WO2006008847A1 - 電子文書管理システム - Google Patents

Abstract

【課題】　電子文書においてなされた部分的な訂正が正しく行われたことを担保し、これらの正当性を第三者証明可能とすることができる電子文書管理システム等を得る。 【解決手段】　電子情報で作成される原本情報を管理する電子文書管理システムであって、文書情報の各部分を識別可能に表す部分識別情報を生成する部分識別情報生成部５１と、文書情報の各部分に訂正があった場合に、訂正された部分の訂正履歴に関する情報である部分訂正情報を生成する部分訂正情報生成部５２と、文書情報と部分識別情報と部分訂正情報と規定された所定のポリシ情報とを関連付けて管理する原本管理部４０とを備える。

Description

明 細 書

電子文書管理システム

技術分野

[0001] 本発明は、電子情報で作成される文書情報を管理する電子文書管理システム等に 関し、特に、紙と同等の証拠能力を必要とする文書の電子化 '流通'保管に適用され 、部分的な訂正 (例えば追加 ·変更 ·削除 ·墨塗り等を含む）が発生する電子化された 文書情報において、その訂正箇所の特定、並びにその正当性の担保、及び第三者 証明を容易に行うことができる電子文書管理システム、電子文書管理方法、電子文 書管理プログラムに関するものである。 背景技術

[0002] 従来の技術として、まず、紙文書を取り扱う際における訂正方法とその正当性確認 方法について説明する。

従来、紙文書に対して訂正を行う代表的な訂正方法として、図 48に示すような方法 が知られている。すなわち、図 48によれば、訂正箇所の文字を二重線で消し、すぐ 上の余白に訂正文字を記入し (P1)、次に、訂正情報を余白に明記し、当事者双方 の訂正印を押印する（P2)。

[0003] 従来の紙文書に対する訂正においては、上記 Pl、 P2を行うことで以下を担保、確 認することが可能である。

(1)訂正箇所を容易に確認 ·特定可能であり、訂正箇所以外は故意 ·過失による変 更がなレ、ことを確認可能である。

(2)訂正範囲が容易に確認 ·特定可能である。

(3)訂正箇所は誰が訂正したのか容易に確認可能である。

(4)訂正してもよい箇所かどうか確認可能である。

(5)訂正前の内容が確認可能である。

(6)訂正に関するポリシ (制御情報）に従って訂正可能であり、かつ、検証可能である [0004] また、保険契約申込書や運送依頼票等で使用されるカーボン紙付き文書も同様に 、以下を担保 ·確認することが可能である。

[0005] (7)—部の内容を隠蔽可能であり、その他の箇所は改変がないことを確認可能であ る。

(8)原紙とカーボン紙の内容を比較した場合、各々に書かれた筆跡から内容が同一 であることを確認可能である。

(9)原紙とカーボン紙を分けて保管することで、内容の改ざんを検知可能である。

(10)上記（9)から裁判沙汰になった場合、内容に関する第三者証明が可能である。

(11)原紙とカーボン紙は必要に応じて流通して利用される。また、場合によっては別 々に流通利用が可能である。

[0006] 以上のように紙文書を用いる場合は、訂正方法とその正当性確認方法について様 々な点で優れる力 一方で、近年の IT技術の進歩に伴って、データの取り扱い、保 存等の利便性から上述した紙文書に代えて電子データ（電子情報）を取り扱うという 技術が提案されつつある (例えば、下記特許文献 1 , 2, 3及び非特許文献 1， 2参照

) ₀

特許文献 1：特開 2000 - 285024号公報

特許文献 2：特開 2001— 117820号公報

特許文献 3：特開 2003 - 114884号公報

非特許文献 1：情報処理学会/コンピュータセキュリティ研究会 (CSEC)論文「電子文 書墨塗り問題（2003/7/17) (2003-CSEC-22-009)

非特許文献 2 : SCIS2004論文「開示条件を制御可能な電子文書墨塗り技術」 発明の開示

発明が解決しょうとする課題

[0007] 特許文献 1や特許文献 2は、電子文書の原本保管技術に関するものであり、電子 文書を保存する際に、紙の原本が有する性質を電子情報に持たせ、また、電子文書 が改ざんされないように保護する技術を提供している。つまり、これらの技術は、確定 された最終形態の電子文書を原本として保管、管理する機構、いわゆる原本の所在 が明確であり、一組織内に蓄えられる原本をいかに安全に保管するかという点に注 目してレ、る。 [0008] し力しながら、このような原本保管技術にぉレ、ては、電子文書に対して訂正が発生 した場合、一部でも訂正が行われた場合は"改ざん"と認識されてしまう。例えば、先 に述べたような"紙の契約文書への訂正"を考えた場合、訂正の際は、「訂正箇所の 文字を二重線で消し、すぐ上の余白に訂正文字を記入する。更に、訂正者印を押印 する。」といった処理が行われる力 訂正を加えても契約文書の原本には相違ない。

[0009] 紙文化におけるこのような行為は、正当な手続きを踏んで訂正を行っていると公的 に判断され、第三者的に証明が可能となっている。

[0010] これに対して電子文書の場合、証拠性という観点から従来の原本保管技術を適用 すると、訂正部分は改ざんされたものなの力 正当な手続きを経て訂正されたものな のか識別できないという問題が生じる。これは、電子文書に対するいかなる改変も検 知できるように設計されている現状の電子署名の特徴からも言えることである。

[0011] 特許文献 3は、電子文書編集表示技術に関するものであり、電子文書の原本性を 保証しつつ、文書を複数化することなく要素毎に修正や追加及び表示制御を行う手 段が提供されている。この技術では、原本情報は実データである原本部分と要素毎 の制御を記載した定義部分を含む一ファイルで構成 ·管理されており、修正や追加 が行われる場合には、この定義部分に修正情報として記載 ·付加される。これにより、 修正情報に関する第三者証明を行うことは可能である。

[0012] しかし、この方式では旧版を含む全ての修正情報を示さなければならず、一部の内 容を隠した (墨塗りを施した)状態や、一部の版のみでの第三者証明ができないとレヽ う問題があった。

[0013] 非特許文献 1は、電子文書墨塗り技術に関するものであり、「電子文書墨塗り問題」 論文では、ある文書に対して施された署名が、文書の一部を秘匿することによって検 証できなくなる問題を解決する電子文書の墨塗り技術が提案されている。本論文の 電子文書墨塗り技術を適用することにより、署名付き電子文書に対して墨塗りを施し た状態でも署名検証が可能となり、且つ墨塗り箇所以外は改変がないことを第三者 証明することが可能となり、特許文献 3の課題で指摘した「一部の内容を隠した (墨塗 りを施した）状態での第三者証明」が可能になる。

[0014] しかしながら、本論文の電子文書墨塗り技術では、オリジナル文書の作成者を保証 しており、誰が墨塗りを行った力まで明確に識別することができない。更に、利用シー ンとして情報公開制度における電子文書墨塗り問題を取り挙げており、一部墨塗りし た文書を複数のエンティティ間で流通させ、当該文書を更に利用することまで考慮さ れていない。

[0015] 本発明は、上述した問題点を解決するためになされたものであり、電子文書が複数 のエンティティ間で転々流通する過程において、部分的な訂正（例えば、追カロ、変更

、削除等を含む）がなされた電子文書に対し、訂正箇所を特定することができ、また 訂正箇所以外は改変されてレ、なレ、ことを確認することができ、並びに部分的な訂正 が誰によって行われた力、を特定'確認することができ、さらに当該部分訂正が正しく 行われたことを担保し、これらの正当性を第三者証明可能とすることができる電子文 書管理システム、電子文書管理方法及び電子文書管理プログラムを提供することを 目的としている。

課題を解決するための手段

[0016] 上述した課題を解決するため、本発明は、電子情報で作成される文書情報を管理 する電子文書管理システムであって、予め規定されたポリシ情報を保管するポリシ情 報保管部と、文書情報の各部分を識別可能に表す部分識別情報を生成する部分識 別情報生成部と、前記文書情報の各部分に訂正指示があった場合に、訂正された 部分の訂正履歴に関する情報である部分訂正情報を生成する部分訂正情報生成部 と、前記文書情報と前記部分識別情報生成部で生成された部分識別情報と前記部 分訂正情報生成部で生成された部分訂正情報と前記ポリシ情報保管部に保管され ているポリシ情報とを関連付けて管理する管理部と、文書情報の正当性を前記管理 部により関連付けられている部分識別情報、部分訂正情報を用いて検証する登録文 書検証部とを備えることを特徴とする。

[0017] この電子文書管理システムにおいて、前記部分識別情報生成部は、文書情報を複 数の部分に区切り、各部分の情報に基づいて前記部分識別情報を生成することを特 徴とすることができる。また、この電子文書管理システムにおいて、前記登録文書検 証部は、部分訂正に関する整合性を確認することを特徴とすることができる。さらに、 この電子文書管理システムにおいて、複数のエンティティ間において前記管理部に より管理されている情報の送受信を行う送受信部を備えることを特徴とすることができ る。

[0018] また、本発明の電子文書管理システムにおいて、前記部分識別情報生成部は、前 記部分識別情報をハッシュ関数を用いて生成することを特徴とする。

[0019] また、本発明の電子文書管理システムにおいて、前記部分識別情報生成部は、前 記各部分の情報に任意情報を加えて前記部分識別情報を生成することを特徴とす る。

[0020] この電子文書管理システムにおいて、前記部分識別情報生成部は、文書情報が訂 正された場合にぉレ、て、前版から訂正された箇所のみ新たな部分識別情報を生成 することを特徴とすることができ、またこの電子文書管理システムにおいて、文書情報 と部分識別情報と部分訂正情報のそれぞれに署名が付与されていることを特徴とす ること力 sできる。さらに、本発明の電子文書管理システムにおいて、前記文書情報に 訂正が行われた場合に、ポリシ情報を用いて訂正可能範囲において訂正が行われ ていることを検証する登録ポリシ検証部を備えることを特徴とすることができる。

[0021] また、前記管理部により管理される前記情報は、階層的な文書構造を持つ XMLデ ータにより構成されることを特徴とすることができる。また、前記部分識別情報生成部 は、前記文書情報の各部分の訂正指示に従い、階層的な文書構造を持つ XMLデー タの訂正において、前版から訂正された箇所、並びに訂正されていない箇所の全て の親要素、子要素を対象として部分識別情報を生成することを特徴とすることができ る。

[0022] また、前記部分識別情報生成部は、前版から訂正された箇所については、子要素 とその属する親要素を対象として部分識別情報を生成し、親要素に属する全ての子 要素に訂正がない箇所については、当該親要素のみを対象として部分識別情報を 生成することを特徴とすることができる。

[0023] また、前記部分識別情報生成部は、訂正箇所として記録された親要素の部分識別 情報は、次回訂正時に当該箇所に対して訂正がない場合は、前記記録された親要 素の部分識別情報を流用することを特徴とすることができる。

[0024] さらに、前記部分識別情報生成部は、前版から訂正された箇所のみ、子要素とそ の属する親要素を対象として部分識別情報を生成し、前記管理部は前版からの差分 のみの部分識別情報を管理することを特徴とすることができる。

[0025] さらにまた、前記部分識別情報生成部は、同一要素名が記録された本文について は Xpath機能を用いて、対応する部分識別情報を生成することを特徴とすることがで きる。

[0026] また、前記管理部は、部分識別情報の全版数を連結管理することを特徴とすること ができ、また、前記管理部は、当該情報群を 1ファイルで管理することを特徴とするこ とができ、更に前記管理部は、 Xlink機能を用いて当該情報群を管理することを特徴 とすることができ、更にまた、前記管理部は、時系列に識別可能で、かつ、各版数に 対する作成者を識別可能とすることを特徴とすることができる。また、前記管理部は、 各版数に対する作成者の識別として XML部分署名を用いることを特徴とすることもで きる。また、前記管理部は、全ての電子情報を版数に対応する原本情報として扱うと 共に、版数管理されている原本情報の内容は、各版数の原本情報の内容によって 閲覧可能者と閲覧不能者を識別可能とすることを特徴とすることができる。

[0027] また、本発明は、コンピュータが電子情報で作成される文書情報の管理処理を行う 電子文書管理方法であって、前記コンピュータが作成された文書情報の登録要求を 受信する登録要求受信ステップと、前記登録要求受信ステップにおレ、て受信した文 書情報が所定のポリシ情報に適合するか否かを予めポリシ情報が保管されているポ リシ保管部の情報を参照して検証する登録ポリシ検証ステップと、前記登録ポリシ検 証ステップの検証により前記文書情報が所定ポリシ情報に適合するとした場合に、前 記文書情報の各部分を識別可能に表す部分識別情報を生成する部分識別情報生 成ステップと、前記文書情報と前記部分識別情報と前記ポリシ情報とを関連付けて 登録する登録ステップとを実行するものである。

