信息处理装置、信息处理方法以及信息处理系统与流程

本发明涉及信息处理装置、信息处理方法以及信息处理系统，具体涉及生成使用履历信息的信息处理装置、信息处理方法以及信息处理系统。

背景技术：

复合机以及公用终端等可以共同使用的信息处理装置中，通常记录关于常用操作的工作日志和用于访问管理的访问日志，用以把这种使用履历信息与经过登录处理的用户识别名一起保存，以便日后在需要时供具有监察权限的监察者阅览。

尽管取决于企业、大学、机关等组织的方针，但是在大多数情况下，上述用户识别名中通常含有能够作个人推断的姓名或职工编号等信息。而且由于全盘信赖上述监察者，无论使用履历信息的利用目的为何，有可能包含个人隐私信息的用户识别名也经常不经任何改动地用于其中。

如果上述信息处理装置的运行以为安检目的，并在严格的安全管理下，受到可以信赖的监察者的监察，则不会有问题。然而，信息处理装置的运行通常并不是在外部安全威胁小的环境之中，或者并不是以安检而是以掌握整体使用状况等为目的且没有必要推断利用者的运行，再或是在普通的系统管理者等而不是在负有责任的监察者管理之下运行，进而还有可能在没有管理者的状态下运行。这样的运行，如果使用履历信息中包含可能含有个人信息的用户识别名，则万一管理缺陷致使使用履历信息泄密时，便会发生安全危机。

在关于个人信息的处理问题上，专利文献1(JP特开2014-229039号公报)公开一种用于保护个人隐私的技术方案，该方案提供一种用于收集含有个人信息的数据并将该数据送往用户终端的信息提供装置，其中用多个参数实行 数据转换处理，用以保护个人信息。

但是，上述专利文献1公开的技术方案是关于利用数据的二次处理进行个人信息匿名处理的技术。因此，其中包含作为原始数据的个人信息，为此，在发生信息泄密时，从保护个人信息的观点出发，这样的处理依然不够充分。

技术实现要素：

本发明鉴于上述问题，提出以下技术方案，其目的在于，提供一种不但能够减少非公开识别名的泄密危险，同时还能够用用户识别名进行推断的方式来保存使用履历信息的信息处理装置。

为了达到上述目的，本发明提供一种信息处理装置，其中具有：存储部，用于保存能够使用该信息处理装置的用户的登录识别名、以及定义该登录识别名公开与否的公开信息；生成部，用于生成使用履历信息，该使用履历信息用所述公开信息允许公开的所述登录识别名、或者以所述公开信息不允许公开所述登录识别名时经过匿名处理的识别名为用户识别名；以及，保存部，用于保存所述生成部生成的所述使用履历信息。

本发明的效果在于，不但能够减少非公开识别名的泄密危险，同时还能够用用户识别名进行推断的方式来保存使用履历信息

附图说明

图1是本实施方式涉及的日志管理系统的示意图。

图2是第一实施方式涉及的复合机的功能模块图。

图3是第一实施方式的复合机的操作部上显示的一例用户信息登录画面的示意图。

图4是第一实施方式的复合机实行的用户信息登录/更改处理的流程图。

图5是经过图3所示的用户信息登录画面上的操作后登录的用户信息表的一例数据构造示意图。

图6是第一实施方式的复合机实行的登录认证以及工作实行中的日志生成处理时序图。

图7是经过基于第一实施方式涉及的日志公开许可设定的日志生成处理后保存到日志保存部中的日志的数据构造的示意图。

图8是第二实施方式的复合机实行的用户信息登录/更改处理流程图。

图9是经过基于第二实施方式的日志公开许可设定的日志生成处理后保存到日志保存部中的日志的数据构造示意图。

图10是第三实施方式的复合机的功能模块图。

图11是第三实施方式涉及的复合机实行的登录处理流程图。

图12是复合机的硬件构成示意图。

具体实施方式

以下详述上述本发明特征。但是本发明并不受到以下述的实施方式的限制。在以下描述的实施方式中用信息设备和日志管理系统100为例描述信息处理装置和信息处理系统。

图1是本实施方式涉及的日志管理系统100的示意图。图1所示的日志管理系统100是用户操作的对象，信息设备作为记录用户的使用履历信息(以下简称为日志)，其中仅包含复合机110和信息终端112.

