていると判定された場合に利用者端末での管理対象ファイルの開封を許可する一方、所在位置が前記所定条件を満たしていないと判定された場合に利用者端末での管理者対象ファイルの開封を禁止する制御を、管理手段21kで行うことが該当する。これにより、個人情報を含む管理対象ファイルを利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルの取り扱い(開封)が可能になり、たとえば、社内や国内など安定した所在位置の場合には開封許可にすると共に、社外や遠隔地や国外など管理が難しい所在位置の場合には開封禁止のように基準を厳格化することで、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することが可能になる。
【0078】
また、管理手段21kは、データベース22に保存されているPマークテーブルに登録されている個人情報ファイルの判定値(またはPマーク)に応じて、個人情報ファイルの利用者(保有者)に注意情報/警告情報を通知したり、個人情報ファイルを、その個人情報ファイルを保存している利用者端末10から強制的に捕獲・回収したり、その個人情報ファイルが利用者端末10から外部へ出力されるのを強制的に禁止したり、その個人情報ファイルを管理者のみがアクセス可能なフォルダ(図示略)に格納したり、個人情報ファイルに対するアクセスを管理サーバ20のファイルアクセス管理サーバとしての機能(後述)によって管理させたりする機能も果たす。
【0079】
例えば、Pマークのランクが“P1”である場合、警告情報によるリコメンドは行なわないが“P1”の個人情報ファイルが存在することをログとして記録する。Pマークのランクが“P2”である場合、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報を通知する。Pマークのランクが“P3”である場合、その個人情報ファイルを保管している利用者が存在する旨を、システム管理者(管理者端末;図示略)に対し警告情報としてメール等により通知するとともに、その個人情報ファイルの返却を利用者に指示する。Pマークのランクが“P4”である場合、その個人情報ファイルを利用者端末10から強制的に捕獲・回収したり、個人情報ファイルが利用者端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したり、個人情報ファイルに対するアクセスを管理サーバ20のファイルアクセス管理サーバとしての機能によって管理させたりする。なお、Pマークのランクが“P4”でなくても、“P3”の個人情報ファイルが所定日数放置された場合には、その個人情報ファイルに対して、Pマークのランクが“P4”である場合と同様の処置を実行するようにしてもよい。
【0080】
また、管理手段21kは、各利用者端末10もしくはデータベース22に格納された個人情報ファイルを種々の確度で探査する機能や、表示制御手段21mによってその探査結果等を表示部23に表示させる機能を有している。
【0081】
表示制御手段21mは、表示部23に各種情報、例えば後述する公開情報などを表示させるべく表示部23の表示状態を制御するものであり、送受信手段21nは、ネットワーク40を介して各利用者端末10との間で各種情報を送受信するものである。
【0082】
さらに、本実施形態の管理手段21kは、アクセス頻度判定手段21gによって個人情報ファイルに対するアクセス頻度が基準値以上であると判定された利用者端末10について、利用者情報収集手段21aによって収集された情報や、アクセスログ収集手段21bによって収集されたログや、探査結果収集手段21iによって収集された情報に基づいて
、各個人情報ファイルに対するアクセス状況に関する公開情報や、外部記憶媒体用ドライブ14をインストールされた利用者端末10に関する公開情報を作成し、その公開情報を、表示部23上で表示したり、ネットワーク40を介し全ての利用者端末10や管理者に対して公開したり、ネットワーク40を介してメール等で全ての利用者端末10や管理者に対して通知したりする機能を果たすものである。
【0083】
ここで、公開情報としては、個人情報ファイルのファイル名や、その個人情報ファイルに対してアクセスを行なった利用者端末10を特定しうる情報(PC名)や、その利用者端末10の所有者を特定しうる情報(所有者名)や、個人情報ファイルの数の集計結果(利用者端末10の個人情報ファイル数や個人情報保有数)や、個人情報ファイルに対するアクセスの回数の集計結果(個人情報ファイル毎/アクセス種別毎)がある。なお、アクセス種別としては、印刷,外部記憶媒体50への書出し,削除,リネイム(変更),上書き保存,FTPサーバへのアップロードなどが挙げられる。
【0084】
また、公開情報としては、個人情報ファイルを保有するとともに外部記憶媒体用ドライブ14をインストールしている利用者端末10を特定しうる情報(PC名)や、その利用者端末10の所有者を特定しうる情報(所有者名)や、その利用者端末10において保有されている個人情報ファイルのファイル名や、その利用者端末10で実行された外部記憶媒体50への個人情報ファイルの書出し回数もある。
【0085】
さらに、本実施形態の管理手段21kは、個人情報ファイルに対するアクセス状況に関する情報のほかに、各利用者端末10における閲覧禁止サイトへのアクセス回数(例えば図16参照)や、各利用者端末10の他端末/サーバにおける個人情報ファイルに対するアクセス回数を監視・収集し、公開情報として作成・公開する機能も有している。
【0086】
なお、管理手段21kによって作成・公開される公開情報の具体例については、図9〜図16を参照しながら後述する。
〔1−2〕本実施形態のファイルアクセス管理サーバとしての機能構成:
図3は本実施形態の管理サーバ20に備えられたファイルアクセス管理サーバとしての機能構成を示すブロック図である。なお、本実施形態では、ファイルアクセス管理サーバとしての機能を管理サーバ20に備えているが、その機能を、ネットワーク40を介して各利用者端末10と通信可能に接続された、管理サーバ20とは別体のサーバによって実現するように構成してもよい。
【0087】
図3に示すように、管理サーバ20のファイルアクセス管理サーバとしての機能は、例えば、各利用者端末10で暗号化手段(後述)により暗号化されたファイルや、各利用者端末10の登録手段(後述)により登録されるファイルや、個人情報ファイル(Pマークのランクが“P4”の個人情報ファイル)を管理対象としている。ここでは、Pマークのランクが“P4”の個人情報ファイルを管理対象としているが、Pマークのランクに関係なく、後述する探査手段110によって個人情報ファイルであると判定された全ての電子ファイルをファイルアクセス管理サーバの管理対象としてもよい。
【0088】
CPU21は、後述する手段21na〜21nd,暗号化手段21o,判定手段21pとしての機能を果たすもので、これらの機能は、CPU21が、ファイルアクセス管理サーバ用のプログラムを実行することによって実現される。また、データベース22は、上述した各種情報のほかに、後述するごとく、個人情報ファイルを暗号化するための暗号鍵や、暗号化された個人情報ファイルを復号化するための復号鍵や、暗号化された個人情報ファイルに対するアクセス権限(後述)や、予め登録されている利用者〔暗号化ファイルの閲覧を許可された登録者(社員)〕のユーザID/パスワードなどを保存する。
【0089】
送受信手段21nは、上述した機能のほかに、後述するファイル受信手段21na,暗号化ファイル送信手段21nb,認証情報受信手段21ncおよび復号鍵送信手段21ndとしての機能を果たす。また、本実施形態の送受信手段21nは、各利用者端末10からの要求に応じて、暗号化手段(後述)での暗号化処理に用いられる所定の暗号鍵を、ネットワーク40を通じて各利用者端末10に送信する機能も果たすようになっている。
【0090】
ファイル受信手段21naは、各利用者端末10からネットワーク40経由で登録対象のファイル〔登録手段(後述)によって登録されるファイル〕を受信するものである。
暗号化手段21oは、ファイル受信手段21naによって利用者端末10から受信した登録対象(管理対象)のファイルや、Pマークのランクが“P4”の個人情報ファイルを改竄操作の困難なPDF(Portable Document Format)ファイル等の完成文書ファイルに変換し、さらに、そのPDFファイルを、所定の暗号鍵を用いて暗号化するものである。PDFファイルへの変換は例えばPDFドライバによって実現され、このPDFドライバを起動することにより、個人情報ファイルがPDF化され、完成文書ファイルとしてのPDFファイルが生成されるようになっている。
【0091】
暗号化ファイル送信手段21nbは、暗号化手段21oによって暗号化(鍵掛け)されたファイル(以下、暗号化ファイルという)を、ネットワーク50経由で利用者端末10に送信するものである。
【0092】
なお、ファイルアクセス管理サーバとしての機能による管理に際しては、上述のような暗号化手段21oによる暗号化時に、ポリシー設定によって、各暗号化ファイルに対する各種アクセス権限(閲覧,印刷,コピー等の権限)が利用者毎や暗号化ファイル毎に設定される。その際、システム運用を簡易化すべく1種類のポリシを設定し、そのポリシ設定によって、全ての暗号化ファイルに対する各利用者端末10でのアクセス権限〔例えば、本システム1を導入している社内の全社員/全利用者(ファイルアクセス管理サーバとしての機能に予め登録されている全登録者)のアクセス権限〕として、閲覧権限のみを自動的(強制的)に設定・付与し、閲覧以外のアクセス、例えば印刷,コピー,別名保存,画面キャプチャ(スクリーンショット)などのアクセスを一切行なえないようにしてもよい。
【0093】
認証情報受信手段21ncは、利用者端末10での暗号化ファイルに対するアクセス時に利用者端末10からネットワーク40経由で送信されてくる認証情報を受信するものである。ここで、認証情報は、暗号化ファイルを開こうとしている利用者端末10の利用者がその暗号化ファイルの正当な送信先(利用者/登録者)であることをファイルアクセス管理サーバ20で判定・認証するために必要な情報であり、ファイルアクセス管理サーバ20によるサービスの利用者についてこのファイルアクセス管理サーバ20(データベース22)に予め登録されたユーザIDおよびパスワードを含んでいる。これらのユーザIDおよびパスワードは、暗号化ファイルを開く際に利用者がキーボードやマウスを操作することにより入力される。
【0094】
判定手段21pは、認証情報受信手段21ncによって受信された認証情報に基づいて、認証情報を送信した利用者端末10が暗号化ファイルの正当な送信先であるか否かを判定するもので、実際には、利用者によって入力されたユーザIDおよびパスワードが、ファイルアクセス管理サーバ20のデータベース22に予め登録・保存されているユーザIDおよびパスワードと一致するか否かを判定することにより、その利用者が正当な登録者であるか否かを判定・認証するものである。
【0095】
復号鍵送信手段21ndは、判定手段21pによって利用者が正当な登録者であることが認証された場合に、暗号化ファイルを復号化するための復号鍵をデータベース22から
読み出して利用者端末10にネットワーク40経由で送信するものである。
【0096】
そして、利用者端末10においては、ファイルアクセス管理サーバ20から復号鍵を受信すると、その復号鍵を用いて暗号化ファイルの復号化を行ない元の個人情報ファイルを復元し、復元された個人情報ファイルに対し、与えられたアクセス権限に応じたアクセス(例えば閲覧)が行なわれるようになる。
【0097】
また、ファイルアクセス管理サーバとしての機能による管理として、暗号化された管理対象ファイルが利用者端末10側で開封される際に、上述した管理手段21kにより開封の許可か禁止が決定され、この開封許可の場合には復号鍵送信手段21ndから復号鍵が利用者端末10に送信され、この開封禁止の場合には復号鍵送信手段21ndから復号鍵が利用者端末10に送信されない、といった制御が行われる。
【0098】
〔1−3〕本実施形態の利用者端末の機能構成:
図1は本実施形態の利用者端末10の機能構成を示すブロック図で、この図1に示すように、本実施形態の利用者端末10は、各種処理を実行するCPU(Central Processin Unit)CPU11と、個人情報ファイル等の電子ファイルを含むデータを保持しうる記憶部16とを備えるほか、管理サーバ20のインストール手段21hによって探査プログラム(CPU11を探査手段110として機能させるプログラム)をインストールされた利用者端末10は、管理サーバ20から提供される検疫テーブル17や、記憶部16に保持される電子ファイルのPマーク(プライバシレベルマーク;個人情報ファイルである可能性の高さを示すレベルで、後述する判定値によって決定されるレベル)を保持するPマークテーブル18をさらに備えて構成される。また、本実施形態では、探査プログラムとともに、CPU11を後述する動作制限手段13として機能させるためのプログラムも、管理サーバ20からインストールされるものとする。
【0099】
ここで、記憶部16は、利用者端末10に内蔵されるハードディスクや、利用者端末10に接続・外付けされる記憶装置、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど),磁気ディスク,光ディスク,光磁気ディスクのほかICカード,ROMカートリッジ,磁気テープなどの記録媒体を用いる記憶装置である。なお、上述した検疫テーブル17およびPマークテーブル18は、利用者端末10を構成するRAM(Random Access Memory)やハードディスク等に保持されてもよいし、記憶部16に保持されてもよい。
【0100】
CPU11は、探査手段110,送受信手段12,動作制限手段13,外部記憶媒体用ドライブ14および暗号化手段/登録手段15としての機能を果たすもので、これらの機能のうち送受信手段12としての機能はPC等の端末等に元々備えられたものであり、探査手段110および動作制限手段13としての機能は、前述した通り、CPU11が、管理サーバ20のインストール手段21hによってインストールされたプログラムを実行することによって実現されるものである。
【0101】
また、外部記憶媒体用ドライブ14および暗号化手段/登録手段15としての機能は、利用者端末10の利用者(所有者)が自らの意志によって外部からインストールしたプログラムを実行することによって実現されるものとする。従って、利用者端末10においては、外部記憶媒体用ドライブ14および暗号化手段/登録手段15としての機能が備えられている場合と備えられていない場合とがあるので、図1では、外部記憶媒体用ドライブ14および暗号化手段/登録手段15を示すブロックについては仮想線としての破線で記載している。
【0102】
探査手段110は、CPU11を探査手段110として機能させるプログラムをインストールした直後や、利用者端末10の起動時や、所定周期毎に、記憶部16におけるデータの中から上記条件を満たす個人情報ファイル(管理対象ファイル)を探査して特定するもので、記憶部16に保有される各ファイル(探査対象ファイル)をテキストファイルにするテキスト抽出エンジンとして機能するとともに、検疫テーブル17を用いて記憶部16におけるデータの中から個人情報ファイルを探査する探査エンジンとして機能するものである。
【0103】
つまり、探査手段110は、管理サーバ20から指示された条件(検疫テーブル17)に従って判定対象ファイルを参照して個人情報ファイルの探査を行ない、個人情報ファイルであると判定されたファイルをログ(ローカルキャッシュデータベース)に書き出すようになっている。また、本実施形態では、この探査手段110で得られた判定結果(判定値/計数値)に基づいて決定されたPマークがPマークテーブル18に登録される。この探査手段110の機能構成の詳細については、図1を参照しながら後述する。
【0104】
なお、探査手段110による判定結果(判定値/計数値)やPマークは、個人情報ファイルであると判定されたファイル毎に、そのファイルを特定するための情報(例えば、ファイル名など)とともに、送受信手段12およびネットワーク40を通じて管理サーバ20に送信・通知されるようになっている。
【0105】
また、本実施形態の利用者端末10では、探査手段110によって個人情報ファイルであると判定されたファイルに対し利用者端末10において実行されたアクセスが検知されると、そのアクセス内容が、ファイル毎にアクセスログとして記録・保存され、そのアクセスログは、アクセス検知時に、もしくは、定期的に、もしくは、管理サーバ20(ログ収集手段21b)からの要求時などに、送受信手段12およびネットワーク40を通じて管理サーバ20に送信・通知されるようになっている。
【0106】
なお、アクセス内容としては、アクセス種別〔例えば、印刷,外部記憶媒体への書出し,削除,リネイム(変更),上書き保存,FTP(File Transfer Protocol)サーバへのアップロードなど〕や、アクセス種別毎のアクセス回数などが挙げられる。
【0107】
また、このアクセス時に、利用者端末10の所在位置の情報を、送受信手段12およびネットワーク40を介して管理サーバ20に対して送信する。この場合の所在位置情報としては、管理サーバ20に対してアクセスする際にネットワーク接続したIPアドレスの情報などが該当する。また、図示されないGPS位置検出手段を備えている場合には、緯度・経度情報を、送受信手段12およびネットワーク40を介して管理サーバ20に対して送信する。
【0108】
送受信手段12は、ネットワーク40を介して管理サーバ20や他の利用者端末10との間で各種情報を送受信するもので、探査手段110による探査結果や利用者端末10内の個人情報ファイルに対するアクセスログなどを管理サーバ20へ送信する機能を果たすものである。
【0109】
動作制限手段13は、管理サーバ20の管理手段21kによって設定されたセキュリティレベルを管理サーバ20から受け、そのセキュリティレベルに応じた動作制限、例えば、外部アクセス禁止(インターネット接続等)や、外部記憶媒体50(USBメモリ等)へのデータ書き出し禁止や、社外へのメール送信禁止や、メールの添付ファイルの暗号化管理(管理サーバ20の、後述するファイルアクセス管理サーバとしての機能による管理下に置くこと)のうちの少なくとも一つを、利用者端末10において実行するものである。
【0110】
外部記憶媒体用ドライブ14は、前述した通り、利用者端末10の利用者(所有者)が自らの意志によって外部からインストールしたプログラムを実行することによって実現される機能であり、利用者によって指定されたファイルを記憶部16から読み出して外部記憶媒体50へ書き出すものである。本実施形態における外部記憶媒体50としては、前述した通り、例えば、フレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスク,メモリカード,USB(Universal Serial Bus)メモリ,外付けハードディスク等の各種記憶媒体が挙げられる。
【0111】
暗号化手段/登録手段15も、前述した通り、利用者端末10の利用者(所有者)が自らの意志によって外部からインストールしたプログラムを実行することによって実現される機能であり、この暗号化手段/登録手段15は、外部へ送出されるファイルを自動的に暗号化する暗号化機能を実現するためのものである。
【0112】
この暗号化手段/登録手段15としての機能が設定(インストール)されている場合、特に暗号化手段15としての機能が設定されている場合、その暗号化手段15は、メールに添付されてもしくは外部記憶媒体50に書き出されて外部へ送出されるファイルを、コンテナ機能を有する完成文書ファイル〔ここでは、改竄操作の困難なPDF(Portable Document Format)ファイル〕に変換し、さらに、前記コンテナ機能を用いて当該PDFファイルに当該電子ファイルのオリジナルファイルを格納してから、当該PDFファイルを、管理サーバ20におけるファイルアクセス管理サーバとしての機能によって管理される所定の暗号鍵(実際にはサーバ20から受信したもの)で暗号化して暗号化ファイルを作成することになる。なお、PDFファイルへの変換は例えばPDFドライバによって行なわれ、このPDFドライバを起動することにより、電子ファイルがPDF化され、PDFファイルファイルが生成されるようになっている。
【0113】
また、暗号化動作と併せて、当該暗号化ファイルにアクセスする利用者(ユーザ)について、当該暗号化ファイルへのアクセス権限(例えば、閲覧,注釈,印刷,コピーのほか、格納されたオリジナルファイルの取出しや、取り出されたファイルの編集,添付などのアクセスの中から選択されたものを実行する権限)の設定が、暗号化手段15からサーバ20に対して自動的に行なわれるものとする。ここでは、例えば、必要最小限のアクセス権限(例えば閲覧権)のみを設定するようにする。
【0114】
一方、登録手段15としての機能が設定されている場合、その登録手段15は、メールに添付されてもしくは外部記憶媒体50に書き出されて外部へ送出されるファイルを、管理サーバ20におけるファイルアクセス管理サーバとしての機能の管理下に置くべく、サーバ20に登録するもので、登録時には、その管理対象ファイルをサーバ20に送信するとともに、登録処理に応じて、サーバ20の暗号化手段21oによって前述のごとく作成された暗号化ファイルを受信する機能を果たすものである。
【0115】
〔1−4〕本実施形態の探査手段の詳細な機能構成:
次に、図1を参照しながら、本実施形態の利用者端末10における探査手段110の詳細な機能構成について説明する。図1に示すように、本実施形態の探査手段110は、抽出手段111,切出手段112,第1判定手段113,文字判定手段114,照合手段115および第2判定手段116としての機能を有しており、これらの機能も、CPU11が、後述するごとく管理サーバ20からインストールされたプログラムを実行することによって実現される。
【0116】
抽出手段111は、記憶部16における電子ファイル(判定対象ファイル)のテキストデータ〔例えばCSV(Comma Separated Value)形式のデータ〕を抽出し、ファイルバ
ッファ(図示略)に格納するもので、前記テキスト抽出エンジンとして機能するものである。なお、上記ファイルバッファには、2バイトコード文字(全角文字)がファイルバッファの終端で欠けないように取り込まれる。また、切出手段112によってファイルバッファから後述するデータ整形用バッファ(図示略)へデータが切り出されて取り込まれると、その分だけデータが上記ファイルバッファに取り込まれるようになっている。
【0117】
切出手段112は、抽出手段111によって抽出されたテキストデータから、所定の区切り位置で区切られた文字区間を切り出して、判定対象/照合対象として後述するバッファ(図示略)に順次書き出すものである。
【0118】
ここで、上記所定の区切り位置としては、予め設定された区切り文字の出現位置、もしくは、1バイトコード文字と2バイトコード文字との境界位置(半角文字/ASCII文字のあとに全角文字が続く部分もしくは全角文字のあとに半角文字/ASCII文字が続く部分)、もしくは、全角算用数字「0」〜「9」と全角算用数字およびハイフンを除く文字との境界位置が含まれている。また、区切り文字は、データの区切りであるデリミタ(delimiter)、具体的には、半角スペース,半角カンマ(半角カンマ+半角スペースも
半角カンマと見なす),タブ文字(半角),CR(Carrige Return),LF(Line Feed
)のほか、「:(コロン)」,「;(セミコロン)」,「>」,「}」,「]」とする。
【0119】
切出手段112は、ファイルバッファからテキストデータをデータ整形用バッファへ1文字ずつ切り出して取り込み、上述した区切り位置が出現すると、その区切り位置で取り込みを終了する。このときも2バイトコード文字(全角文字)がデータ整形用バッファの終端で欠けないようにデータ取込みを行なう。これにより、本実施形態では、例えば「佐藤太郎09012341234東京都港区」や「佐藤太郎sato@xxxx.com東京都港区」のごとく全角文字で記載された住所や氏名などと半角文字で記載された電話番号や電子メールアドレスなどの文字列とがテキストデータにおいて区切り文字によって区切られることなく混在する場合や、例えば「佐藤太郎09012341234東京都港区」のごとく全角文字で記載された住所や氏名などと全角文字で記載された電話番号などの数字列とがテキストデータにおいて区切り文字によって区切られることなく混在する場合であっても、住所,氏名,電話番号,電子メールアドレスなどの個人情報要素毎に文字区間「佐藤太郎」,「09012341234」,「東京都港区」,「sato@xxxx.com」,「09012341234」を切り出すことが可能になる。
【0120】
このようにデータ整形用バッファに取り込まれたデータ(判定対象の文字区間)は、データ整形用バッファからデータ解析用バッファ(図示略)へ取り込まれるが、その際、その文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号等が取り除かれる。このとき除去されるもの(不要文字)としては、例えば、半角スペース,全角スペースのほか、半角ハイフン,全角ハイフン,アンダバー,括弧記号,!,#,$,%,=,+,*,?,¥,/,|などの記号文字が定義される。本実施形態では、切出手段112が、上述のような不要文字を除去する機能を有しているものとする。
【0121】
第1判定手段113は、上記データ解析用バッファに取り込まれた文字列、つまり、切出手段112によって切り出され不要文字を除去された文字区間における文字列(以下、単に文字列という)が、氏名以外の個人情報要素(具体的に本実施形態では電話番号,電子メールアドレス,住所のうちのいずれか一つ)に該当するか否かを判定すべく、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cとしての機能を備えている。なお、本実施形態の第1判定手段113では、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で、上記文字列の判定処理を行なっている。また、第1判定手段113は、上記データ解析用バッファに取り込まれたデータのサイズをチェックし、そのサイズが3バイト以下の場合、そのデー
タを個人情報と判断せず、判定処理を行なわないようにしてもよい。
【0122】
電話番号判定手段113aは、上記文字列が電話番号に該当するか否かを判定するもので、上記文字列が検疫テーブル117に設定されている電話番号判定条件を満たす場合、上記文字列が電話番号に該当するものと判定し、その旨を第2判定手段116に通知し、上記文字列に対する第1判定手段113による判定処理を終了させるものである。本実施形態において、電話番号判定条件は、上記文字列が9〜11桁の半角数字もしくは全角数字の連続であり、且つ、1文字目(先頭文字)が「0」で2文字目が「0」以外であることとする。
【0123】
電子メールアドレス判定手段113bは、電話番号判定手段113aによって上記文字列が電話番号に該当しないと判定された場合に、上記文字列が電話メールアドレスに該当するか否かを判定するもので、上記文字列が検疫テーブル117に設定されている電子メールアドレス判定条件を満たす場合、上記文字列が電子メールアドレスに該当するものと判定し、その旨を第2判定手段116に通知し、上記文字列に対する第1判定手段113による判定処理を終了させるものである。
【0124】
本実施形態において、電子メールアドレス判定条件は、上記文字列中に「一文字以上のASCII」+「@(アットマーク)」+「一文字以上のASCII」+「.(ドット)
」+「一文字以上のASCII」となる文字列が含まれており、且つ、当該文字列の最後の文字が半角の英字であることとする。この場合、最短の電子メールアドレスは例えば「a@a.a」となり、また、例えば「123@45.67」のごとく英字以外の文字(例えば数字)で終わるような文字列は電子メールアドレスでないと判定されることになる。なお、上記電子メールアドレス判定条件によれば、5バイトに満たないデータは電子メールアドレスの判定対象にならず、判定処理を行なわない。
【0125】
住所判定手段113cは、電子メールアドレス判定手段113bによって上記文字列が電子メールアドレスに該当しないと判定された場合に、上記文字列が住所(居所)に該当するか否かを判定するもので、上記文字列が検疫テーブル117に設定されている住所判定条件を満たす場合、上記文字列が住所に該当するものと判定し、その旨を第2判定手段116に通知するものである。
【0126】
本実施形態において、住所判定条件は、上記文字列中に「1文字以上13文字以下の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字または半角文字」となる文字列が含まれており、且つ、当該文字列の先頭文字が日本全国における47都道府県名もしくは市区郡名の頭文字と一致することとする。これにより、例えば「受入区分名」といった「区」を途中に含む文字列であるが住所とは全く関係の無い文字列を誤って住所として判定することがなくなる。このとき、CPU11の演算処理能力が十分に高い場合には、上記文字列に加え、郵便番号に対応する7桁の数字が含まれていることを住所判定条件に加えてもよい。なお、上記住所判定条件によれば、5バイトに満たないデータは電子メールアドレスの判定対象にならず、判定処理を行なわない。
【0127】
文字判定手段114は、第1判定手段113によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合に、その文字列が、検疫テーブル117に設定されている文字判定条件を満たすか否か、具体的には、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であるか否か、さらに、上記文字列の先頭文字が、日本人に多い苗字上位所定数に属する苗字の頭文字と一致するか否かを判定するものである。
【0128】
本実施形態において、文字判定条件は、上述したように、上記文字列における文字の数
が所定範囲内であり且つその文字列における文字が全て漢字であることであるが、ここで、上記所定範囲は、氏名の文字数として一般的(適切)な数の範囲、例えば2以上6以下に設定される。より具体的には、文字判定手段114による判定条件は、上記文字列が、4バイト〜12バイトの2バイトコード文字であり、且つ、0x889F〜0xEEECの範囲内のデータ(Shift-JISの漢字領域)であり、且つ、第2バイトは0x40〜0x7Eまたは0x80〜0xFC
(Shift-JISの仕様)であり、先頭文字が、日本人に多い苗字上位3000個に属する苗
字の頭文字と一致することである。上位3000個の苗字を対象とすることで、日本人の8割以上を網羅することができる。
【0129】
照合手段115は、第1判定手段113によって電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された文字区間であって、さらに文字判定手段114によって上記所定範囲内であり且つ全ての文字が漢字であると判定された文字区間について、当該文字区間に含まれる文字/文字列と氏名において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列とを照合することにより、当該文字区間が不適切文字/不適切文字列を含むか否かを判定し、その照合判定結果を第2判定手段116に通知するものである。
【0130】
ここで、不適切文字/不適切文字列は、検疫テーブル117に予め設定されており、例えば、東京,大阪,名古屋,横浜,九州,北海道,京都,首都,個人,学園,店,株,県,大学,学院,東証,研究,管理,総務,経理,営業,統括,製薬,販売,学校,教育,専門,建築,機械,法人,工場,製,技術,商,図書,不明,次長,公開,出版,広告,放送,対象,卸売,小売,企画,人事,情報,部門,社長,取締,部長,課長,係長,役員,本社,支社,事業,業務,教務,精密,石油,運輸,経営,戦略,資材,技師,電気,生産,税務,広報,運送,主任,電算,財務,事務,開発,政策,制作,経済,産業,金融,銀行,調査,英語,品質,保証,設備,担当,主席,主事,監査,支援,設計,保険,金庫,事業,代表,交通,第一,第二,第三,第四,第五,第六,第七,第八,第九,特販,施設,氏名,郵便,名前,名称,市役,所属,特色,幼稚,基督,協会,教会,組合,教団,商工,全国,支部,連絡,議会,生活,消費,推進,市役所,区役所,総合,修正,機能,概要,構成,企業,組織,関連,削除,文書,期限,有効,整備といった、一般的な氏名において出現し得ない文字/文字列、つまり、氏名としては不適切な文字/文字列である。
【0131】
第2判定手段116は、第1判定手段113における電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cによる判定結果と照合手段115による照合判定結果とに基づいて、回覧対象電子ファイルが個人情報ファイルであるか否かを判定するものである。
【0132】
より具体的に説明すると、第2判定手段116は、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cからの判定結果の通知を受け電話番号,電子メールアドレス,住所のそれぞれに該当すると見なされた文字区間の数を計数するとともに、照合手段115からの照合判定結果を受け、照合手段115によって不適切文字/不適切文字列を含まないと判定された文字区間を氏名に該当するものと見なし、その数を計数する。
【0133】
そして、第2判定手段116は、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数結果(4つの計数値;電話番号数,電子メールアドレス数,住所数,氏名数)に基づいて、これらの計数値が大きくなるほど大きくなる判定値を算出する。例えば、第2判定手段116は、4つの計数値の総和を上記判定値として算出してもよいし、電話番号,電子メールアドレス,住所,氏名のそれぞれについて重み係数を予め設定しておき、各個人情報要素についての重み係数と計数値との乗算結果の総和を上記判定値とし
て算出してもよく、上記判定値の算出手法は種々考えられる。
【0134】
上述のような判定値が算出されると、第2判定手段116は、その判定値に基づいて、判定対象ファイルが個人情報ファイルであるか否かを判定する。具体的には、前記判定値が所定閾値を超えた場合に判定対象ファイルが個人情報ファイルであると判定する。このような判定を行なう際に、第2判定手段116は、さらに、判定値の大きさに応じたPマーク(プライベートレベルマーク)を、判定対象ファイルに付与して、Pマークテーブル18に設定・登録し、ランク付けを行なう。このPマークは、前述した通り、判定対象ファイルが個人情報ファイルである可能性の高さを示すレベルであり、判定値が大きいほどPマークは高いランクに設定される。