[0028] また、本発明は、コンピュータが電子情報で作成される文書情報の管理処理を行う 電子文書管理方法であって、前記コンピュータが管理対象の文書情報に対する訂正 された文書情報にっレ、ての訂正要求を受信する訂正要求受信ステップと、前記訂正 要求受信ステップにて受信した文書情報がポリシ情報保管部に保管されているポリ シ情報に適合するか否か検証する訂正ポリシ検証ステップと、前記訂正ポリシ検証ス テツプにて、前記文書情報が前記ポリシ情報に適合するとされた場合に、前記訂正さ れた文書情報の各部分を識別可能に表す部分識別情報を生成する部分識別情報 生成ステップと、訂正ポリシ検証ステップにて前記文書情報が前記ポリシ情報に適合 するとされた場合に、前記訂正された部分の訂正履歴に関する情報である部分訂正 情報を生成する部分訂正情報生成ステップと、前記訂正された文書情報と前記部分 識別情報と前記部分訂正情報と前記ポリシ情報とを関連付けて管理する管理ステツ プと、文書情報の正当性を前記管理ステップにより関連付けられた部分識別情報、 部分訂正情報を用いて検証する登録検証ステップとを実行することを特徴とする。

[0029] また、本発明は、電子情報で作成される文書情報の管理をコンピュータに実行させ る電子文書管理プログラムであって、作成された文書情報の登録要求を受信する登 録要求受信ステップと、前記登録要求受信ステップにおいて受信した文書情報が所 定のポリシ情報に適合するか否力、を予めポリシ情報が保管されているポリシ保管部 の情報を参照して検証する登録ポリシ検証ステップと、前記登録ポリシ検証ステップ の検証により前記文書情報が所定ポリシ情報に適合するとした場合に、前記文書情 報の各部分を識別可能に表す部分識別情報を生成する部分識別情報生成ステップ と、前記文書情報と前記部分識別情報と前記ポリシ情報とを関連付けて登録する登 録ステップとをコンピュータに実行させる。

[0030] また、本発明は、電子情報で作成される文書情報の管理をコンピュータに実行させ る電子文書管理プログラムであって、管理対象の文書情報に対する訂正された文書 情報についての訂正要求を受信する訂正要求受信ステップと、前記訂正要求受信 ステップにて受信した文書情報がポリシ情報保管部に保管されているポリシ情報に 適合するか否か検証する訂正ポリシ検証ステップと、前記訂正ポリシ検証ステップに て、前記文書情報が前記ポリシ情報に適合するとされた場合に、前記訂正された文 書情報の各部分を識別可能に表す部分識別情報を生成する部分識別情報生成ス テツプと、訂正ポリシ検証ステップにて前記文書情報が前記ポリシ情報に適合すると された場合に、前記訂正された部分の訂正履歴に関する情報である部分訂正情報 を生成する部分訂正情報生成ステップと、前記訂正された文書情報と前記部分識別 情報と前記部分訂正情報と前記ポリシ情報とを関連付けて管理する管理ステップと、 文書情報の正当性を前記管理ステップにより関連付けられた部分識別情報、部分訂 正情報を用いて検証する登録検証ステップとをコンピュータに実行させる。

[0031] この電子文書管理プログラムにおいて、前記部分識別情報生成ステップは、文書 情報を複数の部分に区切り、各部分の情報に基づいて前記部分識別情報を生成す ることをコンピュータに実行させることを特徴とすることができ、また、前記部分識別情 報生成ステップは、前記部分識別情報をハッシュ関数を用いて生成することをコンビ ユータに実行させることを特徴とすることができる。

図面の簡単な説明

[0032] [図 1]本発明の実施の形態の原理図を示すブロック図である。

[図 2]本発明の実施の形態の電子文書管理システムの構成を示す機能ブロック図で ある。

[図 3]ポリシ情報の内容例を示す図である。

[図 4]部分識別情報の内容例を示す図である。

[図 5]新規文書登録時の保管状態を示す図である。

[図 6]新規文書登録処理の動作を示すフローチャートである。

[図 7]訂正可能範囲/訂正不可範囲を特定する例を示す図である。

[図 8]部分訂正情報の内容例を示す図である。

[図 9]登録文書訂正時の保管状態を示す図である。

[図 10]登録文書訂正処理の動作を示すフローチャートである。

[図 11]訂正ポリシ情報と部分訂正情報の比較を示す図である。

[図 12]登録文書と部分識別情報の比較を示す図である。

[図 13]部分識別情報の新版と旧版の比較を示す図である。

[図 14]登録文書検証処理の動作を示すフローチャートである。

[図 15]第 2の局面における利用イメージを示す図である。

[図 16]登録文書訂正 (一部墨塗り）時の原本保管状態を示す図である。

[図 17]送信対象の契約文書一式を示す図である。

[図 18]登録文書流通（送信）処理の動作を示すフローチャートである。

[図 19]登録待ち文書受信処理の動作を示すフローチャートである。 [図 20]登録文書取得処理の動作を示すフローチャートである。

[図 21]第三者証明 1を示す図である。

[図 22]第三者証明 2を示す図である。

[図 23]第三者証明 3を示す図である。

園 24]実施の形態 2における第 2の適用分野における利用シーンを示す図である。

[図 25]保険契約申込書 (第 1版) -本文を XMLデータで表現した例を示す図である。 園 26]保険契約申込書 (第 1版）の XMLデータモデルを示す図である。

[図 27]保険契約申込書 (第 1版) -部分識別情報を XMLデータで表現した例を示す図 である。

[図 28]「契約者」を抽出した XMLデータモデルを示す図である。

[図 29]保険契約申込書 (第 1版)作成時の保管状態を示す図である。

[図 30]保険契約申込書 (第 2版) -本文を XMLデータで表現した例を示す図である。

[図 31]保険契約申込書 (第 2版) -部分識別情報を XMLデータで表現した例を示す図 である。

園 32]保険契約申込書 (第 2版)作成時の保管状態を示す図である。

園 33]金融機関担当者が閲覧可能な検証データ群を示す図である。

[図 34]保険契約申込書 (第 3版) -本文を XMLデータで表現した例を示す図である。

[図 35]保険契約申込書 (第 3版) -部分識別情報を XMLデータで表現した例を示す図 である。

園 36]保険契約申込書 (第 3版)作成時の保管状態を示す図である。

園 37]第 2版における全部分識別情報の連結管理を示す図である。

園 38]第 3版における全部分識別情報の連結管理を示す図である。

園 39]方式 2を用いて部分識別情報 (第 2版)を XMLデータで表現した例を示す図で ある。

[図 40]方式 2を用レ、た保険契約申込書 (第 3版)作成時の保管状態を示す図である。

[図 41]評価 ·分析のための XMLデータ例を示す図である。

園 42]評価 ·分析用 XMLデータの更新を示す図である。

園 43]方式 0による部分識別情報の生成と検証を示す図である。 [図 44]方式 1による部分識別情報の生成と検証を示す図である。

[図 45]方式 2による部分識別情報の生成と検証を示す図である。

[図 46]方式別解析結果を示す図である。

[図 47]方式別解析結果におけるバブルチャートを示す図である。

[図 48]従来の紙による訂正済み契約文書の一例を示す図である。

発明を実施するための最良の形態

[0033] 以下、本発明の実施の形態を図面を用いて説明する。

[0034] 本発明の実施の形態における電子文書管理システムは、電子情報で作成された電 子文書としての文書情報とは別に、ポリシ情報 (登録用ポリシ情報と訂正用ポリシ情 報）と部分完全性情報 (部分識別情報と部分訂正情報)を別個に保持し、言わば電 子文書部分完全性保証システムとして電子文書を検証、流通させる仕組みを提供す る。

[0035] 図 1は本発明に係る電子文書管理システムの原理図を示す。まず、図 1を用いて電 子文書管理システムの基本構成について説明する。なお、以下、本明細書において は、文書情報と原本情報、及び文書と原本は、それぞれ同義語として用いることとす る。

[0036] 図 1に示す電子文書管理システムは、登録手段 1、生成手段 2、管理手段 3、検証 手段 4、及び流通手段 5を備える。

[0037] 登録手段 1は電子情報から作成される文書情報を原本情報として登録し、生成手 段 2は登録された原本情報の部分的な訂正、変更、追カロ、削除等（以下訂正という） を識別する部分識別情報と、原本情報の部分的な訂正履歴を表す部分訂正情報を 生成する。

[0038] 管理手段 3は、部分識別情報と部分訂正情報の 2つの情報を部分完全性情報とし て原本情報とともに管理し、更に、ポリシ情報と関連付けて管理する。

[0039] ポリシ情報は、原本情報の登録時には、登録ポリシ情報として、当該原本情報にお ける必要記載事項 (必要文書情報)や作成者権限等の条件を記述したものとして使 用され、また、原本情報の登録後の訂正時には、訂正ポリシ情報として、当該原本情 報に対してあらかじめ決められている部分訂正管理制御情報 (訂正者、訂正可能範 囲、訂正不可範囲等）、手順、制約、条件等を記述したものとして使用される。なお、 本実施の形態では、訂正ポリシ情報も登録ポリシ情報も同一のものが使用される。

[0040] 紙での契約文書の場合、入力すべき箇所や訂正者、訂正操作、手順は規約等に よって決まっており、電子情報からなる文書情報においても同様に操作制御とその内 容を検証する手段を提供する。

[0041] 検証手段 4は、訂正ポリシ情報と部分完全性情報を用いて、原本情報に対する部 分訂正が正しく行われたことを確認する。

[0042] 流通手段 5は、複数のエンティティ間で当該原本情報を流通させるため、原本情報 の送受信を行う送受信部を構成する。

[0043] 登録手段 1が登録する原本情報は、事後、裁判沙汰になった場合に証拠として提 出するため第三者証明が必要な文書 (例えば、契約書等の重要文書）に対応し、登 録された原本情報は、登録手段 1内に保存される。生成手段 2が生成する部分識別 情報と部分訂正情報は、登録手段 1に登録されている原本情報の訂正箇所、訂正内 容に関して事後確認できるようにするために生成され、当該原本情報に関連付けさ れる。登録手段 1内に保存されている原本情報の訂正を行う場合は、旧版を残して 新版として作成、保存され、当該版数に対する部分完全性情報が生成され、関連付 けが行われる。

[0044] このような電子文書管理システムによれば、上述した原本情報のような電子文書の 訂正箇所を明確に特定でき、部分訂正が正しく行われた事を担保することが可能に なり、訂正済み電子文書 (文書情報）を複数エンティティ間で転々流通させ、かつ、 各エンティティの時点において訂正済み電子文書の完全性を保証することが可能と なる。

[0045] 実施の形態 1.

