内容信息认可装置

具体实施方式

以下，使用附图详细说明实施本发明的第一实施方式。

在以下的说明以及附图中，将电子邮件简记为“邮件”。另外，在以后的说明中，所谓“内容信息”，只要不特别加以说明，不仅包含文本文件、图像文件等文件，也包含数据库的各记录等，是指能够作为阅览、视听、邮件收发或者向外部存储介质复制等的对象的全部电子数据。而且，所谓“安全内容信息”，是指内容信息中通过加密等方法而无法容易地进行阅览、视听的内容信息。

图1是本发明的第一实施方式中的内容信息认可系统的系统结构图。

<内容信息认可系统的整体结构以及功能>

该实施方式的内容信息认可系统，是通过有线或无线的通信线路将内容信息认可服务器1、客户机3、过滤服务器4、邮件服务器5、路由器6、客户机7各装置以可以相互通信的方式连接而成的系统。

各装置仅示出了1台，但也可以分别存在两台以上。另外，各装置不需要分别存在1台，例如也可以构成为1台装置具备过滤服务器4和邮件服务器5两者的功能。而且，也可以把图1中1台装置所具备的多个单元(例如内容信息认可服务器1的安全内容信息生成单元11和内容信息带出认可单元12)分离配备在不同装置上。

在图1中，内容信息认可服务器1、客户机3、过滤服务器4、邮件服务器5以及路由器6通过LAN(Local Area Network)8以可互相通信的方式相连，但连接方法不限于LAN，例如也可以通过WAN(Wide Area Network)连接。

另外，在图1中，客户机7通过因特网9与LAN8连接，但连接方法不限于因特网，例如客户机7也可以与不同于LAN8的LAN连接，由路由器6连接这些LAN。

通过以上结构，客户机3向客户机7发送的邮件首先由过滤服务器4接收，过滤服务器4在向内容信息认可服务器1查询可否发送在邮件中附加的内容信息后，把接收到的邮件发送到邮件服务器5，邮件服务器5可以把接收到的邮件经由路由器6发送到客户机7。

即，客户机3在邮件发送时不进行特别的处理，自动地判定在客户机3发送的邮件中附加的内容信息可否发送，可以仅把允许发送的内容信息发送到邮件的发送目的地。此外，在以上的处理的过程中，客户机3、客户机7、过滤服务器4、邮件服务器5以及路由器6根据需要在未图示但各自具备的主存储装置等中存储要收发的邮件。

<内容信息认可系统的各部的结构以及功能>

着眼于客户机3发送的邮件，按照收发邮件的顺序说明各装置的结构、功能。

<客户机3的结构以及功能>

客户机3是PC(Personal Computer)等装置，以可通信的方式与输入装置35、显示装置36以及存储装置37连接。输入装置35是键盘、鼠标等装置，客户机3的操作者通过操作输入装置35可以指示客户机3要执行的处理。

显示装置36是液晶显示器、打印机等，显示、打印由客户机3执行后的处理的结果等。

存储装置37是磁盘等装置，在客户机3中内置或外部连接。在存储装置37中存储了包含安全内容信息39的内容信息38。

虽未图示，但客户机3具备CPU(Central Processing Unit)以及主存储装置，CPU在主存储装置中载入各种程序(例如邮件收发程序)，通过执行其命令代码来执行各种处理。不仅客户机3，过滤服务器4、邮件服务器5、内容信息认可服务器1以及客户机7也同样。

以上的程序执行所涉及的技术是公知的，因此在各附图以及以后的说明中，为了避免涉及程序执行的说明变得复杂，如把邮件收发程序称为邮件收发单元32那样，对于各种程序如存在硬件那样来描述，如各单元执行处理那样来描述。实际上，各单元(例如邮件收发单元32)也可以通过电子装置或者电子装置和固件的组合来构成。

客户机3具备安全内容信息生成请求单元31以及邮件收发单元32。

安全内容信息生成请求单元31(安全内容信息生成请求程序)，请求内容信息认可服务器1对客户机3的操作者使用输入装置35所指定的内容信息进行加密等，将进行加密等处理后的安全内容信息39存储在存储装置37中。

邮件收发单元32如前所述是邮件收发程序，是所谓的邮件程序(mailer，电子邮件客户程序)。将邮件收发单元32设定为首先将发送邮件发送到过滤服务器4。例如在邮件收发程序的环境设定时，通过作为发送服务器而设定过滤服务器4的IP(Internet Protocol)地址，可以进行这种设定。

内容信息38只不过是存储装置37中存储的内容信息全体的总称，并不需要具备“内容信息38”这样的特别的文件或数据库。同样地，安全内容信息39只不过是通过内容信息认可服务器1实施了加密等处理后的安全内容信息全体的总称，并不需要具备“安全内容信息39”这样的特别的文件或数据库。

<过滤服务器4的结构以及功能>

过滤服务器4是PC等装置，具备过滤单元41。

过滤单元41是过滤程序，与一般的过滤程序一样从客户机3接收邮件，通过判定在接收到的邮件的正文等中是否包含用于推测信息泄漏的风险的预定用语(例如“绝密”、“个人信息”)，来判定可否发送该邮件，将判定为可发送的邮件发送到邮件服务器5。

另外，本发明的过滤单元41，除了上述功能以外，判定在从客户机3接收的邮件中是否附加了内容信息(邮件中附加的内容信息一般称为“附件”，但在以下的说明中为了将用语统一为“内容信息”而称为“附加内容信息”)，向内容信息认可服务器1查询在邮件中附加的内容信息可否发送，仅在内容信息认可服务器1回答了可发送的情况下将该邮件发送到邮件服务器5。此外，关于本功能，在后面参照流程图进行详细说明。

