米国特許情報 | 欧州特許情報 | 国際公開(PCT)情報 | Google の米国特許検索
 
     特許分類
A 農業
B 衣類
C 家具
D 医学
E スポ−ツ;娯楽
F 加工処理操作
G 机上付属具
H 装飾
I 車両
J 包装;運搬
L 化学;冶金
M 繊維;紙;印刷
N 固定構造物
O 機械工学
P 武器
Q 照明
R 測定; 光学
S 写真;映画
T 計算機;電気通信
U 核技術
V 電気素子
W 発電
X 楽器;音響


  ホーム -> 計算機;電気通信 -> 富士ゼロックス株式会社

発明の名称 文書処理方法および文書処理装置並びにプログラム
発行国 日本国特許庁(JP)
公報種別 公開特許公報(A)
公開番号 特開2007−11422(P2007−11422A)
公開日 平成19年1月18日(2007.1.18)
出願番号 特願2005−187586(P2005−187586)
出願日 平成17年6月28日(2005.6.28)
代理人 【識別番号】100086298
【弁理士】
【氏名又は名称】船橋 國則
発明者 大西 健司
要約 課題
機密部分を不可視化して印刷し後に復元して利用する文書処理手法において、電子文書に対する編集と復元処理の整合が採れるようにする。

解決手段
不可視申請書に対応する電子文書上で編集が行なわれたことを復元情報管理サーバ7が復元情報と対応付けて管理する。履歴情報を参照して不可視申請書の復元処理の可否を判断する(S80)。印刷出力後に編集が加えられアクセス禁止に設定されているときはアクセス禁止情報を送信する(S80−NO,S82)。印刷出力後の編集がない場合や編集があっても復元処理が許可されている場合は復元情報を機密文書処理サーバ5に送信する(S80−YES,S84)。編集後に復元処理が許可されていれば機密文書処理サーバ5において不可視申請書における機密部分の内容を復元するので届出先端末3上で確認することができるが(S90,S94)、禁止されていれば閲覧できない(S98)。
特許請求の範囲
【請求項1】
文書の一部を一見しては判読不可能な状態にした不可視文書を作成し、この不可視文書を復元することで利用可能にする文書処理方法であって、
作成された前記不可視文書に対して当該不可視文書に対応する電子文書上で編集が行なわれたことを管理するとともに、
前記不可視文書を復元する際には、前記編集が行なわれたことの情報である履歴情報を参照して、前記不可視文書の復元処理の可否を制御する
ことを特徴とする文書処理方法。
【請求項2】
文書の一部を一見しては判読不可能な状態にした不可視文書の復元情報を管理する文書処理装置であって、
前記不可視文書に対して当該不可視文書に対応する電子文書上で編集が行なわれたことを管理する編集履歴管理部
を備えたことを特徴とする文書処理装置。
【請求項3】
前記編集履歴管理部は、前記不可視文書を復元するための前記復元情報の属性を変更することで編集履歴を管理する
ことを特徴とする請求項2に記載の文書処理装置。
【請求項4】
文書の一部を一見しては判読不可能な状態にした不可視文書に対応する電子文書上で編集が行なわれたことを管理する編集履歴管理部
を備えたことを特徴とする文書処理装置。
【請求項5】
文書の一部を一見しては判読不可能な状態にした不可視文書を復元する文書処理装置であって、
前記不可視文書に対して当該不可視文書に対応する電子文書上で編集が行なわれたことの情報である履歴情報を参照して、前記不可視文書の復元処理の可否を制御する復元処理制御部
を備えたことを特徴とする文書処理装置。
【請求項6】
文書の一部を一見しては判読不可能な状態にした不可視文書を取り扱う処理をコンピュータを用いて行なうためのプログラムであって、
前記コンピュータを、
文書の一部を一見しては判読不可能な状態にした不可視文書に対応する電子文書上で編集が行なわれたことを管理する編集履歴管理部
として機能させることを特徴とするプログラム。
【請求項7】
文書の一部を一見しては判読不可能な状態にした不可視文書を取り扱う処理をコンピュータを用いて行なうためのプログラムであって、
前記コンピュータを、
前記不可視文書に対して当該不可視文書に対応する電子文書上で編集が行なわれたことの情報である履歴情報を参照して、前記不可視文書の復元処理の可否を制御する復元処理制御部
として機能させることを特徴とするプログラム。
発明の詳細な説明
【技術分野】
【0001】
本発明は、文書処理方法および文書処理装置並びにプログラムに関する。より詳細には、機密を要する部分など、文書の一部を一見しては判読不可能な状態の不可視文書を取り扱う仕組みに関する。
【背景技術】
【0002】
官庁に代表される各公共機関や一般企業などに対する各種申請書の提出などの文書交換を行なう分野においては、いわゆるペーパーレス化への流れが一般化し、従来の紙媒体による情報伝達を電子情報による形態に置き換える動きが随所で進められている。
【0003】
他方、このような動きに対し、従来から行なわれている紙を媒体とする申請や文書伝達も依然として広く行なわれている。しかしながら、紙を情報の伝送媒体とする場合、紙情報の最終目的地(届出先)に届けられるまでには、郵便や手渡しなど人手による媒体輸送が行なわれる場合が多く、この媒体輸送過程では、封書の形態を採る場合を除くと、紙媒体に印刷あるいは手書きされた情報が他人の目に触れ、個人が届出先以外には知られたくない情報が他人に知れてしまう問題がある。このため、このような情報漏洩の問題を解消する仕組みが種々提案されている(たとえば特許文献1〜5を参照)。
【0004】
【特許文献1】特開平6−214862号公報
【特許文献2】特開2002−279289号公報
【特許文献3】特開2003−044257号公報
【特許文献4】特開2003−242347号公報
【特許文献5】特開2003−256762号公報
【0005】
たとえば、特許文献1には、指定部分をマスクして印刷する方法が示されている。この際には、マスク印刷すべき部分を予めサーバに登録しておき、アクセス権に応じて、マスクすべき印刷範囲を変更できるようにしている。
【0006】
また特許文献2にも、指定部分をマスクして印刷する方法が示されている。この際には、マスク印刷すべき部分を予めサーバに登録しておき、マスク処理した文書データを出力できるようにしている。
【0007】
また特許文献3には、記載情報を暗号化して印刷する仕組みが示されている。たとえば、文書データ(の一部)を暗号化してから2次元コードに変換し、文書データと2次元コードとを重畳して印刷する。紙面の記載データと2次元コードから取り出した文書データとを比較することで、紙面上の改竄を検出することができる。暗号情報の復号鍵は、2次元コード内に暗号情報と共に格納しておく。
【0008】
また特許文献4には、手書き署名画像を暗号化してコード画像として印刷する仕組みが示されている。たとえば、手書き署名情報を機械可読コードへ変換して紙面に印刷する。機械可読コード部分には手書き情報が符号化されている。復号デバイスを使用して機械可読コードを撮影すると、機械可読コードが復号され、手書き署名情報を表示することができる。また記入された手書き署名と復号した手書き署名を比較して署名を認証することもできる。
【0009】
また特許文献5には、フォーム記載情報を暗号化して、この暗号化した機密情報を機械可読コードとして紙面に印刷し、利用者の復号鍵を使用して紙面に印刷された機密情報を復号する技術が示されている。たとえば、フォームにパーソナルコンピュータで記入した内容をバーコードに符号化し、フォームと記入内容を符号化したバーコードとをプリント出力する。この際、フォーム記載内容そのものはプリントしない。検証側では、バーコードからフォーム情報と記載情報を取り出して利用することができるようにしている。
【発明の開示】
【発明が解決しようとする課題】
【0010】
しかしながら、特許文献1,2に記載の仕組みは、機密部分をマスク印刷するものであり、正当なアクセス権を持つユーザであっても印刷物上の機密情報を閲覧できない問題がある。たとえば、特許文献1に記載の仕組みの場合、正当なアクセス権があるユーザでも、紙文書のマスク部分を元に戻すことや、マスク部分の内容を知ることができない。また、特許文献2に記載の仕組みの場合、受け取り側は、正当なアクセス権があるユーザでもマスク処理された文書データを元に戻すことができない。
【0011】
一方、特許文献3〜5に記載の仕組みは、機密部分を暗号化した後にコード画像へ変換して印刷するものであり、正当なアクセス権を持つユーザであれば印刷物上の機密情報を閲覧できるが、改版や抹消などの編集が対応する電子文書上でなされ、元の電子文書が削除・無効化されても印刷文書を削除・無効化できず、不要な機密文書の氾濫を防止できない。その結果として、情報漏洩のリスクが増加する問題がある。
【0012】
たとえば、特許文献3に記載の仕組みの場合、オリジナルの電子文書が変更・削除・無効化された場合でも、印刷文書の2次元コードは常に復号できてしまうので、改竄検知には向いているものの、機密文書処理には不向きである。