以下、本発明の実施の形態 1として、本発明を第 1の適用分野に適用した場合につ いて説明する。図 2は、本発明の実施の形態における電子文書管理システムの構成 を示す機能ブロック図である。

[0046] 図 2に示す電子文書管理システム 10は、要求解析部 20、ポリシ管理部 30、原本管 理部 40、部分完全性情報生成部 50、部分完全性情報検証部 60、及び流通管理部 70を備える。

[0047] 以下にこれら各部の構成および役割について説明する。

要求解析部 20は、利用者 90からの処理依頼を受け付け、各処理に応じてポリシ管 理部 30、原本管理部 40への処理割り振りを行う。ポリシ管理部 30は、原本情報に対 応するポリシ情報の保管と検証を行う。

[0048] ポリシ情報とは、当該原本情報に対して、登録時 (作成時)の必要記載事項 '作成 者権限や、所定の部分訂正管理制御情報 (訂正者、訂正可能 Z不可範囲等）、手順

、制約、条件等が記述されている。

[0049] 紙での契約文書の場合、入力すべき箇所や訂正者、訂正操作'手順は規約等によ つて決まっており、電子情報においても同様に操作制御とその内容を検証する部を 提供する。ポリシ管理部 30は、ポリシ保管部 31と、登録ポリシ検証部 32a、訂正ポリ シ検証部 32bの 2つのサブ要素から構成される。

[0050] ポリシ保管部 31は、要求解析部 20よりポリシ保管依頼を受け付け、ポリシ情報の登 録、保管を行う。登録ポリシ検証部 32aは、ポリシ保管部 31に既に登録されている登 録ポリシ情報に従って、原本情報の登録時に予め決められた作成者であるかどうか、 また、その必要記載事項が満たされているか否かの検証を行う。訂正ポリシ検証部 3 2bは、ポリシ保管部 31に既に登録されている訂正ポリシ情報に従って当該原本情報 が正しく作成、訂正されているか否かの検証を行う。

[0051] 原本管理部 40は、ポリシ管理部 30に登録されているポリシ情報を部分完全性情報 とともに電子情報に関連付け、これら情報を原本情報として登録、管理、保管する。 原本管理部 40は、原本処理部 41と、原本保管部 42の 2つのサブ要素から構成され る。

[0052] 原本処理部 41は、要求解析部 20より処理依頼を受け付け、原本情報に対する各 種処理の実行を行う。原本処理部 41には、例えば、新規データ登録処理 (原本登録 処理）、登録データ訂正処理 (登録原本訂正処理）、登録データ取得処理 (登録原本 取得処理）、登録データ検証処理 (登録原本検証処理)を実行可能な機能を保持す る。

[0053] 原本保管部 42は、原本処理部 41より原本格納 ·保管依頼を受け付け、当該原本 情報と部分完全性情報と共に登録、保管を行う。また、原本処理部 41より原本情報 の取得依頼を受け付け、当該原本情報と部分完全性情報の取り出しを行う。

[0054] 部分完全性情報生成部 50は、原本管理部 40より部分完全性情報生成依頼を受 け付け、原本情報に対する部分識別情報と、部分訂正情報の生成を行う。部分完全 性情報生成部 50は、部分識別情報生成部 51と、部分訂正情報生成部 52の 2つの サブ要素から構成される。

[0055] 部分識別情報生成部 51は、原本管理部 40より部分識別情報生成依頼を受け付け 、原本情報に対する部分識別情報 (原本情報の各部分及びその記載事項を識別可 能に示す情報)の生成を行う。部分識別情報には例えば、原本情報の各部分 (例え ば、一文字単位、もしくは、 XMLデータであれば一要素単位でもよい）に対して変更 の有無が確認できるよう各部分の乱数を含めたハッシュ情報、並びにそのハッシュ情 報がどの部分に相当するかの位置情報が記載されている。

[0056] 部分訂正情報生成部 52は、原本管理部 40より部分訂正情報生成依頼を受け付け 、原本情報に対する部分訂正情報の生成を行う。部分訂正情報には例えば、「いつ」 、「誰が」、「どの箇所に対して」、「どのような操作を行ったか」、「訂正前情報」、「訂正 理由」のような情報 (原本情報の各部分における訂正履歴）が記載されている。

[0057] 部分完全性情報検証部 60は、原本管理部 40より部分完全性情報検証依頼を受 け付け、原本情報に対する部分識別情報と、部分訂正情報の検証を行う。部分完全 性情報検証部 60は、部分識別情報検証部 61と、部分訂正情報検証部 62の 2つの サブ要素から構成される。

[0058] 部分識別情報検証部 61は、原本管理部 40より部分識別情報検証依頼を受け付け 、原本情報に対する部分識別情報の検証を行う。

[0059] 部分訂正情報検証部 62は、原本管理部 40より部分訂正情報検証依頼を受け付け 、原本情報に対する部分訂正情報の検証を行う。

[0060] 流通管理部 70は、原本管理部 40より原本情報の送受信依頼を受け付け、当該原 本情報と部分完全性情報の送信処理、並びに受信処理を行う。流通管理部 70は、 送信処理部 71と、受信処理部 72の 2つのサブ要素から構成される。

[0061] 送信処理部 71は、原本管理部 40より原本情報の送信依頼を受け付け、当該原本 情報と部分完全性情報を対象エンティティに対して送信処理を行う。受信処理部 72 は、原本管理部 40より原本情報の受信依頼を受け付け、対象エンティティから送信 されてきた当該原本情報と部分完全性情報の受信処理を行う。

[0062] 以下に本実施の形態を 2つの適用分野に分類して説明する。まず第 1の適用分野 では、本発明の基本概念 (個別基本機能）となる「新規作成機能」、「訂正 (一部墨塗 り)機能」、「検証機能」、「流通機能」、「取得機能」に関する各作用について説明す る。第 2の適用分野では、第 1の適用分野において実現される原本管理方法と検証 方法に関して更に改良、改善することを目的として、 XML (extensible Markup Language)文書に特化して説明する。ここでは、 XML文書フォーマットの特徴のひと つである構造化に着目し、より効率的な部分改ざん検出を実現する原本管理方法、 および、検証方法について説明する。

まず初めに、第 1の適用分野である基本概念 (個別基本機能）について利用シーン に沿って説明する。以下に本実施の形態 1の動作の例として、第 1の局面と第 2の局 面の二つの場合について説明する。

〔第 1の局面〕

まず、第 1の局面として、次の利用シーンを想定する。

利用者が本システムを利用する場面として契約文書の記録/保存がある。契約文 書では、作成後に訂正を行う場合がある。この時、訂正者や訂正箇所の特定、訂正 内容等、その証明性が求められる。事後、裁判沙汰になった場合に証拠として提出 できるよう記録を残す部として本システムを利用する。本利用シーンの登場人物とし て、当該契約文書の新規作成、並びに訂正を行う「鈴木花子さん」、また、本システム を利用した検証を行う「管理者」の 2名が登場する。上記 2名は、以下のプロセスを行 うものとする。

[0063] (新規作成）

鈴木花子さんによって当該契約文書を新規作成し、本システムに登録を行う。 (訂正）

引越しのため、鈴木花子さんの住所に訂正事由が発生し、鈴木花子さん本人によ つて当該契約文書中の住所欄に記載されている「川崎巿中原区」を「横浜巿港北区」 に訂正し、本システムに登録を行う。

(検証）

訂正処理/登録完了後まもなぐ管理者によって、住所訂正に伴う検証 (訂正箇所 の特定と訂正内容の確認、並びに、訂正箇所以外は訂正されていないことの確認） を行う。

[0064] 上記利用シーンにおいて、本システムでは鈴木花子さんと管理者に対して以下の 三つの機能を提供する。

(A)新規データ登録機能 (契約文書の新規作成時に利用）

(B)登録データ訂正機能 (契約文書の訂正時に利用）

(C)登録データ検証機能 (契約文書の検証時に利用）

[0065] 以下より、上記 (A) （C)の各事象における作用について説明する。

本利用シーンの事前条件として、利用者 90 (鈴木花子さん、管理者）は本電子文 書管理システムを利用できるよう事前登録されている。本利用シーンは、鈴木花子さ ん、管理者が当該システムにアクセス/ログインするところから始まる。また、当該契 約文書に対応するポリシ情報は、ポリシ保管部 31に既に登録/保管されているもの とする。例えば、図 3は、ポリシ情報の内容例を示した図である。

[0066] 図 3に示すポリシ情報の内容を説明すると、以下の制御情報が書かれている。契約 文書の必須情報として"名前"、 "住所"、 "生年月日"を入力すること、 "名前"ど'住所 "に関しては必要に応じて訂正可能、 "生年月日"はその性質上、訂正できないものと する。ただし、 "生年月日"については、墨塗りを施すことを可能とする。本ポリシ情報 は、当該システムにおいて、複数のエンティティ間で流通されていくことを考慮し、そ の安全性を向上させるため、システム管理者の署名が施されるよう規定されていても よい。

[0067] (A)契約文書の新規作成時

図 6は、新規文書登録処理の動作を示すフローチャートである。この新規登録処理 に際して、利用者 90 (鈴木花子さん）は、まず、図示しない画面中の「新規文書作成」 メニューの「契約文書」を選択し、ポリシ情報に基づいたフォーマット済み契約文書に 対して入力を行う。入力が確定すると、電子文書管理システム 10内の要求解析部 20 に対して、新規文書登録依頼を発行する。これより以下の処理 (ステップ)が開始され る。

[0068] (1)電子文書管理システム 10内の要求解析部 20は、新規文書登録依頼を受信し（ ステップ ST-R1)、原本処理部 41に対して新規文書登録依頼を発行する（ステップ ST-R2)。

[0069] (2)原本処理部 41は、登録ポリシ検証部 32aに対して、登録ポリシ検証依頼を発行 する（ステップ ST-R3)。

[0070] (3)登録ポリシ検証部 32aは、ポリシ保管部 31に登録/保管されているポリシ情報を 参照し、当該ポリシ情報に従って文書が作成されているかの検証を行い、検証結果 を原本処理部 41へ返す（ステップ ST-R4)。

[0071] (4)原本処理部 41は、登録ポリシ検証部 32aからの検証結果を取得し、検証結果が 肯定 (OK)の場合は、部分識別情報生成部 51へ生成依頼を発行する (ステップ ST_R5)。検証結果が否定 (NG)の場合は、ログアウトし、新規文書登録処理を異常 終了する。

[0072] (5)部分識別情報生成部 51は、当該文書に対応する部分識別情報を生成し、原本 処理部 41へ生成結果を返す（ステップ ST-R6)。

[0073] 図 4は、部分識別情報生成部 51により生成される部分識別情報の内容例を示した 図である。ここでは、例えば、 "鈴木花子"という文字列に乱数" 123"を連結し、文字列 "鈴木花子 123"に対するハッシュ情報を計算し、その生成結果として、 "abcdefgh"と レ、うハッシュ情報が出力されている様子を示している。以下、他要素についても同様 の生成処理が行われる。

[0074] ここで、具体例として乱数を取り挙げているのは、後に記述する第 2の局面におい て部分的に墨塗りを行う際、墨塗りされる前の元の情報が容易に推測されることを困 難にするためである。この例では乱数を使用しているが、当該目的のために乱数以 外の手法を用いても構わない。

[0075] なお、この乱数以外の手法として、 日時を示すタイムスタンプ F(time_stamp)を使 用する方法も有り得る。この場合、 Fは任意関数であり、タイムスタンプ (time-stamp)を そのまま流用するわけではない。これは、タイムスタンプの場合、「年月日時分秒」と レ、つた固定フォーマットによって構成される可能性があり容易に推測可能となるため

、この問題を回避するためである。またここで、タイムスタンプを用いる場合は、作成 日時も同時に保証することが可能となる。

[0076] (6)原本処理部 41は、部分識別情報生成部 51からの部分識別情報を取得し、当該 契約文書と部分識別情報を原本保管部 42へ登録し保管する (ステップ ST-R7)。

[0077] この時、契約文書と部分識別情報には鈴木花子さんの署名をそれぞれ付与する。

[0078] 図 5は、新規文書登録時の原本保管部 42の状態を示している。生成された部分識 別情報は本文である契約文書の管理情報として一体化された形で保持される。以上 の処理が完了すればログアウトし、新規文書登録処理を正常終了する。

[0079] (B)契約文書訂正時

図 10は、登録文書訂正処理の動作を示すフローチャートである。この動作におい ては、まず、利用者 90 (鈴木花子さん）が図示しない画面中の「登録文書訂正」メニュ 一を選択すると、鈴木花子さんが取り扱い可能な (訂正可能な）「対象登録文書一覧

」が表示される。鈴木花子さんが画面中の「対象登録文書一覧」より、訂正する契約 文書を選択し確定すると、電子文書管理システム 10内の要求解析部 20に対して、 登録文書取得依頼を発行する。これより以下の処理 (ステップ）が開始される。

[0080] (1)登録文書取得依頼が発行されると、電子文書管理システム 10内の要求解析部 2

0は、登録文書取得依頼を受信し (ステップ ST-U1)、原本処理部 41に対して登録文 書取得依頼を発行する (ステップ ST-U2)。

[0081] (2)原本処理部 41は、原本保管部 42に登録/保管されている当該文書を取り出し

、鈴木花子さんが参照できるよう画面に表示する（ステップ ST-U3)。

[0082] ここで、鈴木花子さんは契約文書内の住所欄に記載されている「川崎巿中原区」を

「横浜巿港北区」に訂正して確定すると、電子文書管理システム 10内の要求解析部

20に対して、登録文書訂正依頼を発行する。

[0083] (3)電子文書管理システム 10内の要求解析部 20は、登録文書訂正依頼を受信し（ ステップ ST-U4)、原本処理部 41に対して登録文書訂正依頼を発行する（ステップ

ST_U5)。

[0084] (4)原本処理部 41は、訂正ポリシ検証部 32bに対して、訂正ポリシ検証依頼を発行 する（ステップ ST-U6)。

[0085] (5)訂正ポリシ検証部 32bは、ポリシ保管部 31に登録/保管されているポリシ情報を 参照し、当該ポリシ情報に従って文書が訂正されているかの検証を行い、検証結果 を原本処理部 41へ返す (ステップ ST-U7)。なお、この訂正ポリシ検証は、原本情報 におレ、て、訂正可能と規定されてレ、る範囲にぉレ、てのみ（その範囲を逸脱しなレ、で） 、訂正が行われているか否かを検証する。