【0135】
例えば、前記判定値が10以上となった場合、判定対象ファイルが個人情報ファイルであると判定する。また、前記判定値が10以上100未満である場合、Pマークとして“P1”を付与し、前記判定値が100以上1000未満である場合、Pマークとして“P2”を付与し、前記判定値が1000以上10000未満である場合、Pマークとして“P3”を付与し、前記判定値が10000以上である場合、Pマークとして“P4”を付与する。
【0136】
なお、個人情報ファイルを判定するための所定閾値やPマークを決定するための基準値は、管理サーバ20(管理コンソール24)から適宜設定される。また、ここではPマークを“P1”〜“P4”の4つにランク分けしているが、ランク分けの数はこれに限定されるものではない。
【0137】
さらに、上記の所定閾値や基準値としては、全ての利用者端末10に対し共通(同一)のものを設定してもよいし、利用者端末10毎や、本システム1を導入する施設(会社)毎に異なるものを設定してもよい。
【0138】
なお、この基準値は、端末位置検出手段21cによって検出された利用者端末10の所在位置に応じて、基準値変更手段21dにより変更される。すなわち、検出された利用者端末10の所在位置に応じて基準値を変更することで、特定の個人についての個人情報を利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルを取り扱いできるようにして、たとえば、社内や国内など安定した所在位置の場合には基準を緩やかにすると共に、社外や遠隔地や国外など管理が難しい所在位置の場合には基準を厳格化する。
【0139】
上述のように判定対象ファイルに付与されたPマーク(Pマークテーブル18)は、個人情報ファイルであると判定されたファイル毎に、そのファイルを特定するための情報(例えば、ファイル名など)とともに、送受信手段12およびネットワーク40を介して管理サーバ20へ送信され、前述したように、探査結果収集手段21iによりデータベース22に保存される。そして、Pマークを付与された管理対象ファイル(個人情報ファイル)は、そのPマークのランクに応じて、図6を参照しながら後述するごとく、管理サーバ20(管理手段21k)により管理対象ファイルとして後述するごとく管理される。
【0140】
〔2〕本実施形態の個人情報管理システムの動作:
次に、図4〜図16を参照しながら、上述のごとく構成された本実施形態の個人情報管理システム1の動作について説明する。
【0141】
〔2−1〕管理サーバの動作:
図4は本実施形態の管理サーバ20の動作を説明するためのフローチャートであり、まず、この図7に示すフローチャート(ステップS101〜S129)に従って、本実施形
態の管理サーバ20の主たる動作について説明する。
【0142】
管理サーバ20においては、利用者情報収集手段21aによる収集タイミングになったか否か(ステップS101)が監視されている。本システム1の立ち上げ時、あるいは、利用者端末10がネットワーク40に接続されたことを検知した時や、所定の収集周期が経過したことなどを、利用者情報収集手段21aによる収集タイミングとして検知すると(ステップS101のYESルート)、各利用者端末10の利用者情報(ホスト情報)が利用者情報収集手段21aによって収集されるとともに、各利用者端末10におけるプログラム(例えば、探査プログラムのほか、利用者端末10を外部記憶媒体用ドライブ14や暗号化手段/登録手段15として機能させるプログラム)のインストール状況が利用者情報収集手段21aによって収集される(ステップS102)。収集されたインストール状況(各プログラムの有無)は、各利用者端末10に対応付けられてデータベース22に登録・保存される。
【0143】
探査プログラムをインストールされていない利用者端末10が存在する場合(ステップS103のYESルート)、探査プログラムをインストールされていない利用者端末10の一つを選択し(ステップS104)、その利用者端末10についてのアクセスログ(ネットワーク40上における個人情報ファイルに対するアクセスログ)がログ収集手段21bによって収集される(ステップS105)。
【0144】
アクセスログが収集されると、そのログに基づき、端末位置検出手段21cによって、当該利用者端末10の個人情報ファイルに対するアクセスの際のIPアドレスなどから該利用者端末10の所在位置を検出する。そして、基準値変更手段21dは、端末位置検出手段21cによって検出された利用者端末10の所在位置に応じて、基準値の値を変更する(ステップS106)。
【0145】
たとえば、管理サーバ20が置かれている同じ社内や国内など安定した所在位置の場合には、基準を変更しない、あるいは、基準を緩やかにする。そして、管理サーバ20が置かれている会社の社外、ライバル会社の近く、遠隔地、国外など管理が難しい所在位置の場合には基準を厳格化する。
【0146】
アクセスログが収集されると、そのログに基づき、アクセス頻度算出手段21eによって当該利用者端末10の個人情報ファイルに対するアクセス頻度(単位時間当たりのアクセス回数)が算出され、算出されたアクセス頻度が基準値(例えば5回/24時間)以上であるか否かを、アクセス頻度判定手段21gによって判定する(ステップS107)。
【0147】
ここで、利用者端末10が管理サーバ20が設置されている国と同じ国内にある場合の基準値が「5回/24時間」であるとすると、利用者端末10が管理サーバ20が設置されている会社と同じ会社の社内・営業所内にある場合の基準値は「7回/24時間」、利用者端末10が管理サーバ20が設置されている会社のライバル会社の近く、国外にある場合の基準値は「3回/24時間」などと変更(ステップS106)したうえで、アクセス頻度判定を行う(ステップS107)。
【0148】
アクセス頻度が基準値未満である場合(ステップS108のNOルート)、その利用者端末10は自端末内に個人情報を蓄積している可能性が低いものとみなし、その利用者端末10に対する探査プログラムのインストールを行なうことなく、且つ、セキュリティレベルを低レベルに保持されたまま、ステップS116に移行する。
【0149】
一方、アクセス頻度が基準値以上である場合(ステップS108のYESルート)、その利用者端末10は自端末内に個人情報を蓄積している可能性が高いものとみなし、イン
ストール手段21hによって、探査プログラム(個人情報に係る要素を所定数以上保有しているファイルを当該利用者端末10によって自己探査させるプログラム)が、送受信手段21nおよびネットワーク40を介して当該利用者端末10にインストールされ(ステップS109)、探査実行指示を利用者端末10に送信することにより、その探査プログラムを当該利用者端末10に実行させて当該利用者端末10の記憶部16における個人情報ファイルを探査させる(ステップS110)。利用者端末10で探査プログラムを実行することによって実行される、詳細な探査手順については、図5を参照しながら後述する。
【0150】
そして、探査結果収集手段21iにより、ネットワーク40および送受信手段21nを介して、利用者端末10で実行された自己探査結果(具体的には個人情報ファイルのファイル名やリンク先情報のほか判定値やPマークなど)が、受信・収集され(ステップS111)、各利用者端末10に対応付けてデータベース22に格納され、格納された探査結果に基づいて、管理手段21kにより、個人情報ファイルの管理処理(詳細については図6を参照しながら後述)が実行される(ステップS112)。
【0151】
また、管理手段21kにより、その利用者端末10についてセキュリティレベルが高く設定され(ステップS113)、利用者端末10の動作制限が厳格化され、利用者端末10では、動作制限手段13により、動作制限〔例えば、外部アクセス禁止(インターネット接続等)や、外部記憶媒体50(USBメモリ等)へのデータ書き出し禁止や、社外へのメール送信禁止や、メールの添付ファイルの暗号化管理のうちの少なくとも一つ〕が利用者端末10において実行される。
【0152】
さらに、管理手段21kによって、各利用者端末10による探査結果と、ログ収集手段21bによって収集・記録されたアクセスログと、利用者情報収集手段21aによって収集・記録された調査結果(利用者端末10を外部記憶媒体用ドライブ14として機能させるプログラムの有無に関する情報)とに基づいて、各個人情報ファイルに対するアクセス状況に関する公開情報や、外部記憶媒体用ドライブ14をインストールされた利用者端末10に関する公開情報が作成され(ステップS114)、作成された公開情報が、表示制御部29を介して表示部23上で表示されたり、ネットワーク40を介し全ての利用者端末10や管理者に対して公開されたり、ネットワーク40を介してメール等で全ての利用者端末10や管理者に対して通知されたりする(ステップS115)。
【0153】
探査プログラムをインストールされていない利用者端末10の全てに対して上述したステップS104〜S115の処理を実行した場合(ステップS116のYESルート)、もしくは、探査プログラムをインストールされていない利用者端末10が無い場合(ステップS103のNOルート)、探査プログラムをインストール済みの利用者端末10の有無を判定する(ステップS117)。
【0154】
インストール済みの利用者端末10が存在する場合(ステップS117のYESルート)、インストール済みの利用者端末10の一つを選択し(ステップS118)、その利用者端末10についてのアクセスログ(ネットワーク40上における個人情報ファイルに対するアクセスログ)がログ収集手段21bによって収集される(ステップS119)。
【0155】
アクセスログが収集されると、そのログに基づき、端末位置検出手段21cによって、当該利用者端末10の個人情報ファイルに対するアクセスの際のIPアドレスなどから該利用者端末10の所在位置を検出する。そして、基準値変更手段21dは、端末位置検出手段21cによって検出された利用者端末10の所在位置に応じて、基準値の値を変更する(ステップS120)。
【0156】
たとえば、管理サーバ20が置かれている同じ社内や国内など安定した所在位置の場合には、基準を変更しない、あるいは、基準を緩やかにする。そして、管理サーバ20が置かれている会社の社外、ライバル会社の近く、遠隔地、国外など管理が難しい所在位置の場合には基準を厳格化する。
【0157】
アクセスログが収集されると、そのログに基づき、アクセス頻度算出手段21eによって当該利用者端末10の個人情報ファイルに対するアクセス頻度(単位時間当たりのアクセス回数)が算出され、算出されたアクセス頻度が基準値(例えば5回/24時間)以上であるか否かを、アクセス頻度判定手段21gによって判定する(ステップS121)。
【0158】
ここで、利用者端末10が管理サーバ20が設置されている国と同じ国内にある場合の基準値が「5回/24時間」であるとすると、利用者端末10が管理サーバ20が設置されている会社と同じ会社の社内・営業所内にある場合の基準値は「7回/24時間」、利用者端末10が管理サーバ20が設置されている会社のライバル会社の近く、国外にある場合の基準値は「3回/24時間」などと変更(ステップS120)したうえで、アクセス頻度判定を行う(ステップS121)。
【0159】
アクセス頻度が基準値未満である場合(ステップS122のNOルート)、その利用者端末10は自端末内に個人情報を蓄積している可能性が低いものとみなし、管理手段21kにより、その利用者端末10についてセキュリティレベルが低く設定され(ステップS123)、利用者端末10の動作制限が解除もしくは緩和されてから、ステップS129の処理に移行する。
【0160】
なお、利用者端末10の所在位置が管理サーバ20が置かれている同じ社内や国内など安定した所在位置の場合には、管理手段21kは、セキュリティレベルを低く設定して動作制限を緩和してもよい。
【0161】
一方、アクセス頻度が基準値以上である場合(ステップS122のYESルート)、その利用者端末10は自端末内に個人情報を蓄積している可能性が高いものとみなし、管理手段21kにより、その利用者端末10についてセキュリティレベルが高く設定され(ステップS124)、利用者端末10の動作制限が厳格化され、利用者端末10では、動作制限手段13により、動作制限〔例えば、外部アクセス禁止(インターネット接続等)や、外部記憶媒体50(USBメモリ等)へのデータ書き出し禁止や、社外へのメール送信禁止や、メールの添付ファイルの暗号化管理のうちの少なくとも一つ〕が利用者端末10において実行される。
【0162】
なお、利用者端末10の所在位置が管理サーバ20が置かれている会社の社外、ライバル会社の近く、遠隔地、国外など管理が難しい所在位置の場合には、管理手段21kは、セキュリティレベルを高く設定して動作制限を厳格化してもよい。
【0163】
この後、探査実行指示を利用者端末10に送信することにより、探査プログラムを当該利用者端末10に実行させて当該利用者端末10の記憶部16における個人情報ファイルを、図5を参照しながら後述する手順で探査させ、探査結果収集手段21iにより、ネットワーク40および送受信手段21nを介して、利用者端末10で実行された自己探査結果(具体的には個人情報ファイルのファイル名やリンク先情報のほか判定値やPマークなど)が受信・収集される(ステップS125)。収集された自己探査結果は、各利用者端末10に対応付けてデータベース22に格納され、格納された探査結果に基づいて、管理手段21kにより、個人情報ファイルの管理処理(詳細については図6を参照しながら後述)が実行される(ステップS126)。
【0164】
さらに、ステップS114およびS115と同様、管理手段21kによって、各利用者端末10による探査結果と、ログ収集手段21bによって収集・記録されたアクセスログと、利用者情報収集手段21aによって収集・記録された調査結果(利用者端末10を外部記憶媒体用ドライブ14として機能させるプログラムの有無に関する情報)とに基づいて、各個人情報ファイルに対するアクセス状況に関する公開情報や、外部記憶媒体用ドライブ14をインストールされた利用者端末10に関する公開情報が作成され(ステップS127)、作成された公開情報が、表示制御部29を介して表示部23上で表示されたり、ネットワーク40を介し全ての利用者端末10や管理者に対して公開されたり、ネットワーク40を介してメール等で全ての利用者端末10や管理者に対して通知されたりする(ステップS128)。
【0165】
探査プログラムをインストール済みの利用者端末10の全てに対して上述したステップS118〜S128の処理を実行した場合(ステップS129のYESルート)、もしくは、インストール済みの利用者端末10が無い場合(ステップS117のNOルート)、ステップS101に戻る。
【0166】
〔2−2〕利用者端末の動作:
本システム1においては、管理サーバ20(インストール手段21h)により探査プログラムが利用者端末10にインストールされ、利用者端末10が管理サーバ20から探査実行指示を受けると、探査手段110としての機能が起動され、この探査手段110により、記憶部16におけるデータの中から個人情報ファイルが特定され探査される。
【0167】
そして、探査手段110によって探査された個人情報ファイル毎に、判定結果(判定値/系数値)やPマークが、そのファイルを特定するための情報(例えばファイル名など)とともに、送受信手段12およびネットワーク40を通じて管理サーバ20に探査結果として送信される。
【0168】
また、利用者端末10において、探査手段110によって探査された個人情報ファイルに対するアクセスが検知されると、そのアクセス内容が、ファイル毎にアクセスログとして例えば記憶部16に記録・保存される。このとき、アクセス検知対象とする個人情報ファイルは、自端末の記憶部16に保有されるものだけでなく、他端末/サーバに保有されるものも含んでいてもよく、この機能を用いて、管理サーバ20のログ収集手段21bがネットワーク40上の個人情報ファイルに対するアクセスログを収集してもよい。記憶部16に記録・蓄積されたアクセスログは、送受信手段12およびネットワーク40を通じて管理サーバ20に送信・通知され、ログ収集手段21bによって収集される。
【0169】
さらに、利用者端末10においては、管理サーバ20の管理手段21kによって設定されたセキュリティレベルを管理サーバ20から受け、動作制限手段13によって、そのセキュリティレベルに応じた動作制限が実行され、セキュリティレベルを高く設定された場合には、例えば、外部アクセス禁止(インターネット接続等)や、外部記憶媒体50(USBメモリ等)へのデータ書き出し禁止や、社外へのメール送信禁止や、メールの添付ファイルの暗号化管理(管理サーバ20の、後述するファイルアクセス管理サーバとしての機能による管理下に置くこと)のうちの少なくとも一つが、利用者端末10において実行される一方、セキュリティレベルを低く設定された場合には、その動作制限が解除もしくは緩和される。
【0170】
なお、利用者端末10において暗号化手段15としての機能が設定されている場合、メールに添付されてもしくは外部記憶媒体50に書き出されて外部へ送出されるファイルは、暗号化手段15としての機能によって、コンテナ機能を有するPDFファイルに変換され、そのコンテナ機能を用いて当該PDFファイルに当該ファイルのオリジナルファイル
が格納されてから、そのPDFファイルは、ファイルアクセス管理サーバ20によって管理される所定の暗号鍵で暗号化され、暗号化ファイルが作成される。このとき、当該暗号化ファイルにアクセスする利用者について、当該暗号化ファイルに対するアクセス権限(例えば閲覧権限)も、暗号化手段15からファイルアクセス管理サーバ20に対して自動的に設定される。
【0171】
また、利用者端末10において登録手段15としての機能が設定されている場合、メールに添付されてもしくは外部記憶媒体50に書き出されて外部へ送出されるファイルは、登録手段15としての機能によって、管理サーバ20におけるファイルアクセス管理サーバとしての機能の管理下に置くべく、サーバ20に登録される。登録時には、登録手段15から送受信手段12およびネットワーク40を介して、そのファイルがサーバ20に送信されるとともに、登録処理に応じて、図7を参照しながら後述する手順で作成された暗号化ファイルがサーバ20から受信される。
【0172】
〔2−3〕探査手段の動作:
本実施形態の探査手段110では、以下のように、電話番号,電子メールアドレス,住所および氏名の出現頻度をそれぞれ数値化し、個人情報ファイルの判定(特定・探査)を行なっている。その際、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれている場合、その文字区間は、個人情報要素(本実施形態では氏名)には該当しないものと見なされて除外される一方、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれていない場合、その文字区間は、個人情報をなす個人情報要素に該当するものと見なされて、つまり個人情報要素が出現したものと見なされ、出現回数のカウントアップを行なっている。
【0173】
本実施形態の利用者端末10において、上述した探査手段110(探査プログラム)によって実行される、個人情報ファイルの探査動作の手順を、図5に示すフローチャート(ステップS131〜S1147)に従って説明する。
【0174】
まず、利用者端末10の全てのデータの中から、まだ判定対象となっていないファイルが判定対象ファイルとして一つ選択されて読み出され(ステップS131)、その判定対象ファイルから抽出手段(テキスト抽出エンジン)111によりテキストデータが抽出される(ステップS132)。
【0175】
このようにファイルバッファに取り込まれたテキストからは、切出手段112により、文字区間が、上述した所定の区切り位置で区切られて切り出され、判定対象/照合対象として上記データ整形用バッファを経由して上記データ解析用バッファに順次書き出される(ステップS133)。文字区間の切り出しに際し、前述したように、切出手段112により、文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の不要文字、例えば半角スペース,全角スペースのほか、半角ハイフン,全角ハイフン,アンダバー,括弧記号,等号,クエスチョンマーク,!,#,$,%,+,*,¥,/,|などの記号文字が除去される。
【0176】
そして、切出手段112によって切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当するか否かを、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cによって順次判定する(ステップS134,S136,S138)。
【0177】
まず、電話番号判定手段113aにより、上記文字列が電話番号に該当するか否かが判定される(ステップS134)。その際、上記文字列が検疫テーブル17に設定されている電話番号判定条件を満たしていれば、つまり上記文字列が9〜11桁の半角数字もしくは全角数字の連続であり、且つ、1文字目(先頭文字)が「0」で2文字目が「0」以外であれば、上記文字列が電話番号に該当するものと判定され(ステップS134のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、電話番号の出現回数に対応する計数値が1だけカウントアップされ(ステップS135)、ステップS143の処理へ移行する。
【0178】
上記文字列が電話番号に該当しないと判定された場合(ステップS134のNOルート)、電子メールアドレス判定手段113bにより、上記文字列が電話メールアドレスに該当するか否かが判定される(ステップS136)。その際、上記文字列が検疫テーブル10aに設定されている電子メールアドレス判定条件を満たしていれば、つまり上記文字列中に「一文字以上のASCII」+「@(アットマーク)」+「一文字以上のASCII
」+「.(ドット)」+「一文字以上のASCII」となる文字列が含まれており、且つ、当該文字列の最後の文字が半角の英字であれば、上記文字列が電子メールアドレスに該当するものと判定され(ステップS136のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、電子メールアドレスの出現回数に対応する計数値が1だけカウントアップされ(ステップS137)、ステップS143の処理へ移行する。
【0179】
上記文字列が電子メールアドレスに該当しないと判定された場合(ステップS136のNOルート)、住所判定手段113cにより、上記文字列が住所(居所)に該当するか否かが判定される(ステップS138)。その際、上記文字列が検疫テーブル10aに設定されている住所判定条件を満たしていれば、つまり上記文字列中に「1文字以上13文字以下の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字または半角文字」となる文字列が含まれており、且つ、当該文字列の先頭文字が日本全国における47都道府県名もしくは市区郡名の頭文字と一致していれば、上記文字列が住所に該当するものと判定され(ステップS138のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、住所(居所)の出現回数に対応する計数値が1だけカウントアップされ(ステップS139)、ステップS143の処理へ移行する。
【0180】
上記文字列が住所に該当しないと判定された場合(ステップS138のNOルート)、つまり第1判定手段113によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合、文字判定手段114により、その文字列が、検疫テーブル10aに設定されている文字判定条件(文字数が2以上6以下であり且つ全ての文字が漢字であり且つ上記文字列の先頭文字が日本人に多い苗字上位所定数に属する苗字の頭文字と一致すること)を満たすか否かが判定される(ステップS140)。この文字判定条件を満たさない場合(ステップS140のNOルート)、ステップS143の処理へ移行する。
【0181】
一方、この文字判定条件を満たす場合(ステップS140のYESルート)、照合手段115により、当該文字区間(上記文字列)に含まれる文字/文字列と検疫テーブル10aに設定されている氏名についての不適切文字/不適切文字列とが照合され、当該文字区間に不適切文字/不適切文字列が含まれるか否かが判定される(ステップS141)。当該文字区間に、一つでも不適切文字/不適切文字列と一致する文字/文字列が存在した場合(ステップS141のYESルート)には、その時点で不適切文字/不適切文字列との照合処理を直ちに終了し、ステップS143の処理へ移行する。
【0182】
また、当該文字区間に不適切文字/不適切文字列が含まれていない場合(ステップS141のNOルート)、その照合判定結果が第2判定手段116に通知され、この第2判定手段116において、当該文字区間が氏名に該当するものと見なされ、氏名の出現回数に対応する計数値が1だけカウントアップされ(ステップS142)、ステップS143の処理へ移行する。
【0183】
ステップS143では、判定対象ファイルから抽出されたテキストデータから未だ切り出されていない文字区間の有無が判定され、有る場合(YESルート)には、ステップS133に戻り、上述と同様の処理(ステップS133〜S142)を繰り返し実行する。このようにして全ての文字区間がテキストデータから切り出され全ての文字区間に対する判定処理,照合処理,計数処理等を終了すると(ステップS143のNOルート)、第2判定手段116において、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数値に基づいて、上述した判定値が算出される(ステップS144)。
【0184】
そして、第2判定手段116においては、ステップS144で算出された判定値に基づいて、上述したように、判定対象子ファイルが個人情報ファイルであるか否かが判定されるとともに、Pマークのランク付け(本実施形態では“P1”〜“P4”の4つ)が行なわれる(ステップS145)。
【0185】
この後、利用者端末10における全てのファイルについて個人情報の探査を行なったか否かを判定し(ステップS146)、まだ未探査の電子ファイルが存在する場合(ステップS146のNOルート)、ステップS131に戻り上述と同様の処理を実行する一方、全てのファイルについて探査を完了した場合(ステップS146のYESルート)、ステップS145での個人情報ファイルの判定結果やPマークのランク付けの結果は、探査結果として、送受信手段12およびネットワーク40を介して管理サーバ20に通知され(ステップS147)、個人情報ファイルの探査動作を終了する。
【0186】
〔2−4〕公開情報の具体例:
ここで、ステップS114/S127で作成されステップS115/S128で公開される公開情報の具体例について、図9〜図16を参照しながら説明する。なお、図9〜図16は、いずれも管理手段21kによって作成され公開される公開情報(利用者端末10や管理サーバ20のディスプレイに表示される画面やリスト)の具体例を示す図である。
【0187】
図9には、月毎に集計された個人情報ファイル数および個人情報保有数を棒グラフとしてディスプレイに表示する画面101と、この画面101から「件数」(ここでは「1000件〜100000件」)でドリルダウンされてディスプレイに表示されるリスト102と、画面101から「月」でドリルダウンされてディスプレイに表示される画面(部署毎の棒グラフ表示)103と、さらに、この画面103から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト104とが示されている。リスト102,104では、個人情報ファイル毎に、そのファイル名と、その個人情報ファイルに含まれる個人情報件数(例えば個人情報要素の数)と、その個人情報ファイルを保有する利用者端末10の所有者名と、その利用者端末10のPC名と、その利用者端末10の属する部署名や職務とが表示されている。
【0188】
図10には、部署毎/アクセス種別毎に集計された個人情報ファイルに対するアクセス数(個人情報アクセス記録)を棒グラフとしてディスプレイに表示する画面105と、この画面105から、「部署名」および「アクセス種別」でドリルダウンされてディスプレイに表示されるリスト106,107とが示されている。リスト106は「営業部」および「ファイル保存」でドリルダウン表示されるものであり、リスト107は「営業部」および「USB」でドリルダウン表示されるものであり、これらのリスト106,107で
は、アクセスを行なった利用者端末10の所有者名毎に、その利用者端末10のPC名と、アクセス日時と、アクセスを行なった個人情報ファイルのファイル名と、ドキュメントパス/ドキュメント操作/プリンタ名/FTPサーバ/FTPコマンド等とが表示されている。なお、図中、アクセス種別「FTP」はFTPサーバとの間のアップロード/ダウンロード、「USB」は外部記憶媒体(USBメモリ)へのアクセス、「変更」はリネーム、「保存」はファイルの上書き保存のことである。このようなリスト106,107により、個人情報流出につながる可能性のある個人情報ファイルへのアクセスを記録し把握することができる。
【0189】
図11は、図10に示した画面105を簡略化した例を示すもので、この図11には、部署毎に集計された個人情報ファイルに対するアクセス数(個人情報アクセス記録)を棒グラフとしてディスプレイに表示する画面108と、この画面108から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト109とが示されている。リスト109では、選択された部署における利用者端末10の所有者名毎に、その利用者端末10のPC名と、アクセス日時と、アクセスを行なった個人情報ファイルのファイル名と、ドキュメントパスおよび操作内容とが表示されている。このようなリスト109により、個人情報流出の可能性のあるユーザ操作を把握することができる。
【0190】
図12には、部署毎に集計された、個人情報ファイルを保有し且つ大容量記憶デバイス(外部記憶媒体用ドライブ14)をインストール済みの対象PC数を棒グラフとしてディスプレイに表示する画面130と、この画面130から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト131とが示されている。リスト131では、アクセスを行なった利用者端末10の所有者名毎に、その利用者端末10のPC名と、その利用者端末10が保有する個人情報ファイルのファイル名,ドキュメントパスおよび操作内容とが表示されている。このようなリスト131により、個人情報流出の可能性のあるユーザ操作を把握することができる。
【0191】
図13には、部署毎に集計された、個人情報ファイルの外部メディア(外部記憶媒体50)への書出し回数を棒グラフとしてディスプレイに表示する画面132と、この画面132から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト133とが示されている。リスト133では、選択された部署における利用者端末10の所有者名毎に、その利用者端末10のPC名と、書出し日時と、その書出し対象となった個人情報ファイルのファイル名,ドキュメントパスおよび操作内容とが表示されている。このようなリスト133により、個人情報流出の可能性のあるユーザ操作を把握することができる。
【0192】
図14には、部署毎に集計された、個人情報ファイルのFTP転送回数を棒グラフとしてディスプレイに表示する画面134と、この画面134から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト135とが示されている。リスト135では、選択された部署における利用者端末10の所有者名毎に、その利用者端末10のPC名と、FTP転送日時と、その転送対象となった個人情報ファイルのファイル名,FTPサーバ名およびFTPコマンドとが表示されている。このようなリスト135により、個人情報流出の可能性のあるユーザ操作を把握することができる。
【0193】
図15には、部署毎に集計された、個人情報ファイルのリネーム回数を棒グラフとしてディスプレイに表示する画面136と、この画面136から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト137とが示されている。リスト137では、選択された部署における利用者端末10の所有者名毎に、その利用者端末10のPC名と、リネーム日時と、そのリネーム対象となった個人情報ファイルのファイル名およびドキュメントパスとが表示されている。このようなリスト137により、
個人情報流出の可能性のあるユーザ操作を把握することができる。
【0194】
図16には、禁止閲覧サイト毎に集計されたアクセス回数を棒グラフとしてディスプレイに表示する画面138と、この画面138から「サイト名」(ここでは「ファイル便」)でドリルダウンされてディスプレイに表示されるリスト139とが示されている。リスト139では、選択されたサイトにアクセスした利用者端末10の所有者名毎に、その利用者端末10のPC名と、アクセス時間とが表示されている。このようなリスト139により、閲覧禁止サイトへのアクセスを監視することができる。
【0195】
〔2−5〕Pマークに基づく管理サーバの管理動作:
次に、探査手段110による探査結果として得られたPマークに基づく管理サーバ20(管理手段21k)の管理動作について、図6に示すフローチャート(ステップS20〜S29)に従って説明する。
【0196】
管理手段21kでは、利用者端末10から得られた個人情報ファイルの判定結果(Pマークテーブル)を参照し、個人情報ファイル(Pマークを付与されたファイル)の有無を判定する(ステップS20)。個人情報ファイルが存在する場合(ステップS21のYESルート)、個人情報ファイルの探査結果〔ここではPマークレベル(ランク)〕に応じて、管理手段21kにより、各個人情報ファイルに対する管理・操作が以下のように行なわれる(ステップS21〜S29)。
【0197】
まず、Pマークレベル“P1”の個人情報ファイルの有無が判定され(ステップS21)、Pマークレベル“P1”の個人情報ファイルがある場合(ステップS21のYESルート)、その個人情報ファイルをアクセス監視対象(アクセスログの記録対象)として設定・登録する(ステップS22)。
【0198】