【0013】
本発明は、上記事情に鑑みてなされたものであり、文書における機密を要する部分のセキュリティ機能を担保するとともに、元の電子文書の編集との関わりにおける復元処理の可否の整合を採ることができる仕組みを提供することを目的とする。
【課題を解決するための手段】
【0014】
本発明に係る仕組みにおいては、文書の一部を一見しては判読不可能な状態にした不可視文書を作成し、この不可視文書を復元することで利用可能にするに当たって、作成された不可視文書に対して、この不可視文書に対応する電子文書上で編集が行なわれたことを管理するとともに、不可視文書を復元する際には、編集が行なわれたことの情報である履歴情報を参照して、不可視文書の復元処理の可否を制御するようにした。
【0015】
ここで、「編集が行なわれたことの情報である履歴情報を参照して、不可視文書の復元処理の可否を制御する」とは、先ず、編集が行なわれたことの情報である履歴情報を参照して編集との関わりで復元処理が可能であるか否かを判断し、復元処理が可能である場合に限って不可視文書の復元を許可することを意味する。
【0016】
また従属項に記載された発明は、本発明の仕組みのさらなる有利な具体例を規定する。さらに、本発明に係るプログラムは、本発明に係る文書処理を、電子計算機(コンピュータ)を用いてソフトウェアで実現するために好適なものである。なお、プログラムは、コンピュータ読取り可能な記憶媒体に格納されて提供されてもよいし、有線あるいは無線による通信手段を介した配信により提供されてもよい。
【発明の効果】
【0017】
本発明によれば、不可視文書に対応する電子文書上で編集が行なわれたことを管理しておき、その履歴情報を参照して不可視文書の復元処理の可否を制御するようにした。この結果、正当なアクセス権を持つユーザであって、編集後においても復元処理が許可されていれば、不可視部分の内容を復元して確認することができるようになる一方、たとえ正当なアクセス権を持つユーザであっても、編集後には復元処理が許可されていなければ、不可視部分の内容を復元して確認することができなくなる。
【0018】
つまり不可視文書に対する電子文書上での編集があったことの情報に基づいて復元処理の可否を制御することで、紙面に印刷した機械可読情報であって不可視の情報の復元可否を制御できるようになり、紙面上の指定部分の閲覧を電子文書の属性と連携(整合)して制御できるようになる。この結果、印刷された文書における機密を要する部分のセキュリティ機能(情報漏洩防止機能)を担保するとともに、元の電子文書の編集との関わりにおける復元処理の可否の整合を採ることができる。
【発明を実施するための最良の形態】
【0019】
以下、図面を参照して本発明の実施形態について詳細に説明する。
【0020】
図1は、本発明に係る文書処理方法を実施する文書処理システムの全体概要を示す図である。なお本実施形態では、官庁などの公共機関や銀行あるいは証券会社などの民間機関としての届出先機関に対して個人である申請者が所定の申請手続きを行なう場合に機密文書を用いることを想定する。
【0021】
図示するように、本実施形態の文書処理システム1は、機密文書の印刷出力指示や復元指示などを発するパーソナルコンピュータなどで構成された申請者側のユーザ端末である申請者端末2および届け先機関側のユーザ端末である届出先端末3と、機密文書を電子文書として管理する文書リポジトリサーバ4と、ユーザから指示された機密文書の印刷出力処理や復元処理などの機密文書に関わる各種の処理を行なう機密文書処理サーバ5と、文書における機密部分の暗号化処理に使用される鍵に関する処理を行なう復元情報管理サーバ7と、機密文書を用紙に出力したり用紙に出力された機密文書画像を読み取ったりする複合機能を持つ画像形成装置8とを備えて構成されている。
【0022】
文書リポジトリサーバ4、機密文書処理サーバ5、および復元情報管理サーバ7は、何れも、文書処理装置の一例である。これらの各装置は、お互いに所定のネットワーク(たとえばインターネット)9を介して互いにアクセス可能な状態とされている。
【0023】
画像形成装置8としては、画像読取機能(画像入力手段)や画像出力機能(画像出力手段)を備えた複合機を使用している。また、この画像形成装置8としては、申請者が使用する画像形成装置8_2a と、届出先機関が使用する画像形成装置8_3a とが用意されている。画像形成装置8_2a としては、たとえばコンビニエンスストアなどの出先機関に設置されているものを想定する。また、画像形成装置8_3a としては、届出先機関側のネットワークである構内LAN(Local Area Network)9aと接続されたものを想定する。
【0024】
申請者が使用する申請者端末2は、装置本体2aおよび操作画面を表示するCRTや液晶などで構成された表示部2bを備えるとともに、画像読取装置としてのスキャナ8_2b や画像出力装置としてのプリンタ8_2c を接続するようにすることができる。申請者は、この申請者端末2を使用して、文書リポジトリサーバ4から未記入申請書の電子文書を取り寄せてプリンタ8_2c (もしくは画像形成装置8_2a )で印刷出力し、この印刷出力した未記入申請書に対して必要事項を手書きで記入し、記入の完了した記入済申請書をスキャナ8_2b (もしくは画像形成装置8_2a )で読み取らせ、この記入済申請書を一旦文書リポジトリサーバ4に保存する。あるいは、文書リポジトリサーバ4にアクセスして、申請者端末2の表示画面上にて必要事項を記入し、そのまま文書リポジトリサーバ4に保存してもよい。
【0025】
後に、この記入済申請書を印刷出力したいときには、申請者端末2もしくは画像形成装置8_2a から機密文書処理サーバ5にアクセスして印刷出力を指示することで、届出先機関に提出する機密部分が秘匿化された不可視申請書を作成する。
【0026】
届出先機関に設けられる届出先端末3は、装置本体3aおよび操作画面を表示するCRTや液晶などで構成された表示部3bを備えるとともに、画像読取装置としてのスキャナ8_3b や画像出力装置としてのプリンタ8_3c を接続するようにすることができる。この届出先端末3は、申請者から送付された不可視申請書を復元するための文書利用プログラムが所定のプログラム提供機関から提供されてインストールされている。また、届出先端末3は、構内LAN9aとファイアーウォールFWを介してネットワーク9に接続されている。
【0027】
届出先機関において、申請者から届けられた不可視申請書を可視申請書(記入済申請書)として復元して、登録などの事務処理に利用可能にする際には、先ず構内LAN9aで接続された画像形成装置8_3a や届出先端末3に接続されているスキャナ8_3b で不可視申請書を読み取り、その読み取った画像データを機密文書処理サーバ5に送る。
【0028】
文書リポジトリサーバ4は、申請書類の原本(いわゆる申請用紙)である文書を管理するものであり、たとえば複数の文書を管理するための文書管理テーブルが運用されている。また、申請者が一時的な保管を要求した不可視申請書の電子文書も保存する。
【0029】
また、本実施形態の特徴部分として、文書リポジトリサーバ4は、記入済みの電子文書(本例では記入済申請書)に対しての編集処理に関わる属性情報(文書編集情報という)と識別情報(たとえば文書ID)とを対応付けて格納する。ここで、文書編集情報とは、記入済みの電子文書に対して改版・変更・削除・無効化などの属性変更が加えられたこと、すなわちその文書に対する編集履歴を管理するための情報である。本実施形態では、この文書編集情報を、一部(典型的には機密部分)が一見しては判読不可能にされた不可視文書の復元処理時に参照して、復元処理の実行可否を制御する点に大きな特徴を有している(詳細は後述する)。
【0030】
識別情報としては、原稿文書(本例では申請書の原本や記入済みの申請書)を直接的あるいは間接的に取得するための情報であれば、どのようなものでも使用できる。原稿文書自体はバイナリデータで構成される電子文書そのものであり、たとえばワードプロセッサで作成した場合のワードプロセッサ文書そのものである。たとえば、原稿文書を直接取り出す場合にはバイナリデータである原稿文書そのものを特定するファイル名を識別情報として利用することもできる。あるいは、間接的に取得する場合には、たとえばSQLサーバなどのデータベース上に種々の原稿文書をテーブルで管理しておき、その対応付けを示す識別コードを識別情報とすることができる。
【0031】
また、文書編集情報に基づいて識別情報を生成することで、事実上、識別情報に対する属性の編集履歴のみを管理することで、その文書に対する編集履歴を管理することもできるようになる。また、ユーザの氏名や年齢や所属部門やアクセス権などのユーザに関する属性情報(ユーザ属性ともいう)に基づいて識別情報を生成することで、たとえば、所属部門やアクセス権が復元処理の不許可対象のものに変更されたときには復元処理を禁止するなど、ユーザ単位でも、その文書に対する復元処理の可否を制御することもできる。もちろん、文書編集情報とユーザ属性の双方に基づいて識別情報を生成することで、編集履歴とユーザ属性の双方の観点から、その文書に対する復元処理の可否を制御することもできる。