<邮件服务器5的结构以及功能>

邮件服务器5是PC等装置，具备邮件发送单元51。

邮件发送单元51是邮件发送程序，例如是SMTP(Simple Mail TransferProtocol)服务器(程序)。邮件发送单元51把从过滤服务器4接收到的邮件发送到邮件的发送目的地(例如客户机7)。

具备该功能的邮件服务器5是熟知的，因此不再进行说明。

<路由器6的结构以及功能>

路由器6把向LAN8连接的装置以外发送的邮件发送到因特网9。相反，只要是具备这种功能的装置即可，不需要一定是路由器。

发送到因特网9的邮件虽未图示，但经由各种通信装置由发送目的地(例如客户机7)接收。

<客户机7的结构以及功能>

客户机7与客户机3同样是PC等装置，以可通信的方式与输入装置73、显示装置74连接。输入装置73是键盘、鼠标等装置，客户机7的操作者通过操作输入装置73可以指示客户机7要执行的处理。

显示装置74是液晶显示器、打印机等，显示、打印客户机7执行后的处理的结果等。客户机7与客户机3同样，具备邮件收发单元71(邮件收发程序)，邮件收发单元71接收以客户机7作为发送目的地的邮件。

另外，客户机7具备解密处理单元72(解密处理程序)。解密处理单元72使用从输入装置73输入的解密密钥等，对在接收到的邮件中附加的、进行了加密等处理后的内容信息进行解密，将解密结果显示在显示装置74上。

<内容信息认可服务器1的结构以及功能>

关于内容信息认可服务器1的结构以及功能，在此前的说明中有所涉及，但在此集中说明结构以及功能。

内容信息认可服务器1是PC等装置，以可通信的方式与存储装置2连接。存储装置2是磁盘等装置，在内容信息认可服务器1中内置或者外部连接。此外，存储装置2不需要与内容信息认可服务器1直接连接。例如，虽未图示，但可以在与内容信息认可服务器1不同的LAN8上连接文件服务器，将存储装置2与该文件服务器连接。存储装置2和未图示的内容信息认可服务器1的主存储装置等，作为内容信息认可服务器1的存储单元而工作。

内容信息认可服务器1是PC等装置，具备安全内容信息生成单元11(安全内容信息生成程序)以及内容信息带出认可单元12(内容信息带出认可程序)。当然，具备安全内容信息生成单元11的服务器和具备内容信息带出认可单元12的服务器也可以作为不同的装置来构成。

安全内容信息生成单元11，当从客户机3的安全内容信息生成请求单元31接收针对指定内容信息的加密等处理请求时，对指定内容信息进行加密等处理，将进行加密等处理后的安全内容信息21存储在存储装置2中，并且将进行加密等处理后的安全内容信息21发送到安全内容信息生成请求单元31。另外，关于在存储装置2中存储的安全内容信息21，将文件名等存储在安全内容信息管理文件22中来管理。

此外，安全内容信息21只不过总称通过安全内容信息生成单元11实施了加密等处理后的安全内容信息全体，并不需要具备“安全内容信息21”这样的特别的文件或数据库。

内容信息带出认可单元12从过滤服务器4的过滤单元41接收在邮件中附加的内容信息可否发送的查询，参照安全内容信息管理文件22等来判定可否发送内容信息，将判定结果发送到过滤单元41。

关于安全内容信息生成单元11以及内容信息带出认可单元12的功能，在后面参照流程图进行详细说明

<关于内容信息认可系统的结构以及功能的补充说明>

接着，以向客户机3发送邮件的情况为例，对各装置的结构、功能进行补充说明。

在邮件服务器5中也可以进一步具备POP(Post Office Protocol)服务器(程序)。或者可以将与邮件服务器5不同的、具备POP服务器(程序)的装置与LAN8连接。在这样的情况下，路由器6从因特网9接收到的以客户机3为发送目的地的邮件被发送到邮件服务器5，邮件服务器5的POP服务器(程序)根据来自客户机3的邮件收发单元32的请求，把接收到的邮件发送到客户机3。客户机3的操作者通过用输入装置35操作邮件收发单元32，可以使显示装置36显示邮件的正文等。

<安全内容信息管理文件22的数据结构、功能的说明>

图2是安全内容信息管理文件22的数据结构图。

在安全内容信息管理文件22中存储与各安全内容信息21分别对应的安全内容信息管理记录220。即，每当安全内容信息生成单元11生成一个安全内容信息21时，安全内容信息管理记录220生成一个记录。因此，在安全内容信息21一个也未生成的情况下，安全内容信息管理记录220不存在(换言之，存在0记录)。

安全内容信息管理记录220由日期时间221、用户ID222、管理者ID223、内容信息名224、原本散列值225、安全内容信息散列值(hash)226以及有效/无效标志227各项目构成。

在日期时间221中，把安全内容信息生成单元11生成安全内容信息21的日期时间设定为例如“20081014131011”(2008年10月14日13时1分11秒)。

在用户ID222中，把用于识别请求生成安全内容信息21的客户机3的操作者的ID(Identifier)设定为例如“user1”。

在管理者ID223中，把用于识别认可了安全内容信息21的生成的预定的管理者的ID设定为例如“admin1”。

在内容信息名224中，设定生成安全内容信息21时的、原来的内容信息的文件名或数据库的记录ID等。

在原本散列值225中，设定根据生成安全内容信息21时的、原来的内容信息的数据内容信息的一部分或全部而生成的数据(例如所谓的散列值)。作为根据内容信息生成散列值的方法，已知各种方法，选择适当方法即可。另外，也可以不使用所谓的散列函数，而存储例如原来的内容信息的开头200字节。即，设定能够以某种程度的可靠性判定是相同内容的内容信息的值即可。

在安全内容信息散列值226中，设定根据所生成的安全内容信息21的数据内容信息的一部分或全部而生成的数据(例如所谓的散列值)。与原本散列值225同样，作为根据内容信息生成散列值的方法，已知各种方法，选择适当方法即可。另外，也可以不使用所谓的散列函数，而存储例如安全内容信息21的开头200字节。即，设定能够以某种程度判定是相同内容的内容信息的值即可。

