文件管理系统、装置、程序以及记录有该程序的计算机可读取的记录介质

摘要

本发明提供文件管理系统和装置，其具有：文件数据存储部(22)，其存储文件的文件数据；管理信息存储部(23)，其将用于确定文件的管理信息与文件数据关联起来进行存储；控制信息存储部(24)，其存储与应执行预先规定的特定处理的阻截对象文件相关的控制信息；管理信息取得部(25)，其取得存储在管理信息存储部(23)内的管理信息；控制信息取得部(26)，其取得存储在控制信息存储部(24)内的控制信息；以及执行部(27)，其在由管理信息取得部(25)取得的管理信息与由控制信息取得部(26)取得的控制信息对应的情况下，对与该管理信息关联的文件数据执行特定处理，从而限制应禁止流通的重要文件在网络上的扩散。

说明书

技术领域

本发明涉及对文件进行管理的技术，例如，涉及适合在对应该限制互联网、内网(Intranet)、外网(Extranet)、LAN(Local Area Network，局域网)等的网络上流通的重要文件进行管理的情况下使用的技术。

背景技术

一般，在与互联网、内网、外网、LAN(Local Area Network，局域网)等的网络连接的多个计算机之间，可容易进行由文档、图像、影像、声音等的数字数据构成的文件的交换。

在这样的文件中，有时包含有象个人信息等那样机密性高、应限制在网络上流通的重要文件(以下称为机密文件)，针对这样的机密文件，有必要阻止其在网络上的扩散(流出和泄露)。

因此，以往使用用于阻止机密文件在网络上的扩散的各种方法。

例如，在下述专利文献1中公开了这样的方法：针对将数据要素作为对象来处理的文件，可针对各对象设定使用的许可和禁止，在一定条件下删除该对象并发布文件。

并且，在下述专利文献2中公开了这样的方法：当判定为应向外部介质(另一终端)写出或发送的电子文件是个人信息文件时，禁止该个人信息文件的写出/发送，或者将该个人信息文件转换成加密文件来向外部介质(另一终端)写出/发送。

专利文献1：日本特开2002-007217号公报

专利文献2：日本特开2007-034651号公报

然而，在上述专利文献1、2中，在机密文件因用户过失或故意而流出到网络上的情况下，不能阻止机密文件在网络上的扩散，例如，即使请求了接收到机密文件的对方删除机密文件，关于是否实际删除，也只好相信对方。

并且，在使用防火墙等的防御系统的情况下，虽然可阻止病毒等的非法程序的侵入，但是不能阻止完全不包含非法程序的机密文件在网络上的扩散。

发明内容

本发明是鉴于上述课题而作成的，本发明的目的是限制应该限制流通的重要文件在网络上的扩散。

为了达到上述目的，本发明的文件管理系统，其特征在于，该文件管理系统具有：文件数据存储部，其存储文件的文件数据；管理信息存储部，其将用于确定该文件的管理信息与该文件数据关联起来进行存储；控制信息存储部，其存储与应执行预先规定的特定处理的阻截对象文件相关的控制信息；管理信息取得部，其取得存储在该管理信息存储部内的该管理信息；控制信息取得部，其取得存储在该控制信息存储部内的该控制信息；以及执行部，其在由该管理信息取得部取得的该管理信息与由该控制信息取得部取得的该控制信息对应的情况下，对与该管理信息关联的该文件数据执行该特定处理。

并且，优选的是，该执行部将以下处理中的任一方作为该特定处理来执行，这些处理是：将该文件数据从该文件数据存储部中删除的删除处理；使该文件数据不能读取的不能读取处理；对该文件数据的发送源进行通报的通报处理；删除发送源的该文件数据的发送源删除处理；以及在将能够确定发送源的该文件数据的信息暂时记录在日志内之后一并删除发送源的该文件数据的发送源延迟删除处理。

而且，可以是，当在该控制信息存储部中追加了该控制信息时，该管理信息取得部取得存储在该管理信息存储部内的所有该管理信息，当在该控制信息存储部中追加了该控制信息时，该控制信息取得部取得所追加的该控制信息，该执行部将由该管理信息取得部取得的该管理信息和由该控制信息取得部取得的该控制信息依次进行比较。

并且，可以是，当改写了存储在该文件数据存储部内的该文件数据时，该管理信息取得部取得与所改写的该文件数据关联的该管理信息，当改写了存储在该文件数据存储部内的该文件数据时，该控制信息取得部取得存储在该控制信息存储部内的所有该控制信息，该执行部将由该管理信息取得部取得的该管理信息和由该控制信息取得部取得的该控制信息依次进行比较。

而且，可以是，当在该文件数据存储部中追加了该文件数据时，该管理信息取得部取得与所追加的该文件数据关联的该管理信息，当在该文件数据存储部中追加了该文件数据时，该控制信息取得部取得存储在该控制信息存储部内的所有该控制信息，该执行部将由该管理信息取得部取得的该管理信息和由该控制信息取得部取得的该控制信息依次进行比较。

并且，可以是，在该文件数据存储部内存储有由多个该文件数据构成的复合文件数据，在由该管理信息取得部取得的该管理信息与由该控制信息取得部取得的该控制信息对应的情况下，该执行部对包含与该管理信息关联的该文件数据的该复合文件数据执行该特定处理。

而且，优选的是，该管理信息由表示该文件数据的摘要的管理摘要信息构成，该控制信息由表示该阻截对象文件的文件数据的摘要的控制摘要信息构成。

并且，优选的是，在该文件数据被改写了1次以上的情况下，该管理信息由分别与所述改写的各代的该文件数据对应的多个该管理摘要信息构成，在所述阻截对象文件的文件数据被改写了1次以上的情况下，该控制信息由分别与所述改写的各代的所述阻截对象文件的文件数据对应的多个该控制摘要信息构成，在由该管理信息取得部取得的所述多个管理摘要信息中的任一方与由该控制信息取得部取得的所述多个控制摘要信息中的任一方一致或者大致一致的情况下，该执行部对与该管理摘要信息关联的该文件数据执行该特定处理。

另外，本发明的文件管理装置，其特征在于，该文件管理装置具有：文件数据存储部，其存储文件的文件数据；管理信息存储部，其将用于确定该文件的管理信息与该文件数据关联起来进行存储；管理信息取得部，其取得存储在该管理信息存储部内的该管理信息；控制信息取得部，其取得与应执行预先规定的特定处理的阻截对象文件相关的控制信息；以及执行部，其在由该管理信息取得部取得的该管理信息与由该控制信息取得部取得的该控制信息对应的情况下，对与该管理信息关联的该文件数据执行该特定处理。

并且，优选的是，该执行部将以下处理中的任一方作为该特定处理来执行，这些处理是：将该文件数据从该文件数据存储部中删除的删除处理；使该文件数据不能读取的不能读取处理；对该文件数据的发送源进行通报的通报处理；删除发送源的该文件数据的发送源删除处理；以及在将能够确定发送源的该文件数据的信息暂时记录在日志内之后一并删除发送源的该文件数据的发送源延迟删除处理。

而且，优选的是，该管理信息由表示该文件数据的摘要的管理摘要信息构成，该控制信息由表示该阻截对象文件的文件数据的摘要的控制摘要信息构成。

并且，优选的是，在该文件数据被改写了1次以上的情况下，该管理信息由分别与所述改写的各代的该文件数据对应的多个该管理摘要信息构成，在所述阻截对象文件的文件数据被改写了1次以上的情况下，该控制信息由分别与所述改写的各代的所述阻截对象文件的文件数据对应的多个该控制摘要信息构成，在由该管理信息取得部取得的所述多个管理摘要信息中的任一方与由该控制信息取得部取得的所述多个控制摘要信息中的任一方一致或者大致一致的情况下，该执行部对与该管理摘要信息关联的该文件数据执行该特定处理。

另外，本发明的文件管理程序，该文件管理程序用于使具有存储文件的文件数据的文件数据存储部的计算机执行对该文件进行管理的功能，该文件管理程序的特征在于，该文件管理程序使该计算机执行以下功能：管理信息取得部，其取得用于确定该文件的管理信息；控制信息取得部，其取得与应执行预先规定的特定处理的阻截对象文件相关的控制信息；以及执行部，其在由该管理信息取得部取得的该管理信息与由该控制信息取得部取得的该控制信息对应的情况下，对与该管理信息关联的该文件数据执行该特定处理。