【0032】
機密文書処理サーバ5は、所定の定型的な申請書類にユーザにより記入された部分の内、秘匿を要する部分(機密部分)を暗号化するあるいは符号化画像(たとえばバーコード)を使うことで、一目では判読不可能にする不可視申請書を作成する機関(以下不可視処理機関ともいう)に設けられるものである。機密文書処理サーバ5には、申請者が手書きした申請書類から不可視申請書を作成するための印刷プログラムが所定のプログラム提供機関から提供されてインストールされている。機密文書処理サーバ5は、生成した不可視申請書の電子文書を、ユーザから出力指定された画像形成装置8_2a (もしくは申請者端末2)にネットワーク9を介して送り、この画像形成装置88_2a (もしくは申請者端末2に接続のプリンタ8_2c )にてその不可視申請書を出力可能にする。
【0033】
また、機密文書処理サーバ5は、復元処理が届出先端末3から要求されると、所定の手順に従って不可視部分の復元処理を行なうことで(詳細は後述する)不可視部分の元の情報(つまり申請者の記入情報)を得、この復元された記入情報と申請書の原本の実体情報とを合成することで記入済申請書類の実体情報を全て復元し、その復元結果を電子文書として届出先端末3に提供する。
【0034】
復元情報管理サーバ7は、不可視申請書の不可視部分を復元するための制御情報(復元制御情報)を、不可視部分の情報を一義的に特定する識別情報と対応付けて保存する。
【0035】
また、復元情報管理サーバ7は、機密文書処理サーバ5における復元処理で必要となる復号鍵を提供可能な鍵提供サーバ機能を備えている。たとえば、公開鍵方式を採用する場合であれば、届出先機関が保有する公開鍵をオンラインで提供可能な公開鍵サーバ機能を備え、そこでキー管理テーブルが運用される。
【0036】
このような構成の文書処理システム1において、本実施形態の特徴点としては、先にも簡単に説明したが、不可視申請書に対する復元処理要求があった際には、文書編集情報を参照して、復元処理の実行可否を制御する点に大きな特徴を有している(詳細は後述する)。
【0037】
これにより、正当なアクセス権を持つユーザ(本例では届出先機関の担当者)であって、改版・変更・削除・無効化などの属性変更後においても復元処理が許可されていれば、印刷物として申請者から提示された機密部分が秘匿化された不可視申請書における機密部分の内容を届出先端末3上で確認することができるようになる。一方、たとえ正当なアクセス権を持つユーザ(本例では届出先機関の担当者)であっても、改版・変更・削除・無効化などの属性変更後に復元処理が禁止されていれば、不可視申請書における機密部分の内容を届出先端末3上で確認することができなくなる。
【0038】
つまり、文書に対する属性変更に基づいて復元処理の可否を制御することで、紙面に印刷した機械可読コードの復元可否を制御できるようになり、紙面上の指定部分の閲覧を電子文書の属性と連携して制御できるようになるのである。印刷された文書における機密を要する部分のセキュリティ機能を十分に担保するとともに、元の電子文書の編集との関わりにおける復元処理の可否の整合を採ることができるのである。
【0039】
次に、図1に示した文書処理システム1を構成する各装置(サーバを含む)の具体的な構成例について説明する。
【0040】
<文書リポジトリサーバの構成例>
図2は、文書リポジトリサーバ4の一構成例を示す機能ブロック図である。文書リポジトリサーバ4は、記入用の文書の原本の電子文書や記入済の文書の電子文書を、それらの文書を一意に特定可能な識別情報と対応付けてハードディスク装置や光ディスク装置などの記憶媒体411に保存する文書保存部412と、通信IF(インタフェース)部418とを備えている。識別情報は、たとえば、文書ファイル名や文書IDなど、文書を特定できるものであればどのようなものでも使用できる。この際には、改版・変更・削除・無効化などの電子文書の属性変更の有無(いわゆる編集履歴)も管理できるようにしておく。
【0041】
<機密文書処理サーバの構成例>
図3は、機密文書処理サーバ5の一構成例を示す機能ブロック図である。機密文書処理サーバ5は、符号化画像を有する機密文書を生成する機密文書生成装置51と、符号化画像を有する機密文書を復元する機密文書復元装置53の各機能部分を備えて構成されている。機密文書生成装置51および機密文書復元装置53は、何れも、文書処理装置の一例である。
【0042】
<機密文書生成装置>
機密文書生成装置51は、電子文書の指定部分(本例では機密を要する部分)を一見しては判読不可能な情報であって機械読取り可能な情報(機械可読文書情報ともいう)に変換する機械可読文書情報変換部512と、電子文書の属性情報やユーザ属性情報を利用して機械可読文書情報変換部512で生成された機械可読文書情報を一意に特定可能な識別情報を生成する識別情報生成部516と、識別情報生成部516で生成された識別情報を一見しては判読不可能な情報であって機械読取り可能な情報(機械可読識別情報ともいう)に変換する機械可読識別情報変換部518とを備えている。
【0043】
また、機密文書生成装置51は、機械可読文書情報変換部512により生成された機械可読文書情報と機械可読識別情報変換部518により生成された機械可読識別情報とを文書リポジトリサーバ4から取得した電子文書(本例では記入済申請書)に合成して不可視文書を生成する不可視文書生成部524と、電子文書を受信したり送信したりする通信IF(インタフェース)部528とを備えている。
【0044】
機械可読文書情報変換部512は、機械可読文書情報の一例として、電子文書における機密を要する部分の情報を1次元もしくは2次元のバーコードやデジタルウォーターマークなど(以下機械可読文書コードともいう)に変換する文書コード変換部513と、電子文書における機密を要する部分の情報を所定の暗号鍵により暗号化する暗号化部514の少なくとも一方を有している。これらは、文書に対するセキュリティ機能に関わる部分である。
【0045】
文書コード変換部513と暗号化部514の双方を備える構成の場合、先ず暗号化部514にて暗号化を行ない、暗号化済の記入情報(暗号化記入情報)を文書コード変換部513にて機械可読文書コードに変換し、不可視文書生成部524は、文書コード変換部513により生成された暗号化済の機械可読文書コードを使って不可視文書を生成することになる。
【0046】
一方、暗号化部514を備えることは必須ではなく、この場合、文書コード変換部513は、機密を要する部分の情報を直ちに機械可読文書コードに変換し、不可視文書生成部524は、文書コード変換部513により生成された暗号化されていない機械可読文書コードを使って不可視文書を生成することになる。また、文書コード変換部513を備えることも必須ではなく、この場合、暗号化部514は、機密を要する部分の情報を暗号化し、不可視文書生成部524は、この暗号化部514により暗号化された情報を使って不可視文書を生成することになる。
【0047】
また、機械可読識別情報変換部518は、機械可読文書情報変換部512と同様に、機械可読識別情報の一例として、読識別情報を1次元もしくは2次元のバーコードやデジタルウォーターマークなど(以下機械可読識別コードともいう)に変換する識別コード変換部519と、識別情報を所定の暗号鍵により暗号化する暗号化部520の少なくとも一方を有する構成とすることができる。これらは、識別情報に対するセキュリティ機能に関わる部分である。なお、識別コード変換部519および暗号化部520の双方を備えない構成を採ることもできる。
【0048】
機械可読識別情報変換部518と暗号化部520の双方を備える構成の場合、先ず暗号化部520にて暗号化を行ない、暗号化済の識別情報を識別コード変換部519にて機械可読識別コードに変換し、不可視文書生成部524は、識別コード変換部519により生成された暗号化済の機械可読識別コードを使って不可視文書を生成することになる。
【0049】
一方、暗号化部520を備えることは必須ではなく、この場合、識別コード変換部519は、識別情報生成部516で生成された識別情報を直ちに機械可読識別コードに変換し、不可視文書生成部524は、識別コード変換部519により生成された暗号化されていない機械可読識別コードを使って不可視文書を生成することになる。また、識別コード変換部519を備えることも必須ではなく、この場合、暗号化部520は、識別情報生成部516で生成された識別情報を暗号化し、不可視文書生成部524は、この暗号化部520により暗号化された識別情報を使って不可視文書を生成することになる。
【0050】
なお識別コード変換部519を備えない場合、識別情報(暗号化部520で暗号化されたものも含む)をそのまま印刷し読み取り認識することになるので、識別情報の再現精度が文字認識性能に依存することになる。これに対して、識別コード変換部519を備えることで、符号化して印刷し読み取り認識することになるので、符号化によって得られる一般的な効果である再現精度が良好になる効果を享受できる。符号化に当たっては、通常、パリティなどデータエラーに対する対処がなされるからである。