复合机110是用于向用户提供打印、扫描、复印、传真等各种图像服务的信息设备。信息终端112是向用户提供公共服务，或电影或音乐会的售票服务的信息设备。

图1以复合机110和信息终端112作为用户利用对象的信息设备，但是，本发明中作为用户利用对象的信息设备并不受此限制，除此之外，还有激光打印机等图像形成装置、扫描仪等图像读取装置、传真机等图像通信装置、投影仪等影像投影装置、影像显示装置、服务器装置、电子会议装置、电子黑板、携带信息终端、摄像装置、自动售货机、医疗设备、电源装置、空调系统、煤气、自来水以及电力等的测量装置、冰箱或洗衣机等网络家用电器设备等，任何多个用户共用的信息设备均可用来作为用户利用对象的信息设备。

图1还显示供监察者操作的监察者终端190，用来监察复合机110和信息终端112等信息设备。典型的监察者终端190为桌面型计算机、笔记本计算机、携带式计算机等通用计算机或携带信息终端。

复合机110、信息终端112以及监察者终端190分别连接网络102，互相之间可以经由网络通信。对于网络102并没有特别的限定，可以用有线、无线，或者混合的局域网络以及互联网，或者至少包含其中一方。

如上所述，图1所示的复合机110或信息终端112等信息设备中记录有关利用者日常操作的工作日志或访问管理的访问日志等日志。监察者可以通过操作监察者终端190，访问复合机110或信息终端112等的信息设备，阅览信息设备中积累的日志。

上述日志中记录了经过登录处理的用户识别名以及操作内容或实行内容。关于用户识别名，虽然取决于组织机构的方针，但用登录名作用户识别名，有可能使用包含能够推断个人的姓名或职工编号等，而有的用户不希望日志中包含这种能够用来推断个人的信息。相反，如果完全不包含可以用来识别用户的信息，则日后监察者追踪时会发生困难。

对此，本实施方式的日志管理系统100的复合机110和信息终端112等信息设备中预先保存能够利用该设备的用户的姓名等登录识别名、以及定义该登录识别名公开与否的公开信息。而后在生成日志时，用上述公开信息允许公开的登录识别名作为用户识别名，或者在上述公开信息不允许公开登登录识别名时用经过匿名处理的识别名作为用户识别名，来生成并保存日志。

这样不但能够降低不允许公开(以下也称为非公开)的识别名发生泄密的风险，而且还能够用以用户识别名来追踪的方式保存日志。

以下参考图2至图7，详述本发明第一实施方式涉及的日志管理系统100基于登录识别名的日志公开许可设定以及日志日志公开许可设定的日志生成功能。图2是第一实施方式涉及的复合机110的功能模块图。以下以复合机110作为信息设备，但是对于出复合机110以外的其他信息设备，也可以通过增删图2所示的功能模块200的功能部的得到实现。

图2所示的复合机110的功能模块200具有通信部202、扫描部204、打印部206、操作部208、基本处理部210、日志生成处理部220、以及用户信息管理部230。图2中还显示日志保存部222和用户信息表232。

通信部202具有网络接口卡(NIC)等，用于复合机110与网络102之间的连接。本实施方式中的通信部202用来接受来自监察者终端190上的浏览器或管理工具等的日志阅览要求，并对此应答日志。扫描部204具有图像读取单 元，用于实行复印、扫描等图像处理服务中的图像读取处理。打印部206具有图像形成单元，用于实行复印、打印等图像处理服务中的图像形成处理。操作部208具有供复合机110的用户操作的触摸面板等，提供用户接口，受理操作者发送的如面板上的登录操作、工作实行指示、退出操作等各种操作输入。基本处理部210用于实行包含通信部202、扫描部204、打印部206、操作部208等作为复合机的基本功能在内的整体控制。

图2所示的复合机110具备通信部202、扫描部204、打印部206、以及操作部208，但是本发明的信息设备具有的构成并不受此限制。例如，信息设备还可以具备传真部等其他功能部，或不具备上述功能部中的一部分功能。信息设备可以根据特殊用途或产品设计设置应有的功能。

基本处理部210在发生需要记录日志的规定事件时，对日志生成处理部220发行日志生成要求。例如，当操作部208上发生用户的登录操作、工作实行操作、退出操作等时，基本处理部210发行与登录、工作实行、退出对应的日志生成要求，而当通信部202、扫描部204以及打印部206等发生故障时，对日志生成处理部220发行与发生的故障对应的日志生成要求。