并且，优选的是，使该计算机这样执行功能，即，该执行部将以下处理中的任一方作为该特定处理来执行，这些处理是：将该文件数据从该文件数据存储部中删除的删除处理；使该文件数据不能读取的不能读取处理；对该文件数据的发送源进行通报的通报处理；删除发送源的该文件数据的发送源删除处理；以及在将能够确定发送源的该文件数据的信息暂时记录在日志内之后一并删除发送源的该文件数据的发送源延迟删除处理。

而且，优选的是，该管理信息由表示该文件数据的摘要的管理摘要信息构成，该控制信息由表示该阻截对象文件的文件数据的摘要的控制摘要信息构成。

并且，优选的是，在该文件数据被改写了1次以上的情况下，该管理信息由分别与所述改写的各代的该文件数据对应的多个该管理摘要信息构成，在所述阻截对象文件的文件数据被改写了1次以上的情况下，该控制信息由分别与所述改写的各代的所述阻截对象文件的文件数据对应的多个该控制摘要信息构成，使该计算机这样执行功能，即，在由该管理信息取得部取得的所述多个管理摘要信息中的任一方与由该控制信息取得部取得的所述多个控制摘要信息中的任一方一致或者大致一致的情况下，该执行部对与该管理摘要信息关联的该文件数据执行该特定处理。

然后，本发明的计算机可读取的记录介质是记录有上述的文件管理程序的计算机可读取的记录介质。

根据本发明，具有以下至少任一方的效果或优点。

(1)可阻止应限制流通的重要文件在网络上的扩散。

(2)可阻止改变应限制流通的重要文件而得到的复制文件在网络上的扩散。

附图说明

图1是示意性示出作为本发明的一实施方式的文件管理系统的结构例的图。

图2是示意性示出作为本发明的一实施方式的文件管理系统的终端装置和服务器的结构例的图。

图3是示意性示出存储在作为本发明的一实施方式的文件管理系统中的文件数据存储部和管理信息存储部内的信息的图。

图4是示意性示出存储在作为本发明的一实施方式的文件管理系统中的管理信息存储部内的管理信息的结构例的图。

图5是示意性示出存储在作为本发明的一实施方式的文件管理系统中的控制信息存储部内的信息的图。

图6是示意性示出存储在作为本发明的一实施方式的文件管理系统中的控制信息存储部内的控制信息的结构例的图。

图7是用于说明在作为本发明的一实施方式的文件管理系统中使用的控制信息的特定处理属性信息的图。

图8是用于说明在作为本发明的一实施方式的文件管理系统中使用的控制信息的比较处理属性信息的图。

图9是用于说明在作为本发明的一实施方式的文件管理系统中使用的控制信息的有效期间属性信息的图。

图10是用于说明在作为本发明的一实施方式的文件管理系统中的控制摘要信息和管理摘要信息的比较处理的优先顺序的例子的图。

图11是示出在本发明的一实施方式涉及的文件管理系统中执行特定处理的进程的流程图。

图12是示出在本发明的一实施方式涉及的文件管理系统的控制信息存储部发生了更新事件的情况下的具体检查进程的例子的流程图。

图13是示出在本发明的一实施方式涉及的文件管理系统的文件数据存储部发生了更新事件的情况下的具体检查进程的例子的流程图。

图14是示出利用本发明的一实施方式涉及的文件管理系统的执行部来将管理摘要信息和控制摘要信息进行比较的进程的流程图。

图15是用于说明在作为本发明的一实施方式的变形例的文件管理系统中使用的控制信息的特定处理属性的图。

图16是示出在本发明的一实施方式的变形例涉及的文件管理系统中从发送侧终端装置向接收侧终端装置发送文件数据和管理信息的处理进程的流程图。

图17是示意性示出在本发明的一实施方式的变形例涉及的文件管理系统中使用的管理摘要信息和控制摘要信息的结构例的图。

标号说明

10：文件管理系统；11，11a～11h：终端装置(文件管理装置)；12：互联网；13：服务器；14：通信控制部；15：HDD；16：CPU；17：显示部；18：输入部；19：输入输出接口；20：RAM；21：ROM；22：文件数据存储部；23：管理信息存储部；24：控制信息存储部；25：管理信息取得部；26：控制信息取得部；27：执行部；28：存储装置；Fd1～Fd8：文件数据；CFd：复合文件数据；F：文件；CF：复合文件；Dm，Dm1～Dm8：管理信息；dms，dms-0～dms-n：管理摘要信息；Dc，Dc1～Dc4：控制信息；dcs，dcs-0～dcs-m：控制摘要信息；dcc：文件属性信息；a1：特定处理属性信息；a2：比较处理属性信息；a3：有效期间属性信息；b1，b1’：特定处理定义信息；b2：比较处理定义信息；b3：有效期间定义信息。

具体实施方式

以下，参照附图说明本发明的实施方式。

〔1〕本发明的一实施方式的说明

图1是示意性示出作为本发明的一实施方式的文件管理系统的结构例的图，图2是示意性示出该文件管理系统的终端装置和服务器的结构例的图。

如图1所示，本实施方式涉及的文件管理系统10构成为具有：多个(在图1所示的例子中是8台)终端装置(文件管理装置)11a～11h；以及经由互联网(网络)12与该多个终端装置11a～11h连接的服务器(阻截信息提供服务器)13，文件管理系统10对如个人信息等那样与机密性高、应限制(阻止)流通的重要文件(阻截对象文件)相关的信息在网络上的扩散(流出和泄漏)进行管理，根据需要进行阻止。

终端装置11a～11h均具有相同的功能结构，如图2所示，分别构成为计算机，相应计算机具有：通信控制部14，HDD(Hard Disk Drive，硬盘驱动器)15，CPU(Central Processing Unit，中央处理单元)16，显示部17，输入部18，输入输出接口19，RAM(Random-Access Memory，随机存取存储器)20以及ROM(Read-Only Memory，只读存储器)21。

另外，以下，作为表示终端装置的标号，当有必要确定多个终端装置中的1个终端装置时，使用标号11a～11h，而当指任意的终端装置时，使用标号11。

在该终端装置11中，CPU16通过执行存储在HDD15内的OS(Operating System，操作系统)和各种程序(文件管理程序)，实现各种功能。即，HDD15还存储这些操作系统和程序。

并且，在图2中，为了方便起见，仅图示出与互联网12连接的一个终端装置11。

通信控制部14经由互联网12在与服务器13和其他终端装置11之间收发各种信息，使用例如LAN(Local Area Network，局域网)卡及其驱动器那样的、能使终端装置11与互联网12可通信地连接的已知各种手段来实现。

HDD15是存储包含OS(Operating System，操作系统)的各种程序和数据的存储装置，并作为文件数据存储部(实际数据存储区域)22、管理信息存储部(管理数据存储区域)23以及控制信息存储部24执行功能。

图3是示意性示出存储在作为本发明的一实施方式的文件管理系统中的文件数据存储部和管理信息存储部内的信息的图，图4是示意性示出存储在该管理信息存储部内的管理信息的结构例的图。

文件数据存储部22存储文件(参照图3的标号F1～F5)的文件数据，在图3所示的例子中，存储文件数据Fd1～Fd8这8个文件数据。

并且，HDD15构成为还能存储由多个文件数据构成的复合文件CF(参照图3)，文件数据存储部22存储该复合文件CF的复合文件数据CFd。在图3所示的例子中，复合文件数据CFd由文件数据Fd6～Fd8构成，文件数据存储部22存储这样的复合文件数据CFd。

另外，以下，作为表示文件数据的标号，当有必要确定多个文件数据中的1个文件数据时，使用标号Fd1～Fd8，而当指任意的文件数据时，不使用标号而仅称为文件数据。

文件数据是表示文件的描述部分(实际数据)的数据主体，由文档、图像、影像、声音等的数字数据构成。并且，该文件数据在加密状态下被存储在文件数据存储部22内，由此，可避免通过直接转储(dump)文件数据而能取得描述内容的事态。

并且，该文件数据的加密可使用已知的各种方法。另外，在本实施方式中，采用使用加密密钥来进行加密和解密的加密密钥方式，对各文件数据进行加密。省略关于该加密密钥方式的详细说明。