【0051】
また、文書コード変換部513および暗号化部514の双方を備えない構成を採ると、機械可読識別情報変換部518は、識別情報生成部516で生成された識別情報をそのまま機械可読識別情報として不可視文書生成部524に渡すことになる。識別情報は、文書データ(電子文書)や復元情報や不可視申請書に対する編集処理に関わる属性情報(文書編集情報)の対応付けを採るために利用するものであり、機密部分の情報に比べると、秘匿の必要性はさほど高くなく、識別情報生成部516で生成された識別情報をそのまま不可視申請書に印刷しても大きな問題とならない。
【0052】
通信IF528は、申請者端末2からの出力指示を受けたり、文書リポジトリサーバ4から電子文書を受け取ったり、不可視文書生成部524が生成した不可視文書を申請者端末2や画像形成装置8_2a に送ったりする。不可視文書を受け取った申請者端末2や画像形成装置8_2a では、実際に、不可視文書を印刷出力することになる。
【0053】
<文書コード生成部の処理の詳細>
機械可読文書情報変換部512における文書コード変換部513や機械可読識別情報変換部518における識別コード変換部519は、電子文書における機密(秘匿化)を要する部分の情報(暗号化部514により暗号化された情報も含む)や識別情報を機械読取り可能なコード画像に変換するに当たって、2次元バーコードを利用することもできるし、1次元バーコードを利用することもできる。
【0054】
2次元バーコードを利用する場合には、たとえば、フリーウェアあるいはシェアウェアで提供されている生成プログラムを利用して生成するのが好適であり、この際には、その情報量の多さから、復元情報をも生成することもできる。
【0055】
文書コード変換部513や識別コード変換部519は、生成した2次元バーコードを、不可視文書生成部524に渡す。不可視文書生成部524は、文書リポジトリサーバ4から取得した記入済申請書の画像から、申請書原本の実体文書情報と非公開領域情報(座標情報)とを基にして認識した非公開領域における文書画像を除いた画像と秘匿部分の2次元コードと文書管理用の識別情報の2次元コードとを合成することで、不可視申請書を作成する。
【0056】
一方、1次元バーコードを利用する場合には、記録できる情報量が2次元バーコードを利用する場合に比べて遙かに少なく、秘匿化を要する部分の情報を符号化して1次元バーコードにすると、記録する面積が大きくなり、現実的でないことが起こり得る。
【0057】
これを避けるため、申請書の秘匿化を要する部分には、秘匿化を要する部分の元の情報を特定可能な復号情報を識別情報と対応付けて生成し、不可視情報には、復号情報を一意に特定する識別情報を記録しておきつつ、復号情報を復元情報管理サーバ7に識別情報と対応付けて保存しておくことにする。
【0058】
たとえば、機密文書処理サーバ5もしくは復元情報管理サーバ7の何れかにバーコード提供機能を持たせる。バーコード提供機能には、バーコード管理サーバが設けられ、そこでは複数種類のバーコードやバーコード化したバーコードデータをテーブルで管理するバーコード管理テーブルを運用するようにする。文書コード変換部513は、そのバーコード提供機能に対して、新規申請文書の文書ID、非公開領域情報、空の暗号化記入情報を送信し、対応する新たなコードIDの取得を要求する。バーコード提供機能は、新規文書に関する各情報をバーコード化して取得したバーコードデータにバーコードの種類と種別とを設定し、新しいコードIDを作成する。
【0059】
そして、機密文書の印刷出力指示要求を通信IF522が受け取ると、文書コード変換部513は、不可視申請書を作成するためのバーコード画像をバーコード提供機能から取得する。すなわち、この印刷出力指示があると、文書コード変換部513は、バーコード提供機能との間でやり取りを実施し、原稿文書情報(申請書原本識別情報)、非公開領域情報(座標情報)、暗号化記入情報などをバーコード提供機能のバーコード管理サーバに送信する。バーコード管理サーバは受け取ったデータに所定の固有な情報を付加し、バーコード管理テーブルにこれを登録する。さらに登録されたレコードのデータに対してエンコード処理を行ない、その結果であるバーコード画像を不可視文書生成部524に渡す。
【0060】
不可視文書生成部524は、文書リポジトリサーバ4から取得した記入済申請書の画像から、申請書原本の実体文書情報と非公開領域情報(座標情報)とを基にして認識した非公開領域における文書画像を除いた画像と秘匿部分の1次元コードと、文書管理用の識別情報の1次元コードもしくは2次元コードとを合成することで不可視申請書を作成する。
【0061】
<符号化画像を利用したセキュリティ機能>
ここで、機密文書処理サーバ5は、上記構成から分かるように、符号化画像を利用することで個人情報に対するセキュリティ機能を持たせるようにしている。すなわち、秘匿化を要する情報を符号化することにより、所定の手法で解読しない限り判読不可な状態を提供することで、機密保持機能を持たせるのである。
【0062】
符号化画像としては典型的には、バーコードを使用することができる。バーコードとしては、現在多数の種類が存在し、その中には標準化済みのものや未標準化のものもあるし、1次元バーコードや2次元バーコードなどもある。1次元バーコードの例としてはCode39やCode128が存在し、また2次元バーコードの例としてはQR(Quick Response)codeやPDF417やDataMatrixやMaxiCodeやIntactaCodeなどが存在する。これらのバーコードは、与えられた情報をバーコード固有のアルゴリズムによって符号化し、これを画像化したものである。
【0063】
これらのバーコードを使用すると、それ自体は人間が見てもその意味を理解することができない画像情報となるので、秘匿化を要する情報をバーコード化することで機密保持が可能となる。ただし、バーコードの復号化は所定のバーコード固有のアルゴリズムを用いて可能であるため、バーコードの種類とその固有の復号化アルゴリズムを知っていれば、そのバーコードから元の情報を解読することが可能であり、セキュリティ機能が万全であるとは言えない。この点を考慮すれば、後述する暗号を利用した機密保持機能と併用することが望ましい。
【0064】
<機密文書復元装置>
機密文書復元装置53は、不可視申請書の読取画像を取得する不可視画像取得部532と、不可視画像取得部532が取得した不可視画像から機械可読文書情報と機械可読識別情報とを検出する機械可読情報検出部534と、機械可読情報検出部534が検出した機械可読識別情報を元の識別情報(一見して判読可能な状態の識別情報)に復元する識別情報復元部536とを備えている。
【0065】
また機密文書復元装置53は、機械可読文書情報を元の文書情報(一見して判読可能な状態の文書情報)に復元する際に必要となる復元情報を取得する復元情報取得部538と、機械可読情報検出部534が検出した機械可読文書情報を元の文書情報(一見して判読可能な状態の文書情報)に復元する文書情報復元部540と、文書情報復元部540における復元処理を不可視文書に対する編集履歴を示す属性情報に基づいて制御する復元処理制御部542と、電子文書を受信したり送信したりする通信IF(インタフェース)部548とを備えている。なお、機密文書生成装置51と機密文書復元装置53とを一体的に構成する場合には、通信IF528,548を兼用する1つの通信IFを設けるようにすることができる。
【0066】
復元処理制御部542が、本実施形態の機密文書復元装置53における最大の特徴部分である。この復元処理制御部542は、不可視文書を印刷した後に、その不可視文書に対して改版・変更・削除・無効化などの属性変更が文書リポジトリサーバ4上においてなされたことの履歴情報を管理する機能部(後述する編集履歴管理部714)にアクセスして、不可視申請書に対する編集処理に関わる属性情報(文書編集情報)から編集履歴を特定する。あるいは、復元情報の属性情報として履歴情報である文書編集情報が対応付けられている場合には、その属性情報から編集履歴を特定する。
【0067】
機械可読文書情報が2次元コードで埋め込まれていて、そこには復元情報の実体も含まれているときには、文書情報復元部540は、識別情報復元部536や復元情報取得部538に頼ることなく、復元情報を取得して元の文書を復元することができる。一方、復元情報の実体が復元情報管理サーバ7に識別情報と対応付けられて保存されているときには、先ず復元情報取得部538は、識別情報復元部536が復元した識別情報を参照して復元情報管理サーバ7にアクセスして、その識別情報に対応する復元情報を検索することで復元情報管理サーバ7から復元情報を取得し、これを文書情報復元部540に渡すことになる。文書情報復元部540は、復元情報取得部538が取得した復号情報を元に機械可読文書情報を元の文書情報に復号する。
