以下、図面を参照して本発明を適用でき� ��実施形態を詳細に説明する。なお、各図面� ��おいて同様の機能を有する箇所には同一の� ��号を付し、説明の重複は省略する。

 (装置構成)
 図1A及び1Bは、本実施形態における業務プロ セス(DM(direct mail)のための個人情報収集)の例 (図1A)とその業務プロセスが実行されるフェ� �ズ(図1B)を例示した図である。図1Aは、例示� �な業務プロセス110を示す図で、これを参照� �ると、業務プロセス110には、申請者101a・承� ��者102・申請者101b・実行者103などの処理の流 れや、使用する申請フォーム104a、104bや管理� ��帳の形式、保存すべき履歴情報などが規定� ��れる。さらに業務プロセスでは、保存する� ��報に対するアクセス権の付与や暗号化の実� ��などのセキュリティ対策が、同時に規定さ� ��る。

 また、図1Bは、図1Aに例示した業務プロセ ス110が順次実行されるフェーズを例示した図 である。業務プロセス(DMのための個人情報収 集)で個人情報を扱う場合、ライフサイクル� �、図1Bを参照すると、情報を収集するフェー ズ105、利用するフェーズ106、利用を終了して 情報を保管するフェーズ107、情報を廃棄する フェーズ108から構成される。これらの各フェ ーズに図1Aに例示した業務プロセス110が適用� ��れる。例えば、情報の収集フェーズ105で半� ��間個人情報を収集し、これを情報の利用フ� ��ーズ106で2年間に渡って業務に利用し、その 後情報の保管フェーズ107で2年間情報を使用� �ずに保管して、情報の廃棄フェーズ108で2年� ��過後見直しの上で情報を廃棄する。

 図2は、図1Aに例示した業務プロセス(DMの� ��めの個人情報収集)と、図1Bに例示したその� ��務プロセスの各フェーズを実行するための� ��本実施形態の情報セキュリティマネジメン� ��システム200のシステム構成図である。

 情報セキュリティマネジメントシステム2 00は、LAN(local area network)等の通信ネットワー クによって接続されたサーバシステム201と利 用者が使用する1つ又は複数のクライアント� �ステム211-1~211-nとを有する。クライアントシ ステム211-1~211-nには、周知のブラウザその他� ��アプリケーションが実装されている。サー� ��システム201は、ソフトウェアとして、ユー� ��・インタフェース202、情報セキュリティマ� ��ジメントソフトウェア203が実装されており� ��ハードディスク記憶装置(HD)内に業務プロセ ス定義データ210~212、履歴データ208及び情報� �産データ209等を格納する(業務プロセス定義� ��ータ210~212、履歴データ208及び情報資産デー タ209については、後述)。

 ソフトウェアとしてのユーザ・インタフ� ��ース202は、周知のWEBシステム等を適用可能� ��ある。ユーザ・インタフェース202は、HTTP(Hy perText Transport Protocol)等周知のプロトコルに� ��ってクライアントシステム211-1~211-nのブラ� �ザとコマンドやデータの送受信を行い、情� �セキュリティマネジメントソフトウェア203� �通信し、クライアントシステム211-1~211-nと情 報セキュリティマネジメントソフトウェア203 との間のインタフェースとして機能する。

 情報セキュリティマネジメントソフトウ� ��ア203は、業務プロセス制御モジュール204、W ork-flow(ワークフロー)制御モジュール205、Life- cycle(ライフサイクル)制御モジュール206及び� �ータアクセス権限制御モジュール207を有す� �。業務プロセス制御モジュール204は、情報� �キュリティマネジメントソフトウェア203全� �を制御する。これら各モジュールの詳細に� �いては後述される。

 業務プロセス定義データ210~212は、各々、 情報セキュリティマネジメントソフトウェア 203が特定の業務プロセスを処理するために要 する項目を規定した業務プロセス定義、即ち 業務プロセスのテンプレート(template)である� �例えば、業務プロセス定義データ210は、業� �プロセス名「DMのための個人情報収集」の業 務プロセス定義である。業務プロセス定義デ ータ210は、その中に、規定された入力フォー ム定義210a、Work-flow定義210b、Life-cycle定義210c� �びデータアクセス定義210d等を含む。情報セ� ��ュリティマネジメントソフトウェア203は、� ��務プロセス定義データ210を使用して、図1A� �例示した業務プロセス(DMのための個人情報� �集)と、図1B例示したその実行フェーズを処� �する。業務プロセス定義データ211は、業務� �ロセス名「アンケートのための個人情報取� �い業務」の業務プロセス定義である。さら� �業務プロセス定義データ212等に、その他のIS MS(information security management system)向け業務の 業務プロセス定義を規定してもよい(業務プ� �セス定義データ210~212等の詳細については、� ��述)。

 図3は、図2に示したサーバシステム201又� �クライアントシステム211-1~211-nに好適な、本 実施形態に適用可能なコンピュータシステム のハードウェア構成図である。図3を参照す� �と、サーバシステム201又はクライアントシ� �テム211-1~211-nに好適なコンピュータシステム 310は、プロセッサ320、システムメモリ362、お よびシステムメモリを含む様々なシステム構 成要素をプロセッサ320に結合するシステムバ ス321を含む。

 さらにコンピュータシステム310は、一般� ��様々なコンピュータ可読媒体を含む。コン� ��ュータ可読媒体は、コンピュータシステム3 10からアクセスできる使用可能な任意の媒体� ��することができ、揮発性および不揮発性媒� ��、リムーバブルおよびノンリムーバブル媒� ��を含む。コンピュータ可読媒体は、それだ� ��には限定されないが一例として、コンピュ� ��タ記憶媒体および通信媒体を含み得る。