管理信息存储部23将管理信息Dm与文件数据关联起来存储，在图3所示的例子中，存储管理信息Dm1～Dm8这8个管理信息Dm。

另外，以下在本实施方式中，假定将存储在文件数据存储部22内的所有文件数据与管理信息Dm关联起来存储而进行说明。

管理信息Dm1～Dm8是用于确定文件的管理数据，分别与文件数据关联，在图3所示的例子中，管理信息Dm1与文件数据Fd1关联，管理信息Dm2与文件数据Fd2关联，管理信息Dm3与文件数据Fd3关联，管理信息Dm4与文件数据Fd4关联，管理信息Dm5与文件数据Fd5关联，管理信息Dm6与文件数据Fd6关联，管理信息Dm7与文件数据Fd7关联，管理信息Dm8与文件数据Fd8关联。

另外，以下，作为表示管理信息的标号，当有必要确定多个管理信息中的1个管理信息时，使用标号Dm1～Dm8，而当指任意的管理信息时，使用标号Dm。

然后，文件构成为具有文件数据和与该文件数据关联的管理信息Dm，复合文件CF构成为具有多个文件数据和分别与这些文件数据关联的多个管理信息Dm。

例如，如图3所示，文件F1构成为具有文件数据Fd1和管理信息Dm1，复合文件CF构成为具有多个文件数据Fd6～Fd8和多个管理信息Dm6～Dm8。

并且，管理信息Dm可以象例如在MacOS(注册商标)中使用的资源分支(resource fork)那样，在对应于文件数据而附属于文件自身的状态下被存储在管理信息存储部23内，也可以以数据库的形式存储在管理信息存储部23内。

例如如图4所示，管理信息Dm构成为具有：文件数据解密密钥dma，管理摘要信息dms，管理用时间戳dmt，最大容许代数dmb，已登记代数dmc以及奇偶校验数据dmd。

文件数据解密密钥dma是用于对与管理信息Dm关联且加密的文件数据进行解密的解密密钥(key；密钥)相关的信息，在本实施方式中，将该解密密钥和后述的管理用时间戳dmt在按每比特(bit)进行了“异或”(比特单位“异或”)运算的状态下保存在HDD15(管理信息存储部23)内。由此，由于可将解密密钥隐藏在HDD15(管理信息存储部23)内，因而可阻止解密密钥被容易取得。

管理摘要信息dms是针对存储在文件数据存储部22内的文件数据的、在该文件数据被加密前的状态的摘要(摘要字节串)，例如使用SHA(Secure Hash Algorithm，安全散列算法)-1、MD(Message Digest，消息摘要)2、MD4、MD5等的消息摘要函数(散列函数；摘要函数)来生成。另外，该管理摘要信息dms构成为例如160比特长度的二进制数据(Binary Data)。

并且，在文件数据从原始数据改写了1次以上的情况下，该管理摘要信息dms构成为具有分别与这些改写后的各代的文件数据对应地生成的多个管理摘要信息dms，在图4所示的例子中，在更新了n(n是自然数)次文件数据的情况下，构成为具有第0代管理摘要信息dms-0、第1代管理摘要信息dms-1、第2代管理摘要信息dms-2、第3代管理摘要信息dms-3、...、第n代管理摘要信息dms-n。

另外，以下，作为表示管理摘要信息的标号，当有必要确定多个管理摘要信息中的1个管理摘要信息时，使用在标号dms后附上“-(连字符)”和表示该文件数据的代的数字(0～n)的标号dms-0～dms-n，而当指任意的管理摘要信息时，使用标号dms。

并且，管理摘要信息dms例如在每次改写(更新)文件数据时，例如在其保存时，生成为该时点的文件数据的摘要。

这里，第0代管理摘要信息dms-0表示该文件中的最新的文件数据的摘要，第1代管理摘要信息dms-1表示在改写成最新的文件数据之前的文件数据的摘要，以下，随着表示管理摘要信息dms的代的值(0～n)的增大，表示越为过去改写的文件数据的摘要。即，在本实施方式中，表示代的值为最大的管理摘要信息dms(在图4中是第n代管理摘要信息dms-n)表示该文件中的最早的文件数据的摘要。

管理用时间戳dmt是表示生成了管理摘要信息dms的日期时间的信息(时间戳)。

在有多个管理摘要信息dms的情况下，该管理用时间戳dmt分别与这些管理摘要信息dms关联地配备有多个，在图4所示的例子中，对应于n个管理摘要信息dms，配备有第0代管理用时间戳dmt-0、第1代管理用时间戳dmt-1、第2代管理用时间戳dmt-2、第3代管理用时间戳dmt-3、...、第n代管理用时间戳dmt-n(n是自然数)的n个。

然后，在该图4所示的例子中，第0代管理用时间戳dmt-0与第0代管理摘要信息dms-0关联，第1代管理用时间戳dmt-1与第1代管理摘要信息dms-1关联，第2代管理用时间戳dmt-2与第2代管理摘要信息dms-2关联，第3代管理用时间戳dmt-3与第3代管理摘要信息dms-3关联，...，第n代管理用时间戳dmt-n与第n代管理摘要信息dms-n关联。

最大容许代数dmb是表示文件数据的更新限制(上限)的信息。例如，在最大容许代数dmb表示“10”的情况下，表示对该文件中的文件数据最多可更新10次(n＝10)，并可生成第0代管理摘要信息dms-0～第10代管理摘要信息dms-10。

已登记代数dmc是表示作为管理摘要信息Dms当前配备的代数n(n是自然数)的信息，例如在管理摘要信息Dms由第0代管理摘要信息dms-0～第5代管理摘要信息dms-5构成的情况下，表示“5”。

奇偶校验数据dmd是用于检查构成管理信息Dm的数据的匹配性的信息，例如将构成管理信息Dm的数据分割成比特数(长度)与奇偶校验数据dmd相同比特数(奇偶校验数据长度)的数据，通过“异或”运算将这些分割生成的数据和奇偶校验数据dmd进行比较，对所分割的所有数据分别进行“异或”运算，在这些所有数据的运算结果全部为0(比特0)的情况下，判定为匹配性的检查是“合格(OK)”。

并且，管理信息Dm除了具有上述的文件数据解密密钥dma、管理摘要信息dms、管理用时间戳dmt、最大容许代数dmb、已登记代数dmc和奇偶校验数据dmd以外，还具有在运用文件管理系统10所需要的各种信息，然而为了方便起见，省略其图示，并也省略其说明。

图5是示意性示出存储在作为本发明的一实施方式的文件管理系统中的控制信息存储部内的信息的图，图6是示意性示出存储在该控制信息存储部内的控制信息的结构例的图。

控制信息存储部24将控制信息Dc进行数据库化来存储，在图5所示的例子中，将控制信息Dc1～Dc4这4个控制信息Dc进行数据库化来存储(阻截数据库)。

另外，关于该阻截数据库，可使用分层型数据模型、网络型数据模型、关系数据模型(关系模型)、对象数据模型(对象指向、对象数据库)、卡型数据模型等的已知各种数据模型。

另外，以下，作为表示控制信息的标号，当有必要确定多个控制信息中的1个控制信息时，使用标号Dc1～Dc4，而当指任意的控制信息时，使用标号Dc。

控制信息是与阻截对象文件相关的信息，针对各阻截对象文件而配备，如图6所示，构成为具有文件名dca、文件大小dcb、控制摘要信息dcs、控制用时间戳dct、文件属性信息dcc以及标志dcd。另外，阻截对象文件是如上所述应被限制流通的文件，是应实施后述的预先规定的特定处理的文件。并且，该控制信息Dc在本文件管理系统10中新追加阻截对象文件时被生成并被登记。

文件名dca是表示阻截对象文件的文件名的信息，在本实施方式中，由任意长度的字符串数据构成。另外，一般，文件名有时在该文件在互联网12上流通的过程中被变更(重命名)，因而该文件名dca主要用作在维护时进行确认时的参考。

