データ・アクセス制御機能を実現する方法、システム、およびプログラム・ストレージ・デバイス
【課題】 個人識別情報(PII)分類ラベルを、各PIIデータ・オブジェクトが1つのPII分類ラベルを有するように、PIIデータ・オブジェクトに割り当てることにより実現されるデータ・アクセス制御機能を提供すること。
【解決手段】 制御機能は、PIIデータ・オブジェクトを読み取るかまたは書き込むアプリケーション機能のリストを有する少なくとも1つのPII目的対応機能セット(PSFS)をさらに含む。各PII PSFSにもPII分類ラベルが割り当てられる。PIIデータ・オブジェクトは、PIIオブジェクトのPII分類ラベルと同一であるかまたはそれより優位であるPII分類ラベルを有するPII PSFSのアプリケーション機能を介してアクセス可能である。制御機能のユーザには、少なくとも1つのPII分類ラベルのリストを含むPIIクリアランス・セットが割り当てられ、それは、そのユーザが特定の機能にアクセスする資格があるかどうかを判定する際に使用される。
【解決手段】 制御機能は、PIIデータ・オブジェクトを読み取るかまたは書き込むアプリケーション機能のリストを有する少なくとも1つのPII目的対応機能セット(PSFS)をさらに含む。各PII PSFSにもPII分類ラベルが割り当てられる。PIIデータ・オブジェクトは、PIIオブジェクトのPII分類ラベルと同一であるかまたはそれより優位であるPII分類ラベルを有するPII PSFSのアプリケーション機能を介してアクセス可能である。制御機能のユーザには、少なくとも1つのPII分類ラベルのリストを含むPIIクリアランス・セットが割り当てられ、それは、そのユーザが特定の機能にアクセスする資格があるかどうかを判定する際に使用される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般に、コンピュータ・システム内の個人情報のセキュリティに関し、詳細には、企業のコンピュータ・システム内の個人識別情報(PII:personally identifying information)オブジェクトまたはリソースに対するユーザによるアクセスを制御する条件付きアクセス機能の実現および使用に関する。
【背景技術】
【0002】
コンピューティング技術および通信技術の進歩は、人および組織が膨大な量の個人情報を保管し処理することを可能にすることにより、プライバシを圧縮し続けている。データのプライバシを確保するため、保管データ、転送中のデータを保護し、データのリリースをある程度制御することが必要である。保管データの保護は新たに開発されたプライバシ・ポリシー言語およびその執行によりある程度カバーされるが、企業のコンピューティング機能内からの個人識別情報の正しい使用を保証し、したがって、そのリリースを制御するために現在提案されているメカニズムはまったく存在しない。伝統的に、コンピュータ・システムのセキュリティを管理するには、組織のセキュリティ・ポリシーを比較的低レベルの制御セット、概して、アクセス制御リストにマッピングすることが必要であった。すなわち、個別ユーザ(人または論理プロセス)はまずコンピューティング・システムに対して十分に識別され認証されるものと想定すると、保護されたコンピュータ・システム内の文書、プログラム、機能、およびその他の「オブジェクト」に対する個別ユーザのアクセスは、単に所与のオブジェクトにアクセスする資格がある人の名前のリストとユーザの名前を比較することにより、セキュリティ・システム、たとえば、システム・セキュリティ・マネージャによって制御される。一般的に言えば、この技法は任意アクセス制御またはDACとして知られている。
【0003】
米国政府内およびその他で広範に使用されるコンピュータ・システムのセキュリティのためのより高性能かつ十分開発されたモデルによれば、コンピューティング・システム内のオブジェクトへのアクセスは、ユーザおよび保護コンピュータ・リソース・オブジェクトに関連する論理セキュリティ・レベル(階層的なもの)またはカテゴリ(階層的ではないもの)あるいはその両方により実現された区画化の論理システムによって制御することができる。このようなシステムは、「マルチレベル・セキュア」(「MLS:multilevel secure」)システムと呼ばれ、1973年11月発行のMITRE Report、MTR 2547の「Secure computer systems: Mathematical foundations and model」においてD.BellおよびL.LaPadulaによって定義されたBell−LaPadulaセキュリティ・モデルの実現例である。このようなシステムの開発、検証、および実現には相当な投資が行われている。
【0004】
MLSシステムでは、(割当てにより)最高のセキュリティ・レベルおよび最大数のカテゴリに関連するユーザは、システム内で最高のセキュリティ・レベルを有するものと言われている。保護オブジェクトを読み取るための権限は、要求側ユーザが(コンピューティング・システムに対する適切な識別および認証後)少なくとも要求されたオブジェクトのものと同じ高さの関連セキュリティ・レベルを有し、ユーザが要求されたオブジェクトに関連するものを含む1組のカテゴリ(1つまたは複数)を有するときに、ユーザに付与される。この場合、ユーザは、そのオブジェクトより「上位になる」と言われている。逆に、MLS保護オブジェクトに書き込むための権限は、要求されたオブジェクトが少なくとも要求側ユーザのものと同じ高さの関連セキュリティ・レベルを有し、そのオブジェクトが少なくとも要求側ユーザに関連するカテゴリを含む1組のカテゴリを有するときに、ユーザに付与される。この場合、オブジェクトはユーザより上位になると言われている。Bell−LaPadulaモデルによって定義されたこれらのプリンシパルにより、MLS保護情報は、より低いセキュリティ・レベルからより高いセキュリティ・レベルに、またはより少数のカテゴリからより多数のカテゴリに、あるいはその両方で移動するので、あるオブジェクトから読み取られ、他のオブジェクトに書き込まれたときに、よりセキュアなものになりうることが分かる。逆に、実際上、Bell−LaPadulaモデルの逆である許可検査のためのモデルは、1977年発行の米国空軍電子システム部門のTechnical Report 76−372の「Integrity considerations for secure computer systems」においてK.Bibaによって記載されている。Bibaは、データおよびプログラミング・システムが、その作成時に使用されたデータおよびプログラミング・システムの保全性と、このような保全性を保証するための処理モデルに依存することを示している。Bell−LaPadula(MLS)モデルとBibaモデルの「逆MLS(MLS-inverse)」態様の両方は、コンピューティング業界、たとえば、インターナショナル・ビジネス・マシーンズ社(IBM)によって提供されるz/OSオペレーティング・システムの任意選択のコンポーネントであるリソース・アクセス管理機能(RACF)というプログラム内で現在、使用されている。z/アーキテクチャについては、2001年10月発行の「z/Architecture Principles of Operation」というタイトルのIBM資料(資料番号SA22−7832−01)に記載されている。さらに、RACFについては、2002年9月発行の「z/OS V1R4.0 Security Server RACF Security Administrator's Guide」というタイトルのIBM資料(SA22−7683−03)に記載されている。
【非特許文献1】1973年11月発行のMITRE Report、MTR 2547の「Secure computer systems: Mathematical foundations and model」
【非特許文献2】2001年10月発行の「z/Architecture Principles of Operation」というタイトルのIBM資料(資料番号SA22−7832−01)
【非特許文献3】2002年9月発行の「z/OS V1R4.0 Security Server RACF Security Administrator's Guide」というタイトルのIBM資料(SA22−7683−03)
【非特許文献4】2002年10月発行の「DB2 UDB for OS/390 V7 An Introduction to DB2 for OS/390」という資料(SC26−9937−02)
【非特許文献5】1990年にマサチューセッツ州レディングのAddison−Wesleyから発行されたS.Skienaによる「Implementing Discrete Mathematics: Combinatorics and Graph Theory with Mathematica」の§5.4.2の「Hasse Diagrams」の163、169〜170、および206〜208ペー
【発明の開示】
【発明が解決しようとする課題】
【0005】
