知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2017-118411(P2017-118411A)
(43)【公開日】2017年6月29日
(54)【発明の名称】記憶装置の遠隔破壊システムおよび遠隔破壊方法
(51)【国際特許分類】
H04M 11/00 20060101AFI20170602BHJP
H04M 1/67 20060101ALI20170602BHJP
【FI】
H04M11/00 301
H04M1/67
【審査請求】未請求
【請求項の数】9
【出願形態】OL
【全頁数】22
(21)【出願番号】特願2015-253757(P2015-253757)
(22)【出願日】2015年12月25日
(71)【出願人】
【識別番号】591275481
【氏名又は名称】株式会社アイ・オー・データ機器
(74)【代理人】
【識別番号】110001807
【氏名又は名称】特許業務法人磯野国際特許商標事務所
(72)【発明者】
【氏名】原 正明
(72)【発明者】
【氏名】川久保 優
(72)【発明者】
【氏名】浜本 信男
【テーマコード(参考)】
5K127
5K201
【Fターム(参考)】
5K127AA25
5K127BA03
5K127BB06
5K127CB16
5K127DA11
5K127GA29
5K127GD15
5K127GE02
5K127GE18
5K127HA10
5K127JA34
5K127JA42
5K127JA49
5K127KA07
5K127KA19
5K127KA20
5K201AA07
5K201BA01
5K201BC23
5K201BC28
5K201BD01
5K201CB01
5K201CB02
5K201CB07
5K201CB11
5K201CB13
5K201CB14
5K201DC02
5K201DC03
5K201EA07
5K201EC06
5K201ED05
5K201ED07
5K201EF10
(57)【要約】
【課題】情報処理装置が有する記憶装置の破壊を指示した後、正しく目的の記憶装置が破壊されたか否かを検知する。【解決手段】遠隔破壊システムSは、ネットワーク接続される管理サーバ1と、管理サーバ1に通信可能であり、フラッシュメモリおよびフラッシュメモリを管理サーバ1の指令により制御する遠隔制御ツールを備えるスマートフォン3と、ネットワークを介して管理サーバ1に通信可能であり、管理サーバ1に指令を行う指令手段を備える登録端末5とを備える。登録端末5の指令手段が、スマートフォン3が備える記憶装置の破壊を管理サーバ1に指令する。管理サーバ1は、スマートフォン3が備える記憶装置の破壊をスマートフォン3に指令する。スマートフォン3は遠隔制御ツールにより、スマートフォン3が備えるフラッシュメモリを破壊したのちに破壊結果を判断し、ネットワークを介して管理サーバ1にフラッシュメモリの破壊結果を送信する。
【選択図】図1
【特許請求の範囲】
【請求項1】
ネットワークと通信可能に接続される管理装置と、
前記ネットワークを介して前記管理装置に通信可能であり、記憶装置、および当該記憶装置を前記管理装置の指令により制御する遠隔制御手段を備える第1装置と、
前記ネットワークを介して前記管理装置に通信可能であり、前記管理装置に指令を行う指令手段を備える第2装置と、
を備える遠隔破壊システムであって、
前記第2装置の指令手段が、前記第1装置が備える記憶装置の破壊を前記管理装置に指令し、
前記管理装置は、前記第1装置が備える記憶装置の破壊を当該第1装置に指令し、
前記第1装置の遠隔制御手段は、当該第1装置が備える記憶装置を破壊したのちに破壊結果を判断し、前記ネットワークを介して前記管理装置に記憶装置の破壊結果を送信する、
ことを特徴とする記憶装置の遠隔破壊システム。
前記ネットワークを介して前記管理装置に通信可能であり、記憶装置、および当該記憶装置を前記管理装置の指令により制御する遠隔制御手段を備える第1装置と、
前記ネットワークを介して前記管理装置に通信可能であり、前記管理装置に指令を行う指令手段を備える第2装置と、
を備える遠隔破壊システムであって、
前記第2装置の指令手段が、前記第1装置が備える記憶装置の破壊を前記管理装置に指令し、
前記管理装置は、前記第1装置が備える記憶装置の破壊を当該第1装置に指令し、
前記第1装置の遠隔制御手段は、当該第1装置が備える記憶装置を破壊したのちに破壊結果を判断し、前記ネットワークを介して前記管理装置に記憶装置の破壊結果を送信する、
ことを特徴とする記憶装置の遠隔破壊システム。
【請求項2】
前記管理装置は更に、前記第1装置が備える記憶装置の破壊結果を、前記第1装置の所有者のメールアドレスに送信する、
ことを特徴とする請求項1に記載の記憶装置の遠隔破壊システム。
ことを特徴とする請求項1に記載の記憶装置の遠隔破壊システム。
【請求項3】
前記管理装置は、前記第2装置の指令手段に対してワンタイムパスワードを送信したのち、前記第2装置の指令手段から同一のワンタイムパスワードを受信したときに、前記第2装置の指令手段からの指令を受理して実行する、
ことを特徴とする請求項2に記載の記憶装置の遠隔破壊システム。
ことを特徴とする請求項2に記載の記憶装置の遠隔破壊システム。
【請求項4】
前記第2装置は、マイナンバー制度のポータルサイトから前記第1装置の所有者の死亡情報を取得すると、前記第1装置が備える記憶装置の破壊を前記管理装置に指令する、
ことを特徴とする請求項1に記載の記憶装置の遠隔破壊システム。
ことを特徴とする請求項1に記載の記憶装置の遠隔破壊システム。
【請求項5】
前記管理装置は更に、前記第1装置が備える記憶装置の破壊結果を、前記第1装置の所有者の遺族のメールアドレスに送信する、
ことを特徴とする請求項4に記載の記憶装置の遠隔破壊システム。
ことを特徴とする請求項4に記載の記憶装置の遠隔破壊システム。
【請求項6】
前記第1装置の遠隔制御部は、当該第1装置が備える記憶装置の入れ替えの有無を監視しており、
当該第1装置が備える記憶装置を破壊したのち、前記管理装置に記憶装置の破壊結果と入れ替えの有無とを送信する、
ことを特徴とする請求項1に記載の記憶装置の遠隔破壊システム。
当該第1装置が備える記憶装置を破壊したのち、前記管理装置に記憶装置の破壊結果と入れ替えの有無とを送信する、
ことを特徴とする請求項1に記載の記憶装置の遠隔破壊システム。
【請求項7】
前記第1装置の遠隔制御部は、当該第1装置が備える記憶装置の識別情報により、入れ替えの有無を監視する、
ことを特徴とする請求項6に記載の記憶装置の遠隔破壊システム。
ことを特徴とする請求項6に記載の記憶装置の遠隔破壊システム。
【請求項8】
前記第1装置の遠隔制御部は、当該第1装置の起動回数情報と当該第1装置が備える記憶装置の起動回数情報により、当該第1装置が備える記憶装置の入れ替えの有無を監視する、
ことを特徴とする請求項6に記載の記憶装置の遠隔破壊システム。
ことを特徴とする請求項6に記載の記憶装置の遠隔破壊システム。
【請求項9】
ネットワークと通信可能に接続される管理装置と、
前記ネットワークを介して前記管理装置に通信可能であり、記憶装置、および当該記憶装置を前記管理装置の指令により制御する遠隔制御手段を備える第1装置と、
前記ネットワークを介して前記管理装置に通信可能であり、前記管理装置に指令を行う指令手段を備える第2装置と、