[0086] 図 7は、訂正可能範囲と訂正不可範囲を特定する例を示した図である。訂正可能 範囲である"住所"を訂正した場合は検証を肯定（〇K)し、訂正不可範囲である"生 年月日"を訂正した場合は、検証を否定 (NG)する様子を示している。

[0087] (6)原本処理部 41は、訂正ポリシ検証部 32bからの検証結果を取得し、検証結果を 肯定する場合は、部分識別情報生成部 51へ生成依頼を発行する (ステップ ST-U8) 。検証 NGの場合は、ログアウトし、登録文書訂正処理を異常終了する。

[0088] (7)部分識別情報生成部 51は、当該文書に対応する部分識別情報を生成し、原本 処理部 41へ生成結果を返す (ステップ ST-U9)。ここで、部分識別情報の生成におい ては、前版から訂正された"住所"のみ新しい乱数、もしくは、訂正処理時のタイムス タンプを用いて新たな部分識別情報を生成し、 "住所"以外 (訂正箇所以外）は前版 と同一の乱数、もしくは、作成時のタイムスタンプを用いて生成する。これにより、訂正 文書 (第 2版）はオリジナル文書 (第 1版）の派生文書であることが証明でき、かつ、同 一人物が同じ内容を記載しても毎回異なる部分識別情報が生成されるため、紙べ一 スで実現されている「筆跡が同一」であることを証明することが可能となる。

[0089] (8)原本処理部 41は、引き続き、部分訂正情報生成部 52へ生成依頼を発行する（ス テツプ ST-U10)。

[0090] (9)部分訂正情報生成部 52は、当該文書に対応する部分訂正情報を生成し、原本 処理部 41へ生成結果を返す (ステップ ST-U11)。例えば、図 8は、部分訂正情報の 内容例を示した図である。

[0091] (10)原本処理部 41は、部分識別情報生成部 51から部分識別情報を、部分訂正情 報生成部 52から部分訂正情報をそれぞれ取得し、当該訂正済み契約文書、並びに 、部分識別情報と部分訂正情報を原本保管部 42へ登録し保管する。この時、契約 文書、並びに、部分識別情報と部分訂正情報には鈴木花子さんの署名をそれぞれ 付与する（ステップ ST-U12)。

[0092] 図 9は、登録文書訂正時の原本保管部 42の状態を示している。前述したとおり、契 約文書の 1版と 2版を参照し、住所要素の属性 =R部分 (この例では乱数を用いている )を比べてみると、 1版が R="234"、 2版が R="876"となっており、訂正された住所欄の み異なる乱数を用いていることがわかる。また、住所欄以外の乱数は 1版、 2版ともに 同一の値を用いていることがわかる。部分識別情報の 1版、 2版を比べても、同様の 結果が得られていることは一目瞭然である。

[0093] 以上の処理が完了すればログアウトし、登録文書訂正処理を正常終了する。なお、 上記ステップ ST-U8—ステップ ST-U11の少なくともいずれか一つの過程で、電子文 書管理システム： L0は「訂正箇所」と「訂正内容」を表示し、訂正に対する同意を利用 者 90 (鈴木花子さん）に求めるようにしてもよい。例えば、「住所が"川崎巿中原区"か ら"横浜巿港北区"に訂正されましたがよろしレ、ですか？」等と求めてもょレ、。

[0094] (C)訂正済み契約文書に関する完全性/正当性検証時

図 14は、登録文書検証処理の動作を示すフローチャートである。

[0095] この処理においては、まず、利用者 90 (管理者）が図示しない画面中の「登録文書 検証」メニューを選択すると、管理者が取り扱い可能な (検証可能な）「対象登録文書 一覧」が表示される。管理者が画面中の「対象登録文書一覧」より、検証する契約文 書を選択し確定すると、電子文書管理システム 10内の要求解析部 20に対して、登 録文書検証依頼を発行する。これより以下の処理 (ステップ）が開始される。

[0096] (1)電子文書管理システム 10内の要求解析部 20は、登録文書検証依頼を受信し（ ステップ ST-V1)、原本処理部 41に対して登録文書検証依頼を発行する（ステップ ST-V2)。

[0097] (2)原本処理部 41は、原本保管部 42に登録/保管されている当該検証データ群を 取り出す (ステップ ST_V3)。この時、取り出す検証データ群は以下のとおりである。力 ッコ [ ]内は、最新版を N版とした場合の版数を示す。

[0098] (a)：契約文書 (最新版 :2版 [N版])

(b)：部分識別情報 (最新版: 2版 [N版]) (c)：部分識別情報（1版 [N-l版])

(d)：部分訂正情報 (最新版: 2版 [N版])

[0099] (3)原本処理部 41は、訂正ポリシ検証部 32bに対して、訂正ポリシ検証依頼を発行 する（ステップ ST-V4)。

[0100] (4)訂正ポリシ検証部 32bは、ポリシ保管部 31に登録/保管されているポリシ情報を 参照し、ステップ ST-V3で取得した部分訂正情報（d)と比較することで、当該ポリシ情 報に従って文書が正しく訂正されてレ、るかの検証を行レ、、検証結果を原本処理部 41 へ返す（ステップ ST-V5)。

[0101] 図 11は、ポリシ情報と部分訂正情報の比較を示した図である。部分訂正情報に記 載されている訂正内容は"住所"に関する内容であり、ポリシ情報にも"住所"項目は 訂正可能範囲と記述されているため、検証は肯定（〇K)とされる。

[0102] (5)原本処理部 41は、訂正ポリシ検証部 32bからの検証結果を取得する。次に、部 分訂正情報検証部 62へ検証依頼を発行する（ステップ ST-V6)。

[0103] (6)部分訂正情報検証部 62は、以下の検証処理を実行し、原本処理部 41へ検証 結果を返す (ステップ ST-V7)。

(6-1)ステップ ST-V3で取得した部分訂正情報（d)を参照し、訂正箇所の特定と部 分訂正内容を確認する。

[0104] (7)原本処理部 41は、引き続き、部分識別情報検証部 61へ検証依頼を発行する (ス テツプ ST-V8)。

[0105] (8)部分識別情報検証部 61は、以下の検証処理を実行し、原本処理部 41へ検証 結果を返す (ステップ ST-V9)。

(8-1)ステップ ST-V3で取得した契約文書 (a)と、部分識別情報 (b)を比較して、当 該版数の契約文書を本システムに登録後、改ざんがないことを確認する。図 12は、 その比較の様子を示した図である。

(8-2)ステップ ST-V7で取得した部分訂正情報の検証結果（6-1)から訂正箇所（" 住所"）を特定する。ステップ ST-V3で取得した部分識別情報 (b)と（c)中の"住所"の 内容を比較し、確かに訂正されていることを確認する。更に、訂正箇所以外は前版数 力 訂正がなされていないことを確認する。図 13は、その比較の様子を示した図であ る。この例では、 1版の部分識別情報（c)と比較して、住所部分の" 67890123"と、 " qrstuvwx"だけ異なることを確認する。よって、住所以外は前版数の 1版から訂正がな されていないことを確認できる。

[0106] (9)原本処理部 41は、ステップ ST-V5、ステップ ST_V7、ステップ ST- V9で取得した 検証結果をまとめ、出力する（ステップ ST-V10)。

[0107] 以上の処理が完了すればログアウトし、登録文書検証処理を正常終了する。なお、 以上の構成において、訂正ポリシ検証部 32b、部分完全性情報検証部 60 (部分識 別情報検証部 61、部分訂正情報検証部 62)は本発明の登録文書検証部を構成し ている。

[0108] 〔第 2の局面〕

次に、本実施の形態における第 2の局面として、次の利用シーンを想定する。

[0109] A地点で作成、訂正、登録された訂正済み契約文書を B地点に流通させる手段とし て本システムを利用する。この時、 "生年月日"の情報は一部墨塗りを施すこととし、 その他の情報は開示した形で提供するものとする。本利用シーンの登場人物として、 第 1の局面において、契約文書を作成、訂正を経て登録を行った「鈴木花子さん」、 当該契約文書中の"生年月日 "欄を一部墨塗りして B地点の受信担当者に流通させ る送信担当者の「佐藤太郎さん」、 B地点において、 A地点の佐藤太郎さんから送信 された当該契約文書一式を本システムに登録する受信担当者の「山田稔さん」の 3名 が登場する。また、「山田稔さん」は、公的な第三者証明を行うために（例えば、裁判 所等へ証拠として提出するため）、 A地点から流通された契約文書を含む検証デー タを取得する。上記 3名は、以下の 4つのプロセスを行うものとする。

[0110] (訂正（一部墨塗り））

A地点に位置する利用者である「鈴木花子さん」が契約文書を作成して登録し、訂 正した後、送信担当者である「佐藤太郎さん」は、 B地点に流通させるため、訂正処 理を行い、 A地点に存在する本システムに登録を行う。ここでの訂正処理とは、前述 した生年月日の情報を一部墨塗り処理し、その他の情報は開示した状態として登録 することを意味する。

[0111] (流通 (送信)） A地点に位置する送信担当者である「佐藤太郎さん」は、契約文書一式を B地点の 受信担当者「山田稔さん」に送信する。

[0112] (流通 (受信)）

B地点に位置する受信担当者である「山田稔さん」は、 A地点の送信担当者「佐藤 太郎さん」から送信された契約文書一式を受信し、 B地点に存在する本システムに登 録を行う。

[0113] (第三者証明のための取り出し）

B地点に位置する「山田稔さん」は、公的な第三者証明を行うために（例えば、裁判 所等へ証拠として提出するため）、 A地点から流通された契約文書一式 (検証データ )の取り出しを行う。

[0114] 図 15は、上記第 2の局面における利用シーンをイメージした図である。図 15の利用 シーンにおいて、本システムでは、佐藤太郎さんと山田稔さんに対して以下の機能を 提供する。

[0115] (B)登録データ訂正機能 (契約文書の一部墨塗り時に利用）

(D)登録データ流通 (送信)機能 (契約文書の送信時に利用）

(E)登録データ流通 (受信)機能 (契約文書の受信時に利用）

(F)検証データ取得機能 (裁判所等に証拠データとして提出する場合に利用）

[0116] (B)の作用については、第 1の局面における利用シーンで説明しているのでここでは 割愛することとし、以下より、上記 (D)—（F)の各事象における作用について説明す る。なお、（B)の訂正（一部墨塗り）時の原本保管部 42の状態は図 16のようになる。 第 3版が新たに登録されていることがわかり、第 2版の部分識別情報と第 3版の部分 識別情報を比較すると、生年月日を一部墨塗り処理したことにより、 "生年月日"ど'プ ロフィールデータ"の内容のみ異なっていることを確認できる。また、本利用シーンの 事前条件として、利用者 90 (佐藤太郎さん、山田稔さん）は本電子文書完全性保証 システムを利用できるよう事前登録されている。本利用シーンは、佐藤太郎さん、山 田稔さんが当該システムにアクセス Zログインするところから始まる。

[0117] (D)契約文書の流通 (送信）時

図 18は、登録文書流通（送信）処理の動作を示すフローチャートである。 この動作においては、まず、利用者 90 (佐藤太郎さん）が図示しない画面中の「登 録文書流通（送信）」メニューを選択すると、佐藤太郎さんが取り扱い可能な (送信可 能な）「対象登録文書一覧」が表示される。次いで、佐藤太郎さんが画面中の「対象 登録文書一覧」より、送信する契約文書を選択し確定すると、電子文書管理システム 10内の要求解析部 20に対して、登録文書取得依頼を発行する。これにより以下の 処理が開始される。

[0118] (1)電子文書管理システム 10内の要求解析部 20は、登録文書取得依頼を受信し（ ステップ ST-S1)、原本処理部 41に対して登録文書取得依頼を発行する（ステップ ST- S2)。

[0119] (2)原本処理部 41は、原本保管部 42に登録され保管されている当該契約文書一式 を取り出し、佐藤太郎さんが確認できるよう契約文書の内容を画面に表示する。更に 、原本処理部 41は、ポリシ保管部 31に登録され保管されている当該契約文書のポリ シ情報も取り出す (ステップ ST-S3)。