Pマークレベル“P1”の個人情報ファイルがない場合(ステップS21のNOルート)、もしくは、ステップS22での登録後、Pマークレベル“P2”の個人情報ファイルの有無が判定され(ステップS23)、Pマークレベル“P2”の個人情報ファイルがある場合(ステップS23のYESルート)、その個人情報ファイルをアクセス監視対象として設定・登録するとともに、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報が通知される(ステップS24)。
【0199】
Pマークレベル“P2”の個人情報ファイルがない場合(ステップS23のNOルート)、もしくは、ステップS24での注意情報通知後、Pマークレベル“P3”の個人情報ファイルの有無が判定され(ステップS25)、Pマークレベル“P3”の個人情報ファイルがある場合(ステップS25のYESルート)、その個人情報ファイルをアクセス監視対象として設定・登録するとともに、その個人情報ファイルを保管している利用者が存在する旨が、システム管理者に対し警告情報としてメール等により通知されるとともに、その個人情報ファイルの返却が利用者に指示される(ステップS26)。
【0200】
Pマークレベル“P3”の個人情報ファイルがない場合(ステップS25のNOルート)、もしくは、ステップS26で警報情報通知および返却指示を行なった後、Pマークレベル“P4”の個人情報ファイルの有無が判定され(ステップS27)、Pマークレベル“P4”の個人情報ファイルがある場合(ステップS27のYESルート)、その個人情報ファイルが利用者端末10から強制的に捕獲・回収され(ステップS28)、さらに、その個人情報ファイルをファイルアクセス管理サーバ20の管理下に置き、その個人情報ファイルに対するアクセスをファイルアクセス管理サーバ20に管理させる(ステップS29)。Pマークレベル“P4”の個人情報ファイルがない場合(ステップS27のNOルート)、もしくは、ステップS29での処理終了後、管理動作を終了する。
【0201】
なお、前述した通り、Pマークレベル“P4”の個人情報ファイルについては、その個人情報ファイルが利用者端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したりしてもよい。また、Pマークレベル“P3”の個人情報ファイルが所定日数放置された場合、Pマークレベル“P4”の個人情報ファイルと同様の処置を実行してもよい。さらに、Pマークレベル“P1”〜“P4”の個人情報ファイルの全てをファイルアクセス管理サーバ20の管理下に置くようにしてもよい。
【0202】
〔2−6〕ファイルアクセス管理サーバの動作:
次に、図7および図8を参照しながら、ファイルアクセス管理サーバ20の動作について説明する。
【0203】
まず、図7に示すフローチャート(ステップS31〜S34)に従って、本実施形態のファイルアクセス管理サーバ20によるファイル変換動作を説明する。
ファイルアクセス管理サーバ20において、管理対象のファイルが、ファイルアクセス管理サーバ20による管理対象として登録されるべく各利用者端末10からネットワーク40経由で個人情報ファイル受信手段21naにより受信されると(ステップS31のYESルート)、そのファイルが、暗号化手段21oにより、PDFファイルに変換され(ステップS32)、さらに、所定の暗号鍵を用いて暗号化処理(鍵掛け処理)が行なわれる(ステップS33)。そして、暗号化ファイルは、暗号化ファイル送信手段21bによりネットワーク40経由で利用者端末10に送信される(ステップS34)。
【0204】
ついで、図8に示すフローチャート(ステップS41〜S45)に従って、本実施形態のファイルアクセス管理サーバ20による認証動作について説明する。
利用者端末10の利用者が、暗号化ファイルの内容を閲覧しようとする場合、その利用者によって認証情報が入力されファイルアクセス管理サーバ20へ送信される。そして、その認証情報がネットワーク40経由で認証情報受信手段21ncにより受信されると(ステップS41のYESルート)、判定手段21pは、認証情報に含まれるユーザIDによってデータベース22を検索し、そのユーザIDに対応する登録パスワードをデータベース22から読み出し、認証情報に含まれるパスワードと、データベース22から読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定(利用者認証;ステップS42)を行なう。
【0205】
これらのパスワードが一致し、利用者端末10の利用者が正当な登録者(正当な送信先)であることが認証されると(ステップS43のYESルート)、復号鍵送信手段21ndにより、暗号化ファイルを復号化するための復号鍵がデータベース22から読み出され、その利用者端末10にネットワーク40経由で送信される(ステップS44)。
【0206】
そして、利用者端末10において、復号鍵が受信されると、その復号鍵を用いて暗号化ファイルが復号化されて元のファイルが復元され、そのファイルに対し、予め与えられたアクセス権限に応じたアクセスが実行される。例えば、前述したようにアクセス権限として閲覧権限のみが与えられている場合、利用者は、復元されたファイルの内容を閲覧することはできるが、閲覧以外のアクセス、例えばプリンタによる印刷出力や他の記録媒体へのコピーや画面コピー(画面キャプチャ)や別名保存などのアクセスは一切行なうことができない。
【0207】
一方、ファイルアクセス管理サーバ20の判定手段21pによりパスワードが不一致であると判定された場合、もしくは、ユーザIDに対応する登録パスワードがデータベース22に登録されていなかった場合には、利用者が正当な登録者(正当な送信先)ではない
と判定され(ステップS43のNOルート)、ファイルアクセス管理サーバ20から利用者端末10にネットワーク40経由でエラー通知が行なわれる(ステップS45)。
【0208】
〔3〕本実施形態の個人情報管理システムの効果:
このように本発明の一実施形態としての管理システム1や管理サーバ20によれば、管理サーバ20の管理範囲に含まれる、利用者端末10と個人情報ファイル(個人情報要素を所定数以上保有しているファイル)とが管理サーバ20によって管理され、管理サーバ20によって管理されている個人情報ファイルに対するアクセス頻度が基準値以上の利用者端末10が認識されると、その利用者端末10には個人情報ファイルが保有されている可能性が高いものとみなし、その利用者端末10に対して探査プログラムが自動的かつ強制的にインストールされる。このとき、個人情報ファイルに対するアクセス頻度が基準値未満の利用者端末10は自端末内に保護対象情報を蓄積している可能性が低いものとみなし、その利用者端末10に対する探査プログラムのインストールは行なわない。
【0209】
なお、利用者端末の所在位置を検出して、検出された利用者端末の所在位置に応じて基準値を変更することで、特定の個人についての個人情報を利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルを取り扱いできるようにして、たとえば、社内や国内など安定した所在位置の場合には基準を緩やかにすると共に、社外や遠隔地や国外など管理が難しい所在位置の場合には基準を厳格化することで、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することが可能になる。
【0210】
そして、探査プログラムをインストールされた利用者端末10において探査プログラムが自動的かつ強制的に実行されることにより、個人情報ファイルが自己探査され、その自己探査結果が管理サーバ20に収集される。つまり、個人情報ファイルにアクセスし自端末内に保護対象情報を蓄積した可能性の高い利用者端末10において、個人情報ファイルの自己探索が強制的に実行され、そのようなファイルを管理サーバ20の管理下に置くとともに、その自己探索結果や個人情報ファイルに対するアクセス頻度に基づいて利用者端末10を管理することができる。
【0211】
これにより、個人情報ファイルが保有されている可能性が高い利用者端末10については、自動的かつ強制的に探査プログラムがインストールされて個人情報ファイルの自己探査が行なわれ、探査された個人情報ファイルが直ちに管理サーバ20の管理下に置かれ、個人情報の不用意な流出・漏洩や不正利用などを確実に防止することができる。また、個人情報ファイルが保有されている可能性が低い利用者端末10については、探査プログラムのインストールや自己探査を行なわずに済むため、効率的な処理によって、個人情報ファイルの探査を確実に行なうことができ、個人情報の不用意な流出・漏洩や不正利用などを確実に防止できる利点がある。
【0212】
ここで、管理対象ファイルに対するアクセス頻度、もしくは、利用者端末10の所在位置の少なくとも一方に応じて利用者端末についてのセキュリティレベルを設定することにより、保護対象情報を含むファイルが保有されている可能性が高い利用者端末については動作制限を厳格化すると共に、上記可能性の低い場合には端末は動作制限を緩やかにして効率よく使用できる環境が提供されることになる。これにより、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
【0213】
なお、利用者端末10の所在位置を検出して、検出された利用者端末の所在位置に応じてセキュリティレベを変更することで、特定の個人についての個人情報を利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルを取り扱いできるようにして、たとえば、社内や国内など安定した所在位置の場合には基準を
緩やかにすると共に、社外や遠隔地や国外など管理が難しい所在位置の場合には基準を厳格化することで、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することが可能になる。
【0214】
このとき、個人情報ファイルに対するアクセス頻度に応じて利用者端末10についてのセキュリティレベルを設定することにより、個人情報ファイルが保有されている可能性が高い利用者端末10、つまりは、個人情報ファイルの不用意な流出・漏洩や不正利用などが発生する可能性の高い利用者端末10についてはセキュリティレベルを高く設定して動作制限(外部アクセス禁止,外部記憶媒体50へのデータ書き出し禁止,社外へのメール送信禁止,添付ファイルの暗号化管理)が厳格化される一方でその可能性の低い利用者端末10についてはセキュリティレベルを低く設定して動作制限が解除もしくは緩和される。
【0215】
これにより、上記可能性の低い場合には端末10を効率よく使用できる環境が提供されることになるので、利用者は、自発的に、自分の端末10を上記可能性の低い状態に移行させるようになり、個人情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
【0216】
また、ここで、暗号化された管理対象ファイルが利用者端末10側で開封される際に、利用者端末10の所在位置を検出し、所在位置が所定条件を満たしていると判定された場合に利用者端末10での管理対象ファイルの開封を許可する一方、所在位置が前記所定条件を満たしていないと判定された場合に利用者端末10での管理者対象ファイルの開封を禁止する制御を管理サーバ20から行うことにより、個人情報を含む管理対象ファイルを利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルの取り扱い(開封)が可能になり、たとえば、社内や国内など安定した所在位置の場合には開封許可にすると共に、社外や遠隔地や国外など管理が難しい所在位置の場合には開封禁止のように基準を厳格化することで、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することが可能になる。
【0217】
また、個人情報ファイルに対するアクセス頻度に応じてアクセス状況の公開を行なうことにより、個人情報ファイルが保有されている可能性が高い利用者端末10、つまりは、個人情報ファイルの不用意な流出・漏洩や不正利用などが発生する可能性の高い利用者端末10については、例えば図9〜図16に示したように、個人情報ファイルに対するアクセス状況(例えば、個人情報ファイルのファイル名,PC名,所有者名,個人情報ファイルの数の集計結果,個人情報ファイルに対するアクセスの回数の集計結果など)が公開される。これにより、利用者が、自発的に、個人情報ファイルに対するアクセスを行なわなくなるような環境が提供されるとともに、不正なアクセスが発覚しやすく不正行為を行ない難い環境が提供されることになり、個人情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
【0218】
また、外部記憶媒体用ドライブ14をインストールされた利用者端末10に関する情報(例えば、その利用者端末のPC名,その利用者端末の所有者名,個人情報ファイルのファイル名,その個人情報ファイルの書出し回数など)が公開されることで、利用者が、自発的に、外部記憶媒体用ドライブ14をインストールしなくなるようになったり、インストールしていてもそのドライブ14を用いて個人情報ファイルの書出しを行なわなくなるような環境が提供されることになり、個人情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
【0219】
このとき、本実施形態のごとく、特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルを管理対象ファイルとする場合、本実施形態の探査手段11
0の第2判定手段116において、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。
【0220】
従って、第1判定手段113において電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についてのみ不適切文字/不適切文字列との照合処理が行なわれ、さらに、照合手段115において不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの判定処理を高速に行なうことが可能になる。
【0221】
このとき、第1判定手段113において、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で文字区間における文字列の判定処理を行なうことで、判定処理をより高速に効率良く実行することが可能になる。
【0222】
また、第2判定手段116において不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まない電子ファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高い電子ファイルを確実に判定することが可能になる。つまり、個人情報ファイルである可能性の高い電子ファイル(疑わしい電子ファイル)を確実に洗い出すことができる。
【0223】
さらに、本実施形態では、文字判定手段114により、文字区間の文字数が1以上6以下であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合手段115による照合対象としているので、照合手段115による照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が6を超える長い文字区間が、照合手段115による照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの判定処理のさらなる高速化に寄与することになる。
【0224】
特に、本実施形態の探査手段110によれば、切出手段112によりテキストデータから判定対象の文字区間として切り出す際、テキストデータ内の要素が明確な区切り文字によって区切られていない場合であっても、1バイトコード文字と2バイトコード文字との境界位置つまり半角文字と全角文字との境界位置(半角文字のあとに全角文字が続く部分もしくは全角文字のあとに半角文字が続く部分)や、全角算用数字と全角算用数字およびハイフンを除く文字との境界位置で、テキストデータが区切られて文字区間として切り出されることになる。
【0225】
これにより、全角文字で記載された住所や氏名などと半角文字で記載された電話番号や電子メールアドレスなどの文字列とがテキストデータにおいて区切り文字によって区切られることなく混在する場合や、全角文字で記載された住所や氏名などと全角文字で記載された電話番号などの数字列とがテキストデータにおいて区切り文字によって区切られることなく混在する場合であっても、住所,氏名,電話番号,電子メールアドレスなどの個人情報要素毎に文字区間を切り出すことができる。従って、住所,氏名,電話番号,電子メールアドレスなどの個人情報要素の判定を確実に行なえるようになり、個人情報ファイルを効率よく短時間で確実に判定することができる。
【0226】
また、電子メールアドレス判定手段113bによる電子メールアドレス判定条件として、判定対象の文字区間における文字列に「一文字以上のASCII文字」+「@(アット
マーク)」+「一文字以上のASCII文字」+「.(ドット)」+「一文字以上のAS
CII文字」となる文字列が含まれており、且つ、当該文字列の最後の文字が半角の英字であることを設定することにより、「@(アットマーク)」を単価や単位の表示に用いて
いる文字列であって、「@(アットマーク)」のあとに「一文字以上の半角数字」+「.(ドット)」+「一文字以上の半角数字」となる数字列(例えば「123@45.67」)を、電子
メールアドレスとして誤って判定することを確実に防止することができる。従って、電子メールアドレスなどの個人情報要素の判定を確実に行なえるようになり、個人情報ファイルを効率よく短時間で確実に判定することができる。
【0227】
電子メールアドレスにおいて“@”以降の最後の「.(ドット)」以降の文字列は、現在のところ、必ず、例えば“com”,“net”,“jp”などの英字列になっている。また、“@”は、一般に、単価や単位の表示に用いられることが多々ある。例えば、ある物品の1
個当たりの値段や重さを表示する際、“@100.00”とか“@10.55”というように“@”を用いる場合がある。このため、電子メールアドレス判定条件が、単に判定対象の文字区間における文字列に「一文字以上のASCII文字」+「@(アットマーク)」+「一文字以
上のASCII文字」+「.(ドット)」+「一文字以上のASCII文字」となる文字
列が含まれていることとすると、上記のような“@100.00”や“@10.55”を含む文字列も
電子メールアドレスとして誤って認識してしまうことになるが、文字列の最後の文字が半角の英字であることを電子メールアドレス判定条件に追加することで、上述のような数字列“@100.00”や“@10.55”を含む文字列を電子メールアドレスとして誤認識するのを確
実に防止することができるのである。
【0228】
さらに、住所判定手段113cによる住所判定条件として、判定対象の文字区間における文字列に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字または半角文字」となる文字列が含まれていることに加え、判定対象の文字区間の先頭文字と47都道府県名もしくは市区郡名の頭文字との一致をみることで、「市」,「区」,「郡」を途中に含む文字列であるが住所とは全く関係の無い文字列を誤って住所として判定することがなくなり、47都道府県名もしくは市区郡名の完全一致を判定する場合に比べ極めて短時間で、住所としての確度の高い文字区間を効率よく確実に判定することができる。
【0229】
またさらに、文字判定手段114による文字判定条件(氏名判定条件)に、判定対象の文字列の先頭文字が、日本人に多い苗字上位所定数(例えば上位3000種類)に属する苗字の頭文字と一致することを追加することにより、苗字の完全一致を判定する場合に比べ極めて短時間で、氏名としての確度の高い文字区間を効率よく確実に判定することができる。
【0230】
そして、管理サーバ20の管理手段21kにより、第2判定手段116で得られた計数結果(判定値レベル)に応じて、個人情報ファイルであると判定された電子ファイルの管理を行なうことにより、個人情報ファイル毎に、判定値レベル(個人情報ファイルである可能性の高さ/個人情報要素数の多さ)に応じた管理手法を選択して実行することができる。
【0231】
一方、利用者端末10から外部へ送出されるファイルを、利用者端末10もしくはファイルアクセス管理サーバ20において暗号化ファイルに変換することで、外部送出対象のファイルについては暗号化ファイルに変換された上で送出されるので、そのファイルが、万人が参照可能な状態で各端末10から外部へ持ち出されるのを抑止でき、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止することができる。
【0232】
このとき、暗号化ファイルの正当な利用者については、ファイルアクセス管理サーバ20により正当な利用者であることを認証されれば、ファイルアクセス管理サーバ20から受信した復号鍵で暗号化ファイルを復号し、暗号化ファイルの内容に対するアクセスが可能になるが、その他の利用者は、暗号化ファイルを復号することができず、その内容に対するアクセスを行なうことは不可能になっている。つまり、ファイルは、正当な利用者のみがアクセス可能な暗号化ファイルに変換された上で外部に送出されるので、上述のごとく個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止しながら、正当な利用者のアクセスは可能になるので、正当な利用者についての利便性を損なうことがない。
【0233】
なお、このとき、ファイルのオリジナルは完全文書ファイルに格納されて暗号化されることになるので、そのファイルのオリジナルは、そのままの状態、即ち利用者端末10において万人が参照可能な状態で残ることがないので、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
【0234】
〔4〕本実施形態の変形例:
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
【0235】
例えば、上述した実施形態では、管理対象ファイルが個人情報ファイルである場合について説明したが、本発明は、これに限定されるものではなく、個人情報以外の機密情報を含む機密情報ファイルを管理対象ファイルとしてもよい。この場合、機密情報ファイルを判定するための所定条件は、機密情報を含むレコード(機密情報要素)を所定数以上保有していることであり、機密情報要素は、例えば、発表前の新製品,特許出願前の技術,経営戦略などで使用される文字列である。なお、このような機密情報ファイルについても、個人情報ファイルと同様にして、探査手段110によって探査することができ、上述した実施形態と同様の作用効果を得ることができる。
【0236】
また、不正アクセス,情報漏洩,データ毀損などに対して保険金の支払いを行う保険が存在する場合において、以上の実施形態を用いることでリスクが大幅に減少することが予想されるため、本実施形態の管理サーバ20での認証された状態で個人情報を扱う利用者端末10では、認証情報を管理サーバ20から保険会社のサーバに転送して保険会社側で確認することで、保険掛け金の割引きをすることも可能である。この場合、管理サーバ20側では認証を完了したデータや利用者端末10の情報を保険会社に転送するだけであり、システムの大幅な改良を要しない。また、保険会社側でも、認証を完了したデータを受けることで、確実な状態を確保しつつ、料金(保険掛け金)の値下げを実行することが可能になる。
【0237】
〔5〕その他:
上述した探査手段110,動作制限手段13,利用者情報収集手段21a,ログ収集手段21b,アクセス頻度算出手段21e,アクセス頻度判定手段21g,インストール手段21h,探査結果収集手段21iおよび管理手段21kとしての機能(各手段の全部もしくは一部の機能)は、コンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラム(探査プログラム,管理プログラム)を実行することによって実現される。
【0238】
そのプログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形
態で提供される。この場合、コンピュータはその記録媒体から管理プログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。
【0239】
ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたプログラムを読み取るための手段とを備えている。上記管理プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、探査手段110,動作制限手段13,利用者情報収集手段21a,ログ収集手段21b,アクセス頻度算出手段21e,アクセス頻度判定手段21g,インストール手段21h,探査結果収集手段21iおよび管理手段21kとしての機能を実現させるプログラムコードを含んでいる。また、その機能の一部は、アプリケーションプログラムではなくOSによって実現されてもよい。
【0240】
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROMなどのメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。
【0241】
〔6〕付記:
(付記1)
ネットワークを介して利用者端末と相互に通信可能に接続され該利用者端末を管理するとともに、保護対象情報に係る要素を所定数以上保有しているファイルを管理対象ファイルとして管理する管理サーバであって、
該利用者端末による該管理対象ファイルに対するアクセスのログを収集するログ収集手段と、
該ログ収集手段によって収集されたログに基づいて、該利用者端末の該管理対象ファイルに対するアクセス頻度を算出するアクセス頻度算出手段と、
該アクセス頻度算出手段によって算出された該アクセス頻度が基準値以上であるか否かを判定するアクセス頻度判定手段と、
該アクセス頻度判定手段によって該利用者端末の該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された場合、該保護対象情報に係る要素を所定数以上保有しているファイルを当該利用者端末によって自己探査させる探査プログラムを、該ネットワークを介して当該利用者端末にインストールするインストール手段と、
該ネットワークを介して、該利用者端末で実行された自己探査結果を収集する探査結果収集手段と、
該アクセス頻度算出手段によって算出された該アクセス頻度、および、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末を管理する管理手段とを備えて構成されたことを特徴とする管理サーバ。
【0242】
(付記2)
該管理手段が、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末において探査された該ファイルを該管理対象ファイルとして取り扱うことを特徴とする付記1記載の管理サーバ。
【0243】
(付記3)
該管理手段が、該アクセス頻度算出手段によって算出された該アクセス頻度に応じて、該利用者端末からの管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを設定し、該セキュリティレベルに応じた動作制限を該利用者端末に実行させることを特徴とする付記1または付記2に記載の管理サーバ。
【0244】
(付記4)
該管理手段が、該アクセス頻度判定手段によって該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された利用者端末については該セキュリティレベルを高く設定して該利用者端末の動作制限を厳格化する一方、該アクセス頻度判定手段によって該アクセス頻度が基準値未満であると判定された利用者端末については該セキュリティレベルを低く設定して該利用者端末の動作制限を解除もしくは緩和することを特徴とする付記3記載の管理サーバ。
【0245】
(付記5)
該管理手段が、該利用者端末の動作制限として、外部アクセス禁止,外部記憶媒体へのデータ書き出し禁止,社外へのメール送信禁止,添付ファイルの暗号化管理のうちの少なくとも一つを該利用者端末に実行させることを特徴とする付記3または付記4に記載の管理サーバ。
【0246】
(付記6)
該管理手段が、該アクセス頻度算出手段によって算出された該アクセス頻度に応じて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする付記1〜付記5のいずれか一項に記載の管理サーバ。
【0247】
(付記7)
該管理手段が、該アクセス頻度判定手段によって該利用者端末の該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された場合、該公開情報の作成・公開を行なうことを特徴とする付記6記載の管理サーバ。
【0248】
(付記8)
該公開情報として、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とが含まれていることを特徴とする付記6または付記7に記載の管理サーバ。
【0249】
(付記9)
該公開情報として、該利用者端末における該管理対象ファイルの数の集計結果が含まれていることを特徴とする付記6〜付記8のいずれか一項に記載の管理サーバ。
【0250】
(付記10)
該公開情報として、該管理対象ファイルに対するアクセスの数の集計結果が含まれていることを特徴とする付記6〜付記9のいずれか一項に記載の管理サーバ。
【0251】
(付記11)
該保護対象情報が個人情報であり、
該探査プログラムが、該利用者端末の記憶部におけるデータの中から特定の個人を識別可能な個人情報要素を所定数以上保有しているファイルつまり個人情報ファイルを探査する探査手段として、該利用者端末を機能させることを特徴とする付記1〜付記10のいずれか一項に記載の管理サーバ。
【0252】
(付記12)
該探査手段が、
判定対象ファイルに含まれるテキストデータを抽出する抽出手段と、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段とを備えて構成されていることを特徴とする付記11記載の管理サーバ。
【0253】
(付記13)
ネットワークを介して利用者端末と相互に通信可能に接続され該利用者端末を管理するとともに、保護対象情報に係る要素を所定数以上保有しているファイルを管理対象ファイルとして管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、
該利用者端末による該管理対象ファイルに対するアクセスのログを収集するログ収集手段、
該ログ収集手段によって収集されたログに基づいて、該利用者端末の該管理対象ファイルに対するアクセス頻度を算出するアクセス頻度算出手段、
該アクセス頻度算出手段によって算出された該アクセス頻度が基準値以上であるか否かを判定するアクセス頻度判定手段、
該アクセス頻度判定手段によって該利用者端末の該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された場合、該保護対象情報に係る要素を所定数以上保有しているファイルを当該利用者端末によって自己探査させる探査プログラムを、該ネットワークを介して当該利用者端末にインストールするインストール手段、
該ネットワークを介して、該利用者端末で実行された自己探査結果を収集する探査結果収集手段、および、
該アクセス頻度算出手段によって算出された該アクセス頻度、および、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末を管理する管理手段として、該コンピュータを機能させる、ことを特徴とする管理プログラム。
【0254】
(付記14)
該管理手段が、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末において探査された該ファイルを該管理対象ファイルとして取り扱うように、該コンピュータを機能させることを特徴とする付記13記載の管理プログラム。
【0255】
(付記15)
該管理手段が、該アクセス頻度算出手段によって算出された該アクセス頻度に応じて、
該利用者端末からの管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを設定し、該セキュリティレベルに応じた動作制限を該利用者端末に実行させるように、該コンピュータを機能させることを特徴とする付記13または付記14に記載の管理プログラム。
【0256】
(付記16)
該管理手段が、該アクセス頻度判定手段によって該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された利用者端末については該セキュリティレベルを高く設定して該利用者端末の動作制限を厳格化する一方、該アクセス頻度判定手段によって該アクセス頻度が基準値未満であると判定された利用者端末については該セキュリティレベルを低く設定して該利用者端末の動作制限を解除もしくは緩和するように、該コンピュータを機能させることを特徴とする付記15記載の管理プログラム。
【0257】
(付記17)
該管理手段が、該利用者端末の動作制限として、外部アクセス禁止,外部記憶媒体へのデータ書き出し禁止,社外へのメール送信禁止,添付ファイルの暗号化管理のうちの少なくとも一つを該利用者端末に実行させるように、該コンピュータを機能させることを特徴とする付記15または付記16に記載の管理プログラム。
【0258】
(付記18)
該管理手段が、該アクセス頻度算出手段によって算出された該アクセス頻度に応じて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開するように、該コンピュータを機能させることを特徴とする付記13〜付記17のいずれか一項に記載の管理プログラム。
【0259】
(付記19)
該管理手段が、該アクセス頻度判定手段によって該利用者端末の該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された場合、該公開情報の作成・公開を行なうように、該コンピュータを機能させることを特徴とする付記18記載の管理プログラム。
【0260】
(付記20)
該公開情報として、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とが含まれていることを特徴とする付記18または付記19に記載の管理プログラム。
【0261】
(付記21)
該公開情報として、該利用者端末における該管理対象ファイルの数の集計結果が含まれていることを特徴とする付記18〜付記20のいずれか一項に記載の管理プログラム。
【0262】
(付記22)