日志生成处理部220按照基本处理部210发行的日志生成要求，生成与登录的用户识别名对应的日志，并保存到日志保存部222中。日志保存部222中保存基于复合机110中各种操作或事件发生的各种日志，构成本实施方式的保存部，用来保存日志生成处理部220生成的日志。关于与日志对应的用户识别名将在以下详述。

用户信息管理部230管理有关日志生成的用户的信息，将用户信息写入用户信息表232，或者从用户信息表232读取用户信息。用户信息管理部230根据用户通过操作部208收到的用户信息登录要求以及用户信息更改要求，改写用户信息表232的内容。

用户信息管理部230管理用户信息表232，该用户信息表232中记录关于日志生成的用户信息。在本实施方式中用户信息登录要求和用户信息更改要求中包含姓名或职工编号等登录识别名公开与否的选择。用户信息表232中保存一个以上有可能利用该复合机110的用户的每个人的登录识别名、以及定义该登录识别名公开与否的公开信息。用户信息表232构成本实施方式的存储部。

本实施方式中用姓名作为登录识别名，但是本发明并不受此限制。除此 之外，例如职工编号、会员编号、顾客识别标记、账户识别标记、电子邮件地址识别标记、电话号码等任意能够识指定用户的信息均可以作为登录识别名。

以下参考图3所示的图形用户接口(GUI)、图4所示的流程图、以及图5所示的用户信息表的数据构成，描述用户信息管理部230实行的用户信息登录/更改处理。

图3是第一实施方式的复合机110的操作部208上显示的一例用户信息登录画面的示意图。图3显示的是用于新登录用户的用户信息登录画面，而用于更改用户登录内容的用户信息更改画面具有相同的构成。

图3所示的用户信息等画面300上具有用来供用户输入自己姓名的文字输入框302、用户输入自己的假名的文字输入框304、用户选择日志公开某个信息的按钮306、登录按钮308、以及取消按钮310。图3所示的按钮306包含选择在日志中公开姓名的“姓名”按钮306a、在日志中公开假名的“假名”按钮306b、选择在日志中既不公开姓名也不公开假名的“非公开”按钮306c。

在文字输入框302、304中输入信息，选择“姓名”按钮306a的状态下，按动登录键308后，该用户被设定为允许公开姓名作为用户识别名。而在选择“假名”按钮306b的状态下按动登录键308后，该用户被设定为不允许公开姓名，但允许公开假名用来作为用户识别名。进而，在选择非公开按钮306c的状态下按动登录键308，该用户被设定为姓名和假名均不允许公开。此时，姓名和假名均不能用作为用户识别名，而只能设定用“Anonymous”等表示是匿名的字符作为用户识别名。

本实施方式中姓名是公开与否的首要控制的登录识别名，当选择姓名为非公开时，假名是公开与否的次要控制的伪称。伪称虽然尚未满足非连结性，但是不能唯一地推断某个个人，具有匿名性质，在本实施方式中经过匿名处理的识别名包含假名。“Anonymous”等表示是匿名的字符，被赋予给非确定多数，使得飞确定多数的用户具有相同识别名“Anonymous”，为此“Anonymous”具有高度的匿名性，在本实施方式中经过匿名处理的识别名包含“Anonymous”。

图4是第一实施方式的复合机110实行的用户信息登录/更改处理的流程图。图3所示的用户信息登录画面300中的登录键308受到按动后开始图4所示 的处理。在步骤S101中，复合机110中的用户信息管理部230实行用户信息登录/更新处理。在步骤S101中，根据图3所示的用户信息登录画面300的内容，日志名以外的用户信息被写入用户信息表232中。

图5显示经过图3所示的用户信息登录画面300上的操作后登录的用户信息表232的一例数据构造。如图5所示，用户信息表232具有一个以上记录，其中包含用户编码、日志名、姓名、假名、公开信息各个项目。

用户编码是分配给用户的固有编码。该复合机110内部用该用户编码来管理用户使用过程。图2所示的基本处理部210用用户编码来管理打印、扫描等各项工作，该用户编码作为参数之一受到指定，对日志生成处理部220发行日志生成要求。