[0120] この時、取り出される契約文書一式を図 17に示す。ここで注意すべきことは、契約 文書- 2版 (本文）は開示されないことである。つまり、契約文書- 2版の本文には、墨 塗りされる前の情報が記載されているためである。また、同様に、一部黒塗り処理に おいては、訂正処理と共通化されるが、部分訂正情報への「訂正前情報」の記載は 行われなレ、ものとする。契約文書- 2版 (本文)を除くこれらの情報を一体化した形で 送信することで、墨塗りされる前の内容を秘匿したまま、 B地点へ流通させ利用させる ことができ、更には、第三者証明が可能となる。当該文書群を用いた第三者証明の 方法については、後述する。ここで、佐藤太郎さんは送信文書の内容を確認し確定 すると、電子文書管理システム 10内の要求解析部 20に対して、登録文書流通（送信 )依頼を発行する。

[0121] (3)電子文書管理システム 10内の要求解析部 20は、登録文書流通（送信）依頼を 受信し (ステップ ST-S4)、原本処理部 41に対して登録文書流通（送信)依頼を発行 する（ステップ ST-S5)。

[0122] (4)原本処理部 41は、送信する当該契約文書の検証プロセスを実行する (ステップ ST_S6)。ここでの検証プロセスは、第 1の局面における利用シーンで説明しているの で割愛する。

[0123] (5)原本処理部 41は、送信する当該契約文書の検証結果を取得し、検証が肯定 (O K)の場合は、送信処理部 71へ送信依頼を発行する（ステップ ST-S7)。検証が否定（ NG)の場合は、ログアウトし、登録文書流通（送信）処理を異常終了する。

[0124] (6)送信処理部 71は、当該契約文書一式を地点 Bの電子文書管理システムに送信 し、原本処理部 41へ送信結果を返す (ステップ ST_S8)。

[0125] 以上の処理が完了すればログアウトし、登録文書流通（送信）処理を正常終了する

[0126] (E)契約文書の受信時

図 19は、登録待ち文書の受信処理の動作を示すフローチャートである。

[0127] この処理に際しては、まず、利用者 90 (山田稔さん）が図示しない画面中の「登録 待ち文書の受信」メニューを選択すると、山田稔さんが取り扱い可能な（受信可能な） 「対象登録待ち文書一覧」が表示される。山田稔さんが画面中の「対象登録待ち文 書一覧」より、受信する契約文書を選択し確定すると、電子文書管理システム 10内の 要求解析部 20に対して、登録待ち文書受信依頼を発行する。これより以下の処理（ ステップ）が開始される。

[0128] (1)電子文書管理システム 10内の要求解析部 20は、登録待ち文書受信依頼を受信 し、（ステップ ST-T1)、原本処理部 41に対して登録待ち文書受信依頼を発行する（ ステップ ST- T2)。

[0129] (2)原本処理部 41は、受信処理部 72に対して、登録待ち文書受信依頼を発行する

[0130] (3)受信処理部 72は、当該契約文書一式を本システムに受信し、原本処理部 41へ 受信した当該契約文書一式を返す (ステップ ST-T3)。

[0131] (4)原本処理部 41は、受信処理部 72から取得した当該契約文書の検証プロセスを 実行する（ステップ ST-T4)。ここでの検証プロセスは、第 1の局面における利用シー ンで説明しているので割愛する。

[0132] (5)原本処理部 41は、受信する当該契約文書の検証結果を取得し、検証が肯定 (O

K)の場合は、当該ポリシ情報をポリシ保管部 31へ、当該契約文書一式を原本保管 部 42へ登録/保管する（ステップ ST-T5)。検証が否定 (NG)の場合は、ログアウトし 、登録待ち文書受信処理を異常終了する。

[0133] 以上の処理が完了すればログアウトし、登録待ち文書受信処理を正常終了する。

[0134] (F)契約文書の取得時

図 20は、登録文書取得処理の動作を示すフローチャートである。

[0135] この処理に際しては、まず、利用者 90 (山田稔さん）が図示しない画面中の「登録 文書取得」メニューを選択すると、山田稔さんが取り扱い可能な（取得可能な）「対象 登録文書一覧」が表示される。山田稔さんが画面中の「対象登録文書一覧」より、取 得する契約文書を選択し確定すると、電子文書管理システム 10内の要求解析部 20 に対して、登録文書取得依頼を発行する。これより以下の処理 (ステップ）が開始され る。

[0136] (1)電子文書管理システム 10内の要求解析部 20は、登録文書取得依頼を受信し、

(ステップ ST-G1)、原本処理部 41に対して登録文書取得依頼を発行する（ステップ ST_G2)。

[0137] (2)原本処理部 41は、原本保管部 42に登録/保管されている当該文書を取得する 。更に、原本処理部 41は、ポリシ保管部 31に登録/保管されている当該契約文書 のポリシ情報も取り出す（ステップ ST-G3)。

[0138] 以上の処理が完了すればログアウトし、登録文書取得処理を正常終了する。

本取得処理により、取り出される検証データ群は、図 17のようになる。当該検証デ 一タ群を裁判所等に証拠として提出した場合、本利用シーンにおいてどのような第 三者証明が可能になるかを以下に説明する。

[0139] まず、図 21において、契約文書- 3版 (D3)と部分識別情報- 2版 (S2)と部分識別 情報- 3版（S3)を比較することで、以下の第三者証明が可能となる。

[0140] 証明 1 :契約文書- 3版（D3)は、鈴木花子さん自署による契約文書から作成された ことを確認可能である。

証明 2 :鈴木花子さんが記載した内容が改ざんされていないことを確認可能である。 証明 3 :前版より"生年月日"欄のみ変更されていることを確認可能である。同時に" 生年月日 "欄以外は前版より変更されていないことを確認可能である。 [0141] (証明 1一 3における検証方法）

部分識別情報- 2版 (S2)と部分識別情報- 3版 (S3)を参照すると、部分識別情報- 2版（S2)中の生年月日のハッシュ値は、 "yz012345"であり、部分識別情報- 3版（S3 )中の生年月日のハッシュ値は、 "qwertyui"となっており生年月日が互いに異なって いる。またこれに伴ってプロフィールデータも異なったものとなっている力 それらを除 いた他の項目に関するハッシュ値は、すべて同一となっている。

[0142] これにより、第 3版は第 2版と比べて"生年月日"及び"プロフィールデータ"欄のみ が変更されていることを確認できる。同時に、 "生年月日"及び"プロフィールデータ'' 欄以外は変更がないことを確認できる。更に、部分識別情報-第 2版 (S2)と部分識 別情報-第 3版（S3)にはそれぞれ鈴木花子さんと、佐藤太郎さんの署名が施されて おり、検証も可能である。よって、証明 3を立証できる。また、上記比較をもって、変更 箇所以外は確かに鈴木花子さんの署名が施されているため、証明 1、 2が立証できる

[0143] なお、本実施の形態では部分識別情報に"プロフィールデータ"を含めるようにした 1S この"プロフィールデータ"についての部分識別情報を含めないようにすれば、 " 生年月日 "のみの部分識別情報が異なるのみとなる。

[0144] 次に、図 22において、契約文書- 3版 (D3)と部分識別情報- 3版（S3)を比較する ことで、以下の第三者証明が可能となる。

[0145] 証明 4 :契約文書- 3版（D3)の内容は本システムに登録されてから改ざんされてい ないことを確認可能である。

[0146] (証明 4における検証方法）

契約文書- 3版 (D3)から部分識別情報を再生成し、部分識別情報- 3版 (S3)と比 較することで、証明 4を立証できる。具体的には、例えば、契約文書- 3版（D3)中の 名前要素より、文字列"鈴木花子"と、文字列" 123"を連結し、文字列"鈴木花子 123" からハッシュ値を生成。部分識別情報- 3版（S3)中の名前から、 "abcdefgh"を取り出 し、生成したハッシュ値と比較して同一であるかを判断する。以下、名前要素以外も 同様の処理 ·比較を行レ、、すべて同一であることが確認された場合、契約文書- 3版（ D3)は本システムに登録されてから改ざんされていないことを確認できる。よって、証 明 4が立証できる。

[0147] 更に、図 23において、契約文書- 3版 (D3)と部分訂正情報- 3版 (T3)を比較する ことで、以下の第三者証明が可能となる。

[0148] 証明 5：部分訂正情報- 3版 (T3)を確認することで、契約文書- 3版 (D3)は前版より "生年月日"がー部墨塗りされた状態で送られてきたことを確認可能である。更に、訂 正（一部墨塗り）した日時や訂正者は「佐藤太郎さん」であることも証明可能である。

[0149] (証明 5における検証方法）

佐藤太郎さんの署名の付いた部分訂正情報- 3版 (T3)中の訂正日時、訂正者、訂 正箇所、訂正コード、訂正理由を参照することで証明 5を立証できる。

[0150] 実施の形態 2.

次に、本発明の実施の形態 2として、第 2の適用分野による利用シーンについて説 明する。上述したように、ここでは、 XML文書に特化した部分改ざん検出のための原 本管理方法と検証方法について説明する。

[0151] まず、本利用シーンでは、申請者と保険会社と金融機関の三者間において流通す る電子データとして、 "保険契約申込書"を採用し、本データの取り扱いを行う「保険 契約申込サービス」を考える。図 24は本システムモデルの形態を表している。上述の 三者は上記構成にて提供 ·運営されている「保険契約申込サービス」（専用 Webサー バ /ASP)へアクセスすることで本システムが利用可能となる。この「保険契約申込サ 一ビス」は、前提として信頼のおける第三者機関が運営することを想定し、本機関を 通じて流通するものを考える。

[0152] ここでは、申請者 (鈴木花子さん）がインターネット上に設置/提供されている本シ ステムを利用して、保険契約申込を行い、保険会社が受付、金融機関が当該契約の 決済処理を行う場面を想定する。文書の流れは以下のステップ（1)一 (5)の通りであ る。なお、事前準備として、「保険契約申込サービス」には、申請者 (鈴木花子さん）、 保険会社担当者、金融機関担当者が利用できるよう、三者は既にユーザ登録されて レ、るものとする。

[0153] (1)申請者 (鈴木花子さん）は、「保険契約申込サービス」に Webブラウザからログイン し（この時、本人確認の方法として、 ID +パスワードの組み合わせや、生体認証等が 考えられる）、保険契約申込書を第 1版として新規作成/登録を行うことで、本システ ム内に設置された原本保管装置 (原本保管部 42)に格納される。確定/送信を行う ことで、申込書データ (第 1版)が保険会社に送信される（図 24中 S1部分)。

[0154] (2)保険会社担当者は、例えば電子メールの受信を用いて確認する等の何らかの手 段で（定期確認のために本システムへアクセスするようにしても良い）申請者 (鈴木花 子さん）からの保険契約申込書（第 1版）を本システムから取得し、内容を確認し、検 証を行う。

[0155] (3)保険会社担当者は、保険契約に伴う決済処理を行うベぐ金融機関に対して与 信情報を送信する。その前準備として、金融機関にとって与信情報に不必要な情報 (例えば、保険コース等の契約情報）は、一部秘匿 (墨塗り）処理が施され、保険契約 申込書を第 2版として更新/登録を行うことで、本システム内に設置された原本保管 装置 (原本保管部 42)に格納される。そして、確定/送信を行うことで、申込書デー タ (第 2版)が金融機関に送信される（図 24中 S2)部分)。

[0156] (4)次に、金融機関担当者は、電子メールの受信等、上述したと同じ手段 (上記保険 会社担当者と同様の手段)を用いて保険会社からの保険契約申込書 (第 2版)を本シ ステムから取得し、内容を確認し、検証を行う。

[0157] (5)金融機関担当者は、申請者 (鈴木花子さん)の保険契約に伴う決済処理結果を 保険会社に対して送信する。その前準備として、金融機関担当者は、与信確認情報 を追加し、保険契約申込書を第 3版として更新/登録を行うことで、本システム内に 設置された原本保管装置 (原本保管部 42)に格納される。確定/送信を行うことで、 申込書データ (第 3版)が保険会社に送信される（図 24中 S3部分)。

[0158] 次に、上記各ステップ（1)一 (5)の過程で保険契約申込書が原本保管装置内（原 本保管部 42)でどのように原本管理されていくか、また、各時点においてどのような 検証を行うことで、どのような内容を第三者に証明できるかについて説明する。なお、 本システムがどのような手段、機能を経て作用するかは、実施の形態 1で説明した第 1の適用分野における利用シーンで具体的に説明しているので、ここでは害 ij愛する。