在以后的说明中，不仅包含使用所谓散列函数的情况，也包含所述使用开头200字节的情况，把根据原来的内容信息或安全内容信息21的数据内容信息的一部分或全部而生成的数据描述为“散列值”。

如后所述，过滤服务器4的过滤单元41根据邮件中附加的内容信息生成散列值，发送到内容信息认可服务器1的内容信息带出认可单元12。然后，内容信息带出认可单元12，在某个安全内容信息管理记录220的安全内容信息散列值226中设定了与接收到的散列值一致的值的情况下，允许发送附加内容信息。因此，作为根据安全内容信息21生成散列值的方法可以使用任意方法，但必须与过滤单元41根据邮件中附加的内容信息生成散列值的方法一致。

有效/无效标志227是判别该安全内容信息管理记录220是否有效的标志，设定表示“有效”或“无效”的值(以下将该值记载为“有效”或“无效”)。在有效/无效标志227中设定了无效的情况下，禁止把与该安全内容信息管理记录220对应的安全内容信息21附加在邮件中。

<邮件的数据结构的说明>

图3是客户机3发送的邮件的数据结构图。

邮件如通常已知那样，由邮件头301、正文302以及附加内容信息303(一般所说的“附件”)构成。有时不附加附加内容信息303，有时附加两个以上附加内容信息。

<内容信息认可系统的动作>

以上，结束本发明的第一实施方式中的内容信息认可系统的结构以及功能的说明，以下，参照流程图说明本发明的第一实施方式中的内容信息认可系统的动作。

<与安全内容信息生成有关的动作>

图4是表示安全内容信息生成请求单元31的动作的流程图。

客户机3的操作者操作输入装置35来启动安全内容信息生成请求单元31。

安全内容信息生成请求单元31在开始处理时，在显示装置36上显示登录画面，将通过客户机3的操作者输入的用户ID等发送到安全内容信息生成单元11，向安全内容信息生成单元11进行登录(S401)。

安全内容信息生成请求单元31，在向安全内容信息生成单元11登录后，直到通过客户机3的操作者指示结束处理为止，进行以后的处理(S402)。

安全内容信息生成请求单元31在显示装置36上显示催促对内容信息进行指定的消息(S403)，把通过客户机3的操作者指定的内容信息38以及指定的内容信息38的内容信息名(文件名、数据库的记录ID等)，与通过客户机3的操作者输入的用户ID一起发送到安全内容信息生成单元11，请求安全内容信息生成单元11生成安全内容信息(S404)。

安全内容信息生成请求单元31，当从安全内容信息生成单元11接收到安全内容信息时(S405)，将接收到的安全内容信息作为安全内容信息39存储在存储装置37中(S406)。

图5是表示安全内容信息生成单元11的动作的流程图。此外，与从客户机3进行的登录相关的动作与一般的登录处理没有变化，因此省略了记载。

当内容信息认可服务器1从安全内容信息生成请求单元31接收安全内容信息的生成请求时，启动安全内容信息生成单元11。

安全内容信息生成单元11开始处理时，接收安全内容信息生成请求单元31发送的用户ID、内容信息以及内容信息名(S501)，通过对接收到的内容信息进行加密等处理生成安全内容信息，作为安全内容信息21存储在存储装置2中(S502)。

接着，安全内容信息生成单元11生成安全内容信息管理记录220，存储在安全内容信息管理文件22中(S503)。此时，在日期时间221中设定安全内容信息生成单元11生成安全内容信息的日期时间，在用户ID222中设定接收到的用户ID，在内容信息名224中设定接收到的内容信息名，在有效/无效标志227中设定有效。另外，根据接收到的内容信息以及生成的安全内容信息分别生成散列值，分别设定在原本散列值225以及安全内容信息散列值226中。此外，在管理者ID223中设定空白值。

接着，安全内容信息生成单元11将生成的安全内容信息发送到安全内容信息生成请求单元31(S504)，结束处理。

如后所述，通过参照安全内容信息管理记录220可以判定可否带出内容信息。因此，生成的安全内容信息不需要一定存储在存储装置2中，可以在发送到安全内容信息生成请求单元31后删除。为了防止信息泄漏，这样最好。把生成的安全内容信息存储在存储装置2中的主要目的是用于在客户机3的操作者错误地删除安全内容信息39的情况下配备的备份。

<安全内容信息生成的效果>

通过如上所述那样生成安全内容信息21，并通过安全内容信息管理记录220管理所生成的安全内容信息21，可以得到以下效果。

首先，在安全内容信息管理记录220的安全内容信息散列值226中存储所生成的安全内容信息21的散列值。因此，如后所述，在客户机3的操作者将内容信息38附加在邮件中进行发送的情况下，生成所附加的内容信息的散列值，并判定所生成的散列值是否与某个安全内容信息散列值226一致，由此可以判定是否是生成了安全内容信息21的内容信息。并且，仅把生成了安全内容信息21的内容信息设为可发送。

即，可以在邮件中附加的内容信息仅限于生成了安全内容信息21的内容信息，因此，相反想要在邮件中附加内容信息时不得不生成安全内容信息21。并且，当生成安全内容信息21时，在安全内容信息管理记录220的用户ID222中设定请求生成的操作者。因此，当针对不能附加在邮件中的内容信息而生成安全内容信息21时，保留该履历。因此，可以抑制针对不能附加在邮件中的内容信息生成安全内容信息21的行为，可以有效地限制把内容信息带出到外部。

另外，是否是生成了安全内容信息21的内容信息的判定，通过比较散列值(即内容信息的内容)来进行，因此，例如在生成安全内容信息21后变更了内容信息名这样的情况下，不需要再次生成安全内容信息21。