 コンピュータ記憶媒体には、コンピュー� ��可読命令、データ構造、プログラムモジュ� ��ル、他のデータなど、情報を記憶するため� ��任意の方法または技術で実施される揮発性� ��よび不揮発性のリムーバブルおよびノンリ� ��ーバブル媒体がある。コンピュータ記憶媒� ��には、それだけには限定されないが、RAM(ran dom access memory)、ROM(read only memory)、EEPROM(elec trically erasable programmable read-only memory)、フ� �ッシュメモリまたは他のメモリ技術、CD(compa ct disk)-ROM、DVD(digital versatile disk)または他の 光ディスク記憶装置、磁気カセット、磁気テ ープ、磁気ディスクストレージまたは他の磁 気ディスクストレージ、または所望の情報の 格納に使用でき、コンピュータシステム310か らアクセスできる他の任意の媒体などがある 。

 通信媒体には、それだけには限定されな� ��が一例として、有線ネットワーク、直接配� ��接続などの有線媒体、および音響、RF(radio  frequencies)、赤外線、その他の無線媒体などの 無線媒体がある。また、上記のどんな組合せ でもコンピュータ可読媒体の範囲内に含まれ るものとする。

 システムメモリ362は、読取専用メモリ(ROM )331やランダムアクセスメモリ(RAM)332など、揮 発性および/または不揮発性メモリの形態の� �ンピュータ記憶媒体を含む。BIOS(Basic Input/Ou tput System)333は、例えば起動中など、コンピ� �ータシステム310内の要素間での情報の転送� �助ける基本ルーチンを含み、一般にROM331に� �納される。RAM332は一般に、プロセッサ320か� �すぐにアクセス可能な、かつ/またはプロセ� ��サ320が現在処理しているデータおよび/また はプログラムモジュールを含む。図3は、そ� �だけには限定されないが一例として、オペ� �ーティングシステム334、アプリケーション� �ログラム335(本実施形態の情報セキュリティ� ��ネジメントソフトウェア203を含む)、他のプ ログラムモジュール336、およびプログラムデ ータ337を示している。

 コンピュータシステム310は、他のリムー� ��ブル/ノンリムーバブル、揮発性/不揮発性� �ンピュータ記憶媒体を含むこともできる。� �例にすぎないが、図は、リムーバブル不揮� �性磁気媒体から読み取り、あるいはそこに� �き込むHDD(hard disk drive)341、リムーバブル不� ��発性磁気ディスク352から読み取り、あるい� ��そこに書き込む磁気ディスクドライブ351、� ��よびCD-ROMや他の光媒体など、リムーバブル� ��揮発性光ディスク356から読み取り、あるい� ��そこに書き込む光ディスクドライブ355を示� ��ている。HDD341は一般に、インタフェース361� ��どのノンリムーバブルメモリインタフェー� ��を介してシステムバス321に接続され、磁気� ��ィスクドライブ351および光ディスクドライ� ��355は一般に、インタフェース357などのリム� ��バブルメモリインタフェースによってシス� ��ムバス321に接続される。

 上述し、図3に示したドライブおよびその 関連のコンピュータ記憶媒体は、コンピュー タシステム310のコンピュータ可読命令、デー タ構造、プログラムモジュール、および他の データの記憶を提供する。図3では例えば、HD D341は、オペレーティングシステム344、アプ� �ケーションプログラム345(本実施形態の情報� ��キュリティマネジメントソフトウェア203を� ��む)、他のプログラムモジュール346、および プログラムデータ347を記憶するものとして示 されている。これらの構成要素は、オペレー ティングシステム334、アプリケーションプロ グラム335、他のプログラムモジュール336、お よびプログラムデータ337と同じであっても、 異なっていてもよいことに留意されたい。オ ペレーティングシステム344、アプリケーショ ンプログラム345、他のプログラムモジュール 346、およびプログラムデータ347は少なくとも 異なるコピーであることを示すために、ここ ではそれらに異なる番号を付している。

 利用者は、キーボード330や、一般にマウ� ��、トラックボール、またはタッチパッドと� ��ばれるポインティング装置340などの入力装� ��を介してコマンドおよび情報をコンピュー� ��システム310に入力することができる。これ� ��および他の入力装置は、しばしばシステム� ��ス321に結合されているユーザ入力インタフ� ��ース392を介してプロセッサ320に接続される� ��、パラレルポート、ゲームポート、ユニバ� ��サルシリアルバス(USB)など他のインタフェ� �スおよびバス構造で接続してもよい。モニ� �320または他の形態の表示装置もまた、ビデ� �インタフェース396などのインタフェースを� �してシステムバス321に接続される。コンピ� �ータシステム310は、モニタ320に加えて、出� �周辺インタフェース395を介して接続できる� �ピーカー398やプリンタ396などの他の周辺出� �装置を含むこともできる。

 コンピュータシステム310は、メールサー� ��375、ゲートウェイ379など1つまたは複数のリ モートコンピュータへの論理接続を使用して ネットワーク型環境で動作することができる 。メールサーバ375、ゲートウェイ379は、PC(per sonal computer)、サーバ、ルーター、ネットワ� �クPC、ピアデバイス、または他の一般のネッ トワークノードでよく、一般にコンピュータ システム310に関連して上述した多くまたはす べての要素を含む。図3に示した論理接続は� �LAN370を含むが、他のネットワークを含むこ� �もできる。こうしたネットワーキング環境� �、オフィス、全社規模のコンピュータネッ� �ワーク、イントラネット、およびインター� �ットではごく一般的である。

 LANネットワーキング環境で使用する場合� ��コンピュータシステム310は、ネットワーク� ��ンタフェースまたはアダプタ371を介してLAN3 70に接続される。図示したネットワーク接続� ��例であり、コンピュータ間の通信リンクを� ��立する他の手段を使用してもよいことは理� ��されよう。

 (動作説明)
 以上述べたシステム構成において、本実施� ��態の図1Aに例示した業務プロセス(DMのため� �個人情報収集)と、図1Bに例示したその業務� �ロセスの各フェーズを実行するための、情� �セキュリティマネジメントシステム200にお� �る情報セキュリティマネジメントソフトウ� �ア203の動作について以下、図1A~8を参照し説� ��する。