該公開情報として、該管理対象ファイルに対するアクセスの数の集計結果が含まれていることを特徴とする付記18〜付記21のいずれか一項に記載の管理プログラム。
【0263】
(付記23)
該保護対象情報が個人情報であり、
該探査プログラムが、該利用者端末の記憶部におけるデータの中から特定の個人を識別可能な個人情報要素を所定数以上保有しているファイルつまり個人情報ファイルを探査する探査手段として、該利用者端末を機能させることを特徴とする付記13〜付記22のい
ずれか一項に記載の管理プログラム。
【0264】
(付記24)
該探査プログラムが、
判定対象ファイルに含まれるテキストデータを抽出する抽出手段、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段、および、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段として、該利用者端末を機能させることにより、該利用者端末を該探査手段として機能させることを特徴とする付記23記載の管理プログラム。
【図面の簡単な説明】
【0265】
【図1】本実施形態の管理サーバと利用者端末の機能構成を示すブロック図である。
【図2】本発明の一実施形態としての個人情報管理システム(管理システム)の構成を示すブロック図である。
【図3】本実施形態の管理サーバに備えられたファイルアクセス管理サーバとしての機能構成を示すブロック図である。
【図4】本実施形態の管理サーバの動作を説明するためのフローチャートである。
【図5】本実施形態の探査手段の動作を説明するためのフローチャートである。
【図6】本実施形態の管理サーバの動作を説明するためのフローチャートである。
【図7】本実施形態の管理サーバの動作(ファイルアクセス管理サーバとしての機能による認証動作)を説明するためのフローチャートである。
【図8】本実施形態の管理サーバの動作(ファイルアクセス管理サーバとしての機能によるファイル変換動作)を説明するためのフローチャートである。
【図9】本実施形態の管理サーバの管理手段によって作成され公開される公開情報の具体例を示す図である。
【図10】本実施形態の管理サーバの管理手段によって作成され公開される公開情報の具体例を示す図である。
【図11】本実施形態の管理サーバの管理手段によって作成され公開される公開情報の具体例を示す図である。
【図12】本実施形態の管理サーバの管理手段によって作成され公開される公開情報の具体例を示す図である。
【図13】本実施形態の管理サーバの管理手段によって作成され公開される公開情報の具体例を示す図である。
【図14】本実施形態の管理サーバの管理手段によって作成され公開される公開情報の具体例を示す図である。
【図15】本実施形態の管理サーバの管理手段によって作成され公開される公開情報の具体例を示す図である。
【図16】本実施形態の管理サーバの管理手段によって作成され公開される公開情報の具体例を示す図である。
【符号の説明】
【0266】
1 個人情報管理システム(管理システム)
10 利用者端末
10a CPU
10b 記憶部
10c 検疫テーブル
10d Pマークテーブル
11 探査手段
111 抽出手段
112 切出手段
113 第1判定手段
113a 電話番号判定手段
113b 電子メールアドレス判定手段
113c 住所判定手段
114 文字判定手段
115 照合手段
116 第2判定手段
12 送受信手段
13 動作制限手段
14 外部記憶媒体用ドライバ
15 暗号化手段/登録手段
20 管理サーバ
21 CPU
21a 利用者情報収集手段
21b ログ収集手段
21c 端末位置検出手段
21d 基準値変更手段
21e アクセス頻度判定手段
21f 基準値記憶手段
21g アクセス頻度算出手段
21h インストール手段
21i 探査結果収集手段
21j 管理コンソール
21k 管理手段
21m 表示制御手段
21n 送受信手段
21na ファイル受信手段
21nb 暗号化ファイル送信手段
21nc 認証情報受信手段
21nd 復号鍵送信手段
21o 暗号化手段
21p 判定手段
22 データベース
23 表示部
40 ネットワーク(社内LAN)
50 外部記憶媒体(USBメモリ等)
101,103,105,108,130,132,134,136,138 画面(公開情報)
102,104,106,107,109,131,133,135,137,139
リスト(公開情報)
【技術分野】
【0001】
本発明は、パーソナルコンピュータ等の情報処理装置(利用者端末,サーバ等)を管理するとともに、その情報処理装置を備えたシステムにおいて、個人情報や機密情報などの保護対象情報にかかる要素を所定数以上有しているファイルを管理対象として管理する技術に関する。
【背景技術】
【0002】
近年、個人情報の保護の意識の高まりに伴い、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することが望まれている。特に、個人情報保護法の施行に伴って、個人情報取扱事業者は、個人情報の流出・漏洩や不正利用をより確実に防止する必要が生じている。ここで、個人情報とは、単体もしくは組合せによって特定の個人を識別することのできる情報で、例えば氏名,生年月日,連絡先(住所,居所,電話番号,電子メールアドレス等)などが含まれる。各種企業内で保存されて取り扱われる顧客情報,取引先情報などが個人情報に該当する場合が多い。
【0003】
このような個人情報は、当然、企業にとっては秘匿性の高い機密情報に該当するが、企業にとっての機密情報としては、個人情報のほかにも、発表前の新製品,特許出願前の技術,経営戦略などに係る情報が該当する。なお、システム監査学会によれば、機密情報とは、情報資産の中で、許可した者以外に開示したり、目的外に利用された場合、経営資源としての価値を損なうおそれのある情報と定義されている。
【0004】
上述のような個人情報や機密情報の流出・漏洩や不正利用を確実に防止するためには、集中管理システムを導入し、これらの個人情報や機密情報を一元的に管理することが望ましい。しかしながら、現実には、企業内において、顧客情報,取引先情報などの個人情報は、社員個人によって利用される複数の利用者端末〔パーソナルコンピュータ(以下、PCと略記する場合がある)〕や各部署のサーバに、ばらばらに分散して保存されている場合が多い。より具体的には、個々の社員が各自の業務都合で自分のPCに個人情報(顧客情報等)を保存していたり、中央データベース、あるいは、各社員によって独自に収集された個人情報のサブセットがPCにまちまちに存在していたりする。
【0005】
このため、上記集中管理システムを構築する場合、管理者は、まず最初に、企業内にばらばらに存在する個人情報や機密情報の洗い出しを行ない、企業内のどこにどのような個人情報や機密情報が存在しているかを把握する必要があるが、個人情報や機密情報の洗い出しは、管理者が各社員に指示し人間対人間で全社・全部門の人的な協力を得て行なわれることになる。
【0006】
なお、例えば下記特許文献1においては、個人情報保護法の施行に伴い、個人情報の流出・漏洩や不正利用を防止する個人情報保護サービスを提供するための技術「個人情報保護サービス事業の処理方法および装置」が提案・開示されている。この特許文献1では、個人情報を不適切に取得した企業を特定して警告することができ、且つ、適正に取得した企業から個人情報が不正に流出することを防止できるようにするための技術が開示されているが、上述のごとく企業内で個人情報が分散して存在している場合の対処については開示されていない。
【0007】
また、例えば下記特許文献2では、コンピュータシステムや、その他のデータ処理機器もしくはシステムにおいて、ファイルの不正複写を防止するためのファイル複写管理技術が開示され、特に、ファイルに格別の複写禁止措置を講じることなく、特定言語で記述さ
れたソースコード・ファイルや特定のファイル形式のマルチメディアデータ・ファイルなどの不正複写を防止するための技術が開示されているが、上述のごとく企業内で個人情報が分散して存在している場合の対処については開示されていない。
【0008】
さらに、例えば下記特許文献3においては、統合内部情報流出防止システムが開示されており、特に、出力装置および移動可能格納装置を通じたオフライン情報流出と、通信プログラムによるオンライン情報流出とを根本的に防止および監視することで、組織内部システムから重要情報が流出するのを防止するための技術が開示されているが、やはり、上述のごとく企業内で個人情報が分散して存在している場合の対処については開示されていない。
【特許文献1】特開2002−183367号公報
【特許文献2】特開2001−350671号公報
【特許文献3】特表2003−535398号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
上述のごとく各社員からの申告といった人的な協力のもとで個人情報や機密情報の洗い出しを行なうと、手間がかかるだけでなく全ての個人情報や機密情報を確実に漏れなく洗い出すのは困難になる。特に、個人情報や機密情報の分散化が進んでいると、個人情報や機密情報の洗い出しは極めて困難になる。また、社内LAN(Local Area Network)等のネットワークに接続された全ての利用者端末を対象にして個人情報や機密情報の洗い出しを行なうとなると、多大な労力を要することになるため、個人情報や機密情報の洗い出しを効率的に行なえるようにすることが望まれている。
【0010】
また、電子情報ファイルを取り扱う利用者端末(PC)は、どこへでも持ち運ぶことが可能であり、もちろん、輸出規制対象国〔例えばキャッチオール規制の対象とならないホワイト国(2006年5月現在で26カ国)以外の国〕や、利用者の所属する企業が許可しない国/地域に持ち込むことも可能である。そのような国や地域で、輸出規制対象の技術等に関連する技術者の個人情報ファイルを開いて閲覧したりすることは、輸出規制対象の技術等が輸出規制対象国や地域で流出する機会を生じさせることになるため好ましくない。従って、予め規定された国や地域において、特定の個人情報ファイルの開封を禁止できるようにすることが望まれている。
【0011】
本発明は、このような状況に鑑み創案されたもので、効率的な処理によって、保護対象情報を含む電子情報ファイルの探査を確実に行なえるようにして、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止することを目的としている。
【0012】
また、本発明は、このような状況に鑑み創案されたもので、特定の個人についての個人情報を利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルを取り扱いできるようにして、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することを目的としている。
【課題を解決するための手段】
【0013】
上記目的を達成するための本発明は、以下に列記するように構成されている。
(1)請求項1記載の発明は、ネットワークを介して利用者端末と相互に通信可能に接続され該利用者端末を管理するとともに、保護対象情報に係る要素を所定数以上保有しているファイルを管理対象ファイルとして管理する管理サーバであって、該利用者端末による該管理対象ファイルに対するアクセスのログを収集するログ収集手段と、該ログ収集手段によって収集されたログに基づいて、該利用者端末の該管理対象ファイルに対するアクセス頻度を算出するアクセス頻度算出手段と、該アクセス頻度算出手段によって算出され
た該アクセス頻度が基準値以上であるか否かを判定するアクセス頻度判定手段と、前記利用者端末の所在位置を検出する端末位置検出手段と、前記端末位置検出手段によって検出された前記利用者端末の所在位置に応じて、前記基準値を変更する基準値変更手段と、該アクセス頻度判定手段によって該利用者端末の該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された場合、該保護対象情報に係る要素を所定数以上保有しているファイルを当該利用者端末によって自己探査させる探査プログラムを、該ネットワークを介して当該利用者端末にインストールするインストール手段と、該ネットワークを介して、該利用者端末で実行された自己探査結果を収集する探査結果収集手段と、該アクセス頻度算出手段によって算出された該アクセス頻度、および、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末を管理する管理手段と、該利用者端末による該管理対象ファイルに対してアクセスした時点における該利用者端末の所在位置を検出する位置検出手段と、該位置検出手段によって検出された前記所在位置に応じて前記基準値を変更する基準値変更手段と、を備えて構成されたことを特徴とする管理サーバである。
【0014】
(2)請求項2記載の発明は、前記管理手段は、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末において探査された該ファイルを該管理対象ファイルとして取り扱う、ことを特徴とする請求項1記載の管理サーバである。
【0015】
(3)請求項3記載の発明は、前記管理手段は、該アクセス頻度算出手段によって算出された該アクセス頻度、もしくは、前記端末位置情報検出手段によって検出された前記所在位置の少なくとも一方に応じて、該利用者端末からの管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを設定し、該セキュリティレベルに応じた動作制限を該利用者端末に実行させる、ことを特徴とする請求項1または請求項2に記載の管理サーバである。
【0016】
(4)請求項4記載の発明は、前記管理手段は、該アクセス頻度判定手段によって該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された利用者端末、あるいは、前記端末位置情報検出手段によって検出された前記所在位置が所定の条件を満たさない利用者端末については該セキュリティレベルを高く設定して該利用者端末の動作制限を厳格化する一方、該アクセス頻度判定手段によって該アクセス頻度が基準値未満であると判定された利用者端末については該セキュリティレベルを低く設定して該利用者端末の動作制限を解除もしくは緩和する、ことを特徴とする請求項3記載の管理サーバである。
【0017】
(5)請求項5記載の発明は、暗号化された管理対象ファイルが前記利用者端末側で開封される際に、前記利用者端末から開封要求として復号鍵送信要求を受信し、前記復号鍵送信要求を受信した時点における前記利用者端末の所在位置を検出し、この所在位置が予め定められた所定条件を満たしているか否かを判定し、前記所在位置が前記所定条件を満たしていると判定された場合に前記利用者端末での前記管理対象ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記利用者端末での前記管理者対象ファイルの開封を禁止する制御を行う、ことを特徴とする請求項1〜請求項4のいずれかに記載の管理サーバである。
【0018】
(6)請求項6記載の発明は、ネットワークを介して利用者端末と相互に通信可能に接続され該利用者端末を管理するとともに、保護対象情報に係る要素を所定数以上保有しているファイルを管理対象ファイルとして管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、該利用者端末による該管理対象ファイルに対するアクセスのログを収集するログ収集手段、該ログ収集手段によって収集されたログに基づいて、該利用者端末の該管理対象ファイルに対するアクセス頻度を算出するアクセス頻度算出手段、該アクセス頻度算出手段によって算出された該アクセス頻度が基準値以上であるか否
かを判定するアクセス頻度判定手段、前記利用者端末の所在位置を検出する端末位置検出手段、前記端末位置検出手段によって検出された前記利用者端末の所在位置に応じて、前記基準値を変更する基準値変更手段、該アクセス頻度判定手段によって該利用者端末の該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された場合、該保護対象情報に係る要素を所定数以上保有しているファイルを当該利用者端末によって自己探査させる探査プログラムを、該ネットワークを介して当該利用者端末にインストールするインストール手段、該ネットワークを介して、該利用者端末で実行された自己探査結果を収集する探査結果収集手段、および、該アクセス頻度算出手段によって算出された該アクセス頻度、および、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末を管理する管理手段、として該コンピュータを機能させる、ことを特徴とする管理プログラムである。
【0019】
(7)請求項7記載の発明は、前記管理手段は、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末において探査された該ファイルを該管理対象ファイルとして取り扱うように、該コンピュータを機能させる、ことを特徴とする請求項6記載の管理プログラムである。
【0020】
(8)請求項8記載の発明は、前記管理手段は、該アクセス頻度算出手段によって算出された該アクセス頻度、もしくは、前記端末位置情報検出手段によって検出された前記所在位置の少なくとも一方に応じて、該利用者端末からの管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを設定し、該セキュリティレベルに応じた動作制限を該利用者端末に実行させるように、該コンピュータを機能させる、ことを特徴とする請求項6または請求項7に記載の管理プログラムである。
【0021】
(9)請求項9記載の発明は、前記管理手段は、該アクセス頻度判定手段によって該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された利用者端末、あるいは、前記端末位置情報検出手段によって検出された前記所在位置が所定の条件を満たさない利用者端末については該セキュリティレベルを高く設定して該利用者端末の動作制限を厳格化する一方、該アクセス頻度判定手段によって該アクセス頻度が基準値未満であると判定された利用者端末については該セキュリティレベルを低く設定して該利用者端末の動作制限を解除もしくは緩和するように、該コンピュータを機能させる、ことを特徴とする請求項8記載の管理プログラムである。
【0022】
(10)請求項10記載の発明は、前記管理手段は、暗号化された管理対象ファイルが前記利用者端末側で開封される際に、前記利用者端末から開封要求として復号鍵送信要求を受信し、前記復号鍵送信要求を受信した時点における前記利用者端末の所在位置を検出し、この所在位置が予め定められた所定条件を満たしているか否かを判定し、前記所在位置が前記所定条件を満たしていると判定された場合に前記利用者端末での前記管理対象ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記利用者端末での前記管理者対象ファイルの開封を禁止する制御を行う、ように該コンピュータを機能させる、ことを特徴とする請求項6乃至請求項9のいずれかに記載の管理プログラムである。
【0023】
また、該管理手段が、該利用者端末の動作制限として、外部アクセス禁止,外部記憶媒体へのデータ書き出し禁止,社外へのメール送信禁止,添付ファイルの暗号化管理のうちの少なくとも一つを該利用者端末に実行させてもよい。
【0024】
さらに、上記管理サーバにおいて、該管理手段が、該アクセス頻度算出手段によって算出された該アクセス頻度に応じて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開してもよい。その際、該管理手段が、該ア
クセス頻度判定手段によって該利用者端末の該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された場合、該公開情報の作成・公開を行なってもよく、また、該公開情報として、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とが含まれていてもよし、該利用者端末における該管理対象ファイルの数の集計結果が含まれていてもよいし、該管理対象ファイルに対するアクセスの数の集計結果が含まれていてもよい。
【0025】
なお、該保護対象情報が個人情報であり、該探査プログラムが、該利用者端末の記憶部におけるデータの中から特定の個人を識別可能な個人情報要素を所定数以上保有しているファイルつまり個人情報ファイルを探査する探査手段として、該利用者端末を機能させてもよい。
【0026】
その際、該探査手段が、判定対象ファイルに含まれるテキストデータを抽出する抽出手段と、該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段とを備えて構成されていてもよい(請求項7)。
【0027】
また、本発明の管理プログラムは、ネットワークを介して利用者端末と相互に通信可能に接続されこの利用者端末を管理するとともに、保護対象情報に係る要素を所定数以上保有しているファイルを管理対象ファイルとして管理する管理サーバとして、コンピュータを機能させるものであって、それぞれ、上述した管理サーバとしての機能を実現させるものである。
【発明の効果】
【0028】
本発明によれば、以下に列記するような効果を得ることができる。
(1)請求項1と請求項6との発明によれば、管理サーバの管理範囲に含まれる、利用者端末と管理対象ファイル(保護対象情報に係る要素を所定数以上保有しているファイル)とが管理サーバによって管理され、管理サーバによって管理されている管理対象ファイルに対するアクセス頻度が基準値以上の利用者端末が認識されると、その利用者端末には保護対象情報を含むファイルが保有されている可能性が高いものとみなし、その利用者端末に対して探査プログラムが自動的かつ強制的にインストールされる。このとき、管理対象ファイルに対するアクセス頻度が基準値未満の利用者端末は自端末内に保護対象情報を蓄積している可能性が低いものとみなし、その利用者端末に対する探査プログラムのインストールは行なわない。
【0029】
なお、利用者端末の所在位置を検出して、検出された利用者端末の所在位置に応じて基準値を変更することで、特定の個人についての個人情報を利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルを取り扱いできるようにして、たとえば、社内や国内など安定した所在位置の場合には基準を緩やかにすると共に、社外や遠隔地や国外など管理が難しい所在位置の場合には基準を厳格化することで、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することが可能になる。
【0030】
(2)請求項2と請求項7とに記載の発明では、探査プログラムをインストールされた利用者端末において探査プログラムが自動的かつ強制的に実行されることにより、保護対象情報(個人情報や機密情報)に係る要素を所定数以上保有しているファイル(個人情報ファイルや機密情報ファイルなどの管理対象ファイル)が自己探査され、その自己探査結果が管理サーバに収集される。つまり、管理対象ファイルにアクセスし自端末内に保護対象情報を蓄積した可能性の高い利用者端末において、保護対象情報を含むファイルの自己探索が強制的に実行され、そのようなファイルを管理サーバの管理下に置くとともに、その自己探索結果や管理対象ファイルに対するアクセス頻度に基づいて利用者端末を管理することができる。
【0031】
これにより、保護対象情報を含むファイルが保有されている可能性が高い利用者端末については、自動的かつ強制的に探査プログラムがインストールされて個人情報ファイル/機密情報ファイル等の自己探査が行なわれ、探査された個人情報ファイル/機密情報ファイル等が直ちに管理サーバの管理下に置かれ、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止することができる。また、保護対象情報を含むファイルが保有されている可能性が低い利用者端末については、探査プログラムのインストールや自己探査を行なわずに済むため、効率的な処理によって、保護対象情報を含むファイル(個人情報ファイルや機密情報ファイル等)の探査を確実に行なうことができ、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止できる利点がある。
【0032】
(3)請求項3と請求項8とに記載の発明では、管理対象ファイルに対するアクセス頻度、もしくは、利用者端末の所在位置の少なくとも一方に応じて利用者端末についてのセキュリティレベルを設定することにより、保護対象情報を含むファイルが保有されている可能性が高い利用者端末については動作制限を厳格化すると共に、上記可能性の低い場合には端末は動作制限を緩やかにして効率よく使用できる環境が提供されることになる。これにより、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
【0033】
なお、利用者端末の所在位置を検出して、検出された利用者端末の所在位置に応じてセキュリティレベを変更することで、特定の個人についての個人情報を利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルを取り扱いできるようにして、たとえば、社内や国内など安定した所在位置の場合には基準を緩やかにすると共に、社外や遠隔地や国外など管理が難しい所在位置の場合には基準を厳格化することで、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することが可能になる。
【0034】
(4)請求項4と請求項9とに記載の発明では、管理対象ファイルに対するアクセス頻度に応じて利用者端末についてのセキュリティレベルを設定することにより、保護対象情報を含むファイルが保有されている可能性が高い利用者端末、つまりは、保護対象情報を含むファイル(管理対象ファイル)の不用意な流出・漏洩や不正利用などが発生する可能性の高い利用者端末についてはセキュリティレベルを高く設定して動作制限(外部アクセス禁止,外部記憶媒体へのデータ書き出し禁止,社外へのメール送信禁止,添付ファイル
の暗号化管理)が厳格化される一方でその可能性の低い利用者端末についてはセキュリティレベルを低く設定して動作制限が解除もしくは緩和される。
【0035】
これにより、上記可能性の低い場合には端末を効率よく使用できる環境が提供されることになるので、利用者は、自発的に、自分の端末を上記可能性の低い状態に移行させるようになり、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
【0036】
(5)請求項5と請求項10と記載の発明では、暗号化された管理対象ファイルが利用者端末側で開封される際に、利用者端末の所在位置を検出し、所在位置が所定条件を満たしていると判定された場合に利用者端末での管理対象ファイルの開封を許可する一方、所在位置が前記所定条件を満たしていないと判定された場合に利用者端末での管理者対象ファイルの開封を禁止する制御を行うことにより、個人情報を含む管理対象ファイルを利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルの取り扱い(開封)が可能になり、たとえば、社内や国内など安定した所在位置の場合には開封許可にすると共に、社外や遠隔地や国外など管理が難しい所在位置の場合には開封禁止のように基準を厳格化することで、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することが可能になる。
【0037】
なお、以上の各発明において、管理対処ファイルに対するアクセス頻度に応じてアクセス状況の公開を行なうことにより、保護対象情報を含むファイルが保有されている可能性が高い利用者端末、つまりは、保護対象情報を含むファイル(管理対象ファイル)の不用意な流出・漏洩や不正利用などが発生する可能性の高い利用者端末については、管理対象ファイルに対するアクセス状況(例えば、管理対象ファイルのファイル名,利用者端末を特定しうる情報,利用者端末の所有者を特定しうる情報,管理対象ファイルの数の集計結果,管理対象ファイルに対するアクセスの数の集計結果など)が公開される。これにより、不正なアクセスが発覚しやすく不正行為を行ない難い環境が提供されることになり、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
【0038】
一方、保護対象情報が個人情報であり、特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルを管理対象ファイルとして探査する場合、本発明の探査手段では、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。
【0039】
従って、電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についてのみ不適切文字/不適切文字列との照合処理が行なわれ、さらに、不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探査処理を高速に行なうことが可能になる。
【0040】
また、不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まないファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高いファイルを確実に探査することが可能になる。つまり、本発明の探査手段により個人情報ファイルであると判定されるファイルの数が多くなり、個人情報ファイルである可能性の高いファイル(疑わしいファイ
ル)を確実に洗い出すことができる。
【0041】
さらに、文字区間の文字数が所定範囲内であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合対象としているので、照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が所定範囲を超える長い文字区間が、照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探査処理のさらなる高速化に寄与することになる。
【発明を実施するための最良の形態】
【0042】
以下、図面を参照して本発明の実施の形態を説明する。
〔1〕本実施形態の個人情報管理システムの構成:
図Aは本発明の一実施形態としての個人情報管理システム(管理システム)の全体構成を示すブロック図であり、この図Aに示すように、本実施形態の個人情報管理システム(管理システム)1は、複数の利用者端末10のほかに管理サーバ20を備えて構成され、これらの端末10およびサーバ20がネットワーク〔例えば、社内LAN(Local Area Network)〕40を介して相互に通信可能に接続されている。
【0043】
各利用者端末10は、企業等の社内において各社員(利用者)によって使用されるパーソナルコンピュータ(PC)等の端末装置によって構成され、個人情報ファイルの探査機能(後述)を実現するための探査プログラム(後述)を、後述するごとく管理サーバ20からインストールされた場合の、利用者端末10の詳細な機能構成については図1を参照しながら後述する。
【0044】
本実施形態では、利用者端末10がネットワーク40に接続された時点では、その利用者端末10には上記探査プログラムはインストールされていないものとするが、当初から上記探査プログラムがインストールされていてもよい。
【0045】
そして、管理対象ファイル(本実施形態では個人情報ファイル)に対するアクセス頻度が、常時、予め定められた基準値未満である利用者端末10に対しては、上記探査プログラムはインストールされていないが、後述するごとく、管理対象ファイルに対するアクセス頻度が上記基準値以上となった利用者端末10に対しては、上記探査プログラムがインストールされ、利用者端末10は、図1を参照しながら後述するような機能を備えることになる。
【0046】
管理サーバ20は、複数の利用者端末10とネットワーク40を介して相互に通信可能に接続され、各利用者端末10を管理するとともに、保護対象情報(本実施形態では個人情報)に係る要素を所定数以上保有しているファイルを管理対象ファイル(個人情報ファイル)として管理するもので、図1を参照しながら後述するような機能構成を有しているほか、図3を参照しながら後述するような、ファイルアクセス管理サーバ(管理対象ファイルに対するアクセスを管理するサーバ)としての機能構成も有している。
【0047】
本実施形態における管理対象ファイルとしての個人情報ファイルは、特定の個人を識別可能な個人情報要素を所定数以上保有していることを条件として、後述するごとく探査プログラムを実行することにより探査・特定されるものであり、個人情報は、前述した通り、単体もしくは組合せによって特定の個人を識別することのできる情報(各種個人情報要素)、例えば氏名,生年月日,連絡先(住所,居所,電話番号,メールアドレス)などを含むものである。なお、個人情報としては、これら以外に、役職名,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号なども挙げられる。
【0048】
〔1−1〕本実施形態の管理サーバの機能構成:
図1は本実施形態の利用者端末10と管理サーバ20との機能構成を示すブロック図である。
【0049】
この図1に示すように、管理サーバ20は、各種処理を実行するCPU21と、各利用者端末10から収集される、利用者情報やアクセスログや個人情報ファイル探査結果などに関する情報を格納・保存するデータベース(RDB:Relational DataBase)20bと
、このデータベース22に保存された各種情報や、後述する管理手段21kによって集計・作成された公開情報を表示する表示部23とを備えて構成されている。
【0050】
CPU21は、利用者情報収集手段21a,ログ収集手段21b,端末位置検出手段21c,基準値変更手段21d,アクセス頻度算出手段21e,基準値記憶手段21f,アクセス頻度判定手段21g,インストール手段21h,探査結果収集手段21i,管理コンソール21j,管理手段21k,表示制御手段21mおよび送受信手段21n,としての機能を果たすものである。そして、以上の機能は、CPU21が管理プログラムを実行することによって実現される。
【0051】
ここで、管理プログラムには、利用者端末10を後述する探査手段110として機能させるべく利用者端末10にインストールすべきプログラム(探査プログラム)も含まれているものとする。また、管理プログラムに、利用者端末10を後述する動作制限手段13として機能させるべく利用者端末10にインストールすべきプログラムが含まれていてもよい。