另一方面，在生成安全内容信息21后变更了内容信息的内容的情况下(例如追加了最初在内容信息中不包含的秘密信息)，即使内容信息名相同，由于生成的散列值改变，因此也可以防止附加在邮件中来发送。

例如，也可以把可附加在邮件中的内容信息本身存储在内容信息认可服务器1的存储装置2中，通过与附加在邮件中的内容信息进行比较来判定可否带出。但是，在这种方法的情况下，需要用于存储可附加在邮件中的内容信息的存储容量，另外，内容信息的比较所需要的处理时间也延长。而且，由于对可附加在邮件中的内容信息进行集中存储，因此产生从内容信息认可服务器1的存储装置2的信息泄漏等新的信息泄漏风险。

另一方面，本发明的方法中，在内容信息认可服务器1的存储装置2中存储原来的内容信息以及安全内容信息的散列值(即小容量的数据)即可。因此，可否带出的判定所需的处理时间也缩短，另外，通过作为散列值而使用安全内容信息的一部分、或者由所谓的散列值函数生成的不可逆的值，可以防止从内容信息认可服务器1的存储装置2的信息泄漏。

接着，关于生成了安全内容信息21的内容信息生成安全内容信息管理记录220，因此，可以容易地掌握通过加密等方法而无法容易地阅览、视听等的内容信息(安全内容信息)。

例如，通过在内容信息认可服务器1中具备显示装置和显示安全内容信息管理记录220的一览的程序，可以对安全内容信息21中存储的安全内容信息的内容信息名223、生成日期时间220、用户ID221等进行一览显示。因此，内容信息认可服务器1的操作者通过确认上述一览显示，可以确认有可能进行邮件发送的内容信息是什么内容信息。

另外，如后所述，通过仅把有效/无效标志227为有效的内容信息设为在邮件发送时可附加，并在内容信息认可服务器1中具备可以更新安全内容信息管理记录220的程序，在上述一览显示中包含不能邮件发送的内容信息的情况下，通过把有效/无效标志227变更为无效，可以防止将该内容信息附加在邮件中进行发送。或者，也可能检测对于这样的不能发送的内容信息频繁地生成了安全内容信息21的用户ID222来进行警告。

而且，每当生成安全内容信息管理记录220时，向预定的管理者通过邮件发送所生成的安全内容信息管理记录220的设定内容信息，也可以引起管理者的注意。

<安全内容信息生成的其它方法>

如上所述，通过生成安全内容信息21，并通过安全内容信息管理记录220管理所生成的安全内容信息21可以得到各种效果。但是，在此前所说明的方法中，在内容信息认可服务器的功能方面，若是可以登录到安全内容信息生成单元11的操作者，则针对任何内容信息38都可以生成安全内容信息21。例如，无法防止认为即使管理者得知对于不能附加在邮件中的内容信息生成了安全内容信息21也没关系的操作者的行为。另外，也无法防止由于过失而对不能附加在文件中的内容信息生成安全内容信息21的行为。

因此，内容信息认可服务器1的操作者，在忽略了生成了这样的安全内容信息21的情况下，会发送不能发送的内容信息。

因此，关于与安全内容信息21生成相关的操作进行所谓的工作流程化，可以仅对由预定的管理者承认的内容信息进行安全内容信息21的生成。

在以后的说明中，所谓“工作流程”，表示按照预先决定的操作步骤(审批工序)对电子化的申请书或通知书进行收集分发、审批处理。

图6是说明使用工作流程来生成安全内容信息21时的操作的流程图。

在使用工作流程来生成安全内容信息21的情况下，安全内容信息生成单元11可以具备工作流程功能，除图1所示的装置以外还可以具备工作流程服务器(以下，在图6的说明中，把具备工作流程功能的安全内容信息生成单元11、或者具备工作流程功能的工作流程服务器称为“工作流程产品”)。

首先，想要生成安全内容信息的客户机3的操作者(以下，在图6的说明中称为“用户”)，在向工作流程产品登录后，指定内容信息38中的某个内容信息来进行安全内容信息生成申请(S601)。

当进行安全内容信息生成申请时，向预定的管理者(以下，在图6的说明中称为“系统管理者”)操作的客户机3通知通过工作流程产品进行了安全内容信息生成申请。

系统管理者通过工作流程产品确认在显示装置36上显示的用户的用户ID是否存在于预先生成的允许安全内容信息生成的用户一览中，由此判断是否允许来自用户的安全内容信息生成申请(S602)。

系统管理者，当判断为不能允许来自该用户的安全内容信息生成申请时，向工作流程产品指示驳回(S603：否)。通过该驳回指示，关于该内容信息的安全内容信息生成申请结束。系统管理者，当判断为可以允许来自该用户的安全内容信息生成申请时(S603：是)，在显示装置36上显示用户申请的内容信息的内容，判断是否是可以允许附加在邮件中来发送的内容信息(S604)。

系统管理者，例如在判断出是涉及商业秘密的内容信息所以不能允许时，向工作流程产品指示驳回(S605：否)。通过该驳回指示，关于该内容信息的安全内容信息生成申请结束。

系统管理者，当判断出可以允许时(S605：是)，指示安全内容信息生成单元11生成安内容信息(S606)。

具体来说，例如向工作流程产品指示启动安全内容信息生成单元11来生成安全内容信息。然后，工作流程产品启动安全内容信息生成单元11，向安全内容信息生成单元11通知进行了安全内容信息生成申请的用户的用户ID、系统管理者的用户ID、成为安全内容信息生成申请的对象的内容信息以及内容信息名。

这种情况下的安全内容信息生成单元11的动作与图5中说明的动作几乎相同，不同点在于，在S503中把从工作流程产品通知的系统管理者的用户ID设定在安全内容信息管理记录220的管理者ID223中。

