本發(fā)明涉及信息處理裝置、信息處理方法以及信息處理系統(tǒng)，具體涉及生成使用履歷信息的信息處理裝置、信息處理方法以及信息處理系統(tǒng)。

背景技術(shù)：

復(fù)合機(jī)以及公用終端等可以共同使用的信息處理裝置中，通常記錄關(guān)于常用操作的工作日志和用于訪問管理的訪問日志，用以把這種使用履歷信息與經(jīng)過登錄處理的用戶識別名一起保存，以便日后在需要時供具有監(jiān)察權(quán)限的監(jiān)察者閱覽。

盡管取決于企業(yè)、大學(xué)、機(jī)關(guān)等組織的方針，但是在大多數(shù)情況下，上述用戶識別名中通常含有能夠作個人推斷的姓名或職工編號等信息。而且由于全盤信賴上述監(jiān)察者，無論使用履歷信息的利用目的為何，有可能包含個人隱私信息的用戶識別名也經(jīng)常不經(jīng)任何改動地用于其中。

如果上述信息處理裝置的運(yùn)行以為安檢目的，并在嚴(yán)格的安全管理下，受到可以信賴的監(jiān)察者的監(jiān)察，則不會有問題。然而，信息處理裝置的運(yùn)行通常并不是在外部安全威脅小的環(huán)境之中，或者并不是以安檢而是以掌握整體使用狀況等為目的且沒有必要推斷利用者的運(yùn)行，再或是在普通的系統(tǒng)管理者等而不是在負(fù)有責(zé)任的監(jiān)察者管理之下運(yùn)行，進(jìn)而還有可能在沒有管理者的狀態(tài)下運(yùn)行。這樣的運(yùn)行，如果使用履歷信息中包含可能含有個人信息的用戶識別名，則萬一管理缺陷致使使用履歷信息泄密時，便會發(fā)生安全危機(jī)。

在關(guān)于個人信息的處理問題上，專利文獻(xiàn)1(JP特開2014-229039號公報)公開一種用于保護(hù)個人隱私的技術(shù)方案，該方案提供一種用于收集含有個人信息的數(shù)據(jù)并將該數(shù)據(jù)送往用戶終端的信息提供裝置，其中用多個參數(shù)實行 數(shù)據(jù)轉(zhuǎn)換處理，用以保護(hù)個人信息。

但是，上述專利文獻(xiàn)1公開的技術(shù)方案是關(guān)于利用數(shù)據(jù)的二次處理進(jìn)行個人信息匿名處理的技術(shù)。因此，其中包含作為原始數(shù)據(jù)的個人信息，為此，在發(fā)生信息泄密時，從保護(hù)個人信息的觀點出發(fā)，這樣的處理依然不夠充分。

技術(shù)實現(xiàn)要素：

本發(fā)明鑒于上述問題，提出以下技術(shù)方案，其目的在于，提供一種不但能夠減少非公開識別名的泄密危險，同時還能夠用用戶識別名進(jìn)行推斷的方式來保存使用履歷信息的信息處理裝置。

為了達(dá)到上述目的，本發(fā)明提供一種信息處理裝置，其中具有：存儲部，用于保存能夠使用該信息處理裝置的用戶的登錄識別名、以及定義該登錄識別名公開與否的公開信息；生成部，用于生成使用履歷信息，該使用履歷信息用所述公開信息允許公開的所述登錄識別名、或者以所述公開信息不允許公開所述登錄識別名時經(jīng)過匿名處理的識別名為用戶識別名；以及，保存部，用于保存所述生成部生成的所述使用履歷信息。

本發(fā)明的效果在于，不但能夠減少非公開識別名的泄密危險，同時還能夠用用戶識別名進(jìn)行推斷的方式來保存使用履歷信息

附圖說明

圖1是本實施方式涉及的日志管理系統(tǒng)的示意圖。

圖2是第一實施方式涉及的復(fù)合機(jī)的功能模塊圖。

圖3是第一實施方式的復(fù)合機(jī)的操作部上顯示的一例用戶信息登錄畫面的示意圖。

圖4是第一實施方式的復(fù)合機(jī)實行的用戶信息登錄/更改處理的流程圖。

圖5是經(jīng)過圖3所示的用戶信息登錄畫面上的操作后登錄的用戶信息表的一例數(shù)據(jù)構(gòu)造示意圖。

圖6是第一實施方式的復(fù)合機(jī)實行的登錄認(rèn)證以及工作實行中的日志生成處理時序圖。

圖7是經(jīng)過基于第一實施方式涉及的日志公開許可設(shè)定的日志生成處理后保存到日志保存部中的日志的數(shù)據(jù)構(gòu)造的示意圖。

圖8是第二實施方式的復(fù)合機(jī)實行的用戶信息登錄/更改處理流程圖。

圖9是經(jīng)過基于第二實施方式的日志公開許可設(shè)定的日志生成處理后保存到日志保存部中的日志的數(shù)據(jù)構(gòu)造示意圖。

圖10是第三實施方式的復(fù)合機(jī)的功能模塊圖。

圖11是第三實施方式涉及的復(fù)合機(jī)實行的登錄處理流程圖。

圖12是復(fù)合機(jī)的硬件構(gòu)成示意圖。

具體實施方式

以下詳述上述本發(fā)明特征。但是本發(fā)明并不受到以下述的實施方式的限制。在以下描述的實施方式中用信息設(shè)備和日志管理系統(tǒng)100為例描述信息處理裝置和信息處理系統(tǒng)。