[0159] (1)保険契約申込書 (第 1版)作成

本ステップおレ、て新規に作成される保険契約申込書 (XMLデータ）の例を図 25に 示す。実施の形態 1で説明した第 1の適用分野においては、基本概念を説明するた め、フラットな構造を持つ（親要素が 1つで、その配下に複数の子要素が並んでいる 形態）、ごくシンプノレな XMLデータ（図 5参照）を例として採り上げた。本適用分野の 保険契約申込書については、図 25に示すような複雑な階層構造を持つ XMLデータ を対象とする。図 25は、保険契約申込書 (第 1版）の本文を XMLデータで表現した一 例を示している。

[0160] 図 25に示す XMLデータ例では、く保険契約申込書〉をルート要素とし、その配下 に、 <契約者 >、 <指定預金口座 >、 <契約情報 >の 3つの親要素が配置されて いる。各親要素の配下には、子要素がそれぞれ配置されている。本 XMLデータをッリ 一モデル化すると図 26のようになる。図 26は、保険契約申込書（第 1版）の XMLデ ータモデルを示す図である。当該保険契約申込書は、ツリー構造を持つ一種の階層 構造型文書と言える。

[0161] 次に、本保険契約申込書データに対する部分識別情報の生成方法について説明 する。図 27は、保険契約申込書 (第 1版)作成時に生成された部分識別情報の XML データでの表現例を示してレ、る。

[0162] 図 27に示すように、第 1版 (初版）に関しては、すべての子要素に対してハッシュ情 報を生成、記録するのと同時に、親要素 (この例は、 <保険契約申込書 >、 <契約 者 >、く指定預金口座 >、く契約情報 >、く名前〉に該当する）のハッシュ情報も 生成、記録している。

[0163] これは、次回（第 2版)以降に発生する文書更新を考慮し、変更のない親と子の集 合群、例えば図 28に示すように、 { <姓 >、 <名> (ともに親要素はく名前 >)、 < 住所〉、く電話番号 > }全てに変更が生じない場合は、その親要素であるく契約者 >のハッシュ情報 (="7ed6c")のみを記録すればよレ、。図 28は、「契約者」を抽出した XMLデータモデルを示す図である。よって、このような記録管理を行えば、事後、く 契約者 >のハッシュ情報のみ完全性を検証すればよぐ { <姓 >、 <名> (ともに親 要素はく名前 > )、 <住所 >、 <電話番号 > }の計 5つの検証については省略でき ることになる。

[0164] したがって、次回（第 2版）の検証時には、 { <姓〉、く名〉、く名前〉、く住所 > 、 <電話番号 > }の全ての検証データを保持 ·管理するよりも遥かにデータ量と検証 コストの削減が図れる。また、本例は同一要素名が存在しない場合を想定しているが

、同一要素名が出現する場合を想定し、 Xpath機能等を用いて対応する要素のハツ シュ情報を識別 ·管理する仕組みは当然必要である。

[0165] (2)保険契約申込書 (第 1版)取得/検証

図 29は保険契約申込書 (第 1版)作成時の原本保管状態を示している。図 29で示 す通り、保険会社担当者は、第 1版の保険契約申込書 (本文）と部分識別情報を取 得し、検証を行う。この時、当該検証データ群を使うことで、申請者 (鈴木花子さん）が 作成したものかどうか、申込書自身に改ざんがなレ、かを確認できる。なお、第 1版に 関する具体的な検証方法については、実施の形態 1における第 1の適用分野にて作 用を説明しているので、ここでは割愛する。

[0166] (3)保険契約申込書 (第 2版)作成

第 2版の作成は、保険会社担当者が申請者 (鈴木花子さん）によって作成された保 険契約申込書 (第 1版)を基に更新を行う。更新作業として契約者情報の一部秘匿（ 墨塗り）を行う。図 30は、更新された保険契約申込書 (第 2版）の本文の XMLデータ による表現例を示している。

[0167] 図 30中の TZ部分は、今回変更された箇所を示している。この時、当該本文に付与 される電子署名は、申請者 (鈴木花子さん）のものではなぐ保険会社のものであるこ とは言うまでもない。これは、一般的な電子署名方式を利用することで、その文書は 誰によって作成された力 (本人性）と、事後、文書自身が改ざんされていないこと（非 改ざん性)を保証している。

[0168] 本発明の実施の形態における特徴は、文書全体に対する検証は、一般的な電子 署名方式を用いることで安全性を確保し、文書中の部分保証については、部分識別 情報を生成し、本文とは別に管理することによって、「誰が」、「どの部分を」、「どのよう に変更したカ に対して責任範囲を明確化している。

[0169] 図 30中の TZ部分で示すように、変更されたのは、 <保険コース >と<保険金額 > で、その内容はアスタリスク（* * * * * )で表現されており、一部秘匿（墨塗り）され た状態であることが分かる。もちろん、実施の形態 1における第 1の適用分野で述べ たように、変更箇所 { <保険コース >、 <保険金額 > (ともに親要素は <契約情報 >

) }に対しては、 R属性部分が変更になっていることが分かる。

[0170] 同様に、 <契約情報 >の親要素、かつ、本 XMLデータのルート要素である <保険 契約申込書〉についても R属性が変更になっている。文書中に R属性を付与し、また

、変更箇所に対して R属性を変えている理由については、上述した第 1の適用分野で 具体的に説明しているので、ここでの説明は割愛する。

[0171] 次に、本保険契約申込書データに対する部分識別情報の生成方法について説明 する。図 31は、保険契約申込書 (第 2版)作成時に生成された部分識別情報の XML データによる表現例を示している。

[0172] 図 31に示すとおり、第 2版以降に関しては、以下の手法に従って部分識別情報を 生成している。

[0173] まず、本例では親要素であるく契約者 >と<指定預金口座 >に変更がない。これ は、必然的に <契約者 >と<指定預金口座 >の両配下の子要素は全て変更がなか つたことを意味している。そのため、第 2版の部分識別情報には前述のとおり親要素 <契約者 >と <指定預金口座〉のハッシュ情報のみ記録してレ、る（図 31中、 V2-1 部分)。この部分については、第 1版の部分識別情報力 当該部分をコピーしてもよ いし、再度、第 2版の保険契約申込書本文から当該部分のハッシュ情報を生成して も構わない。

[0174] ただし、当該情報の生成コストが削減できるという意味では、前者の方法での記録 を選択した方が適切であることは言うまでもない。

[0175] 次に今回、 <保険コース >と<保険金額 >が変更になったことにより、親要素のハ ッシュ情報に影響を与えるものがある。それは、当該親要素である <契約情報 >と< 保険契約申込書 >である。ここでは、これら親要素のハッシュ情報の再生成を行い、 記録している（図 31中、 V2-2部分)。この部分は、次回更新 (第 3版）時に当該箇所 に変更がなレ、場合に利用することを考慮し、記録してレ、る。

[0176] これにより、次回以降の更新においても、非変更箇所に対するハッシュ情報の生成 コストを削減できる。また、く保険契約申込書〉は、いわゆる、ルート要素に相当する 。ルート要素の特徴として、その配下の親要素/子要素がひとつでも変更になると、 ルート要素（く保険契約申込書 > )のハッシュ情報が変わってしまう。ここでは、より 検証品質を向上させるため、ルート要素（<保険契約申込書 > )のハッシュ情報を持 つことで当該情報が改ざんされていないことを事後、容易に確認できるよう記録して いる。

[0177] ただし、文書全体に付与されている電子署名力 も同様な検証が行えるため、ルー ト要素（ <保険契約申込書 > )のハッシュ情報に関しては必ずしも記録が必要とレ、う ことではなレ、。また、今回変更となったく保険コース >と<保険金額 >に対するハツ シュ情報の再生成、記録は、言うまでもなく部分変更箇所を事後特定するために必 要である（図 31中、 V2—3部分)。

[0178] 図 32は保険契約申込書 (第 2版)作成時の原本保管状態を示している。図 32中、 T1部分は変更箇所を示しており、 T2部分は、今回変更がなかった箇所 (子要素）を 示している。ここでは、当該子要素に対するハッシュ情報は記録されず、親要素のく 契約者 >と<指定預金口座 >のハッシュ情報が記録されていることがわかる。

[0179] なお、第 2の適用分野による利用シーンでは、部分訂正情報の生成、記録の説明 については直接関係しないため、特に触れていない。部分訂正情報の生成、記録に 関しては第 1の適用分野による利用シーンにて具体的に説明しているので、そちらを 参照されたい。

[0180] (4)保険契約申込書 (第 2版)取得/検証

図 32で示す通り、金融機関担当者が取得するのは、第 2版の保険契約申込書 (本 文）と部分識別情報、第 1版の部分識別情報である。この時、第 1版の保険契約申込 書 (本文）は取得、閲覧できないことは容易に推測できる。なぜなら、第 1版の保険契 約申込書 (本文）は、一部秘匿（墨塗り）する前の <保険コース >と <保険金額 >の 内容を含んでいるからであり、これを提示してしまうと情報漏洩となる。よって、版数管 理による原本管理方法の他に、各時点 (版数)の文書内容によって閲覧可能者と閲 覧不能者をアクセス制御できる仕組みが必要になることは言うまでもない。

[0181] ただし、この要件は本利用シーンの特徴のひとつである ASP内で流通データを一 元管理している場合に適用可能であり、適宜、電子メール等で直接データを送信す る形態では、単に送信データを選択 ·限定すればよい。 [0182] 上記の条件のもとで、金融機関担当者が閲覧可能な検証データ群は、「保険契約 申込書 (第 2版) -本文」、「部分識別情報 (第 1版)」、「部分識別情報 (第 2版)」である ことがわかる。図 33はその内容を示している。図 33は、金融機関担当者が閲覧可能 な検証データ群を示す図である。

[0183] 図 33で示す検証データ群を使って以下のような検証を行うことが可能となる。最初 に各検証データの電子署名を検証し、各検証データ自身に改ざんがなレ、かどうか確 認、検証を行う。

[0184] 各検証データに改ざんがないことが確認されると、次に、保険契約申込書 (第 2版） と部分識別情報（2版)を用いて、保険契約申込書 (第 2版)の内容自身が確認され、 また、部分的に差し替わっていないかどうかが確認される。その手段として、まず保険 契約申込書 (第 2版)の各要素部分からハッシュ情報を生成し、部分識別情報 (2版） に記録されている当該部分のハッシュ情報と比較して同一かどうかを判定する。

[0185] 全ての要素部分の完全性が確認できると、次に前版の部分識別情報 (第 1版）との 比較を行う。その手段として、まず、 OD1部分に関しては変更がないため、該当する ハッシュ情報は、 VD1— 2部分で示す親要素のみの記録となっている。よって、部分 識別情報（1版)の該当ハッシュ情報 (VD1— 1)と、部分識別情報 (2版)の該当ハツ シュ情報 (VD1— 2)を比較すれば当該箇所は変更がないことを確認できる。

[0186] この例では、 <契約者 >のハッシュ情報はともに" 7ed6c"、 <指定預金口座 >のハ ッシュ情報はともに" 8c320"であり変更がないことを確認できる。したがって、親要素 である <契約者 >の検証 1回完了させれば、 <契約者 >の子要素である { <姓 >、 <名> (ともに親要素は <名前 > )、 <住所 >、 <電話番号 > }の 5箇所 (親要素の <名前 >の検証を含まなレ、場合は 4箇所）につレ、ては検証を省略できる。

[0187] 同様に、親要素である <指定預金口座 >の検証 1回完了させれば、 <指定預金口 座 >の子要素である { <金融機関名 >、 <口座番号 >、 <口座名義人 > }の 3箇所 については検証を省略できる。よって、当該親要素 2回の検証により計 8回分の検証 を満たすことができ、この例では、 75%の検証コストを削減できたと言える。また、当 該 8要素分のハッシュ情報の記録力 2要素分の記録で済むため、データ量に関し ても同様に 75%削減できたと言える。 [0188] 逆に、 OD2部分に関しては前版から変更があるため、該当するハッシュ情報は VD 2— 2部分で示すとおり、子要素も記録している。よって、部分識別情報（1版)の該当 ハッシュ情報 (VD2-1)と、部分識別情報（2版)の該当ハッシュ情報 (VD2— 2)を比 較すれば当該箇所は変更されていることを確認できる。

[0189] この例では、 <保険コース >のハッシュ情報は、 1版が" abfd3"、 2版が" d2419"で 異なり、く保険金額 >のハッシュ情報は、 1版が" 623al"、 2版が" f56da"で異なるた め、当該箇所は変更されていることを確認できる。