PII保護オブジェクトの制御に関する要件は、保護オブジェクトおよびそれにアクセスするユーザのカテゴリ化を伴う手法に傾いている。MLS保護オブジェクトにカテゴリを割り当てるのと同様に、PII保護オブジェクトに目的を割り当てることができる。しかし、PIIデータ・オブジェクトの制御に関する要件は基本的に、より多くの目的(そのためにアクセスが行われる可能性があるもの)がそれに関連するときにPIIデータ・オブジェクトが必要とするセキュリティが低くなるという点で、MLS保護オブジェクトの制御に関する要件とは異なっている。これは、目的の数が増えると、PIIデータ・オブジェクトがあまりプライベートなものではなくなることを意味するからである。PII目的とMLSカテゴリとの類似性を引き出すことができる場合でも、階層的なMLSセキュリティ・レベルに関しては同様の類似性はまったく存在しない。加えて、伝統的なMLS手法ではユーザとオブジェクトを扱うが、PII目的については、単純にユーザを考慮することができず、ユーザならびにユーザが実行するプログラム(プロセス)と、PIIデータにアクセスするためにプログラムが有する理由(目的)の両方を考慮しなければならない。したがって、当技術分野では、効率の良いプライバシ・モデルを実現し、たとえば企業全域の情報フローを不当に制限せずに個人情報のリリースおよび伝搬の精密な制御を可能にする、本明細書で提示されているような新規のデータ・アクセス制御機能が必要である。
【課題を解決するための手段】
【0006】
一態様では、本発明は、PIIデータ・オブジェクトへのアクセスを制御するための備えを有するデータ・アクセス制御機能を実現する方法を提供する。この方法は、1つのPIIデータ・オブジェクトがそれに割り当てられた1つのPII分類ラベルを有するように、PII分類ラベルをPIIデータ・オブジェクトに割り当てるステップと、PIIデータ・オブジェクトを読み取るか、書き込むか、または再分類するアプリケーション機能のリストを有する少なくとも1つのPII目的対応機能セット(PSFS:purpose serving function set)を定義するステップと、各PSFSにPII分類ラベルを割り当てるステップとを含む。ここで、PIIデータ・オブジェクトは、そのPIIデータ・オブジェクトのPII分類ラベルに等しいかまたはその適切なサブセットであるPII分類ラベルを有するPII PSFSのアプリケーション機能を介してのみアクセス可能である。
【0007】
一実施形態は、PIIデータ・オブジェクトは、そのPIIデータ・オブジェクトのPII分類ラベルに等しいかまたはそれより優位であるPII分類ラベルを有するPII PSFSのアプリケーション機能によって書込みアクセス可能である。PIIデータ・オブジェクトは、PII PSFSに許可されるPII再分類のリストを有するPII PSFSのアプリケーション機能によって書込みアクセス可能である場合もある。
【0008】
一実施形態では、この方法は、データ・アクセス制御機能の特定の機能を呼び出すユーザを識別し、識別されたユーザにPIIクリアランス・セット(clearance set)を割り当てるステップを含む。ここで、PIIクリアランス・セットは識別されたユーザに関する1つまたは複数のPII分類ラベルのリストを有する。
【0009】
PIIデータ・オブジェクトに割り当てられたPII分類ラベルは、PIIデータ・オブジェクトの所有者の識別を含むことができる。
【0010】
PIIデータ・オブジェクトに割り当てられたPII分類ラベルは、そのためにデータ・オブジェクトを使用できる少なくとも1つの目的の表示を含むことができる。
【0011】
この方法は、初めにデータ・アクセス制御機能を使用するために企業内のPII目的を定義し、PIIデータ・オブジェクトに割り当てられ、少なくとも1つのPSFSに割り当てられるPII分類ラベルを定義する際に上記PII目的を使用するステップを含むことができる。
【0012】
本発明の他の態様では、データ・アクセス制御機能がPIIデータ・オブジェクトおよび少なくとも1つのPII目的対応機能セット(PSFS)に割り当てられる個人識別情報(PII)分類ラベルを有し、PSFSがPIIデータ・オブジェクトを読み取るかまたは書き込むアプリケーション機能のリストを含み、データ・アクセス制御機能のユーザに、少なくとも1つのPII分類ラベルを含むリストを有するPIIクリアランス・セットが割り当てられる状況において、次のデータ・アクセス制御方法が提供される。すなわち、データ・アクセス制御機能のユーザにより、特定の機能を呼び出すステップと、特定の機能がデータ・アクセス制御機能の少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されているかどうかを判定し、そうである場合に、ユーザのPIIクリアランス・セットがそのPII PSFSに割り当てられたPII分類ラベルと一致するPII分類ラベルを含むかどうかを判定し、さらにそうである場合に、特定の機能へのアクセスを許可するステップと、特定の機能を実行するために、ユーザが、選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップとを含むデータ・アクセス制御方法が提供される。
【0013】
このデータ・アクセス制御方法は、呼出しステップの前に、データ・アクセス制御機能のセキュリティ制御下でオペレーティング・システム内のプロセスを確立するステップを含むことができる。この呼出しは、その後、確立されたプロセス内で行われる。
【0014】
特定の機能が定義されているかどうかを判定するステップは、特定の機能がデータ・アクセス制御機能のPII PSFSに対して定義されておらず、確立されたプロセスについて現行プロセス・ラベル(CPL:current process label)が事前に設定されている場合に、特定の機能へのアクセスを拒否するステップを含むことができる。
【0015】
ユーザが、特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップは、選択されたデータ・オブジェクトがPIIデータ・オブジェクトから構成されるかどうかを判定し、そうである場合に、ユーザの特定の機能がデータ・アクセス制御機能の少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されていることを検証し、そうではない場合に、選択されたデータ・オブジェクトへのアクセスを拒否するステップを含むことができる。
【0016】
ユーザが、特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップは、選択されたデータ・オブジェクトがPIIデータ・オブジェクト以外のものである場合に、確立されたプロセスについて現行プロセス・ラベル(CPL)が設定されているかどうかを判定するステップを含むことができる。CPLがまったく設定されていない場合、この方法は、任意アクセス制御検査を介して選択されたデータ・オブジェクトにアクセス決定を提供するステップを含むことができる。
【0017】
ユーザが、特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップは、そのプロセスについてCPLが事前に設定されており、選択されたデータ・オブジェクトがPIIデータ・オブジェクト以外のものである場合に、特定の機能が読取り操作であるかどうかを判定し、そうである場合に、任意アクセス制御検査を介して選択されたデータ・オブジェクトにアクセス決定を提供し、特定の機能が読取り操作以外のものである場合に、確立されたプロセスから選択されたデータ・オブジェクトへのアクセスを拒否するステップを含むことができる。
【0018】
ユーザが、特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップは、特定の機能が読取り操作を有するかどうかを判定し、そうである場合に、特定の機能が定義されているPII PSFSに割り当てられたPII分類ラベルが選択されたデータ・オブジェクトに関連するPII分類ラベルに等しいかまたはその適切なサブセットであるかどうかを判定し、そうではない場合に、選択されたデータ・オブジェクトへのアクセスを拒否し、そうである場合に、確立されたプロセスに関する現行プロセス・ラベル(CPL)リストに選択されたデータ・オブジェクトのPII分類ラベルを追加するステップを含むことができる。
【0019】
ユーザが、特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップは、特定の機能が読取り操作以外のものであることを決定し、そうであるときに、確立されたプロセスに関する現行プロセス・ラベル(CPL)リストが存在するかどうかを判定し、そうではない場合に、任意アクセス制御検査を介して続行するために選択されたデータ・オブジェクトにアクセス決定を与えるステップを含むことができる。
【0020】
確立されたプロセスに関するCPLリストが存在する場合、このデータ・アクセス制御方法は、選択されたデータ・オブジェクトのPII分類ラベルがCPL項目のそれぞれに等しいかまたはその適切なサブセットであるかどうかを判定し、そうである場合に、任意アクセス制御検査を介して続行するために選択されたデータ・オブジェクトにアクセス決定を与えるステップを含むことができる。
【0021】
PIIデータ・オブジェクトのPII分類が各CPLリスト項目のPII分類ラベルに等しくないかまたはその適切なサブセットではない場合、この方法は、特定の機能が定義されているPII PSFSがCPLリスト内のPII分類ラベル(複数も可)からPIIデータ・オブジェクトのPII分類ラベルへの再分類を可能にするかどうかを判定し、そうである場合に、任意アクセス制御検査を介して続行するために選択されたデータ・オブジェクトにアクセス決定を与え、そうではない場合に、PIIデータ・オブジェクトへのユーザ・アクセスを拒否するステップを含むことができる。
【0022】
このデータ・アクセス制御方法は、確立されたプロセスに対して、該確立されたプロセス内で読み取られた各PIIデータ・オブジェクトのPII分類ラベルの動的リストを有する現行プロセス・ラベル(CPL)リストを提供するステップ含むことができる。
【0023】