 「背景技術」において上述したように、� ��来の業務プロセスとその業務プロセスが実� ��されるフェーズに関して、以下のような解� ��すべき問題点があった。

 <第1の問題点>システムの利用者は、� ��務プロセスを定めているが、定められた業� ��プロセスの通り業務を行うと作業負荷が増� ��て作業が面倒なため、業務プロセスを実施� ��ない場合が一部ある。或いは、全く業務プ� ��セスを実施しなくなることがある。

 <第2の問題点>ライフサイクル制御は� ��次のフェーズの開始時期が期間的に離れて� ��ることが多いため、システムの利用者は、� ��のフェーズの実施を忘れることが多い。し� ��し忘れることにより、日常業務への影響は� ��ないが、情報のセキュリティリスクは高く� ��る。

 <第3の問題点>更にライフサイクル制� ��は、各フェーズの開始時期が期間的に離れ� ��いることが多いため、最初に決めた各フェ� ��ズ実施の担当者が、異動や退職などにより� ��わってしまう場合が多い。この時、引継ぎ� ��適切に行われず誰が担当者であるか不明確� ��ままうやむやになってしまうことが多く、� ��定のフェーズのセキュリティ対策が実施さ� ��なくなることが多々発生する。

 <第4の問題点>業務プロセスで規定さ� ��るアクセス権付与や暗号化などのセキュリ� ��ィ対策は、様々なセキュリティツールや利� ��するソフトに含まれるセキュリティ機能を� ��用して実現する。しかし、これらのツール� ��機能を使用するためには、利用者一人一人� ��これらの使い方を正しく理解して適切に使� ��しなければならず、一般にはITに詳しくな� �従業員が利用するのは難しく、全く利用さ� �なかったり、適切に利用されないために効� �が出ない場合が多い。

 上記の<第1の問題点>に対しては、Work -flow制御モジュール205によるWork-flow(ワークフ ロー)制御により解決する。ここで、当業者� �周知な用語「ワークフロー」とは、作業の� �れのことで、一般的には仕事の流れまたは� �め方をいう。

 図1Aを参照すると、Work-flow制御は、連続� �た一連の業務プロセス110の管理を行い、業� �プロセスで使用する申請フォーム104a、104bや 管理台帳を提供し、保存すべき履歴情報をEvi denceとして保存する。例えば、図4A及び4Bは収 集申請の入力フォームの例で、図6は履歴デ� �タ208に格納される履歴の例である。図1Aにお いて、申請者101aから承認者102へ図4A及び4Bの� ��請フォーム104aを送信する場合の履歴ポイン ト120aで、図6中のNo.0001の履歴情報を保存し、 承認者102から申請者101bへ申請承認フォーム10 4bを送信する場合の履歴ポイント120bで、図6� �のNo.0002の履歴情報を保存する。

 申請や承認、実行などの業務プロセスの� ��移は、予め定義した業務プロセス遷移のテ� ��プレートに基づき、Work-flow制御機能が適切� ��担当者に遷移の順番に入力を促すことによ� ��実現する。これには、電子メールやポータ� ��の機能が利用される。例えば、図5A及び5Bは 、業務プロセス定義データ210の例で、図1Aの� ��務プロセス110が図1Bの情報の収集フェーズ10 5で実行されている、収集フェーズの場合の� �務プロセス定義データである。この場合、� �5B中のWork-flow定義210bに定義した業務プロセ� �遷移のテンプレートに基づき、Work-flow制御� �能は、申請者「AAA」101aからの申請フォーム1 04aをWork-flow定義210b中の項目No.21の承認者「BBB 」102へ送信し入力を促し、承認者「BBB」102か らの申請承認フォーム104bをWork-flow定義210b中� ��項目No.22の申請者「AAA」101bへ送信し実行者1 03への作業指示を促す。ここで、簡単のため� ��、本実施形態で説明するWork-flow制御は、図1 Aにおける図中符号150の範囲とし、申請者101b� ��実行者103への作業指示を出す以降の処理の� ��理は、Work-flow制御モジュール205とは別の機� ��で行うものとしている。

 尚、Work-flow制御は、例えばマイクロソフ� ��社のMicrosoft Office System(商標)等が有する機� ��として周知の技術であり、これを情報セキ� ��リティマネジメントに利用することは、当� ��者なら容易に理解できるであろう。

 上記の<第2の問題点>及び<第3の問� �点>に対しては、Life-cycle制御モジュール206 によるLife-cycle制御により解決する。Life-cycle� ��御による情報セキュリティマネジメントは� ��本実施形態の情報セキュリティマネジメン� ��システム200の特徴的な技術である。

 Work-flow制御は、連続した一連のプロセス� ��管理する技術であり、図1Bに示す情報の収� �フェーズ105、情報の利用フェーズ106、情報� �保管フェーズ107及び情報の廃棄フェーズ108� �ように、異なる業務フェーズの管理のよう� �非連続なプロセスを取り扱うことは出来な� �。

 これに対してLife-cycle制御は、予め定義し た業務フェーズ遷移のテンプレートに基づき 、指定された日時の到来によって新しい業務 プロセスを開始させる。業務プロセスの開始 は、該当する担当者に新しい業務プロセスの 開始をスケジュールの通知やメールなどの方 法で促すことにより実現する。一旦、新しい 業務プロセスを開始させると、上述のWork-flow 制御により業務プロセスの実行を管理する。 例えば、図5B中のLife-cycle定義210cに定義した� �務フェーズ遷移のテンプレートに基づき、Li fe-cycle制御機能は、Life-cycle定義210c中の項目No .32の利用フェーズの開始時期「yymmdd」に近づ いたことを検知すると、Life-cycle定義210c中の� ��目No.32の利用フェーズの開始担当者「CCC」� �利用フェーズの業務プロセスの開始をスケ� �ュールの通知やメールなどの方法で促す。� �7A及び7Bは利用申請の入力フォームの例で、� ��のときに、Life-cycle制御機能は、次の利用フ ェーズの図7A及び7Bの申請フォームをメール� �付で利用フェーズの開始担当者「CCC」に送� �する。