[0190] (5)保険契約申込書 (第 3版)作成

第 3版の作成は、金融機関担当者が保険会社担当者によって作成した保険契約 申込書 (第 2版)を基に更新を行う。更新作業として与信確認情報の追加を行う。

[0191] 図 34は、更新された保険契約申込書 (第 3版）の本文の XMLデータによる表現例を 示している。図 34中の KZ部分は、今回追加された箇所である。同様に、この時、当 該本文に付与される電子署名は、保険会社担当者のものではなぐ金融機関担当者 のものである。

[0192] 図 34中の KZ部分で示すように、追加されたのは、 <与信結果 >と<与信 ^ 0 >で ある。

[0193] 次に、本保険契約申込書データに対する部分識別情報の生成方法について説明す る。図 35は、保険契約申込書 (第 3版)作成時に生成された部分識別情報の XMLデ ータによる表現例を示している。

[0194] 図 35に示すとおり、第 2版同様、第 3版においても以下の手法に従って部分識別 情報を生成している。

[0195] まず、本例では親要素である <契約者 >、 <指定預金口座 >、 <契約情報 >に変 更がなかった。これは、必然的に <契約者 >、 <指定預金口座 >、 <契約情報 >の 各配下の子要素は全て変更がなかったことを意味している。そのため、第 3版の部分 識別情報には前述のとおり親要素く契約者〉、く指定預金口座〉、く契約情報〉 のハッシュ情報のみ記録している（図 35中、 V3—1部分）。

[0196] 前回（第 2版）の更新では、 <契約情報 >配下の子要素く保険コース >と<保険 金額〉が変更されていたが、今回は変更がなかった。ここで、前回第 2版で生成した 部分識別情報の中に、第 2版の時点の <契約情報 >のハッシュ情報を記録していた ことにより、第 3版の生成にて有効活用できていることは容易に推測できる。これは、 第 2版の部分識別情報生成時に予測した"次回以降の更新においても非変更箇所 に対するハッシュ情報の生成コストを削減できる"という事が実現できたことを意味す る。

[0197] これに習って、今回く与信結果 >と<与信 NO >が追加になったことにより、その親 要素であるく金融与信情報 >のハッシュ情報も記録してレ、る（図 35中、 V3—2部分） 。これは、次回更新 (第 4版)時に当該箇所に変更がない場合に利用することを考慮 してのことである。

[0198] また、当該追加に伴レ、、必然的にルート要素である <保険契約申込書 >も再生成 、記録される（図 35中、 V3—2部分)。更に、今回追加となったく与信結果 >と<与 信 N〇>に対するハッシュ情報も生成、記録は、言うまでもなく部分変更箇所を事後 特定するために必要である（図 35中、 V3-3部分)。

[0199] 図 36は、保険契約申込書 (第 3版)作成時の原本保管状態を示している。図 36中、 K1部分は今回追加箇所を示しており、 K2部分は、今回変更がなかった箇所 (子要 素）を示している。ここでは、当該子要素に対するハッシュ情報は記録されず、親要 素のく契約情報 >のハッシュ情報のみ記録されてレ、ること力 Sわ力る。

[0200] 以上の説明では、ステップ（1)一 (5)の各ステップにおいて保険契約申込書が原本 保管装置内（原本保管部 42)でどのように原本管理されていくか、また、各時点にお いてどのような検証を行うことで、どのような内容を第三者に証明できるかについて説 明した。このように、ステップ（1)一（5)で示した文書作成時/更新時における部分 識別情報の生成方法、原本管理方法、検証方法を行えば、複雑な階層構造を持つ XMLデータの部分改ざん検出機能が容易に実現できる。よって、更新時に変更のな い箇所においても子要素全てを管理する方式と比べると、飛躍的に検証コストの削 減が見込めるし、転送 ·保存データ量も削減できることが大きい。

[0201] また、更新時に変更のない箇所においても子要素全てを管理する方式では、一部 の版数のみの検証にしか使えなかった。例えば、第三者に証明を依頼するために第 3版を提示する場合、その直近の前版 (第 2版)との相違点しか検証できな力、つた。も ちろん、第 1版からの変更点を検証することも可能であるが、全要素を含む部分識別 情報を提示する必要があり、転送'保存データ量もその分増大し、検証処理にも時間 を要していた。

[0202] これに対して、複雑な階層構造を持つ XMLデータの部分改ざん検出機能を利用す れば、検証に必要な部分識別情報を最小限の内容で記録 ·管理することが可能で、 第 1版の部分識別情報をオリジナル (ベース）として第 2版、第 3版 · · ·第 N版の組み 合わせを最小限の転送 ·保存データ量で流通 ·検証することが可能になる。これによ り、全版数の訂正事象の履歴管理が各エンティティ（地点）においてより簡単に、かつ 、低コストで検証可能となる。

[0203] 更には、「いつ、誰力 どの時点で、どの部分を、どのように訂正した力、」についての 履歴追跡 ·証明も可能となるところが大きい。

[0204] また、図 36の第 3版時における保険契約申込書の保管状態の例では、各版の部分 識別情報はそれぞれ別ファイルとして管理されているが、複数エンティティ間で検証 データ群を転々持ち歩き、各地点において履歴追跡 ·証明を行うためのより効率的な 手段として、各版の部分識別情報を連結し、 1つのファイルにまとめる方法も有り得る

[0205] このように連結管理された部分識別情報は特に版数における時系列性が確保でき 、かつ、各版数に対する作成者 (本人性)を識別できることも必要である。また、この 連結管理の方法として、 Xlink機能を用いて実現する方法も有り得る。

[0206] 図 37、図 38は 1つのファイルとして連結管理された様子を示している。図 37は、第

2版を検証する際に必要な全部分識別情報を連結管理している様子を、図 38は、第 3版を検証する際に必要な全部分識別情報を連結管理している様子を示している。

[0207] 各版の部分識別情報は、それぞれ作成者による電子署名が施されている。電子署 名の付与方法としては、 XML部分署名等を用いれば容易に実現可能である。本利 用シーンでは、第 1版は申請者 (鈴木花子さん)、第 2版は保険会社担当者、第 3版 は金融機関担当者がそれぞれ電子署名を付与している。そのため、各部分識別情 報の作成者の本人性、並びに、データ自身の完全性は容易に検証可能である。

[0208] 図 37と図 38を見比べればわかる通り、たとえ保険契約申込書の本文が上書きされ たとしても、部分識別情報という形で履歴管理を行えば、部分訂正箇所とその訂正内 容を第三者的に証明できるようになる。言い換えれば、部分識別情報の内容は、各 版のスナップショットであると言える。このような形態で検証データ群を複数ェンティテ ィ間で転々持ち歩けば、一部秘匿された情報の漏洩を防止しつつ、各地点において 部分箇所の履歴追跡 ·証明が容易に実現可能となる。

[0209] 以上の利用シーンでは、前版から訂正された箇所については、子要素とその属す る親要素を記録し、親要素に属する全ての子要素に訂正がない箇所については、当 該親要素のみ記録する方式 (以降、方式 1と定義する）について説明した。

[0210] 更に、方式 1と比べて、転送'保存データ量を削減することを目的として、前版から の訂正された箇所のみ、子要素とその属する親要素を記録する、いわゆる、純粋に 差分のみ管理する方式も有り得る。次に、この差分のみ管理する方式 (以降、方式 2 と定義する）について説明する。

[0211] 方式 1の手段に従えば、保険契約申込書 (第 2版) -本文（図 30)の部分識別情報 の管理方法は、図 31のようになった。一方、方式 2を用いて記録すると図 39のように なる。図 39は、方式 2を用いて部分識別情報 (第 2版）を XMLデータで表現した例を 示す図である。

[0212] 図 39に示す通り、方式 1では、非変更箇所の <契約者 >と<指定預金口座 >は 記録されていたが、今回の方式では、その部分は省略されており、転送'保存データ 量が方式 1と比べてより削減できることがわかる。

[0213] 図 40は方式 2を用いた保険契約申込書 (第 3版)作成時の原本保管状態を示して いる。

[0214] 次に、今まで説明してきた部分識別情報の生成に関する以下 3方式による転送-保 存データ量と検証処理についてコスト評価'分析を行う。ここで方式 0は、第 1の適用 分野の利用シーンで説明した方式としている。

[0215] 方式 0 (比較対象）は、変更箇所、および、非変更箇所全てのハッシュ情報を記録 する方式である。方式 1は、前版から訂正された箇所については、子要素とその属す る親要素を記録し、親要素に属する全ての子要素に訂正がない箇所については、当 該親要素のみ記録する方式である（第 2の適用分野の利用シーン例で採用）。方式 2 は、前版からの訂正された箇所のみ、子要素とその属する親要素を記録する、いわ ゆる、純粋に差分のみ管理する方式である。

[0216] ここでは、図 41で示すような簡単な XMLデータ例を用いて解析を行う。図 41は、評 価'分析のための XMLデータ例を示す図である。

[0217] 本評価'分析では、第 2版への更新作業として、 <保険コース >のみの訂正を考え る。図 42は、く保険コース〉の内容力 "AAA"から" BBB"に訂正されている様子を 示している。すなわち、図 42は、評価 ·分析用 XMLデータの更新を示す図である。

[0218] まず、初めに、比較対象 (方式 0)について、転送'保存データ量と検証回数の解析 を行う。図 43は、方式 0におけるデータ管理方法と検証処理の様子を示している。即 ち図 43は、方式 0による部分識別情報の生成と検証を示す図である。検証 A1では、 保険契約申込書 (第 2版)と部分識別情報 (2版)を用いて、保険契約申込書 (第 2版) の内容自身が、また、部分的に差し替わっていなレ、かを確認している。その手段とし て、まず保険契約申込書 (第 2版)の各要素部分からハッシュ情報を生成し、部分識 別情報（2版）に記録されている当該部分のハッシュ情報と比較して同一かどうかを判 定している。

[0219] 検証 A2では、前版の部分識別情報 (第 1版)と部分識別情報 (2版)の比較を行うこ とで、変更箇所の特定と、変更箇所以外の不変確認を行っている。

[0220] 本方式 0における転送'保存データ量と検証回数をまとめると以下のようになる。ま ず、部分識別情報 (第 2版)の転送'保存データ量は、単純に行数で表現すると、 7行 となる。

[0221] この方式では、変更箇所、および、非変更箇所全てのハッシュ情報を記録するため 、第 1版、第 2版ともにデータ量は 7行ということになる。なお、この例ではく部分識別 情報 >は当該ファイルのルート要素なのでカウントしていなレ、。次に、検証回数にお いては、まず、検証 A1のステップでは 7回の検証を、検証 A2のステップでは同じく 7 回の検証を行っており、 7回 + 7回 =計 14回の検証コストがかかることになる。

[0222] 次に、方式 1について、転送 ·保存データ量と検証回数の解析を行う。図 44は、方 式 1におけるデータ管理方法と検証処理の様子を示している。即ち図 44は、方式 1 による部分識別情報の生成と検証を示す図である。 [0223] 同様に、本方式 1における転送 ·保存データ量と検証回数をまとめると以下のように なる。まず、部分識別情報 (第 2版）の転送'保存データ量は、 3行となる。この方式で は、前版から訂正された箇所については、子要素とその属する親要素を記録し、親 要素に属する全ての子要素に訂正がない箇所については、当該親要素のみ記録す るため、方式 0と比べて第 1版、第 2版ともにデータ量に差が出てくる。

[0224] 次に、検証回数においては、まず、検証 B1のステップでは 3回の検証を、検証 B2 のステップでは同じく 3回の検証を行っており、 3回 + 3回 =計 6回の検証コストが力、 力、ることになる。即ち、く名前〉、く姓〉、く名〉、く住所〉の 4箇所に関しては、こ れらの親要素である <契約者 >の検証 1回で満たしてレ、るため、省略できることとな る。

[0225] 次に、方式 2について、転送'保存データ量と検証回数の解析を行う。図 45は、方 式 2におけるデータ管理方法と検証処理の様子を示している。即ち、図 45は、方式 2 による部分識別情報の生成と検証を示す図である。

[0226] 同様に、本方式 2における転送 ·保存データ量と検証回数をまとめると以下のように なる。まず、部分識別情報 (第 2版）の転送'保存データ量は、 2行となる。この方式で は、前版からの訂正された箇所のみ、子要素とその属する親要素を記録するため、 方式 1同様第 1版、第 2版ともにデータ量に差が出てくる。

[0227] 次に、検証回数においては、まず、検証 C1のステップでは 2回の検証を、検証 C2 のステップでは同じく 2回の検証を行っており、計 4回の検証コストがかかることになる