<安全内容信息生成的其它方法的效果>

根据以上说明的基于工作流程的方法，在客户机3中不具备安全内容信息生成请求单元31这样的特别的程序，通过使用一般的工作流程产品可以生成安全内容信息21。

另外，仅将预定的管理者允许的内容信息38作为安全内容信息21来生成，因此还可以有效地防止对于不能附加在邮件中的内容信息生成安全内容信息21、即发送不能发送的内容信息。

但是，由于需要由预定的管理者进行确认等，因此运营方面的负担增大。因此，对于通过哪种方法生成安全内容信息，应该考虑由于发送了不能发送的内容信息所导致的风险、和运营方面的负担来决定。

工作流程产品存在具有各种功能的产品。上述基于工作流程的方法只不过是一例，生成安全内容信息21时的操作，结合工作流程产品的功能来适当选择即可。

<关于安全内容信息生成的总结>

而且，安全内容信息21不仅可以通过工作流程产品生成、也可以通过其它任意方法来生成。本质上重要的是关于可以附加在邮件中的内容信息、更一般而言是允许带出到外部的内容信息，生成根据允许带出到外部的内容信息的数据内容信息的一部分或全部而生成的数据来存储，因此，该数据即使在变更了内容信息名等情况下也能够作为识别允许带出到外部的内容信息的数据来使用。

<与邮件发送相关的动作>

图7是表示邮件收发单元32的、与邮件发送相关的动作的流程图。

客户机3的操作者操作输入装置35来启动邮件收发单元32。

邮件收发单元32开始处理时，到通过客户机3的操作者指示处理结束为止，进行以后的处理(S701)。

邮件收发单元32生成邮件(S702)。具体来说，显示装置36显示邮件生成画面，把通过客户机3的操作者输入到邮件生成画面中的邮件发送目的地、邮件正文等设定在图3所示的邮件头301、正文302中，把通过客户机3的操作者指定的安全内容信息39设定在附加内容信息303中。

邮件收发单元32也可以把未实施加密等处理的内容信息38设定在附加内容信息303中，但这种情况下如后所述，由过滤单元41判断出是不允许发送的内容信息，中止邮件发送。

接着，邮件收发单元32把所生成的邮件发送到过滤单元41(S703)。

图8是表示过滤单元41的动作的流程图。

当过滤服务器4从邮件收发单元32接收邮件时，启动过滤单元41。

过滤单元41在开始处理时，判定在邮件收发单元32所发送的邮件的邮件正文302等中是否包含不适当的字符等(S801)。该处理是所谓的邮件过滤处理，因为已知各种方法，所以在此不再说明。

接着，过滤单元41判定是否已将附加内容信息303设定在邮件中(S802)，在未设定的情况下(S802：否)结束处理，在已设定的情况下(S802：是)，进行以后的处理。

过滤单元41生成附加内容信息303的散列值(S803)。

在此，散列值生成方法如前所述，需要与安全内容信息生成单元11生成安全内容信息21的散列值的方法一致。即，虽然不需要是相同的处理步骤，但关于各内容信息，安全内容信息生成单元11和过滤单元41需要生成相同的散列值。另外，在邮件中设定了多个附加内容信息303的情况下，关于全部附加内容信息303分别生成散列值。

过滤单元41判定可否发送附加内容信息303(S804)。具体来说，将关于附加内容信息303而生成的散列值发送到内容信息带出认可单元12，查询可否发送附加内容信息303，在内容信息带出认可单元12回答了可发送(即可带出)的情况下，判定为可以发送附加内容信息303。反之，在内容信息带出认可单元12回答了不可发送(即不可带出)的情况下，判定为不可发送附加内容信息303。此外，在邮件中设定了多个附加内容信息303的情况下，针对各个附加内容信息303进行可否发送的查询。

过滤单元41，在判定为可以发送附加内容信息303的情况下(S805：是)，将邮件发送到邮件服务器5(S806)，在判定为不可发送附加内容信息303的情况下(S805：否)，不发送邮件地结束处理(S807)。

在邮件中设定了多个附加内容信息303的情况下，在关于某个附加内容信息303不可发送时，可以不发送邮件。附加了不允许发送的内容信息，例如，也有可能在邮件正文302中存在过滤单元41未检测出的不适当的字符等。因此，这样一来，与后述的方法相比，可以更有效地防止不适当的邮件的发送。

另一方面，在附加多个内容信息，其中一个附加内容信息303为不可发送的情况下中止邮件发送时，在业务中也有可能发生不适当。因此，在邮件中设定了多个附加内容信息303，在关于某个附件内容信息303不可发送时，可以不中止邮件发送，仅删除不可发送的附加内容信息303然后发送。

而且，在邮件中已设定一个附加内容信息303，关于该附加内容信息303不可发送的情况下，也可以删除附件303来发送邮件正文302。在这种情况下，与所述方法相比，防止不适当的邮件发送的效果稍有下降，但发生业务上的不适当的可能性也可以降低。

此外，在中止邮件发送的情况下、或者仅删除不可发送的附加内容信息303来发送邮件的情况下，可以向邮件的发送源或预定的系统管理者等发送通知发送了不适当的内容信息的邮件。

图9是表示内容信息带出认可单元12的动作的流程图。

当内容信息允许服务器4从过滤单元41接收关于附加内容信息303可否发送的查询时，启动内容信息带出认可单元12。

内容信息带出认可单元12当开始处理时，接收过滤单元41发送的散列值(S901)，与安全内容信息管理记录220的散列值比较(S902)。具体来说，判定在某个安全内容信息管理记录220的安全内容信息散列值226中是否设定了与接收到的散列值相同的值。

内容信息带出认可单元12，当存在满足上述条件、并且在有效/无效标志227中设定了有效的安全内容信息管理记录220时(S903：是)，向过滤单元41发送“可带出”(S904)，当不存在时(S903：否)，向过滤单元41发送“不可带出”(S905)，结束处理。