このデータ・アクセス制御方法は、特定の機能が第2のPIIデータ・オブジェクトへの書込み操作であるときに、確立されたプロセスのユーザが第2のPIIデータ・オブジェクトにアクセスできるようにするかどうかを判定するときにCPLリストを使用するステップをさらに含むことができる。第2のPIIデータ・オブジェクトは、それから情報が読み取られたPIIデータ・オブジェクトに関連するPII分類ラベルとは異なるPII分類ラベルを有し、それにより、読み取られた情報を再分類することができる。
【0024】
このデータ・アクセス制御方法は、少なくとも1つのPII PSFSに関連する「再分類許可(reclassification allowed)」パラメータを提供するステップ含むことができる。「再分類許可」パラメータが設定されている場合、そのパラメータが、対応する少なくとも1つのPII PSFS内で定義されたすべての機能に関連付けられる。そして、CPLリストに含まれるPII分類ラベルのそれぞれと同一ではないかまたはその適切なサブセットではないPII分類ラベルを有するPIIデータ・オブジェクトに情報を書き込むときに、そのパラメータにより、これらの機能のうちの1つを実行するユーザはPIIデータ・オブジェクトを再分類することを許可される。
【0025】
上記で要約されている方法に対応するシステムおよびコンピュータ・プログラムも本明細書に記載され、請求されている。このコンピュータ・プログラムは、記録媒体に記録されたコンピュータ・プログラムとして入手可能なものまたはデータ転送媒体を介してダウンロード用として入手可能なものにすることができる。このシステムはデータ・アクセス制御機能を実現することができる。
【0026】
さらに、追加の特徴および利点は、本発明の技法により実現される。本発明のその他の諸実施形態および諸態様は、本明細書に詳細に記載され、請求された発明の一部と見なされる。
【0027】
本発明と見なされる主題は、特許請求の範囲で詳細に指摘され、明確に請求されている。本発明の上記その他の特徴および利点は、添付図面に併せて示した以下の詳細な説明から明らかである。
【発明を実施するための最良の形態】
【0028】
本明細書には、個人識別情報(PII)に関するセキュリティを提供するデータ・アクセス制御機能が提示されている。この機能により、PII情報へのアクセスは、プライバシ分類コンピュータ化リソース(おおざっぱに、本明細書では「オブジェクト」または「データ・オブジェクト」という)へのアクセスが行われるコンピュータ・プロセスの実行中またはその実行に至るときに存在する(または実施される)可能性がある様々な「条件」に基づくものである。このような条件は、(1)そこでユーザがPIIオブジェクトへのアクセスを要求したアプリケーション機能、(2)ユーザがコンピューティング機能に対してどのように識別され認証されるか、(3)ユーザがどこにいるか、(4)要求の時間、(5)プログラムにより確認できるその他のコンテキスト上および環境上の要因を含むことができるが、これらに限定されない。
【0029】
本発明の一態様によれば、任意の所与のアクセス制御検査イベントに条件を適用できる方法がいくつか存在する。たとえば、(1)プライバシ分類は、ユーザがPII機密オブジェクトにアクセスしようとしたときに実施される条件に動的に基づいてそのユーザに割り当てることができるか、または(2)その代わりに(またはしかも)、あるオブジェクトに対するプライバシ分類は、同様の条件、時には同じ条件に動的に基づくものにすることができる。したがって、本明細書に提示されているデータ・アクセス制御機能は、アクセス・イベント状況の力学により、PII分類オブジェクトおよび機能の種々の「セット」へのアクセスをユーザまたはコンピュータ・プロセスに対して有利に許可し、それにより、個人識別情報へのアクセスを必要とする情報プロセスのセキュリティに柔軟性を追加し、そのセキュリティを強化する。
【0030】
おおざっぱに言えば、本明細書には(一態様では)、データ・アクセス制御機能を実現するための技法が開示されており、これは、個人識別情報(PII)分類ラベルをPIIオブジェクトに割り当てることを含み、各PIIデータ・オブジェクトはそれに割り当てられた1つのPII分類ラベルを有する。少なくとも1つのPII目的対応機能セット(PSFS)が定義され、これは、PIIデータ・オブジェクトを読み取るか、書き込むか、または再分類するアプリケーション機能のリストを有する。各PSFSにもPII分類ラベルが割り当てられる。使用されている場合、PIIオブジェクトは、そのオブジェクトのPII分類ラベルに等しいかまたはそのサブセットであるPII分類ラベルを有するPII PSFSのアプリケーション機能を介してのみ読み取ることができるか、またはそのオブジェクトのPII分類ラベルに等しいかまたはそれより優位であるPII分類ラベルを有するかまたはPSFSによって許可されたPII再分類のリストを有するPII PSFSのアプリケーション機能を介してのみ書き込むことができる。
【0031】
操作上、データ・アクセス制御機能の使用は、コンピューティング・システム内で実行されているコンピューティング・アプリケーションのユーザにより、特定の機能を呼び出すことと、特定の機能がデータ・アクセス制御機能のPSFSに対して定義されているかどうかを判定し、そうである場合に、ユーザのPIIクリアランス・セット(少なくとも1つのPII分類ラベルを含むリストを有するもの)がそのPSFSに割り当てられたPII分類ラベルと一致するPII分類ラベルを含むかどうかを判定し、そうである場合に、特定の機能へのアクセスを許可することと、特定の機能を実行するために、ユーザが、選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定することを含む。したがって、以下に詳細に説明する通り、本発明の一態様によるPIIデータ・アクセス制御機能は、初めにユーザが特定の機能にアクセスする資格があるかどうかを判定し、その後、ユーザが、選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するために使用される。
【0032】
PIIデータ・アクセス制御機能についてより詳細に論ずる前に、以下の論理構成体を定義する。本明細書で論じられる例では、PII制御機能は、病院事業に使用されるものと想定される。この想定は一例に過ぎない。
【0033】
PII分類ラベル:
PIIデータ・オブジェクトの所有者をリストし、そのためにこのように分類されたPIIデータ・オブジェクトを使用でき、所有者によって選択された1つまたは複数の目的のリストを含む。例としては、所有者であるユーザIDx、目的である医療、処理、報告、請求などがある。PII保護データ・オブジェクト内に含まれる情報の後続ユーザは、元の所有者によって同意され、PII分類ラベルに指定された目的にのみ、その情報を使用することができる。そのためにPIIオブジェクトを使用できる目的は、ユーザがそのデータに対して実行することを許可されている機能内で具体化される。
【0034】
PII目的対応機能セット(PSFS):
PIIオブジェクトを読み取る/書き込むアプリケーション機能のリストである。PSFS自体は、特定のPII分類ラベルでラベルが付けられる。所与のPSFS内の機能のリストは、特定プログラム、アプリケーション、EJB(Enterprise Java Bean)、メソッド、データベース管理開始手順、SQL照会などのアプリケーション内の機能を含むことができる。PSFSは任意選択で、指定のPSFSを実行しているユーザが、同じコンピュータ・オペレーティング・システム・プロセス内でユーザが事前に読み取ったPIIデータのPIIラベル(複数も可)が記録されている現行プロセス・ラベル(CPL)内に保管されたPIIラベル(複数も可)に含まれない目的を含むPIIラベルを有するPIIオブジェクトにデータを書き込む場合および書き込むときに、指定のPSFSによって許可されたPII分類変更(再分類)のリストを含むことができる。
【0035】
PIIデータ・オブジェクト:
関連PII分類ラベルが付いた任意のリソース、文書、プログラム、機能などである。所与のPIIオブジェクトは、1つのPII分類ラベルのみを有することができる。PIIデータ・オブジェクトの所有者は、オブジェクトならびにそのオブジェクトを使用できる目的(複数も可)に関連するラベルに含まれる。完璧にするため、PIIデータ・オブジェクトの所有者は、本発明の主題であるPIIアクセス制御検査が全般的なアクセス制御検査プロセス内のその部分を完了した後のある点におけるアクセス制御検査中に活動し始めるので、この説明に含まれる。より具体的には、PII保護データ・オブジェクトの所有者は、それ自体のデータ・オブジェクトのみにアクセスすることができ、他の所有者によって所有されているPII保護データ・オブジェクトにアクセスすることはできず、この概念は、当技術分野内でDACとして知られている任意アクセス制御検査によって実施される。
【0036】
サブジェクト:
ユーザIDおよびグループID(ユーザIDのグループ)は、(PIIデータの)所有者および企業ユーザ、すなわち、データ・オブジェクトにアクセスし、その企業機能の一部として特定の目的対応機能セット(複数も可)により機能を実行するために企業セキュリティ管理によって許可を与えられているものを含む。
【0037】
ユーザPIIクリアランス・セット:
企業ユーザに割り当てられるPII分類ラベル(複数も可)のリストである。ユーザPIIクリアランス・セットは、その中からユーザが企業内で機能を実行することを許可される1つまたは複数の目的対応機能セットを確立するものである。たとえば、管理者は、{報告}、{請求、報告}というPIIクリアランス・セットを有することができ、したがって、それにより、{報告}または{請求、報告}のいずれか一方のPIIラベルを有する目的対応機能セット内に入るように定義される機能を実行することを許可される。医師は、{医療}、{医療、報告}というPIIクリアランス・セットを有することができ、したがって、{医療}または{医療、報告}のいずれか一方のPIIラベルを有する目的対応機能セット内に入るように定義される機能を実行することを許可される。看護士は、{処置}、{医療、処置}というPIIクリアランス・セットを有することができる。
【0038】
PII現行プロセス・ラベル(CPL):
ユーザのオペレーティング・システム・プロセスに動的に割り当てられ、ユーザがPII保護オブジェクトにアクセスするときに、それに応じて更新されるPIIラベルである。CPLは、所与のコンピュータ・オペレーティング・システム・プロセス中にユーザが読み取る任意の1つまたは複数のPIIオブジェクトのPIIラベルのレコードを含むように動的に更新される。
【0039】
セキュリティ管理者は、特定の企業に関するPIIデータ・アクセス制御機能をセットアップするものと想定されている。管理上、この機能の実現は以下のものを含むことができる。
1)セキュリティ管理者は、たとえば、PIIデータ・アクセス制御機能を実施するIBMのRACFなどのセキュリティ・マネージャに対して有効な目的セットを定義する。病院の例の場合は以下の通りである。
この企業に関する有効なPII目的は、以下のものを含むことができるであろう。
目的1(例:医療)
目的2(例:処置)
目的3(例:請求)、・・・
目的n(例:報告)
2)セキュリティ管理者は、様々なリソース/オブジェクトにPIIラベルを割り当てる。
オブジェクト名(例:要約医療レコード(SummaryMedical Record))
PII分類ラベル(例:{医療、報告})
3)セキュリティ管理者は、個別ユーザおよびユーザのグループを定義するが、これは進行中の活動である。たとえば、ユーザは以下のものを毎日変更することができる。
ユーザIDa(例:患者であるユーザ)グループPATIENTSに追加する
ユーザIDx(例:看護士であるユーザ)グループNURSESに追加する
ユーザIDy(例:医師であるユーザ)グループDOCTORSに追加する
4)セキュリティ管理者は、適切な各ユーザにユーザPIIクリアランス・セットを割り当てる。たとえば、以下の通りである。
ユーザIDx(例:看護士であるユーザ)PIIクリアランス・セット(例:[{処置}、{医療、処置}])
5)セキュリティ管理者は、セキュリティ・マネージャに対して目的対応機能セット(複数も可)を定義する。
PSFS名前1
関連プログラム機能のリスト
プログラムx
メソッドy
Enterprise Java Bean z
6)セキュリティ管理者は、PSFSにPIIラベルを割り当てる。
PSFS名前1−PII分類ラベル{医療、処置}
7)セキュリティ管理者は、PIIオブジェクトに書き込むためにこのPSFSが使用されるときに行うことが許可されるPII再分類を割り当てる。すなわち、{医療、処置}から{医療、報告}への再分類が許可される。所与のPSFSは、その実行中に許可される再分類の集団(したがって、リスト)を有することができる。
【0040】
図1は、本発明の一態様により、リレーショナル・データベース管理システムおよびストレージ12内に(またはその中の)完全医療レコード(Complete Medical Record)14,要約医療レコード16、患者会計レコード(Patient FinancialRecord)18などのPIIオブジェクトを入力する(またはそれにアクセスする)個人識別情報(PII)所有者10(病院事業の一例における患者など)の一例を示している。操作上、患者10は、患者用に作成された目的対応機能セット(PSFS)内の特定の機能を呼び出すことができる。この特定の機能は、インターナショナル・ビジネス・マシーンズ社によって提供されるDB2リレーショナル・データベース管理システムなどのリレーショナル・データベース管理システム内のPIIデータ・オブジェクトを保管するために使用することができ、これについては、2002年10月発行の「DB2 UDB for OS/390 V7 An Introduction to DB2 for OS/390」という資料(SC26−9937−02)に記載されている。データは、適切な事前定義PII分類ラベルが付いた個々のテーブル行列位置に保管することができる。患者の個人データは、その後、異なるPII分類ラベルが付いた様々なPIIデータ・オブジェクト内に常駐する。図1の例では、{医療、処置}、{医療、報告}、{請求、報告}というラベルは一例としてのみ示されている。その後、患者は、指定されたPSFS機能を介して自分自身のPIIデータ・オブジェクトを表示することができ、これにより、特定の患者はその患者が所有者であるPIIオブジェクトのみを表示できることになるであろう。
【0041】
図2は、本明細書に開示されているようなPIIデータ・アクセス制御機能を実現する企業コンピューティング環境の一例を示している。この例では、PIIデータの所有者または企業の従業員あるいはその両方などのユーザ21は、インターネット22の全域からファイアウォール24を通って、企業内のサーバ上で実行されるトランザクション・マネージャ25にアクセスする。代わって、ファイアウォール24内のユーザ21aは、トランザクション・マネージャ25を含むサーバに直接アクセスできるであろう。リレーショナル・データベース管理システム26は、この例ではサーバ上にも常駐し、関連ストレージ27内のテーブル28に含まれるPIIラベル付きオブジェクト29にアクセスする。オブジェクト・ストレージ27は、任意の所望の形を取ることができる。z/OSオペレーティング・システム用のオプションとしてインターナショナル・ビジネス・マシーンズ社によって提供される上記で参照したRACFなどのセキュリティ・マネージャ30は、その企業用のセキュリティ管理32によって維持されるセキュリティ・レジストリ31を調べる。レジストリ31は、関連PIIラベルが付いた、グループを含むユーザと、目的を定義することができ、アクセス・ルール、監査制御などを含む、オブジェクト・カテゴリを定義することができる。
【0042】
操作上、および以下により詳細に説明する通り、特定の機能(PSFS内で定義される場合もあれば、定義されない場合もある)を実行するためのトランザクション・マネージャに対するユーザの要求の結果、オペレーティング・システム内に「プロセス」が作成される。これは、インターネットを介してコンピューティング・システムに接続されているユーザからの、またはローカルに接続されているユーザ、たとえば、従業員からの要求の結果として行うことができる。本発明の主題であるPIIデータ・アクセス制御機能を具体化するオペレーティング・システム・プラットフォーム・セキュリティ・マネージャは、要求された機能を実行するためのユーザの権限を決定するために、トランザクション・マネージャによって呼び出される。承認されると、その機能は実行を開始し、その後、その通常処理の一部として、リレーショナル・データベース管理システムの制御下にある(それが想定されている)PIIラベル付きデータについてトランザクション・マネージャを介して要求を生成する。データベース管理システムは、要求側ユーザが所望のPIIオブジェクトへのアクセスを許可されるかどうかを判定するためにセキュリティ・マネージャを呼び出す。セキュリティ・マネージャは、たとえば、要求されたオブジェクトに関連するPIIラベル、ユーザに関連するPIIラベル、およびそのオブジェクトに関するその他の関連アクセス・ルールに基づいて、決定を提供する。この場合も、PIIラベルおよびその他のアクセス・ルールは、セキュリティ管理者によって確立して維持し、セキュリティ・マネージャによってアドレス可能なセキュリティ・レジストリに保管することができる。
【0043】
図3は、本発明の一態様により、病院環境内で目的対応機能セットを活用する情報フローを示している。
【0044】
この例では、医師などのユーザは、その機能にサインオンし、ユーザの現行オペレーティング・システム・プロセスから、特定のアプリケーション機能を実行しようと試みる。ユーザには、企業セキュリティ管理によって、ユーザPIIクリアランス・セットが割り当てられており、そのセットは、この例では、[{医療}、{医療、報告}、{医療、処置}]を有するものと想定される。特定の機能がPII目的対応機能セット(PSFS)内にある場合、ユーザのPIIクリアランス・セットは、そのユーザが特定の機能を実行できるようにするためにそのPSFSに割り当てられたPIIラベルを含まなければならない(図5を参照)。たとえば、「医療」というPSFS分類ラベル41を使用すると、医師などのユーザは、リレーショナル・データベース管理システム44から「完全医療レコード」を読取り始めることができる。{医療、処置}というPIIラベルを有する「完全医療レコード」を読み取ると、ユーザの現行プロセス・ラベル(CPL)はそのデータのラベルに設定され、それにより、ユーザの現行オペレーティング・システム・プロセスに読み込まれた任意のデータのラベルの「履歴」を保持する。CPLは、後で、このプロセス内から行われる任意の書込み操作より先行する許可処理の一部の間に参照され、同一またはより少数の目的を備えたラベルを有する他のPIIラベル付きデータ・オブジェクトのみにPIIデータが書き込まれることを保証するか、またはこのプロセスに読み込まれたPIIデータと書き出されているPIIデータとこの特定の組み合わせとともにこのPSFSを使用して、PIIデータ再分類が許可されることを保証する。たとえば、自分のユーザ・クリアランス・セット内に{医療、報告}というユーザ・クリアランスを有し、したがって、[{医療}]というPIIラベルを有する目的対応機能セット「PSFS−D」内に入るように定義された機能を実行することができるユーザは、「完全医療レコード」から読み取ることはできるが、それに書き込むことはできず、PSFS−Dには{医療、処置}から{医療、報告}へのPII再分類が許可されているので、「要約医療レコード」については読取りと書込みの両方を行うことができる。逆に、ユーザは、ユーザのPIIクリアランス・セット内に定義されていないPII分類ラベルを有するPSFS内で定義された機能を呼び出すことができず、それにより、ユーザのPIIクリアランス・セットの範囲外のPIIオブジェクトにアクセスすることができない。たとえば、図3のユーザ1は、「患者会計レコード」の読取りまたは書込みを行うことができない。