 どの担当者にいつ何の業務プロセスを開� ��させるかは、Life-cycle制御モジュール206が管 理する(本実施形態ではLife-cycle定義210cと同様 なデータの)Life-cycle制御ファイル内に情報を� ��存して置く(予約)。人事異動や退職などで� �当者の変更が通知されると、システムはそ� �都度変更情報を読み込む。そして、旧担当� �の業務プロセスの開始情報をキャンセルし� �新担当者に業務プロセスの開始を行わせる� �う通知を行うためのLife-cycle制御ファイルを� ��更する。更に、業務プロセス定義内のLife-cy cle定義210cの担当者情報も更新する。

 以上のLife-cycle制御により、従来忘れるこ とが多かった異なるフェーズ毎の情報セキュ リティのリスク対策を、漏れることなく実施 することが容易となる。また、担当者の人事 異動や退職があった場合でも、漏れることな く新しい担当者によって情報セキュリティの リスク対策を行うことが可能となる。これら は、従来のWork-flow制御による方法では実現で きなかった機能である。

 上記の<第4の問題点>に対しては、デ� ��タアクセス権限制御モジュール207によるデ� ��タアクセス権限制御により解決する。

 データアクセス権限制御は、例えば、図5 B中のデータアクセス定義210dに指定された内� ��を解釈し、項目No.46のセキュリティ対策「� �号化」に対応した最適なツール或いは機能� �選択して、項目No.41~44等に従い格納するデー タに対するアクセス権限を設定する。

 利用者からデータアクセスに関するツー� ��や機能を隠蔽し、利用者がそれらの使用方� ��を意識することなく最適なツールや機能を� ��択しデータアクセスの権限を設定する。ま� ��、技術の進歩により今までより有効なツー� ��や機能が出来たときには、データアクセス� ��義やユーザ・インタフェースを変更するこ� ��なく、より有効なツールや機能を使用する� ��うに、システム管理者がツール等を入れ替� ��変更するだけでよい。

 図5B中のデータアクセス定義210dのように� ��データアクセス定義には、データの格納場� ��の指定、アクセスを許可する利用者のID、� �れぞれの利用者ごとのアクセス権限(書き込� ��、変更、読み出し、複写、配布、印刷、閲� ��、などの可否)、及び暗号化、タイムスタン プ、証明書の付加などのセキュリティに関す る機能の適用の有無が指定される。

 図8は、情報資産データ209の例で、図1Bに� ��ける情報の収集フェーズ105において実行者1 03が格納したデータ、及び図1Bにおける情報� �利用フェーズ106において実行者が読み出し� �能なデータ等を示す。

 (プログラムの処理説明)
 本実施形態における図1Aに例示した業務プ� �セス(DMのための個人情報収集)と、図1Bに例� �したその業務プロセスの各フェーズを実行� �る処理は、図9~12のフローチャートに示す処� ��手順により行われる。図9~12の処理手順は、 サーバシステム201のプロセッサ320が実行する 情報セキュリティマネジメント処理の内容を 示し、プロセッサ320が、HDD341に記憶されてい る情報セキュリティマネジメントソフトウェ ア203を、システムメモリ362のRAM332にロードし て実行することにより行われる。以下、プロ セッサ320が行う情報セキュリティマネジメン トソフトウェア203の処理手順について、図1A~ 8も合わせて参照しながら説明する。

 図9の処理手順は、業務プロセス制御モジ ュール204の処理内容を示す。図9において、� �ロセッサ320は、外部からの要求その他のイ� �ントを監視しており(ステップS900)、イベン� �を検知すると処理をステップS901以降へ進め� ��。

 プロセッサ320は、クライアントシステム2 11-1~211-nのいずれかの利用者から、情報セキ� �リティマネジメントソフトウェア203の起動� �求を受けると(ステップS901→S902)、業務プロ� ��ス定義データ210~212に基づくメニュー表示の コマンドを編集し、その利用者(以下利用者A� ��する)のクライアントシステムに送信する(� �テップS902→S904)。すると、クライアントシ� �テムのブラウザには、業務プロセス定義デ� �タ210~212に対応して「DMのための個人情報収� �」の業務プロセス、「アンケートのための� �人情報取扱い業務」の業務プロセス定義及� �その他のISMS向けの業務プロセス等の選択メ� ��ューが表示される。この場合、クライアン� ��システムの利用者Aによって、「DMのための� ��人情報収集」の業務プロセスが選択され、� ��ライアントシステムからその選択コマンド� ��受信したとする(ステップS904)。

 プロセッサ320は、業務プロセス定義デー� ��210(「DMのための個人情報収集」の業務プロ� ��ス定義)を参照し、図5Aに示す入力フォーム� ��義210aをRAM332にロードして入力フォームを利 用者Aのクライアントシステムに送信する(ス� ��ップS906→S900)。

 入力フォームを受信した利用者Aはクライ アントシステムのブラウザ上で入力フォーム に必要項目を記入する。即ち、利用者Aは図1B の情報の収集フェーズ105における申請フォー ム104aを作成する。この情報の収集フェーズ10 5における申請フォーム104aの例が図4A及び4Bで ある。利用者Aは、図1Bの情報の利用フェーズ 106においては、図4A及び4Bの入力フォームに� �人情報「利用」申請書と入力し、Work-flowの� �目に利用フェーズの場合の必要項目を入力� �る。保管、廃棄フェーズにおいても同様で� �る。利用者Aは作成した情報の収集フェーズ1 05における申請フォーム104aをサーバシステム 201へ送信する。

 プロセッサ320は、利用者Aのクライアント システムから、情報の収集フェーズ105におけ る申請フォーム104aを受信すると(ステップS901 )、その情報を業務プロセス定義データ210に� �納する(ステップS914)。この場合の業務プロ� �ス定義データ210の例が、図5A及び5Bに示した� ��ータである。