を備える遠隔破壊システムが実行する遠隔破壊方法であって、
前記第2装置の指令手段が、前記第1装置が備える記憶装置の破壊を前記管理装置に指令するステップと、
前記管理装置は、前記第1装置が備える記憶装置の破壊を当該第1装置に指令するステップと、
前記第1装置の遠隔制御手段は、当該第1装置が備える記憶装置を破壊したのちに破壊結果を判断し、前記ネットワークを介して前記管理装置に記憶装置の破壊結果を送信するステップと、
を含むことを特徴とする記憶装置の遠隔破壊方法。
前記ネットワークを介して前記管理装置に通信可能であり、記憶装置、および当該記憶装置を前記管理装置の指令により制御する遠隔制御手段を備える第1装置と、
前記ネットワークを介して前記管理装置に通信可能であり、前記管理装置に指令を行う指令手段を備える第2装置と、
を備える遠隔破壊システムが実行する遠隔破壊方法であって、
前記第2装置の指令手段が、前記第1装置が備える記憶装置の破壊を前記管理装置に指令するステップと、
前記管理装置は、前記第1装置が備える記憶装置の破壊を当該第1装置に指令するステップと、
前記第1装置の遠隔制御手段は、当該第1装置が備える記憶装置を破壊したのちに破壊結果を判断し、前記ネットワークを介して前記管理装置に記憶装置の破壊結果を送信するステップと、
を含むことを特徴とする記憶装置の遠隔破壊方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置が有する記憶装置の遠隔破壊システムに関する。
【背景技術】
【0002】
パソコンやタブレット、スマートフォン、モバイル機器などの情報処理装置は、今日の情報社会のインフラとして不可欠なものとなっている。インターネットのクラウド上に情報を格納して利用する技術も通信技術の発達で当たり前に利用可能となっているが、WiFi(登録商標)環境や中継局、その他のインフラが混雑したり、通信不能な環境での使用も必要となったりする。よって、情報処理装置が有する記憶装置に情報を格納していれば、使用環境に左右されずにいつでも安心して利用できる。
【0003】
そのような状況において、それらの情報処理装置が盗難や紛失した場合でも、情報処理装置を起動してもあらかじめ設定された所有者のIDやパスワードを正しく入力しないと、その情報機器の内部の情報にアクセスできないよう操作ロックや情報アクセスのロックがされているなどの情報セキュリティ対策が行われている。これは、NTTドコモが提供している遠隔ロックやおまかせロック(登録商標)というサービスに相当する。
【0004】
また、情報処理装置に事前にリモート制御により遠隔初期化など所定の機能を登録し、実行許可情報であるパスワードなどの設定をしておけば、所定の機能の実行を遠隔指令として情報処理装置に送り、情報処理装置のリセットや記憶されている情報の初期化やメモリカードの情報の初期化などの機能が提供され、いざという時のために利用者が安心できるサービスとして提供されている。これは、NTTドコモが提供している遠隔初期化というサービスに相当する。
【0005】
また、特許文献1の要約書の解決手段には、「携帯端末装置の情報保全システム1は、携帯端末装置7との間に電波通信手段を介して接続されている一つ以上の中継基地局6と、所有者であるか否かを識別するための個人認証処理を行う認証装置4と、携帯端末装置7を情報保全処理するための遠隔操作パケットを生成する管理装置5とを備え、携帯端末装置7に対する情報保全要求が行われたときに、認証装置4によって個人認証処理を行い、この個人認証が一致した場合に、管理装置5によって遠隔操作パケットを生成して中継基地局6から携帯端末装置7に送信し、遠隔操作パケットを携帯端末装置7で受信してこれに応じた所定の情報保全処理を行わせる。」と記載されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2006−303817号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、情報処理装置に格納された情報を守るために遠隔操作により操作ロック機能の有効化や遠隔からの初期化機能の有効化を行うための事前設定がなされていない場合、それらの機能が実行できないことになり、例えば、実行するためのパスワードが未設定の場合は、それらの機能が使えないなどの問題がある。
【0008】
また、実行するためのパスワードの設定は、第三者により変更されてしまうとせっかくの機能を有効化していても、指定したパスワードと実際のものが異なるために実行できないおそれもある。そのような背景の中で、情報処理装置の盗難や紛失時に、この情報処理装置に格納された情報が不正な第三者からアクセスされることを未然に防ぎたいというニーズは、日増しに高くなっている。
【0009】
そこで、本発明は、情報処理装置が有する記憶装置の破壊を指示した後、正しく目的の記憶装置が破壊されたか否かを検知することを課題とする。
【課題を解決するための手段】
【0010】
前記した課題を解決するため、本発明の記憶装置の遠隔破壊システムは、ネットワークと通信可能に接続される管理装置と、前記ネットワークを介して前記管理装置に通信可能であり、記憶装置、および当該記憶装置を前記管理装置の指令により制御する遠隔制御手段を備える第1装置と、前記ネットワークを介して前記管理装置に通信可能であり、前記管理装置に指令を行う指令手段を備える第2装置とを備える。前記第2装置の指令手段が、前記第1装置が備える記憶装置の破壊を前記管理装置に指令し、前記管理装置は、前記第1装置が備える記憶装置の破壊を当該第1装置に指令し、前記第1装置の遠隔制御手段は、当該第1装置が備える記憶装置を破壊したのちに破壊結果を判断し、前記ネットワークを介して前記管理装置に記憶装置の破壊結果を送信する。その他の手段については、発明を実施するための形態のなかで説明する。
【発明の効果】
【0011】
本発明によれば、情報処理装置が有する記憶装置の破壊を指示した後、正しく目的の記憶装置が破壊されたか否かを検知することが可能となる。
【図面の簡単な説明】
【0012】
【図1】第1の実施形態における遠隔破壊システムを示す概略の構成図である。
【図2】登録端末と管理サーバの構成図である。
【図3】スマートフォンと顧客端末の構成図である。
【図4】利用者データベースと破壊情報データベースの構成を示す図である。
【図5】初期登録ダイアログを示す図である。
【図6】初期登録の動作を示すシーケンス図である。
【図7】破壊指令ダイアログを示す図である。
【図8】破壊指令の動作を示すシーケンス図である。
【図9】破壊指令の実行結果例を示す図である。
【図10】スマートフォンによるSIM監視処理を示すフローチャートである。
【図11】SIM付け替え時の記憶装置破壊動作を示すシーケンス図である。
【図12】第2の実施形態における遠隔破壊システムを示す概略の構成図である。
【図13】死亡管理サーバと死亡情報監視サーバの構成図である。
【図14】NASの構成図である。
【図15】利用者データベースと破壊情報データベースの構成を示す図である。
【図16】死亡時の破壊動作を示すシーケンス図である。
【発明を実施するための形態】
【0013】
以降、本発明を実施するための形態を、各図を参照して詳細に説明する。図1は、第1の実施形態における遠隔破壊システムSを示す概略の構成図である。