【0045】
図4〜8は、本発明の一態様によるPIIデータ・アクセス制御機能の上記で紹介した処理の一例をより詳細に示している。図4を参照すると、PII制御機能の使用は、60で目的対応機能セット(PSFS)内で定義可能な事前確立アプリケーション機能を実行するために、50でユーザがトランザクション・マネージャに対する要求を行うことから始まる。この結果、その中でトランザクション・マネージャ自体が実行されるオペレーティング・システム・プラットフォーム内で「プロセス」が論理的に作成される。また、本明細書に開示されている個人識別情報(PII)概念を実現するデータ・アクセス制御機能は、オペレーティング・システム・プラットフォーム内で実行されるか、またはそれに論理的に接続される。ある機能を実行しようとするユーザの試みを処理するための論理の一例は、図5に関連して以下に記載されている。ユーザが特定の機能へのアクセスを許可されているものと想定すると、70でトランザクション・マネージャは選択されたPIIデータ・オブジェクトへのユーザのためのアクセスを要求する。80でセキュリティ・マネージャは、ユーザが、選択されたPIIオブジェクトへのアクセスを許可されているかどうかを判定するために呼び出され、セキュリティ・マネージャはユーザ・アクセスを許可するかどうかの決定を提供する。90において、選択されたPIIデータ・オブジェクトへのユーザ・アクセスを許可するかどうかというこの決定は、部分的に、特定の機能が読取りまたは書込みを呼び出すかどうかに基づくものである。特定のPIIデータ・オブジェクトへのアクセスを許可するかどうかを判定するための論理の一実施形態は、図6〜8に提示されている。
【0046】
上記の通り、図5は、ユーザが特定の機能を実行しようと試みるときに実現される処理の一例である。一例として、この処理は、図4のステップ60から呼び出すことができるであろう。初めに、102でユーザは特定のアプリケーション機能を指定し、104でセキュリティ・マネージャ処理はその機能がPSFSに対して定義されているかどうかを判定する。104で特定の機能がPSFSに対して定義されていない場合、105でセキュリティ・マネージャ処理は現行プロセス・ラベル(CPL)が事前に設定されているかどうかを判定し、そうである場合、セキュリティ・マネージャ処理は110で特定の機能へのアクセスを拒否し図4に戻る。現行プロセス・ラベルが事前に設定されていない場合、ユーザが、選択されたデータ・オブジェクトへのアクセスを許可されているかどうかをさらに評価するために、106でセキュリティ・マネージャ処理は単に図4に戻るだけである。104で特定の機能がPSFSに対して定義されている場合、108でセキュリティ・マネージャ処理はユーザのPIIクリアランス・セットがそのPSFSに割り当てられたPII分類ラベルを含むかどうかを判定する。ユーザのクリアランス・セットがそのPSFSに割り当てられたPII分類ラベルを含まない場合、ユーザはその機能へのアクセスを拒否され、処理は図4に戻る。
【0047】
108でユーザのクリアランス・セットがそのPSFSに割り当てられたPII分類ラベルを含む場合、何らかの時点でアプリケーションが図4の70でトランザクション・マネージャを介して要求を行い、そのトランザクション・マネージャがその要求をデータベース・マネージャ(たとえば、DB2)に回し、そのデータベース・マネージャが図4の80でセキュリティ・マネージャを呼び出し、そのセキュリティ・マネージャがユーザが保護データ・オブジェクトにアクセスすることを許可されているかどうかを判定し、図4の90で決定を提供し、その決定が適切なアクションのためにデータベース・マネージャに返されるまで、アプリケーション処理は112を介して続行される。
【0048】
図6は、選択されたPIIデータ・オブジェクトへのユーザ・アクセスを許可するかどうかを評価するときにセキュリティ・マネージャによって実現可能な決定プロセスの一例を示している。初めに、120で処理はオブジェクトがPIIラベルを有するかどうかを判定する。そうではなく、しかも125でユーザのプロセスに関する現行プロセス・ラベルが事前に設定されていない場合、127でセキュリティ・マネージャ処理は従来の任意アクセス制御検査を介してアクセス決定を提供する。任意アクセス制御(DAC)検査は、アクセス制御検査を実行するための手法であり、オペレーティング・システムのセキュリティ・マネージャの諸機能、たとえば、z/OSオペレーティング・システムとともにインターナショナル・ビジネス・マシーンズ社によって提供されるRACFセキュリティ・マネージャを介して保護リソース/オブジェクトに関連するアクセス制御ルールに基づくものである。アクセス制御ルールは、とりわけ、特定のユーザおよびユーザ・グループに関するアクセスモード項目を含むアクセス制御リスト(ACL)を含む。DAC検査は、保護オブジェクトに関連するPIIラベル(目的)がまったく存在しないとき、およびアクセス制御決定をさらに限定(または詳細化)するためにPIIラベル処理が行われた後で、使用することができる。PIIアクセス制御検査のようなDAC検査はアクセスモードを使用することができ、これはオブジェクトに対する特定の活動である。DAC検査に関連するアクセスモードの例としては、作成、削除、更新、読取りなしの更新(update but not read)、および読取りを含む。アクセスに関するルールは、IBMのRACFでは「リソース・プロファイル」といい、これも指定される。一般的に言えば、このようなルールは、「サブジェクト」が「オブジェクト」に対するアクセスモードを実行できるという形を取る。この場合も、いずれの任意アクセス制御検査手法でも、図6の処理のこの段階で使用することができる。127で任意アクセス制御検査は、選択されたオブジェクトへのユーザ・アクセスを許可するかどうかの決定を提供する。この決定は、132のアクセス許可または134のアクセス拒否のいずれかになる。任意アクセス制御(DAC)の詳細説明は、2002年9月発行の「Z/OS V1R4.0 Security Server RACF Security Administrator's Guide」というIBM資料(SA22−7683−3)に記載されている。125でユーザの「プロセス」に関するCPLが事前に設定されている場合、126でセキュリティ・マネージャ処理は特定の機能が読取り操作であるかどうかを判定する。そうである場合、127で、たとえば、DAC検査を使用して、オブジェクトへのアクセスを許可するかどうかの決定が提供される。特定の機能が読取り操作以外のものである場合、コンピュータ・オペレーティング・システム・プロセスにPII保護オブジェクト(複数も可)を読み込んだ後、そのプロセスから非PII保護オブジェクトへの書込みは許可されないので、134でアクセスが拒否される。
【0049】
オブジェクトがPII分類ラベルを有するものと想定すると、122でセキュリティ・マネージャ処理はユーザがPSFS機能を実行しているかどうかを判定する。そうである場合、124で処理は図7に移行する。そうではない場合、選択されたオブジェクトはPIIラベルを有し、ユーザはPSFS機能を実行していないので、134でアクセスはPIIラベル処理によって拒否される。
【0050】
130で図7または図8から戻ると、セキュリティ・マネージャ処理は128でアクセスがPIIラベル処理によって拒否されたかどうかを判定する。そうではない場合、127で、たとえば、任意アクセス制御検査を使用して、アクセス決定が提供される。そうではない場合、134でアクセスが拒否される。
【0051】
ユーザがPSFS機能を実行しているものと想定すると、140(図7)で処理はユーザが読取り操作を実行しているかどうかを判定する。そうではない場合、ユーザは書込み操作を実行しているに違いなく、したがって、処理は図8を続ける。YESである場合、142でPSFSのラベルがPIIオブジェクトのラベルに等しいかまたはその適切なサブセットであるかどうかの判定が行われる。そうではない場合、145で処理は図6に戻り、このPIIオブジェクトをこの特定のPSFSで読み取ることができないので、ユーザはPIIラベル処理によってアクセスを拒否される。142でYESである場合、143でPIIオブジェクトのラベルが項目としてCPLに追加される。これは、CPL内の第1の項目である可能性があるかまたは既存のCPLへの追加項目である可能性もある。PIIオブジェクトのラベルに等しいCPL内にすでに項目が存在する場合、このステップは迂回される。次に144で処理は図6に戻り、ユーザはPIIラベル処理によってPIIオブジェクトへのアクセスを拒否されない。
【0052】