【0052】
利用者情報収集手段21aは、本システム1の立ち上げ時や、利用者端末10がネットワーク40に接続されたことを検知した時や、所定の周期毎に、ネットワーク40および送受信手段21nを介して通信可能に接続された利用者端末10からMACアドレス等の利用者情報(ホスト情報)を収集し、当該利用者端末10に、上記探査プログラムのほかに、当該利用者端末10を外部記憶媒体50用のドライブ14(図1参照;後述)や暗号化手段/登録手段15(図1参照;後述)として機能させるプログラムがインストールされているか否かを認識するものである。当該利用者端末10を外部記憶媒体用ドライブ14や暗号化手段/登録手段15として機能させるプログラムのインストール状況は、後述するごとく管理手段21kの処理で用いられるため、データベース22に、当該利用者端末10に対応付けられて登録・保存される。
【0053】
なお、外部記憶媒体(図1の符号50参照)としては、例えば、フレキシブルディスク,CD(Compact Disc),DVD(Digital Versatile Disk),磁気ディスク,光ディスク,光磁気ディスク,メモリカード,USB(Universal Serial Bus)メモリ,外付けハードディスク等の各種記憶媒体が挙げられる。また、本実施形態では、利用者情報収集手段21aが、各利用者端末10での閲覧禁止サイトへのアクセス回数についても利用者情報として収集し、各利用者端末10に対応付けてデータベース22に登録・保存するものとする。
【0054】
ログ収集手段21bは、各利用者端末10による個人情報ファイル(管理対象ファイル)に対するアクセスのログを収集するものである。本実施形態では、ネットワーク40を介して利用者端末10に対して公開されているファイル(管理サーバ20上に保存されているファイルや、ネットワーク40に接続された他のサーバに保存されているファイル等)について、予め、後述する探査プログラムと同様のプログラムを管理サーバ20や各サーバ等で実行することにより、個人情報ファイルが探査・特定されており、個人情報ファイルであると判定されたファイルには、個人情報ファイルであることを示すフラグ等が設
定されている。このようなフラグ等を設定されたファイル(個人情報ファイル)に対するアクセスが利用者端末10によって行なわれた場合、アクセスを行なった利用者端末10を特定しうる情報やアクセス種別などがアクセスログとして記録され、そのアクセスログがログ収集手段21bによって収集されるようになっている。
【0055】
そのアクセスログは、個人情報ファイルに対するアクセスが行なわれる都度、ログ収集手段21bによって収集されてもよいし、そのアクセスログを、個人情報ファイルを保有しているサーバ上でアクセスログを蓄積しておき定期的な収集タイミング毎にログ収集手段21bによって収集するようにしてもよく、本実施形態では後述のごとく定期的な収集タイミング毎に収集することにする。
【0056】
ここで収集されるアクセスログは、アクセス種別やアクセス回数を含み、個人情報ファイルのファイル名や、その個人情報に対するアクセスを行なった利用者端末10を特定しうる情報(PC名)や、その利用者端末10の所有者を特定しうる情報(所有者名)と対応付けられて、データベース22に登録・保存されるようになっている。
【0057】
端末位置検出手段21cは、管理サーバ20に対するアクセスがあった時点での利用者端末10の所在位置を検出するものである。より具体的に、本実施形態において、端末位置検出手段21cは、管理サーバ20に対するアクセスを受信した時点における利用者端末10の接続環境から利用者端末10の所在国、所在都道府県、所在位置域、所在番地などを前記所在位置として検出するものである。この端末位置検出手段21cは、利用者端末10の接続環境として、例えば、利用者端末10が最初に接続されたアクセスポイントやプロバイダ等のグローバルIPアドレスを参照することにより、利用者端末10の所在国や所在位置域を検出することが可能である。この場合、プロバイダに割り当てられたグローバルIPアドレスを参照することにより、所在国や所在国内の大まかな地域を特定することが可能である。また、企業のLANなどからの接続の場合には、接続環境から、所在して接続している会社の社名やその所在位置を特定することが可能である。
【0058】
なお、利用者端末10がGPS(Global Positioning System)機能を有している場合
には、そのGPS機能によって得られた利用者端末10の所在位置情報(緯度・経度情報)を、ネットワーク40を通じて利用者端末10から受信することにより、端末位置検出手段21cは、その緯度・経度情報から利用者端末10の所在位置/所在国を検出するように構成してもよい。
【0059】
この場合、利用者端末10側では定期的にGPS機能によって位置情報を取得することが望ましく、定期的に取得した所在位置情報もしくは最終の所在位置情報をネットワーク40を介して端末位置検出手段21cに送信する。この場合、最新の所在位置情報だけではなく、それ以前の経由地(経由国)なども、開封許否の判断対象とすることが望ましい。
【0060】
なお、端末位置検出手段21cでは、利用者端末10の位置情報が取得できなくなって一定時間が経過した時点で、利用者端末10の位置情報を無効化する。すなわち、利用者端末10の最新の位置が不明であるとして扱う。
【0061】
また、以上のようにGPS機能による利用者端末10の所在位置情報が無効化された場合であっても、大手プロバイダのIPアドレス情報やアクセスポイントの情報が取得できる場合には、端末位置検出手段21cは、利用者端末10の所在位置情報は有効なものとして扱う。
【0062】
また、以上のようにGPS機能による利用者端末10の所在位置情報が無効化された場
合であって、中小のプロバイダのIPアドレス情報やアクセスポイントの情報が取得できる場合、あるいは、会社のサーバなどによるIPアドレス情報が取得できる場合は、サーバから得られる利用者端末10の所在位置情報の信頼性が低いため、端末位置検出手段21cは、利用者端末10の所在位置情報は無効なものとして扱うことが望ましい。
【0063】
基準値変更手段21dは、端末位置検出手段21cによって検出された利用者端末の所在位置に応じて、後述する基準値の値を変更する手段である。すなわち、検出された利用者端末10の所在位置に応じて基準値を変更することで、特定の個人についての個人情報を利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルを取り扱いできるようにして、たとえば、社内や国内など安定した所在位置の場合には基準を緩やかにすると共に、社外や遠隔地や国外など管理が難しい所在位置の場合には基準を厳格化する。
【0064】
アクセス頻度算出手段21eは、ログ収集手段21bによって収集されたログに基づいて、各利用者端末10の個人情報ファイルに対するアクセス頻度を算出するものである。ここで、アクセス頻度は、例えば、利用者端末10毎に、単位時間(例えば24時間)当たりのアクセス回数として算出されるが、これまでの総アクセス回数として算出するようにしてもよい。
【0065】
アクセス頻度判定手段21gは、アクセス頻度算出手段21eによって算出されたアクセス頻度が基準値(例えば5回/24時間)以上であるか否かを判定するものである。
なお、このアクセス頻度に関する基準値は、基準値記憶手段21fに記憶されており、基準値変更手段21dによって利用者端末10の所在位置に応じて変更されることがある。
【0066】
インストール手段21hは、アクセス頻度判定手段21gによって、ある利用者端末10の個人情報ファイルに対するアクセス頻度が基準値以上であると判定された場合、個人情報に係る要素を所定数以上保有しているファイルを当該利用者端末10によって自己探査させる探査プログラムを、送受信手段21nおよびネットワーク40を介して当該利用者端末10にインストールし、その探査プログラムを当該利用者端末10に実行させて当該利用者端末10の記憶部16における個人情報ファイル(管理対象ファイル)を探査させるものである。
【0067】
探査結果収集手段21iは、ネットワーク40および送受信手段21nを介して、利用者端末10で実行された自己探査結果、具体的には個人情報ファイルのファイル名やリンク先情報のほか後述する判定値やPマークなどを受信・収集し、各利用者端末10に対応付けてデータベース22に格納する機能を果たす。
【0068】
管理コンソール21jは、アクセス頻度判定手段21gで判定基準として用いられる上記基準値や、個人情報ファイルの判定条件(後述する検疫テーブル10cや、個人情報ファイルやPマークを判定するために必要になる所定閾値など)を設定して管理するものである。検疫テーブル10cには、後述するごとく、電話番号判定条件,電子メールアドレス判定条件,住所判定条件,文字判定条件(上記所定範囲)や不適切文字/不適切文字列が設定される。
【0069】
管理手段21kは、アクセス頻度算出手段21eによって算出されたアクセス頻度(アクセス頻度判定手段21gによる判定結果)、および、探査結果収集手段21iによって収集された自己探査結果に基づいて、利用者端末10や個人情報ファイルを管理するとともに、探査結果収集手段21iによって収集された自己探査結果に基づいて、利用者端末10において探査手段110により探査された個人情報ファイル(後述するPマークを付
与されたファイル)を管理対象ファイルとして取り扱うようになっている。
【0070】
この管理手段21kは、アクセス頻度算出手段21eによって算出されたアクセス頻度(アクセス頻度判定手段21gによる判定結果)、もしくは、端末位置検出手段21cによって検出された利用者端末10の所在位置の少なくとも一方に応じて、利用者端末10からの個人情報ファイルの流出を防止するための、利用者端末10におけるセキュリティレベルを設定し、そのセキュリティレベルに応じた動作制限を利用者端末10(後述する動作制限手段13)に実行させるものである。
【0071】
具体的に、本実施形態の管理手段21kは、アクセス頻度判定手段21gによって個人情報ファイルに対するアクセス頻度が基準値以上であると判定された利用者端末10についてはセキュリティレベルを高く設定して利用者端末10の動作制限を厳格化する一方、アクセス頻度判定手段21gによってアクセス頻度が基準値未満であると判定された利用者端末10についてはセキュリティレベルを低く設定して利用者端末10の動作制限を解除もしくは緩和する。
【0072】
また、具体的には、本実施形態の管理手段21kは、端末位置検出手段21cによって検出された利用者端末10の所在位置が所定の条件を満たすと判定された利用者端末10についてはセキュリティレベルを低く設定して利用者端末10の動作制限を解除もしくは緩和する一方、端末位置検出手段21cによって検出された利用者端末10の所在位置が所定の条件を満たさないと判定された場合には、利用者端末10についてはセキュリティレベルを高く設定して利用者端末10の動作制限を厳格化する。
【0073】
また、具体的には、本実施形態の管理手段21kは、アクセス頻度判定手段21gによって個人情報ファイルに対するアクセス頻度と端末位置検出手段21cによって検出された利用者端末10の所在位置との両方の条件によって、利用者端末10についてはセキュリティレベルを設定してもよい。
【0074】
その際、管理手段21kは、利用者端末10の動作制限として、例えば、外部アクセス禁止(インターネット接続等)や、外部記憶媒体50(USBメモリ等)へのデータ書き出し禁止や、社外へのメール送信禁止や、メールの添付ファイルの暗号化管理(管理サーバ20の、後述するファイルアクセス管理サーバとしての機能による管理下に置くこと)、暗号化ファイルの復号禁止、のうちの少なくとも一つを利用者端末10(動作制限手段13)に実行させる。
【0075】
このようなセキュリティレベルの設定(動作制限の設定)を管理手段21kが行なうことにより、管理サーバ20や他のサーバなどネットワーク40上に保有されている個人情報ファイルに対するアクセス頻度の低い利用者端末10、つまりは個人情報ファイルが保有されている可能性が低く個人情報ファイルの不用意な流出・漏洩や不正利用などが発生する可能性の低い利用者端末10については、動作制限を解除もしくは緩和され、利用者端末10を効率よく使用できる環境が利用者に提供されるようになっている。
【0076】
ここで、動作制限の状態としては、外部アクセス禁止(インターネット接続等)や、外部記憶媒体50(USBメモリ等)へのデータ書き出し禁止や、社外へのメール送信禁止や、メールの添付ファイルの暗号化管理(管理サーバ20の、後述するファイルアクセス管理サーバとしての機能による管理下に置くこと)の全てを行なう状態(全制限状態)と、全てを行なわない状態(解除状態)との段階を設定しておき、セキュリティレベル「低」が設定された場合には解除状態に切り替える一方、セキュリティレベル「高」が設定された場合には全制限状態に切り替えるようにしてもよい。また、動作制限の状態として、全制限状態から解除状態までの間に複数段階の状態を設定しておき、セキュリティレベル
「低」から「高」までの各レベルに対応させて段階的に切り替えるようにしてもよい。
【0077】
また、動作制限の他の状態としては、暗号化された管理対象ファイルが利用者端末10側で開封される際に、利用者端末10の所在位置を端末位置検出手段21cで検出し、所
在位置が所定条件を満たしていると判定された場合に利用者端末での管理対象ファイルの開封を許可する一方、所在位置が前記所定条件を満たしていないと判定された場合に利用者端末での管理者対象ファイルの開封を禁止する制御を、管理手段21kで行うことが該当する。これにより、個人情報を含む管理対象ファイルを利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルの取り扱い(開封)が可能になり、たとえば、社内や国内など安定した所在位置の場合には開封許可にすると共に、社外や遠隔地や国外など管理が難しい所在位置の場合には開封禁止のように基準を厳格化することで、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することが可能になる。
【0078】
また、管理手段21kは、データベース22に保存されているPマークテーブルに登録されている個人情報ファイルの判定値(またはPマーク)に応じて、個人情報ファイルの利用者(保有者)に注意情報/警告情報を通知したり、個人情報ファイルを、その個人情報ファイルを保存している利用者端末10から強制的に捕獲・回収したり、その個人情報ファイルが利用者端末10から外部へ出力されるのを強制的に禁止したり、その個人情報ファイルを管理者のみがアクセス可能なフォルダ(図示略)に格納したり、個人情報ファイルに対するアクセスを管理サーバ20のファイルアクセス管理サーバとしての機能(後述)によって管理させたりする機能も果たす。
【0079】
例えば、Pマークのランクが“P1”である場合、警告情報によるリコメンドは行なわないが“P1”の個人情報ファイルが存在することをログとして記録する。Pマークのランクが“P2”である場合、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報を通知する。Pマークのランクが“P3”である場合、その個人情報ファイルを保管している利用者が存在する旨を、システム管理者(管理者端末;図示略)に対し警告情報としてメール等により通知するとともに、その個人情報ファイルの返却を利用者に指示する。Pマークのランクが“P4”である場合、その個人情報ファイルを利用者端末10から強制的に捕獲・回収したり、個人情報ファイルが利用者端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したり、個人情報ファイルに対するアクセスを管理サーバ20のファイルアクセス管理サーバとしての機能によって管理させたりする。なお、Pマークのランクが“P4”でなくても、“P3”の個人情報ファイルが所定日数放置された場合には、その個人情報ファイルに対して、Pマークのランクが“P4”である場合と同様の処置を実行するようにしてもよい。
【0080】
また、管理手段21kは、各利用者端末10もしくはデータベース22に格納された個人情報ファイルを種々の確度で探査する機能や、表示制御手段21mによってその探査結果等を表示部23に表示させる機能を有している。
【0081】
表示制御手段21mは、表示部23に各種情報、例えば後述する公開情報などを表示させるべく表示部23の表示状態を制御するものであり、送受信手段21nは、ネットワーク40を介して各利用者端末10との間で各種情報を送受信するものである。
【0082】
さらに、本実施形態の管理手段21kは、アクセス頻度判定手段21gによって個人情報ファイルに対するアクセス頻度が基準値以上であると判定された利用者端末10について、利用者情報収集手段21aによって収集された情報や、アクセスログ収集手段21bによって収集されたログや、探査結果収集手段21iによって収集された情報に基づいて
、各個人情報ファイルに対するアクセス状況に関する公開情報や、外部記憶媒体用ドライブ14をインストールされた利用者端末10に関する公開情報を作成し、その公開情報を、表示部23上で表示したり、ネットワーク40を介し全ての利用者端末10や管理者に対して公開したり、ネットワーク40を介してメール等で全ての利用者端末10や管理者に対して通知したりする機能を果たすものである。
【0083】
ここで、公開情報としては、個人情報ファイルのファイル名や、その個人情報ファイルに対してアクセスを行なった利用者端末10を特定しうる情報(PC名)や、その利用者端末10の所有者を特定しうる情報(所有者名)や、個人情報ファイルの数の集計結果(利用者端末10の個人情報ファイル数や個人情報保有数)や、個人情報ファイルに対するアクセスの回数の集計結果(個人情報ファイル毎/アクセス種別毎)がある。なお、アクセス種別としては、印刷,外部記憶媒体50への書出し,削除,リネイム(変更),上書き保存,FTPサーバへのアップロードなどが挙げられる。
【0084】
また、公開情報としては、個人情報ファイルを保有するとともに外部記憶媒体用ドライブ14をインストールしている利用者端末10を特定しうる情報(PC名)や、その利用者端末10の所有者を特定しうる情報(所有者名)や、その利用者端末10において保有されている個人情報ファイルのファイル名や、その利用者端末10で実行された外部記憶媒体50への個人情報ファイルの書出し回数もある。
【0085】
さらに、本実施形態の管理手段21kは、個人情報ファイルに対するアクセス状況に関する情報のほかに、各利用者端末10における閲覧禁止サイトへのアクセス回数(例えば図16参照)や、各利用者端末10の他端末/サーバにおける個人情報ファイルに対するアクセス回数を監視・収集し、公開情報として作成・公開する機能も有している。
【0086】
なお、管理手段21kによって作成・公開される公開情報の具体例については、図9〜図16を参照しながら後述する。
〔1−2〕本実施形態のファイルアクセス管理サーバとしての機能構成:
図3は本実施形態の管理サーバ20に備えられたファイルアクセス管理サーバとしての機能構成を示すブロック図である。なお、本実施形態では、ファイルアクセス管理サーバとしての機能を管理サーバ20に備えているが、その機能を、ネットワーク40を介して各利用者端末10と通信可能に接続された、管理サーバ20とは別体のサーバによって実現するように構成してもよい。
【0087】
図3に示すように、管理サーバ20のファイルアクセス管理サーバとしての機能は、例えば、各利用者端末10で暗号化手段(後述)により暗号化されたファイルや、各利用者端末10の登録手段(後述)により登録されるファイルや、個人情報ファイル(Pマークのランクが“P4”の個人情報ファイル)を管理対象としている。ここでは、Pマークのランクが“P4”の個人情報ファイルを管理対象としているが、Pマークのランクに関係なく、後述する探査手段110によって個人情報ファイルであると判定された全ての電子ファイルをファイルアクセス管理サーバの管理対象としてもよい。
【0088】
CPU21は、後述する手段21na〜21nd,暗号化手段21o,判定手段21pとしての機能を果たすもので、これらの機能は、CPU21が、ファイルアクセス管理サーバ用のプログラムを実行することによって実現される。また、データベース22は、上述した各種情報のほかに、後述するごとく、個人情報ファイルを暗号化するための暗号鍵や、暗号化された個人情報ファイルを復号化するための復号鍵や、暗号化された個人情報ファイルに対するアクセス権限(後述)や、予め登録されている利用者〔暗号化ファイルの閲覧を許可された登録者(社員)〕のユーザID/パスワードなどを保存する。
【0089】
送受信手段21nは、上述した機能のほかに、後述するファイル受信手段21na,暗号化ファイル送信手段21nb,認証情報受信手段21ncおよび復号鍵送信手段21ndとしての機能を果たす。また、本実施形態の送受信手段21nは、各利用者端末10からの要求に応じて、暗号化手段(後述)での暗号化処理に用いられる所定の暗号鍵を、ネットワーク40を通じて各利用者端末10に送信する機能も果たすようになっている。
【0090】
ファイル受信手段21naは、各利用者端末10からネットワーク40経由で登録対象のファイル〔登録手段(後述)によって登録されるファイル〕を受信するものである。
暗号化手段21oは、ファイル受信手段21naによって利用者端末10から受信した登録対象(管理対象)のファイルや、Pマークのランクが“P4”の個人情報ファイルを改竄操作の困難なPDF(Portable Document Format)ファイル等の完成文書ファイルに変換し、さらに、そのPDFファイルを、所定の暗号鍵を用いて暗号化するものである。PDFファイルへの変換は例えばPDFドライバによって実現され、このPDFドライバを起動することにより、個人情報ファイルがPDF化され、完成文書ファイルとしてのPDFファイルが生成されるようになっている。
【0091】
暗号化ファイル送信手段21nbは、暗号化手段21oによって暗号化(鍵掛け)されたファイル(以下、暗号化ファイルという)を、ネットワーク50経由で利用者端末10に送信するものである。
【0092】
なお、ファイルアクセス管理サーバとしての機能による管理に際しては、上述のような暗号化手段21oによる暗号化時に、ポリシー設定によって、各暗号化ファイルに対する各種アクセス権限(閲覧,印刷,コピー等の権限)が利用者毎や暗号化ファイル毎に設定される。その際、システム運用を簡易化すべく1種類のポリシを設定し、そのポリシ設定によって、全ての暗号化ファイルに対する各利用者端末10でのアクセス権限〔例えば、本システム1を導入している社内の全社員/全利用者(ファイルアクセス管理サーバとしての機能に予め登録されている全登録者)のアクセス権限〕として、閲覧権限のみを自動的(強制的)に設定・付与し、閲覧以外のアクセス、例えば印刷,コピー,別名保存,画面キャプチャ(スクリーンショット)などのアクセスを一切行なえないようにしてもよい。
【0093】
認証情報受信手段21ncは、利用者端末10での暗号化ファイルに対するアクセス時に利用者端末10からネットワーク40経由で送信されてくる認証情報を受信するものである。ここで、認証情報は、暗号化ファイルを開こうとしている利用者端末10の利用者がその暗号化ファイルの正当な送信先(利用者/登録者)であることをファイルアクセス管理サーバ20で判定・認証するために必要な情報であり、ファイルアクセス管理サーバ20によるサービスの利用者についてこのファイルアクセス管理サーバ20(データベース22)に予め登録されたユーザIDおよびパスワードを含んでいる。これらのユーザIDおよびパスワードは、暗号化ファイルを開く際に利用者がキーボードやマウスを操作することにより入力される。
【0094】
判定手段21pは、認証情報受信手段21ncによって受信された認証情報に基づいて、認証情報を送信した利用者端末10が暗号化ファイルの正当な送信先であるか否かを判定するもので、実際には、利用者によって入力されたユーザIDおよびパスワードが、ファイルアクセス管理サーバ20のデータベース22に予め登録・保存されているユーザIDおよびパスワードと一致するか否かを判定することにより、その利用者が正当な登録者であるか否かを判定・認証するものである。
【0095】
復号鍵送信手段21ndは、判定手段21pによって利用者が正当な登録者であることが認証された場合に、暗号化ファイルを復号化するための復号鍵をデータベース22から
読み出して利用者端末10にネットワーク40経由で送信するものである。
【0096】
そして、利用者端末10においては、ファイルアクセス管理サーバ20から復号鍵を受信すると、その復号鍵を用いて暗号化ファイルの復号化を行ない元の個人情報ファイルを復元し、復元された個人情報ファイルに対し、与えられたアクセス権限に応じたアクセス(例えば閲覧)が行なわれるようになる。
【0097】
また、ファイルアクセス管理サーバとしての機能による管理として、暗号化された管理対象ファイルが利用者端末10側で開封される際に、上述した管理手段21kにより開封の許可か禁止が決定され、この開封許可の場合には復号鍵送信手段21ndから復号鍵が利用者端末10に送信され、この開封禁止の場合には復号鍵送信手段21ndから復号鍵が利用者端末10に送信されない、といった制御が行われる。
【0098】
〔1−3〕本実施形態の利用者端末の機能構成:
図1は本実施形態の利用者端末10の機能構成を示すブロック図で、この図1に示すように、本実施形態の利用者端末10は、各種処理を実行するCPU(Central Processin Unit)CPU11と、個人情報ファイル等の電子ファイルを含むデータを保持しうる記憶部16とを備えるほか、管理サーバ20のインストール手段21hによって探査プログラム(CPU11を探査手段110として機能させるプログラム)をインストールされた利用者端末10は、管理サーバ20から提供される検疫テーブル17や、記憶部16に保持される電子ファイルのPマーク(プライバシレベルマーク;個人情報ファイルである可能性の高さを示すレベルで、後述する判定値によって決定されるレベル)を保持するPマークテーブル18をさらに備えて構成される。また、本実施形態では、探査プログラムとともに、CPU11を後述する動作制限手段13として機能させるためのプログラムも、管理サーバ20からインストールされるものとする。
【0099】
ここで、記憶部16は、利用者端末10に内蔵されるハードディスクや、利用者端末10に接続・外付けされる記憶装置、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど),磁気ディスク,光ディスク,光磁気ディスクのほかICカード,ROMカートリッジ,磁気テープなどの記録媒体を用いる記憶装置である。なお、上述した検疫テーブル17およびPマークテーブル18は、利用者端末10を構成するRAM(Random Access Memory)やハードディスク等に保持されてもよいし、記憶部16に保持されてもよい。
【0100】
CPU11は、探査手段110,送受信手段12,動作制限手段13,外部記憶媒体用ドライブ14および暗号化手段/登録手段15としての機能を果たすもので、これらの機能のうち送受信手段12としての機能はPC等の端末等に元々備えられたものであり、探査手段110および動作制限手段13としての機能は、前述した通り、CPU11が、管理サーバ20のインストール手段21hによってインストールされたプログラムを実行することによって実現されるものである。
【0101】
また、外部記憶媒体用ドライブ14および暗号化手段/登録手段15としての機能は、利用者端末10の利用者(所有者)が自らの意志によって外部からインストールしたプログラムを実行することによって実現されるものとする。従って、利用者端末10においては、外部記憶媒体用ドライブ14および暗号化手段/登録手段15としての機能が備えられている場合と備えられていない場合とがあるので、図1では、外部記憶媒体用ドライブ14および暗号化手段/登録手段15を示すブロックについては仮想線としての破線で記載している。
【0102】
探査手段110は、CPU11を探査手段110として機能させるプログラムをインストールした直後や、利用者端末10の起動時や、所定周期毎に、記憶部16におけるデータの中から上記条件を満たす個人情報ファイル(管理対象ファイル)を探査して特定するもので、記憶部16に保有される各ファイル(探査対象ファイル)をテキストファイルにするテキスト抽出エンジンとして機能するとともに、検疫テーブル17を用いて記憶部16におけるデータの中から個人情報ファイルを探査する探査エンジンとして機能するものである。
【0103】
つまり、探査手段110は、管理サーバ20から指示された条件(検疫テーブル17)に従って判定対象ファイルを参照して個人情報ファイルの探査を行ない、個人情報ファイルであると判定されたファイルをログ(ローカルキャッシュデータベース)に書き出すようになっている。また、本実施形態では、この探査手段110で得られた判定結果(判定値/計数値)に基づいて決定されたPマークがPマークテーブル18に登録される。この探査手段110の機能構成の詳細については、図1を参照しながら後述する。
【0104】
なお、探査手段110による判定結果(判定値/計数値)やPマークは、個人情報ファイルであると判定されたファイル毎に、そのファイルを特定するための情報(例えば、ファイル名など)とともに、送受信手段12およびネットワーク40を通じて管理サーバ20に送信・通知されるようになっている。
【0105】
また、本実施形態の利用者端末10では、探査手段110によって個人情報ファイルであると判定されたファイルに対し利用者端末10において実行されたアクセスが検知されると、そのアクセス内容が、ファイル毎にアクセスログとして記録・保存され、そのアクセスログは、アクセス検知時に、もしくは、定期的に、もしくは、管理サーバ20(ログ収集手段21b)からの要求時などに、送受信手段12およびネットワーク40を通じて管理サーバ20に送信・通知されるようになっている。
【0106】
なお、アクセス内容としては、アクセス種別〔例えば、印刷,外部記憶媒体への書出し,削除,リネイム(変更),上書き保存,FTP(File Transfer Protocol)サーバへのアップロードなど〕や、アクセス種別毎のアクセス回数などが挙げられる。
【0107】
また、このアクセス時に、利用者端末10の所在位置の情報を、送受信手段12およびネットワーク40を介して管理サーバ20に対して送信する。この場合の所在位置情報としては、管理サーバ20に対してアクセスする際にネットワーク接続したIPアドレスの情報などが該当する。また、図示されないGPS位置検出手段を備えている場合には、緯度・経度情報を、送受信手段12およびネットワーク40を介して管理サーバ20に対して送信する。
【0108】
送受信手段12は、ネットワーク40を介して管理サーバ20や他の利用者端末10との間で各種情報を送受信するもので、探査手段110による探査結果や利用者端末10内の個人情報ファイルに対するアクセスログなどを管理サーバ20へ送信する機能を果たすものである。
【0109】
動作制限手段13は、管理サーバ20の管理手段21kによって設定されたセキュリティレベルを管理サーバ20から受け、そのセキュリティレベルに応じた動作制限、例えば、外部アクセス禁止(インターネット接続等)や、外部記憶媒体50(USBメモリ等)へのデータ書き出し禁止や、社外へのメール送信禁止や、メールの添付ファイルの暗号化管理(管理サーバ20の、後述するファイルアクセス管理サーバとしての機能による管理下に置くこと)のうちの少なくとも一つを、利用者端末10において実行するものである。
【0110】
外部記憶媒体用ドライブ14は、前述した通り、利用者端末10の利用者(所有者)が自らの意志によって外部からインストールしたプログラムを実行することによって実現される機能であり、利用者によって指定されたファイルを記憶部16から読み出して外部記憶媒体50へ書き出すものである。本実施形態における外部記憶媒体50としては、前述した通り、例えば、フレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスク,メモリカード,USB(Universal Serial Bus)メモリ,外付けハードディスク等の各種記憶媒体が挙げられる。
【0111】
暗号化手段/登録手段15も、前述した通り、利用者端末10の利用者(所有者)が自らの意志によって外部からインストールしたプログラムを実行することによって実現される機能であり、この暗号化手段/登録手段15は、外部へ送出されるファイルを自動的に暗号化する暗号化機能を実現するためのものである。
【0112】
この暗号化手段/登録手段15としての機能が設定(インストール)されている場合、特に暗号化手段15としての機能が設定されている場合、その暗号化手段15は、メールに添付されてもしくは外部記憶媒体50に書き出されて外部へ送出されるファイルを、コンテナ機能を有する完成文書ファイル〔ここでは、改竄操作の困難なPDF(Portable Document Format)ファイル〕に変換し、さらに、前記コンテナ機能を用いて当該PDFファイルに当該電子ファイルのオリジナルファイルを格納してから、当該PDFファイルを、管理サーバ20におけるファイルアクセス管理サーバとしての機能によって管理される所定の暗号鍵(実際にはサーバ20から受信したもの)で暗号化して暗号化ファイルを作成することになる。なお、PDFファイルへの変換は例えばPDFドライバによって行なわれ、このPDFドライバを起動することにより、電子ファイルがPDF化され、PDFファイルファイルが生成されるようになっている。
【0113】
また、暗号化動作と併せて、当該暗号化ファイルにアクセスする利用者(ユーザ)について、当該暗号化ファイルへのアクセス権限(例えば、閲覧,注釈,印刷,コピーのほか、格納されたオリジナルファイルの取出しや、取り出されたファイルの編集,添付などのアクセスの中から選択されたものを実行する権限)の設定が、暗号化手段15からサーバ20に対して自動的に行なわれるものとする。ここでは、例えば、必要最小限のアクセス権限(例えば閲覧権)のみを設定するようにする。
【0114】
一方、登録手段15としての機能が設定されている場合、その登録手段15は、メールに添付されてもしくは外部記憶媒体50に書き出されて外部へ送出されるファイルを、管理サーバ20におけるファイルアクセス管理サーバとしての機能の管理下に置くべく、サーバ20に登録するもので、登録時には、その管理対象ファイルをサーバ20に送信するとともに、登録処理に応じて、サーバ20の暗号化手段21oによって前述のごとく作成された暗号化ファイルを受信する機能を果たすものである。