【0068】
文書情報復元部540は、復元情報を元に機械可読文書情報を元の文書情報に復号するに当たって、先ず、復元処理制御部542にて、不可視文書に対する編集履歴から復元処理の可否を判断し、復元処理制御部542が復元処理を許可している場合に限って、実際の復元処理を実行する。
【0069】
不可視文書を印刷した後に、その不可視文書に対して改版・変更・削除・無効化などの属性変更が文書リポジトリサーバ4上においてなされていても、文書に対する属性変更に基づいて復元処理の可否を制御することで、紙面に印刷した機械可読文書情報の復元可否を制御できるようになり、紙面上の指定部分の閲覧を電子文書の属性と連携して制御できるようになる。
【0070】
<復元情報管理サーバの構成例>
図4は、復元情報管理サーバ7の一構成例を示す機能ブロック図である。復元情報管理サーバ7は、機械可読文書情報を元の判読可能な文書情報に復元するための復元情報を識別情報と対応付けてハードディスク装置や光ディスク装置などの記憶媒体711に保存する復元情報保存部712と、不可視文書に対して改版・変更・削除・無効化などの属性変更の情報(いわゆる履歴情報)を識別情報と対応付けて記憶媒体711に保存する編集履歴管理部714と、通信IF(インタフェース)部718とを備えている。
【0071】
機密文書処理サーバ5の機械可読文書情報変換部512において暗号化部514により機密部分の情報を暗号化する場合には、復元情報保存部712は、暗号鍵に対応する復号鍵を復元情報として識別情報とともに格納することにする。
【0072】
編集履歴管理部714は、不可視文書を印刷した後に、その不可視文書に対して改版・変更・削除・無効化などの属性変更が文書リポジトリサーバ4上においてなされた際には、履歴情報を復元情報とは別に識別情報に対応付けて保存することもできるし、復元情報の属性を変更することで、事実上、履歴情報を復元情報と一体的に識別情報に対応付けて保存することもでき、履歴情報の管理が容易になる。
【0073】
なお、この編集履歴管理部714は、印刷出力済の不可視文書に関して、印刷出力後に文書リポジトリサーバ4上で編集があったことを管理できればよく、必ずしも復元情報管理サーバ7に備えている必要はなく、たとえば文書リポジトリサーバ4に設けるようにすることもできる。
【0074】
<暗号を利用したセキュリティ機能>
ここで、文書処理システム1は、上記構成から分かるように、鍵方式による暗号化機能を利用することで個人情報に対するセキュリティ機能を持たせるようにしている。すなわち、秘匿化を要する情報を所定の暗号鍵を使用して暗号化することにより、暗号鍵に対応する復号鍵を使用して解読しない限り判読不可な状態を提供することで、機密保持機能を持たせるのである。
【0075】
鍵方式による暗号化機能を利用した仕組みとして、各種の商取引などにおいて既に機密情報がネットワーク上でやり取りされているが、そのセキュリティ確保のために、基本的に互いに異なる1対のペア鍵、すなわち公開鍵(Public Key)および秘密鍵(Private Key )を使う公開鍵方式と1つの鍵を用いて暗号化と復号化をする共通鍵方式の代表的な2種類の方式が用いられている。何れも、電子的に作成された鍵情報を用いて与えられた文書を暗号化する電子的セキュリティ技術である。なお、公開鍵方式と共通鍵方式による暗号化技術は公知であり、また各方式で用いる暗号化手段や復号化手段も公知であるので、ここではそれらの説明を割愛する。
【0076】
共通鍵方式は、1つの鍵情報のみ利用するので鍵情報が漏れてしまった場合には、その鍵を知っていれば情報を復号化できるため、公開鍵方式ほど高度なセキュリティ機能を提供できない。この点では、原理的にはこれら2方式のうちの何れの方式も採り得るが、公開鍵方式の方が高度なセキュリティ確保の意味で望ましいと言える。もちろん、共通鍵方式を採用する場合でも、上述した符号化画像を利用したセキュリティ機能と併用することで、これら単一の仕組みを用いた場合よりも、セキュリティ機能を高めることができる。
【0077】
<記入文書の一例>
図5は、本実施形態の文書処理システム1において使用する記入文書の一例を示す簡略図である。ここで、図5(A)は未記入申請書の一例を示し、図5(B)は、記入済申請書(申請書の原本)の一例を示し、図5(C)は、不可視申請書の一例を示す。
【0078】
文書リポジトリサーバ4には、先ず図5(A)に示す申請書の原本である未記入申請書が保存されている。未記入申請書としては、予め記入された文書タイトルや氏名や電話番号などの定型フォーム部分が存在し、その定型フォームに従って申請者が記入する記入領域と、管理領域とが用意されている。原稿文書の記入領域は、さらに、予め設定された非公開領域と公開領域とに分割されて管理されるようになっている。未記入申請書に対する管理領域には、原稿文書情報や復元情報や文書編集情報を特定する際のキーとなる識別情報が文字情報や画像として現われるようになっている。
【0079】
未記入申請書における原稿文書情報としては、たとえば文書ファイル名や文書IDを利用することができる。また、その他の情報として、その未記入申請書のバージョン(版)の情報を含んでいてもよい。非公開領域とは、未記入申請書に申請者が記入する部分の内、申請書の印刷時にマスキング(隠す)するべき領域であり、公開領域とは、その反対に、マスキングする必要のない領域である。非公開領域や公開領域に関する情報は、原稿文書全体に対する各領域の配置を相対的に特定し得る情報として管理されることになる。
【0080】
次に、文書リポジトリサーバ4には、図5(B)に示す記入済申請書が保存される。この記入済申請書には、申請者が記入した記入情報(申請者記入情報)が存在する。ここで、記入情報とは、原稿文書である未記入申請書に対して、申請者によって追記された情報全般を示す。原稿文書が電子的に編集されて上で追記された場合には追記された文字や記号などが相当し、紙に記入された場合には原稿文書の印刷イメージには存在しない新たに書き加えられた情報のイメージである。文書リポジトリサーバ4には、この記入済申請書そのものが保存されることになる。
【0081】
また、この際には、記入者(すなわち申請者)のユーザ属性やその記入済申請書の版の情報も対応付けて保存される。その後に、改版や変更や削除や無効化などの属性変更が加えられたときには、その都度、その編集履歴情報が、文書リポジトリサーバ4に保存の記入済申請書に対応付けられて記録される。申請者本人(正当なアクセス権者の典型例)であれば、何時でも、最新の記入済申請書にアクセスすることができ、必要に応じて(典型例としては届先機関への申請時に)印刷出力を発することができる。
【0082】
印刷出力が発せられると、図5(B)に示す記入済申請書そのものではなく、図5(C)に示す不可視申請書の形態で印刷出力される。この不可視申請書においては、記入済領域における非公開領域の情報が、暗号化されて印刷出力される、あるいは符号化が施されて1次元あるいは2次元のバーコードとして画像化されて印刷出力される。もちろん、暗号化と符号化とを組み合わせることもでき、非公開領域の情報を先ず暗号化した後に符号化を施してバーコードとして画像化して、その対応部分に印刷出力することもできる。
【0083】
また、管理領域には、その不可視申請書を一意に特定する識別情報が暗号化されて印刷出力される、あるいは符号化が施されて1次元あるいは2次元のバーコードとして画像化されて印刷出力される。もちろん、暗号化と符号化とを組み合わせることもでき、識別情報を先ず暗号化した後に符号化を施してバーコードとして画像化して、その対応部分に印刷出力することもできる。
【0084】
2次元のバーコード(2次元コード)を用いると、記録できる情報量が多いので、復元情報も記録でき、復元情報を別途サーバに保存する必要がなく、システム構成や管理が簡易になる利点が得られる。なお、本実施形態では、たとえ、復元情報が2次元コードなどで印刷されていたとしても、直ちに復元処理を行なうことなく、先ず識別情報と対応付けて管理されているその不可視申請書に関する最新の属性情報を参照して、復元処理の許可がある場合のみ、実際に復元処理を実行する。
【0085】
なお、ここでは、非公開領域の情報を暗号化や符号化を施してその対応部分に直接に印刷する形態で示したが、その対応部分を空欄とし、管理領域に、上述した識別情報と同様に印刷してもよい。この際には、非公開領域の情報と識別情報とを纏めて一体化して印刷することもできる。
【0086】
<機密文書の生成処理>
図6は、文書処理システム1における不可視文書(たとえば符号化画像を有する機密文書である申請書)を生成する処理手順の一例を説明する図である。ここでは、機械可読情報として2次元コードを用いる場合で説明する。
【0087】
文書処理システム1において、ユーザ(申請者)は、ユーザ端末2から文書リポジトリサーバ4にアクセスし、一旦保存しておいた機密印刷対象の電子文書(記入済申請書)を文書リポジトリサーバ4上で指定する(S10)。