ユーザが読取り操作を実行していない場合、これは、ユーザが書込み操作を実行していることを意味し、ステップ140からセキュリティ・マネージャ処理は図8に移行し、まず150でユーザのプロセスに関する現行プロセス・ラベル(CPL)が事前に設定されているかどうかを判定する。そうではない場合、151で処理は図6に戻り、ユーザのプロセスはPII制御プロセスとして継続し、ユーザは非PIIデータを既存のPIIデータ・オブジェクトに書き込むことを許可されている。150でYESである場合、152でPIIオブジェクトのラベルがCPL項目(1つだけ存在する可能性もある)のそれぞれのラベルに等しいかまたはその適切なサブセットであるかどうかの判定が行われる。YESである場合、151で処理は継続し、上記の通り、図6に戻る。152でNOである場合、153でこのPSFSがCPL内の1つまたは複数のラベルから書込み中のPIIオブジェクト内のラベルにPIIオブジェクト(複数も可)を再分類するための十分な権限を有するかどうかを確認するための判定が行われる。NOである場合、154で処理は図6に戻り、ユーザはPIIデータ・オブジェクトへのアクセスを拒否される。153でYESである場合、151で処理は継続し、上記の通り、図6に戻る。
【0053】
以下は、本発明により開示された概念のいくつかに関する理論的基礎の正式表現である。複数組のオブジェクトO、サブジェクトS、およびアクションAが存在するものと想定されている。さらに、各アクションAは、読取りモードまたは書込みモードのいずれかを有するものと解釈することができる。サブジェクトおよびオブジェクトは、複数組の目的セットでラベルが付けられる。ラベルl1がラベルl2内にある場合のみ、すなわち、目的セットl1が目的セットl2のスーパー・セットである場合のみ、ラベルl1はラベルl2より優位である。一般に、本発明によって保護されるPIIデータを読み取るために、ユーザは、ユーザが読み取ろうと試みているデータのラベルの方が優位であるPIIラベルを有するPSFSを実行していなければならず、したがって、そのPSFSを実行することを許可(または認可)されていなければならない。それはPSFSであり、関連付けにより、それを実行しているユーザは、読取り中のPIIオブジェクトのラベル内にある1つまたは複数の目的を備えたPIIラベルを有していなければならない。
【0054】
プライバシ・ラベル
個人データのすべてのインスタンスは関連ラベルを有する。ラベルLは1組の目的を含み、これらは、そのために個人データの所有者が承諾を与えた目的である。より多くの目的を有するオブジェクトはあまりプライベートなものではなく、したがって、オブジェクト間のデータ・フローは、特別に定義された事情ではない限り、より多くの目的を有するオブジェクトから、より少ない目的を有するオブジェクトへに限られる可能性がある。したがって、データは計算中にシステムを通って流れるので、特別に制御された事情(プロセス)により被制御方式でデータを再分類できるようにしない限り、そのラベルはより限定的なものになる。
【0055】
この1組のラベルは、セキュリティクラス格子の本質的な特徴を備えた先行順(pre-order)を形成する。格子内の各要素は、可能なラベルの1つである。ラベルは、[という制限関係によって定義された半順序(partialorder)で存在する。BOTとして書かれた最も制限的ではないラベルは、どこでも流れることができるデータに対応し、最も可能性の高い制限であるTOPは、どこも流れることができないデータに対応し、これは誰にも読取り不能である。格子内を上昇するにつれて、ラベルは厳密により制限的なものになる。データはいつも格子内の上方へラベルを付け直すことができ、これは、制限によって情報漏れの可能性を生み出すことはないので、より少ない目的にデータを使用できることを意味する。ラベルBOTは公開情報、すなわち、個人情報を含まないデータに対応することに留意されたい。
【0056】
個人データのラベルの付け直しは、新しいラベルが同じ目的またはより少ない目的を含む場合に制限となる。L1[L2という表現は、L1がL2ほど制限的ではないかまたはL2に等しいことと、演算子rがスーパー・セット関係を示す以下の表現によって表されるように、ラベルL1からL2にデータのラベルを付け直すことができることを意味する。
【0057】
L1[L2 h L1 r L2。この場合も、L1[L2である場合のみ、ラベルL2はラベルL1より優位である。
【0058】
計算(またはPSFSとして表されるアクション)がそれぞれL1およびL2というラベルが付いた2つの値を結合すると、その結果は、L1およびL2によって指定されたすべての使用制限を執行するラベル(最も制限的ではないもの)を有していなければならない。L1およびL2におけるすべてのポリシーを執行する、最も制限的ではない1組のポリシーは単に2組のポリシーの論理積(intersection)に過ぎない。この最も制限的ではないラベルは、L1 7 L2と書かれたL1およびL2の最小上界または結合である。
【0059】
L1 7 L2 h L1 3 L2。たとえば、結合されたオブジェクト(たとえば、住所とクレジット・カード番号の両方を含むレコード)は、複数目的の論理積にのみ使用することができる。
【0060】
たとえば、3つの目的に関して構成されたラベルが付いた格子は、請求、医療、および報告と想定される。このような格子は、そのハッセ図(Hasse diagram)(1990年にマサチューセッツ州レディングのAddison−Wesleyから発行されたS.Skienaによる「Implementing Discrete Mathematics: Combinatorics and Graph Theory with Mathematica」の§5.4.2の「Hasse Diagrams」の163、169〜170、および206〜208ページに記載されている)によって示すことができ、その場合、「あまり制限的ではない」関係[は下から上へ移行し、推移的および反射的エッジは省略される。医療および報告という目的に使用できるオブジェクトは{医療、報告}というラベルが付けられるであろう。このオブジェクトからのデータは、{医療}というラベルまたは{報告}というラベルが付いたオブジェクトにコピーできるであろう。サブジェクト(またはユーザ)は、そのオブジェクトを読み取れるようにするために、{医療}、{報告}、または{医療、報告}という有効ラベル(ユーザが実行しているPSFSから導出したもの)を有していなければならない。デフォルトでは、「リードダウン/ライトアップ(readdown/write up)」特性により、情報は格子内の上方のみに流れることができることに留意されたい。
【0061】
この場合も、ラベルLに含まれる目的は権利を表さず、むしろ制限を表すことに留意されたい。したがって、1つのサブジェクトが対応する目的が少なくなるほど、それが読み取れるオブジェクトが増えるが、その場合、そのサブジェクトが読み取るべきPIIオブジェクトに関連する少なくとも1つの目的に対応することが条件になる。
【0062】
サブジェクトsは、サブジェクトsに関連する目的がオブジェクトoに関連する目的のサブセットであるかまたはその目的に等しい場合にのみ、PIIオブジェクトoを読み取ることができる。
【0063】
サブジェクトsは、オブジェクトoに関連する目的がサブジェクトsに関連する目的のサブセットであるかまたはその目的に等しい場合にのみ、PIIオブジェクトoを書き込むことができる。
【0064】
たとえば、{請求、報告}というラベルが付いたユーザは、{請求、医療、報告}というラベルが付いたオブジェクトを読み取ることができ、{請求}というラベルが付いたオブジェクトに書き込むことができる。
【0065】
適格なスター特性
ユーザのコンピュータ・オペレーティング・システム・プロセスの現行プロセス・ラベル(CPL)が「高水準点(high-watermark)」として扱われる場合、これは格子の上方へ浮動することができるが、下方へ浮動することはできない。ユーザが所与のPSFSにより様々な個人データを読み取ると、CPLは読み取られたPIIデータ・オブジェクトに関連する目的を反映し、したがって、ユーザが実行することを認可(許可)されているPSFS(複数も可)のうちの1つの機能であるユーザのクリアランスに到達するまで、格子の上方へ浮動する。たとえば、ジェーンというユーザは、{医療}というラベルが付いたPSFSを実行することを認可される可能性がある。このPSFSにより{医療、報告}というラベルが付いたオブジェクトを読み取ることにより、彼女のCPLは{医療、報告}になる。{医療}というラベルが付いたオブジェクトから情報を読み取ると、彼女のCPLが{医療}という追加項目を含むことになり、それにより、彼女が自分の現行プロセスに読み込んだ情報のラベルを正確に反映する。彼女のCPLがこの状態になっている場合、彼女は、デフォルトでは、彼女が自分のプロセスに読み込んだ情報を{医療}というラベルが付いたPIIオブジェクトに書き出すためにPSFS(おそらく、必ずしも、読み取るために使用したものと同じものではない)を実行できるようになる。彼女は、自分が読み取った情報の一部を{医療、報告}から{医療}に再分類しているが、これは、{医療}の方が{医療、報告}より格子(目的がより少ないかまたはより制限的であるもの)の上方にあるので、デフォルトでは許可されることに留意されたい。
【0066】
これまでに論じたデータ・フローおよびその結果生じた情報の再分類は、いくつかの点で、MLS制御処理環境内のデータ・フローに似ている。しかし、MLSはセキュリティ上の理由でコンピュータ・リソース(たとえば、データ)の区画化されたアクセス制御のためのルールを厳重に遵守することができるツールに関する要件に対処するが、企業によって指定できる柔軟なルールによりPIIの再分類を可能にするプライバシ・サポートの必要性が残存する。換言すれば、プライバシ・サポートは、特定のユーザ(またはユーザ・グループ)がPIIを特定の事前定義分類から他の特定の事前定義分類に再分類することを許可されるが、それを実行することを許可されたユーザによって変更または操作することができない所定の1組の機能の範囲内でのみ、このように実行することを許可されることを企業が指定するための方法を含まなければならない。この必要性は、本発明の他の態様、すなわち、目的対応機能セット(PSFS)を記述する項目の定義の「再分類許可」構成体によって提供される。
