知財求人 - 知財ポータルサイト「IP Force」
特開2023-149134データ消去装置、データ消去システム及びデータ消去方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023149134
(43)【公開日】2023-10-13
(54)【発明の名称】データ消去装置、データ消去システム及びデータ消去方法
(51)【国際特許分類】
G06F 21/60 20130101AFI20231005BHJP
【FI】
G06F21/60
【審査請求】未請求
【請求項の数】15
【出願形態】OL
(21)【出願番号】P 2022057546
(22)【出願日】2022-03-30
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110001689
【氏名又は名称】青稜弁理士法人
(72)【発明者】
【氏名】礒川 弘実
(72)【発明者】
【氏名】菅原 健太
(57)【要約】
【課題】データ消去装置において、残存ファイルを把握して消去することにより消去漏れを防ぎ情報漏洩リスクを軽減する。
【解決手段】記憶装置に保存されているファイルの一覧を残存ファイル一覧として取得し、残存ファイル一覧から残存許可一覧データと消去対象一覧データのどちらにも含まれないファイルを新たに追加する追加消去対象ファイルとして判定して追加消去対象ファイルを消去対象一覧データに追加して消去対象一覧データを更新し、起動したアプリケーションの利用が終了した後に消去対象一覧データに記載された消去対象ファイルを消去する。
【選択図】図1
【解決手段】記憶装置に保存されているファイルの一覧を残存ファイル一覧として取得し、残存ファイル一覧から残存許可一覧データと消去対象一覧データのどちらにも含まれないファイルを新たに追加する追加消去対象ファイルとして判定して追加消去対象ファイルを消去対象一覧データに追加して消去対象一覧データを更新し、起動したアプリケーションの利用が終了した後に消去対象一覧データに記載された消去対象ファイルを消去する。
【選択図】図1
【特許請求の範囲】
【請求項1】
所定の処理を行う処理装置と、所定のファイルが格納された記憶装置とを有するユーザ機器のデータ消去装置であって、
前記処理装置は、
データ消去部とアプリケーション起動部を有し、
前記記憶装置は、
残存許可ファイルが記載された残存許可一覧データと消去対象ファイルが記載された消去対象一覧データを格納し、
前記データ消去部は、
前記記憶装置に保存されている前記ファイルの一覧を残存ファイル一覧として取得し、
取得した前記残存ファイル一覧から前記残存許可一覧データと前記消去対象一覧データのどちらにも含まれないファイルを新たに追加する追加消去対象ファイルとして判定し、
前記追加消去対象ファイルを前記消去対象一覧データに追加して前記消去対象一覧データを更新し、
前記アプリケーション起動部は、
前記消去対象一覧データの更新が完了した後に、前記アプリケーションを起動し、
前記データ消去部は、
起動した前記アプリケーションの利用が終了した後に、更新された前記消去対象一覧データに記載された前記消去対象ファイルを消去することを特徴とするデータ消去装置。
前記処理装置は、
データ消去部とアプリケーション起動部を有し、
前記記憶装置は、
残存許可ファイルが記載された残存許可一覧データと消去対象ファイルが記載された消去対象一覧データを格納し、
前記データ消去部は、
前記記憶装置に保存されている前記ファイルの一覧を残存ファイル一覧として取得し、
取得した前記残存ファイル一覧から前記残存許可一覧データと前記消去対象一覧データのどちらにも含まれないファイルを新たに追加する追加消去対象ファイルとして判定し、
前記追加消去対象ファイルを前記消去対象一覧データに追加して前記消去対象一覧データを更新し、
前記アプリケーション起動部は、
前記消去対象一覧データの更新が完了した後に、前記アプリケーションを起動し、
前記データ消去部は、
起動した前記アプリケーションの利用が終了した後に、更新された前記消去対象一覧データに記載された前記消去対象ファイルを消去することを特徴とするデータ消去装置。
【請求項2】
前記データ消去部は、
前記ユーザ機器の電源OFFの前に、前記消去対象ファイルを消去することにより、前記ユーザ機器の前記電源OFFの後に前記残存許可ファイル一覧に含まれないファイルが残存していない状態にすることを特徴とする請求項1に記載のデータ消去装置。
前記ユーザ機器の電源OFFの前に、前記消去対象ファイルを消去することにより、前記ユーザ機器の前記電源OFFの後に前記残存許可ファイル一覧に含まれないファイルが残存していない状態にすることを特徴とする請求項1に記載のデータ消去装置。
【請求項3】
前記残存許可一覧データは、
残存許可識別子と前記残存許可識別子に対応した残存許可対象パスから構成され、
前記残存許可対象パスには、前記残存許可識別子に対応して残存許可対象とするファイルのパスが記載されていることを特徴とする請求項1に記載のデータ消去装置。
残存許可識別子と前記残存許可識別子に対応した残存許可対象パスから構成され、
前記残存許可対象パスには、前記残存許可識別子に対応して残存許可対象とするファイルのパスが記載されていることを特徴とする請求項1に記載のデータ消去装置。
【請求項4】
前記消去対象一覧データは、
消去対象識別子と前記消去対象識別子に対応した消去対象パスから構成され、
前記消去対象パスには、前記消去対象識別子に対応して消去対象とするファイルが記載されていることを特徴とする請求項1に記載のデータ消去装置。
消去対象識別子と前記消去対象識別子に対応した消去対象パスから構成され、
前記消去対象パスには、前記消去対象識別子に対応して消去対象とするファイルが記載されていることを特徴とする請求項1に記載のデータ消去装置。
【請求項5】
少なくとの一つのユーザ機器と管理機器とがネットワークを介して接続されたデータ消去システムであって、
前記ユーザ機器は、
所定の処理を行う第1の処理装置と、所定のファイルが格納された第1の記憶装置とを有し、
前記管理機器は、
所定の処理を行う第2の処理装置と、所定のファイルが格納された第2の記憶装置とを有し、
前記ユーザ機器の前記第1の処理装置は、
データ消去部とアプリケーション起動部を有し、
前記管理機器の前記第2の処理装置は、
管理部を有し、
前記ユーザ機器の前記第1の記憶装置は、
残存許可ファイルが記載された残存許可一覧データと消去対象ファイルが記載された消去対象一覧データを格納し、
前記管理機器の前記第2の記憶装置は、
前記残存許可一覧データと前記消去対象一覧データを格納し、
前記データ消去部は、
前記第1の記憶装置に保存されている前記ファイルの一覧を残存ファイル一覧として取得して、
取得した前記残存ファイル一覧から前記残存許可一覧データと前記消去対象一覧データのどちらにも含まれないファイルを新たに追加する追加消去対象ファイルとして判定し、前記追加消去対象ファイルを前記管理部に送信し、
前記管理部は、
受信した前記追加消去対象ファイルを前記第2の記憶装置に格納されている前記消去対象一覧データに追加して前記消去対象一覧データを更新して、更新された前記消去対象一覧データを前記データ消去部に送り、
前記データ消去部は、
受信した前記消去対象一覧データに基づいて、前記第1の記憶装置に格納されている前記消去対象一覧データを更新し、
前記アプリケーション起動部は、
前記消去対象一覧データの更新が完了した後に、前記アプリケーションを起動し、
前記データ消去部は、
起動した前記アプリケーションの利用が終了した後に、更新された前記消去対象一覧データに記載された前記消去対象ファイルを消去することを特徴とするデータ消去システム。
前記ユーザ機器は、
所定の処理を行う第1の処理装置と、所定のファイルが格納された第1の記憶装置とを有し、
前記管理機器は、
所定の処理を行う第2の処理装置と、所定のファイルが格納された第2の記憶装置とを有し、
前記ユーザ機器の前記第1の処理装置は、
データ消去部とアプリケーション起動部を有し、
前記管理機器の前記第2の処理装置は、
管理部を有し、
前記ユーザ機器の前記第1の記憶装置は、
残存許可ファイルが記載された残存許可一覧データと消去対象ファイルが記載された消去対象一覧データを格納し、