[0228] 本方式では、訂正箇所のみ記録しているため、非訂正箇所に当たる <契約者 >、 く名前 >、 <姓 >、 <名〉、く住所 >について前版と変わっていないことの検証が 行えない。なぜなら、検証 C1において、保険契約申込書 (第 2版）と部分識別情報（2 版)を用いて、保険契約申込書 (第 2版)の内容自身が、また、部分的に差し替わって レ、なレ、かを確認しているが、転送'保存データ量を最優先に考慮しているため、当該 箇所にっレ、ては検証する材料を持ってレ、なかった。

[0229] よって、保険契約申込書 (第 2版)から当該箇所のハッシュ情報を生成し、前版の部 分識別情報 (第 1版）の当該箇所と検証を行わなければならない。この検証は、図 45 中、検証 C3のステップで行っており、検証 C3のステップにおいては 5回の検証コスト 力 Sかかることになる。よって、本方式による検証コストは検証 C1一 C3を累計 2回 + 2 回 + 5回 = 9回ということなる。

[0230] 上記方式 0における解析結果を対象として、方式 1と方式 2を比較してみる。図 46 は、その方式別解析結果を表している。本解析結果からわかる通り、方式 1、方式 2と もに、比較対象 (方式 0)に比べて転送'保存データ量、検証処理ともに削減している ことが分かり、部分識別情報の生成 ·管理には、方式 1、もしくは、方式 2を採用した方 が良いと言える。また、方式 1と方式 2の比較では、方式 2の転送'保存データ量は、 方式 1よりも少なくて済む力 それだけ検証処理に時間を要している。それに比べ方 式 1では、転送'保存データ量、検証処理ともにバランスよくコスト削減できていること が分かる。

[0231] この結果は方式 1、方式 2のどちらの方式が良いかではなぐ文書階層構造の度合 いによって最適な方式を選択すべきである。

[0232] 図 47は、方式別解析結果におけるバブルチャートを示している。

[0233] 以上、本発明の実施の形態によれば、従来の技術及びその単純な組み合わせで は不可能であった下記の要件を満足することが可能となる。 (1)電子文書の訂正箇 所を特定、並びに、訂正箇所以外は変更されていないことを確認することが可能であ る。 （2)複数エンティティ間で訂正済み電子文書を転々流通させ、かつ、各ェンティ ティにおいて訂正 ·追加等を行う場合、各時点において電子文書の完全性'原本性 を保証 (第三者証明）することが可能である。 (3)本システム内に保存 ·管理されてレヽ る全ての版数の電子文書を取り出さなくても、一部墨塗りされた状態や、一部の版の みを用いた第三者証明や流通を行うことが可能である。

[0234] 以上、本発明の実施の形態について、文書情報として契約文書等の原本情報の 管理に例をとつて説明したが、本発明は文書に関する履歴の正当な証明、検証等に も幅広く適用され得るものである。また、ポリシ情報については、登録検証のときと、 訂正検証のときで同じポリシ情報を用いたが、異なるポリシ情報がそれぞれ用意され てレ、ても良レ、ことは言うまでもなレ、。

[0235] なお、図示したフローチャートやステップに示された各動作をコンピュータにより実 行させるプログラムを提供することにより、本発明の電子文書管理プログラムを提供 すること力 Sできる。これらプログラムはコンピュータにより読取可能な媒体に記録され てコンピュータにより実行させることができる。ここで、コンピュータにより読取可能な媒 体としては、 CD— ROMやフレキシブルディスク、 DVDディスク、光磁気ディスク、 IC カード等の可搬型記憶媒体や、コンピュータプログラムを保持するデータベース、或 レ、は、他のコンピュータ並びにそのデータベースや、更に回線上の伝送媒体をも含 むものである。

産業上の利用可能性

本発明によれば、従来の技術及びその単純な組み合わせでは不可能であった下 記の要件を満足することが可能となるという効果を奏する。

(1)電子文書の訂正箇所を特定、並びに、訂正箇所以外は変更されていないことを 確認することが可能である。

(2)複数エンティティ間で訂正済み電子文書を転々流通させ、かつ、各エンティティ において訂正'追加等を行う場合、各時点において電子文書の完全性'原本性を保 証 (第三者証明）することが可能である。

(3)本システム内に保存 ·管理されている全ての版数の電子文書を取り出さなくても、 一部墨塗りされた状態や、一部の版のみを用いた第三者証明や流通を行うことが可 能である。

Claims

請求の範囲

[1] 電子情報で作成される文書情報を管理する電子文書管理システムであって、

予め規定されたポリシ情報を保管するポリシ情報保管部と、

文書情報の各部分を識別可能に表す部分識別情報を生成する部分識別情報生 成部と、

前記文書情報の各部分に訂正指示があった場合に、訂正された部分の訂正履歴 に関する情報である部分訂正情報を生成する部分訂正情報生成部と、

前記文書情報と前記部分識別情報生成部で生成された部分識別情報と前記部分 訂正情報生成部で生成された部分訂正情報と前記所定のポリシ情報保管部に保管 されているポリシ情報とを関連付けて管理する管理部と、

文書情報の正当性を前記管理部により関連付けられている部分識別情報、部分訂 正情報を用いて検証する登録文書検証部と

を備えることを特徴とする電子文書管理システム。

[2] 請求項 1に記載の電子文書管理システムにおレ、て、

前記部分識別情報生成部は、文書情報を複数の部分に区切り、各部分の情報に 基づいて前記部分識別情報を生成することを特徴とする電子文書管理システム。

[3] 請求項 2に記載の電子文書管理システムにおいて、

前記部分識別情報生成部は、前記部分識別情報をハッシュ関数を用いて生成す ることを特徴とする電子文書管理システム。

[4] 請求項 1に記載の電子文書管理システムにおレ、て、

前記部分識別情報生成部は、文書情報が訂正された場合において、前版から訂 正された箇所のみ新たな部分識別情報を生成することを特徴とする電子文書管理シ ステム。

[5] 請求項 1に記載の電子文書管理システムにおレ、て、

文書情報と部分識別情報と部分訂正情報のそれぞれに署名が付与されていること を特徴とする電子文書管理システム。

[6] 請求項 1に記載の電子文書管理システムにおレ、て、

前記文書情報に訂正が行われた場合に、ポリシ情報を用いて訂正可能範囲にお レ、て訂正が行われていることを検証する登録ポリシ検証部を備えることを特徴とする 電子文書管理システム。

[7] 請求項 1に記載の電子文書管理システムにおレ、て、

前記管理部により管理される前記情報は、階層的な文書構造を持つ XMLデータに より構成されることを特徴とする電子文書管理システム。

[8] 請求項 7に記載の電子文書管理システムにおいて、

前記部分識別情報生成部は、前記文書情報の各部分の訂正指示に従い、階層的 な文書構造を持つ XMLデータの訂正において、前版から訂正された箇所、並びに 訂正されていない箇所の全ての親要素、子要素を対象として部分識別情報を生成 することを特徴とする電子文書管理システム。

[9] 請求項 8に記載の電子文書管理システムにおいて、

前記部分識別情報生成部は、前版から訂正された箇所のみ、子要素とその属する 親要素を対象として部分識別情報を生成し、前記管理部は前版からの差分のみの 部分識別情報を管理することを特徴とする電子文書管理システム。

[10] 請求項 1に記載の電子文書管理システムにおレヽて、

前記管理部は、全ての電子情報を版数に対応する原本情報として扱うと共に、版 数管理されている原本情報の内容は、各版数の原本情報の内容によって閲覧可能 者と閲覧不能者を識別可能とすることを特徴とする電子文書管理システム。

[11] コンピュータが電子情報で作成される文書情報の管理処理を行う電子文書管理方法 であって、

前記コンピュータが作成された文書情報の登録要求を受信する登録要求受信ステ ップと、

前記登録要求受信ステップにおいて受信した文書情報が所定のポリシ情報に適合 するか否かを予めポリシ情報が保管されているポリシ保管部の情報を参照して検証 する登録ポリシ検証ステップと、

前記登録ポリシ検証ステップの検証により前記文書情報が所定ポリシ情報に適合 するとした場合に、前記文書情報の各部分を識別可能に表す部分識別情報を生成 する部分識別情報生成ステップと、 前記文書情報と前記部分識別情報と前記ポリシ情報とを関連付けて登録する登録 ステップと、

を実行する電子文書管理方法。

[12] コンピュータが電子情報で作成される文書情報の管理処理を行う電子文書管理方法 であって、

前記コンピュータが管理対象の文書情報に対する訂正された文書情報についての 訂正要求を受信する訂正要求受信ステップと、

前記訂正要求受信ステップにて受信した文書情報がポリシ情報保管部に保管され ているポリシ情報に適合するか否か検証する訂正ポリシ検証ステップと、

前記訂正ポリシ検証ステップにて、前記文書情報が前記ポリシ情報に適合するとさ れた場合に、前記訂正された文書情報の各部分を識別可能に表す部分識別情報を 生成する部分識別情報生成ステップと、

訂正ポリシ検証ステップにて前記文書情報が前記ポリシ情報に適合するとされた場 合に、前記訂正された部分の訂正履歴に関する情報である部分訂正情報を生成す る部分訂正情報生成ステップと、

前記訂正された文書情報と前記部分識別情報と前記部分訂正情報と前記ポリシ情 報とを関連付けて管理する管理ステップと、

文書情報の正当性を前記管理ステップにより関連付けられた部分識別情報、部分 訂正情報を用いて検証する登録検証ステップ

とを実行することを特徴とする電子文書管理方法。

[13] 電子情報で作成される文書情報の管理をコンピュータに実行させる電子文書管理プ ログラムであって、

作成された文書情報の登録要求を受信する登録要求受信ステップと、 前記登録要求受信ステップにおいて受信した文書情報が所定のポリシ情報に適合 するか否かを予めポリシ情報が保管されているポリシ保管部の情報を参照して検証 する登録ポリシ検証ステップと、

前記登録ポリシ検証ステップの検証により前記文書情報が所定ポリシ情報に適合 するとした場合に、前記文書情報の各部分を識別可能に表す部分識別情報を生成 する部分識別情報生成ステップと、

前記文書情報と前記部分識別情報と前記ポリシ情報とを関連付けて登録する登録 ステップ

とをコンピュータに実行させる電子文書管理プログラム。

[14] 電子情報で作成される文書情報の管理をコンピュータに実行させる電子文書管理プ ログラムであって、

管理対象の文書情報に対する訂正された文書情報についての訂正要求を受信す る訂正要求受信ステップと、

前記訂正要求受信ステップにて受信した文書情報がポリシ情報保管部に保管され ているポリシ情報に適合するか否か検証する訂正ポリシ検証ステップと、

前記訂正ポリシ検証ステップにて、前記文書情報が前記ポリシ情報に適合するとさ れた場合に、前記訂正された文書情報の各部分を識別可能に表す部分識別情報を 生成する部分識別情報生成ステップと、

訂正ポリシ検証ステップにて前記文書情報が前記ポリシ情報に適合するとされた場 合に、前記訂正された部分の訂正履歴に関する情報である部分訂正情報を生成す る部分訂正情報生成ステップと、

前記訂正された文書情報と前記部分識別情報と前記部分訂正情報と前記ポリシ情 報とを関連付けて管理する管理ステップと、

文書情報の正当性を前記管理ステップにより関連付けられた部分識別情報、部分 訂正情報を用いて検証する登録検証ステップ

とをコンピュータに実行させる電子文書管理プログラム。

[15] 請求項 13に記載の電子文書管理プログラムにおいて、

前記部分識別情報生成ステップは、文書情報を複数の部分に区切り、各部分の情 報に基づいて前記部分識別情報を生成することをコンピュータに実行させることを特 徴とする電子文書管理プログラム。

[16] 請求項 13に記載の電子文書管理プログラムにおいて、

前記管理ステップにより管理される前記情報は、階層的な文書構造を持つ XMLデ ータにより管理成されることを特徴とする電子文書管理プログラム。

[17] 請求項 13に記載の電子文書管理プログラムにおいて、

前記部分識別情報生成ステップは、前記文書情報の各部分の訂正指示に従い、 階層的な文書構造を持つ XMLデータの訂正において、前版から訂正された箇所、 並びに訂正されてレ、なレ、箇所の全ての親要素、子要素を対象として部分識別情報を 生成することを特徴とする電子文書管理プログラム。

[18] 請求項 13に記載の電子文書管理プログラムにおいて、

前記部分識別情報生成ステップは、前版から訂正された箇所については、子要素 とその属する親要素を対象として部分識別情報を生成し、親要素に属する全ての子 要素に訂正がない箇所については、当該親要素のみを対象として部分識別情報を 生成することを特徴とする電子文書管理システム。