文件大小dcb是用整数表示阻截对象文件的大小(字节数)的信息。另外，该文件大小dcb也与上述文件名dca一样，主要用作在维护时进行确认时的参考。

控制摘要信息dcs是针对阻截对象文件的文件数据的、在该文件数据被加密之前的状态的摘要(摘要字节串)，与上述的管理摘要信息dms一样，是使用SHA-1、MD2、MD4、MD5等的消息摘要函数来生成的。另外，该控制摘要信息dcs构成为例如160比特长度的二进制数据(BinaryData)，用于由后述的执行部27进行的文件的同一性确认。因此，该控制摘要信息dcs的生成方法有必要与所述的管理摘要信息dms相同。

在阻截对象文件的文件数据从原始数据改写(更新)了1次以上的情况下，该控制摘要信息dcs构成为具有分别与这些所改写的阻截对象文件的各代的文件数据对应生成的多个控制摘要信息dcs，在图6所示的例子中，在更新了m(m是自然数)次阻截对象文件的文件数据的情况下，构成为具有第0代控制摘要信息dcs-0、第1代控制摘要信息dcs-1、第2代控制摘要信息dcs-2、第3代控制摘要信息dcs-3、...、第m代控制摘要信息dcs-m。

另外，以下，作为表示控制摘要信息的标号，当有必要确定多个控制摘要信息中的1个控制摘要信息时，使用在标号dcs后附上“-(连字符)”和表示该文件数据的代的数字(0～m)的标号dcs-0～dcs-m，而当指任意的控制摘要信息时，使用标号dcs。

并且，控制摘要信息dcs例如在每次改写(更新)阻截对象文件的文件数据时，例如在其保存时，生成为该时点的阻截对象文件的文件数据的摘要。

这里，第0代控制摘要信息dcs-0表示该阻截对象文件中的最新的文件数据的摘要，第1代控制摘要信息dcs-1表示在改写成最新的文件数据之前的文件数据的摘要，以下，随着表示控制摘要信息dcs的代的值(0～m)的增大，表示越为过去改写的文件数据的摘要。即，在本实施方式中，表示代的值为最大的控制摘要信息dcs(在图6中是第m代控制摘要信息dcs-m)表示该阻截对象文件中的最早的文件数据的摘要。

控制用时间戳dct是表示生成了控制摘要信息dcs的日期时间的信息(时间戳)。

在有多个控制摘要信息dcs的情况下，该控制用时间戳dct分别与这些控制摘要信息dcs关联而配备有多个，在图6所示的例子中，对应于m个控制摘要信息dcs，配备有第0代控制用时间戳dct-0、第1代控制用时间戳dct-1、第2代控制用时间戳dct-2、第3代控制用时间戳dct-3、...、第m代控制用时间戳dct-m(m是自然数)的m个。

然后，在图6所示的例子中，第0代控制用时间戳dct-0与第0代控制摘要信息dcs-0关联，第1代控制用时间戳dct-1与第1代控制摘要信息dcs-1关联，第2代控制用时间戳dct-2与第2代控制摘要信息dcs-2关联，第3代控制用时间戳dct-3与第3代控制摘要信息dcs-3关联，...，第m代控制用时间戳dct-m与第m代控制摘要信息dcs-m关联。

文件属性信息dcc是表示阻截对象文件的属性的信息，在运用文件管理系统10时使用，例如如图6所示，构成为具有特定处理属性信息a1、比较处理属性信息a2以及有效期间属性信息a3。

图7是用于说明在作为本发明的一实施方式的文件管理系统中使用的控制信息的特定处理属性信息的图，是示出对特定处理属性信息a1进行定义的特定处理定义信息b1的图。

特定处理属性信息a1是在后述的执行部27发现了与阻截对象文件对应的文件(以下有时称为该文件)的情况下，对该文件进行的处理(特定处理)相关的信息。

然后，在本实施方式中，进行“删除”、“不能读取”以及“通报”这3种特定处理中的任一种特定处理，用于确定这些特定处理中的任一方的信息被设定为该特定处理属性信息a1。

这里，“删除”表示将文件数据从文件数据存储部22中删除的删除处理，“不能读取”表示将文件数据变更成不能读取的属性的不能读取处理，“通报”表示通过将电子邮件发送到预定地址等来进行通报的通报处理。

然后，该特定处理属性信息a1例如根据图7所示的特定处理定义信息b1来预先定义。

如图7所示，该特定处理定义信息b1针对多个特定处理，分别将特定处理名和处理内容(参照图7的项目“特定处理名”和“特定处理内容”)与对应于该特定处理的编号(参照图7的项目“编号”)关联起来定义，并且根据需要，对与该特定处理相关的追加信息(参照图7的项目“选项(Options)”)进行定义。

在图7所示的例子中，在特定处理定义信息b1中，特定处理名“删除”与编号“1”关联起来定义。并且同样，特定处理名“不能读取”与编号“2”关联起来定义，变更后的属性(变更后属性)被定义为追加信息。并且同样，特定处理名“通报”与编号“3”关联起来定义，通报目的地的邮件地址被定义为追加信息。

然后，在特定处理属性信息a1中，例如选择性地使用上述编号“1”、“2”和“3”中的任一方，并配备有与所选择的编号对应的追加信息。

另外，在本实施方式中，在特定处理属性a1内，作为通常的特定处理使用特定处理名“删除”，作为与阻截对象文件的重要度对应的特定处理，选择性使用特定处理名“不能读取”或“通报”中的任一方。

图8是用于说明在作为本发明的一实施方式的文件管理系统中使用的控制信息的比较处理属性信息的图，示出对比较处理属性信息a2进行定义的比较处理定义信息b2。

比较处理属性信息a2是用于以下处理的信息：在进行管理摘要信息dms和控制摘要信息dcs的比较处理时，确定进行哪个代的管理摘要信息dms和哪个代的控制摘要信息dcs的比较处理。

然后，在本实施方式中，从“最新一致”、“最新一致”+“派生一致”、“最新一致”+“派生一致”+“过去一致”、以及“最新一致”+“派生一致”+“过去一致”+“共同祖先一致”这4种比较处理中进行任一种比较处理，用于确定这些比较处理中的任一方的信息被设定为该比较处理属性信息a2。

这里，“最新一致”表示将第0代管理摘要信息和第0代控制摘要信息进行比较，“派生一致”表示将第1～第n代管理摘要信息中的任一方和第0代控制摘要信息进行比较。并且，“过去一致”表示将第0代管理摘要信息和第1～第m代控制摘要信息中的任一方进行比较，“共同祖先一致”表示将第1～第n代管理摘要信息中的任一方和第1～第m代控制摘要信息中的任一方进行比较。

然后，“最新一致”+“派生一致”表示进行“最新一致”和“派生一致”的比较处理，“最新一致”+“派生一致”+“过去一致”表示进行“最新一致”、“派生一致”和“过去一致”的比较处理，“最新一致”+“派生一致”+“过去一致”+“共同祖先一致”表示进行“最新一致”、“派生一致”、“过去一致”和“共同祖先一致”的比较处理。

并且，该比较处理属性信息a2是例如根据图8所示的比较处理定义信息b2来预先定义的。

如8图所示，该比较处理定义信息b2针对多个比较处理，分别将比较处理名及其处理内容(参照图8的项目“比较处理名”和“比较处理内容”)和与该比较处理对应的编号(参照图8的项目“编号”)关联起来定义。

另外，并且可以根据需要，对与该多个比较处理相关的追加信息(参照图8的项目“选项(Options)”)进行定义。

在图8所示的例子中，在比较处理定义信息b2中，将比较处理名“最新一致”与编号“1”关联起来定义，将比较处理名“最新一致”+“派生一致”与编号“2”关联起来定义，将比较处理名“最新一致”+“派生一致”+“过去一致”与编号“3”关联起来定义，将比较处理名“最新一致”+“派生一致”+“过去一致”+“共同祖先一致”与编号“4”关联起来定义。

然后，在比较处理属性信息a2中，例如有选择地使用上述的编号“1”、“2”、“3”和“4”中的任一方。

图9是用于说明在作为本发明的一实施方式的文件管理系统中使用的控制信息的有效期间属性信息的图，示出对有效期间属性信息a3进行定义的有效期间定义信息b3。

有效期间属性信息a3是将存储在控制信息存储部24内的控制信息Dc的有效期间或有效次数表示为有效限度信息的信息。

然后，在本实施方式中，“无设定”、“日期”、“期间”和“次数”这4种有效限度信息中的任一方的有效限度信息被设定为该有效期间属性信息a3。

这里，“无设定”表示未设定有效期间或有效次数，“日期”表示在另行设定的日期(例如年月日)之前是有效的。并且，“期间”表示仅在另行设定的期间(例如天数)有效，“次数设定”表示仅有效另行设定的次数(例如利用次数和访问次数)。