【0067】
選択されたユーザは、PIIデータ・オブジェクトを再分類することができ、その再分類を許可されているものを含む、任意/全部のPSFSを実行することを認可(許可)されている。この概念は、企業内のユーザの位置のためにセキュリティ管理によってユーザに割り当てられている可能性のあるPSFSへの1組のクリアランスとして本発明内で表された「適格なスター特性」と呼ぶ。
【0068】
病院の例
本発明内で表された概念を例証するために、たとえとして病院事業を使用する。医師、看護士、管理従業員、および患者は、この例では、患者によって所有されるPII情報が病院のコンピューティング・システムを流れ、様々な病院スタッフによってアクセスされ使用されるときに現れるものである。次に、この例について説明を開始する。
【0069】
病院のプライバシ・ステートメントは、4つのオブジェクト・カテゴリに対処するものと想定されている。一般レコード(General Record)は、請求および医療目的ともに、おそらくさらに多くの目的とともに、名前、住所などの一般的な個人情報を含む。医療レコードは、医療目的のみのために、患者に関する医療データを含む。要約医療レコードは、請求目的のみのために使用される。これは、たとえば、保険証券によって規定されている通り、どの医療データが請求書に入るかを正確に含む。会計レコードは、請求目的のみのために使用される。これは、保険の詳細、価格、請求書送付および支払の日付などを含む。
【0070】
病院内の内部では、管理者、看護士、および内科医の役割で動作するプリンシパルが存在する。アクセスは以下の非公式プライバシ・ポリシーによって規制される。すなわち、医療レコードに保管された詳細データに対して実行すること(読み取ることおよびおそらく書き込むこと)を許可されている目的対応機能セット(複数も可)には、病院の内科医および看護士のみがアクセスできる。このように、病院の内科医および看護士は、医療レコードに関して「認可」されていると言われている。要約医療レコードは、病院が看護士に対してリリースしない機密情報である。これらのデータには、病院の管理責任者および内科医のみがアクセスできる。会計レコードには、病院の管理責任者のみがアクセスできる。一方では、排他的アクセス権が存在する。すなわち、内科医には会計レコードを読み取ることを認可してはならず、管理者には医療レコードを読み取ることを認可してはならない。他方では、情報は、要約医療レコードを介して医療レコードから会計レコードへ流れるだけでなければならない。
【0071】
安全かつ正確に再分類し、被制御方式で格下げする機能を有するものとして病院のコンピュータ・セキュリティ管理によって事前定義されたPSFSを実行することを認可されている「信頼されたサブジェクト」の機能により、病院のポリシーについて他の指定を行うことができる。
【0072】
第1の管理者は、報告というPIIラベルを有する目的対応機能セット内の機能を実行することを認可され、内科医は同様に、医療目的のために認可される。これは、要約レコードを読み取る可能性を両当事者に与えるものである。さらに、管理者は会計レコードを読み取ることができ、内科医は医療レコードを読み取ることができるが、逆は不可である。最後に、事前定義された安全かつ正確な方法でのみ医療レコードから要約レコードへの情報の流れを可能にするために、内科医のクリアランスは、たとえば、{{医療}、{医療、報告}}というラベル・セットを含むように定義することができる。したがって、内科医は、彼女が認可され、彼女が医療レコードと要約レコードを読み取れるようにする{医療}というラベルが付いたPSFSを実行することにより開始することができる。次に、その定義が「再分類許可」文節、すなわち、{医療}から{医療、報告}へを含むPSFSを実行することにより、彼女は、{医療}というラベルが付いたPIIを{医療、報告}へ格下げすることを許可されるが、PSFS内に含まれる企業定義の機能のみによる。内科医は決して会計レコードの読取りまたは書込みを行えないことに留意されたい。
【0073】
これに対応して、管理者は、彼女が要約レコードならびに会計レコードを読み取れるようにする{報告}というラベルが付いたPSFSを実行することにより開始することができる。次に、その定義が「再分類許可」文節、すなわち、{報告}から{請求、報告}へを含むPSFSを実行することにより、彼女は、{報告}というラベルが付いたPIIを{請求、報告}へ格下げすることを許可されるが、PSFS内に含まれる企業定義の機能のみによる。この場合も、管理者は決して医療レコードの読取りまたは書込みを行えない。
【0074】
情報は、内科医を介して医療レコードから要約レコードへ、ならびに、管理者を介して要約レコードから会計レコードへのみ流れることができることに留意されたい。
【0075】
要約レコードを読み取るための看護士の能力を妨げるために、処置という追加の目的を導入することができる。看護士(実行することを認可されているPSFS(複数も可)内で定義された機能のため)ならびに医療レコードは{医療、処置}というラベルを有する。したがって、看護士は医療レコードの読取りおよび書込みを行うことができるが、残りのオブジェクトには一切アクセスできない。これで、ポリシー例の指定を完了する。
【0076】
この指定例では、内科医は医療レコードを書き込むことを許可されていない。これは制限と見なすことができるであろう。しかし、この指定は、それぞれ{医療}、{医療、報告}、{医療、処置}というラベルが付いた複数のPSFSを含むようにそのPSFSクリアランスを変更することにより内科医にこの追加の能力を与えるように拡張することができる。したがって、医師は、{医療、処置}というラベルが付いたPSFSを使用するときに自分の医療作業を実行するときに、医療レコードの読取りおよび書込みを行うことができるであろう。しかし、彼女が管理作業を実行するつもりである場合、医療情報を読み取るために{医療}というラベルが付いたPSFS内の機能を実行する。彼女が{医療、処置}というラベルによって保護された何らかの詳細な医療情報を要約レコードに「再分類」することを決定した場合、{医療、処置}というラベルから{医療、報告}というラベルへPIIを再分類し、したがって、格下げするための権限によって事前定義されたPSFSを実行する。
【0077】
利点
当業者であれば、上記の説明から、本明細書に記載したようなデータ・アクセス制御機能を使用することにより、セキュリティ管理者が、機密の個人識別情報(PII)オブジェクトを処理するときに企業のビジネス・ニーズに一致する特定の動作シーケンスにより特定の1組のコンピュータ機能を定義し確立できることに留意することになる。このような事前確立され制御された機能セットおよび関連の動作シーケンスは、このようなPIIオブジェクトにアクセスできる唯一のプロセスであり、したがって、企業プライバシ・ポリシーによって記載されている方法のみでPIIオブジェクトを使用できることを保証する。提示されたデータ・アクセス制御機能は、オブジェクトに必要なプライバシ・レベルに応じたデータ・オブジェクトおよびユーザの分類の概念(そのオブジェクトを正当に使用できる目的につながるもの)と、個別ユーザによって要求されるPIIオブジェクトへのクリアランスによりユーザに許可されている目的対応機能セットへの機能のグループ分けを含む、新しい論理構成体に基づくものである。さらに、本発明によるデータ・アクセス制御機能は、アクセス・イベント状況の力学によりPII分類情報および機能の種々のセットへのユーザ(またはコンピュータ・プロセス)のアクセスを可能にし、それにより、PIIオブジェクトへのアクセスを必要とする情報プロセスに柔軟性を追加し、そのセキュリティを強化する。
【0078】
本発明は、たとえば、コンピュータ使用可能媒体を有する装置(たとえば、1つまたは複数のコンピュータ・プログラム)に含めることができる。この媒体は、本発明の諸機能を提供し促進するためのコンピュータ可読プログラム・コード手段をそこに実施している。この装置は、コンピュータ・システムの一部として含めるかまたは別個に販売することができる。
【0079】
さらに、本発明の諸機能を実行するためにマシンによって実行可能な複数命令からなる少なくとも1つのプログラムを実施するマシンによって読取り可能な少なくとも1つのプログラム・ストレージ・デバイスを提供することができる。
【0080】
本明細書に描写した流れ図は例にすぎない。本発明の精神を逸脱せずに、これらの図またはそこに記載された諸ステップ(または操作)に対する多くの変形態様が存在する可能性がある。たとえば、諸ステップを異なる順序で実行するか、またはステップを追加、削除、または変更することができる。これらの変形態様のすべては、請求された本発明の一部と見なされる。
【0081】
本明細書では好ましい諸実施形態を詳細に示し説明してきたが、特許請求の範囲で定義された本発明の範囲内で様々な変更、追加、置換などが可能であることは当業者にとって明らかなものになるであろう。
【図面の簡単な説明】
【0082】
【図1】本発明の一態様により、データ・アクセス制御機能によって使用するためにそれに割り当てられたPII分類ラベルとともに個人識別情報(PII)オブジェクトを保管するための手法の一例を示す図である。