 次いでプロセッサ320は、Work-flow制御モジ� ��ール205、Life-cycle制御モジュール206及びデー タアクセス権限制御モジュール207を順次起動 する(ステップS916→S918→S920→S900)。

 一方、プロセッサ320は、クライアントシ� ��テム211-1~211-nのいずれかの利用者から、担� �者変更通知を受けると(ステップS901→S902→S9 08)、業務プロセス定義データ210中のLife-cycle� �義210cを更新する(ステップS912)。担当者変更� ��知は、あるフェーズの(新たな)開始担当者� �情報を含む。例えば、担当者変更通知が、� �用フェーズの開始担当者「DDD」の情報であ� �場合、プロセッサ320は、図5Bに示すLife-cycle� �義210c中の項目No.32の利用フェーズの開始担� �者「CCC」を「DDD」に更新する。次いでプロ� �ッサ320は、Life-cycle制御モジュール206及びデ� ��タアクセス権限制御モジュール207を順次起� ��する(ステップS918→S920→S900)。この時、デ� �タアクセス権限制御モジュール207も、担当� �変更通知の内容に基き、情報資産に対して� �クセスを許可する利用者のID、及びそれぞれ の利用者ごとのアクセス権限を設定し直す(� �テップS920)。

 また、プロセッサ320は、予め不図示のタ� ��マ監視モジュールにおいて、OS334が提供す� �時刻データを監視し定期的に(例えば毎日0時 に)現在の日時を設定した日時通知を業務プ� �セス制御モジュール204に通知する。プロセ� �サ320は、日時通知を受けると(ステップS901→ S902→S908→S909)、Life-cycle制御モジュール206を� ��動する(ステップS918)。

 また、プロセッサ320は、上述の処理に次� ��で、データアクセス権限制御モジュール207� ��起動する(ステップS920→S900)。

 図10の処理手順は、Work-flow制御モジュー� �205の処理内容を示す。図10において、プロセ ッサ320は、受信した入力フォームを履歴デー タ208に格納する(ステップS1000)。例えば、プ� �セッサ320は、図4A及び4Bの収集申請の入力フ� ��ームを受信した場合、図5BのWork-flow定義210b� ��の項目No.25の格納先を確認し、図1Aに示す申 請者101aからの図4A及び4Bの申請フォーム104aを 履歴ポイント120a(ステップS1000)で、図6中のNo. 0001の履歴情報として保存する。

 次いでプロセッサ320は、図5A及び5Bの業務 プロセス定義データ210中のWork-flow定義210bを� �照し承認者を確認し(ステップS1002)、その承� ��者へ受信した入力フォームを送信する(ステ ップS1004)。例えば、プロセッサ320は、Work-flow 定義210b中の項目No.21の承認者「BBB」102を確認 し、図1Aに示す申請者101aからの図4A及び4Bの� �請フォーム104aを承認者102へ送信する。

 入力フォームを受信した承認者はクライ� ��ントシステムのブラウザ上で入力フォーム� ��必要項目を記入する。即ち、承認者は図1B� �情報の収集フェーズ105における申請承認フ� �ーム104bを作成する。承認者は、図1Bの情報� �利用フェーズ106においては、同様に利用フ� �ーズ106における申請承認フォーム104bを作成� ��る。保管、廃棄フェーズにおいても同様で� ��る。承認者は作成した情報の収集フェーズ1 05における申請承認フォーム104bをサーバシス テム201へ送信する。

 プロセッサ320は、受信した入力フォーム� ��履歴データ208に格納する(ステップS1006)。例 えば、プロセッサ320は、収集申請承認の入力 フォームを受信した場合、Work-flow定義210b中� �項目No.25の格納先を確認し、図1Aに示す承認� ��102からの申請承認フォーム104bを履歴ポイン ト120b(ステップS1006)で、図6中のNo.0002の履歴� �報として保存する。

 次いでプロセッサ320は、業務プロセス定� ��データ210中のWork-flow定義210bを参照し申請者 を確認し(ステップS1008)、その申請者へ受信� �た入力フォームを送信する(ステップS1010)。� ��えば、プロセッサ320は、Work-flow定義210b中の 項目No.22の申請者「AAA」101bを確認し、図1Aに� ��す承認者102からの申請承認フォーム104bを申 請者101bへ送信する。

 図11の処理手順は、Life-cycle制御モジュー� ��206の処理内容を示す。図11において、プロ� �ッサ320は、(Life-cycle定義210cと同様なデータ� �)Life-cycle制御ファイル(不図示)の予約情報を� ��定する(ステップS1100)。即ち、Life-cycle制御� �ァイルは、図5B中のLife-cycle定義210cに定義さ� ��るのと同様な各フェーズの開始時期「yymmdd� ��(予約情報)を有する。プロセッサ320は、Life- cycle制御ファイルを参照しその予約情報とOS33 4が提供する時刻データと比較して、あるフ� �ーズの開始時期に近づいた(比較した時間差� ��所定の値δ)か否かを判定する。

 フェーズの開始時期でない場合、プロセ� ��サ320は、先のステップS914又はS912で更新さ� �た業務プロセス定義データ210中のLife-cycle定� ��210cを参照する(ステップS1102)。そして、プ� �セッサ320は、Life-cycle定義210cのデータをLife-c ycle制御ファイルに保存し、予約する(ステッ� ��S1104)。

 一方ステップS1100において、いずれかの� �ェーズの開始時期と判定された場合、プロ� �ッサ320は、その開始すべきフェーズの開始� �当者に、そのフェーズの入力フォームをメ� �ル添付で送信し、そのフェーズの業務プロ� �スの開始を通知する(ステップS1106)。例えば� ��プロセッサ320は、図5B中のLife-cycle定義210c中 の項目No.32の利用フェーズの開始時期「yymmdd� ��になったことを検知すると、Life-cycle定義210 c中の項目No.32の利用フェーズの開始担当者「 CCC」に利用フェーズの業務プロセスの開始を メールで促す。この時プロセッサ320は、図5A� ��示す入力フォーム定義210aをRAM332にロードし 、この場合図1Bの情報の利用フェーズ106なの� ��、入力フォームに個人情報「利用」申請書� ��入力する。図7A及び7Bはこの場合の利用申請 の入力フォームの例で、プロセッサ320は、次 の利用フェーズのための図7A及び7Bの申請フ� �ームをメール添付で利用フェーズの開始担� �者「CCC」に送信する。