并且，该有效期间属性信息a3例如是根据图9所示的有效期间定义信息b3来预先定义的。

如图9所示，该有效期间定义信息b3针对多个有效限度信息，分别将有效限度信息及其限制内容(参照图9的项目“有效限度信息”和“有效期间限制内容”)和与该有效限度信息对应的编号(参照图9的项目“编号”)关联起来定义，并且，根据需要，对与该多个有效限度信息相关的追加信息(参照图9的项目“选项(Options)”)进行定义。

在图9所示的例子中，在有效期间定义信息b3中，将有效限度信息“无设定”与编号“1”关联起来定义。并且，同样，将有效限度信息“日期”与编号“2”关联起来定义，将设定日期定义为追加信息。并且，同样，将有效限度信息“期间”与编号“3”关联起来定义，将设定期间定义为追加信息。并且，同样，将有效限度信息“次数”与编号“4”关联起来定义，将设定次数定义为追加信息。

然后，在有效期间属性信息a3中，例如选择性使用上述的编号“1”、“2”、“3”和“4”中的任一方，并配备有与所选择的编号对应的追加信息。由此，在只要按一定期间或次数进行特定处理即可的情况下，也能应对。

另外，在本实施方式中，超过了所设定的有效期间或有效次数的控制信息Dc可以使用后述的标志dcd来设定为无效状态，也可以从控制信息存储部24中删除。或者，通过从控制信息存储部24中删除，可避免在控制信息存储部24的存储容量等的资源方面的不利。

这些特定处理属性信息a1、比较处理属性信息a2以及有效期间属性信息a3由生成了阻截对象文件的用户等任意设定。

另外，该文件属性信息dcc除了具有特定处理属性信息a1、比较处理属性信息a2和有效期间属性信息a3以外，还具有在UNIX(注册商标)和其他操作系统(OS)中广泛使用的属性信息，然而为了方便起见，省略这些图中的图示，并也省略其说明。

标志dcd是表示控制信息Dc当前是有效状态还是无效状态的信息(标志)，例如，在未超过在有效期间属性信息a3中所设定的有效限度信息的限制的情况下，通过设定“1”来表示有效状态，在超过了在有效期间属性信息a3中所设定的有效限度信息的限制的情况下，通过设定“0”来表示无效状态。另外，关于使用标志dcd来设定为无效状态的控制信息Dc，不进行后述的处理。

CPU16在终端装置11中进行各种数值计算、信息处理和设备控制等，并在本实施方式中，作为管理信息取得部25、控制信息取得部26和执行部27执行功能。

在文件管理系统10中发生了更新事件的情况下，管理信息取得部25取得存储在管理信息存储部23内的管理信息Dm。

在本实施方式中，通过向控制信息存储部24追加控制信息Dc而发生更新事件，伴随于此，管理信息取得部25取得存储在管理信息存储部23内的所有管理信息Dm，并且，通过改写存储在文件数据存储部22内的文件数据、或者向文件数据存储部22追加文件数据而发生更新事件，伴随于此，管理信息取得部25取得与所改写或所追加的文件数据关联的管理信息Dm。

因此，管理信息取得部25始终监视文件管理系统10中的更新事件的发生，在发生了更新事件的情况下，取得管理信息Dm。

在文件管理系统10中如上所述发生了更新事件的情况下，控制信息取得部26取得存储在控制信息存储部24内的控制信息Dc。

在本实施方式中，如上所述通过向控制信息存储部24追加控制信息而发生更新事件，伴随于此，控制信息取得部26取得所追加的控制信息Dc，并且，通过改写存储在文件数据存储部22内的文件数据、或者向文件数据存储部22追加了文件数据而发生更新事件，伴随于此，控制信息取得部26取得存储在控制信息存储部24内的所有控制信息Dc。

因此，控制信息取得部26始终监视文件管理系统10中的更新事件的发生，在发生了更新事件的情况下，取得控制信息Dc。

在由管理信息取得部25所取得的管理信息Dm与由控制信息取得部26所取得的控制信息Dc对应的情况下，执行部27对与对应于控制信息Dc的管理信息Dm关联的文件数据执行特定处理，在本实施方式中，检查与由管理信息取得部25所取得的管理信息Dm关联的文件数据是否是与阻截对象文件相关的信息。

具体地说，执行部27例如将由管理信息取得部25所取得的管理摘要信息dms和由控制信息取得部26所取得的控制摘要信息dcs依次进行比较，检查由管理信息取得部25所取得的管理摘要信息dms是否与由控制信息取得部26所取得的控制摘要信息dcs一致或大致一致。

例如，在通过向控制信息存储部24追加控制信息Dc而发生了更新事件的情况下，执行部27将存储在管理信息存储部23内的所有管理信息Dm分别包含的各管理摘要信息dms和该追加的控制信息Dc内包含的控制摘要信息dcs依次进行比较。并且，在通过改写存储在文件数据存储部22内的文件数据、或者向文件数据存储部22追加文件数据而发生了更新事件的情况下，执行部27将与该所改写或所追加的文件数据关联的管理信息Dm内包含的管理摘要信息dms和存储在控制信息存储部24内的所有控制信息Dc分别包含的各控制摘要信息dcs依次进行比较。

并且，控制摘要信息dcs和管理摘要信息dms的比较是根据与该控制摘要信息dcs关联的控制信息Dc的文件属性信息dcc内包含的比较处理属性信息a2来进行的。

而且，在控制摘要信息dcs和管理摘要信息dms的比较时，根据预先设定的优先顺序进行比较处理。

图10是用于说明在作为本发明的一实施方式的文件管理系统中的控制摘要信息和管理摘要信息的比较处理的优先顺序的例子的图。

在进行控制摘要信息dcs和管理摘要信息dms的比较处理时，例如，在控制信息Dc的文件属性信息dcc内包含的比较处理属性信息a2的编号表示“4”的情况下(即，在比较处理是“最新一致”+“派生一致”+“过去一致”+“共同祖先一致”的情况下)，如图10所示，执行部27首先将第0代控制摘要信息dcs-0和第0代管理摘要信息dms-0进行比较(参照图10的比较顺序“1”)。

然后，执行部27将第0代控制摘要信息dcs-0和第1代以后的管理摘要信息dms(第1代管理摘要信息dms-1～第n代管理摘要信息dms-n)分别依次进行比较(参照图10的比较顺序“2”)，之后，将第1代以后的控制摘要信息dcs(第1代控制摘要信息dcs-1～第m代控制摘要信息dcs-m)分别和第0代管理摘要信息dms-0依次进行比较(参照图10的比较顺序“3”)。

最后，执行部27将第1代以后的控制摘要信息dcs的各方和第1代以后的管理摘要信息dms的各方依次进行比较(参照图10的比较顺序“4”)。

然后，在第0代管理摘要信息dms-0～第n代管理摘要信息dms-n中的任一方与第0代控制摘要信息dcs-0～第m代控制摘要信息dcs-m中的任一方一致或大致一致(以下简称为一致)的情况下，执行部27根据与一致的控制摘要信息dcs关联的控制信息Dc内包含的特定处理属性信息a1，对与一致的管理摘要信息dms关联的文件数据执行“删除处理”、“不能读取处理”和“通报处理”中的任一方作为特定处理。

即，在与一致的控制摘要信息dcs关联的控制信息Dc的文件属性信息dcc内包含的特定处理属性信息a1的编号表示“1”的情况下，执行部27对与一致的管理摘要信息dms关联的文件数据进行“删除处理”，并且，在与一致的控制摘要信息dcs关联的控制信息Dc的文件属性信息dcc内包含的特定处理属性信息a1的编号表示“2”的情况下，执行部27对与一致的管理摘要信息dms关联的文件数据进行“不能读取处理”，并且，在与一致的控制摘要信息dcs关联的控制信息Dc的文件属性信息dcc内包含的特定处理属性信息a1的编号表示“3”的情况下，执行部27对与一致的管理摘要信息dms关联的文件数据进行“通报处理”。