此外，内容信息带出认可单元12不仅参照安全内容信息散列值226，也可以参照原本散列值225。

具体来说，例如过滤单元41在图8的S803～S804中不生成附加内容信息303的散列值而将附加内容信息303发送到内容信息带出认可单元12。然后，内容信息带出认可单元12在S901中不接收散列值而接收附加内容信息303，根据附加内容信息303生成散列值。然后，在S902中，当不存在与生成的散列值一致的安全内容信息管理记录220时，在附加内容信息303中进行与安全内容信息生成单元11同样的加密等处理来生成散列值，判定是否存在与生成的散列值一致的安全内容信息管理记录220。

如此一来，在把生成了安全内容信息21的内容信息的原本(进行加密等处理之前的内容信息)附加在邮件中的情况下也可以发送。

在这种情况下，在S904中除了“可带出”的回答以外，还把实施了加密等处理后的安全内容信息发送到过滤单元41，过滤单元41需要把附加内容信息303替换成从内容信息带出认可单元12接收到的安全内容信息。

<应用于一般的内容信息带出控制>

在第一实施方式中，关于在邮件中附加内容信息的情况，说明了使得不发送不适当的内容信息的方法，但本发明的应用范围不限于邮件发送，例如也可以应用于将内容信息复制到可移动介质(removab1e media)的情况下。

图10是本发明的第2实施方式中的内容信息认可系统的系统结构图。

与第一实施方式的不同点在于，客户机3除了与输入装置35等连接以外，还以可通信的方式与可移动介质34连接，除了安全内容信息生成请求单元31等以外，还具备外部带出监视单元33(外部带出监视程序)。

可移动介质34例如是USB存储器、DVD等介质，客户机3的操作者可以操作输入装置35把存储装置37中存储的内容信息38复制到可移动介质34中。

外部带出监视单元33，当想要把内容信息38复制到可移动介质34中时，判定可否复制，在不可复制的情况下中止复制处理。

图11是表示外部带出监视单元33的动作的流程图。

虽然未图示，但客户机3的OS(Operating System)，在检测出想要进行复制时启动外部带出监视单元33。这样的处理可以通过OS所具备的功能来实现。

外部带出监视单元33在开始处理时，判定是否要带出内容信息38(是否带出内容信息)(S1101)。具体来说，当内容信息38的复制目的地是可移动介质34时，判定为要带出内容信息38。

外部带出监视单元33，在判定为不带出内容信息时(S1101：否)，结束处理，其结果，继续进行复制处理。另一方面，外部带出监视单元33，在判定为带出内容信息时(S1101：是)，进行以后的处理。

外部带出监视单元33生成要带出的内容信息38的散列值(S1102)。在此，散列值生成方法需要与安全内容信息生成单元11生成安全内容信息21的散列值的方法一致。即，虽然不需要是相同的处理步骤，但关于各内容信息，安全内容信息生成单元11和外部带出监视单元33需要生成相同的散列值。

外部带出监视单元33，判定可否带出内容信息38(S1103)。具体来说，将关于要带出的内容信息38而生成的散列值发送到内容信息带出认可单元12，查询可否带出，当内容信息带出认可单元12回答了可带出时，判定为可以带出要带出的内容信息38。反之，当内容信息带出认可单元12回答了不可带出时，判定为不可带出。

外部带出监视单元33，在判定为可以带出要带出的内容信息38时(S1104：是)结束处理，其结果，继续进行复制处理。另一方面，外部带出监视单元33，当判定为不可带出要带出的内容信息38时(S1104：否)，使通过向可移动介质34的复制来进行的带出中止(S1105)，结束处理。

在向可移动介质34的复制中，与邮件发送同样地，在想要带出生成了安全内容信息21的内容信息的原本(进行加密等处理之前的内容信息)的情况下，也可以根据要复制的内容信息生成安全内容信息，复制所生成的安全内容信息。

如上所述，外部带出监视单元33检测出想要复制各内容信息，由此可以控制可否向可移动介质34带出。例如在PC中安装USB存储器，把PC的硬盘中存储的文件一个一个复制到USB存储器中的情况下，在每次进行复制操作时控制可否带出。因此，进行复制操作的用户可以知道是否允许带出自己要复制的文件。

但是，在上述的例子中，有时用户也将多个文件一起复制到USB存储器。此时，当想要进行复制操作的文件中包含不允许带出的文件时，外部带出监视单元33应该进行以下的某个动作。

(1)包含允许带出的文件，关于全部文件中止复制处理。

(2)仅对允许带出的文件继续进行复制处理。

在此，无论进行上述哪种动作，用户为了得到带出认可，都需要向用户通知不允许带出的文件是哪个文件。并且，最好在复制操作的尽可能早的阶段向用户通知想要带出的文件的可否带出。

以下，说明向用户显示每个内容信息的可否带出的外部带出监视单元33的动作。

图12是表示这种情况下的外部带出监视单元33的动作的流程图。

外部带出监视单元33，在客户机3的启动时被启动，在显示装置36上显示内容信息带出虚拟文件夹(S1201)。

内容信息带出虚拟文件夹例如图13的D1302所示，在显示装置36的所谓桌面(D1301)上像文件夹那样显示。实际上，在存储装置37中未存储内容信息带出虚拟文件夹，它是为使用户可以通过鼠标的拖动操作等进行内容信息的复制操作而显示的虚拟的文件夹。

此外，图13中表示了在桌面(D1301)上显示内容信息带出虚拟文件夹的例子，但例如也可以在双击桌面(D1301)上显示的逻辑驱动器(未图示)时，在逻辑驱动器中包含的文件夹的树形显示中显示。

外部带出监视单元33，在用户指定带出对象内容信息之前持续等待(S1202：否)。例如用户操作鼠标(输入装置35)选择一个以上的内容信息38，把所选择的内容信息38拖到内容信息带出虚拟文件夹中时，外部带出监视单元33判断出用户指定了带出对象内容信息。