前記管理機器の前記第2の記憶装置は、
前記残存許可一覧データと前記消去対象一覧データを格納し、
前記データ消去部は、
前記第1の記憶装置に保存されている前記ファイルの一覧を残存ファイル一覧として取得して、
取得した前記残存ファイル一覧から前記残存許可一覧データと前記消去対象一覧データのどちらにも含まれないファイルを新たに追加する追加消去対象ファイルとして判定し、前記追加消去対象ファイルを前記管理部に送信し、
前記管理部は、
受信した前記追加消去対象ファイルを前記第2の記憶装置に格納されている前記消去対象一覧データに追加して前記消去対象一覧データを更新して、更新された前記消去対象一覧データを前記データ消去部に送り、
前記データ消去部は、
受信した前記消去対象一覧データに基づいて、前記第1の記憶装置に格納されている前記消去対象一覧データを更新し、
前記アプリケーション起動部は、
前記消去対象一覧データの更新が完了した後に、前記アプリケーションを起動し、
前記データ消去部は、
起動した前記アプリケーションの利用が終了した後に、更新された前記消去対象一覧データに記載された前記消去対象ファイルを消去することを特徴とするデータ消去システム。
【請求項6】
複数の前記ユーザ機器と前記管理機器とがネットワークを介して接続され、
前記管理機器の前記第2の記憶装置は、
複数の前記ユーザ機器の名称が記載されたユーザ機器一覧データを更に格納し、
前記管理部は、
複数の前記ユーザ機器毎に受信した前記追加消去対象ファイルを集約して前記消去対象一覧データに追加して更新し、
前記データ消去部は、
前記ユーザ機器毎に受信した前記消去対象一覧データに基づいて、前記第1の記憶装置に格納されている前記消去対象一覧データを更新し、
前記アプリケーションの利用が終了した後に、前記ユーザ機器毎に更新された前記消去対象一覧データに記載された前記消去対象ファイルを消去することを特徴とする請求項5に記載のデータ消去システム。
前記管理機器の前記第2の記憶装置は、
複数の前記ユーザ機器の名称が記載されたユーザ機器一覧データを更に格納し、
前記管理部は、
複数の前記ユーザ機器毎に受信した前記追加消去対象ファイルを集約して前記消去対象一覧データに追加して更新し、
前記データ消去部は、
前記ユーザ機器毎に受信した前記消去対象一覧データに基づいて、前記第1の記憶装置に格納されている前記消去対象一覧データを更新し、
前記アプリケーションの利用が終了した後に、前記ユーザ機器毎に更新された前記消去対象一覧データに記載された前記消去対象ファイルを消去することを特徴とする請求項5に記載のデータ消去システム。
【請求項7】
前記管理部は、
前記追加消去対象ファイルを前記消去対象一覧データに追加する際に、前記追加消去対象ファイルを消去しても影響がないかを評価することを特徴とする請求項5に記載のデータ消去システム。
前記追加消去対象ファイルを前記消去対象一覧データに追加する際に、前記追加消去対象ファイルを消去しても影響がないかを評価することを特徴とする請求項5に記載のデータ消去システム。
【請求項8】
前記管理部は、
前記追加消去対象ファイルを消去しても影響がないかを評価した結果、
前記追加消去対象ファイルを消去しても影響がないと判定された場合、前記追加消去対象ファイルを前記消去対象一覧データに追加して前記消去対象一覧データを更新し、
前記追加消去対象ファイルを消去すると影響があると判定された場合、前記消去対象一覧データを更新しないで前記残存許可一覧データを更新することを特徴とする請求項7に記載のデータ消去システム。
前記追加消去対象ファイルを消去しても影響がないかを評価した結果、
前記追加消去対象ファイルを消去しても影響がないと判定された場合、前記追加消去対象ファイルを前記消去対象一覧データに追加して前記消去対象一覧データを更新し、
前記追加消去対象ファイルを消去すると影響があると判定された場合、前記消去対象一覧データを更新しないで前記残存許可一覧データを更新することを特徴とする請求項7に記載のデータ消去システム。
【請求項9】
前記ユーザ機器は、
所定の評価用画面を表示する入出力装置を更に有し、
前記管理部は、
前記評価用画面を介してユーザにより入力された評価結果に基づいて、前記追加消去対象ファイルを消去しても影響がないかの前記評価を行うことを特徴とする請求項7に記載のデータ消去システム。
所定の評価用画面を表示する入出力装置を更に有し、
前記管理部は、
前記評価用画面を介してユーザにより入力された評価結果に基づいて、前記追加消去対象ファイルを消去しても影響がないかの前記評価を行うことを特徴とする請求項7に記載のデータ消去システム。
【請求項10】
前記管理機器は、
所定の評価用画面を表示する入出力装置を更に有し、
前記管理部は、
前記評価用画面を介して管理者により入力された評価結果に基づいて、前記追加消去対象ファイルを消去しても影響がないかの前記評価を行うことを特徴とする請求項7に記載のデータ消去システム。
所定の評価用画面を表示する入出力装置を更に有し、
前記管理部は、
前記評価用画面を介して管理者により入力された評価結果に基づいて、前記追加消去対象ファイルを消去しても影響がないかの前記評価を行うことを特徴とする請求項7に記載のデータ消去システム。
【請求項11】
前記データ消去部は、複数の前記ユーザ機器毎に、
前記ユーザ機器の電源OFFの前に、前記消去対象ファイルを消去することにより、前記ユーザ機器の前記電源OFFの後に前記残存許可ファイル一覧に含まれないファイルが残存していない状態にすることを特徴とする請求項5に記載のデータ消去システム。
前記ユーザ機器の電源OFFの前に、前記消去対象ファイルを消去することにより、前記ユーザ機器の前記電源OFFの後に前記残存許可ファイル一覧に含まれないファイルが残存していない状態にすることを特徴とする請求項5に記載のデータ消去システム。
【請求項12】
前記残存許可一覧データは、
残存許可識別子と前記残存許可識別子に対応した残存許可対象パスから構成され、
前記残存許可対象パスには、前記残存許可識別子に対応して残存許可対象とするファイルのパスが記載されていることを特徴とする請求項5に記載のデータ消去システム。
残存許可識別子と前記残存許可識別子に対応した残存許可対象パスから構成され、
前記残存許可対象パスには、前記残存許可識別子に対応して残存許可対象とするファイルのパスが記載されていることを特徴とする請求項5に記載のデータ消去システム。
【請求項13】
前記消去対象一覧データは、
消去対象識別子と前記消去対象識別子に対応した消去対象パスから構成され、
前記消去対象パスには、前記消去対象識別子に対応して消去対象とするファイルが記載されていることを特徴とする請求項5に記載のデータ消去システム。
消去対象識別子と前記消去対象識別子に対応した消去対象パスから構成され、
前記消去対象パスには、前記消去対象識別子に対応して消去対象とするファイルが記載されていることを特徴とする請求項5に記載のデータ消去システム。
【請求項14】
所定の処理を行う処理装置と、所定のファイルが格納された記憶装置とを有するユーザ機器のデータ消去方法であって、
前記処理装置は、
記憶ステップと、データ消去ステップと、アプリケーション起動ステップを実行し、
前記記憶ステップは、
残存許可ファイルが記載された残存許可一覧データと消去対象ファイルが記載された消去対象一覧データを前記記憶装置に記憶し、
前記データ消去ステップは、
前記記憶装置に保存されている前記ファイルの一覧を残存ファイル一覧として取得し、取得した前記残存ファイル一覧から前記残存許可一覧データと前記消去対象一覧データのどちらにも含まれないファイルを新たに追加する追加消去対象ファイルとして判定し、前記追加消去対象ファイルを前記消去対象一覧データに追加して前記消去対象一覧データを更新し、
前記アプリケーション起動ステップは、
前記消去対象一覧データの更新が完了した後に、前記アプリケーションを起動し、
前記データ消去ステップは、
起動した前記アプリケーションの利用が終了した後に、更新された前記消去対象一覧データに記載された前記消去対象ファイルを消去することを特徴とするデータ消去方法。
前記処理装置は、
記憶ステップと、データ消去ステップと、アプリケーション起動ステップを実行し、
前記記憶ステップは、