另外，在由多个文件数据(参照图3的标号Fd6、Fd7和Fd8)构成的复合文件数据CFd(参照图3)被存储在文件数据存储部22内的情况下，执行部27对包含与一致的管理信息Dm关联的文件数据的复合文件数据CFd整体执行特定处理。

显示部17显示与终端装置11相关的各种信息，输入部18通过由用户等进行各种输入和操作，将数据和指示内容等输入到终端装置，显示部17构成为具有例如鼠标和键盘。

输入输出接口19用于控制显示部17和输入部18等的输入输出设备。

RAM20用于在CPU16进行各种运算处理时，暂时展开并存储数据和程序，ROM21存储由CPU16执行并处理的程序和各种数据。

服务器13经由互联网12对终端装置11进行管理，构成为具有例如存储装置28。另外，该存储装置可以与服务器13的外部连接。

存储装置28是存储各种信息的装置，例如存储有更新控制信息Du，该更新控制信息Du用于在对分别存储在多个终端装置11a～11h内的控制信息Dc进行更新时，由这些多个终端装置11a～11h参照。另外，该更新控制信息Du由与控制信息Dc相同的信息构成，并例如由用户登记在更新控制信息Du内。

然后，例如在终端装置11中更新了控制信息Dc时，服务器13取得该更新后的控制信息Dc并使其反映在更新控制信息Du上。

并且，终端装置11从服务器13经由互联网12定期地取得更新控制信息Du并使其反映在控制信息Dc上。由此，定期地进行控制信息Dc的更新。

根据图11所示的流程图(步骤A11～A14)说明在如上所述构成的本发明的一实施方式涉及的文件管理系统中执行特定处理的进程。

管理信息取得部25和控制信息取得部26确认在控制信息存储部24是否发生了更新事件(步骤A11)。

例如，在通过向控制信息存储部24追加控制信息Dc而在控制信息存储部24发生了更新事件的情况下(参照步骤A11的“是”路径)，根据追加给该控制信息存储部24的控制信息Dc，对存储在管理信息存储部23内的所有管理信息Dm进行检查(步骤A12)。另外，关于在控制信息存储部24发生了更新事件的情况下的具体检查进程(处理A)，在后面叙述(参照图12)。

另一方面，在控制信息存储部24未发生更新事件的情况下(参照步骤A11的“否”路径)，管理信息取得部25和控制信息取得部26确认在文件数据存储部22是否发生了更新事件(步骤A13)。

例如，在通过改写存储在文件数据存储部22内的文件数据、或者向文件数据存储部22追加了文件数据而在文件数据存储部22发生了更新事件的情况下(参照步骤A13的“是”路径)，根据存储在控制信息存储部24内的所有控制信息Dc，对与所改写或所追加的文件数据关联的管理信息Dm进行检查(步骤A14)。另外，关于在文件数据存储部22发生了更新事件的情况下的具体检查进程(处理B)，在后面叙述(参照图13)。

另一方面，在文件数据存储部22未发生更新事件的情况下(参照步骤A13的“否”路径)，结束处理。

然后，通过重复进行上述步骤A11～A14的处理，管理信息取得部25和控制信息取得部26始终监视文件管理系统10中的更新事件的发生。

然后，根据图12所示的流程图(步骤B11～B15)说明在如上所述构成的本发明的一实施方式涉及的文件管理系统的控制信息存储部发生了更新事件的情况下的具体检查进程(处理A)的例子。

当在控制信息存储部24发生了更新事件时，管理信息取得部25取得存储在管理信息存储部23内的所有管理信息Dm(步骤B11)。

控制信息取得部26取得追加给控制信息存储部24的控制信息Dc，执行部27根据由控制信息取得部26所取得的控制信息Dc的文件属性信息dcc内包含的比较处理属性信息a2，将由管理信息取得部25所取得的管理摘要信息dms和由控制信息取得部26所取得的控制摘要信息dcs依次进行比较，判断是否有一致的管理摘要信息dms和控制摘要信息dcs，即，管理摘要信息dms是否受控制摘要信息dcs的限制(步骤B12)。另外，关于在该执行部27中将管理摘要信息dms和控制摘要信息dcs进行比较的进程(处理C)，在后面叙述(参照图14)。

在未发现与由控制信息取得部26所取得的控制摘要信息dcs一致的管理摘要信息dms的情况下，即，管理摘要信息dms不受控制摘要信息dcs的限制的情况下(参照步骤B13的“否”路径)，执行部27判断为存储在文件数据存储部22内的所有文件数据不是与阻截对象文件相关的信息(步骤B14)，结束处理。

另一方面，在发现了与由控制信息取得部26所取得的控制摘要信息dcs一致的管理摘要信息dms的情况下，即，在管理摘要信息dms受控制摘要信息dcs的限制的情况下(参照步骤B13的“是”路径)，执行部27判断为与跟控制摘要信息dcs一致的管理摘要信息dms关联的文件数据是与阻截对象文件相关的信息，根据一致的控制信息Dc的文件属性信息dcc内包含的特定处理属性信息a1进行特定处理(步骤B15)，结束处理。

下面，根据图13所示的流程图(步骤C11～C15)说明在如上所述构成的本发明的一实施方式涉及的文件管理系统的文件数据存储部发生了更新事件的情况下的具体处理进程(处理B)的例子。

当在文件数据存储部22发生了更新事件时，控制信息取得部26取得存储在控制信息存储部24内的所有控制信息Dc(步骤C11)。

管理信息取得部25取得与所改写或所追加的文件数据关联的管理信息Dm，执行部27根据由控制信息取得部26所取得的控制信息Dc的文件属性信息dcc内包含的比较处理属性信息a2，将由管理信息取得部25所取得的管理摘要信息dms和由控制信息取得部26所取得的控制摘要信息dcs依次进行比较，判断是否有一致的管理摘要信息dms和控制摘要信息dcs，即，管理摘要信息dms是否受控制摘要信息dcs的限制(步骤C12)。另外，关于在该执行部27中将管理摘要信息dms和控制摘要信息dcs进行比较的进程(处理C)，在后面叙述(参照图14)。

在未发现与由控制信息取得部26所取得的控制摘要信息dcs一致的管理摘要信息dms的情况下，即，管理摘要信息dms不受控制摘要信息dcs的限制的情况下(参照步骤C13的“否”路径)，执行部27判断为所改写或所追加的文件数据不是与阻截对象文件相关的信息(步骤C14)，结束处理。

另一方面，在发现了与由控制信息取得部26所取得的控制摘要信息dcs一致的管理摘要信息dms的情况下，即，在管理摘要信息dms受控制摘要信息dcs的限制的情况下(参照步骤C13的“是”路径)，执行部27判断为与和控制摘要信息dcs一致的管理摘要信息dms关联的文件数据是与阻截对象文件相关的信息，根据一致的控制信息Dc的文件属性信息dcc内包含的特定处理属性信息a1进行特定处理(步骤C15)，结束处理。

下面，根据图14所示的流程图(步骤D11～D24)说明在利用如上所述构成的本发明的一实施方式涉及的文件管理系统的执行部来将管理摘要信息和控制摘要信息进行比较的进程。

首先，执行部27取得由管理信息取得部25所取得的管理信息Dm中的一个管理信息Dm内包含的所有管理摘要信息dms(第0代管理摘要信息dms-0～第n代管理摘要信息dms-n)的数据串作为历史数据串，对与所取得的所有管理摘要信息dms对应的第k代管理摘要信息dms-k(k＝0，...，n；k是变量)进行定义(步骤D11)。

然后，执行部27取得由控制信息取得部26所取得的控制信息Dc中的一个控制信息Dc内包含的所有控制摘要信息dcs(第0代控制摘要信息dcs-0～第m代控制摘要信息dcs-m)的数据串作为历史数据串，对与所取得的所有控制摘要信息dcs对应的第s代控制摘要信息dcs-s(s＝0，...，m；s是变量)进行定义(步骤D12)。

然后，执行部27在针对表示第k代管理摘要信息dms-k的代的变量k存储了初始值“0”之后，进行第s代控制摘要信息dcs-s和第k代管理摘要信息dms-k的比较处理(步骤D15)，在对变量k加上增量值“1”的同时，重复进行该比较处理，直到变量k超过终值“n”(步骤D13～D17；循环1)，并在针对表示第s代控制摘要信息dcs-s的代的变量s存储了初始值“0”之后，在对变量s加上增量值“1”的同时，重复进行步骤D15的处理，直到变量s超过终值“m”(步骤D14～D16；循环2)。