外部带出监视单元33，在判断出用户指定了带出对象内容信息时(S1202：是)，判定可否带出各内容信息38，显示带出内容信息确认画面(S1203)。

内容信息38的带出可否的判定方法与图11中说明的相同，关于全部作为带出对象而指定的内容信息(例如被拖到内容信息带出虚拟文件夹的内容信息)，进行可否带出的判定。

图13表示此时外部带出监视单元33显示的带出内容信息确认画面的一例(D1303)。

在带出内容信息确认画面(D1303)中，以绝对路径标记显示作为带出对象而指定的内容信息的名称(D1305)，通过○(可带出)或×(不可带出)的记号(D1304)显示各内容信息可否带出。

通过这些显示，用户可以一目了然地知道可否带出自己想要带出的内容信息。而且，用户通过以鼠标对所显示的内容信息的名称(D1305)部分进行点击等操作，可以把显示为可带出的内容信息中的一个以上的内容信息指定为带出对象。

另外，在带出内容信息确认画面中显示“OK”(D1306)以及“取消”(D1307)按钮，用户通过以鼠标点击某个按钮可以选择继续进行还是中止带出操作。

外部带出监视单元33，在点击带出内容信息确认画面的“OK”或“取消”按钮之前持续等待(S1204：否)。然后，虽未图示，但当点击“取消”按钮(D1307)时判断为带出操作的中止，关闭带出内容信息确认画面(从桌面(D1301)消除)，再次在用户指定带出对象内容信息之前持续等待(S1202)。

另一方面，当点击“OK”按钮(D1306)时，判断为指示了带出操作的继续进行，在桌面(D1601)上显示驱动器选择画面(S1205)。此外，在以后的处理中如前所述，把通过鼠标点击内容信息的名称(D1305)等操作而选择的内容信息，作为带出对象内容信息。

图14表示外部带出监视单元33显示的驱动器选择画面(D1401)的一例。

在驱动器选择画面(D1401)中显示客户机3可访问的逻辑驱动器中、分配给可移动介质的逻辑驱动器名的一览(D1402)。

用户通过用鼠标对所显示的逻辑驱动器名部分的某一个进行点击等操作，可以指定应该复制带出对象内容信息的可移动介质。

另外，在驱动器选择画面中显示“OK”(D1403)以及“取消”(D1404)的按钮，用户通过用鼠标点击某个按钮可以选择继续进行、还是中止带出操作。

外部带出监视单元33，在点击驱动器选择画面的“OK”或“取消”按钮之前持续等待(S1206：否)。并且，虽未图示，但当点击“取消”按钮(D1404)时，判断为指示了带出对象内容信息的再选择，关闭驱动器选择画面(从桌面(D1301)消除)，再次在点击带出内容信息确认画面的“OK”或“取消”按钮之前持续等待(S1204)。

另一方面，在点击“OK”按钮(D1403)时，判断为指示了带出操作的继续进行，进行以后的处理(S1206：是)。

接着，外部带出监视单元33关于各个带出对象内容信息，判定是否进行了内容信息的篡改(S 1207)。这是因为，例如生成不包含商业秘密等的内容信息存储在存储装置37中，关于该内容信息接受带出的认可，拖到内容信息带出虚拟文件夹，在内容信息确认画面上显示为可以带出后，可以在该内容信息中追加商业秘密等，在显示内容信息确认画面后，需要防止带出上述那样篡改后的内容信息。

具体来说，外部带出监视单元33存储了在判定可否带出内容信息(S1203)时计算出的各内容信息的散列值，在点击了驱动器选择画面的“OK”按钮后，再次计算带出对象内容信息的散列值，判定是否与预先存储的散列值一致。

然后，在散列值一致的情况下判断为未篡改带出对象内容信息的内容(S1207：否)，把对象内容信息复制到与所选择的逻辑驱动器对应的可移动介质中(S1208)。

另一方面，在散列值不一致的情况下，判断为篡改了带出对象内容信息的内容(S1207：是)，在桌面上显示出错画面(S1208)。

在显示内容信息确认画面后，到点击驱动器选择画面的“OK”按钮为止的时间越长，上述篡改的危险性越高。另外，在显示内容信息确认画面后经过长时间时，在此期间也可能使带出认可为无效。

因此，外部带出监视单元33判定显示内容信息确认画面后的经过时间，经过了预定时间(例如15分钟)仍未点击驱动器选择画面的“OK”按钮的情况下，可以关闭内容信息确认画面以及驱动器选择画面，再次在用户指定带出对象内容信息之前持续等待(S1202)。

以上说明了将内容信息38附加在邮件中进行发送、或者复制到可移动介质中的情况，但例如将内容信息38上传到WEB服务器的情况下，也可以仅把允许带出的内容信息设为可以上传。

具体来说，例如在客户机3中具备文件转发单元，该文件转发单元与邮件发送时同样地在向WEB服务器的上传时判定可否带出该内容信息38即可。

在此前说明的各处理中，在判定内容信息的相同性的情况下比较了散列值(例如图9的S902的处理)。这是由于若散列值不同则内容信息不会相同，另外，一般若散列值相同则可以认为内容信息的内容相同。但是，今后存储装置的容量越发增大，存储装置中存储的内容信息的数量也会增大，现实中也有可能产生针对不同的内容的内容信息计算出相同的散列值的情况。

因此，在判定内容信息的相同性的情况下可以不仅比较散列值，还比较内容信息的大小(字节数等)。具体来说，可以在散列值和大小的双方一致的情况下判定为相同的内容信息，若某个不同则判定为不同的内容信息。如此一来，可以更准确地进行内容信息的相同性的判断。