 ステップS1106のあと、図9において、プロ� ��ッサ320は、利用フェーズの開始担当者「CCC� ��のクライアントシステムから、情報の利用� ��ェーズ106における申請フォーム104aを受信す ると(ステップS901)、その情報を業務プロセス 定義データ210に格納する(ステップS914)。その 後の処理は、上述の図9において説明した処� �と同様である。保管、廃棄フェーズにおい� �も同様である。

 図12の処理手順は、データアクセス権限� �御モジュール207の処理内容を示す。図12にお いて、プロセッサ320は、図5Bに例示したよう� ��データアクセス定義210dを参照し(ステップS1 202)、項目No.45のデータの格納先、項目No.41~44� ��各フェーズのアクセスを許可する利用者のI Dとその利用者ごとのアクセス権限、及び項� �No.46のセキュリティ対策等の情報を取得する 。

 プロセッサ320は、取得したデータの格納� ��に基づいて、その格納先に情報資産データ2 09用のファイルを作成する(ステップS1204)。

 次いでプロセッサ320は、図5B中のLife-cycle� ��義210cに定義される各フェーズの開始時期を 参照し現時点でのフェーズを確認し、取得し た上記項目No.41~44の内の現時点でのフェーズ� ��アクセス許可利用者のIDとそのアクセス権� �を、例えば、マイクロソフト社のWindows Right s Management Services等を使って情報資産データ2 09用のファイルに設定する(ステップS1206)。

 そしてプロセッサ320は、取得したセキュ� ��ティ対策の情報に基づいて、情報資産デー� ��209用のファイルへのセキュリティを施す(ス テップS1208)。例えば、セキュリティ対策が「 暗号化」の場合、暗号化に対応した最適なツ ール或いは機能を予めシステムにインストー ルされている中から選択する。

 以降は、利用者が情報資産に直接アクセ� ��をすると、上記で設定されたアクセス許可� ��用者やアクセス権限、或いは設定されたセ� ��ュリティ対策によって、適切なアクセスの� ��が行われる。

 例えば、その後プロセッサ320は、利用者� ��らの情報資産への直接アクセスを受信した� ��合、ステップS1206で設定済みの情報資産デ� �タ209用のファイルに対するアクセス許可利� �者のIDとそのアクセス権限を参照する。

 次いでプロセッサ320は、参照した上述の� ��クセス許可利用者のID及びそのアクセス権� �と、情報資産アクセス要求内の利用者のIDと を対比し、情報資産アクセス要求を送信した 利用者が情報資産データ209用のファイルにつ いて現時点のフェーズでアクセス権限を有す るか否かを判定する。アクセス権限がある場 合、プロセッサ320は、情報資産アクセス要求 を送信した利用者にそのアクセス権限の範囲 内で情報資産データ209用のファイルへのアク セスを許可する。一旦データアクセス権限が 設定された後のこれらのアクセス制御は、情 報セキュリティマネジメントソフトウェア203 の外部のOSやツール等によって行われる。

 (実施形態の効果)
 以上説明したように本実施形態によれば、� ��1の態様として、情報セキュリティマネジメ ントシステム(図2)は、通信ネットワークによ って接続されている、1つ又は複数のクライ� �ントシステム(211-1~211-n)及びサーバシステム( 201)を有する情報セキュリティマネジメント� �ステム(200)であって、上記サーバシステムは 、クライアントシステムが実行するワークフ ローを制御するためのワークフロー定義デー タ(210b)とそのワークフロー定義データに基づ いてワークフローを実行する複数のフェーズ を定義するライフサイクル定義データ(210c)と を含むプロセス定義データ(210)を記憶する記� ��手段(341)と、予め定められた条件(他の実施� ��態1に示すA~Dの「指定された条件」のいずれ か)に基づいて、上記記憶手段に記憶された� �記ライフサイクル定義データから1つのフェ� ��ズを選択し(S1100は、他の実施形態1に示すB� �「指定された条件」に含まれる一例)、その� ��択したフェーズの開始をクライアントシス� ��ムに通知する(S1106)ライフサイクル制御手段 (206)とを備えたことを特徴とする。

 以上の構成により、本実施形態の情報セ� ��ュリティマネジメントシステムは、長期間� ��渡って、漏れなくセキュリティに関する業� ��プロセスを実行できる。

 ここで、第2の態様として、第1の態様の� �報セキュリティマネジメントシステムにお� �て、上記記憶手段に記憶された上記ライフ� �イクル定義データは各フェーズの開始条件(� ��の実施形態1に示すA~Dの「指定された条件」 のいずれか)を含み、上記ライフサイクル制� �手段は、上記ライフサイクル定義データ中� �各フェーズの開始条件に基づいて開始すべ� �フェーズを判定し選択する判定手段(S1100は� �他の実施形態1に示すBの「指定された条件」 に含まれる一例)と、クライアントシステム� �上記判定手段によって選択されたフェーズ� �開始を通知する通知手段(S1106)とを含むこと� ��特徴とすることができる。

 また、第3の態様として、第2の態様の情� �セキュリティマネジメントシステムにおい� �、上記通知手段は、入力指示のフォームを� �知することにより(S1106)前記開始を通知する� ��とを特徴とするとすることができる。

 また、第4の態様として、第1乃至第3のい� ��れかの態様の情報セキュリティマネジメン� ��システムにおいて、上記記憶手段に記憶さ� ��た上記ライフサイクル定義データは各フェ� ��ズの開始担当者の情報を含み、上記ライフ� ��イクル制御手段は選択したフェーズの上記� ��イフサイクル定義データ中の開始担当者の� ��報に基づいてクライアントシステムに選択� ��たフェーズの開始を通知する(S1106)ことを特 徴とすることができる。