即，执行部27将第0代管理摘要信息dms-0～第n代管理摘要信息dms-n的各方和第0代控制摘要信息dcs-0～第m代控制摘要信息dcs-m的各方依次进行比较，判定是否有与第0代控制摘要信息dcs-0～第m代控制摘要信息dcs-m的任一方一致的管理摘要信息dms。

在上述步骤D13～D17的过程中，在第s代控制摘要信息dcs-s和第k代管理摘要信息dms-k一致的情况下(参照步骤D15的“一致”路径)，执行部27根据表示第s代控制摘要信息dcs-s和第k代管理摘要信息dms-k的代的变量s、k、和与第s代控制摘要信息dcs-s关联的控制信息Dc内包含的比较处理属性信息a2，判断第k代管理摘要信息dms-k是否受限制(步骤D19～D24)。

即，在表示第s代控制摘要信息dcs-s和第k代管理摘要信息dms-k的代的变量s、k分别是“0”的情况下(参照步骤D19的“是”路径)，执行部27判断为第k代管理摘要信息dms-k受限制(步骤D23)，结束处理。

并且，在变量s、k中的至少任一方不是“0”的情况下(参照步骤D19的“否”路径)，在变量s是“0”、且与第s代控制摘要信息dcs-s关联的控制信息Dc的文件属性信息dcc内包含的比较处理属性信息a2的编号是“2”的情况下(参照步骤D20的“是”路径)，执行部27判断为第k代管理摘要信息dms-k受限制(步骤D23)，结束处理。

而且，在变量s不是“0”、或者与第s代控制摘要信息dcs-s关联的控制信息Dc的文件属性信息dcc内包含的比较处理属性信息a2的编号不是“2”的情况下(参照步骤D20的“否”路径)，在变量k是“0”、且与第s代控制摘要信息dcs-s关联的控制信息Dc的文件属性信息dcc内包含的比较处理属性信息a2的编号是“3”的情况下(参照步骤D21的“是”路径)，执行部27判断为第k代管理摘要信息dms-k受限制(步骤D23)，结束处理。

并且，在变量k不是“0”、或者与第s代控制摘要信息dcs-s关联的控制信息Dc的文件属性信息dcc内包含的比较处理属性信息a2的编号不是“3”的情况下(参照步骤D21的“否”路径)，在与第s代控制摘要信息dcs-s关联的控制信息Dc的文件属性信息dcc内包含的比较处理属性信息a2的编号是“4”的情况下(参照步骤D22的“是”路径)，执行部27判断为第k代管理摘要信息dms-k受限制(步骤D23)，结束处理。

而且，在与第s代控制摘要信息dcs-s关联的控制信息Dc的文件属性信息dcc内包含的比较处理属性信息a2的编号不是“4”的情况下(参照步骤D22的“否”路径)，判断为第k代管理摘要信息dms-k不受限制(步骤D24)，结束处理。

另一方面，重复进行了上述步骤D13～D17的处理的结果，在没有与第0代控制摘要信息dcs-0～第m代控制摘要信息dcs-m中的任一方一致的管理摘要信息dms的情况下(参照步骤D15的“不一致”路径)，执行部27确认是否有还未进行比较处理的管理信息Dm和控制信息Dc的组合(步骤D18)，在有未进行比较处理的组合的情况下(参照步骤D18的“有”路径)，回到步骤D11，在没有未进行比较处理的组合的情况下(参照步骤D18的“无”路径)，结束处理。

这样，根据作为本发明的一实施方式的文件管理系统10，在与存储在文件数据存储部22内的文件数据关联的管理摘要信息dms和与阻截对象文件相关的控制摘要信息dcs一致的情况下，通过对与一致的管理摘要信息dms关联的文件数据执行“删除处理”、“不能读取处理”和“通报处理”中的任一方作为特定处理，可阻止与阻截对象文件相关的信息在网络上的扩散。

并且，在第0代管理摘要信息dms-0～第n代管理摘要信息dms-n中的任一方与第0代控制摘要信息dcs-0～第m代控制摘要信息dcs-m中的任一方一致的情况下，通过对与一致的管理摘要信息dms关联的文件数据执行“删除处理”、“不能读取处理”和“通报处理”中的任一方作为特定处理，不仅可阻止与阻截对象文件相关的信息、而且还可阻止与改变阻截对象文件而得到的复制文件相关的信息在网络上的扩散。

而且，通过执行“删除处理”作为特定处理，能可靠地阻止与阻截对象文件和复制文件相关的信息在网络上的扩散。

〔2〕其他

另外，本发明不限于上述实施方式，可在不背离本发明主旨的范围内进行各种变形来实施。

例如，在上述实施方式中，通过向控制信息存储部24追加控制信息Dc、或者改写存储在文件数据存储部22内的文件数据、或者向文件数据存储部22追加文件数据而发生更新事件，然而不限于此，例如，可以这样构成：通过使终端装置11(文件接收侧)从另一终端装置11(文件提供侧)经由互联网12接收管理信息Dm而在接收到管理信息Dm的终端装置11中的管理信息取得部25和控制信息取得部26发生更新事件。

另外，在以下说明中，假定将接收管理信息Dm的终端装置11称为接收侧终端装置11R，并将发送管理信息Dm的另一终端装置11称为发送侧终端装置11S。

图15是用于说明在作为本发明的一实施方式的变形例的文件管理系统中使用的控制信息的特定处理属性信息的图，是示出对特定处理属性信息a1’进行定义的特定处理定义信息b1’的图。

在该情况下，控制信息Dc的文件属性信息dcc内包含的特定处理属性信息a1’(省略图示)是根据图15所示的特定处理定义信息b1’来预先定义的。

在图15所示的例子中，在特定处理定义信息b1，中，将上述编号“1”、“2”和“3”分别与对应于它们各方的特定处理名“删除”、“不能读取”和“通报”关联起来定义，并且，将编号“4”与特定处理名“发送源删除”关联起来定义，将编号“5”与特定处理名“发送源延迟删除”关联起来定义。

这里，“发送源删除”表示立即删除发送源的文件的发送源删除处理，“发送源延迟删除”表示在将可确定发送源的文件的信息暂时记录在日志内之后通过手动或批处理等一并删除发送源的文件的发送源延迟删除处理。

由此，在特定处理属性信息a1’中，例如选择性使用上述编号“1”、“2”、“3”、“4”和“5”中的任一方，并配备有与所选择的编号对应的追加信息。

然后，在接收侧终端装置11R接收到管理信息Dm的情况下，接收侧终端装置11R的管理信息取得部25取得接收到的管理信息Dm，接收侧终端装置11R的控制信息取得部26取得存储在控制信息存储部24内的所有控制信息Dc。

之后，在由管理信息取得部25所取得的管理信息Dm与由控制信息取得部26所取得的控制信息Dc一致的情况下，接收侧终端装置11R的执行部27根据控制信息Dc的文件属性信息dcc内包含的特定处理属性信息a1’，执行“发送源删除”和“发送源延迟删除”中的任一方作为特定处理。

以下，根据图16所示的流程图(步骤S11～S19和步骤R11～R19)说明在本发明的一实施方式的变形例涉及的文件管理系统中从发送侧终端装置向接收侧终端装置发送文件数据和管理信息的处理进程。

首先，进行发送侧终端装置11S的操作的用户和进行接收侧终端装置11R的操作的用户通过使发送侧终端装置11S和接收侧终端装置11R分别与互联网12可通信地连接，确保发送侧终端装置11S和接收侧终端装置11R的通信路径(步骤S11和步骤R11)。另外，在该情况下，发送侧终端装置11S可以将包含比较处理属性信息a2的信息发送到接收侧终端装置11R。

然后，发送侧终端装置11S和接收侧终端装置11R分别针对表示与应发送的文件数据(以下称为发送文件数据)关联的第k代管理摘要信息dms-k(k是变量)的代的变量k存储初始值“0”(步骤S12和步骤R12)。

然后，发送侧终端装置11S将与发送文件数据关联的第k代管理摘要信息dms-k发送到接收侧终端装置11R(步骤S13)，等待直到接收来自后述的接收侧终端装置11R的检查结果。