第1の実施形態の遠隔破壊システムSは、利用者が所有するスマートフォン3の盗難・紛失時に、このスマートフォン3が有するフラッシュメモリ(記憶装置)を遠隔制御により破壊するためのものである。
【0014】
遠隔破壊システムSは、登録端末5と管理サーバ1とを含んで構成される。この管理サーバ1は、顧客端末4と通信可能であり、かつルータ21や基地局22を介してスマートフォン3と通信可能である。スマートフォン3(第1装置)は、ネットワークを介して管理サーバ1に通信可能であり、記憶装置、およびこの記憶装置を管理サーバ1の指令により制御する遠隔制御手段を備える。
登録端末5(第2装置)は、例えばパソコンやタブレットなどで構成され、遠隔破壊システムSのサービスを利用する際にサービスを利用する利用者の情報を入力し、管理サーバ1へ送信する機能を有する。登録端末5は、ネットワークを介して管理サーバ1に通信可能であり、管理サーバ1に指令を行う指令手段を備える。登録端末5の詳細は、後記する図2(a)で説明する。
顧客端末4は、例えばノートパソコンであり、利用者が所有するスマートフォン3以外に通知された情報を受領する機能を有する。顧客端末4の詳細は、後記する図3(b)で説明する。
管理サーバ1(管理装置)は、ネットワークと通信可能に接続され、CPU(Central Processing Unit)、ROM(Read Only Memory)やRAM(Random Access Memory)などのメモリ、通信機能、表示機能、HDD(Hard Disk Drive)などの補助記憶装置を含む一般的な情報処理装置である。管理サーバ1の詳細は、後記する図2(b)で説明する。
【0015】
基地局22は、固定電話網のコアネットワーク(不図示)に接続された携帯電話用交換機(不図示)に有線または無線で接続されている。ルータ21は、インターネットのいずれかの回線に有線または無線で接続されている。管理サーバ1は、これらコアネットワークと携帯電話用交換機と基地局22を介して、またはインターネットとルータ21を介して、利用者のスマートフォン3と通信可能である。
【0016】
図2(a)は、登録端末5の構成図である。登録端末5は、CPU51、RAM52、ROM53、ディスプレイ54、通信部55、リモート制御ソフト561を格納したHDD56を含んで構成される。登録端末5には、マウス57やキーボード59などの入出力装置、指紋や虹彩や静脈などのバイオメトリクス情報などを読み取るための読取装置58が接続される。
CPU51は、ROM53に格納されたBIOS(Basic Input/Output System)やHDD56に格納されたリモート制御ソフト561を読み込んで実行する。RAM52は、揮発性記憶装置であり、CPU51が各種プログラムやデータを一時的に格納するためのものである。HDD56は、不揮発性の補助記憶装置であり、プログラムや大容量のデータなどを好適に格納する。
通信部55は、例えばNIC(Network Interface Controller)であり、ネットワークを介して管理サーバ1などと情報やコマンドを送受信する。
ディスプレイ54は、例えば液晶パネルで構成され、この登録端末5を操作するユーザに対して、プログラムの操作画面や実行結果などを表示する表示装置である。
リモート制御ソフト561(指令手段)は、管理サーバ1に対して利用者のスマートフォン3を遠隔制御可能に設定し、管理サーバ1に指令を行うためのソフトウェアプログラムである。
【0017】
図2(b)は、管理サーバ1の構成図である。管理サーバ1は、CPU11、RAM12、ROM13、ディスプレイ14、通信部15、利用者データベース161と破壊情報データベース162とを格納したHDD16を含んで構成される。なお、各図ではデータベースのことを“DB”と省略して記載している。CPU11、RAM12、ROM13、ディスプレイ14、通信部15は、登録端末5が備えるCPU51、RAM52、ROM53、ディスプレイ54、通信部55と同様な機能を有する。
利用者データベース161は、この遠隔破壊システムSの利用者に係る情報が格納される。この利用者データベース161の詳細は、後記する図4(a)にて説明する。
破壊情報データベース162は、この遠隔破壊システムSによって破壊される記憶装置の情報が格納される。この破壊情報データベース162の詳細は、後記する図4(b)にて説明する。
【0018】
図3(a)は、スマートフォン3の構成図である。スマートフォン3は、CPU31、RAM32、ROM33、タッチパネルディスプレイ34、遠隔制御ツール361を格納したフラッシュメモリ36(記憶装置)、WiFi通信部35および3G通信部37を含んで構成される。
スマートフォン3が備えるCPU31、RAM32、ROM33は、登録端末5が備えるCPU51、RAM52、ROM53と同様な機能を有する。タッチパネルディスプレイ34は、各種情報を表示する表示機能を有すると共に、指やタッチペンが接触された位置を検知する入力機能を有する。
WiFi通信部35はルータ21を介して管理サーバ1との通信を行い、3G通信部37は基地局22とキャリア網を介して管理サーバ1との通信を行う。
遠隔制御ツール361(遠隔制御手段)は、CPU31によって実行されるソフトウェアプログラムであり、管理サーバ1の破壊指令を受けて、このフラッシュメモリ36を破壊する機能を具現化する。
【0019】
図3(b)は、顧客端末4の構成図である。顧客端末4は、CPU41、RAM42、ROM43、ディスプレイ44、通信部45、電子メールプログラム461を格納したHDD46を含んで構成される。CPU41、RAM42、ROM43、ディスプレイ44、通信部45は、登録端末5が備えるCPU51、RAM52、ROM53、ディスプレイ54、通信部55と同様な機能を有する。
電子メールプログラム461は、CPU41に、利用者のアカウントに関するメールの受信と送信とを行わせる。
【0020】
図4(a)は、利用者データベース161の構成を示す図である。利用者データベース161は、利用者識別情報欄と、認証情報欄と、通知先欄とを含み、更に登録フラグと端末識別情報と記憶装置識別情報の組み合わせからなる情報欄を複数格納している。この利用者データベース161は、遠隔破壊システムSの利用者に係る情報を格納するデータベースである。
【0021】
利用者識別情報は、遠隔破壊システムSにおいてユニークな情報であり、管理サーバ1が生成する。利用者識別情報は、文字や数字を組み合わせて重複なく生成される情報である。なお、利用者識別情報は、追い番などのように重複なく生成される情報であればよく、例えば登録端末から入力されて、受け付けた管理サーバ1側で登録済みのものと重複しないように決定されるものであってもよい。認証情報は、バイオメトリクス情報であり、遠隔破壊システムSの利用者が希望するサービスの正規の利用者であるかを認証するために用いられる。この認証情報は、読取装置58によって利用者の指紋や虹彩などから読み取られる。しかし、これに限られず、認証情報は、パスワードなどの利用者を特定できる情報であればよく、限定されない。
【0022】
通知先は、遠隔破壊システムSの管理サーバ1が破壊結果を通知するメールアドレスである。利用者のスマートフォン3の記憶装置を破壊したか否かの情報が、この通知先のメールアドレスに送信される。登録フラグは、登録された端末に対する遠隔制御の動作を規定するものである。登録フラグが“0”のとき、端末は未登録であるか、または端末に対する動作が無効である。登録フラグが“1”のとき、管理サーバ1は、端末の記憶装置を即時に破壊するように動作する。登録フラグが“2”のとき、管理サーバ1は、利用者の死亡後に端末の記憶装置を破壊するように動作する。