圖1是本實施方式涉及的日志管理系統(tǒng)100的示意圖。圖1所示的日志管理系統(tǒng)100是用戶操作的對象，信息設(shè)備作為記錄用戶的使用履歷信息(以下簡稱為日志)，其中僅包含復(fù)合機(jī)110和信息終端112.

復(fù)合機(jī)110是用于向用戶提供打印、掃描、復(fù)印、傳真等各種圖像服務(wù)的信息設(shè)備。信息終端112是向用戶提供公共服務(wù)，或電影或音樂會的售票服務(wù)的信息設(shè)備。

圖1以復(fù)合機(jī)110和信息終端112作為用戶利用對象的信息設(shè)備，但是，本發(fā)明中作為用戶利用對象的信息設(shè)備并不受此限制，除此之外，還有激光打印機(jī)等圖像形成裝置、掃描儀等圖像讀取裝置、傳真機(jī)等圖像通信裝置、投影儀等影像投影裝置、影像顯示裝置、服務(wù)器裝置、電子會議裝置、電子黑板、攜帶信息終端、攝像裝置、自動售貨機(jī)、醫(yī)療設(shè)備、電源裝置、空調(diào)系統(tǒng)、煤氣、自來水以及電力等的測量裝置、冰箱或洗衣機(jī)等網(wǎng)絡(luò)家用電器設(shè)備等，任何多個用戶共用的信息設(shè)備均可用來作為用戶利用對象的信息設(shè)備。

圖1還顯示供監(jiān)察者操作的監(jiān)察者終端190，用來監(jiān)察復(fù)合機(jī)110和信息終端112等信息設(shè)備。典型的監(jiān)察者終端190為桌面型計算機(jī)、筆記本計算機(jī)、攜帶式計算機(jī)等通用計算機(jī)或攜帶信息終端。

復(fù)合機(jī)110、信息終端112以及監(jiān)察者終端190分別連接網(wǎng)絡(luò)102，互相之間可以經(jīng)由網(wǎng)絡(luò)通信。對于網(wǎng)絡(luò)102并沒有特別的限定，可以用有線、無線，或者混合的局域網(wǎng)絡(luò)以及互聯(lián)網(wǎng)，或者至少包含其中一方。

如上所述，圖1所示的復(fù)合機(jī)110或信息終端112等信息設(shè)備中記錄有關(guān)利用者日常操作的工作日志或訪問管理的訪問日志等日志。監(jiān)察者可以通過操作監(jiān)察者終端190，訪問復(fù)合機(jī)110或信息終端112等的信息設(shè)備，閱覽信息設(shè)備中積累的日志。

上述日志中記錄了經(jīng)過登錄處理的用戶識別名以及操作內(nèi)容或?qū)嵭袃?nèi)容。關(guān)于用戶識別名，雖然取決于組織機(jī)構(gòu)的方針，但用登錄名作用戶識別名，有可能使用包含能夠推斷個人的姓名或職工編號等，而有的用戶不希望日志中包含這種能夠用來推斷個人的信息。相反，如果完全不包含可以用來識別用戶的信息，則日后監(jiān)察者追蹤時會發(fā)生困難。

對此，本實施方式的日志管理系統(tǒng)100的復(fù)合機(jī)110和信息終端112等信息設(shè)備中預(yù)先保存能夠利用該設(shè)備的用戶的姓名等登錄識別名、以及定義該登錄識別名公開與否的公開信息。而后在生成日志時，用上述公開信息允許公開的登錄識別名作為用戶識別名，或者在上述公開信息不允許公開登登錄識別名時用經(jīng)過匿名處理的識別名作為用戶識別名，來生成并保存日志。

這樣不但能夠降低不允許公開(以下也稱為非公開)的識別名發(fā)生泄密的風(fēng)險，而且還能夠用以用戶識別名來追蹤的方式保存日志。

以下參考圖2至圖7，詳述本發(fā)明第一實施方式涉及的日志管理系統(tǒng)100基于登錄識別名的日志公開許可設(shè)定以及日志日志公開許可設(shè)定的日志生成功能。圖2是第一實施方式涉及的復(fù)合機(jī)110的功能模塊圖。以下以復(fù)合機(jī)110作為信息設(shè)備，但是對于出復(fù)合機(jī)110以外的其他信息設(shè)備，也可以通過增刪圖2所示的功能模塊200的功能部的得到實現(xiàn)。