日志名是记录在日志上的用户识别名。姓名是用来记录上述用户信息登录画面300上的文字输入框302中被作为登录识别名输入的姓名的项目。假名是用来记录上述用户信息登录画面300上文字输入框304中被作为伪名输入的假名的项目。公开信息是用来记录与上述用户信息登录画面300上按钮306中的选择对应的值。日志名可以随着公开信息的项目的值改变。

返回图4，在步骤S102，复合机110中判断输入的公开信息是否是“姓名”。如果步骤S102中，判断公开信息不是“姓名”(S102的否)，则进入步骤S103的处理。在步骤S103，复合机110进一步判断公开信息是否是“假名”。

在步骤S103，如果判断就公开信息不是“假名”(S103的否)，则进入步骤S104的处理。在步骤S104，复合机110通过用户信息管理部230，将用户信息表232的对应用户的日志名设定为表示是匿名的字符“Anonymous”。而后结束处理。

而如果在步骤S103，判断公开信息为“假名”(S103的是)，则进入步骤S105的处理。在步骤S105，复合机110通过用户信息管理部230将用户信息表232的对应用户的日志名设定为保持假名的项目中的值，而后结束处理。

而如果在步骤S102，判断公开信息为“姓名”(S102的是)，则进入步骤S106的处理。在步骤S106，复合机110通过用户信息管理部230，将用户信息表232中对应用户的日志名设定为记录姓名的项目中的值，而后结束处理。

图5显示一例保持四名用户信息的用户信息表232。在图5中经过登录的用户为“铃○一郎”、“太◇次郎”、“山三郎”、“船■四郎”共计四名。其中，“铃 ○一郎”认为可以公开姓名，因而用日志公开按钮306选择姓名306a，进行用户登录。为此，公开信息保持“姓名”的值。“太◇次郎”和“船■四郎”的姓名和假名不希望被公开，为此选择非公开306c来进行用户登录。“山三郎”认为可以公开假名，因而用日志公开按钮306选择假名306b，进行用户登录。为此，公开信息保持“假名”的值。

对此，如图5所示，“铃○一郎”选择公开姓名，因而日志名上复制了姓名栏的值“铃○一郎”。“太◇次郎”和“船■四郎”因不允许公开，因此被设定为表示是匿名的“Anonymous”。“山三郎”则在日志名上复制了伪名即假名的值“YAMASAN”。

如上所述，通过用户信息登录或更改时的处理，可以在用户信息表232中保存允许公开时的登录识别名(姓名)、允许公开时的伪名(假名)、定义登录识别名公开与否以及伪名公开与否的公开信息。对于登录识别名和伪名均为非公开的用户，设定表示是匿名的字符“Anonymous”作为用于用户的用户识别名，保存到用户信息表232中。

以下参考图6，进一步详述基于登录识别名的日志公开与否设定的日志生成处理。图6是第一实施方式的复合机110实行的登录认证时以及工作实行时的日志生成处理的时序图。步骤S201至步骤S207所示的处理表示登录认证时的日志生成处理。步骤S301至步骤S306所示的处理表示认证后工作实行时的日志生成处理。

例如用户操作操作部208实行登录操作后开始图6所示的处理。在步骤S201，基本处理部210受理通过操作部208的操作者登录操作。在步骤S202，基本处理部210根据登录操作输入的登录名和密码等认证信息，实行用户的认证。在此设定用户认证成功。

在步骤S203，基本处理部210对用户信息表232发行登录处理涉及的用户编码的取得要求，取得用户编码。该用户编码在之后的到退出之前的期间中用于管理用户使用过程。在步骤S204，基本处理部210对日志生成处理部220发行用户编码以及日志生成要求，用来记录本登录操作的日志。

在步骤S205，日志生成处理部220对用户信息表230发行与用户编码对应的日志名的取得要求，取得日志名。在步骤S206，日志生成处理部220用取得的日志名生成日志，在步骤S207，将生成的日志保存到日志保存部222。

图6还显示了登录之后对应于工作实行操作的处理。例如用户通过复合机110的操作部208发出复印等工作实行操作后开始图6所示的处理。在步骤S301，基本处理部210受理用户通过操作部208的工作实行操作。在步骤S302，基本处理部208实行要求实行的工作。在此设定要求实行的工作成功结束。在步骤S303，基本处理部210对日志生成处理部220发行用户编码以及日志生成要求，用来表示记录本工作实行成功的日志。