端末識別情報は、登録された端末を識別するための情報である。管理サーバ1は、この端末識別情報により、登録された端末を遠隔制御する。
記憶装置識別情報は、登録された端末が備える記憶装置を識別するための情報であり、例えば記憶装置のシリアル番号である。
【0023】
図4(b)は、破壊情報データベース162の構成を示す図である。破壊情報データベース162は、端末識別情報、遠隔制御情報、破壊指令発行日時、破壊指令受信日時、破壊指令実行日時、実行フェーズ、実行結果、記憶装置識別情報、記憶装置起動回数、端末起動回数などを格納している。この破壊情報データベース162は、記憶装置の破壊指令の結果を格納している。
【0024】
端末識別情報は、登録された端末を識別するための情報である。遠隔制御情報は、破壊指令の種類を示す情報である。例えば遠隔制御情報が“9999”のとき、端末を即時に破壊する指令である。遠隔制御情報が“1111”のとき、利用者の死亡後に端末の記憶装置を破壊する指令である。
破壊指令発行日時は、利用者が管理サーバ1に対して破壊指令を発行した日時である。破壊指令受信日時は、登録された端末が破壊指令を受信した日時である。破壊指令実行日時は、登録された端末が破壊指令を実行した日時である。
【0025】
実行フェーズは、破壊指令の実行にかかるフェーズを示している。実行フェーズが“0”のとき、破壊指令の開始前である。“1”のときは端末への破壊指令の発行、“2”のときは登録された端末による破壊指令の受信、“3”のときは端末による破壊指令の実行である。“8”のときは端末による破壊の保留、“9”のときは破壊指令の中止である。記憶装置識別情報は、破壊した記憶装置を一意に識別する情報であり、例えば記憶装置のシリアル番号である。この破壊情報データベース162の記憶装置識別情報と、利用者データベース161の記憶装置識別情報とを比較することで、目的とする記憶装置が破壊できたか否か、または端末が備える記憶装置が入れ替えられたか否かを判断可能である。
記憶装置起動回数は、破壊した記憶装置が工場出荷後に起動した総回数であり、例えばSSD(solid state drive)やHDD等では、セルフモニタリング・アナリシス・アンド・リポーティング・テクノロジ(S.M.A.R.T)により、記憶装置から読み取り可能であるが、記憶装置の起動回数の取得は、S.M.A.R.Tに限定されない。端末起動回数は、この端末が工場出荷後に起動した総回数であり、端末のファームウェアやOSが起動する度にカウントアップされて、端末内蔵のフラッシュメモリ等に記憶されるものとする。記憶装置起動回数と端末起動回数とを比較することで、記憶装置がこの端末以外の他の端末に接続されて起動したか否かを判断可能である。
【0026】
《初期設定フェーズ》初期設定フェーズにおいて、利用者は、遠隔制御実行サービスを利用したい利用者の情報の登録や遠隔制御したいと思う情報処理装置を、管理サーバ1と通信可能となるように登録する。更に利用者は、管理サーバ1から受信する指令を実行するための遠隔制御ツール361の設定を行う。初期設定フェーズは、登録端末5のCPU51がリモート制御ソフト561を実行することにより実行される。
【0027】
図5(a)は、初期登録ダイアログ61を示す図である。この初期登録ダイアログ61は、登録端末5のCPU51がリモート制御ソフト561を実行することにより、ディスプレイ54上に表示される。初期登録ダイアログ61には、利用者識別情報テキストボックス611、通知用アドレステキストボックス612、端末識別情報テキストボックス613、端末識別情報テキストボックス614がそれぞれ表示され、更にOKボタン615およびキャンセルボタン616が表示される。
【0028】
利用者識別情報テキストボックス611は、利用者識別情報が表示されるテキストボックスである。通知用アドレステキストボックス612は、破壊結果の通知用メールアドレスを入力するためのテキストボックスである。端末識別情報テキストボックス613,614は、端末識別情報を入力するためのテキストボックスである。利用者は、利用者識別情報と破壊結果の通知用メールアドレスと端末識別情報とを適宜入力したのち、OKボタン615をクリックする。これにより、読取装置58によってバイオメトリクス情報が読み取られ、後記する初期登録ダイアログ62に遷移する。利用者がキャンセルボタン616をクリックすると、一連の端末登録動作をキャンセルして終了する。
【0029】
図5(b)は、初期登録ダイアログ62を示す図である。この初期登録ダイアログ62は、登録端末5のCPU51がリモート制御ソフト561を実行することにより、ディスプレイ54上に表示される。初期登録ダイアログ62には、「認証装置による指紋の読み取りが完了しました」が表示され、更に初期登録ボタン621およびキャンセルボタン622が表示される。利用者が初期登録ボタン621をクリックすると、端末が登録される。利用者がキャンセルボタン622をクリックすると、一連の端末登録動作をキャンセルして終了する。
【0030】
図6は、初期登録の動作を示すシーケンス図である。まず、登録端末5は、利用者が遠隔制御実行サービスを申し込むために、遠隔実行制御サービスのメニュー(不図示)を表示する(シーケンスQ10)。
利用者がメニューから「初期登録」を選択すると、登録端末5は、初期登録リクエストを管理サーバ1へ送信する(シーケンスQ11)。
管理サーバ1が初期登録リクエストを受信すると、利用者識別情報を生成して利用者データベース161に記憶するとともに、この利用者識別情報を登録端末5に送信する(シーケンスQ12)。なお、利用者識別情報は、登録端末から入力されたのち、管理サーバ1側で登録済みのものと重複しないように決定されてもよい。
【0031】
登録端末5は、初期登録ダイアログ61(図5(a)参照)により受信した利用者識別情報を表示し、端末識別情報と利用者情報の入力待ちとなる。担当者は、登録端末5に、通知を受け取るためのメールアドレスなどの利用者情報とスマートフォン3を指定する端末識別情報を入力する。なお、初期登録ダイアログ61は、利用者の氏名、住所、電話番号を入力可能に構成されていてもよい。そののち、利用者が希望するサービスの正規の利用者であるかを識別するための認証情報を読取装置58によって入力する(シーケンスQ13)。認証情報が登録端末5に入力されると、図5(b)に示した初期登録ダイアログ62が、登録端末5のディスプレイ54上に表示される。
【0032】
端末識別情報は、複数の端末を利用者が識別できるよう端末毎に異なるものであり、例えば、端末の機種名や型番などでもよく、遠隔実行制御の対象の情報処理装置が複数登録する場合に利用者自身が区別可能であれば、上記に限定されない。
【0033】
登録端末5は、入力された情報(認証情報、端末識別情報)と、管理サーバ1より受信した利用者識別情報とを管理サーバ1に送信する(シーケンスQ14)。管理サーバ1は、受信した利用者識別情報に紐づけて、認証情報と端末識別情報を利用者データベース161に記憶し(シーケンスQ15)、遠隔制御ツール361と、この遠隔制御ツール361が起動時に参照する利用者識別情報と端末識別情報とを含んだ起動情報ファイルを生成する(シーケンスQ16)。