残存許可ファイルが記載された残存許可一覧データと消去対象ファイルが記載された消去対象一覧データを前記記憶装置に記憶し、
前記データ消去ステップは、
前記記憶装置に保存されている前記ファイルの一覧を残存ファイル一覧として取得し、取得した前記残存ファイル一覧から前記残存許可一覧データと前記消去対象一覧データのどちらにも含まれないファイルを新たに追加する追加消去対象ファイルとして判定し、前記追加消去対象ファイルを前記消去対象一覧データに追加して前記消去対象一覧データを更新し、
前記アプリケーション起動ステップは、
前記消去対象一覧データの更新が完了した後に、前記アプリケーションを起動し、
前記データ消去ステップは、
起動した前記アプリケーションの利用が終了した後に、更新された前記消去対象一覧データに記載された前記消去対象ファイルを消去することを特徴とするデータ消去方法。
【請求項15】
前記データ消去ステップは、
前記ユーザ機器の電源OFFの前に、前記消去対象ファイルを消去することにより、前記ユーザ機器の前記電源OFFの後に前記残存許可ファイル一覧に含まれないファイルが残存していない状態にすることを特徴とする請求項14に記載のデータ消去方法。
前記ユーザ機器の電源OFFの前に、前記消去対象ファイルを消去することにより、前記ユーザ機器の前記電源OFFの後に前記残存許可ファイル一覧に含まれないファイルが残存していない状態にすることを特徴とする請求項14に記載のデータ消去方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データ消去装置、データ消去システム及びデータ消去方法に関する。
【背景技術】
【0002】
企業等の組織では、従業員が業務に使用する端末等の業務機器に、盗難や紛失時に業務機器内に保存した業務データを不正に利用されないようセキュリティリスクを低減する対策を施している。
【0003】
セキュリティリスクを低減する方法の一つとして、業務機器内に保存した業務データを消去する方法がある。特許文献1では、情報処理端末から該情報処理端末が記憶しているファイルと、該情報処理端末における操作ログとを取得し、取得した操作ログに基づいて特定した、取得したファイルの記憶タイミングからの経過時間に応じてアラートを出力することで、情報処理端末に記憶されてから保存されたままとなっているデータの存在を認識することができるとしている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2018-92544号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1では、操作ログの取得を前提としており、操作ログの取得がなされていないまたは不十分な場合には保存されたままとなっているデータがあってもアラートされず存在の認識は難しいという課題がある。
【0006】
また、残存ファイルの存在を認識した場合にアラートするのみで残存ファイルの漏洩リスクをどのように低減するかの言及が無く、セキュリティ確保には不十分である。
【0007】
本発明の目的は、データ消去装置において、残存ファイルを把握して消去することにより消去漏れを防ぎ情報漏洩リスクを軽減することにある。
【課題を解決するための手段】
【0008】
本発明の一態様のデータ消去装置は、所定の処理を行う処理装置と、所定のファイルが格納された記憶装置とを有するユーザ機器のデータ消去装置であって、前記処理装置は、データ消去部とアプリケーション起動部を有し、前記記憶装置は、残存許可ファイルが記載された残存許可一覧データと消去対象ファイルが記載された消去対象一覧データを格納し、前記データ消去部は、前記記憶装置に保存されている前記ファイルの一覧を残存ファイル一覧として取得し、
取得した前記残存ファイル一覧から前記残存許可一覧データと前記消去対象一覧データのどちらにも含まれないファイルを新たに追加する追加消去対象ファイルとして判定し、前記追加消去対象ファイルを前記消去対象一覧データに追加して前記消去対象一覧データを更新し、前記アプリケーション起動部は、前記消去対象一覧データの更新が完了した後に、前記アプリケーションを起動し、前記データ消去部は、起動した前記アプリケーションの利用が終了した後に、更新された前記消去対象一覧データに記載された前記消去対象ファイルを消去することを特徴とする。
取得した前記残存ファイル一覧から前記残存許可一覧データと前記消去対象一覧データのどちらにも含まれないファイルを新たに追加する追加消去対象ファイルとして判定し、前記追加消去対象ファイルを前記消去対象一覧データに追加して前記消去対象一覧データを更新し、前記アプリケーション起動部は、前記消去対象一覧データの更新が完了した後に、前記アプリケーションを起動し、前記データ消去部は、起動した前記アプリケーションの利用が終了した後に、更新された前記消去対象一覧データに記載された前記消去対象ファイルを消去することを特徴とする。
【発明の効果】
【0009】
本発明の一態様によれば、データ消去装置において、残存ファイルを把握して消去することにより消去漏れを防ぎ情報漏洩リスクを軽減することができる。
【図面の簡単な説明】
【0010】
【図1】本発明の実施例1におけるデータ消去機器の全体の構成を説明する図の一例である。
【図2】本発明の実施例1における残存許可一覧データの構成を説明する図の一例である。
【図3】本発明の実施例1における消去対象一覧データの構成を説明する図の一例である。
【図4】本発明の実施例1におけるデータ消去機器の動作を説明するフローチャートの一例である。
【図5】本発明の実施例2におけるデータ消去システムの全体の構成を説明する図の一例である。
【図6】本発明の実施例2における管理機器の構成を説明する図の一例である。
【図7】本発明の実施例2におけるユーザ機器の構成を説明する図の一例である。
【図8】本発明の実施例2における残存許可一覧データの構成を説明する図の一例である。
【図9】本発明の実施例2における消去対象一覧データの構成を説明する図の一例である。
【図10】本発明の実施例2におけるユーザ機器一覧データの構成を説明する図の一例である。
【図11】本発明の実施例2におけるデータ消去システムの動作を説明するフローチャートの一例である。
【図12】本発明の実施例3におけるデータ消去システムの全体の構成を説明する図の一例である。
【図13】本発明の実施例3における管理機器の構成を説明する図の一例である。
【図14】本発明の実施例3におけるユーザ機器の構成を説明する図の一例である。
【図15】本発明の実施例3における残存許可一覧データの構成を説明する図の一例である。
【図16】本発明の実施例3における消去対象一覧データの構成を説明する図の一例である。
【図17】本発明の実施例3における消去可否判定一覧データの構成を説明する図の一例である。
【図18】本発明の実施例3における残存ファイル一覧データの構成を説明する図の一例である。
【図19】本発明の実施例3におけるユーザ機器一覧データの構成を説明する図の一例である。
【図20】本発明の実施例3における評価依頼一覧データの構成を説明する図の一例である。
【図21】本発明の実施例3におけるデータ消去システムの全体的な動作を説明するフローチャートの一例である。
【図22】本発明の実施例3におけるデータ消去システムの一部の動作を説明するフローチャートの一例である。
【図23】本発明の実施例3における評価開始依頼画面インターフェースを説明する図の一例である。
【図24】本発明の実施例3における評価入力依頼画面インターフェースを説明する図の一例である。
【図25】本発明の実施例3におけるデータ消去システムの一部の動作を説明するフローチャートの一例である。
【図26】本発明の実施例3における消去判断依頼インターフェースを説明する図の一例である。
【発明を実施するための形態】
【0011】
【実施例0012】
最初に、図1乃至図4を用いて本発明の実施例1に係るデータ消去機器を説明する。実施例1は、ユーザが利用するユーザ機器においてユーザ機器起動後に残存しているファイルの一覧を把握し、残存を許可するファイルの一覧と組み合わせて消去対象とするファイルの一覧を生成し、ユーザ機器の終了前に消去対象ファイルを消去することで、ユーザ機器の終了後に残存許可ファイル一覧に含まれないファイルが残存していない状態にするものである。