在步骤S304，日志生成处理部220对用户信息表232发行与用户编码对应的日志名的取得要求，取得日志名。在步骤S305，日志生成处理部220用取得的日志名生成日志，在步骤S306，将生成的日志保存到日志保存部222。

图7是经过基于第一实施方式涉及的日志公开许可设定的日志生成处理后保存到日志保存部222中的日志的数据构造示意图。其中，图7的(a)图假设所有用户允许公开自己的姓名(即相当于未实行日志公开许可设定)的一例日志。而图7的(b)图则是根据图4所示的用户信息表232生成的日志。

日志构成为具有一条以上的记录，其中包含日志的发生时间、用户的日志名、事件以及结果。比较图7的(a)图和(b)图可知，“铃○一郎”与普通的日志相同，因而能够进行过程的追踪。而“山三郎”只能够用假名进行使用过程追踪。

如上所述，用日志生成处理部220生成的日志中，以公开信息中允许公开的登录识别名(姓名)为用户识别名，或者在公开信息中不允许公开登录识别名时以经过匿名处理的识别名(假名或字符“Anonymous”)为用户识别名。

上述构成不仅能够降低非公开识别名的泄密风险，而且能够在一定程度上以利用用户识别名进行追踪的方式保存日志。这样生成的日志，不需要公开姓名等登录识别名，便能够进行与人物对应的使用过程追踪。进而，生成的日志本身不包含不允许公开的识别名，因而，即便用其他方式制作日志的复制文件或备用文件，也不会因这些文件的管理不力等造成非公开的识别名发生泄密危险。

上述第一实施方式中登录识别名和假名均为非公开时的用户在日志中均以相同字符记录。例如图7中“太◇次郎”和“船■四郎”均以字符“Anonymous”记录，这样便无法判断，例如10：12数据删除、10：20数据登记、10：21数 据传送是否是同一个系列的操作。

对此，第二实施方式描述如何正确追踪登录识别名和假名均为非公开的用户，对此以下参考图8和图9详述。在以下的描述中不再重复第二实施方式与第一实施方式相同之处，而着重描述二者之间的不同之处。

图8是第二实施方式的复合机110实行的用户信息登录/更改处理的流程图。图8所示的处理与第一实施方式相同，用户信息登录画面300中的登录键308受到按动后开始图8所示的处理。

在步骤S401，复合机110实行用户信息登录/更新处理。在步骤S402，复合机110判断输入的公开信息是否是“姓名”。如果S402中公开信息不是“姓名”(S402的否)，则进入步骤S403。在步骤S403，复合机110进一步判断公开信息是否是“假名”。如果步骤S403的判断公开信息不是“假名”(S403的否)，则进入步骤S404。

在步骤S404，复合机110用用户信息管理部230取得用疑似随机数发生器等产生的随机数字符。在步骤S405，复合机110通过用户信息管理部230对表示匿名的字符列“Anonymous”附加随即发生的随机数字符，生成用户的日志名。在步骤S406，复合机110参考用户信息表232，判断是否存在相同的日志名。如果步骤S406判断存在相同的日志名(S406的是)，则返回步骤S404，反复实行用随机数生成日志名，直到生成尚未登录的日志名为止。用户信息管理部230在本实施方式中构成识别名生成部。

相反，在步骤S406，如果判断没有相同日志名(S406的否)，则进入步骤S407。在步骤S407，复合机110通过用户信息管理部230将生成的字符列“Anonymous”+随机数字符设定为用户信息表232中对应的用户日志名，而后结束本处理。

另一方面，在步骤S403，当判断公开信息为“假名”时(S403的是)，在步骤S408将假名的项目中记录的值设定为对应的用户的日志名，结束本处理。而如果在步骤S402中，如果判断公开信息为“姓名”(S402的是)，则在步骤S409中将姓名的项目中记录的值设定为对应的用户的日志名上。

图9是经过基于第二实施方式的日志公开许可设定的日志生成处理后保存到日志保存部222中的日志的数据构造示意图。在第一实施方式中，姓名和假名均为非公开的用户被记录为非确定多数中的一个人，因此日志难以用来 追踪。对此，对比图7的(a)图和图9可知，在第二实施方式中，即便姓名和假名均为非公开的用户的日志也可以以能够区别操作过程的方式保存。