圖2所示的復(fù)合機(jī)110的功能模塊200具有通信部202、掃描部204、打印部206、操作部208、基本處理部210、日志生成處理部220、以及用戶信息管理部230。圖2中還顯示日志保存部222和用戶信息表232。

通信部202具有網(wǎng)絡(luò)接口卡(NIC)等，用于復(fù)合機(jī)110與網(wǎng)絡(luò)102之間的連接。本實施方式中的通信部202用來接受來自監(jiān)察者終端190上的瀏覽器或管理工具等的日志閱覽要求，并對此應(yīng)答日志。掃描部204具有圖像讀取單 元，用于實行復(fù)印、掃描等圖像處理服務(wù)中的圖像讀取處理。打印部206具有圖像形成單元，用于實行復(fù)印、打印等圖像處理服務(wù)中的圖像形成處理。操作部208具有供復(fù)合機(jī)110的用戶操作的觸摸面板等，提供用戶接口，受理操作者發(fā)送的如面板上的登錄操作、工作實行指示、退出操作等各種操作輸入?；咎幚聿?10用于實行包含通信部202、掃描部204、打印部206、操作部208等作為復(fù)合機(jī)的基本功能在內(nèi)的整體控制。

圖2所示的復(fù)合機(jī)110具備通信部202、掃描部204、打印部206、以及操作部208，但是本發(fā)明的信息設(shè)備具有的構(gòu)成并不受此限制。例如，信息設(shè)備還可以具備傳真部等其他功能部，或不具備上述功能部中的一部分功能。信息設(shè)備可以根據(jù)特殊用途或產(chǎn)品設(shè)計設(shè)置應(yīng)有的功能。

基本處理部210在發(fā)生需要記錄日志的規(guī)定事件時，對日志生成處理部220發(fā)行日志生成要求。例如，當(dāng)操作部208上發(fā)生用戶的登錄操作、工作實行操作、退出操作等時，基本處理部210發(fā)行與登錄、工作實行、退出對應(yīng)的日志生成要求，而當(dāng)通信部202、掃描部204以及打印部206等發(fā)生故障時，對日志生成處理部220發(fā)行與發(fā)生的故障對應(yīng)的日志生成要求。

日志生成處理部220按照基本處理部210發(fā)行的日志生成要求，生成與登錄的用戶識別名對應(yīng)的日志，并保存到日志保存部222中。日志保存部222中保存基于復(fù)合機(jī)110中各種操作或事件發(fā)生的各種日志，構(gòu)成本實施方式的保存部，用來保存日志生成處理部220生成的日志。關(guān)于與日志對應(yīng)的用戶識別名將在以下詳述。

用戶信息管理部230管理有關(guān)日志生成的用戶的信息，將用戶信息寫入用戶信息表232，或者從用戶信息表232讀取用戶信息。用戶信息管理部230根據(jù)用戶通過操作部208收到的用戶信息登錄要求以及用戶信息更改要求，改寫用戶信息表232的內(nèi)容。

用戶信息管理部230管理用戶信息表232，該用戶信息表232中記錄關(guān)于日志生成的用戶信息。在本實施方式中用戶信息登錄要求和用戶信息更改要求中包含姓名或職工編號等登錄識別名公開與否的選擇。用戶信息表232中保存一個以上有可能利用該復(fù)合機(jī)110的用戶的每個人的登錄識別名、以及定義該登錄識別名公開與否的公開信息。用戶信息表232構(gòu)成本實施方式的存儲部。

本實施方式中用姓名作為登錄識別名，但是本發(fā)明并不受此限制。除此 之外，例如職工編號、會員編號、顧客識別標(biāo)記、賬戶識別標(biāo)記、電子郵件地址識別標(biāo)記、電話號碼等任意能夠識指定用戶的信息均可以作為登錄識別名。

以下參考圖3所示的圖形用戶接口(GUI)、圖4所示的流程圖、以及圖5所示的用戶信息表的數(shù)據(jù)構(gòu)成，描述用戶信息管理部230實行的用戶信息登錄/更改處理。

圖3是第一實施方式的復(fù)合機(jī)110的操作部208上顯示的一例用戶信息登錄畫面的示意圖。圖3顯示的是用于新登錄用戶的用戶信息登錄畫面，而用于更改用戶登錄內(nèi)容的用戶信息更改畫面具有相同的構(gòu)成。

圖3所示的用戶信息等畫面300上具有用來供用戶輸入自己姓名的文字輸入框302、用戶輸入自己的假名的文字輸入框304、用戶選擇日志公開某個信息的按鈕306、登錄按鈕308、以及取消按鈕310。圖3所示的按鈕306包含選擇在日志中公開姓名的“姓名”按鈕306a、在日志中公開假名的“假名”按鈕306b、選擇在日志中既不公開姓名也不公開假名的“非公開”按鈕306c。