 以上の構成により、Life-cycle制御は、予め 定義した業務フェーズ遷移のテンプレートに 基づき、指定された日時の到来によって新し い業務プロセスを開始させる。業務プロセス の開始は、該当する担当者に新しい業務プロ セスの開始をスケジュールの通知やメールな どの方法で促すことにより実現する。

 また、第5の態様として、第4の態様の情� �セキュリティマネジメントシステムにおい� �、上記サーバシステムは、新たな開始担当� �の情報を含む変更通知に従って、上記記憶� �段に記憶された上記ライフサイクル定義デ� �タ中の開始担当者の情報を変更する変更手� �(S912)をさらに備えたことを特徴とすること� �できる。

 また、第6の態様として、第5の態様の情� �セキュリティマネジメントシステムにおい� �、上記ライフサイクル制御手段は、上記変� �手段によって変更された上記開始担当者の� �報に基づいて前記開始を通知する(S1100→S1106 )ことを特徴とすることができる。

 また、データアクセス権限制御モジュー� ��207も、担当者変更通知の内容に基き、情報� ��産に対してアクセスを許可する利用者のID� �及びそれぞれの利用者ごとのアクセス権限� �設定し直す(ステップS920)。

 以上の構成により、どの担当者にいつ何� ��業務プロセスを開始させるかは、Life-cycle制 御モジュール206が管理する(本実施形態ではLi fe-cycle定義210cと同様なデータの)Life-cycle制御� ��ァイル内に情報を保存して置く(予約)。人� �異動や退職などで担当者の変更が起こると� �システムはその都度変更情報を読み込み、� �担当者の業務プロセスの開始情報をキャン� �ルし、新担当者に業務プロセスの開始を行� �せるよう通知を行うためのLife-cycle制御ファ� ��ルを変更し、業務プロセス定義内のLife-cycle 定義210cの担当者情報も更新する。

 また、第7の態様として、第1乃至6のいず� ��かの態様の情報セキュリティマネジメント� ��ステムにおいて、上記記憶手段に記憶され� ��上記プロセス定義データは、アクセスされ� ��データのセキュリティ対策を定義するアク� ��ス定義データをさらに含み、上記サーバシ� ��テムは、上記記憶手段に記憶された上記ア� ��セス定義データに定義されたセキュリティ� ��策に基づいて、アクセスされるデータへの� ��キュリティを施すデータアクセス権限制御� ��段(S920)をさらに備えたことを特徴とするこ� ��ができる。

 以上の構成により、利用者からデータア� ��セスに関するツールや機能を隠蔽し、利用� ��がそれらの使用方法を意識することなく最� ��なツールや機能を選択するので、情報セキ� ��リティに対するマネジメントシステムにお� ��て、ITに詳しい専任者等でなくとも利用し� �い。

 また、第1乃至7のいずれかの態様の情報� �キュリティマネジメントシステムにおいて� �上記サーバシステムは、クライアントシス� �ムからの入力指示に従って、上記記憶手段� �記憶された上記プロセス定義データを更新� �る更新手段をさらに備える(S908→S912)。

 以上の構成により、情報セキュリティに� ��するマネジメントシステムにおいて、一般� ��には、フェーズ毎に情報を取り扱う担当者� ��変わり、情報の保管場所も変わって行き、� ��れに伴い、セキュリティ対策も変わって行� ��が、このような状況に一括してフレキシブ� ��に対応できる。

 (他の実施形態)
 以上述べた実施形態の他に次の形態を実施� ��きる。 
1)上述の実施形態では、Life-cycle制御は、予め 定義した業務フェーズ遷移のテンプレートに 基づき、指定された日時の到来によって新し い業務プロセスを開始させる(S1100)。

 しかし、Life-cycle制御は、予め定義した業 務フェーズ遷移のテンプレートに基づき、種 々の指定された条件の成立によって新しい業 務プロセスを開始させるようにしてもよい。 「指定された条件の成立」としては、例えば 以下がある。

 (A)定期的な日付指定-----年一回実施する� �査や、月一回実施するBack Up作業のように、 定期的に反復して実施する作業に使用する。

 (B)一回だけの時間的な指定-----絶対的な� �月日の指定(上述のS1100)、或いはある業務プ� ��セスの開始から一定期間後の指定、或いは� ��る業務プロセスの終了から一定期間後の指� ��により作業を開始する。

 (C)業務プロセスに連動する指定-----ある� �務プロセスの終了を条件として前プロセス� �連続して開始する、或いはある業務プロセ� �の開始を条件として同プロセスと並行して� �始することを指定する。

 (D)上記に関連しない、ある特定のイベン� ��の発生を条件として開始する。

 本実施形態は、上述の種々の指定された� ��件の成立を適用した実施形態に変形が可能� ��あることが、当業者には容易に理解できよ� ��。

 2)上述の実施形態では、ステップS1106にお いて、フェーズの入力フォームをメール添付 で送信し、そのフェーズの業務プロセスの開 始を通知する。

 しかし、ステップS1106における業務プロ� �スの開始の通知は、これに限られるもので� �ない。例えば、スケジュール管理プログラ� �を利用し、スケジュールの通知時に入力フ� �ームを所望の周知のプロトコルによって通� �するようにしてもよい。

 3)上述の実施形態では、情報セキュリテ� �マネジメントシステム200は、クライアント� �サーバシステムとして説明されている。

 しかし本実施形態はこれに限られず、上� ��のクライアント・サーバシステムの機能を1 台のコンピュータで実行可能としたスタンド アロンのシステムとして、情報セキュリティ マネジメントシステム200を実現してもよい。 これにより、社内ネットワークを有さず1台� �PCで作業をする個人事業主等も、上述の実施 形態と同様な機能の実施が可能となる。上述 の実施形態をスタンドアロンのシステムの実 施形態に変形することは、当業者には容易で あろう。