例如，“太◇次郎”的日志名在产生随机数“1265”时成为“Anonymous1265”。“船■四郎”的日志名为“Anonymous3721”。这样便能够判断10：12的数据删除和10：20的数据登录为同一个系列的过程，而10：21的数据传送则是其他过程，从而得以实行正确的追踪。

第二实施方式中日志名和用户一一对应，因而即便不公开姓名，日志名也具有与假名相同的地位，而且能够用比假名更加难以推断个人的方式来进行过程追踪。

在上述第二实施方式中，即便是登录识别名和假名均为非公开的用户也能够用能够唯一识别用户的字符列生成日志名。这样能够正确地进行处理过程的追踪，但是从长期来看，日志名依然能够推测日志名与用户之间的关系。例如，“太◇次郎”动作时必然是以“Anonymous1265”为用户识别名的日志发生记录等等，由此就有可能推测“Anonymous1265”与“太◇次郎”的关系。

对此，以下参考图10和图11描述能够在从登录到退出的期间中进行追踪，但难以在登录期间进行追踪的第三实施方式。在以下的描述中不再重复第三实施方式与第一实施方式相同之处，而着重描述二者之间的不同之处。

图10是第三实施方式的复合机110的功能模块图400。图10所示的复合机110的功能模块400具有通信部402、扫描部404、打印部406、操作部408、基本处理部410、日志生成处理部420、用户信息管理部430、以及登录处理部434。进而，图10中还显示日志保存部422和用户信息表432。

第三实施方式的用户信息管理部430在提出用户信息登录以及用户信息更改的要求时，如果选择登录识别名和假名均为非公开，则用户信息表432中日志名的记录为空白。

登录处理部434控制针对登录要求的用户认证。用户认证本身可以采用任意现有技术。登录处理部434在登录处理结束后，读取用户信息表432，确认该登录处理的用户的公开信息。如果登录识别名和假名均为非公开，则登录处理部434用疑似随机数发生器等发生的随机数标记来生成表示匿名的字符列，更新用户信息表432中的日志名。在本实施方式中，登录处理部434起到识别名生成部的作用，每当发生用户登录处理时，生成表示匿名的字符列。

图11是第三实施方式涉及的复合机110实行的登录处理流程图。用户通过操作部408实行登录操作后开始图11所示的处理。在步骤S501，复合机110的登录处理部434实行普通的用户登录处理，在步骤S502，复合机110的登录处理部434读取用户信息表432。在步骤S503，登录处理部434判断实行登录处理的用户的公开信息是否为“非公开”。如果判断为“非公开”(S503的是)，则进入步骤S504。

在步骤S504，复合机110的登录处理部434取得意思随机数发生器等发生的随机数记号。在步骤S505，复合机110的登录处理部434在表示匿名的字符列“Anonymous”上附加任意发生的随机数记号，生成用户的日志名。

在步骤S506，复合机110参考用户信息表432，判断是否存在相同的日志名。如果判断存在相同的日志名(S506的是)，则返回步骤S504，返回实行用随机数生成日志名，直到生成尚未登录的日志名。相反，如果判断没有相同的日志名(S506的否)，则进入步骤S507。在步骤S507，复合机110的登录处理部434将生的字符列“Anonymous”+“随机数记号”设定为对应的用户的日志名。在步骤S508，写出设定的用户信息表432，而后结束本处理。而在步骤S503如果判断公开信息为“非公开”(S503的否)，则直接结束本处理。

第三实施方式中的日志名与用户一一对应，因而，即便不公开姓名，日志名也具有与假名相同的地位，而且能够用比假名更加难以推断个人的方式来进行过程追踪。同时，每一次登录处理都改变用户识别名，因此，过程追踪被限制在只有在过程有效期间，即登录期间才能够进行。这样，由于日志中的记录名称动态变化，为此，即便是对个人操作进行长期监视，也能够降低确定日志名与姓名之间对应关系的可能性。

上述第一至第三实施方式可以直接从监察者终端190访问信息设备110和112，阅览日志。除此之外，作为其他实施方式，还可以设置服务器，从一个以上的信息设备110和112收集日志，从监察者终端190访问服务器，阅览日志。在图1、图2、以及图10中的虚线框变表示这种实施方式的构成。