在文字輸入框302、304中輸入信息，選擇“姓名”按鈕306a的狀態(tài)下，按動登錄鍵308后，該用戶被設(shè)定為允許公開姓名作為用戶識別名。而在選擇“假名”按鈕306b的狀態(tài)下按動登錄鍵308后，該用戶被設(shè)定為不允許公開姓名，但允許公開假名用來作為用戶識別名。進(jìn)而，在選擇非公開按鈕306c的狀態(tài)下按動登錄鍵308，該用戶被設(shè)定為姓名和假名均不允許公開。此時，姓名和假名均不能用作為用戶識別名，而只能設(shè)定用“Anonymous”等表示是匿名的字符作為用戶識別名。

本實施方式中姓名是公開與否的首要控制的登錄識別名，當(dāng)選擇姓名為非公開時，假名是公開與否的次要控制的偽稱。偽稱雖然尚未滿足非連結(jié)性，但是不能唯一地推斷某個個人，具有匿名性質(zhì)，在本實施方式中經(jīng)過匿名處理的識別名包含假名。“Anonymous”等表示是匿名的字符，被賦予給非確定多數(shù)，使得飛確定多數(shù)的用戶具有相同識別名“Anonymous”，為此“Anonymous”具有高度的匿名性，在本實施方式中經(jīng)過匿名處理的識別名包含“Anonymous”。

圖4是第一實施方式的復(fù)合機(jī)110實行的用戶信息登錄/更改處理的流程圖。圖3所示的用戶信息登錄畫面300中的登錄鍵308受到按動后開始圖4所示 的處理。在步驟S101中，復(fù)合機(jī)110中的用戶信息管理部230實行用戶信息登錄/更新處理。在步驟S101中，根據(jù)圖3所示的用戶信息登錄畫面300的內(nèi)容，日志名以外的用戶信息被寫入用戶信息表232中。

圖5顯示經(jīng)過圖3所示的用戶信息登錄畫面300上的操作后登錄的用戶信息表232的一例數(shù)據(jù)構(gòu)造。如圖5所示，用戶信息表232具有一個以上記錄，其中包含用戶編碼、日志名、姓名、假名、公開信息各個項目。

用戶編碼是分配給用戶的固有編碼。該復(fù)合機(jī)110內(nèi)部用該用戶編碼來管理用戶使用過程。圖2所示的基本處理部210用用戶編碼來管理打印、掃描等各項工作，該用戶編碼作為參數(shù)之一受到指定，對日志生成處理部220發(fā)行日志生成要求。

日志名是記錄在日志上的用戶識別名。姓名是用來記錄上述用戶信息登錄畫面300上的文字輸入框302中被作為登錄識別名輸入的姓名的項目。假名是用來記錄上述用戶信息登錄畫面300上文字輸入框304中被作為偽名輸入的假名的項目。公開信息是用來記錄與上述用戶信息登錄畫面300上按鈕306中的選擇對應(yīng)的值。日志名可以隨著公開信息的項目的值改變。

返回圖4，在步驟S102，復(fù)合機(jī)110中判斷輸入的公開信息是否是“姓名”。如果步驟S102中，判斷公開信息不是“姓名”(S102的否)，則進(jìn)入步驟S103的處理。在步驟S103，復(fù)合機(jī)110進(jìn)一步判斷公開信息是否是“假名”。

在步驟S103，如果判斷就公開信息不是“假名”(S103的否)，則進(jìn)入步驟S104的處理。在步驟S104，復(fù)合機(jī)110通過用戶信息管理部230，將用戶信息表232的對應(yīng)用戶的日志名設(shè)定為表示是匿名的字符“Anonymous”。而后結(jié)束處理。

而如果在步驟S103，判斷公開信息為“假名”(S103的是)，則進(jìn)入步驟S105的處理。在步驟S105，復(fù)合機(jī)110通過用戶信息管理部230將用戶信息表232的對應(yīng)用戶的日志名設(shè)定為保持假名的項目中的值，而后結(jié)束處理。

而如果在步驟S102，判斷公開信息為“姓名”(S102的是)，則進(jìn)入步驟S106的處理。在步驟S106，復(fù)合機(jī)110通過用戶信息管理部230，將用戶信息表232中對應(yīng)用戶的日志名設(shè)定為記錄姓名的項目中的值，而后結(jié)束處理。

圖5顯示一例保持四名用戶信息的用戶信息表232。在圖5中經(jīng)過登錄的用戶為“鈴○一郎”、“太◇次郎”、“山三郎”、“船■四郎”共計四名。其中，“鈴 ○一郎”認(rèn)為可以公開姓名，因而用日志公開按鈕306選擇姓名306a，進(jìn)行用戶登錄。為此，公開信息保持“姓名”的值。“太◇次郎”和“船■四郎”的姓名和假名不希望被公開，為此選擇非公開306c來進(jìn)行用戶登錄。“山三郎”認(rèn)為可以公開假名，因而用日志公開按鈕306選擇假名306b，進(jìn)行用戶登錄。為此，公開信息保持“假名”的值。