【0115】
〔1−4〕本実施形態の探査手段の詳細な機能構成:
次に、図1を参照しながら、本実施形態の利用者端末10における探査手段110の詳細な機能構成について説明する。図1に示すように、本実施形態の探査手段110は、抽出手段111,切出手段112,第1判定手段113,文字判定手段114,照合手段115および第2判定手段116としての機能を有しており、これらの機能も、CPU11が、後述するごとく管理サーバ20からインストールされたプログラムを実行することによって実現される。
【0116】
抽出手段111は、記憶部16における電子ファイル(判定対象ファイル)のテキストデータ〔例えばCSV(Comma Separated Value)形式のデータ〕を抽出し、ファイルバ
ッファ(図示略)に格納するもので、前記テキスト抽出エンジンとして機能するものである。なお、上記ファイルバッファには、2バイトコード文字(全角文字)がファイルバッファの終端で欠けないように取り込まれる。また、切出手段112によってファイルバッファから後述するデータ整形用バッファ(図示略)へデータが切り出されて取り込まれると、その分だけデータが上記ファイルバッファに取り込まれるようになっている。
【0117】
切出手段112は、抽出手段111によって抽出されたテキストデータから、所定の区切り位置で区切られた文字区間を切り出して、判定対象/照合対象として後述するバッファ(図示略)に順次書き出すものである。
【0118】
ここで、上記所定の区切り位置としては、予め設定された区切り文字の出現位置、もしくは、1バイトコード文字と2バイトコード文字との境界位置(半角文字/ASCII文字のあとに全角文字が続く部分もしくは全角文字のあとに半角文字/ASCII文字が続く部分)、もしくは、全角算用数字「0」〜「9」と全角算用数字およびハイフンを除く文字との境界位置が含まれている。また、区切り文字は、データの区切りであるデリミタ(delimiter)、具体的には、半角スペース,半角カンマ(半角カンマ+半角スペースも
半角カンマと見なす),タブ文字(半角),CR(Carrige Return),LF(Line Feed
)のほか、「:(コロン)」,「;(セミコロン)」,「>」,「}」,「]」とする。
【0119】
切出手段112は、ファイルバッファからテキストデータをデータ整形用バッファへ1文字ずつ切り出して取り込み、上述した区切り位置が出現すると、その区切り位置で取り込みを終了する。このときも2バイトコード文字(全角文字)がデータ整形用バッファの終端で欠けないようにデータ取込みを行なう。これにより、本実施形態では、例えば「佐藤太郎09012341234東京都港区」や「佐藤太郎sato@xxxx.com東京都港区」のごとく全角文字で記載された住所や氏名などと半角文字で記載された電話番号や電子メールアドレスなどの文字列とがテキストデータにおいて区切り文字によって区切られることなく混在する場合や、例えば「佐藤太郎09012341234東京都港区」のごとく全角文字で記載された住所や氏名などと全角文字で記載された電話番号などの数字列とがテキストデータにおいて区切り文字によって区切られることなく混在する場合であっても、住所,氏名,電話番号,電子メールアドレスなどの個人情報要素毎に文字区間「佐藤太郎」,「09012341234」,「東京都港区」,「sato@xxxx.com」,「09012341234」を切り出すことが可能になる。
【0120】
このようにデータ整形用バッファに取り込まれたデータ(判定対象の文字区間)は、データ整形用バッファからデータ解析用バッファ(図示略)へ取り込まれるが、その際、その文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号等が取り除かれる。このとき除去されるもの(不要文字)としては、例えば、半角スペース,全角スペースのほか、半角ハイフン,全角ハイフン,アンダバー,括弧記号,!,#,$,%,=,+,*,?,¥,/,|などの記号文字が定義される。本実施形態では、切出手段112が、上述のような不要文字を除去する機能を有しているものとする。
【0121】
第1判定手段113は、上記データ解析用バッファに取り込まれた文字列、つまり、切出手段112によって切り出され不要文字を除去された文字区間における文字列(以下、単に文字列という)が、氏名以外の個人情報要素(具体的に本実施形態では電話番号,電子メールアドレス,住所のうちのいずれか一つ)に該当するか否かを判定すべく、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cとしての機能を備えている。なお、本実施形態の第1判定手段113では、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で、上記文字列の判定処理を行なっている。また、第1判定手段113は、上記データ解析用バッファに取り込まれたデータのサイズをチェックし、そのサイズが3バイト以下の場合、そのデー
タを個人情報と判断せず、判定処理を行なわないようにしてもよい。
【0122】
電話番号判定手段113aは、上記文字列が電話番号に該当するか否かを判定するもので、上記文字列が検疫テーブル117に設定されている電話番号判定条件を満たす場合、上記文字列が電話番号に該当するものと判定し、その旨を第2判定手段116に通知し、上記文字列に対する第1判定手段113による判定処理を終了させるものである。本実施形態において、電話番号判定条件は、上記文字列が9〜11桁の半角数字もしくは全角数字の連続であり、且つ、1文字目(先頭文字)が「0」で2文字目が「0」以外であることとする。
【0123】
電子メールアドレス判定手段113bは、電話番号判定手段113aによって上記文字列が電話番号に該当しないと判定された場合に、上記文字列が電話メールアドレスに該当するか否かを判定するもので、上記文字列が検疫テーブル117に設定されている電子メールアドレス判定条件を満たす場合、上記文字列が電子メールアドレスに該当するものと判定し、その旨を第2判定手段116に通知し、上記文字列に対する第1判定手段113による判定処理を終了させるものである。
【0124】
本実施形態において、電子メールアドレス判定条件は、上記文字列中に「一文字以上のASCII」+「@(アットマーク)」+「一文字以上のASCII」+「.(ドット)
」+「一文字以上のASCII」となる文字列が含まれており、且つ、当該文字列の最後の文字が半角の英字であることとする。この場合、最短の電子メールアドレスは例えば「a@a.a」となり、また、例えば「123@45.67」のごとく英字以外の文字(例えば数字)で終わるような文字列は電子メールアドレスでないと判定されることになる。なお、上記電子メールアドレス判定条件によれば、5バイトに満たないデータは電子メールアドレスの判定対象にならず、判定処理を行なわない。
【0125】
住所判定手段113cは、電子メールアドレス判定手段113bによって上記文字列が電子メールアドレスに該当しないと判定された場合に、上記文字列が住所(居所)に該当するか否かを判定するもので、上記文字列が検疫テーブル117に設定されている住所判定条件を満たす場合、上記文字列が住所に該当するものと判定し、その旨を第2判定手段116に通知するものである。
【0126】
本実施形態において、住所判定条件は、上記文字列中に「1文字以上13文字以下の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字または半角文字」となる文字列が含まれており、且つ、当該文字列の先頭文字が日本全国における47都道府県名もしくは市区郡名の頭文字と一致することとする。これにより、例えば「受入区分名」といった「区」を途中に含む文字列であるが住所とは全く関係の無い文字列を誤って住所として判定することがなくなる。このとき、CPU11の演算処理能力が十分に高い場合には、上記文字列に加え、郵便番号に対応する7桁の数字が含まれていることを住所判定条件に加えてもよい。なお、上記住所判定条件によれば、5バイトに満たないデータは電子メールアドレスの判定対象にならず、判定処理を行なわない。
【0127】
文字判定手段114は、第1判定手段113によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合に、その文字列が、検疫テーブル117に設定されている文字判定条件を満たすか否か、具体的には、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であるか否か、さらに、上記文字列の先頭文字が、日本人に多い苗字上位所定数に属する苗字の頭文字と一致するか否かを判定するものである。
【0128】
本実施形態において、文字判定条件は、上述したように、上記文字列における文字の数
が所定範囲内であり且つその文字列における文字が全て漢字であることであるが、ここで、上記所定範囲は、氏名の文字数として一般的(適切)な数の範囲、例えば2以上6以下に設定される。より具体的には、文字判定手段114による判定条件は、上記文字列が、4バイト〜12バイトの2バイトコード文字であり、且つ、0x889F〜0xEEECの範囲内のデータ(Shift-JISの漢字領域)であり、且つ、第2バイトは0x40〜0x7Eまたは0x80〜0xFC
(Shift-JISの仕様)であり、先頭文字が、日本人に多い苗字上位3000個に属する苗
字の頭文字と一致することである。上位3000個の苗字を対象とすることで、日本人の8割以上を網羅することができる。
【0129】
照合手段115は、第1判定手段113によって電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された文字区間であって、さらに文字判定手段114によって上記所定範囲内であり且つ全ての文字が漢字であると判定された文字区間について、当該文字区間に含まれる文字/文字列と氏名において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列とを照合することにより、当該文字区間が不適切文字/不適切文字列を含むか否かを判定し、その照合判定結果を第2判定手段116に通知するものである。
【0130】
ここで、不適切文字/不適切文字列は、検疫テーブル117に予め設定されており、例えば、東京,大阪,名古屋,横浜,九州,北海道,京都,首都,個人,学園,店,株,県,大学,学院,東証,研究,管理,総務,経理,営業,統括,製薬,販売,学校,教育,専門,建築,機械,法人,工場,製,技術,商,図書,不明,次長,公開,出版,広告,放送,対象,卸売,小売,企画,人事,情報,部門,社長,取締,部長,課長,係長,役員,本社,支社,事業,業務,教務,精密,石油,運輸,経営,戦略,資材,技師,電気,生産,税務,広報,運送,主任,電算,財務,事務,開発,政策,制作,経済,産業,金融,銀行,調査,英語,品質,保証,設備,担当,主席,主事,監査,支援,設計,保険,金庫,事業,代表,交通,第一,第二,第三,第四,第五,第六,第七,第八,第九,特販,施設,氏名,郵便,名前,名称,市役,所属,特色,幼稚,基督,協会,教会,組合,教団,商工,全国,支部,連絡,議会,生活,消費,推進,市役所,区役所,総合,修正,機能,概要,構成,企業,組織,関連,削除,文書,期限,有効,整備といった、一般的な氏名において出現し得ない文字/文字列、つまり、氏名としては不適切な文字/文字列である。
【0131】
第2判定手段116は、第1判定手段113における電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cによる判定結果と照合手段115による照合判定結果とに基づいて、回覧対象電子ファイルが個人情報ファイルであるか否かを判定するものである。
【0132】
より具体的に説明すると、第2判定手段116は、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cからの判定結果の通知を受け電話番号,電子メールアドレス,住所のそれぞれに該当すると見なされた文字区間の数を計数するとともに、照合手段115からの照合判定結果を受け、照合手段115によって不適切文字/不適切文字列を含まないと判定された文字区間を氏名に該当するものと見なし、その数を計数する。
【0133】
そして、第2判定手段116は、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数結果(4つの計数値;電話番号数,電子メールアドレス数,住所数,氏名数)に基づいて、これらの計数値が大きくなるほど大きくなる判定値を算出する。例えば、第2判定手段116は、4つの計数値の総和を上記判定値として算出してもよいし、電話番号,電子メールアドレス,住所,氏名のそれぞれについて重み係数を予め設定しておき、各個人情報要素についての重み係数と計数値との乗算結果の総和を上記判定値とし
て算出してもよく、上記判定値の算出手法は種々考えられる。
【0134】
上述のような判定値が算出されると、第2判定手段116は、その判定値に基づいて、判定対象ファイルが個人情報ファイルであるか否かを判定する。具体的には、前記判定値が所定閾値を超えた場合に判定対象ファイルが個人情報ファイルであると判定する。このような判定を行なう際に、第2判定手段116は、さらに、判定値の大きさに応じたPマーク(プライベートレベルマーク)を、判定対象ファイルに付与して、Pマークテーブル18に設定・登録し、ランク付けを行なう。このPマークは、前述した通り、判定対象ファイルが個人情報ファイルである可能性の高さを示すレベルであり、判定値が大きいほどPマークは高いランクに設定される。
【0135】
例えば、前記判定値が10以上となった場合、判定対象ファイルが個人情報ファイルであると判定する。また、前記判定値が10以上100未満である場合、Pマークとして“P1”を付与し、前記判定値が100以上1000未満である場合、Pマークとして“P2”を付与し、前記判定値が1000以上10000未満である場合、Pマークとして“P3”を付与し、前記判定値が10000以上である場合、Pマークとして“P4”を付与する。
【0136】
なお、個人情報ファイルを判定するための所定閾値やPマークを決定するための基準値は、管理サーバ20(管理コンソール24)から適宜設定される。また、ここではPマークを“P1”〜“P4”の4つにランク分けしているが、ランク分けの数はこれに限定されるものではない。
【0137】
さらに、上記の所定閾値や基準値としては、全ての利用者端末10に対し共通(同一)のものを設定してもよいし、利用者端末10毎や、本システム1を導入する施設(会社)毎に異なるものを設定してもよい。
【0138】
なお、この基準値は、端末位置検出手段21cによって検出された利用者端末10の所在位置に応じて、基準値変更手段21dにより変更される。すなわち、検出された利用者端末10の所在位置に応じて基準値を変更することで、特定の個人についての個人情報を利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルを取り扱いできるようにして、たとえば、社内や国内など安定した所在位置の場合には基準を緩やかにすると共に、社外や遠隔地や国外など管理が難しい所在位置の場合には基準を厳格化する。
【0139】
上述のように判定対象ファイルに付与されたPマーク(Pマークテーブル18)は、個人情報ファイルであると判定されたファイル毎に、そのファイルを特定するための情報(例えば、ファイル名など)とともに、送受信手段12およびネットワーク40を介して管理サーバ20へ送信され、前述したように、探査結果収集手段21iによりデータベース22に保存される。そして、Pマークを付与された管理対象ファイル(個人情報ファイル)は、そのPマークのランクに応じて、図6を参照しながら後述するごとく、管理サーバ20(管理手段21k)により管理対象ファイルとして後述するごとく管理される。
【0140】
〔2〕本実施形態の個人情報管理システムの動作:
次に、図4〜図16を参照しながら、上述のごとく構成された本実施形態の個人情報管理システム1の動作について説明する。
【0141】
〔2−1〕管理サーバの動作:
図4は本実施形態の管理サーバ20の動作を説明するためのフローチャートであり、まず、この図7に示すフローチャート(ステップS101〜S129)に従って、本実施形
態の管理サーバ20の主たる動作について説明する。
【0142】
管理サーバ20においては、利用者情報収集手段21aによる収集タイミングになったか否か(ステップS101)が監視されている。本システム1の立ち上げ時、あるいは、利用者端末10がネットワーク40に接続されたことを検知した時や、所定の収集周期が経過したことなどを、利用者情報収集手段21aによる収集タイミングとして検知すると(ステップS101のYESルート)、各利用者端末10の利用者情報(ホスト情報)が利用者情報収集手段21aによって収集されるとともに、各利用者端末10におけるプログラム(例えば、探査プログラムのほか、利用者端末10を外部記憶媒体用ドライブ14や暗号化手段/登録手段15として機能させるプログラム)のインストール状況が利用者情報収集手段21aによって収集される(ステップS102)。収集されたインストール状況(各プログラムの有無)は、各利用者端末10に対応付けられてデータベース22に登録・保存される。
【0143】
探査プログラムをインストールされていない利用者端末10が存在する場合(ステップS103のYESルート)、探査プログラムをインストールされていない利用者端末10の一つを選択し(ステップS104)、その利用者端末10についてのアクセスログ(ネットワーク40上における個人情報ファイルに対するアクセスログ)がログ収集手段21bによって収集される(ステップS105)。
【0144】
アクセスログが収集されると、そのログに基づき、端末位置検出手段21cによって、当該利用者端末10の個人情報ファイルに対するアクセスの際のIPアドレスなどから該利用者端末10の所在位置を検出する。そして、基準値変更手段21dは、端末位置検出手段21cによって検出された利用者端末10の所在位置に応じて、基準値の値を変更する(ステップS106)。
【0145】
たとえば、管理サーバ20が置かれている同じ社内や国内など安定した所在位置の場合には、基準を変更しない、あるいは、基準を緩やかにする。そして、管理サーバ20が置かれている会社の社外、ライバル会社の近く、遠隔地、国外など管理が難しい所在位置の場合には基準を厳格化する。
【0146】
アクセスログが収集されると、そのログに基づき、アクセス頻度算出手段21eによって当該利用者端末10の個人情報ファイルに対するアクセス頻度(単位時間当たりのアクセス回数)が算出され、算出されたアクセス頻度が基準値(例えば5回/24時間)以上であるか否かを、アクセス頻度判定手段21gによって判定する(ステップS107)。
【0147】
ここで、利用者端末10が管理サーバ20が設置されている国と同じ国内にある場合の基準値が「5回/24時間」であるとすると、利用者端末10が管理サーバ20が設置されている会社と同じ会社の社内・営業所内にある場合の基準値は「7回/24時間」、利用者端末10が管理サーバ20が設置されている会社のライバル会社の近く、国外にある場合の基準値は「3回/24時間」などと変更(ステップS106)したうえで、アクセス頻度判定を行う(ステップS107)。
【0148】
アクセス頻度が基準値未満である場合(ステップS108のNOルート)、その利用者端末10は自端末内に個人情報を蓄積している可能性が低いものとみなし、その利用者端末10に対する探査プログラムのインストールを行なうことなく、且つ、セキュリティレベルを低レベルに保持されたまま、ステップS116に移行する。
【0149】
一方、アクセス頻度が基準値以上である場合(ステップS108のYESルート)、その利用者端末10は自端末内に個人情報を蓄積している可能性が高いものとみなし、イン
ストール手段21hによって、探査プログラム(個人情報に係る要素を所定数以上保有しているファイルを当該利用者端末10によって自己探査させるプログラム)が、送受信手段21nおよびネットワーク40を介して当該利用者端末10にインストールされ(ステップS109)、探査実行指示を利用者端末10に送信することにより、その探査プログラムを当該利用者端末10に実行させて当該利用者端末10の記憶部16における個人情報ファイルを探査させる(ステップS110)。利用者端末10で探査プログラムを実行することによって実行される、詳細な探査手順については、図5を参照しながら後述する。
【0150】
そして、探査結果収集手段21iにより、ネットワーク40および送受信手段21nを介して、利用者端末10で実行された自己探査結果(具体的には個人情報ファイルのファイル名やリンク先情報のほか判定値やPマークなど)が、受信・収集され(ステップS111)、各利用者端末10に対応付けてデータベース22に格納され、格納された探査結果に基づいて、管理手段21kにより、個人情報ファイルの管理処理(詳細については図6を参照しながら後述)が実行される(ステップS112)。
【0151】
また、管理手段21kにより、その利用者端末10についてセキュリティレベルが高く設定され(ステップS113)、利用者端末10の動作制限が厳格化され、利用者端末10では、動作制限手段13により、動作制限〔例えば、外部アクセス禁止(インターネット接続等)や、外部記憶媒体50(USBメモリ等)へのデータ書き出し禁止や、社外へのメール送信禁止や、メールの添付ファイルの暗号化管理のうちの少なくとも一つ〕が利用者端末10において実行される。
【0152】
さらに、管理手段21kによって、各利用者端末10による探査結果と、ログ収集手段21bによって収集・記録されたアクセスログと、利用者情報収集手段21aによって収集・記録された調査結果(利用者端末10を外部記憶媒体用ドライブ14として機能させるプログラムの有無に関する情報)とに基づいて、各個人情報ファイルに対するアクセス状況に関する公開情報や、外部記憶媒体用ドライブ14をインストールされた利用者端末10に関する公開情報が作成され(ステップS114)、作成された公開情報が、表示制御部29を介して表示部23上で表示されたり、ネットワーク40を介し全ての利用者端末10や管理者に対して公開されたり、ネットワーク40を介してメール等で全ての利用者端末10や管理者に対して通知されたりする(ステップS115)。
【0153】
探査プログラムをインストールされていない利用者端末10の全てに対して上述したステップS104〜S115の処理を実行した場合(ステップS116のYESルート)、もしくは、探査プログラムをインストールされていない利用者端末10が無い場合(ステップS103のNOルート)、探査プログラムをインストール済みの利用者端末10の有無を判定する(ステップS117)。
【0154】
インストール済みの利用者端末10が存在する場合(ステップS117のYESルート)、インストール済みの利用者端末10の一つを選択し(ステップS118)、その利用者端末10についてのアクセスログ(ネットワーク40上における個人情報ファイルに対するアクセスログ)がログ収集手段21bによって収集される(ステップS119)。
【0155】
アクセスログが収集されると、そのログに基づき、端末位置検出手段21cによって、当該利用者端末10の個人情報ファイルに対するアクセスの際のIPアドレスなどから該利用者端末10の所在位置を検出する。そして、基準値変更手段21dは、端末位置検出手段21cによって検出された利用者端末10の所在位置に応じて、基準値の値を変更する(ステップS120)。
【0156】
たとえば、管理サーバ20が置かれている同じ社内や国内など安定した所在位置の場合には、基準を変更しない、あるいは、基準を緩やかにする。そして、管理サーバ20が置かれている会社の社外、ライバル会社の近く、遠隔地、国外など管理が難しい所在位置の場合には基準を厳格化する。
【0157】
アクセスログが収集されると、そのログに基づき、アクセス頻度算出手段21eによって当該利用者端末10の個人情報ファイルに対するアクセス頻度(単位時間当たりのアクセス回数)が算出され、算出されたアクセス頻度が基準値(例えば5回/24時間)以上であるか否かを、アクセス頻度判定手段21gによって判定する(ステップS121)。
【0158】
ここで、利用者端末10が管理サーバ20が設置されている国と同じ国内にある場合の基準値が「5回/24時間」であるとすると、利用者端末10が管理サーバ20が設置されている会社と同じ会社の社内・営業所内にある場合の基準値は「7回/24時間」、利用者端末10が管理サーバ20が設置されている会社のライバル会社の近く、国外にある場合の基準値は「3回/24時間」などと変更(ステップS120)したうえで、アクセス頻度判定を行う(ステップS121)。
【0159】
アクセス頻度が基準値未満である場合(ステップS122のNOルート)、その利用者端末10は自端末内に個人情報を蓄積している可能性が低いものとみなし、管理手段21kにより、その利用者端末10についてセキュリティレベルが低く設定され(ステップS123)、利用者端末10の動作制限が解除もしくは緩和されてから、ステップS129の処理に移行する。
【0160】
なお、利用者端末10の所在位置が管理サーバ20が置かれている同じ社内や国内など安定した所在位置の場合には、管理手段21kは、セキュリティレベルを低く設定して動作制限を緩和してもよい。
【0161】
一方、アクセス頻度が基準値以上である場合(ステップS122のYESルート)、その利用者端末10は自端末内に個人情報を蓄積している可能性が高いものとみなし、管理手段21kにより、その利用者端末10についてセキュリティレベルが高く設定され(ステップS124)、利用者端末10の動作制限が厳格化され、利用者端末10では、動作制限手段13により、動作制限〔例えば、外部アクセス禁止(インターネット接続等)や、外部記憶媒体50(USBメモリ等)へのデータ書き出し禁止や、社外へのメール送信禁止や、メールの添付ファイルの暗号化管理のうちの少なくとも一つ〕が利用者端末10において実行される。
【0162】
なお、利用者端末10の所在位置が管理サーバ20が置かれている会社の社外、ライバル会社の近く、遠隔地、国外など管理が難しい所在位置の場合には、管理手段21kは、セキュリティレベルを高く設定して動作制限を厳格化してもよい。
【0163】
この後、探査実行指示を利用者端末10に送信することにより、探査プログラムを当該利用者端末10に実行させて当該利用者端末10の記憶部16における個人情報ファイルを、図5を参照しながら後述する手順で探査させ、探査結果収集手段21iにより、ネットワーク40および送受信手段21nを介して、利用者端末10で実行された自己探査結果(具体的には個人情報ファイルのファイル名やリンク先情報のほか判定値やPマークなど)が受信・収集される(ステップS125)。収集された自己探査結果は、各利用者端末10に対応付けてデータベース22に格納され、格納された探査結果に基づいて、管理手段21kにより、個人情報ファイルの管理処理(詳細については図6を参照しながら後述)が実行される(ステップS126)。
【0164】
さらに、ステップS114およびS115と同様、管理手段21kによって、各利用者端末10による探査結果と、ログ収集手段21bによって収集・記録されたアクセスログと、利用者情報収集手段21aによって収集・記録された調査結果(利用者端末10を外部記憶媒体用ドライブ14として機能させるプログラムの有無に関する情報)とに基づいて、各個人情報ファイルに対するアクセス状況に関する公開情報や、外部記憶媒体用ドライブ14をインストールされた利用者端末10に関する公開情報が作成され(ステップS127)、作成された公開情報が、表示制御部29を介して表示部23上で表示されたり、ネットワーク40を介し全ての利用者端末10や管理者に対して公開されたり、ネットワーク40を介してメール等で全ての利用者端末10や管理者に対して通知されたりする(ステップS128)。
【0165】
探査プログラムをインストール済みの利用者端末10の全てに対して上述したステップS118〜S128の処理を実行した場合(ステップS129のYESルート)、もしくは、インストール済みの利用者端末10が無い場合(ステップS117のNOルート)、ステップS101に戻る。
【0166】
〔2−2〕利用者端末の動作:
本システム1においては、管理サーバ20(インストール手段21h)により探査プログラムが利用者端末10にインストールされ、利用者端末10が管理サーバ20から探査実行指示を受けると、探査手段110としての機能が起動され、この探査手段110により、記憶部16におけるデータの中から個人情報ファイルが特定され探査される。
【0167】
そして、探査手段110によって探査された個人情報ファイル毎に、判定結果(判定値/系数値)やPマークが、そのファイルを特定するための情報(例えばファイル名など)とともに、送受信手段12およびネットワーク40を通じて管理サーバ20に探査結果として送信される。
【0168】
また、利用者端末10において、探査手段110によって探査された個人情報ファイルに対するアクセスが検知されると、そのアクセス内容が、ファイル毎にアクセスログとして例えば記憶部16に記録・保存される。このとき、アクセス検知対象とする個人情報ファイルは、自端末の記憶部16に保有されるものだけでなく、他端末/サーバに保有されるものも含んでいてもよく、この機能を用いて、管理サーバ20のログ収集手段21bがネットワーク40上の個人情報ファイルに対するアクセスログを収集してもよい。記憶部16に記録・蓄積されたアクセスログは、送受信手段12およびネットワーク40を通じて管理サーバ20に送信・通知され、ログ収集手段21bによって収集される。
【0169】
さらに、利用者端末10においては、管理サーバ20の管理手段21kによって設定されたセキュリティレベルを管理サーバ20から受け、動作制限手段13によって、そのセキュリティレベルに応じた動作制限が実行され、セキュリティレベルを高く設定された場合には、例えば、外部アクセス禁止(インターネット接続等)や、外部記憶媒体50(USBメモリ等)へのデータ書き出し禁止や、社外へのメール送信禁止や、メールの添付ファイルの暗号化管理(管理サーバ20の、後述するファイルアクセス管理サーバとしての機能による管理下に置くこと)のうちの少なくとも一つが、利用者端末10において実行される一方、セキュリティレベルを低く設定された場合には、その動作制限が解除もしくは緩和される。
【0170】
なお、利用者端末10において暗号化手段15としての機能が設定されている場合、メールに添付されてもしくは外部記憶媒体50に書き出されて外部へ送出されるファイルは、暗号化手段15としての機能によって、コンテナ機能を有するPDFファイルに変換され、そのコンテナ機能を用いて当該PDFファイルに当該ファイルのオリジナルファイル
が格納されてから、そのPDFファイルは、ファイルアクセス管理サーバ20によって管理される所定の暗号鍵で暗号化され、暗号化ファイルが作成される。このとき、当該暗号化ファイルにアクセスする利用者について、当該暗号化ファイルに対するアクセス権限(例えば閲覧権限)も、暗号化手段15からファイルアクセス管理サーバ20に対して自動的に設定される。
【0171】
また、利用者端末10において登録手段15としての機能が設定されている場合、メールに添付されてもしくは外部記憶媒体50に書き出されて外部へ送出されるファイルは、登録手段15としての機能によって、管理サーバ20におけるファイルアクセス管理サーバとしての機能の管理下に置くべく、サーバ20に登録される。登録時には、登録手段15から送受信手段12およびネットワーク40を介して、そのファイルがサーバ20に送信されるとともに、登録処理に応じて、図7を参照しながら後述する手順で作成された暗号化ファイルがサーバ20から受信される。
【0172】
〔2−3〕探査手段の動作:
本実施形態の探査手段110では、以下のように、電話番号,電子メールアドレス,住所および氏名の出現頻度をそれぞれ数値化し、個人情報ファイルの判定(特定・探査)を行なっている。その際、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれている場合、その文字区間は、個人情報要素(本実施形態では氏名)には該当しないものと見なされて除外される一方、切出手段112によって切り出された文字区間に、個人情報において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列が含まれていない場合、その文字区間は、個人情報をなす個人情報要素に該当するものと見なされて、つまり個人情報要素が出現したものと見なされ、出現回数のカウントアップを行なっている。
【0173】
本実施形態の利用者端末10において、上述した探査手段110(探査プログラム)によって実行される、個人情報ファイルの探査動作の手順を、図5に示すフローチャート(ステップS131〜S1147)に従って説明する。
【0174】
まず、利用者端末10の全てのデータの中から、まだ判定対象となっていないファイルが判定対象ファイルとして一つ選択されて読み出され(ステップS131)、その判定対象ファイルから抽出手段(テキスト抽出エンジン)111によりテキストデータが抽出される(ステップS132)。
【0175】
このようにファイルバッファに取り込まれたテキストからは、切出手段112により、文字区間が、上述した所定の区切り位置で区切られて切り出され、判定対象/照合対象として上記データ整形用バッファを経由して上記データ解析用バッファに順次書き出される(ステップS133)。文字区間の切り出しに際し、前述したように、切出手段112により、文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の不要文字、例えば半角スペース,全角スペースのほか、半角ハイフン,全角ハイフン,アンダバー,括弧記号,等号,クエスチョンマーク,!,#,$,%,+,*,¥,/,|などの記号文字が除去される。
【0176】
そして、切出手段112によって切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、電話番号,電子メールアドレス,住所のうちのいずれか一つに該当するか否かを、電話番号判定手段113a,電子メールアドレス判定手段113bおよび住所判定手段113cによって順次判定する(ステップS134,S136,S138)。
【0177】