【0034】
管理サーバ1は、新たに端末として登録されたスマートフォン3に、生成した起動情報ファイルのURL(Uniform Resource Locator)を通知する(シーケンスQ17)。以降、利用者は、スマートフォン3に初期登録を行う。利用者は、スマートフォン3に通知されたURLに基づき、遠隔制御ツール361と起動情報ファイルを管理サーバ1からダウンロードする(シーケンスQ18)。利用者は、遠隔実行制御したい対象のスマートフォン3に遠隔制御ツール361をインストールする(シーケンスQ19)。インストール完了と共に遠隔制御ツール361が起動する。CPU31は、遠隔制御ツール361により、利用者識別情報と端末識別情報を起動情報ファイルから読み込んで、フラッシュメモリ36に記憶する処理を実行する。
【0035】
CPU31は、遠隔制御ツール361により、SIM(Subscriber Identity Module Card)371のIDをフラッシュメモリ36に記憶する処理を実行する(シーケンスQ20)。CPU31は更に、記憶装置からシリアル番号を取得する処理と(シーケンスQ21)、管理サーバ1へ登録完了信号を送信する処理とを実行する(シーケンスQ22)。この登録完了信号を送信と共に、記憶装置のシリアル番号も管理サーバ1に送信される。
【0036】
管理サーバ1は、登録完了信号を受信した場合は、利用者データベース161内の利用者識別情報に紐づけられた端末識別情報に対応する登録フラグを“1”とし、即時破壊処理を有効化する。なお、登録フラグが“0”であり、未登録または無効となっている場合、管理サーバ1は破壊指令を受け付けない。管理サーバ1は更に、記憶装置のシリアル番号を利用者データベース161に登録する。
【0037】
以後、遠隔制御ツール361は、スマートフォン3が電源投入される度にCPU31によって実行される。なお、第1の実施形態にて遠隔制御ツール361は、スマートフォン3にインストールされることとしたが、あらかじめスマートフォン3のファームウェアに組み込まれた構成でもよい。また、同様の機能を実現できれば、ソフトウェアによる実現手段に限定されず、ハードウェアとソフトウェアとを組み合わせて実現してもよい。
【0038】
《破壊指令フェーズ》破壊指令フェーズは、スマートフォン3が盗難された場合や、このスマートフォン3を紛失した場合に、利用者が遠隔実行制御によりスマートフォン3(情報処理装置)の記憶装置を破壊する指令を発行する動作のことをいう。破壊指令フェーズは、登録端末5のCPU51がリモート制御ソフト561を実行することにより実行される。スマートフォン3の記憶装置の破壊により、この記憶装置に格納された個人情報や営業秘密などは読み取れなくなるため、個人情報や営業秘密などの漏洩を抑止することができる。
利用者は、スマートフォン3の盗難・紛失時に、このスマートフォン3を警察に届けるとともに発見・回収に努める。しかし警察からの発見連絡が無く、見つからないと判断し捜索を断念した場合、そのスマートフォン3に記憶した情報の漏えいを防ぐため、スマートフォン3に対して破壊指令を送信する。
【0039】
図7(a)は、破壊指令ダイアログ63を示す図である。この破壊指令ダイアログ63は、登録端末5のCPU51がリモート制御ソフト561を実行することにより、ディスプレイ54上に表示される。破壊指令ダイアログ63には、利用者識別情報テキストボックス631と端末識別情報テキストボックス632とがそれぞれ表示され、更にOKボタン633およびキャンセルボタン634が表示される。
利用者識別情報テキストボックス631は、利用者識別情報を入力するテキストボックスである。端末識別情報テキストボックス632は、端末識別情報を入力するためのテキストボックスである。
利用者は、利用者識別情報と端末識別情報とを適宜入力したのち、OKボタン633をクリックする。これにより、読取装置58によってバイオメトリクス情報が読み取られ、後記する破壊指令ダイアログ64に遷移する。利用者がキャンセルボタン634をクリックすると、一連の破壊指令動作をキャンセルして終了する。
【0040】
図7(b)は、破壊指令ダイアログ64を示す図である。この破壊指令ダイアログ64は、登録端末5のCPU51がリモート制御ソフト561を実行することにより、ディスプレイ54上に表示される。破壊指令ダイアログ64には、「認証装置による指紋の読み取りが完了しました」が表示され、更にOKボタン641およびキャンセルボタン642が表示される。利用者がOKボタン641をクリックすると、破壊指令ダイアログ65に遷移する。利用者がキャンセルボタン642をクリックすると、一連の破壊指令動作をキャンセルして終了する。
【0041】
図7(c)は、破壊指令ダイアログ65を示す図である。この破壊指令ダイアログ65は、登録端末5のCPU51がリモート制御ソフト561を実行することにより、ディスプレイ54上に表示される。破壊指令ダイアログ65には、ワンタイムパスワードテキストボックス651と再入力テキストボックス652とがそれぞれ表示され、更に破壊指令ボタン653およびキャンセルボタン654が表示される。
ワンタイムパスワードテキストボックス651は、ワンタイムパスワードを表示するテキストボックスである。再入力テキストボックス652は、ワンタイムパスワードを再入力するためのテキストボックスである。
利用者は、ワンタイムパスワードを再入力テキストボックス652に再び入力したのち、破壊指令ボタン653をクリックする。これにより、指定した端末の記憶装置に係る破壊指令を実行する。利用者がキャンセルボタン654をクリックすると、一連の破壊指令動作をキャンセルして終了する。
【0042】
図8は、破壊指令の動作を示すシーケンス図である。まず、登録端末5は、利用者が遠隔制御実行サービスを申し込むために、遠隔実行制御サービスのメニュー(不図示)を表示する(シーケンスQ30)。
利用者がメニューから「破壊指令」を選択すると、登録端末5は、破壊指令ダイアログ63により利用者識別情報を取得したのち、読取装置58から認証情報を取得して破壊指令ダイアログ64を表示したのち、破壊指令と利用者識別情報と認証情報とを管理サーバ1に送信する(シーケンスQ31)。認証情報は、指紋認証に限られず、虹彩認証や指静脈認証などのバイオメトリクス認証によって取得するようにすれば、正規の利用者であることを確実に確認でき、パスワード等を利用者が記憶しておく必要も無くなりすましの防止効果も高い。
【0043】
管理サーバ1は、受信した利用者識別情報と認証情報とを、利用者データベース161を検索して登録済みかどうかを確認する(シーケンスQ32)。ここで利用者識別情報と認証情報とは利用者データベース161に登録済みなので、管理サーバ1は、利用者データベース161から端末識別情報を取得して、所定の時間だけ有効なワンタイムパスワードを生成し、このワンタイムパスワードと端末識別情報とを登録端末5に送信する(シーケンスQ33)。
【0044】
ここで、利用者識別情報と認証情報とが利用者データベース161に登録されていない場合や利用者識別情報と認証情報とが登録されていても一致しない場合(不図示)には、ワンタイムパスワードは生成されず、管理サーバ1は、登録端末5にエラー情報を送信する。登録端末5は、このエラー情報をディスプレイ54に表示する。所定の回数の連続したエラーが発生した場合、管理サーバ1は、所定の期間に亘り、エラーが発生した利用者識別情報に関する処理を受付不可とする。これにより、正規の権限を有さないユーザが、不正に破壊指令を行うことを抑止可能である。