對此，如圖5所示，“鈴○一郎”選擇公開姓名，因而日志名上復(fù)制了姓名欄的值“鈴○一郎”?！疤蟠卫伞焙汀按鏊睦伞币虿辉试S公開，因此被設(shè)定為表示是匿名的“Anonymous”。“山三郎”則在日志名上復(fù)制了偽名即假名的值“YAMASAN”。

如上所述，通過用戶信息登錄或更改時的處理，可以在用戶信息表232中保存允許公開時的登錄識別名(姓名)、允許公開時的偽名(假名)、定義登錄識別名公開與否以及偽名公開與否的公開信息。對于登錄識別名和偽名均為非公開的用戶，設(shè)定表示是匿名的字符“Anonymous”作為用于用戶的用戶識別名，保存到用戶信息表232中。

以下參考圖6，進(jìn)一步詳述基于登錄識別名的日志公開與否設(shè)定的日志生成處理。圖6是第一實施方式的復(fù)合機(jī)110實行的登錄認(rèn)證時以及工作實行時的日志生成處理的時序圖。步驟S201至步驟S207所示的處理表示登錄認(rèn)證時的日志生成處理。步驟S301至步驟S306所示的處理表示認(rèn)證后工作實行時的日志生成處理。

例如用戶操作操作部208實行登錄操作后開始圖6所示的處理。在步驟S201，基本處理部210受理通過操作部208的操作者登錄操作。在步驟S202，基本處理部210根據(jù)登錄操作輸入的登錄名和密碼等認(rèn)證信息，實行用戶的認(rèn)證。在此設(shè)定用戶認(rèn)證成功。

在步驟S203，基本處理部210對用戶信息表232發(fā)行登錄處理涉及的用戶編碼的取得要求，取得用戶編碼。該用戶編碼在之后的到退出之前的期間中用于管理用戶使用過程。在步驟S204，基本處理部210對日志生成處理部220發(fā)行用戶編碼以及日志生成要求，用來記錄本登錄操作的日志。

在步驟S205，日志生成處理部220對用戶信息表230發(fā)行與用戶編碼對應(yīng)的日志名的取得要求，取得日志名。在步驟S206，日志生成處理部220用取得的日志名生成日志，在步驟S207，將生成的日志保存到日志保存部222。

圖6還顯示了登錄之后對應(yīng)于工作實行操作的處理。例如用戶通過復(fù)合機(jī)110的操作部208發(fā)出復(fù)印等工作實行操作后開始圖6所示的處理。在步驟S301，基本處理部210受理用戶通過操作部208的工作實行操作。在步驟S302，基本處理部208實行要求實行的工作。在此設(shè)定要求實行的工作成功結(jié)束。在步驟S303，基本處理部210對日志生成處理部220發(fā)行用戶編碼以及日志生成要求，用來表示記錄本工作實行成功的日志。

在步驟S304，日志生成處理部220對用戶信息表232發(fā)行與用戶編碼對應(yīng)的日志名的取得要求，取得日志名。在步驟S305，日志生成處理部220用取得的日志名生成日志，在步驟S306，將生成的日志保存到日志保存部222。

圖7是經(jīng)過基于第一實施方式涉及的日志公開許可設(shè)定的日志生成處理后保存到日志保存部222中的日志的數(shù)據(jù)構(gòu)造示意圖。其中，圖7的(a)圖假設(shè)所有用戶允許公開自己的姓名(即相當(dāng)于未實行日志公開許可設(shè)定)的一例日志。而圖7的(b)圖則是根據(jù)圖4所示的用戶信息表232生成的日志。

日志構(gòu)成為具有一條以上的記錄，其中包含日志的發(fā)生時間、用戶的日志名、事件以及結(jié)果。比較圖7的(a)圖和(b)圖可知，“鈴○一郎”與普通的日志相同，因而能夠進(jìn)行過程的追蹤。而“山三郎”只能夠用假名進(jìn)行使用過程追蹤。

如上所述，用日志生成處理部220生成的日志中，以公開信息中允許公開的登錄識別名(姓名)為用戶識別名，或者在公開信息中不允許公開登錄識別名時以經(jīng)過匿名處理的識別名(假名或字符“Anonymous”)為用戶識別名。

上述構(gòu)成不僅能夠降低非公開識別名的泄密風(fēng)險，而且能夠在一定程度上以利用用戶識別名進(jìn)行追蹤的方式保存日志。這樣生成的日志，不需要公開姓名等登錄識別名，便能夠進(jìn)行與人物對應(yīng)的使用過程追蹤。進(jìn)而，生成的日志本身不包含不允許公開的識別名，因而，即便用其他方式制作日志的復(fù)制文件或備用文件，也不會因這些文件的管理不力等造成非公開的識別名發(fā)生泄密危險。