まず、電話番号判定手段113aにより、上記文字列が電話番号に該当するか否かが判定される(ステップS134)。その際、上記文字列が検疫テーブル17に設定されている電話番号判定条件を満たしていれば、つまり上記文字列が9〜11桁の半角数字もしくは全角数字の連続であり、且つ、1文字目(先頭文字)が「0」で2文字目が「0」以外であれば、上記文字列が電話番号に該当するものと判定され(ステップS134のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、電話番号の出現回数に対応する計数値が1だけカウントアップされ(ステップS135)、ステップS143の処理へ移行する。
【0178】
上記文字列が電話番号に該当しないと判定された場合(ステップS134のNOルート)、電子メールアドレス判定手段113bにより、上記文字列が電話メールアドレスに該当するか否かが判定される(ステップS136)。その際、上記文字列が検疫テーブル10aに設定されている電子メールアドレス判定条件を満たしていれば、つまり上記文字列中に「一文字以上のASCII」+「@(アットマーク)」+「一文字以上のASCII
」+「.(ドット)」+「一文字以上のASCII」となる文字列が含まれており、且つ、当該文字列の最後の文字が半角の英字であれば、上記文字列が電子メールアドレスに該当するものと判定され(ステップS136のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、電子メールアドレスの出現回数に対応する計数値が1だけカウントアップされ(ステップS137)、ステップS143の処理へ移行する。
【0179】
上記文字列が電子メールアドレスに該当しないと判定された場合(ステップS136のNOルート)、住所判定手段113cにより、上記文字列が住所(居所)に該当するか否かが判定される(ステップS138)。その際、上記文字列が検疫テーブル10aに設定されている住所判定条件を満たしていれば、つまり上記文字列中に「1文字以上13文字以下の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字または半角文字」となる文字列が含まれており、且つ、当該文字列の先頭文字が日本全国における47都道府県名もしくは市区郡名の頭文字と一致していれば、上記文字列が住所に該当するものと判定され(ステップS138のYESルート)、その旨が第2判定手段116に通知され、この第2判定手段116において、住所(居所)の出現回数に対応する計数値が1だけカウントアップされ(ステップS139)、ステップS143の処理へ移行する。
【0180】
上記文字列が住所に該当しないと判定された場合(ステップS138のNOルート)、つまり第1判定手段113によって上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合、文字判定手段114により、その文字列が、検疫テーブル10aに設定されている文字判定条件(文字数が2以上6以下であり且つ全ての文字が漢字であり且つ上記文字列の先頭文字が日本人に多い苗字上位所定数に属する苗字の頭文字と一致すること)を満たすか否かが判定される(ステップS140)。この文字判定条件を満たさない場合(ステップS140のNOルート)、ステップS143の処理へ移行する。
【0181】
一方、この文字判定条件を満たす場合(ステップS140のYESルート)、照合手段115により、当該文字区間(上記文字列)に含まれる文字/文字列と検疫テーブル10aに設定されている氏名についての不適切文字/不適切文字列とが照合され、当該文字区間に不適切文字/不適切文字列が含まれるか否かが判定される(ステップS141)。当該文字区間に、一つでも不適切文字/不適切文字列と一致する文字/文字列が存在した場合(ステップS141のYESルート)には、その時点で不適切文字/不適切文字列との照合処理を直ちに終了し、ステップS143の処理へ移行する。
【0182】
また、当該文字区間に不適切文字/不適切文字列が含まれていない場合(ステップS141のNOルート)、その照合判定結果が第2判定手段116に通知され、この第2判定手段116において、当該文字区間が氏名に該当するものと見なされ、氏名の出現回数に対応する計数値が1だけカウントアップされ(ステップS142)、ステップS143の処理へ移行する。
【0183】
ステップS143では、判定対象ファイルから抽出されたテキストデータから未だ切り出されていない文字区間の有無が判定され、有る場合(YESルート)には、ステップS133に戻り、上述と同様の処理(ステップS133〜S142)を繰り返し実行する。このようにして全ての文字区間がテキストデータから切り出され全ての文字区間に対する判定処理,照合処理,計数処理等を終了すると(ステップS143のNOルート)、第2判定手段116において、電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数値に基づいて、上述した判定値が算出される(ステップS144)。
【0184】
そして、第2判定手段116においては、ステップS144で算出された判定値に基づいて、上述したように、判定対象子ファイルが個人情報ファイルであるか否かが判定されるとともに、Pマークのランク付け(本実施形態では“P1”〜“P4”の4つ)が行なわれる(ステップS145)。
【0185】
この後、利用者端末10における全てのファイルについて個人情報の探査を行なったか否かを判定し(ステップS146)、まだ未探査の電子ファイルが存在する場合(ステップS146のNOルート)、ステップS131に戻り上述と同様の処理を実行する一方、全てのファイルについて探査を完了した場合(ステップS146のYESルート)、ステップS145での個人情報ファイルの判定結果やPマークのランク付けの結果は、探査結果として、送受信手段12およびネットワーク40を介して管理サーバ20に通知され(ステップS147)、個人情報ファイルの探査動作を終了する。
【0186】
〔2−4〕公開情報の具体例:
ここで、ステップS114/S127で作成されステップS115/S128で公開される公開情報の具体例について、図9〜図16を参照しながら説明する。なお、図9〜図16は、いずれも管理手段21kによって作成され公開される公開情報(利用者端末10や管理サーバ20のディスプレイに表示される画面やリスト)の具体例を示す図である。
【0187】
図9には、月毎に集計された個人情報ファイル数および個人情報保有数を棒グラフとしてディスプレイに表示する画面101と、この画面101から「件数」(ここでは「1000件〜100000件」)でドリルダウンされてディスプレイに表示されるリスト102と、画面101から「月」でドリルダウンされてディスプレイに表示される画面(部署毎の棒グラフ表示)103と、さらに、この画面103から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト104とが示されている。リスト102,104では、個人情報ファイル毎に、そのファイル名と、その個人情報ファイルに含まれる個人情報件数(例えば個人情報要素の数)と、その個人情報ファイルを保有する利用者端末10の所有者名と、その利用者端末10のPC名と、その利用者端末10の属する部署名や職務とが表示されている。
【0188】
図10には、部署毎/アクセス種別毎に集計された個人情報ファイルに対するアクセス数(個人情報アクセス記録)を棒グラフとしてディスプレイに表示する画面105と、この画面105から、「部署名」および「アクセス種別」でドリルダウンされてディスプレイに表示されるリスト106,107とが示されている。リスト106は「営業部」および「ファイル保存」でドリルダウン表示されるものであり、リスト107は「営業部」および「USB」でドリルダウン表示されるものであり、これらのリスト106,107で
は、アクセスを行なった利用者端末10の所有者名毎に、その利用者端末10のPC名と、アクセス日時と、アクセスを行なった個人情報ファイルのファイル名と、ドキュメントパス/ドキュメント操作/プリンタ名/FTPサーバ/FTPコマンド等とが表示されている。なお、図中、アクセス種別「FTP」はFTPサーバとの間のアップロード/ダウンロード、「USB」は外部記憶媒体(USBメモリ)へのアクセス、「変更」はリネーム、「保存」はファイルの上書き保存のことである。このようなリスト106,107により、個人情報流出につながる可能性のある個人情報ファイルへのアクセスを記録し把握することができる。
【0189】
図11は、図10に示した画面105を簡略化した例を示すもので、この図11には、部署毎に集計された個人情報ファイルに対するアクセス数(個人情報アクセス記録)を棒グラフとしてディスプレイに表示する画面108と、この画面108から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト109とが示されている。リスト109では、選択された部署における利用者端末10の所有者名毎に、その利用者端末10のPC名と、アクセス日時と、アクセスを行なった個人情報ファイルのファイル名と、ドキュメントパスおよび操作内容とが表示されている。このようなリスト109により、個人情報流出の可能性のあるユーザ操作を把握することができる。
【0190】
図12には、部署毎に集計された、個人情報ファイルを保有し且つ大容量記憶デバイス(外部記憶媒体用ドライブ14)をインストール済みの対象PC数を棒グラフとしてディスプレイに表示する画面130と、この画面130から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト131とが示されている。リスト131では、アクセスを行なった利用者端末10の所有者名毎に、その利用者端末10のPC名と、その利用者端末10が保有する個人情報ファイルのファイル名,ドキュメントパスおよび操作内容とが表示されている。このようなリスト131により、個人情報流出の可能性のあるユーザ操作を把握することができる。
【0191】
図13には、部署毎に集計された、個人情報ファイルの外部メディア(外部記憶媒体50)への書出し回数を棒グラフとしてディスプレイに表示する画面132と、この画面132から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト133とが示されている。リスト133では、選択された部署における利用者端末10の所有者名毎に、その利用者端末10のPC名と、書出し日時と、その書出し対象となった個人情報ファイルのファイル名,ドキュメントパスおよび操作内容とが表示されている。このようなリスト133により、個人情報流出の可能性のあるユーザ操作を把握することができる。
【0192】
図14には、部署毎に集計された、個人情報ファイルのFTP転送回数を棒グラフとしてディスプレイに表示する画面134と、この画面134から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト135とが示されている。リスト135では、選択された部署における利用者端末10の所有者名毎に、その利用者端末10のPC名と、FTP転送日時と、その転送対象となった個人情報ファイルのファイル名,FTPサーバ名およびFTPコマンドとが表示されている。このようなリスト135により、個人情報流出の可能性のあるユーザ操作を把握することができる。
【0193】
図15には、部署毎に集計された、個人情報ファイルのリネーム回数を棒グラフとしてディスプレイに表示する画面136と、この画面136から「部署名」(ここでは「営業部」)でドリルダウンされてディスプレイに表示されるリスト137とが示されている。リスト137では、選択された部署における利用者端末10の所有者名毎に、その利用者端末10のPC名と、リネーム日時と、そのリネーム対象となった個人情報ファイルのファイル名およびドキュメントパスとが表示されている。このようなリスト137により、
個人情報流出の可能性のあるユーザ操作を把握することができる。
【0194】
図16には、禁止閲覧サイト毎に集計されたアクセス回数を棒グラフとしてディスプレイに表示する画面138と、この画面138から「サイト名」(ここでは「ファイル便」)でドリルダウンされてディスプレイに表示されるリスト139とが示されている。リスト139では、選択されたサイトにアクセスした利用者端末10の所有者名毎に、その利用者端末10のPC名と、アクセス時間とが表示されている。このようなリスト139により、閲覧禁止サイトへのアクセスを監視することができる。
【0195】
〔2−5〕Pマークに基づく管理サーバの管理動作:
次に、探査手段110による探査結果として得られたPマークに基づく管理サーバ20(管理手段21k)の管理動作について、図6に示すフローチャート(ステップS20〜S29)に従って説明する。
【0196】
管理手段21kでは、利用者端末10から得られた個人情報ファイルの判定結果(Pマークテーブル)を参照し、個人情報ファイル(Pマークを付与されたファイル)の有無を判定する(ステップS20)。個人情報ファイルが存在する場合(ステップS21のYESルート)、個人情報ファイルの探査結果〔ここではPマークレベル(ランク)〕に応じて、管理手段21kにより、各個人情報ファイルに対する管理・操作が以下のように行なわれる(ステップS21〜S29)。
【0197】
まず、Pマークレベル“P1”の個人情報ファイルの有無が判定され(ステップS21)、Pマークレベル“P1”の個人情報ファイルがある場合(ステップS21のYESルート)、その個人情報ファイルをアクセス監視対象(アクセスログの記録対象)として設定・登録する(ステップS22)。
【0198】
Pマークレベル“P1”の個人情報ファイルがない場合(ステップS21のNOルート)、もしくは、ステップS22での登録後、Pマークレベル“P2”の個人情報ファイルの有無が判定され(ステップS23)、Pマークレベル“P2”の個人情報ファイルがある場合(ステップS23のYESルート)、その個人情報ファイルをアクセス監視対象として設定・登録するとともに、その個人情報ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報が通知される(ステップS24)。
【0199】
Pマークレベル“P2”の個人情報ファイルがない場合(ステップS23のNOルート)、もしくは、ステップS24での注意情報通知後、Pマークレベル“P3”の個人情報ファイルの有無が判定され(ステップS25)、Pマークレベル“P3”の個人情報ファイルがある場合(ステップS25のYESルート)、その個人情報ファイルをアクセス監視対象として設定・登録するとともに、その個人情報ファイルを保管している利用者が存在する旨が、システム管理者に対し警告情報としてメール等により通知されるとともに、その個人情報ファイルの返却が利用者に指示される(ステップS26)。
【0200】
Pマークレベル“P3”の個人情報ファイルがない場合(ステップS25のNOルート)、もしくは、ステップS26で警報情報通知および返却指示を行なった後、Pマークレベル“P4”の個人情報ファイルの有無が判定され(ステップS27)、Pマークレベル“P4”の個人情報ファイルがある場合(ステップS27のYESルート)、その個人情報ファイルが利用者端末10から強制的に捕獲・回収され(ステップS28)、さらに、その個人情報ファイルをファイルアクセス管理サーバ20の管理下に置き、その個人情報ファイルに対するアクセスをファイルアクセス管理サーバ20に管理させる(ステップS29)。Pマークレベル“P4”の個人情報ファイルがない場合(ステップS27のNOルート)、もしくは、ステップS29での処理終了後、管理動作を終了する。
【0201】
なお、前述した通り、Pマークレベル“P4”の個人情報ファイルについては、その個人情報ファイルが利用者端末10から外部へ出力されるのを強制的に禁止したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したりしてもよい。また、Pマークレベル“P3”の個人情報ファイルが所定日数放置された場合、Pマークレベル“P4”の個人情報ファイルと同様の処置を実行してもよい。さらに、Pマークレベル“P1”〜“P4”の個人情報ファイルの全てをファイルアクセス管理サーバ20の管理下に置くようにしてもよい。
【0202】
〔2−6〕ファイルアクセス管理サーバの動作:
次に、図7および図8を参照しながら、ファイルアクセス管理サーバ20の動作について説明する。
【0203】
まず、図7に示すフローチャート(ステップS31〜S34)に従って、本実施形態のファイルアクセス管理サーバ20によるファイル変換動作を説明する。
ファイルアクセス管理サーバ20において、管理対象のファイルが、ファイルアクセス管理サーバ20による管理対象として登録されるべく各利用者端末10からネットワーク40経由で個人情報ファイル受信手段21naにより受信されると(ステップS31のYESルート)、そのファイルが、暗号化手段21oにより、PDFファイルに変換され(ステップS32)、さらに、所定の暗号鍵を用いて暗号化処理(鍵掛け処理)が行なわれる(ステップS33)。そして、暗号化ファイルは、暗号化ファイル送信手段21bによりネットワーク40経由で利用者端末10に送信される(ステップS34)。
【0204】
ついで、図8に示すフローチャート(ステップS41〜S45)に従って、本実施形態のファイルアクセス管理サーバ20による認証動作について説明する。
利用者端末10の利用者が、暗号化ファイルの内容を閲覧しようとする場合、その利用者によって認証情報が入力されファイルアクセス管理サーバ20へ送信される。そして、その認証情報がネットワーク40経由で認証情報受信手段21ncにより受信されると(ステップS41のYESルート)、判定手段21pは、認証情報に含まれるユーザIDによってデータベース22を検索し、そのユーザIDに対応する登録パスワードをデータベース22から読み出し、認証情報に含まれるパスワードと、データベース22から読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定(利用者認証;ステップS42)を行なう。
【0205】
これらのパスワードが一致し、利用者端末10の利用者が正当な登録者(正当な送信先)であることが認証されると(ステップS43のYESルート)、復号鍵送信手段21ndにより、暗号化ファイルを復号化するための復号鍵がデータベース22から読み出され、その利用者端末10にネットワーク40経由で送信される(ステップS44)。
【0206】
そして、利用者端末10において、復号鍵が受信されると、その復号鍵を用いて暗号化ファイルが復号化されて元のファイルが復元され、そのファイルに対し、予め与えられたアクセス権限に応じたアクセスが実行される。例えば、前述したようにアクセス権限として閲覧権限のみが与えられている場合、利用者は、復元されたファイルの内容を閲覧することはできるが、閲覧以外のアクセス、例えばプリンタによる印刷出力や他の記録媒体へのコピーや画面コピー(画面キャプチャ)や別名保存などのアクセスは一切行なうことができない。
【0207】
一方、ファイルアクセス管理サーバ20の判定手段21pによりパスワードが不一致であると判定された場合、もしくは、ユーザIDに対応する登録パスワードがデータベース22に登録されていなかった場合には、利用者が正当な登録者(正当な送信先)ではない
と判定され(ステップS43のNOルート)、ファイルアクセス管理サーバ20から利用者端末10にネットワーク40経由でエラー通知が行なわれる(ステップS45)。
【0208】
〔3〕本実施形態の個人情報管理システムの効果:
このように本発明の一実施形態としての管理システム1や管理サーバ20によれば、管理サーバ20の管理範囲に含まれる、利用者端末10と個人情報ファイル(個人情報要素を所定数以上保有しているファイル)とが管理サーバ20によって管理され、管理サーバ20によって管理されている個人情報ファイルに対するアクセス頻度が基準値以上の利用者端末10が認識されると、その利用者端末10には個人情報ファイルが保有されている可能性が高いものとみなし、その利用者端末10に対して探査プログラムが自動的かつ強制的にインストールされる。このとき、個人情報ファイルに対するアクセス頻度が基準値未満の利用者端末10は自端末内に保護対象情報を蓄積している可能性が低いものとみなし、その利用者端末10に対する探査プログラムのインストールは行なわない。
【0209】
なお、利用者端末の所在位置を検出して、検出された利用者端末の所在位置に応じて基準値を変更することで、特定の個人についての個人情報を利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルを取り扱いできるようにして、たとえば、社内や国内など安定した所在位置の場合には基準を緩やかにすると共に、社外や遠隔地や国外など管理が難しい所在位置の場合には基準を厳格化することで、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することが可能になる。
【0210】
そして、探査プログラムをインストールされた利用者端末10において探査プログラムが自動的かつ強制的に実行されることにより、個人情報ファイルが自己探査され、その自己探査結果が管理サーバ20に収集される。つまり、個人情報ファイルにアクセスし自端末内に保護対象情報を蓄積した可能性の高い利用者端末10において、個人情報ファイルの自己探索が強制的に実行され、そのようなファイルを管理サーバ20の管理下に置くとともに、その自己探索結果や個人情報ファイルに対するアクセス頻度に基づいて利用者端末10を管理することができる。
【0211】
これにより、個人情報ファイルが保有されている可能性が高い利用者端末10については、自動的かつ強制的に探査プログラムがインストールされて個人情報ファイルの自己探査が行なわれ、探査された個人情報ファイルが直ちに管理サーバ20の管理下に置かれ、個人情報の不用意な流出・漏洩や不正利用などを確実に防止することができる。また、個人情報ファイルが保有されている可能性が低い利用者端末10については、探査プログラムのインストールや自己探査を行なわずに済むため、効率的な処理によって、個人情報ファイルの探査を確実に行なうことができ、個人情報の不用意な流出・漏洩や不正利用などを確実に防止できる利点がある。
【0212】
ここで、管理対象ファイルに対するアクセス頻度、もしくは、利用者端末10の所在位置の少なくとも一方に応じて利用者端末についてのセキュリティレベルを設定することにより、保護対象情報を含むファイルが保有されている可能性が高い利用者端末については動作制限を厳格化すると共に、上記可能性の低い場合には端末は動作制限を緩やかにして効率よく使用できる環境が提供されることになる。これにより、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
【0213】
なお、利用者端末10の所在位置を検出して、検出された利用者端末の所在位置に応じてセキュリティレベを変更することで、特定の個人についての個人情報を利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルを取り扱いできるようにして、たとえば、社内や国内など安定した所在位置の場合には基準を
緩やかにすると共に、社外や遠隔地や国外など管理が難しい所在位置の場合には基準を厳格化することで、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することが可能になる。
【0214】
このとき、個人情報ファイルに対するアクセス頻度に応じて利用者端末10についてのセキュリティレベルを設定することにより、個人情報ファイルが保有されている可能性が高い利用者端末10、つまりは、個人情報ファイルの不用意な流出・漏洩や不正利用などが発生する可能性の高い利用者端末10についてはセキュリティレベルを高く設定して動作制限(外部アクセス禁止,外部記憶媒体50へのデータ書き出し禁止,社外へのメール送信禁止,添付ファイルの暗号化管理)が厳格化される一方でその可能性の低い利用者端末10についてはセキュリティレベルを低く設定して動作制限が解除もしくは緩和される。
【0215】
これにより、上記可能性の低い場合には端末10を効率よく使用できる環境が提供されることになるので、利用者は、自発的に、自分の端末10を上記可能性の低い状態に移行させるようになり、個人情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
【0216】
また、ここで、暗号化された管理対象ファイルが利用者端末10側で開封される際に、利用者端末10の所在位置を検出し、所在位置が所定条件を満たしていると判定された場合に利用者端末10での管理対象ファイルの開封を許可する一方、所在位置が前記所定条件を満たしていないと判定された場合に利用者端末10での管理者対象ファイルの開封を禁止する制御を管理サーバ20から行うことにより、個人情報を含む管理対象ファイルを利用する利用者に対し、その利用者あるいは利用者所在位置において適した内容の電子情報ファイルの取り扱い(開封)が可能になり、たとえば、社内や国内など安定した所在位置の場合には開封許可にすると共に、社外や遠隔地や国外など管理が難しい所在位置の場合には開封禁止のように基準を厳格化することで、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することが可能になる。
【0217】
また、個人情報ファイルに対するアクセス頻度に応じてアクセス状況の公開を行なうことにより、個人情報ファイルが保有されている可能性が高い利用者端末10、つまりは、個人情報ファイルの不用意な流出・漏洩や不正利用などが発生する可能性の高い利用者端末10については、例えば図9〜図16に示したように、個人情報ファイルに対するアクセス状況(例えば、個人情報ファイルのファイル名,PC名,所有者名,個人情報ファイルの数の集計結果,個人情報ファイルに対するアクセスの回数の集計結果など)が公開される。これにより、利用者が、自発的に、個人情報ファイルに対するアクセスを行なわなくなるような環境が提供されるとともに、不正なアクセスが発覚しやすく不正行為を行ない難い環境が提供されることになり、個人情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
【0218】
また、外部記憶媒体用ドライブ14をインストールされた利用者端末10に関する情報(例えば、その利用者端末のPC名,その利用者端末の所有者名,個人情報ファイルのファイル名,その個人情報ファイルの書出し回数など)が公開されることで、利用者が、自発的に、外部記憶媒体用ドライブ14をインストールしなくなるようになったり、インストールしていてもそのドライブ14を用いて個人情報ファイルの書出しを行なわなくなるような環境が提供されることになり、個人情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
【0219】
このとき、本実施形態のごとく、特定の個人を識別可能な個人情報要素を所定数以上保有している個人情報ファイルを管理対象ファイルとする場合、本実施形態の探査手段11
0の第2判定手段116において、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。
【0220】
従って、第1判定手段113において電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についてのみ不適切文字/不適切文字列との照合処理が行なわれ、さらに、照合手段115において不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの判定処理を高速に行なうことが可能になる。
【0221】
このとき、第1判定手段113において、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で文字区間における文字列の判定処理を行なうことで、判定処理をより高速に効率良く実行することが可能になる。
【0222】
また、第2判定手段116において不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まない電子ファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高い電子ファイルを確実に判定することが可能になる。つまり、個人情報ファイルである可能性の高い電子ファイル(疑わしい電子ファイル)を確実に洗い出すことができる。
【0223】
さらに、本実施形態では、文字判定手段114により、文字区間の文字数が1以上6以下であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合手段115による照合対象としているので、照合手段115による照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が6を超える長い文字区間が、照合手段115による照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの判定処理のさらなる高速化に寄与することになる。
【0224】
特に、本実施形態の探査手段110によれば、切出手段112によりテキストデータから判定対象の文字区間として切り出す際、テキストデータ内の要素が明確な区切り文字によって区切られていない場合であっても、1バイトコード文字と2バイトコード文字との境界位置つまり半角文字と全角文字との境界位置(半角文字のあとに全角文字が続く部分もしくは全角文字のあとに半角文字が続く部分)や、全角算用数字と全角算用数字およびハイフンを除く文字との境界位置で、テキストデータが区切られて文字区間として切り出されることになる。
【0225】
これにより、全角文字で記載された住所や氏名などと半角文字で記載された電話番号や電子メールアドレスなどの文字列とがテキストデータにおいて区切り文字によって区切られることなく混在する場合や、全角文字で記載された住所や氏名などと全角文字で記載された電話番号などの数字列とがテキストデータにおいて区切り文字によって区切られることなく混在する場合であっても、住所,氏名,電話番号,電子メールアドレスなどの個人情報要素毎に文字区間を切り出すことができる。従って、住所,氏名,電話番号,電子メールアドレスなどの個人情報要素の判定を確実に行なえるようになり、個人情報ファイルを効率よく短時間で確実に判定することができる。
【0226】
また、電子メールアドレス判定手段113bによる電子メールアドレス判定条件として、判定対象の文字区間における文字列に「一文字以上のASCII文字」+「@(アット
マーク)」+「一文字以上のASCII文字」+「.(ドット)」+「一文字以上のAS
CII文字」となる文字列が含まれており、且つ、当該文字列の最後の文字が半角の英字であることを設定することにより、「@(アットマーク)」を単価や単位の表示に用いて
いる文字列であって、「@(アットマーク)」のあとに「一文字以上の半角数字」+「.(ドット)」+「一文字以上の半角数字」となる数字列(例えば「123@45.67」)を、電子
メールアドレスとして誤って判定することを確実に防止することができる。従って、電子メールアドレスなどの個人情報要素の判定を確実に行なえるようになり、個人情報ファイルを効率よく短時間で確実に判定することができる。
【0227】
電子メールアドレスにおいて“@”以降の最後の「.(ドット)」以降の文字列は、現在のところ、必ず、例えば“com”,“net”,“jp”などの英字列になっている。また、“@”は、一般に、単価や単位の表示に用いられることが多々ある。例えば、ある物品の1
個当たりの値段や重さを表示する際、“@100.00”とか“@10.55”というように“@”を用いる場合がある。このため、電子メールアドレス判定条件が、単に判定対象の文字区間における文字列に「一文字以上のASCII文字」+「@(アットマーク)」+「一文字以
上のASCII文字」+「.(ドット)」+「一文字以上のASCII文字」となる文字
列が含まれていることとすると、上記のような“@100.00”や“@10.55”を含む文字列も
電子メールアドレスとして誤って認識してしまうことになるが、文字列の最後の文字が半角の英字であることを電子メールアドレス判定条件に追加することで、上述のような数字列“@100.00”や“@10.55”を含む文字列を電子メールアドレスとして誤認識するのを確
実に防止することができるのである。
【0228】
さらに、住所判定手段113cによる住所判定条件として、判定対象の文字区間における文字列に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字または半角文字」となる文字列が含まれていることに加え、判定対象の文字区間の先頭文字と47都道府県名もしくは市区郡名の頭文字との一致をみることで、「市」,「区」,「郡」を途中に含む文字列であるが住所とは全く関係の無い文字列を誤って住所として判定することがなくなり、47都道府県名もしくは市区郡名の完全一致を判定する場合に比べ極めて短時間で、住所としての確度の高い文字区間を効率よく確実に判定することができる。
【0229】
またさらに、文字判定手段114による文字判定条件(氏名判定条件)に、判定対象の文字列の先頭文字が、日本人に多い苗字上位所定数(例えば上位3000種類)に属する苗字の頭文字と一致することを追加することにより、苗字の完全一致を判定する場合に比べ極めて短時間で、氏名としての確度の高い文字区間を効率よく確実に判定することができる。
【0230】
そして、管理サーバ20の管理手段21kにより、第2判定手段116で得られた計数結果(判定値レベル)に応じて、個人情報ファイルであると判定された電子ファイルの管理を行なうことにより、個人情報ファイル毎に、判定値レベル(個人情報ファイルである可能性の高さ/個人情報要素数の多さ)に応じた管理手法を選択して実行することができる。
【0231】
一方、利用者端末10から外部へ送出されるファイルを、利用者端末10もしくはファイルアクセス管理サーバ20において暗号化ファイルに変換することで、外部送出対象のファイルについては暗号化ファイルに変換された上で送出されるので、そのファイルが、万人が参照可能な状態で各端末10から外部へ持ち出されるのを抑止でき、個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止することができる。
【0232】
このとき、暗号化ファイルの正当な利用者については、ファイルアクセス管理サーバ20により正当な利用者であることを認証されれば、ファイルアクセス管理サーバ20から受信した復号鍵で暗号化ファイルを復号し、暗号化ファイルの内容に対するアクセスが可能になるが、その他の利用者は、暗号化ファイルを復号することができず、その内容に対するアクセスを行なうことは不可能になっている。つまり、ファイルは、正当な利用者のみがアクセス可能な暗号化ファイルに変換された上で外部に送出されるので、上述のごとく個人情報や機密情報の不用意な流出・漏洩や不正利用などを確実に防止しながら、正当な利用者のアクセスは可能になるので、正当な利用者についての利便性を損なうことがない。