如使用图6说明的那样，在第一实施方式以及第二实施方式的实施方式中，在生成安全内容信息21时可以使用工作流程。并且，在使用图6说明的工作流程中，当通过想要生成安全内容信息的客户机3的操作者进行安全内容信息生成申请时(图6的S601)，通过工作流程产品向预定的管理者操作的客户机3通知进行了安全内容信息生成申请，委托该管理者判断是否允许安全内容信息生成申请。因此，不管进行了安全内容信息生成申请的操作者是谁，另外不管内容信息的机密性的程度，全部必须由该管理者确认申请者或内容信息的内容，判断是否允许安全内容信息生成申请(图6的S602、S604)，向工作流程产品进行允许或驳回的指示。

因此，进行安全内容信息生成申请的允许或驳回的管理者的负担增大。例如，若是进行企业中的重要的决定等、对机密度高的内容信息进行日常处理的部署，则即使像这样增大管理者的负担，也需要降低信息泄漏的危险性。另一方面，在不存在机密度那么高的内容信息的部署中，需要尽量减小管理者的负担的努力。

作为用于此的一种方法，可以变更使用图6说明的工作流程的一部分，通过过滤服务器4进行是否允许安全内容信息生成申请的判断的一部分。

以下说明使用这样的工作流程的第三实施方式。

第三实施方式除了以下说明的结构、功能等以外，与第一实施方式和第二实施方式相同。

图15是说明利用工作流程，利用自动判定功能生成安全内容信息21时的操作以及各单元的动作的流程图。

在本工作流程中，利用过滤服务器4的过滤单元41在生成安全内容信息21的情况下可以自动判定。

利用过滤单元41自动判定安全内容信息21的生成时，内容信息认可服务器1可以具备过滤单元。

首先，想要生成安全内容信息的客户机3的操作者(以下，在图15的说明中称为“用户”)，在向工作流程产品登录后，指定内容信息38中的某个内容信息来进行安全内容信息生成申请(S1501)。

工作流程产品，通过确认用户是否存在于预先生成的允许自动判定中的安全内容信息生成的用户的一览中，判断可否允许来自用户的安全内容信息生成申请(S1502)。

此外，允许自动判定中的安全内容信息生成的用户的一览虽未图示，但例如在与该工作流程产品工作的服务器连接的存储装置中，存储了允许安全内容信息生成的用户的一览文件，针对每个用户设置是否允许自动判定中的安全内容信息生成的标志即可。

在不允许自动判定中的安全内容信息生成的用户的情况下，工作流程产品驳回自动判定中的申请(S1503：否)，向预定的管理者(以下，在图15的说明中称为“系统管理者”)操作的客户机3通过工作流程产品通知进行了安全内容信息生成申请。

系统管理者，通过工作流程产品确认显示装置36上显示的用户的用户ID是否存在于预先生成的允许安全内容信息生成的用户的一览中，由此判断是否允许来自用户的安全内容信息生成申请(S1508)。

系统管理者，在判断出不允许来自该用户的安全内容信息生成请求的情况下，向工作流程产品指示驳回(S1509：否)。通过该驳回指示，结束关于该内容信息的安全内容信息生成申请。

系统管理者，判断出可以允许来自该用户的安全内容信息生成申请(S1509：是)，在显示装置36上显示用户申请的内容信息的内容，判断是否是允许附加在邮件中发送的内容信息(S1510)。

系统管理者，例如由于是与商业秘密相关的内容信息因此判断为不允许时，向工作流程产品指示驳回(S1511：否)。通过该驳回指示，结束关于该内容信息的安全内容信息生成申请。

在允许了自动判定中的安全内容信息生成的用户的情况下(S1503：是)，随机地选出继续自动判定中的安全内容信息生成的工作流程(S1504)。随机地选出的概率或用户也可以预先指定并变更。而且，例如为了防止设定在随机选出的对象以外的用户定期地在检查对象中包含的、暂时忘记把随机选择对象外的用户的设定复原，具有针对每个用户在经过指定期间时自动地强制为随机选择对象的功能、和强制地变更概率的有效期间。

虽然随机地选出的概率、预先指定的对象用户的一览、有效期间没有图示，但例如在与该工作流程产品工作的服务器连接的存储装置中存储有设定了随机选出的对象者一览文件和选出概率、期限的文件，针对每个用户设置表示是否成为随机选出对象的标志和选择概率、有效期间即可。

在成为选出对象的情况下(S1505：是)，通知给系统管理者，转移到系统管理者进行用户的确认的上述流程(S1508)。

在选择对象以外的情况下(S1505：否)，通过过滤服务器4的过滤单元41进行内容信息的解析(S1506)。

通过过滤服务器4的过滤单元41，例如在判定为包含与商业秘密有关的内容信息的情况下(S1507：否)，通知给系统管理者，转移到系统管理者进行用户的确认的上述流程(S1508)。

在内容信息中不包含通过过滤服务器4的过滤单元41检测出的要素的情况下(S1507：是)，指示安全内容信息生成单元11生成安全内容信息。

根据以上说明的通过自动判定进行的安全内容信息生成流程，预先被允许的用户，若是不包含通过过滤单元检测出的要素的内容信息，则可以不进行系统管理者的判断地生成安全内容信息，可以缩短用户的等待时间，另外可以减轻系统管理者的负担。

而且，随机地强制系统管理者确认在预先指定的概率的范围内通过自动判定进行的安全内容信息生成流程，由此可以期待对允许使用通过自动判定进行的安全内容信息生成流程的用户的牵制，或检测过滤服务器4的过滤单元的缺点的效果。

<总结>

在客户机3的操作者把内容信息38附加到邮件中进行发送、或者复制到可移动介质中等向外部带出内容信息的情况下，仅使生成了安全内容信息21的内容信息可带出。即，可以有效地限制内容信息的外部带出。

另外，通过参照安全内容信息管理记录220，能够容易地掌握可以带出到外部的安全内容信息，并且即使在生成安全内容信息21后也能够禁止带出到外部。