接收到第k代管理摘要信息dms-k的接收侧终端装置11R(步骤R13)进行第k代管理摘要信息dms-k和存储在控制信息存储部24内的所有控制摘要信息dcs的比较处理，检查是否有与第k代管理摘要信息dms-k一致的控制摘要信息dcs(步骤R14)。

在有与第k代管理摘要信息dms-k一致的控制摘要信息dcs的情况下，接收侧终端装置11R将表示有与第k代管理摘要信息dms-k一致的控制摘要信息dcs的“拒绝响应”作为检查结果发送到发送侧终端装置11S(步骤R15)，发送侧终端装置11S接收该“拒绝响应”(步骤S14)。

另一方面，在没有与第k代管理摘要信息dms-k一致的控制摘要信息dcs的情况下，接收侧终端装置11R将表示没有与第k代管理摘要信息dms-k一致的控制摘要信息dcs的“肯定响应”作为检查结果发送到发送侧终端装置11S(步骤R15)，发送侧终端装置11S接收该“肯定响应”(步骤S14)。

在接收侧终端装置11R将“拒绝响应”作为检查结果进行了发送的情况下(参照步骤R16的“否”路径)，接收侧终端装置11R不接收发送文件数据而结束处理。

另一方面，在接收侧终端装置11R将“肯定响应”作为检查结果进行了发送的情况下(参照步骤R16的“是”路径)，接收侧终端装置11R等待直到接收来自后述的发送侧终端装置11S的状态。

并且，在发送侧终端装置11S将“拒绝响应”作为检查结果进行了接收的情况下(参照步骤R15的“否”路径)，发送侧终端装置11S不将发送文件数据进行发送而结束处理。这里，在与一致的控制摘要信息dcs关联的控制信息Dc的文件属性信息dcc内包含的特定处理属性信息a1’表示“4”的情况下，发送侧终端装置11S的执行部27删除存储在发送侧终端装置11S的文件数据存储部22内的发送文件数据(发送源的文件数据)。

另一方面，在发送侧终端装置11S将“肯定响应”作为检查结果进行了接收的情况下(参照步骤S15的“是”路径)，发送侧终端装置11S判定是否剩有未进行比较处理的管理摘要信息dms。

在剩有未进行比较处理的管理摘要信息dms的情况下，发送侧终端装置11S将表示剩有未进行比较处理的管理摘要信息dms的状态“是”发送到接收侧终端装置11R(步骤S16)，接收侧终端装置11R接收该状态“是”(步骤R17)。

另一方面，在未剩有未进行比较处理的管理摘要信息dms的情况下，发送侧终端装置11S将表示未剩有未进行比较处理的管理摘要信息dms的状态“否”发送到接收侧终端装置11R(步骤S16)，接收侧终端装置11R接收该状态“否”(步骤R17)。

在发送侧终端装置11S发送了状态“是”的情况下(参照步骤S17的“是”路径)，发送侧终端装置11S使变量k加上增量值“1”(步骤S18)，回到步骤S13的处理。

另一方面，在发送侧终端装置11S发送了状态“否”的情况下(参照步骤S17的“否”路径)，发送侧终端装置11S将发送文件数据发送到接收侧终端装置11R(步骤S19)，结束处理。

并且，接收侧终端装置11R在接收到状态“是”的情况下(参照步骤R18的“是”路径)，回到步骤S13的处理。

另一方面，接收侧终端装置11R在接收到状态“否”的情况下(参照步骤R18的“否”路径)，接收来自发送侧终端装置11S的发送文件数据(步骤R19)，结束处理。

另外，在上述实施方式中，作为网络一例说明了使用互联网12的例子，然而不限于此，可以使用内网(intranet)、外网(extranet)、LAN(LocalArea Network，局域网)等的已知各种网络。

并且，在上述实施方式中，对文件数据执行了特定处理，然而不限于此，可以对包含管理信息Dm的文件整体执行特定处理。

而且，在上述实施方式中，进行了“删除”、“不能读取”和“通报”这3种特定处理中的任一特定处理，然而不限于此，可以将使“删除”、“不能读取”和“通报”组合后的处理作为特定处理来执行。

并且，在上述实施方式中，将文件数据存储在文件数据存储部22内，并将管理信息Dm存储在管理信息存储部23内，然而不限于此，可以将文件数据和管理信息Dm存储在一个存储区域内。

而且，在上述实施方式中，说明了终端装置11的HDD15作为控制信息存储部24执行功能的例子，然而不限于此，例如，可以这样构成：服务器13的存储装置28作为控制信息存储部24执行功能，并且在每次终端装置11发生更新事件时，经由互联网12访问存储装置28。

并且，在上述实施方式中，文件属性信息dcc由整数值和字符串的组合表示，然而不限于此，文件属性信息dcc可以由任意长度的字符串数据表示。

而且，在上述实施方式中，作为特定处理执行了“删除”、“不能读取”和“通报”中的任一方，然而不限于此，可以将能禁止与阻截对象文件相关的信息的流通的已知各种处理作为特定处理来执行。

并且，在上述实施方式中，说明了使终端装置11与服务器13在线连接、并且该终端装置11参照更新控制信息Du来更新控制信息Dc的例子，然而不限于此，例如，可以从阻截信息提供机构等的规定机构定期寄送存储介质并由操作者手动进行更新，并且终端装置11可以不具有控制信息存储部24，而将更新控制信息Du用作控制信息Dc。

而且，在上述实施方式中，说明了由于向文件数据存储部22追加了文件数据而发生更新事件的例子，然而不限于此，例如，可以如文件系统的安装那样，由于新追加了文件数据存储部22’(省略图示)而发生更新事件，在该情况下，管理信息取得部25取得分别与存储在所追加的文件数据存储部22’内的所有文件数据对应的管理信息Dm。

图17是示意性示出在本发明的一实施方式的变形例涉及的文件管理系统中使用的管理摘要信息和控制摘要信息的结构例的图。

并且，在上述实施方式中，说明了将文件数据的摘要用作管理摘要信息和控制摘要信息的例子，然而不限于此，例如，如图17所示，可以除了摘要(参照图17所示的项目“实际摘要串”)以外，还设定用于确定文件数据内容的关键字(参照图17所示的项目“关键字”)，由此，可避免由于不是与阻截对象文件相关的信息的文件数据的摘要偶然一致而误阻止流出的事态。

然后，终端装置11的CPU16执行文件管理程序，从而作为这些管理信息取得部25、控制信息取得部26和执行部27执行功能。

另外，用于实现这些管理信息取得部25、控制信息取得部26和执行部27的功能的程序(文件管理程序)是以记录在例如软盘、CD(CD-ROM、CD-R、CD-RW等)、DVD(DVD-ROM、DVD-RAM、DVD-R、DVD+R、DVD-RW、DVD+RW等)、磁盘、光盘、光磁盘等的计算机可读取的记录介质内的形式来提供的。然后，计算机从该记录介质中读取程序并将其传送到内部存储装置或外部存储装置进行存储并使用。并且，可以将该程序记录在例如磁盘、光盘、光磁盘等的存储装置(记录介质)内，从该存储装置经由通信路径提供给计算机。

在实现管理信息取得部25、控制信息取得部26和执行部27的功能时，存储在内部存储装置内的程序由计算机的微处理器执行。此时，记录在记录介质内的程序可以由计算机读取并执行。

另外，在本实施方式中，计算机是包含硬件和操作系统的概念，意味着在操作系统的控制下进行动作的硬件。并且，在不需要操作系统而单独使用应用程序使硬件动作的情况下，该硬件自身相当于计算机。硬件至少具有CPU等的微处理器、以及用于读取记录在记录介质内的计算机程序的单元，在本实施方式中，终端装置11具有计算机的功能。

而且，作为本实施方式中的记录介质，除了上述的软盘、CD、DVD、磁盘、光盘、光磁盘以外，还可利用IC卡、盒式ROM、磁带、穿孔卡、计算机的内部存储装置(RAM和ROM等的存储器)、外部存储装置等、印刷有条形码等符号的印刷物等的计算机可读取的各种介质。

另外，在公开了本发明的各实施方式的情况下，本发明能由本领域技术人员实施并制造。

产业上的可利用性

可应用于不应在网络上流通的各种信息。