【0045】
シーケンスQ33の後、登録端末5は、破壊指令ダイアログ65によりワンタイムパスワードを表示し、入力待ちとなる(シーケンスQ34)。利用者は、表示されたワンタイムパスワードと同じパスワードを再入力テキストボックス652に再入力する(シーケンスQ35)。登録端末5は、入力されたパスワードと端末識別情報を管理サーバ1に送信する(シーケンスQ36)。
【0046】
管理サーバ1は、登録端末5から受信したワンタイムパスワードが所定の時間内に生成したワンタイムパスワードと一致する場合は、現在日時を破壊指令発行日時として破壊情報データベース162に記録し、破壊を待機する(シーケンスQ37)。なお、管理サーバ1は、ワンタイムパスワードを生成したのちに所定の時間が経過したならば、登録端末5からワンタイムパスワードを受信しても破壊を待機するフェーズには移行しない。これにより、ワンタイムパスワードの漏洩による不正な破壊指令を抑止することができる。
【0047】
なお、誤った端末識別情報の選択による破壊指令実行を回避するために、メニューから破壊指令を選択する前に、破壊指令から除外したい端末で遠隔制御ツール361を実行し、管理サーバ1に対し、破壊対象外の端末識別情報と登録端末5に表示されたワンタイムパスワードを送信することにより、一時的に破壊対象から除外される構成としてもよい。この場合、登録端末5が破壊選択した端末の端末識別情報を受信した管理サーバ1は、除外指定された端末識別情報であると確認することにより、登録端末5に対し、除外済みであるとのエラー情報を返す。
【0048】
《破壊指令実行フェーズ》破壊指令実行フェーズにおいて管理サーバ1は、破壊指令を実行する端末を示す端末識別情報を、破壊情報データベース162にアクセスする際のパスワードとして登録し、破壊指令コードを関連付けて登録する。破壊指令コードは、破壊を実行するタイミングを示すものであり、利用者が即時に破壊したいか、利用者の死亡後に破壊するかを示している。
スマートフォン3がネットワークに接続すると、管理サーバ1との間のデータリンクが確立する(シーケンスQ40)。スマートフォン3のCPU31は、遠隔制御ツール361により、電源投入時を含め所定の時間経過毎に管理サーバ1の破壊情報データベース162にアクセスする。スマートフォン3のCPU31は、遠隔制御ツール361を実行することにより、端末識別情報を管理サーバ1へ送信する。管理サーバ1は、受信した端末識別情報が破壊情報データベース162に記憶されているかを検索する。ここでスマートフォン3の端末識別情報は破壊情報データベース162に登録されているので、破壊指令コードと端末識別情報とをスマートフォン3に送信し(シーケンスQ41)、破壊指令コードを受信した日時を破壊情報データベース162に記録する。
【0049】
スマートフォン3のCPU31は、遠隔制御ツール361の実行により、破壊指令コードを受信した場合、登録完了信号を受信済かを確認する。登録完了信号を受信済の場合は、破壊指令コードを確認する。ここで破壊指令コードは即時破壊なので、スマートフォン3のCPU31は、記憶装置(フラッシュメモリ36)の識別情報と起動回数情報とを取得し(シーケンスQ42)、記憶装置(フラッシュメモリ36)の破壊を実行する(シーケンスQ43)。これにより、フラッシュメモリ36が格納する情報へのアクセスを不可能とすることができる。スマートフォン3のCPU31は、この破壊処理の実行結果と記憶装置の情報とを管理サーバ1に送信し(シーケンスQ44)、管理サーバ1は破壊処理の実行結果を、本人宛にメールで通知する(シーケンスQ45)。これにより、顧客端末4のCPU41が、電子メールプログラム461の実行により、破壊処理の結果を確認することができる。
【0050】
記憶装置の破壊処理は、例えば、ハードウェア的に読取不可能な状態に破壊するものであったり、ソフトウェアによりデータ消去する方法であったり、いろいろな方法が考えられるので、破壊処理の内容はいっさい限定されないものとする。フラッシュメモリでは、昇圧回路を付加してメモリチップに高電圧を印加することにより、短時間に破壊することができる。またHDDでは、キュリー温度以上に熱して磁気情報を消去することや、ヘッドを浮上させないようにプラッタの回転数制御を行いヘッドをプラッタに接触するようしたうえでシークさせてプラッタを物理的に破壊することにより、短時間に破壊することができる。このような端末の記憶装置を瞬時に破壊する方法によれば、情報漏えいの安全性はソフトウェア等によるデータ消去等に比べて更に高まる。
【0051】
なお、破壊情報データベース162の実行フェーズに記録された状態が“1”の「指令発行」を示しているにも関わらず、スマートフォン3の電源が所定の期間内に管理サーバ1とスマートフォン3とのデータリンクを確立できない場合が考えられる。例えば、破壊対象となるスマートフォン3が電源オフ状態ならば、破壊指令を管理サーバ1から取得したり、基地局22を経由して破壊指令を受信することができない。このスマートフォン3は電源が入っていないか電波が届かない状況である。基地局22は、この情報を管理サーバ1に通知する。管理サーバ1は、この情報を破壊情報データベース162にログ情報として記録する。
【0052】
その後、スマートフォン3が電源投入された場合、遠隔制御ツール361が自動起動される。スマートフォン3は、管理サーバ1の破壊情報データベース162へアクセスするタイミングか、または基地局22を介した交信タイミングで破壊指令を受け取り、その実行結果を管理サーバ1に送信する。この場合は、実行完了の日時情報を管理サーバ1は、破壊情報データベース162に記憶するとともに破壊要請された登録端末5および実行完了時に利用者に通知する通知先に登録済の顧客端末4の宛先へメール等で通知する。
なお、スマートフォン3が破壊指令を取得できない場合(指令受信に移行していない場合)には、所定期間内の遠隔制御サービスの実行が出来ないとして破壊指令を中止してもよい。これにより所定期間を超えたときの破壊指令途中であることについてサービス中断を行い、破壊サービス提供が困難であることを利用者に正しく伝えることができる。
【0053】
図9(a),(b)は、破壊指令の実行結果例を示す図である。図9(a)に示す受信メールウインドウ66には、登録した記憶装置を破壊した結果が記載されている。この受信メールウインドウ66は、顧客端末4のディスプレイ44上に表示される。
この受信メールウインドウ66には、登録時の記憶装置の識別情報と、破壊時の記憶装置の識別情報とが対比可能に記載されている。ここでは登録時の記憶装置の識別情報と、破壊時の記憶装置の識別情報とは同一であり、利用者が意図した記憶装置が破壊できている。
受信メールウインドウ66には更に、記憶装置の起動回数と、スマートフォン3の起動回数とが対比可能に記載されている。ここでは記憶装置の起動回数と、スマートフォン3の起動回数とは同一であり、記憶装置(フラッシュメモリ36)が、このスマートフォン3以外に接続されていないことが確認できる。
【0054】