【0013】
【0014】
図1は、実施例1の全体の構成を表す概略図である。ユーザ機器10はユーザ11が使用する装置である。ユーザ機器10は、プロセッサ12と、メモリ13と、入出力装置14と、記憶装置15と、内部信号線16と、モニタ17と、キーボード18と、マウス19とで構成される。プロセッサ12は、プログラムの処理をおこなう装置である。記憶装置15は、ハードディスクや不揮発性メモリなどであり、プログラムやデータを格納する装置である。メモリ13は、実行するプログラムの格納や、一時的なデータの格納をおこなうための記憶装置である。入出力装置14は、モニタ17への出力とキーボード18とマウス19からの入力を制御する装置である。記憶装置15には、実施例1におけるデータ消去機器を実現するためのプログラムとデータが格納される。
【0015】
プログラムとしては、OS(Operating System)プログラム100、消去プログラム101、アプリケーションプログラム104が格納される。データとしては、残存許可一覧データ102、消去対象一覧データ103が格納される。メモリ13には、記憶装置15上のOSプログラム100がロードされ、実行される。OSプログラム100は、入出力装置14の制御、記憶装置15からデータのメモリ13へのロードなどを行う。また、OSプログラム100は、記憶装置15から、消去プログラム101とアプリケーションプログラム104をメモリ13にロードし、実行する。アプリケーションプログラム104は、アプリケーションのデータをアプリケーションデータ領域105に格納する。
【0016】
処理装置であるプロセッサ12は、OSプログラム100を介して記憶装置15から消去プログラム101をメモリ13にロードし実行することにより「データ消去部」として機能する。また、処理装置であるプロセッサ12は、OSプログラム100を介して記憶装置15からアプリケーションプログラム104をメモリ13にロードし実行することにより「アプリケーション起動部」として機能する。
【0017】
図2は、図1に示した残存許可一覧データ102の構成を説明する図である。残存許可一覧データ102は、残存許可ID201、残存許可対象パス202の各フィールドから構成される。残存許可ID201は、残存許可対象とするファイルやフォルダのパスに対して一意となる識別子を記載するフィールドである。残存許可対象パス202は、残存許可ID201に対応して残存許可対象とするファイルやフォルダのパスを記載するフィールドである。組織では、ユーザ11がユーザ機器10を使用開始する前に残存許可一覧データ102に残存許可するパスを登録しておく。
【0018】
図3は、図1に示した消去対象一覧データ103の構成を説明する図である。消去対象一覧データ103は、消去対象ID301、消去対象パス302の各フィールドから構成される。消去対象ID301は、消去対象とするファイルやフォルダのパスに対して一意となる識別子を記載するフィールドである。
【0019】
消去対象パス302は、消去対象ID301に対応して消去対象とするファイルやフォルダのパスを記載するフィールドである。ユーザ11がユーザ機器10を使用開始すると消去プログラム101により消去対象一覧データ103の内容は更新される。組織では、ユーザ11がユーザ機器10を使用開始する前に消去対象一覧データ103に消去対象とするパスの初期値を登録しておいても良い。
【0020】
次に、図4を用いて本発明の実施例1に係るデータ消去機器の動作を説明する。
図4は、ユーザ11がユーザ機器10を起動して、アプリケーションを利用した作業を実施して、ユーザ機器10を終了するまでの動作を説明するフローチャートである。この動作の中で残存ファイルを把握し、ユーザ機器10の終了前に残存ファイルを消去している。まず、ユーザ11はユーザ機器10の電源を入れる(S401)。ユーザ機器10では、OSプログラム100が起動する。OSプログラム100は消去プログラム101を起動する(S402)。
図4は、ユーザ11がユーザ機器10を起動して、アプリケーションを利用した作業を実施して、ユーザ機器10を終了するまでの動作を説明するフローチャートである。この動作の中で残存ファイルを把握し、ユーザ機器10の終了前に残存ファイルを消去している。まず、ユーザ11はユーザ機器10の電源を入れる(S401)。ユーザ機器10では、OSプログラム100が起動する。OSプログラム100は消去プログラム101を起動する(S402)。
【0021】
消去プログラム101はユーザ機器10の記憶装置15に保存されているファイルの一覧を残存ファイル一覧として取得する(S403)。そして、取得した残存ファイル一覧から残存許可一覧データ102と消去対象一覧データ103のどちらにも含まれないものを新たに追加する消去対象として判定し(S404)、追加する消去対象を消去対象一覧データ103に追加して(S405)、更新完了をOSプログラム100に通知する(S406)。
【0022】
OSプログラム100はユーザ機器10の起動後に起動するプログラムの順番を制御し、消去プログラム101が消去対象一覧データ103の更新を完了するまでアプリケーションプログラム104が起動しないように抑止する。その後、ユーザはアプリケーションを起動する操作を実施し(S407)、アプリケーションプログラム104を起動する(S408)。ユーザはアプリケーションプログラム104を利用して業務を行った(S409)後、ユーザ機器10を終了する操作を実施する(S410)。
【0023】
ユーザ機器10の終了操作を受けたOSプログラム100は、消去プログラム101に終了指示を出す(S411)。消去プログラム101は消去対象一覧データ103に記載の消去対象ファイルを全て消去し(S412)、消去完了をOSプログラム100に応答する(S413)。その後OSプログラム100はユーザ機器10の電源をOFFにする(S414)。
【0024】
上記のように、本発明の実施例1によれば、ユーザ機器10が起動した際に残存ファイルを確認して、残存許可一覧データ102と消去対象一覧データ103のどちらにも含まれずに残存したファイルは消去対象一覧データ103に追加し、ユーザ機器10の終了前に消去することが可能となり、ユーザ機器10の残存データによるセキュリティリスクを低減できるようになる。
【実施例0025】
次に、図5乃至図11を用いて本発明の実施例2に係るデータ消去システムを説明する。実施例2は、ユーザが利用するユーザ機器においてユーザ機器起動後に残存しているファイルの一覧を把握し、残存を許可するファイルの一覧と組み合わせて消去対象とするファイルの一覧を生成し、消去対象とするファイルの一覧を1台以上のユーザ機器から管理機器に収集してマージし消去対象一覧データを生成し、1台以上のユーザ機器に適用してユーザ機器の終了前に残存していたファイルを消去することで、1台以上のユーザ機器から生成された消去対象一覧データを使用してユーザ機器の終了後にファイルが残存していない状態にするものである。
【0026】
【0027】
図5は、実施例2おけるデータ消去システムの全体の構成を説明する概略図である。管理機器50はネットワーク52に接続する。ユーザ機器51は、ネットワーク52に接続し、管理機器50と通信する。管理者53は管理機器50にあるデータを閲覧、編集できる。ユーザ54はユーザ機器51の利用者である。
【0028】
図6は、管理機器50の構成を説明する構成図である。管理機器50は、プロセッサ61と、メモリ62と、通信装置63と、入出力装置64と、記憶装置65と、内部信号線66と、モニタ67と、キーボード68と、マウス69とで構成される。プロセッサ61は、プログラムの処理をおこなう装置である。記憶装置65は、ハードディスクや不揮発性メモリなどであり、プログラムやデータを格納する装置である。メモリ62は、実行するプログラムの格納や、一時的なデータの格納をおこなうための記憶装置である。
【0029】