【0088】
文書リポジトリサーバ4に保存されている記入済申請書の出力指示をユーザがユーザ端末2から発すると、先ずその指示を機密文書処理サーバ5が受け付ける(S12)。出力指示を受け付けた機密文書処理サーバ5は、指定された記入済申請書の電子文書を文書リポジトリサーバ4から取得し不可視申請書の電子文書の生成処理を開始する(S14)。
【0089】
この生成処理においては、先ず、文書の機密を要する部分を後に機械で読み取ることができるように機械可読文書情報変換部512にてコード化するとともに(S20)、コード化部分を一意に特定可能な識別情報を識別情報生成部516にて生成する(S22)。そして、識別情報生成部516が生成した識別情報を機械可読識別情報変換部518にてコードデータに変換する(S24)。
【0090】
また、その機密部分の文書コードの復元に関わる処理を制御するための復元情報を生成し(S30)、生成した復元情報を識別情報と対応付けて管理できるようにする。この際には、復元情報をコード化して機密部分のコード化部分とともに文書に合成してもよいし、生成した復元情報を識別情報と対応付けて復元情報管理サーバ7に送信して登録するようにしてもよい。
【0091】
また後者の場合には、必要に応じて、機密部分のコードデータを暗号化し、その復号鍵を復元情報として使用するようにしてもよい。この際には、届出先機関の公開鍵を用いて非公開領域に存在する申請者による記入情報を暗号化する。
【0092】
この後、不可視文書生成部524にて、機密部分と識別情報の各コードデータを機密文書に合成することで不可視申請書(コード文書)を生成し(S40)、合成済の電子文書(不可視申請書の電子文書)を画像形成装置8_2a に送信して出力処理を指示する(S42)。出力処理を指示された画像形成装置8_2a では、2次元コードにより不可視化された申請書を印刷出力する(S44)。申請者は、印刷した不可視申請書を所定の届出先機関に提出する。この印刷出力された不可視申請書には、暗号化され2次元コード化された機密部分と、この不可視申請書を特定する識別情報を2次元コード化した部分とが存在する。
【0093】
また、機密文書処理サーバ5は、記入済申請書の文書情報と識別情報とを文書リポジトリサーバ4に送信するとともに(S50)、復元情報を復元情報管理サーバ7に保存させる場合には、復元情報と識別情報とを復元情報管理サーバ7に送信する(S52)。記入済申請書と識別情報とを受信した文書リポジトリサーバ4では、文書保存部412は、記入済申請書と識別情報とを対応付けて記憶媒体411に保存する(S51)。復元情報と識別情報とを受信した復元情報管理サーバ7では、復元情報保存部712は、復元情報と識別情報とを対応付けて記憶媒体711に保存する(S53)。
【0094】
<機密文書の編集処理>
図7は、不可視申請書に編集を加える処理手順の一例を説明する図である。印刷出力された不可視申請書に関して、印刷出力後に電子文書上で編集を加える場合、ユーザ(申請者)は、申請者端末2から文書リポジトリサーバ4にアクセスして、機密印刷対象の電子文書を読み出し、文書リポジトリサーバ4上にて編集を加える(S60)。この編集がある都度、その履歴情報が、文書リポジトリサーバ4の文書保存部412に識別情報と対応付けられて管理される(S62)。
【0095】
さらに、その編集に関する履歴情報が識別情報と対応付けられて復元情報管理サーバ7の編集履歴管理部714に通知され(S64)、復元情報と対応付けられて管理されることになる(S66)。この通知を受けた編集履歴管理部714は、たとえば、復元情報の属性を変更することで、履歴情報を復元情報と一体的に識別情報に対応付けて保存する。
【0096】
たとえば、不可視申請書の印刷出力後に、改版・変更・削除(抹消)・無効化などの編集が加えられ、その印刷済の不可視申請書そのもののアクセスを禁止させたいときには、アクセス権の禁止を属性情報として設定しておく。なお、アクセス権の禁止は、ユーザレベルで制御するようにしてもよい。たとえば、当初は、全部門に対して復元を許可するアクセス権を設定していた場合に、印刷後には復元を許可する部門を制限するなどである。
【0097】
<機密文書の復元処理>
図8は、印刷された不可視申請書から符号化されることで不可視化された記入情報を復元する処理手順の一例を示す図である。
【0098】
申請者から不可視申請書の提出を受けた届出先機関において、その不可視申請書に基づく処理を行なう際には、可視申請書を判読可能な元の記入済申請書に復元する必要がある。ここで、印刷出力された機密文書(不可視申請書)の復元を希望する場合、ユーザ(ここでは届出先機関の担当者)は先ず画像形成装置8や届出先端末3に接続されている図示を割愛したスキャナ装置などにてその機密文書を読み取らせ、復元要求をその場で発する(S70)。これにより、その復元通知が、読み取った画像データともに、機密文書処理サーバ5に送信される(S72)。
【0099】
復元要求が発せられると、先ずその指示を機密文書処理サーバ5が受け付ける。機密文書処理サーバ5は、読み取られた文書の画像データを不可視画像取得部532で受け取り(S73)、また機械可読情報検出部534は、不可視画像取得部532が取得した不可視画像から機械可読文書情報と機械可読識別情報とを検出する(S74)。次に、識別情報復元部536は、機械可読情報検出部534が検出した機械可読識別情報を元の判読可能な識別情報に復元する(S76)。さらに、復元情報取得部538は、識別情報復元部536が復元した識別情報を復元情報管理サーバ7に送り、その識別情報に対応する復元情報の検索を復元情報保存部712に指示する(S78)。
【0100】
この検索指示を受けた復元情報管理サーバ7は、復元情報保存部712にて保存している復元情報の中から、通知を受けた識別情報に対応するものを探して機密文書処理サーバ5に送る。ただし、この際には、従来のシステム構成とは異なり、通知を受けた識別情報に対応するものを機密文書処理サーバ5に直ちに送ることはせずに、先ず、通知を受けた識別情報に対応する不可視申請書に関する編集履歴の情報を読み出して、復元処理の可否を判定する(S80)。たとえば、復元情報の属性情報として履歴情報が対応付けられている場合には、その属性情報から編集履歴を特定し、復元処理の可否を判定する。
【0101】
そして、不可視申請書の印刷出力後に、改版・変更・削除(抹消)・無効化などの編集が加えられ、その印刷済の不可視申請書そのもののアクセスを禁止させる状態(ユーザレベルのアクセス権の禁止も含む)に設定されているときには(S80−NO)、復元情報保存部712は、復元情報を通知せずにアクセス禁止の情報を送信する(S82)。一方、印刷出力後の編集がない場合や、編集があっても復元処理が許可されている場合には(S80−YES)、復元情報保存部712は、通知を受けた識別情報に対応する復元情報を機密文書処理サーバ5に送信する(S84)。
【0102】
機密文書処理サーバ5は、復元情報管理サーバ7から復元情報を取得できた場合には、文書情報復元部540は、その復元情報を使って、機械可読情報検出部534が検出した機械可読文書情報を元の文書情報(一見して判読可能な状態の文書情報;記入済申請書の電子文書)に復元する(S90)。そして、この復元した記入済申請書の電子文書(すなわち復号結果の実体)を届出先端末3に送信する(S92)。
【0103】
これにより、正当なアクセス権を持つユーザ(本例では届出先機関の担当者)であって、改版・変更・削除・無効化などの属性変更後においても復元処理が許可されていれば(S80−YES)、印刷物として申請者から提示された機密部分が秘匿化された不可視申請書における機密部分の内容を届出先端末3上で確認(閲覧)することができるようになる(S94)。
【0104】
一方、機密文書処理サーバ5は、復元情報管理サーバ7から復元情報を取得できずアクセス禁止の情報を受信した場合には(S80−NO)、文書情報復元部540における復元処理を実行することなく、復元処理が禁止されている旨を復元結果として届出先端末3に通知する(S96)。これにより、本来は正当なアクセス権を持つユーザ(本例では届出先機関の担当者)であっても、改版・変更・削除・無効化などの属性変更後に復元処理が禁止されていれば、不可視申請書における機密部分の内容を届出先端末3上で確認(閲覧)することができなくなる(S98)。
【0105】
つまり、機密文書処理サーバ5において、復元情報を元に機械可読文書情報を元の文書情報に復元するに当たって、先ず、不可視文書に対する編集履歴から復元処理の可否を判断し、復元処理が許可されている場合に限って、実際の復元処理を実行するようにした。不可視文書を印刷した後に、その不可視文書に対して改版・変更・削除・無効化などの編集が加えられていても、文書に対する編集履歴情報に基づいて復元処理の可否を制御することで、紙面上の指定部分の閲覧を電子文書の属性と連携して制御できるようになるのである。改版や抹消などにより電子文書が変更された場合に、対応する印刷文書の指定部分を削除・無効化できるようになるので、不要な機密文書の氾濫を防止でき、情報漏洩を低減できるようになる。