図9(b)に示す受信メールウインドウ67には、記憶装置が入れ替えられて、登録時とは異なる記憶装置を破壊した結果が記載されている。この受信メールウインドウ66には、登録時の記憶装置の識別情報と、破壊時の記憶装置の識別情報とが対比可能に記載されている。ここでは登録時の記憶装置の識別情報と、破壊時の記憶装置の識別情報とが異なっており、利用者が意図したものとは違う記憶装置が破壊されたことを示している。
受信メールウインドウ66には更に、記憶装置の起動回数と、スマートフォン3の起動回数とが対比可能に記載されている。ここでは記憶装置は入れ替えられているので、記憶装置の起動回数と、スマートフォン3の起動回数とが異なっている。
【0055】
なお、端末の記憶装置が外されたのち、他の端末に接続されて記憶装置がコピーされ、再び元の端末に接続される場合がある。この場合も、記憶装置に格納された情報が漏洩する。第1の実施形態の受信メールウインドウ66には、記憶装置の起動回数とスマートフォン3の起動回数とが対比可能に記載されている。これにより、記憶装置が他の端末に接続されて起動したことが検知可能となる。
【0056】
《SIMの取り外しまたは変更が行われた場合》スマートフォン3が窃取され、窃取者がスマートフォン3のSIMの取り外しまたは変更を行うことが考えられる。この際には、キャリア網との通信が行えなくなり、よって管理サーバ1の破壊指令を受信できなくなるおそれがある。この場合、スマートフォン3は、SIMの取り外しまたは変更をトリガとして、自ら記憶装置を破壊するとよい。
【0057】
図10は、スマートフォン3によるSIM監視処理を示すフローチャートである。スマートフォン3の電源が投入されたとき、遠隔制御ツール361が起動してSIM監視処理が開始する。
スマートフォン3のCPU31は、SIM371のIDが記憶済みでないと判定したならば(ステップS10→No)、このIDをフラッシュメモリ36に記憶する(ステップS11)。ここで記憶されたSIM371を、正規のSIM371と呼ぶ。
CPU31は、記憶されている正規のSIM371のIDと、現在のSIM371のIDとを比較して、SIMの変更を判断する(ステップS12)。
【0058】
CPU31は、SIMが取り外しまたは変更されていたならば、元々装着されていたSIM371を装着するように画面に促す表示を行うとともに、監視タイマーをスタートして所定時間のカウントダウンを行う(ステップS13)。正規のSIM371の装着の為に電源を途中で切られたのちに電源を再投入しても、監視タイマーは継続カウントされる。正規のSIM371を装着した場合に限り、監視タイマーの初期化を行う。これにより、情報処理装置の電源のオンとオフとを繰り返すことによる正規のSIM371の監視の時間リセットによる回避操作状態は、発生しない。所定の時間が経過したならば(ステップS14→Yes)、CPU31は、記憶装置であるフラッシュメモリ36のシリアル番号や起動回数などの情報を取得し(ステップS15)、このフラッシュメモリ36を破壊する(ステップS16)。CPU31は更に、WiFi通信部35を介して管理サーバ1に実行結果を送信し(ステップS17)、図10の処理を終了する。
【0059】
図11は、SIM371の付け替え時の記憶装置破壊動作を示すシーケンス図である。スマートフォン3は、不正なユーザによって窃取されたのち、SIM371が付け替えられる(シーケンスQ50)。スマートフォン3の電源が投入されたとき、遠隔制御ツール361が起動してSIM371の変更を検知し(シーケンスQ51)、所定時間のカウントダウンを実行する(シーケンスQ52)。
正規のSIM371が未装着のまま所定時間が経過すると(シーケンスQ61)、スマートフォン3は、記憶装置であるフラッシュメモリ36の情報を取得したのち(シーケンスQ62)、このフラッシュメモリ36の破壊を実行する(シーケンスQ63)。
以降、スマートフォン3はフラッシュメモリ36の破壊の実行結果を管理サーバ1に送信する(シーケンスQ64)。管理サーバ1は、通知先メールアドレスに実行結果を送信することにより、この実行結果を顧客端末4に送信する(シーケンスQ65)。利用者が顧客端末4の電子メールプログラム461を起動して、実行結果の電子メールを受信することにより、利用者に実行結果が通知される(シーケンスQ66)。
【0060】
なお、利用者が正規のSIM371として別のSIMに登録変更する場合は、登録情報変更のメニューによりスマートフォン3に破壊保留指令を送信し、新たなSIMのIDをスマートフォン3が読み取って更新した後に、更新完了を管理サーバ1へ送信するとよい。このとき管理サーバ1は、更新完了の受信により破壊情報データベース162の実行フェーズを破壊保留前の状態に戻す。
【0061】
《第2の実施形態》第1の実施形態では、利用者が遠隔実行制御サービスの利用者登録を行い、破壊実行したい場合に対象とする情報処理装置を指定して破壊指令を実行していた。第2の実施形態では、利用者が事前設定した所定の条件で、記憶装置の破壊を実行することができる。具体的には、利用者が死亡した際に、登録した情報処理装置の遠隔実行制御サービスにより情報処理装置が有する記憶装置を全て破壊したいという場合である。
ここでは、利用者の死亡後に、NAS(Network Attached Storage)と呼ばれるネットワーク接続型の記憶装置を破壊する形態について説明する。
【0062】
図12は、第2の実施形態における遠隔破壊システムSを示す概略の構成図である。図1に示した遠隔破壊システムSと同一の要素には同一の符号を付与している。第2の実施形態の遠隔破壊システムSは、第1の実施形態のスマートフォン3の代わりにNAS9を備えており、更に死亡管理サーバ7と死亡情報監視サーバ8とを備えている。
死亡管理サーバ7は、例えば行政機関の民間連動型サービスであり、マイナンバー制度のマイポータル/マイガバメントに相当し、利用者の生死情報を管理するサーバである。
死亡情報監視サーバ8(第2装置)は、死亡管理サーバ7に利用者の死亡情報が登録されたか否かを監視するサーバである。死亡情報監視サーバ8は、マイナンバー制度のポータルサイトからNAS9の所有者の死亡情報を取得すると、NAS9が備える記憶装置の破壊を管理サーバ1に指令する。
NAS9(第1装置)は、ネットワークに直接接続して、コンピュータやスマートフォンなどからネットワークを介してアクセス可能な外部記憶装置である。
【0063】
図13(a)は、死亡管理サーバ7の構成図である。死亡管理サーバ7は、CPU71、RAM72、ROM73、ディスプレイ74、通信部75、生死データベース77を格納したHDD76を含んで構成される。CPU71、RAM72、ROM73、ディスプレイ74、通信部75は、登録端末5が備えるCPU51、RAM52、ROM53、ディスプレイ54、通信部55と同様な機能を有する。
生死データベース77は、各利用者の生死情報を格納するデータベースである。利用者の死亡届に基づき、生死データベース77には利用者の生死情報が登録される。
【0064】
図13(b)は、死亡情報監視サーバ8の構成図である。死亡情報監視サーバ8は、CPU81、RAM82、ROM83、ディスプレイ84、通信部85、登録監視プログラム87と監視対象者データベース88とを格納したHDD86を含んで構成される。CPU81、RAM82、ROM83、ディスプレイ84、通信部85は、登録端末5が備えるCPU51、RAM52、ROM53、ディスプレイ54、通信部55と同様な機能を有する。