入出力装置64は、モニタ67への出力とキーボード68とマウス69からの入力を制御する装置である。通信装置63は、他の装置との間のネットワーク通信を行う装置である。記憶装置65には、実施例2におけるデータ消去システムを実現するためのプログラムとデータが格納される。プログラムとしては、OSプログラム600、管理プログラム601が格納される。データとしては、残存許可一覧データ602、消去対象一覧データ603、ユーザ機器一覧データ604が格納される。メモリ62には、記憶装置65上のOSプログラム600がロードされ、実行される。OSプログラム600は、入出力装置64の制御、記憶装置65からデータのメモリ62へのロードなどを行う。また、OSプログラム600は、記憶装置65から、管理プログラム601をメモリ62にロードし、実行する。
【0030】
処理装置であるプロセッサ61は、OSプログラム600を介して記憶装置65から管理プログラム601をメモリ62にロードし実行することにより「管理部」として機能する。
【0031】
図7は、ユーザ機器51の構成を説明する構成図である。ユーザ機器51は、プロセッサ71と、メモリ72と、通信装置73と、入出力装置74と、記憶装置75と、内部信号線76と、モニタ77と、キーボード78と、マウス79とで構成される。記憶装置75には、実施例2におけるデータ消去システムを実現するためのプログラムとデータが格納される。プログラムとしては、OSプログラム700、消去プログラム701、アプリケーションプログラム402が格納される。
【0032】
データとしては、残存許可一覧データ602、消去対象一覧データ603が格納される。メモリ72には、記憶装置75上のOSプログラム700がロードされ、実行される。OSプログラム700は、記憶装置75から、消去プログラム701とアプリケーションプログラム702をメモリ72にロードし、実行する。アプリケーションプログラム702は、アプリケーションのデータをアプリケーションデータ領域703に格納する。
【0033】
処理装置であるプロセッサ71は、OSプログラム700を介して記憶装置75から消去プログラム701をメモリ72にロードし実行することにより「データ消去部」として機能する。また、処理装置であるプロセッサ71は、OSプログラム700を介して記憶装置75からアプリケーションプログラム702をメモリ72にロードし実行することにより「アプリケーション起動部」として機能する。
【0034】
図8は、図6に示した残存許可一覧データ602の構成を説明する図である。残存許可一覧データ602は、残存許可ID801、残存許可対象パス802の各フィールドから構成される。残存許可ID801は、残存許可対象とするファイルやフォルダのパスに対して一意となる識別子を記載するフィールドである。残存許可対象パス802は、残存許可ID801に対応して残存許可対象とするファイルやフォルダのパスを記載するフィールドである。
【0035】
管理者53は、データ消去システムが稼動開始前に管理機器50を操作し、残存を許可するファイルの一覧を残存許可一覧データ602に登録する。また、データ消去システムが稼動開始後に残存を許可するファイルの一覧の追加や削除、変更があった際には、管理者53は管理機器50を操作し、残存許可一覧データ602の内容を変更する。管理プログラム601により残存許可一覧データ602の内容はユーザ機器51に送信され適用される。
【0036】
図9は、図6に示した消去対象一覧データ603の構成を説明する図である。消去対象一覧データ603は、消去対象ID601、消去対象パス602の各フィールドから構成される。消去対象ID601は、消去対象とするファイルやフォルダのパスに対して一意となる識別子を記載するフィールドである。消去対象パス602は、消去対象ID601に対応して消去対象とするファイルやフォルダのパスを記載するフィールドである。
【0037】
管理者53は、データ消去システムが稼動開始前に管理機器50を操作し、消去の対象とするファイルの一覧の初期値を消去対象一覧データ603に登録しておいても良い。管理プログラム601により消去対象一覧データ603の内容は更新される。また、管理プログラム601により消去対象一覧データ603の内容はユーザ機器51に送信され適用される。
【0038】
図10は、図6に示したユーザ機器一覧データ604の構成を説明する図である。ユーザ機器一覧データ604は、ユーザ機器ID1001、ユーザ機器名1002の各フィールドから構成される。ユーザ機器ID1001は、組織のユーザ機器に対して一意となる識別子を記載するフィールドである。ユーザ機器名1002は、ユーザ機器ID1001に対応するユーザ機器の名称を記載するフィールドである。管理者53は、データ消去システムが稼動開始前に管理機器50を操作し、ユーザ機器の一覧をユーザ機器一覧データ604に登録する。また、データ消去システムが稼動開始後にユーザ機器の追加や削除、変更があった際には、管理者53は管理機器50を操作し、ユーザ機器一覧データ604の内容を変更する。
【0039】
次に、図11を用いて本発明の実施例2に係るデータ消去システムの動作を説明する。
図11は、ユーザ54がユーザ機器51を起動して、アプリケーションを利用した作業を実施して、ユーザ機器51を終了するまでの動作を説明するフローチャートである。この動作の中で残存ファイルを把握し、管理プログラムに送信して、消去対象ファイルの一覧を更新し、ユーザ機器51の終了前に残存ファイルを消去している。まず、ユーザ54はユーザ機器51の電源を入れる(S1101)。
図11は、ユーザ54がユーザ機器51を起動して、アプリケーションを利用した作業を実施して、ユーザ機器51を終了するまでの動作を説明するフローチャートである。この動作の中で残存ファイルを把握し、管理プログラムに送信して、消去対象ファイルの一覧を更新し、ユーザ機器51の終了前に残存ファイルを消去している。まず、ユーザ54はユーザ機器51の電源を入れる(S1101)。
【0040】
ユーザ機器51では、OSプログラム700が起動する。OSプログラム700は消去プログラム701を起動する(S1102)。消去プログラム701はユーザ機器51の記憶装置75に保存されているファイルの一覧を残存ファイル一覧として取得する(S1103)。そして、取得した残存ファイル一覧から残存許可一覧データ602と消去対象一覧データ603のどちらにも含まれないものを新たに追加する消去対象として判定し(S1104)、追加する消去対象を管理プログラム601に送信する(S1105)。
【0041】
管理プログラム601は受信した追加する消去対象を消去対象一覧データ603に追加して更新する(S1106)。追加は既に登録済の消去対象パスに含まれているものは除外して追加することで重複追加を排除する。管理プログラム601は残存許可一覧データ602と更新した消去対象一覧データ603を消去プログラム701に送信する(S1107)。
【0042】
消去プログラム701は受信した残存許可一覧データ602と消去対象一覧データ603を記憶装置75に保存して(S1108)、更新完了をOSプログラム700に通知する(S1109)。OSプログラム700はユーザ機器51の起動後に起動するプログラムの順番を制御し、消去プログラム701が残存許可一覧データ602と消去対象一覧データ603の更新を完了するまでアプリケーションプログラム702が起動しないように抑止する。その後、ユーザ54はアプリケーションを起動する操作を実施し(S1110)、アプリケーションプログラム702を起動する(S1111)。
【0043】
ユーザ54はアプリケーションプログラム702を利用して業務を行った(S1112)後、ユーザ機器51を終了する操作を実施する(S1113)。ユーザ機器51の終了操作を受けたOSプログラム700は、消去プログラム701に終了指示を出す(S1114)。消去プログラム701は消去対象一覧データ603に記載の消去対象ファイルを全て消去し(S1115)、消去完了をOSプログラム700に応答する(S1116)。その後OSプログラム700はユーザ機器51の電源をOFFにする(S1117)。
【0044】
上記のように、本発明の実施例2によれば、ユーザ機器51が起動した際に残存ファイルを確認して、残存許可一覧データ602と消去対象一覧データ603のどちらにも含まれずに残存したファイルの一覧は、管理サーバに送信されて他のユーザ機器の分も含め追加され更新される。そして、1台以上の残存ファイルの一覧を反映して更新された消去対象一覧データ603がユーザ機器51に適用されユーザ機器51の終了前に消去することが可能となり、ユーザ機器51の残存データによるセキュリティリスクを更に低減できるようになる。