上述第一實施方式中登錄識別名和假名均為非公開時的用戶在日志中均以相同字符記錄。例如圖7中“太◇次郎”和“船■四郎”均以字符“Anonymous”記錄，這樣便無法判斷，例如10：12數(shù)據(jù)刪除、10：20數(shù)據(jù)登記、10：21數(shù) 據(jù)傳送是否是同一個系列的操作。

對此，第二實施方式描述如何正確追蹤登錄識別名和假名均為非公開的用戶，對此以下參考圖8和圖9詳述。在以下的描述中不再重復(fù)第二實施方式與第一實施方式相同之處，而著重描述二者之間的不同之處。

圖8是第二實施方式的復(fù)合機(jī)110實行的用戶信息登錄/更改處理的流程圖。圖8所示的處理與第一實施方式相同，用戶信息登錄畫面300中的登錄鍵308受到按動后開始圖8所示的處理。

在步驟S401，復(fù)合機(jī)110實行用戶信息登錄/更新處理。在步驟S402，復(fù)合機(jī)110判斷輸入的公開信息是否是“姓名”。如果S402中公開信息不是“姓名”(S402的否)，則進(jìn)入步驟S403。在步驟S403，復(fù)合機(jī)110進(jìn)一步判斷公開信息是否是“假名”。如果步驟S403的判斷公開信息不是“假名”(S403的否)，則進(jìn)入步驟S404。

在步驟S404，復(fù)合機(jī)110用用戶信息管理部230取得用疑似隨機(jī)數(shù)發(fā)生器等產(chǎn)生的隨機(jī)數(shù)字符。在步驟S405，復(fù)合機(jī)110通過用戶信息管理部230對表示匿名的字符列“Anonymous”附加隨即發(fā)生的隨機(jī)數(shù)字符，生成用戶的日志名。在步驟S406，復(fù)合機(jī)110參考用戶信息表232，判斷是否存在相同的日志名。如果步驟S406判斷存在相同的日志名(S406的是)，則返回步驟S404，反復(fù)實行用隨機(jī)數(shù)生成日志名，直到生成尚未登錄的日志名為止。用戶信息管理部230在本實施方式中構(gòu)成識別名生成部。

相反，在步驟S406，如果判斷沒有相同日志名(S406的否)，則進(jìn)入步驟S407。在步驟S407，復(fù)合機(jī)110通過用戶信息管理部230將生成的字符列“Anonymous”+隨機(jī)數(shù)字符設(shè)定為用戶信息表232中對應(yīng)的用戶日志名，而后結(jié)束本處理。

另一方面，在步驟S403，當(dāng)判斷公開信息為“假名”時(S403的是)，在步驟S408將假名的項目中記錄的值設(shè)定為對應(yīng)的用戶的日志名，結(jié)束本處理。而如果在步驟S402中，如果判斷公開信息為“姓名”(S402的是)，則在步驟S409中將姓名的項目中記錄的值設(shè)定為對應(yīng)的用戶的日志名上。

圖9是經(jīng)過基于第二實施方式的日志公開許可設(shè)定的日志生成處理后保存到日志保存部222中的日志的數(shù)據(jù)構(gòu)造示意圖。在第一實施方式中，姓名和假名均為非公開的用戶被記錄為非確定多數(shù)中的一個人，因此日志難以用來 追蹤。對此，對比圖7的(a)圖和圖9可知，在第二實施方式中，即便姓名和假名均為非公開的用戶的日志也可以以能夠區(qū)別操作過程的方式保存。

例如，“太◇次郎”的日志名在產(chǎn)生隨機(jī)數(shù)“1265”時成為“Anonymous1265”?！按鏊睦伞钡娜罩久麨椤癆nonymous3721”。這樣便能夠判斷10：12的數(shù)據(jù)刪除和10：20的數(shù)據(jù)登錄為同一個系列的過程，而10：21的數(shù)據(jù)傳送則是其他過程，從而得以實行正確的追蹤。

第二實施方式中日志名和用戶一一對應(yīng)，因而即便不公開姓名，日志名也具有與假名相同的地位，而且能夠用比假名更加難以推斷個人的方式來進(jìn)行過程追蹤。

在上述第二實施方式中，即便是登錄識別名和假名均為非公開的用戶也能夠用能夠唯一識別用戶的字符列生成日志名。這樣能夠正確地進(jìn)行處理過程的追蹤，但是從長期來看，日志名依然能夠推測日志名與用戶之間的關(guān)系。例如，“太◇次郎”動作時必然是以“Anonymous1265”為用戶識別名的日志發(fā)生記錄等等，由此就有可能推測“Anonymous1265”與“太◇次郎”的關(guān)系。

對此，以下參考圖10和圖11描述能夠在從登錄到退出的期間中進(jìn)行追蹤，但難以在登錄期間進(jìn)行追蹤的第三實施方式。在以下的描述中不再重復(fù)第三實施方式與第一實施方式相同之處，而著重描述二者之間的不同之處。