CPU81は、登録監視プログラム87を実行することにより死亡管理サーバ7にアクセスして、利用者の死亡情報の有無を監視する。
監視対象者データベース88は、死亡情報の有無を監視する対象者を格納するデータベースである。
【0065】
図14は、NAS9の構成図である。NAS9は、CPU91、RAM92、ROM93、通信部95、HDD96、HDD管理プログラム971と遠隔制御プログラム972とを格納したフラッシュメモリ97を含んで構成される。CPU91、RAM92、ROM93、通信部95は、登録端末5が備えるCPU51、RAM52、ROM53、通信部55と同様な機能を有する。
HDD96は、データやプログラムを格納する不揮発性の記憶装置である。
HDD管理プログラム971は、CPU91によって実行されて、外部装置からネットワークを介してHDD96をアクセス可能とする機能を具現化する。
遠隔制御プログラム972は、CPU91によって実行され、管理サーバ1の破壊指令を受けて、このフラッシュメモリ36を破壊する機能を具現化する。
【0066】
利用者は、第1の実施形態と同様に初期設定フェーズで初期設定を行い、管理サーバ1に利用者識別情報、認証情報、端末識別情報などを登録し、情報処理端末には、端末識別情報が記憶される。
【0067】
図15(a)は、利用者データベース161Aの構成を示す図である。利用者データベース161Aは、第1の実施形態の利用者データベース161(図4(a)参照)と同様の構成に加えて更に、遺族通知先欄を有している。この遺族通知先には、利用者の遺族のメールアドレスが格納される。初期設定フェーズにて利用者は、本人のメールアドレスに加えて遺族のメールアドレスを入力し、遺族のメールアドレスは遺族通知先欄に格納される。
【0068】
初期設定後、破壊指令フェーズにて利用者は、登録端末5を操作して破壊指令実行の条件である登録フラグを「死亡後破壊」に設定する。死亡後破壊に設定された場合は、利用者の死亡情報により指定された情報処理装置に対し実行されることになる。
【0069】
図15(b)は、破壊情報データベース162Aの構成を示す図である。破壊情報データベース162Aは、第1の実施形態の破壊情報データベース162(図4(b)参照)と同様に構成されている。
ここではNAS9のHDD96に対する破壊指令なので、端末識別情報には、“太郎NAS_54321”が格納される。このHDD96は利用者の死亡時に破壊されるので、遠隔制御情報には、“9999”が格納される。
【0070】
《利用者情報の収集、監視》図16は、死亡時の破壊動作を示すシーケンス図である。
ここで利用者データベース161Aに登録された端末識別情報に紐づけられた登録フラグが死亡後破壊を示す“9999”に設定されている。
遺族がマイポータル/マイガバメントに対して利用者の死亡届を提出すると(シーケンスQ70)、マイポータル/マイガバメントに係る死亡管理サーバ7の生死データベース77には、利用者の生死情報が登録される(シーケンスQ70)。
死亡管理サーバ7から死亡情報監視サーバ8に対して利用者の死亡の事実が連絡される(シーケンスQ71)。この死亡情報監視サーバ8は、所定の周期(例えば、毎日)でマイポータル/マイガバメントにアクセスして利用者の死亡情報を監視している。
【0071】
死亡情報監視サーバ8は、管理サーバ1に対して利用者の死亡を通知する(シーケンスQ72)。死亡情報監視サーバ8は、管理サーバ1のアドレス情報と管理サーバ1へのログイン情報とが登録されている。管理サーバ1は、利用者の死亡時に破壊すべき端末(記憶装置)を特定し(シーケンスQ73)、以降は破壊指令実行フェーズに移行する。
【0072】
《破壊指令実行フェーズ》管理サーバ1は、破壊指令と端末識別情報とをNAS9に送信する(シーケンスQ74)。NAS9のCPU91は、遠隔制御プログラム972の実行により、破壊指令コードを受信した場合、登録完了信号を受信済かを確認する。登録完了信号を受信済の場合は、破壊指令コードを確認する。ここで破壊指令コードは死亡時破壊なので、NAS9のCPU91は、記憶装置(HDD96)の識別情報と起動回数情報とを取得し(シーケンスQ75)、記憶装置(HDD96)の破壊を実行する(シーケンスQ76)。これにより、HDD96が格納する情報へのアクセスを不可能とすることができる。
【0073】
NAS9のCPU91は、この破壊処理の実行結果と記憶装置の情報とを管理サーバ1に送信し(シーケンスQ77)、管理サーバ1は破壊処理の実行結果を、遺族宛にメールで通知する(シーケンスQ78)。これにより遺族は、破壊処理の結果を確認することができる。(変形例)
本発明は、上記実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲で、変更実施が可能であり、例えば、次の(a)〜(d)のようなものがある。
(a) 本発明は、スマートフォンやNASに限定されず、デスクトップパソコンなどの据え置き型やノートブックパソコンなどの可搬型のパソコンなども対象としている。また、パソコンより小型のタブレットや携帯電話などのモバイル機器などであってもよい。
【0074】
(b) スマートフォン3は、破壊処理後に届け先の情報を表示する機能があってもよい。これにより、スマートフォン3の破壊処理に、このスマートフォン3の届け先がわかり、紛失の場合などには、利用者が破壊済みの端末を回収して安心できる。スマートフォン3の届け先は、例えば遠隔制御実行サービス事業者が窓口になるとよい。
【0075】
(c) 第1の実施形態では、スマートフォン3が管理サーバ1にある破壊指令の情報の有無を取得し、確認することとした。しかし、これに限られず有線通信や無線通信により管理サーバ1が破壊指令を送信し、中継局や基地局22を介してスマートフォン3が受信してもよい。スマートフォン3が端末識別情報と破壊指令とを受信すると、破壊指令を受信した日時情報を管理サーバ1に送信して、スマートフォン3が有するフラッシュメモリ36を破壊処理する。フラッシュメモリ36が読取不能となった場合、スマートフォン3は、その実行結果を管理サーバ1へ送信し、管理サーバ1は実行結果を本人のメールアドレスに通知する。利用者は、管理サーバ1からの通知メールにより、スマートフォン3が指令を受領した時間、実行時間、実行結果を知ることができ、指定したスマートフォン3のフラッシュメモリ36が確実に破壊されたか否かを知ることができる。
【0076】
(d) NASがミラーリング等で複数のHDDで構成されているときに、HDDの取り外しの監視を行ってもよい。これにより、HDDを取り外して情報を他のHDDにコピーした後、再びHDDをNASに戻した場合には、NASを構成するHDDの全てを破壊実行した際に、NASの情報が他にコピーされている可能性を通知メールにより知ることができる。
【符号の説明】
【0077】
S 遠隔破壊システム1 管理サーバ
161 利用者データベース
162 破壊情報データベース
21 ルータ
22 基地局
3 スマートフォン
35 WiFi通信部
36 フラッシュメモリ
361 遠隔制御ツール
37 3G通信部
371 SIM
4 顧客端末
461 電子メールプログラム
5 登録端末
561 リモート制御ソフト
7 死亡管理サーバ
77 生死データベース
8 死亡情報監視サーバ
87 登録監視プログラム
88 監視対象者データベース
9 NAS
96 HDD
972 遠隔制御プログラム