【実施例0045】
次に、図12乃至図26を用いて本発明の実施例3に係るデータ消去システムを説明する。実施例3は、ユーザが利用するユーザ機器においてユーザ機器起動後に残存しているファイルの一覧を把握し、残存を許可するファイルの一覧と組み合わせて消去対象とするファイルの一覧を生成し、消去対象とするファイルの一覧を1台以上のユーザ機器から管理機器に収集してマージし消去対象一覧データを生成し、1台以上のユーザ機器に適用してユーザ機器の終了前に残存していたファイルを消去することで、1台以上のユーザ機器から生成された消去対象一覧データを使用してユーザ機器の終了後にファイルが残存していない状態にするものである。この中で、消去対象一覧データに消去対象を追加する前に一部のユーザ機器に消去を適用して影響がないかをユーザに問合せて確認し、影響確認の結果と管理者による判断に基づいて消去対象一覧データに消去対象を追加するかを決定するものである。
【0046】
【0047】
図12は、データ消去システムの全体の構成を説明する概略図である。管理機器120はネットワーク122に接続する。ユーザ機器121は、ネットワーク122に接続し、管理機器120と通信する。管理者123は管理機器120にあるデータを閲覧、編集できる。ユーザ124はユーザ機器121の利用者である。
【0048】
図13は、管理機器120の構成を説明する構成図である。管理機器120は、プロセッサ131と、メモリ132と、通信装置133と、入出力装置134と、記憶装置135と、内部信号線136と、モニタ137と、キーボード138と、マウス139とで構成される。プロセッサ131は、プログラムの処理をおこなう装置である。
【0049】
記憶装置135は、ハードディスクや不揮発性メモリなどであり、プログラムやデータを格納する装置である。メモリ132は、実行するプログラムの格納や、一時的なデータの格納をおこなうための記憶装置である。入出力装置134は、モニタ137への出力とキーボード138とマウス139からの入力を制御する装置である。通信装置133は、他の装置との間のネットワーク通信を行う装置である。記憶装置135には、実施例3におけるデータ消去システムを実現するためのプログラムとデータが格納される。
【0050】
プログラムとしては、OSプログラム1300、管理プログラム1301が格納される。データとしては、残存許可一覧データ1302、消去対象一覧データ1303、消去可否判定一覧データ1304、残存ファイル一覧データ1305、ユーザ機器一覧データ1306が格納される。メモリ132には、記憶装置135上のOSプログラム1300がロードされ、実行される。OSプログラム1300は、入出力装置134の制御、記憶装置135からデータのメモリ132へのロードなどを行う。また、OSプログラム1300は、記憶装置135から、管理プログラム1301をメモリ132にロードし、実行する。
【0051】
処理装置であるプロセッサ131は、OSプログラム1300を介して記憶装置135から管理プログラム1301をメモリ132にロードし実行することにより「管理部」として機能する。
【0052】
図14は、ユーザ機器121の構成を説明する構成図である。ユーザ機器121は、プロセッサ141と、メモリ142と、通信装置143と、入出力装置144と、記憶装置145と、内部信号線146と、モニタ147と、キーボード148と、マウス149とで構成される。記憶装置145には、実施例3におけるデータ消去システムを実現するためのプログラムとデータが格納される。プログラムとしては、OSプログラム1400、消去プログラム1401、アプリケーションプログラム1404が格納される。
【0053】
データとしては、残存許可一覧データ1302、消去対象一覧データ1303、評価依頼一覧データ1402が格納される。メモリ142には、記憶装置145上のOSプログラム1400がロードされ、実行される。OSプログラム1400は、記憶装置145から、消去プログラム1401とアプリケーションプログラム1402をメモリ142にロードし、実行する。アプリケーションプログラム1402は、アプリケーションのデータをアプリケーションデータ領域1403に格納する。また、OSプログラム1400は、記憶装置145へのファイルの作成を監視してファイル作成のログを生成し、ファイル作成ログデータ領域1405に格納する。
【0054】
処理装置であるプロセッサ141は、OSプログラム1400を介して記憶装置145から消去プログラム1401をメモリ142にロードし実行することにより「データ消去部」として機能する。また、処理装置であるプロセッサ141は、OSプログラム1400を介して記憶装置145からアプリケーションプログラム1403をメモリ142にロードし実行することにより「アプリケーション起動部」として機能する。
【0055】
図15は、図13に示した残存許可一覧データ1302の構成を説明する図である。残存許可一覧データ1302は、残存許可ID1501、残存許可対象パス1502の各フィールドから構成される。残存許可ID1501は、残存許可対象とするファイルやフォルダのパスに対して一意となる識別子を記載するフィールドである。残存許可対象パス1502は、残存許可ID1501に対応して残存許可対象とするファイルやフォルダのパスを記載するフィールドである。
【0056】
管理者123は、データ消去システムが稼動開始前に管理機器120を操作し、残存を許可するファイルの一覧を残存許可一覧データ1302に登録する。また、データ消去システムが稼動開始後に残存を許可するファイルの一覧の追加や削除、変更があった際には、管理者123は管理機器120を操作し、残存許可一覧データ1302の内容を変更する。管理プログラム1301により残存許可一覧データ1302の内容は更新される。また、管理プログラム1301により残存許可一覧データ1302の内容はユーザ機器121に送信され適用される。
【0057】
図16は、図13に示した消去対象一覧データ1303の構成を説明する図である。消去対象一覧データ1303は、消去対象ID1601、消去対象パス1602の各フィールドから構成される。消去対象ID1601は、消去対象とするファイルやフォルダのパスに対して一意となる識別子を記載するフィールドである。消去対象パス1602は、消去対象ID1601に対応して消去対象とするファイルやフォルダのパスを記載するフィールドである。
【0058】
管理者123は、データ消去システムが稼動開始前に管理機器120を操作し、消去の対象とするファイルの一覧の初期値を消去対象一覧データ1303に登録しておいても良い。管理プログラム1301により消去対象一覧データ1303の内容は更新される。また、管理プログラム1301により消去対象一覧データ1303の内容はユーザ機器121に送信され適用される。
【0059】
図17は、図13に示した消去可否判定一覧データ1304の構成を説明する図である。消去対象一覧データ1304は、消去候補ID1701、消去候補パス1702、作成アプリケーション名1703、評価ユーザ機器(1)ID1704、評価結果(1)1705、評価ユーザ機器(2)ID1706、評価結果(2)1707の各フィールドから構成される。消去候補ID1701は、消去対象の候補とするファイルやフォルダのパスに対して一意となる識別子を記載するフィールドである。
【0060】
消去候補パス1702は、消去候補ID1701に対応して消去対象の候補とするファイルやフォルダのパスを記載するフィールドである。作成アプリケーション名1703は、消去候補ID1701に対応して消去対象の候補とするファイルやフォルダを作成したアプリケーションの名称を記載するフィールドである。評価ユーザ機器(1)ID1704は、消去候補ID1701に対応して評価を依頼したまたは依頼中のユーザ機器のユーザ機器IDを記載するフィールドである。
【0061】
評価結果(1)1705は、消去候補ID1701に対応して評価ユーザ機器(1)ID1704記載のユーザ機器121に依頼した評価の結果を記載するフィールドである。実施例3では評価を2台のユーザ機器121に依頼することを可能とするため、評価ユーザ機器IDと評価結果の組み合わせの2台目として、評価ユーザ機器(2)ID1706、評価結果(2)1707のフィールドを持つ。管理プログラム1301により消去可否判定一覧データ1304の内容は更新される。