圖10是第三實施方式的復(fù)合機(jī)110的功能模塊圖400。圖10所示的復(fù)合機(jī)110的功能模塊400具有通信部402、掃描部404、打印部406、操作部408、基本處理部410、日志生成處理部420、用戶信息管理部430、以及登錄處理部434。進(jìn)而，圖10中還顯示日志保存部422和用戶信息表432。

第三實施方式的用戶信息管理部430在提出用戶信息登錄以及用戶信息更改的要求時，如果選擇登錄識別名和假名均為非公開，則用戶信息表432中日志名的記錄為空白。

登錄處理部434控制針對登錄要求的用戶認(rèn)證。用戶認(rèn)證本身可以采用任意現(xiàn)有技術(shù)。登錄處理部434在登錄處理結(jié)束后，讀取用戶信息表432，確認(rèn)該登錄處理的用戶的公開信息。如果登錄識別名和假名均為非公開，則登錄處理部434用疑似隨機(jī)數(shù)發(fā)生器等發(fā)生的隨機(jī)數(shù)標(biāo)記來生成表示匿名的字符列，更新用戶信息表432中的日志名。在本實施方式中，登錄處理部434起到識別名生成部的作用，每當(dāng)發(fā)生用戶登錄處理時，生成表示匿名的字符列。

圖11是第三實施方式涉及的復(fù)合機(jī)110實行的登錄處理流程圖。用戶通過操作部408實行登錄操作后開始圖11所示的處理。在步驟S501，復(fù)合機(jī)110的登錄處理部434實行普通的用戶登錄處理，在步驟S502，復(fù)合機(jī)110的登錄處理部434讀取用戶信息表432。在步驟S503，登錄處理部434判斷實行登錄處理的用戶的公開信息是否為“非公開”。如果判斷為“非公開”(S503的是)，則進(jìn)入步驟S504。

在步驟S504，復(fù)合機(jī)110的登錄處理部434取得意思隨機(jī)數(shù)發(fā)生器等發(fā)生的隨機(jī)數(shù)記號。在步驟S505，復(fù)合機(jī)110的登錄處理部434在表示匿名的字符列“Anonymous”上附加任意發(fā)生的隨機(jī)數(shù)記號，生成用戶的日志名。

在步驟S506，復(fù)合機(jī)110參考用戶信息表432，判斷是否存在相同的日志名。如果判斷存在相同的日志名(S506的是)，則返回步驟S504，返回實行用隨機(jī)數(shù)生成日志名，直到生成尚未登錄的日志名。相反，如果判斷沒有相同的日志名(S506的否)，則進(jìn)入步驟S507。在步驟S507，復(fù)合機(jī)110的登錄處理部434將生的字符列“Anonymous”+“隨機(jī)數(shù)記號”設(shè)定為對應(yīng)的用戶的日志名。在步驟S508，寫出設(shè)定的用戶信息表432，而后結(jié)束本處理。而在步驟S503如果判斷公開信息為“非公開”(S503的否)，則直接結(jié)束本處理。

第三實施方式中的日志名與用戶一一對應(yīng)，因而，即便不公開姓名，日志名也具有與假名相同的地位，而且能夠用比假名更加難以推斷個人的方式來進(jìn)行過程追蹤。同時，每一次登錄處理都改變用戶識別名，因此，過程追蹤被限制在只有在過程有效期間，即登錄期間才能夠進(jìn)行。這樣，由于日志中的記錄名稱動態(tài)變化，為此，即便是對個人操作進(jìn)行長期監(jiān)視，也能夠降低確定日志名與姓名之間對應(yīng)關(guān)系的可能性。

上述第一至第三實施方式可以直接從監(jiān)察者終端190訪問信息設(shè)備110和112，閱覽日志。除此之外，作為其他實施方式，還可以設(shè)置服務(wù)器，從一個以上的信息設(shè)備110和112收集日志，從監(jiān)察者終端190訪問服務(wù)器，閱覽日志。在圖1、圖2、以及圖10中的虛線框變表示這種實施方式的構(gòu)成。

圖1中的虛線框顯示上述其他實施方式中采用的日志管理服務(wù)器150。復(fù)合機(jī)110和信息終端112等信息設(shè)備在適當(dāng)時間將自己的日志傳送到統(tǒng)一管理日志信息的日志管理服務(wù)器150。圖2和圖10顯示負(fù)責(zé)傳送日志的日志傳送部224和424。日志傳送部224和424在規(guī)定的時間，如每隔一定時間或每當(dāng)積蓄 的日志達(dá)到一定量等，將保存在日志保存部222和422中的日志傳送到事先定義的日志管理服務(wù)器150。日志傳送部224和424起到傳送部作用，將日志傳送到外部的日志管理服務(wù)器150。該日志中的公開信息中包含非公開時用經(jīng)過匿名處理的識別名為用戶識別名。