 4)上述の実施形態では、業務プロセス定� �データ210~212に、個別の業務の情報が入力さ� ��たものを上書きして更新する。即ち、おお� ��とのテンプレート(業務プロセス定義データ 210~212)が変わる。ここで、業務プロセス定義� ��ータ210は、業務プロセス名「DMのための個� �情報収集」の業務プロセス定義である。業� �プロセス定義データ211は、業務プロセス名� �アンケートのための個人情報取扱い業務」� �業務プロセス定義である。さらに業務プロ� �ス定義データ212等は、その他のISMS向け業務� ��業務プロセス定義である。

 しかしながら、初期状態の業務プロセス� ��義と、個別の業務情報が入力された業務プ� ��セス定義を区別して、実施することも可能� ��ある。以下に、この変形の実施形態を説明� ��る。

 業務プロセス定義は業務プロセスを定義� ��たテンプレートであり、普段は更新される� ��とはないものとする。これを参照して、各� ��ィールドにデータが入力されたものが業務� ��とに出来て履歴ファイルに格納される(ステ ップS1000、S1006等)。以降は履歴ファイルに格� ��されたものを参照する。

 具体的には、「個人情報収集の業務プロ� ��ス定義」があり、そのテンプレートを使っ� ��同じプロセスで作業を行う、「DMのための� �人情報収集」(業務プロセス定義データ210)、 「アンケートのための個人情報取扱い業務」 (業務プロセス定義データ211)、さらに他のISMS 向け業務(業務プロセス定義データ212)がある� ��これらは、担当者や作業期間などは異なる� ��申請・承認などの業務プロセスが同一であ� ��。このように、まだ個別の情報が入力され� ��いないテンプレート(或いはスケルトン)と� �個別の業務の情報が入力されたものを明確� �区別する。これによって、担当者の変更の� �合も、個別の業務の情報が入力されたもの(� ��えば、業務プロセス定義データ210~「DMのた� ��の個人情報収集」の業務プロセス定義)が更 新され、業務プロセス定義データ210のおおも とのテンプレート(個人情報収集の業務プロ� �ス定義)を更新する訳ではない。

 より詳細には、上述の実施形態では、入� ��フォームを利用者Aのクライアントシステム に送信すると(ステップS906→S900)、入力フォ� �ムを受信した利用者Aは、図1Bの情報の利用� �ェーズ106においては、図4A及び4Bの入力フォ� ��ムに個人情報「利用」申請書と入力する。� ��かし、入力フォームに「利用」と入力する� ��ではなく、メニューから「個人情報利用申� ��書」を選択し、利用申請書用の業務プロセ� ��定義データを参照してデータ入力するよう� ��してもよい。

 また、上述の実施形態では、申請フォー� ��104aを受信すると(ステップS901)、その情報を 業務プロセス定義データ210に格納する(ステ� �プS914)。しかし、入力されたフォームは履歴 ファイル208に格納し(ステップS1000、S1006等)、 業務プロセス定義データは、何回も再利用さ れる定義体として、業務プロセスの規定を変 更する場合以外は更新しないようにしてもよ い。

 5)上述の実施形態では、タイマ監視モジ� �ールからの定期的な設定日時をチェックし(� ��テップS901→S902→S908→S909)、Life-cycle制御モ� ��ュール206を起動する(ステップS918)。そして� ��テップS1100において、あるフェーズの開始� �期に近づいたか否かを判定し、いずれかの� �ェーズの開始時期と判定された場合、その� �始すべきフェーズの開始担当者に、そのフ� �ーズの入力フォームをメール添付で送信し� �そのフェーズの業務プロセスの開始を通知� �る(ステップS1106)。

 しかし、タイマ監視モジュールからの定� ��的な設定日時をチェック(Life-cycle制御モジ� �ール206内で設定日時をチェック)しない方法� ��可能である。例えばMicrosoft Outlook(商標)の� �能を使えば、配信オプションで「指定日時� �降に配信」で日時を指定すると、メールは� �定日時に配信される。また、「会議出席依� �」の機能を使って、指定の日時にある作業� �行うことを記述し関連する入力フォームを� �付すると、相手のスケジュール表に予約さ� �、指定日時の前になるとリマインドをして� �れる。このような一般的なメール機能かス� �ジュール指定機能のどちらか一方(或いは組� ��合わせても良い)を使えば、定期的にチェッ クする必要はない。但し、担当者変更の場合 は、送付済のメールやスケジュールを一旦キ ャンセルして新担当者に出しなおさなければ ならない。

 6)上述の実施形態では、図10を参照し説明 した処理において、一連の業務処理が連続し て行われるものとしている。しかし、申請・ 承認などの業務を非同期に行うようにし、申 請しても承認者がそれを見て承認処理をする ことが時間的に遅れる処理としてもよいこと は、当業者には容易に理解できよう。

 7)本発明で言う記録媒体とは、CPUが実行� �るプログラムを記録しておき、デバイスに� �り読み取り可能な媒体を言う。記録媒体と� �ては、CD-ROM以外に、IC(integrated circuits)メモ� �、HD、フロッピー(登録商標)ディスク、光磁� ��ディスク(MO)など周知の記録媒体を使用する ことができる。

 また、記録媒体に記録されるプログラム� ��、プログラムそのもの、圧縮したもの、暗� ��化したもののいずれでもよく、これらのデ� ��タはすべて本発明のプログラムの概念の中� ��含まれる。

 さらにインターネット、LAN(local area netwo rk)などのネットワークあるいは信号線を介し て、プログラムを情報処理装置に転送(ダウ� �ロード)する場合には、転送元の装置の上記� ��ログラムを記憶する記録媒体または記憶デ� ��イスが本発明の記録媒体に該当する。

 8)上述の実施形態は本発明の例示のため� �説明したが、上述の実施形態の他にも変形� �可能である。その変形が特許請求の範囲で� �べられている本発明の技術思想に基づく限� �、その変形は本発明の技術的範囲内となる� �