【0062】
図18は、図13に示した残存ファイル一覧データ1305の構成を説明する図である。残存ファイル一覧データ1305は、消去候補ID1801、管理機器内保存パス1802の各フィールドから構成される。消去候補ID1801は、消去対象とするファイルやフォルダのパスに対して一意となる識別子を記載するフィールドである。管理機器内保存パス1802は、消去候補ID1801に対応して消去対象の候補とするファイルやフォルダのコピーを保存した管理機器内のパスを記載するフィールドである。管理プログラム1301により残存ファイル一覧データ1305の内容は更新される。
【0063】
図19は、図13に示したユーザ機器一覧データ1306の構成を説明する図である。ユーザ機器一覧データ1306は、ユーザ機器ID1901、ユーザ機器名1902の各フィールドから構成される。ユーザ機器ID1901は、組織のユーザ機器に対して一意となる識別子を記載するフィールドである。ユーザ機器名1902は、ユーザ機器ID1901に対応するユーザ機器の名称を記載するフィールドである。
【0064】
管理者123は、データ消去システムが稼動開始前に管理機器120を操作し、ユーザ機器の一覧をユーザ機器一覧データ1306に登録する。また、データ消去システムが稼動開始後にユーザ機器の追加や削除、変更があった際には、管理者123は管理機器120を操作し、ユーザ機器一覧データ1306の内容を変更する。
【0065】
図20は、図14に示した評価依頼一覧データ1402の構成を説明する図である。評価依頼一覧データ1402は、消去候補ID2001、消去候補パス2002、作成アプリケーション名2003、評価終了日2004、評価状態2005の各フィールドから構成される。消去候補ID2001は、消去対象の候補とするファイルやフォルダのパスに対して一意となる識別子を記載するフィールドである。
【0066】
消去候補パス2002は、消去候補ID2001に対応して消去対象の候補とするファイルやフォルダのパスを記載するフィールドである。作成アプリケーション名2003は、消去候補ID2001に対応して消去対象の候補とするファイルやフォルダを作成したアプリケーションの名称を記載するフィールドである。評価終了日2004は、消去候補ID2001に対応して評価を終了する日付を記載するフィールドである。評価状態2005は、消去候補ID2001に対応して消去候補のユーザ機器における評価状態を記載するフィールドである。消去プログラム1401により評価依頼一覧データ1402の内容は更新される。
【0067】
【0068】
図21は、ユーザ124がユーザ機器121を起動して、アプリケーションを利用した作業を実施して、ユーザ機器121を終了するまでの動作を説明するフローチャートである。この動作の中で残存ファイルを把握し、管理プログラムに送信して、消去対象ファイルの一覧を更新し、ユーザ機器121の終了前に残存ファイルを消去している。まず、ユーザ124はユーザ機器121の電源を入れる(S2101)。
【0069】
ユーザ機器121では、OSプログラム1400が起動する。OSプログラム1400は消去プログラム1401を起動する(S2102)。消去プログラム1401はユーザ機器121の記憶装置145に保存されているファイルの一覧を残存ファイル一覧として取得する(S2103)。そして、取得した残存ファイル一覧から残存許可一覧データ1302と消去対象一覧データ1303のどちらにも含まれないものを新たに追加する消去対象ファイルとして判定し(S2104)、追加する消去対象ファイルのパスとファイル、また消去対象ファイルを作成したアプリケーション名をファイル作成ログデータ領域1405に格納されているログから取得して管理プログラム1301に送信する(S2105)。
【0070】
管理プログラム1301は受信した追加する消去対象のパスが消去可否判定一覧データ1304に既に含まれているかどうかを確認する。パスが含まれている場合は、さらに消去可否判定一覧データ1304の評価ユーザ機器(2)ID1706の内容を確認して未登録の場合は、消去可否判定一覧データ1304の評価ユーザ機器(2)ID1706に送信してきたユーザ機器121のユーザ機器IDを登録し、評価結果(2)1707に未開始を登録する。パスが含まれていない場合は、消去可否判定一覧データ1304に新たな行を追加し、新たな消去候補IDを付与して消去候補ID1701に記載、送信されてきたパスを消去候補パス1702に記載、送信されてきたアプリケーション名を作成アプリケーション名1703に記載、送信してきたユーザ機器121のユーザ機器IDを評価ユーザ機器(1)ID1704に記載、評価結果(1)1705に未開始を記載して登録する(S2106)。
【0071】
管理プログラム1301は残存許可一覧データ1302と消去対象一覧データ1303を消去プログラム701に送信する。また、S2106で評価ユーザ機器(1)または(2)に追加した場合は、追加した消去候補について消去候補ID1701に記載の消去候補IDと消去候補パス1702に記載の消去候補パスと作成アプリケーション名1703に記載の作成アプリケーション名を評価依頼として消去プログラム701に併せて返信する(S2107)。
【0072】
消去プログラム1401は受信した残存許可一覧データ1302と消去対象一覧データ1303を記憶装置145に保存し(S2108)、評価依頼を受信した場合は、評価依頼一覧データ1402に新たな行を追加し、受信した消去候補ID、消去候補パス、作成アプリケーション名を記載し、評価状態を未開始として更新する。その後、消去プログラム1401は評価処理を行う(S2109)。評価処理S2109のフローチャートを図22に示す。
【0073】
図22は、消去プログラム1401が管理プログラム1301と連携し、未開始の消去候補の評価開始と、期限満了の消去候補の評価を実施するまでの動作を説明するフローチャートである。この動作の中で、未開始の消去候補の評価をユーザに問合せて確認した上で開始する動作と、評価期限満了した消去候補についてユーザに消去影響を問い合わせて評価回答を受け取り管理プログラムに登録する動作を行っている。まず、消去プログラム1401は評価依頼一覧データ1402の内容を確認し(S2201)、評価状態2005が未開始となっている消去候補があるかを確認する(S2202)。もし未開始となっている消去候補があれば、該当する消去候補についてユーザ124に図23で示す評価依頼画面インターフェースで提示する(S2203)。
【0074】
図23は、消去候補の消去影響の評価開始の依頼をユーザに提示する評価開始依頼画面インターフェースを示す図である。評価開始依頼画面インターフェースは、タイトル表示エリア2301、操作内容表示エリア2302から構成される。操作内容表示エリア2302には、消去候補のパス、作成アプリケーション名、評価満了日と、協力するか協力しないかをユーザ124が回答するボタンが表示される。評価終了日は一週間後などデータ消去システムや管理者で規定した期間を経過した日付とする。ユーザ124は、ボタンを押すことで回答する(S2204)。
【0075】
評価開始依頼の回答が協力ありの場合、消去プログラム1401は評価依頼一覧データ1402の該当する消去候補について評価状態2005を評価中に変更した上で、評価開始通知として該当する消去候補IDを管理プログラム1301に送信する(S2206)。管理プログラム1301は、受信した消去候補IDについて、消去可否判定一覧データ1304の該当するユーザ機器IDの評価結果を評価中に更新し(S2207)、更新完了を消去プログラム1401に返信する(S2208)。
【0076】
次に、消去プログラム1401は評価依頼一覧データ1402を見て評価満了日2004に記載の日付が過ぎているかを調べることで期限満了の消去候補があるかを確認し(S2209)、もし期限満了の消去候補があれば、該当する消去候補についてユーザ124に図24で示す評価入力画面インターフェースで提示する(S2210)。
【0077】