图1中的虚线框显示上述其他实施方式中采用的日志管理服务器150。复合机110和信息终端112等信息设备在适当时间将自己的日志传送到统一管理日志信息的日志管理服务器150。图2和图10显示负责传送日志的日志传送部224和424。日志传送部224和424在规定的时间，如每隔一定时间或每当积蓄 的日志达到一定量等，将保存在日志保存部222和422中的日志传送到事先定义的日志管理服务器150。日志传送部224和424起到传送部作用，将日志传送到外部的日志管理服务器150。该日志中的公开信息中包含非公开时用经过匿名处理的识别名为用户识别名。

以下参见图12，描述本实施方式的复合机110的硬件构成。图12是复合机110的硬件构成示意图。复合机110具有控制器52、操作面板82、FCU(传真控制单元)84、引擎部86。控制器52包含CPU54、NB(北桥芯片)58、经由NB58与CPU54连接的ASIC60、以及系统存储器56。ASIC60实行各种图像处理，经由AGP(Accelecrated Graphic Port)88与NB58连接。系统存储器56被用于作为绘图用存储器等。

ASIC60与局域存储器62、硬盘驱动器64、闪存等非易失性存储器(以下以NV-RAM为例)66相连接。局域存储器62被用于作为复制用图像缓冲器或标记缓冲器，HDD64被作为保存图像数据、文书数据、程序、字体数据或固件数据等的寄存器。本实施方式的HDD64能够提供用于作为保存日志的日志存储部222、422的保存区域。在向外部的日志管理服务器150传送日志时，HDD64提供在世的保存区域。NV-RAM66中保存用来控制复合机110的程序、各种系统信息以及各种设定信息。

控制器52进而包含SB(南桥芯片)68、NIC(网络接口卡)70、SD(Secure Digital)卡/插槽72、USB接口74、IEEE1394接口76、平行接口78，这些借助于PCI线90与NB58连接。SB68是未图示ROM或PCI线周边设备等与NB58之间连接的桥。NIC70是复合机110与互联网或LAN等网络102连接的接口器件，接收通过网络送来的指令。关于经由网络的指令包含例如来自远处的登录要求。SD卡/插槽72用来可拆卸地安装SD卡。USB接口74、IEEE1394接口76以及平行接口78分别为按照规格的接口，用来接受打印工作。

作为显示部的操作面板82与控制器52的ASIC60相连接，提供用户接口，用来接收用户的各种指示的输入或实行画面显示。操作面板82既可以包含显示器、键盘、鼠标，也可以构成为触摸面板。FCU84以及引擎部86经由PCI92连接ASIC60.FCU84按照名谓G3或G4的传真通信规格的通信方法。引擎部86接收应用软件发行的打印指示或扫描指示，实行图像形成处理或图像读取处理。引擎部86构成扫描部和打印部。本实施方式的复合机110从硬盘驱动器64 或NV-RAM66读取控制程序，并将控制程序展开到系统存储器56或局域存储器62提供作业空间，在CPU54的控制下，.实现上述各个功能部的功能。

如上所述，上述实施方式提供的信息处理装置和信息处理系统能够在减小非公开识别名发生泄密危险的同时，以利用用户识别名进行追踪的方式保存使用履历信息。

利用上述构成，用户能够根据信息设备的使用环境，在既定的运行下，设定自己在日志中的个人信息公开范围。即便日志信息外泄，也能够减小用户非公开信息的泄密危险。

在上述实施方式的描述中复合机110包含图2、图10所示的各项功能部。但是本发明并不受此限制，除此之外，还可以将上述功能部中的一部分功能部分散安装到一台以上的计算机系统中。

上述各个功能部通过执行用汇编语言、C、C++、C#、Java(注册商标)等传统编程语言或面向对象编程语言等叙述的计算机可执行程序来实现，并可以存放在ROM、EEPROM、EPROM、闪存、软磁盘、CD-ROM、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、蓝光盘、SD卡、MO等装置可读取的记录媒体中，或者通过电子通信线发布。

上述实施方式对本发明没有限制。本发明允许在不需要创造性劳动的范围内对上述实施方式进行各种删减更改，但是无论如何改变实施方式，只要起到本发明的作用效果，均属于本发明范畴。