【0106】
また、申請者は自筆した記入済申請書と印刷出力された不可視申請書の2種類の書類を得ることができ、申請者は記入済申請書を控えとし保管する一方、不可視申請書を届出先機関に提出することができる。したがって、郵送による運搬や直接の持参によって届出先機関の処理理担当者まで届けられるまで、一般に幾つかの人手を経ることになる。しかしながら、処理担当者と申請者との間で実際にやり取りされるのは印刷された不可視申請書であり、機密を要する部分は一見して判読できる状態では印刷されていないため、輸送途中において第3者に機密情報が漏洩する虞れは殆どないと考えてよい。セキュリティを確保した文書処理システムを実現できるのである。
【0107】
また本実施形態では、復元情報を管理したり暗号化キー情報を提供したりする機関(復元情報管理サーバ7)や、機械可読情報を生成する機関(機密文書処理サーバ5)などを各々独立して業務を営む機関としており、各機関では暗号化や機械可読化された情報を単独では復元できないために、さらに高度なセキュリティ機能を実現できる。加えて、各機関は、自らの業務範囲内で自由に性能強化や種々のアップデートなどを独自にできるから、柔軟なシステム運用が可能となるし、システムの技術向上も容易に図ることができる。
【0108】
また、本実施形態では、文書処理装置をなすサーバを立ててシステムを構築しており、各端末2,3側に、個別に文書処理装置を用意しなくてもよいようにしているので、全体としてのシステムコストを低減できる。
【0109】
<電子計算機を利用した装置構成例>
なお、上記実施形態において、機密文書に関する各種の処理(文書処理)を行なう仕組みは、ハードウェア処理回路により構成することに限らず、その機能を実現するプログラムコードに基づき電子計算機(コンピュータ)を用いてソフトウェア的に実現することも可能である。
【0110】
よって、本発明に係る文書処理方法や文書処理装置(文書リポジトリサーバ4、機密文書生成装置51および機密文書復元装置53を備えた機密文書処理サーバ5、復元情報管理サーバ7)を、電子計算機(コンピュータ)を用いてソフトウェアで実現するために好適なプログラムあるいはこのプログラムを格納したコンピュータ読取可能な記憶媒体を発明として抽出することもできる。
【0111】
電子計算機に一連の文書処理機能をソフトウェアにより実行させる場合には、そのソフトウェアを構成するプログラムが、専用のハードウェアに組み込まれているコンピュータ(組込マイコンなど)、あるいは、CPU(Central Processing Unit )、論理回路、記憶装置などの機能を1つのチップ上に搭載して所望のシステムを実現するSOC(System On a Chip:システムオンチップ)、または、各種のプログラムをインストールすることで各種の機能を実行することが可能な汎用のパーソナルコンピュータなどに、記録媒体からインストールされる。
【0112】
記録媒体は、コンピュータのハードウェア資源に備えられている読取装置に対して、プログラムの記述内容に応じて、磁気、光、電気などのエネルギの状態変化を引き起こして、それに対応する信号の形式で、読取装置にプログラムの記述内容を伝達できるものである。
【0113】
たとえば、コンピュータとは別に、ユーザにプログラムを提供するために配布される、プログラムが記録されている磁気ディスク(フレキシブルディスクFDを含む)、光ディスク(CD−ROM(Compact Disc-Read Only Memory )、DVD(Digital Versatile Disc)を含む)、光磁気ディスク(MD(Mini Disc )を含む)、または半導体メモリなどよりなるパッケージメディア(可搬型の記憶媒体)により構成されるだけでなく、コンピュータに予め組み込まれた状態でユーザに提供される、プログラムが記録されているROMやハードディスクなどで構成されてもよい。
【0114】
また、ソフトウェアを構成するプログラムは、記録媒体を介して提供されることに限らず、記録媒体を用いずに、有線あるいは無線などの通信網を介して提供されてもよい。
【0115】
たとえば、文書処理機能を実現するソフトウェアのプログラムコードを記録した記憶媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記憶媒体に格納されたプログラムコードを読み出し実行することによっても、ハードウェア処理回路にて構成する場合と同様の効果は達成される。この場合、記憶媒体から読み出されたプログラムコード自体が文書処理の機能を実現する。
【0116】
また、コンピュータが読み出したプログラムコードを実行することで、文書処理を行なう機能が実現されるだけでなく、プログラムコードの指示に基づき、コンピュータ上で稼働しているOS(Operating Systems ;基本ソフト)などが実際の処理の一部または全部を行ない、その処理により文書処理を行なう機能が実現される場合であってもよい。
【0117】
さらに、記憶媒体から読み出されたプログラムコードが、コンピュータに挿入された機能拡張カードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張カードや機能拡張ユニットに備わるCPUなどが実際の処理の一部または全部を行ない、その処理によって文書処理を行なう機能が実現される場合であってもよい。
【0118】
なお、文書処理を行なう機能を実現するプログラムコードを記述したファイルとしてプログラムが提供されるが、この場合、一括のプログラムファイルとして提供されることに限らず、コンピュータで構成されるシステムのハードウェア構成に応じて、個別のプログラムモジュールとして提供されてもよい。
【0119】
たとえば図9は、CPUやメモリを利用してソフトウェア的に文書処理を行なう機能を持つ文書処理装置を構成する、すなわちパーソナルコンピュータなどのコンピュータ(電子計算機)の機能を利用して文書処理をソフトウェア的に実現する場合のハードウェア構成の一例を示すブロック図である。
【0120】
もちろん、このようなコンピュータを用いた構成に限らず、図2,図3,図4を用いて示した文書処理装置の各機能部の処理をなす専用のハードウェアの組合せにより文書処理を行なう構成にすることもできる。ただし、ソフトウェアにより処理を実行させる仕組みとすることで、ハードウェアの変更を伴うことなく、処理手順などを容易に変更できる利点を享受できるようになる。
【0121】
たとえば、コンピュータシステム900は、コントローラ部901と、ハードディスク装置、フレキシブルディスク(FD)ドライブ、あるいはCD−ROM(Compact Disk ROM)ドライブ、半導体メモリコントローラなどの、所定の記憶媒体からデータを読み出したり記録したりするための記録・読取制御部902とを有する。
【0122】
コントローラ部901は、CPU(Central Processing Unit )912、読出専用の記憶部であるROM(Read Only Memory)913、随時書込みおよび読出しが可能であるとともに揮発性の記憶部の一例であるRAM(Random Access Memory)915、および不揮発性の記憶部の一例であるRAM(NVRAMと記述する)916を有している。NVRAM916には、たとえば、一時データなどを格納することができる。この場合、NVRAM916は、一時データ保存部として機能することとなる。
【0123】
上記において“揮発性の記憶部”とは、文書処理装置の主電源がオフされた場合には、記憶内容を消滅してしまう形態の記憶部を意味する。一方、“不揮発性の記憶部”とは、文書処理装置の主電源がオフされた場合でも記憶内容を保持し続ける形態の記憶部を意味する。記憶内容を保持し続けることができるものであればよく、半導体製のメモリ素子自体が不揮発性を有するものに限らず、バックアップ電源を備えることで、揮発性のメモリ素子を“不揮発性”を呈するように構成するものであってもよい。また、半導体製のメモリ素子により構成することに限らず、磁気ディスクや光ディスクなどの媒体を利用して構成してもよい。たとえば、ハードディスク装置を不揮発性の記憶部として利用できる。
【0124】
また、コンピュータシステム900は、ユーザインタフェースをなす機能部として、キーボードやマウスなどを有する指示入力部903と、操作時のガイダンス画面や処理結果などの所定の情報をユーザに提示する表示出力部904と、各機能部との間のインタフェース機能をなすインタフェース部(IF部)909とを有する。
【0125】
表示出力部904は、表示制御部942と表示装置とを備える。表示装置としては、たとえば、文書処理装置に備えられる操作パネル部941を利用することができる。あるいは、CRTやLCDなどでなるその他のディスプレイ部944を利用することもできる。
【0126】