図24は、消去候補の消去影響の評価入力の依頼をユーザに提示する評価入力依頼画面インターフェースを示す図である。評価入力依頼画面インターフェースは、タイトル表示エリア2401、操作内容表示エリア2402から構成される。操作内容表示エリア2402には、消去候補のパス、作成アプリケーション名、評価満了日と、消去による影響をユーザ124が評価して入力するための影響有無入力のラジオボタンやテキスト入力エリアが表示される。ユーザ124は、ボタンを押したりテキスト入力したりすることで回答する(S2211)。
【0078】
ユーザ124が評価入力を行った後、消去プログラム1401は評価依頼一覧データ1402の該当する消去候補を削除した上で、評価結果として該当する消去候補IDと評価入力内容を管理プログラム1301に送信する(S2212)。管理プログラム1301は、受信した消去候補IDが該当する消去可否判定一覧データ1304の内容を更新する。送信してきたユーザ機器121が評価ユーザ機器(1)ID1704記載のものであれば評価結果(1)1705に受信した評価入力内容を登録し、評価ユーザ機器(2)ID1706記載のものであれば評価結果(2)1707に受信した評価入力内容を登録する(S2213)。
【0079】
さらに、評価結果(1)1705と評価結果(2)1707がどちらも未開始や評価中ではなく登録された状態になった場合、該当の消去候補について残存許可一覧データ1302と消去対象一覧データ1303の一覧更新処理を実施する(S2214)。一覧更新処理S2214のフローチャートを図25に示す。
【0080】
図25は、管理プログラム1301が管理者123と連携し、消去による影響の評価結果および管理者による判定結果により、残存許可一覧データ1302と消去対象一覧データ1303を更新する動作を説明するフローチャートである。まず、管理プログラム1301は該当の消去候補について、消去可否判定一覧データ1304の評価結果(1)1705と評価結果(2)1707の内容を確認し、どちらも影響無しの場合は、消去対象一覧データ1303に該当の消去候補を追加する(S2506)。どちらか一方でも影響有りの場合は、該当する消去候補について管理者123に図26で示す消去判断依頼画面インターフェースで提示する(S2502)。
【0081】
図26は、消去候補の消去影響の評価結果を提示し消去するかどうかの判定を管理者123に依頼する消去判断依頼インターフェースを示す図である。消去判断依頼インターフェースは、タイトル表示エリア2601、操作内容表示エリア2602から構成される。操作内容表示エリア2602には、消去候補のパス、作成アプリケーション名、評価結果、消去候補のファイルの管理機器内保存パスと、消去するかしないかを管理者123が回答するボタンが表示される。
【0082】
管理者123は、管理機器内保存パスに示されたファイルを開いて内容を確認した上で判定を実施して回答する(S2503)。
【0083】
S2503の回答の結果が消去しないの場合は、残存許可一覧データ1302に該当の消去候補を追加し(S2505)、消去可否判定一覧から該当の消去候補の行を削除する(S2507)。S2503の回答の結果が消去するの場合は、消去対象一覧データ1303に該当の消去候補を追加し(S2506)、消去可否判定一覧から該当の消去候補の行を削除する(S2507)。
【0084】
上記の一覧更新処理(S2214)が終了したら、管理プログラム1301は、登録完了を消去プログラム1401に返信する(S2215)。以上が図22で示した、未開始の消去候補の評価開始と、期限満了の消去候補の評価を実施するまでの動作である。更新された残存許可一覧データ1302と消去対象一覧データ1303は全てのユーザ機器に送付され適用される。
【0085】
上記のように、本発明の実施例3によれば、ユーザ機器121が起動した際に残存ファイルを確認して、残存許可一覧データ1302と消去対象一覧データ1303のどちらにも含まれずに残存したファイルの一覧は、管理サーバに送信されて他のユーザ機器の分も含め追加され更新される。追加の際には、消去の影響を1台以上のユーザ機器で評価し、その評価結果と管理者による判断に従って追加するかどうかが判定される。
【0086】
すなわち、消去の影響がないと評価された場合は消去対象に追加され、消去の影響がある場合は管理者が判断した結果で消去対象もしくは残存許可対象に追加される。そして、1台以上の残存ファイルの一覧を反映し消去の影響も加味して更新された消去対象一覧データ1303がユーザ機器121に適用されユーザ機器121の終了前に消去することが可能となり、ユーザ機器121の残存データによるセキュリティリスクを更に低減できるようになる。
【0087】
上記実施例は、装置に保存されたデータを消去するデータ消去機器であって、装置の起動後に装置内に残存したデータの一覧を残存データ一覧として取得する手段と、残存データ一覧を用いて装置の終了前にデータを消去する手段を持つ。そして、装置の起動後に装置内に残存したデータの一覧を取得が完了するまではアプリケーションの起動を抑止する手段を持つ。
【0088】
また、装置に保存されたデータを消去するデータ消去システムであって、装置の起動後に装置内に残存したデータの一覧を残存データ一覧として取得する手段と、1台以上の装置で取得した残存データ一覧を管理機器に収集する手段と、収集した残存データ一覧を集約した集約残存データ一覧を作成して装置に配布する手段と、集約残存データ一覧を用いて装置の終了前にデータを消去する手段を持つ。そして、装置の起動後に装置内に残存したデータの一覧を取得が完了するまではアプリケーションの起動を抑止する手段を持つ。
【0089】
また、上記データ消去システムにおいて、残存データを消去した場合の影響を評価した上で集約残存データに追加するかどうかを判断する手段を持つ。また、上記データ消去システムであって、残存データを消去した場合の影響を装置のユーザが評価する手段を持つことを特徴とする。また、上記データ消去システムであって、残存データを消去するかどうかを管理者が判定する手段を持つ。
【0090】
上記実施例によれば、データ消去装置において、残存ファイルを把握して消去することにより消去漏れを防ぎ情報漏洩リスクを軽減することができる。
【0091】
なお、本発明は、上記の実施例に限定されるものではなく、その要旨の範囲内で様々な変形が可能である。例えば、実施例3では2台のユーザ機器で影響を評価したが1台または3台以上に拡張しても良い。また、実施例3では管理者が消去対象とするかを判断しているが、残存ファイルにキーワードが入っているかどうかなどにより機械的に判断しても良い。さらに、実施例3ではユーザへの評価の終了の判断は日にちによって行っているが、評価開始からのユーザ装置の起動回数やアプリケーションの起動回数、アプリケーションの利用時間などその他の方法により判断しても良い。
【0092】
また、組織のセキュリティ方針を反映した消去対象決定ポリシを定義可能として、例えばデータ消去の影響が無かったと回答した人が2人以上だと消去対象に追加する、影響がある場合でもすべて消去対象に追加する、消去対象とするパスを限定するなどとしても良い。
【0093】
消去の評価を行う際に、バックアップを取って置き、データ消去の影響があったらすぐに元に戻せるようにしても良い。さらに、ユーザ機器上の残存したファイル名やフォルダ名には、ユーザ名やユーザ機器名、ファイル生成時刻など、ユーザ機器ごとに異なる文字列が含まれる場合があるため、同じ用途のファイルであっても複数のユーザ機器間で異なるファイル名やフォルダ名となっている場合を想定し、ファイル名やフォルダ名の正規化やマッチング処理を実施した上で残存ファイルの確認や消去を行うようにしても良い。
また、図1、図6、図13、図14のシステム構成図において、プログラムやデータの一部又は全ては、予め記憶装置15、記憶装置65、記憶装置135及び記憶装置145に格納されていても良いし、非一時的記憶媒体から又は外部の非一時的記憶装置を備えた情報処理装置からネットワーク経由で導入されても良い。
また、図1、図6、図13、図14のシステム構成図において、プログラムやデータの一部又は全ては、予め記憶装置15、記憶装置65、記憶装置135及び記憶装置145に格納されていても良いし、非一時的記憶媒体から又は外部の非一時的記憶装置を備えた情報処理装置からネットワーク経由で導入されても良い。