【0233】
なお、このとき、ファイルのオリジナルは完全文書ファイルに格納されて暗号化されることになるので、そのファイルのオリジナルは、そのままの状態、即ち利用者端末10において万人が参照可能な状態で残ることがないので、個人情報や機密情報の不用意な流出・漏洩や不正利用などをより確実に防止することができる。
【0234】
〔4〕本実施形態の変形例:
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
【0235】
例えば、上述した実施形態では、管理対象ファイルが個人情報ファイルである場合について説明したが、本発明は、これに限定されるものではなく、個人情報以外の機密情報を含む機密情報ファイルを管理対象ファイルとしてもよい。この場合、機密情報ファイルを判定するための所定条件は、機密情報を含むレコード(機密情報要素)を所定数以上保有していることであり、機密情報要素は、例えば、発表前の新製品,特許出願前の技術,経営戦略などで使用される文字列である。なお、このような機密情報ファイルについても、個人情報ファイルと同様にして、探査手段110によって探査することができ、上述した実施形態と同様の作用効果を得ることができる。
【0236】
また、不正アクセス,情報漏洩,データ毀損などに対して保険金の支払いを行う保険が存在する場合において、以上の実施形態を用いることでリスクが大幅に減少することが予想されるため、本実施形態の管理サーバ20での認証された状態で個人情報を扱う利用者端末10では、認証情報を管理サーバ20から保険会社のサーバに転送して保険会社側で確認することで、保険掛け金の割引きをすることも可能である。この場合、管理サーバ20側では認証を完了したデータや利用者端末10の情報を保険会社に転送するだけであり、システムの大幅な改良を要しない。また、保険会社側でも、認証を完了したデータを受けることで、確実な状態を確保しつつ、料金(保険掛け金)の値下げを実行することが可能になる。
【0237】
〔5〕その他:
上述した探査手段110,動作制限手段13,利用者情報収集手段21a,ログ収集手段21b,アクセス頻度算出手段21e,アクセス頻度判定手段21g,インストール手段21h,探査結果収集手段21iおよび管理手段21kとしての機能(各手段の全部もしくは一部の機能)は、コンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラム(探査プログラム,管理プログラム)を実行することによって実現される。
【0238】
そのプログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形
態で提供される。この場合、コンピュータはその記録媒体から管理プログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。
【0239】
ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたプログラムを読み取るための手段とを備えている。上記管理プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、探査手段110,動作制限手段13,利用者情報収集手段21a,ログ収集手段21b,アクセス頻度算出手段21e,アクセス頻度判定手段21g,インストール手段21h,探査結果収集手段21iおよび管理手段21kとしての機能を実現させるプログラムコードを含んでいる。また、その機能の一部は、アプリケーションプログラムではなくOSによって実現されてもよい。
【0240】
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROMなどのメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。
【0241】
〔6〕付記:
(付記1)
ネットワークを介して利用者端末と相互に通信可能に接続され該利用者端末を管理するとともに、保護対象情報に係る要素を所定数以上保有しているファイルを管理対象ファイルとして管理する管理サーバであって、
該利用者端末による該管理対象ファイルに対するアクセスのログを収集するログ収集手段と、
該ログ収集手段によって収集されたログに基づいて、該利用者端末の該管理対象ファイルに対するアクセス頻度を算出するアクセス頻度算出手段と、
該アクセス頻度算出手段によって算出された該アクセス頻度が基準値以上であるか否かを判定するアクセス頻度判定手段と、
該アクセス頻度判定手段によって該利用者端末の該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された場合、該保護対象情報に係る要素を所定数以上保有しているファイルを当該利用者端末によって自己探査させる探査プログラムを、該ネットワークを介して当該利用者端末にインストールするインストール手段と、
該ネットワークを介して、該利用者端末で実行された自己探査結果を収集する探査結果収集手段と、
該アクセス頻度算出手段によって算出された該アクセス頻度、および、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末を管理する管理手段とを備えて構成されたことを特徴とする管理サーバ。
【0242】
(付記2)
該管理手段が、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末において探査された該ファイルを該管理対象ファイルとして取り扱うことを特徴とする付記1記載の管理サーバ。
【0243】
(付記3)
該管理手段が、該アクセス頻度算出手段によって算出された該アクセス頻度に応じて、該利用者端末からの管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを設定し、該セキュリティレベルに応じた動作制限を該利用者端末に実行させることを特徴とする付記1または付記2に記載の管理サーバ。
【0244】
(付記4)
該管理手段が、該アクセス頻度判定手段によって該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された利用者端末については該セキュリティレベルを高く設定して該利用者端末の動作制限を厳格化する一方、該アクセス頻度判定手段によって該アクセス頻度が基準値未満であると判定された利用者端末については該セキュリティレベルを低く設定して該利用者端末の動作制限を解除もしくは緩和することを特徴とする付記3記載の管理サーバ。
【0245】
(付記5)
該管理手段が、該利用者端末の動作制限として、外部アクセス禁止,外部記憶媒体へのデータ書き出し禁止,社外へのメール送信禁止,添付ファイルの暗号化管理のうちの少なくとも一つを該利用者端末に実行させることを特徴とする付記3または付記4に記載の管理サーバ。
【0246】
(付記6)
該管理手段が、該アクセス頻度算出手段によって算出された該アクセス頻度に応じて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開することを特徴とする付記1〜付記5のいずれか一項に記載の管理サーバ。
【0247】
(付記7)
該管理手段が、該アクセス頻度判定手段によって該利用者端末の該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された場合、該公開情報の作成・公開を行なうことを特徴とする付記6記載の管理サーバ。
【0248】
(付記8)
該公開情報として、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とが含まれていることを特徴とする付記6または付記7に記載の管理サーバ。
【0249】
(付記9)
該公開情報として、該利用者端末における該管理対象ファイルの数の集計結果が含まれていることを特徴とする付記6〜付記8のいずれか一項に記載の管理サーバ。
【0250】
(付記10)
該公開情報として、該管理対象ファイルに対するアクセスの数の集計結果が含まれていることを特徴とする付記6〜付記9のいずれか一項に記載の管理サーバ。
【0251】
(付記11)
該保護対象情報が個人情報であり、
該探査プログラムが、該利用者端末の記憶部におけるデータの中から特定の個人を識別可能な個人情報要素を所定数以上保有しているファイルつまり個人情報ファイルを探査する探査手段として、該利用者端末を機能させることを特徴とする付記1〜付記10のいずれか一項に記載の管理サーバ。
【0252】
(付記12)
該探査手段が、
判定対象ファイルに含まれるテキストデータを抽出する抽出手段と、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段とを備えて構成されていることを特徴とする付記11記載の管理サーバ。
【0253】
(付記13)
ネットワークを介して利用者端末と相互に通信可能に接続され該利用者端末を管理するとともに、保護対象情報に係る要素を所定数以上保有しているファイルを管理対象ファイルとして管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、
該利用者端末による該管理対象ファイルに対するアクセスのログを収集するログ収集手段、
該ログ収集手段によって収集されたログに基づいて、該利用者端末の該管理対象ファイルに対するアクセス頻度を算出するアクセス頻度算出手段、
該アクセス頻度算出手段によって算出された該アクセス頻度が基準値以上であるか否かを判定するアクセス頻度判定手段、
該アクセス頻度判定手段によって該利用者端末の該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された場合、該保護対象情報に係る要素を所定数以上保有しているファイルを当該利用者端末によって自己探査させる探査プログラムを、該ネットワークを介して当該利用者端末にインストールするインストール手段、
該ネットワークを介して、該利用者端末で実行された自己探査結果を収集する探査結果収集手段、および、
該アクセス頻度算出手段によって算出された該アクセス頻度、および、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末を管理する管理手段として、該コンピュータを機能させる、ことを特徴とする管理プログラム。
【0254】
(付記14)
該管理手段が、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末において探査された該ファイルを該管理対象ファイルとして取り扱うように、該コンピュータを機能させることを特徴とする付記13記載の管理プログラム。
【0255】
(付記15)
該管理手段が、該アクセス頻度算出手段によって算出された該アクセス頻度に応じて、
該利用者端末からの管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを設定し、該セキュリティレベルに応じた動作制限を該利用者端末に実行させるように、該コンピュータを機能させることを特徴とする付記13または付記14に記載の管理プログラム。
【0256】
(付記16)
該管理手段が、該アクセス頻度判定手段によって該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された利用者端末については該セキュリティレベルを高く設定して該利用者端末の動作制限を厳格化する一方、該アクセス頻度判定手段によって該アクセス頻度が基準値未満であると判定された利用者端末については該セキュリティレベルを低く設定して該利用者端末の動作制限を解除もしくは緩和するように、該コンピュータを機能させることを特徴とする付記15記載の管理プログラム。
【0257】
(付記17)
該管理手段が、該利用者端末の動作制限として、外部アクセス禁止,外部記憶媒体へのデータ書き出し禁止,社外へのメール送信禁止,添付ファイルの暗号化管理のうちの少なくとも一つを該利用者端末に実行させるように、該コンピュータを機能させることを特徴とする付記15または付記16に記載の管理プログラム。
【0258】
(付記18)
該管理手段が、該アクセス頻度算出手段によって算出された該アクセス頻度に応じて、該管理対象ファイルに対するアクセス状況に関する公開情報を作成し、作成された該公開情報を公開するように、該コンピュータを機能させることを特徴とする付記13〜付記17のいずれか一項に記載の管理プログラム。
【0259】
(付記19)
該管理手段が、該アクセス頻度判定手段によって該利用者端末の該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された場合、該公開情報の作成・公開を行なうように、該コンピュータを機能させることを特徴とする付記18記載の管理プログラム。
【0260】
(付記20)
該公開情報として、該管理対象ファイルのファイル名と、該管理対象ファイルに対してアクセスを行なった利用者端末を特定しうる情報と、当該利用者端末の所有者を特定しうる情報とが含まれていることを特徴とする付記18または付記19に記載の管理プログラム。
【0261】
(付記21)
該公開情報として、該利用者端末における該管理対象ファイルの数の集計結果が含まれていることを特徴とする付記18〜付記20のいずれか一項に記載の管理プログラム。
【0262】
(付記22)
該公開情報として、該管理対象ファイルに対するアクセスの数の集計結果が含まれていることを特徴とする付記18〜付記21のいずれか一項に記載の管理プログラム。
【0263】
(付記23)
該保護対象情報が個人情報であり、
該探査プログラムが、該利用者端末の記憶部におけるデータの中から特定の個人を識別可能な個人情報要素を所定数以上保有しているファイルつまり個人情報ファイルを探査する探査手段として、該利用者端末を機能させることを特徴とする付記13〜付記22のい
ずれか一項に記載の管理プログラム。
【0264】
(付記24)
該探査プログラムが、
判定対象ファイルに含まれるテキストデータを抽出する抽出手段、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段、および、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該判定対象ファイルが個人情報ファイルであるか否かを判定する第2判定手段として、該利用者端末を機能させることにより、該利用者端末を該探査手段として機能させることを特徴とする付記23記載の管理プログラム。
【図面の簡単な説明】
【0265】
【図1】本実施形態の管理サーバと利用者端末の機能構成を示すブロック図である。
【図2】本発明の一実施形態としての個人情報管理システム(管理システム)の構成を示すブロック図である。
【図3】本実施形態の管理サーバに備えられたファイルアクセス管理サーバとしての機能構成を示すブロック図である。
【図4】本実施形態の管理サーバの動作を説明するためのフローチャートである。
【図5】本実施形態の探査手段の動作を説明するためのフローチャートである。
【図6】本実施形態の管理サーバの動作を説明するためのフローチャートである。
【図7】本実施形態の管理サーバの動作(ファイルアクセス管理サーバとしての機能による認証動作)を説明するためのフローチャートである。
【図8】本実施形態の管理サーバの動作(ファイルアクセス管理サーバとしての機能によるファイル変換動作)を説明するためのフローチャートである。
【図9】本実施形態の管理サーバの管理手段によって作成され公開される公開情報の具体例を示す図である。
【図10】本実施形態の管理サーバの管理手段によって作成され公開される公開情報の具体例を示す図である。
【図11】本実施形態の管理サーバの管理手段によって作成され公開される公開情報の具体例を示す図である。
【図12】本実施形態の管理サーバの管理手段によって作成され公開される公開情報の具体例を示す図である。
【図13】本実施形態の管理サーバの管理手段によって作成され公開される公開情報の具体例を示す図である。
【図14】本実施形態の管理サーバの管理手段によって作成され公開される公開情報の具体例を示す図である。
【図15】本実施形態の管理サーバの管理手段によって作成され公開される公開情報の具体例を示す図である。
【図16】本実施形態の管理サーバの管理手段によって作成され公開される公開情報の具体例を示す図である。
【符号の説明】
【0266】
1 個人情報管理システム(管理システム)
10 利用者端末
10a CPU
10b 記憶部
10c 検疫テーブル
10d Pマークテーブル
11 探査手段
111 抽出手段
112 切出手段
113 第1判定手段
113a 電話番号判定手段
113b 電子メールアドレス判定手段
113c 住所判定手段
114 文字判定手段
115 照合手段
116 第2判定手段
12 送受信手段
13 動作制限手段
14 外部記憶媒体用ドライバ
15 暗号化手段/登録手段
20 管理サーバ
21 CPU
21a 利用者情報収集手段
21b ログ収集手段
21c 端末位置検出手段
21d 基準値変更手段
21e アクセス頻度判定手段
21f 基準値記憶手段
21g アクセス頻度算出手段
21h インストール手段
21i 探査結果収集手段
21j 管理コンソール
21k 管理手段
21m 表示制御手段
21n 送受信手段
21na ファイル受信手段
21nb 暗号化ファイル送信手段
21nc 認証情報受信手段
21nd 復号鍵送信手段
21o 暗号化手段
21p 判定手段
22 データベース
23 表示部
40 ネットワーク(社内LAN)
50 外部記憶媒体(USBメモリ等)
101,103,105,108,130,132,134,136,138 画面(公開情報)
102,104,106,107,109,131,133,135,137,139
リスト(公開情報)
【特許請求の範囲】
【請求項1】
ネットワークを介して利用者端末と相互に通信可能に接続され該利用者端末を管理するとともに、保護対象情報に係る要素を所定数以上保有しているファイルを管理対象ファイルとして管理する管理サーバであって、
該利用者端末による該管理対象ファイルに対するアクセスのログを収集するログ収集手段と、
該ログ収集手段によって収集されたログに基づいて、該利用者端末の該管理対象ファイルに対するアクセス頻度を算出するアクセス頻度算出手段と、
該アクセス頻度算出手段によって算出された該アクセス頻度が基準値以上であるか否かを判定するアクセス頻度判定手段と、
前記利用者端末の所在位置を検出する端末位置検出手段と、
前記端末位置検出手段によって検出された前記利用者端末の所在位置に応じて、前記基準値を変更する基準値変更手段と、
該アクセス頻度判定手段によって該利用者端末の該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された場合、該保護対象情報に係る要素を所定数以上保有しているファイルを当該利用者端末によって自己探査させる探査プログラムを、該ネットワークを介して当該利用者端末にインストールするインストール手段と、
該ネットワークを介して、該利用者端末で実行された自己探査結果を収集する探査結果収集手段と、
該アクセス頻度算出手段によって算出された該アクセス頻度、および、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末を管理する管理手段と、
該利用者端末による該管理対象ファイルに対してアクセスした時点における該利用者端末の所在位置を検出する位置検出手段と、
該位置検出手段によって検出された前記所在位置に応じて前記基準値を変更する基準値変更手段と、
を備えて構成されたことを特徴とする管理サーバ。
【請求項2】
前記管理手段は、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末において探査された該ファイルを該管理対象ファイルとして取り扱う、
ことを特徴とする請求項1記載の管理サーバ。
【請求項3】
前記管理手段は、該アクセス頻度算出手段によって算出された該アクセス頻度、もしくは、前記端末位置情報検出手段によって検出された前記所在位置の少なくとも一方に応じて、該利用者端末からの管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを設定し、該セキュリティレベルに応じた動作制限を該利用者端末に実行させる、
ことを特徴とする請求項1または請求項2に記載の管理サーバ。
【請求項4】
前記管理手段は、該アクセス頻度判定手段によって該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された利用者端末、あるいは、前記端末位置情報検出手段によって検出された前記所在位置が所定の条件を満たさない利用者端末については該セキュリティレベルを高く設定して該利用者端末の動作制限を厳格化する一方、該アクセス頻度判定手段によって該アクセス頻度が基準値未満であると判定された利用者端末については該セキュリティレベルを低く設定して該利用者端末の動作制限を解除もしくは緩和する、
ことを特徴とする請求項3記載の管理サーバ。
【請求項5】
暗号化された管理対象ファイルが前記利用者端末側で開封される際に、前記利用者端末から開封要求として復号鍵送信要求を受信し、前記復号鍵送信要求を受信した時点におけ
る前記利用者端末の所在位置を検出し、この所在位置が予め定められた所定条件を満たしているか否かを判定し、前記所在位置が前記所定条件を満たしていると判定された場合に前記利用者端末での前記管理対象ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記利用者端末での前記管理者対象ファイルの開封を禁止する制御を行う、
ことを特徴とする請求項1〜請求項4のいずれかに記載の管理サーバ。
【請求項6】
ネットワークを介して利用者端末と相互に通信可能に接続され該利用者端末を管理するとともに、保護対象情報に係る要素を所定数以上保有しているファイルを管理対象ファイルとして管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、
該利用者端末による該管理対象ファイルに対するアクセスのログを収集するログ収集手段、
該ログ収集手段によって収集されたログに基づいて、該利用者端末の該管理対象ファイルに対するアクセス頻度を算出するアクセス頻度算出手段、
該アクセス頻度算出手段によって算出された該アクセス頻度が基準値以上であるか否かを判定するアクセス頻度判定手段、
前記利用者端末の所在位置を検出する端末位置検出手段、
前記端末位置検出手段によって検出された前記利用者端末の所在位置に応じて、前記基準値を変更する基準値変更手段、
該アクセス頻度判定手段によって該利用者端末の該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された場合、該保護対象情報に係る要素を所定数以上保有しているファイルを当該利用者端末によって自己探査させる探査プログラムを、該ネットワークを介して当該利用者端末にインストールするインストール手段、
該ネットワークを介して、該利用者端末で実行された自己探査結果を収集する探査結果収集手段、および、
該アクセス頻度算出手段によって算出された該アクセス頻度、および、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末を管理する管理手段、
として該コンピュータを機能させる、
ことを特徴とする管理プログラム。
【請求項7】
前記管理手段は、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末において探査された該ファイルを該管理対象ファイルとして取り扱うように、該コンピュータを機能させる、
ことを特徴とする請求項6記載の管理プログラム。
【請求項8】
前記管理手段は、該アクセス頻度算出手段によって算出された該アクセス頻度、もしくは、前記端末位置情報検出手段によって検出された前記所在位置の少なくとも一方に応じて、該利用者端末からの管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを設定し、該セキュリティレベルに応じた動作制限を該利用者端末に実行させるように、該コンピュータを機能させる、
ことを特徴とする請求項6または請求項7に記載の管理プログラム。
【請求項9】
前記管理手段は、該アクセス頻度判定手段によって該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された利用者端末、あるいは、前記端末位置情報検出手段によって検出された前記所在位置が所定の条件を満たさない利用者端末については該セキュリティレベルを高く設定して該利用者端末の動作制限を厳格化する一方、該アクセス頻度判定手段によって該アクセス頻度が基準値未満であると判定された利用者端末については該セキュリティレベルを低く設定して該利用者端末の動作制限を解除もしくは緩和するように、該コンピュータを機能させる、
ことを特徴とする請求項8記載の管理プログラム。
【請求項10】
前記管理手段は、暗号化された管理対象ファイルが前記利用者端末側で開封される際に、前記利用者端末から開封要求として復号鍵送信要求を受信し、前記復号鍵送信要求を受信した時点における前記利用者端末の所在位置を検出し、この所在位置が予め定められた所定条件を満たしているか否かを判定し、前記所在位置が前記所定条件を満たしていると判定された場合に前記利用者端末での前記管理対象ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記利用者端末での前記管理者対象ファイルの開封を禁止する制御を行う、ように該コンピュータを機能させる、
ことを特徴とする請求項6乃至請求項9のいずれかに記載の管理プログラム。
【請求項1】
ネットワークを介して利用者端末と相互に通信可能に接続され該利用者端末を管理するとともに、保護対象情報に係る要素を所定数以上保有しているファイルを管理対象ファイルとして管理する管理サーバであって、
該利用者端末による該管理対象ファイルに対するアクセスのログを収集するログ収集手段と、
該ログ収集手段によって収集されたログに基づいて、該利用者端末の該管理対象ファイルに対するアクセス頻度を算出するアクセス頻度算出手段と、
該アクセス頻度算出手段によって算出された該アクセス頻度が基準値以上であるか否かを判定するアクセス頻度判定手段と、
前記利用者端末の所在位置を検出する端末位置検出手段と、
前記端末位置検出手段によって検出された前記利用者端末の所在位置に応じて、前記基準値を変更する基準値変更手段と、
該アクセス頻度判定手段によって該利用者端末の該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された場合、該保護対象情報に係る要素を所定数以上保有しているファイルを当該利用者端末によって自己探査させる探査プログラムを、該ネットワークを介して当該利用者端末にインストールするインストール手段と、
該ネットワークを介して、該利用者端末で実行された自己探査結果を収集する探査結果収集手段と、
該アクセス頻度算出手段によって算出された該アクセス頻度、および、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末を管理する管理手段と、
該利用者端末による該管理対象ファイルに対してアクセスした時点における該利用者端末の所在位置を検出する位置検出手段と、
該位置検出手段によって検出された前記所在位置に応じて前記基準値を変更する基準値変更手段と、
を備えて構成されたことを特徴とする管理サーバ。
【請求項2】
前記管理手段は、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末において探査された該ファイルを該管理対象ファイルとして取り扱う、
ことを特徴とする請求項1記載の管理サーバ。
【請求項3】
前記管理手段は、該アクセス頻度算出手段によって算出された該アクセス頻度、もしくは、前記端末位置情報検出手段によって検出された前記所在位置の少なくとも一方に応じて、該利用者端末からの管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを設定し、該セキュリティレベルに応じた動作制限を該利用者端末に実行させる、
ことを特徴とする請求項1または請求項2に記載の管理サーバ。
【請求項4】
前記管理手段は、該アクセス頻度判定手段によって該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された利用者端末、あるいは、前記端末位置情報検出手段によって検出された前記所在位置が所定の条件を満たさない利用者端末については該セキュリティレベルを高く設定して該利用者端末の動作制限を厳格化する一方、該アクセス頻度判定手段によって該アクセス頻度が基準値未満であると判定された利用者端末については該セキュリティレベルを低く設定して該利用者端末の動作制限を解除もしくは緩和する、
ことを特徴とする請求項3記載の管理サーバ。
【請求項5】
暗号化された管理対象ファイルが前記利用者端末側で開封される際に、前記利用者端末から開封要求として復号鍵送信要求を受信し、前記復号鍵送信要求を受信した時点におけ
る前記利用者端末の所在位置を検出し、この所在位置が予め定められた所定条件を満たしているか否かを判定し、前記所在位置が前記所定条件を満たしていると判定された場合に前記利用者端末での前記管理対象ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記利用者端末での前記管理者対象ファイルの開封を禁止する制御を行う、
ことを特徴とする請求項1〜請求項4のいずれかに記載の管理サーバ。
【請求項6】
ネットワークを介して利用者端末と相互に通信可能に接続され該利用者端末を管理するとともに、保護対象情報に係る要素を所定数以上保有しているファイルを管理対象ファイルとして管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、
該利用者端末による該管理対象ファイルに対するアクセスのログを収集するログ収集手段、
該ログ収集手段によって収集されたログに基づいて、該利用者端末の該管理対象ファイルに対するアクセス頻度を算出するアクセス頻度算出手段、
該アクセス頻度算出手段によって算出された該アクセス頻度が基準値以上であるか否かを判定するアクセス頻度判定手段、
前記利用者端末の所在位置を検出する端末位置検出手段、
前記端末位置検出手段によって検出された前記利用者端末の所在位置に応じて、前記基準値を変更する基準値変更手段、
該アクセス頻度判定手段によって該利用者端末の該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された場合、該保護対象情報に係る要素を所定数以上保有しているファイルを当該利用者端末によって自己探査させる探査プログラムを、該ネットワークを介して当該利用者端末にインストールするインストール手段、
該ネットワークを介して、該利用者端末で実行された自己探査結果を収集する探査結果収集手段、および、
該アクセス頻度算出手段によって算出された該アクセス頻度、および、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末を管理する管理手段、
として該コンピュータを機能させる、
ことを特徴とする管理プログラム。
【請求項7】
前記管理手段は、該探査結果収集手段によって収集された自己探査結果に基づいて、該利用者端末において探査された該ファイルを該管理対象ファイルとして取り扱うように、該コンピュータを機能させる、
ことを特徴とする請求項6記載の管理プログラム。
【請求項8】
前記管理手段は、該アクセス頻度算出手段によって算出された該アクセス頻度、もしくは、前記端末位置情報検出手段によって検出された前記所在位置の少なくとも一方に応じて、該利用者端末からの管理対象ファイルの流出を防止するための、該利用者端末におけるセキュリティレベルを設定し、該セキュリティレベルに応じた動作制限を該利用者端末に実行させるように、該コンピュータを機能させる、
ことを特徴とする請求項6または請求項7に記載の管理プログラム。
【請求項9】
前記管理手段は、該アクセス頻度判定手段によって該管理対象ファイルに対するアクセス頻度が基準値以上であると判定された利用者端末、あるいは、前記端末位置情報検出手段によって検出された前記所在位置が所定の条件を満たさない利用者端末については該セキュリティレベルを高く設定して該利用者端末の動作制限を厳格化する一方、該アクセス頻度判定手段によって該アクセス頻度が基準値未満であると判定された利用者端末については該セキュリティレベルを低く設定して該利用者端末の動作制限を解除もしくは緩和するように、該コンピュータを機能させる、
ことを特徴とする請求項8記載の管理プログラム。
【請求項10】
前記管理手段は、暗号化された管理対象ファイルが前記利用者端末側で開封される際に、前記利用者端末から開封要求として復号鍵送信要求を受信し、前記復号鍵送信要求を受信した時点における前記利用者端末の所在位置を検出し、この所在位置が予め定められた所定条件を満たしているか否かを判定し、前記所在位置が前記所定条件を満たしていると判定された場合に前記利用者端末での前記管理対象ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記利用者端末での前記管理者対象ファイルの開封を禁止する制御を行う、ように該コンピュータを機能させる、
ことを特徴とする請求項6乃至請求項9のいずれかに記載の管理プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公開番号】特開2008−26984(P2008−26984A)
【公開日】平成20年2月7日(2008.2.7)
【国際特許分類】
【出願番号】特願2006−195996(P2006−195996)
【出願日】平成18年7月18日(2006.7.18)
【特許番号】特許第3878975号(P3878975)
【特許公報発行日】平成19年2月7日(2007.2.7)
【出願人】(592112938)クオリティ株式会社 (121)
【Fターム(参考)】
【公開日】平成20年2月7日(2008.2.7)
【国際特許分類】
【出願日】平成18年7月18日(2006.7.18)
【特許番号】特許第3878975号(P3878975)
【特許公報発行日】平成19年2月7日(2007.2.7)
【出願人】(592112938)クオリティ株式会社 (121)
【Fターム(参考)】
[ Back to top ]