たとえば、表示制御部942が、表示パネル部941aやテンキーやその他の操作キー941bなどからなる操作パネル部941やディスプレイ部944上に、ガイダンス情報や画像などを表示させる。また、各種の情報をユーザに通知する際の表示デバイスとしても利用される。なお、表示面上にタッチパネル932を有するディスプレイ部944とすることで、指先やペンなどで所定の情報を入力する指示入力部903を構成することもできる。
【0127】
なお、申請者端末2に機密文書生成装置51を備え、また届出先端末3に機密文書復元装置53を備えて、それぞれ単独で不可視文書の生成処理や不可視文書の復元処理を行なうようにする場合であれば、コンピュータシステム900には、文書処理に供されるデータに対する所定のデータ処理を行なう機能部分も設けられる。たとえば送信用の画像データを取得する機能部分として処理対象の画像を読み取る画像読取部(スキャナユニット)905と、処理済みの画像を所定の出力媒体(たとえば印刷用紙)に出力する画像形成部906とが設けられる構成とするのがよい。
【0128】
画像読取部905は、画像入力端末の機能を備えており、たとえばCCD固体撮像素子の全幅アレイを使用して、読取位置へ送られた原稿に光を照射することで、原稿上の画像を読み取り、この読み取った画像を表す赤R、緑G、青Bのアナログビデオ信号をデジタル信号へ変換する。
【0129】
画像形成部906は、たとえば画像読取部905にて得られた画像信号により表される画像や受信した画像データに基づき、電子写真式、感熱式、熱転写式、インクジェット式、あるいは同様な従来の画像形成処理を利用して、普通紙や感熱紙上に可視画像を形成する(印刷する)。
【0130】
このため、画像形成部906は、たとえばイエローY,マゼンタM,シアンC,ブラックKの2値化信号などの印刷出力用データを生成する画像処理部962と、たとえばラスタ出力スキャンベースやインクジェット方式などのプリントエンジン964とを備える。
【0131】
インタフェース部909としては、処理データ(画像データを含む)や制御データの転送経路であるシステムバス991の他、たとえば、画像読取部905とのインタフェース機能をなすスキャナIF部995、画像形成部906や他のプリンタとのインタフェース機能をなすプリンタIF部996、およびインターネットなどのネットワークとの間の通信データの受け渡しを仲介する通信IF部999を有している。
【0132】
なお、文書処理のための各機能部分の全ての処理をソフトウェアで行なうのではなく、これら機能部分の一部を専用のハードウェアにて行なう処理回路908を設けてもよい。ソフトウェアで行なう仕組みは、並列処理や連続処理に柔軟に対処し得るものの、その処理が複雑になるに連れ、処理時間が長くなるため、処理速度の低下が問題となる。これに対して、ハードウェア処理回路で行なうことで、高速化を図ったアクセラレータシステムを構築することができるようになる。アクセラレータシステムは、処理が複雑であっても、処理速度の低下を防ぐことができ、高いスループットを得ることができる。
【0133】
このような構成において、CPU912は、システムバス991を介してシステム全体の制御を行なうものであり、いわゆるコントローラ部に対応する。ROM913は、CPU912の制御プログラムなどを格納する。RAM915は、SRAM(Static Random Access Memory )などで構成され、プログラム制御変数や各種処理のためのデータなどを格納する。また、RAM915は、所定のアプリケーションプログラムによって取得した電子ドキュメント(文字データのみに限らず画像データを含んでよい)や自装置に備えられている画像読取部905で取得した画像データ、さらには外部から取得した電子文書などを一時的に格納する領域を含んでいる。
【0134】
たとえば、文書処理機能をコンピュータに実行させるプログラムは、CD−ROMなどの記録媒体を通じて配布される。あるいは、このプログラムは、CD−ROMではなくFDに格納されてもよい。また、MOドライブを設け、MOに前記プログラムを格納してもよく、またフラッシュメモリなどの不揮発性の半導体メモリカードなど、その他の記録媒体にプログラムを格納してもよい。さらに、他のサーバなどからインターネットなどのネットワークを経由してプログラムをダウンロードして取得したり、あるいは更新したりしてもよい。
【0135】
なお、プログラムを提供するための記録媒体としては、FDやCD−ROMなどの他にも、DVDなどの光学記録媒体、MDなどの磁気記録媒体、PDなどの光磁気記録媒体、テープ媒体、磁気記録媒体、ICカードやミニチュアカードなどの半導体メモリを用いることができる。記録媒体の一例としてのFDやCD−ROMなどには、文書処理機能を実現する際の、一部または全ての機能を格納することができる。
【0136】
また、ハードディスク装置は、制御プログラムによる各種処理のためのデータを格納したり、画像読取部905で取得した画像データや外部から受信した画像データなどを大量に一時的に格納したりする領域を含んでいる。また、ハードディスク装置、FDドライブ、あるいはCD−ROMドライブは、たとえば、CPU912にコンテンツ取得やアドレス取得あるいはアドレス設定などの処理をソフトウェアにて実行させるためのプログラムデータを登録するなどのために利用される。
【0137】
以上、本発明を実施形態を用いて説明したが、本発明の技術的範囲は上記実施形態に記載の範囲には限定されない。発明の要旨を逸脱しない範囲で上記実施形態に多様な変更または改良を加えることができ、そのような変更または改良を加えた形態も本発明の技術的範囲に含まれる。
【0138】
また、上記の実施形態は、クレーム(請求項)にかかる発明を限定するものではなく、また実施形態の中で説明されている特徴の組合せの全てが発明の解決手段に必須であるとは限らない。前述した実施形態には種々の段階の発明が含まれており、開示される複数の構成要件における適宜の組合せにより種々の発明を抽出できる。実施形態に示される全構成要件から幾つかの構成要件が削除されても、効果が得られる限りにおいて、この幾つかの構成要件が削除された構成が発明として抽出され得る。
【0139】
たとえば、文書処理システム1は、ネットワークを利用したシステムであるから、このようなシステムに一般的に言えることではあるが、文書処理に関わる各機能部分を、システム上の何処に配置するかの自由度が非常に高く、前記本実施形態でサーバを立ててシステムを構築した例は、その中の極一例に過ぎず、様々なシステム構成を採ることができるのである。
【0140】
たとえば、機密文書処理サーバ5における機密文書生成装置51に関してはネットワーク9側に設けて任意の申請者端末2が利用できるようにしつつ、機密文書復元装置53に関しては、ファイアーウォールFWの内側となる構内LAN9a側に、届出先機関ごとに設けるようにすることもできる。
【0141】
もちろん、各申請者端末2について機密文書生成装置51を設けつつ、各届出先端末3について機密文書復元装置53を設けることもできる。ただしこの場合、端末2,3のハードウェア変更が必要になる可能性があるし、全体としてのシステムコストが高くなる。
【図面の簡単な説明】
【0142】
【図1】本発明に係る文書処理方法を実施する文書処理システムの全体概要を示す図である。
【図2】文書リポジトリサーバの一構成例を示す機能ブロック図である。
【図3】機密文書処理サーバの一構成例を示す機能ブロック図である。
【図4】復元情報管理サーバの一構成例を示す機能ブロック図である。
【図5】文書処理システムにおいて使用する記入文書の一例を示す簡略図である。
【図6】不可視文書を生成する処理手順の一例を説明する図である。
【図7】不可視申請書に編集を加える処理手順の一例を説明する図である。
【図8】不可視申請書を復元する処理手順の一例を示す図である。
【図9】文書処理装置を電子計算機を用いて構成する場合のハードウェア構成の一例を示した図である。
【符号の説明】
【0143】
1…文書処理システム、2…申請者端末、3…届出先端末、4…文書リポジトリサーバ、5…機密文書処理サーバ、7…復元情報管理サーバ、8…画像形成装置、9…ネットワーク、9a…構内LAN、51…機密文書生成装置、53…機密文書復元装置、412…文書保存部、512…機械可読文書情報変換部、513…文書コード変換部、514…暗号化部、516…識別情報生成部、518…機械可読識別情報変換部、519…識別コード変換部、520…暗号化部、524…不可視文書生成部、532…不可視画像取得部、534…機械可読情報検出部、536…識別情報復元部、538…復元情報取得部、540…文書情報復元部、542…復元処理制御部、712…復元情報保存部、714…編集履歴管理部




 

 


     NEWS
会社検索順位 特許の出願数の順位が発表

URL変更
平成6年
平成7年
平成8年
平成9年
平成10年
平成11年
平成12年
平成13年


 
   お問い合わせ info@patentjp.com patentjp.com   Copyright 2007-2013