以下參見圖12，描述本實施方式的復(fù)合機(jī)110的硬件構(gòu)成。圖12是復(fù)合機(jī)110的硬件構(gòu)成示意圖。復(fù)合機(jī)110具有控制器52、操作面板82、FCU(傳真控制單元)84、引擎部86?？刂破?2包含CPU54、NB(北橋芯片)58、經(jīng)由NB58與CPU54連接的ASIC60、以及系統(tǒng)存儲器56。ASIC60實行各種圖像處理，經(jīng)由AGP(Accelecrated Graphic Port)88與NB58連接。系統(tǒng)存儲器56被用于作為繪圖用存儲器等。

ASIC60與局域存儲器62、硬盤驅(qū)動器64、閃存等非易失性存儲器(以下以NV-RAM為例)66相連接。局域存儲器62被用于作為復(fù)制用圖像緩沖器或標(biāo)記緩沖器，HDD64被作為保存圖像數(shù)據(jù)、文書數(shù)據(jù)、程序、字體數(shù)據(jù)或固件數(shù)據(jù)等的寄存器。本實施方式的HDD64能夠提供用于作為保存日志的日志存儲部222、422的保存區(qū)域。在向外部的日志管理服務(wù)器150傳送日志時，HDD64提供在世的保存區(qū)域。NV-RAM66中保存用來控制復(fù)合機(jī)110的程序、各種系統(tǒng)信息以及各種設(shè)定信息。

控制器52進(jìn)而包含SB(南橋芯片)68、NIC(網(wǎng)絡(luò)接口卡)70、SD(Secure Digital)卡/插槽72、USB接口74、IEEE1394接口76、平行接口78，這些借助于PCI線90與NB58連接。SB68是未圖示ROM或PCI線周邊設(shè)備等與NB58之間連接的橋。NIC70是復(fù)合機(jī)110與互聯(lián)網(wǎng)或LAN等網(wǎng)絡(luò)102連接的接口器件，接收通過網(wǎng)絡(luò)送來的指令。關(guān)于經(jīng)由網(wǎng)絡(luò)的指令包含例如來自遠(yuǎn)處的登錄要求。SD卡/插槽72用來可拆卸地安裝SD卡。USB接口74、IEEE1394接口76以及平行接口78分別為按照規(guī)格的接口，用來接受打印工作。

作為顯示部的操作面板82與控制器52的ASIC60相連接，提供用戶接口，用來接收用戶的各種指示的輸入或?qū)嵭挟嬅骘@示。操作面板82既可以包含顯示器、鍵盤、鼠標(biāo)，也可以構(gòu)成為觸摸面板。FCU84以及引擎部86經(jīng)由PCI92連接ASIC60.FCU84按照名謂G3或G4的傳真通信規(guī)格的通信方法。引擎部86接收應(yīng)用軟件發(fā)行的打印指示或掃描指示，實行圖像形成處理或圖像讀取處理。引擎部86構(gòu)成掃描部和打印部。本實施方式的復(fù)合機(jī)110從硬盤驅(qū)動器64 或NV-RAM66讀取控制程序，并將控制程序展開到系統(tǒng)存儲器56或局域存儲器62提供作業(yè)空間，在CPU54的控制下，.實現(xiàn)上述各個功能部的功能。

如上所述，上述實施方式提供的信息處理裝置和信息處理系統(tǒng)能夠在減小非公開識別名發(fā)生泄密危險的同時，以利用用戶識別名進(jìn)行追蹤的方式保存使用履歷信息。

利用上述構(gòu)成，用戶能夠根據(jù)信息設(shè)備的使用環(huán)境，在既定的運(yùn)行下，設(shè)定自己在日志中的個人信息公開范圍。即便日志信息外泄，也能夠減小用戶非公開信息的泄密危險。

在上述實施方式的描述中復(fù)合機(jī)110包含圖2、圖10所示的各項功能部。但是本發(fā)明并不受此限制，除此之外，還可以將上述功能部中的一部分功能部分散安裝到一臺以上的計算機(jī)系統(tǒng)中。

上述各個功能部通過執(zhí)行用匯編語言、C、C++、C#、Java(注冊商標(biāo))等傳統(tǒng)編程語言或面向?qū)ο缶幊陶Z言等敘述的計算機(jī)可執(zhí)行程序來實現(xiàn)，并可以存放在ROM、EEPROM、EPROM、閃存、軟磁盤、CD-ROM、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、藍(lán)光盤、SD卡、MO等裝置可讀取的記錄媒體中，或者通過電子通信線發(fā)布。

上述實施方式對本發(fā)明沒有限制。本發(fā)明允許在不需要創(chuàng)造性勞動的范圍內(nèi)對上述實施方式進(jìn)行各種刪減更改，但是無論如何改變實施方式，只要起到本發(fā)明的作用效果，均屬于本發(fā)明范疇。