【図2】本発明の一態様により、データ・アクセス制御機能の1つまたは複数の態様を組み込んで使用するためのコンピューティング環境の一実施形態を示す図である。
【図3】本発明の一態様により、ユーザがPIIデータ・オブジェクトからデータを読み取り、そこにデータを書き込むときに、確立されたプロセス内で変更が行われるユーザの現行プロセス・ラベル(CPL)を示す操作例を示す図である。
【図4】本発明の一態様により、PIIデータ・アクセス制御機能によって実現された処理の一実施形態の流れ図である。
【図5】本発明の一態様により、ユーザが特定の機能を使用できるかどうかを確認するための一論理実施形態の流れ図である。
【図6】本発明の一態様により、要求されたオブジェクトがPIIデータ・オブジェクトを有するかどうかを判定することを含む、データ・アクセスを行えるようにするかどうかを判定するための一論理実施形態の流れ図である。
【図7】本発明の一態様により、所望の特定の機能が読取り操作を有するときに、ユーザがPII制御プロセスとして続行できるかどうかを判定するための一論理実施形態の流れ図である。
【図8】本発明の一態様により、所望の特定の機能が書込み操作を有するときに、ユーザがPII制御プロセスとして続行できるかどうかを判定するための一論理実施形態の流れ図である。
【技術分野】
【0001】
本発明は、一般に、コンピュータ・システム内の個人情報のセキュリティに関し、詳細には、企業のコンピュータ・システム内の個人識別情報(PII:personally identifying information)オブジェクトまたはリソースに対するユーザによるアクセスを制御する条件付きアクセス機能の実現および使用に関する。
【背景技術】
【0002】
コンピューティング技術および通信技術の進歩は、人および組織が膨大な量の個人情報を保管し処理することを可能にすることにより、プライバシを圧縮し続けている。データのプライバシを確保するため、保管データ、転送中のデータを保護し、データのリリースをある程度制御することが必要である。保管データの保護は新たに開発されたプライバシ・ポリシー言語およびその執行によりある程度カバーされるが、企業のコンピューティング機能内からの個人識別情報の正しい使用を保証し、したがって、そのリリースを制御するために現在提案されているメカニズムはまったく存在しない。伝統的に、コンピュータ・システムのセキュリティを管理するには、組織のセキュリティ・ポリシーを比較的低レベルの制御セット、概して、アクセス制御リストにマッピングすることが必要であった。すなわち、個別ユーザ(人または論理プロセス)はまずコンピューティング・システムに対して十分に識別され認証されるものと想定すると、保護されたコンピュータ・システム内の文書、プログラム、機能、およびその他の「オブジェクト」に対する個別ユーザのアクセスは、単に所与のオブジェクトにアクセスする資格がある人の名前のリストとユーザの名前を比較することにより、セキュリティ・システム、たとえば、システム・セキュリティ・マネージャによって制御される。一般的に言えば、この技法は任意アクセス制御またはDACとして知られている。
【0003】
米国政府内およびその他で広範に使用されるコンピュータ・システムのセキュリティのためのより高性能かつ十分開発されたモデルによれば、コンピューティング・システム内のオブジェクトへのアクセスは、ユーザおよび保護コンピュータ・リソース・オブジェクトに関連する論理セキュリティ・レベル(階層的なもの)またはカテゴリ(階層的ではないもの)あるいはその両方により実現された区画化の論理システムによって制御することができる。このようなシステムは、「マルチレベル・セキュア」(「MLS:multilevel secure」)システムと呼ばれ、1973年11月発行のMITRE Report、MTR 2547の「Secure computer systems: Mathematical foundations and model」においてD.BellおよびL.LaPadulaによって定義されたBell−LaPadulaセキュリティ・モデルの実現例である。このようなシステムの開発、検証、および実現には相当な投資が行われている。
【0004】
MLSシステムでは、(割当てにより)最高のセキュリティ・レベルおよび最大数のカテゴリに関連するユーザは、システム内で最高のセキュリティ・レベルを有するものと言われている。保護オブジェクトを読み取るための権限は、要求側ユーザが(コンピューティング・システムに対する適切な識別および認証後)少なくとも要求されたオブジェクトのものと同じ高さの関連セキュリティ・レベルを有し、ユーザが要求されたオブジェクトに関連するものを含む1組のカテゴリ(1つまたは複数)を有するときに、ユーザに付与される。この場合、ユーザは、そのオブジェクトより「上位になる」と言われている。逆に、MLS保護オブジェクトに書き込むための権限は、要求されたオブジェクトが少なくとも要求側ユーザのものと同じ高さの関連セキュリティ・レベルを有し、そのオブジェクトが少なくとも要求側ユーザに関連するカテゴリを含む1組のカテゴリを有するときに、ユーザに付与される。この場合、オブジェクトはユーザより上位になると言われている。Bell−LaPadulaモデルによって定義されたこれらのプリンシパルにより、MLS保護情報は、より低いセキュリティ・レベルからより高いセキュリティ・レベルに、またはより少数のカテゴリからより多数のカテゴリに、あるいはその両方で移動するので、あるオブジェクトから読み取られ、他のオブジェクトに書き込まれたときに、よりセキュアなものになりうることが分かる。逆に、実際上、Bell−LaPadulaモデルの逆である許可検査のためのモデルは、1977年発行の米国空軍電子システム部門のTechnical Report 76−372の「Integrity considerations for secure computer systems」においてK.Bibaによって記載されている。Bibaは、データおよびプログラミング・システムが、その作成時に使用されたデータおよびプログラミング・システムの保全性と、このような保全性を保証するための処理モデルに依存することを示している。Bell−LaPadula(MLS)モデルとBibaモデルの「逆MLS(MLS-inverse)」態様の両方は、コンピューティング業界、たとえば、インターナショナル・ビジネス・マシーンズ社(IBM)によって提供されるz/OSオペレーティング・システムの任意選択のコンポーネントであるリソース・アクセス管理機能(RACF)というプログラム内で現在、使用されている。z/アーキテクチャについては、2001年10月発行の「z/Architecture Principles of Operation」というタイトルのIBM資料(資料番号SA22−7832−01)に記載されている。さらに、RACFについては、2002年9月発行の「z/OS V1R4.0 Security Server RACF Security Administrator's Guide」というタイトルのIBM資料(SA22−7683−03)に記載されている。
【非特許文献1】1973年11月発行のMITRE Report、MTR 2547の「Secure computer systems: Mathematical foundations and model」
【非特許文献2】2001年10月発行の「z/Architecture Principles of Operation」というタイトルのIBM資料(資料番号SA22−7832−01)
【非特許文献3】2002年9月発行の「z/OS V1R4.0 Security Server RACF Security Administrator's Guide」というタイトルのIBM資料(SA22−7683−03)
【非特許文献4】2002年10月発行の「DB2 UDB for OS/390 V7 An Introduction to DB2 for OS/390」という資料(SC26−9937−02)
【非特許文献5】1990年にマサチューセッツ州レディングのAddison−Wesleyから発行されたS.Skienaによる「Implementing Discrete Mathematics: Combinatorics and Graph Theory with Mathematica」の§5.4.2の「Hasse Diagrams」の163、169〜170、および206〜208ペー
【発明の開示】
【発明が解決しようとする課題】
【0005】
PII保護オブジェクトの制御に関する要件は、保護オブジェクトおよびそれにアクセスするユーザのカテゴリ化を伴う手法に傾いている。MLS保護オブジェクトにカテゴリを割り当てるのと同様に、PII保護オブジェクトに目的を割り当てることができる。しかし、PIIデータ・オブジェクトの制御に関する要件は基本的に、より多くの目的(そのためにアクセスが行われる可能性があるもの)がそれに関連するときにPIIデータ・オブジェクトが必要とするセキュリティが低くなるという点で、MLS保護オブジェクトの制御に関する要件とは異なっている。これは、目的の数が増えると、PIIデータ・オブジェクトがあまりプライベートなものではなくなることを意味するからである。PII目的とMLSカテゴリとの類似性を引き出すことができる場合でも、階層的なMLSセキュリティ・レベルに関しては同様の類似性はまったく存在しない。加えて、伝統的なMLS手法ではユーザとオブジェクトを扱うが、PII目的については、単純にユーザを考慮することができず、ユーザならびにユーザが実行するプログラム(プロセス)と、PIIデータにアクセスするためにプログラムが有する理由(目的)の両方を考慮しなければならない。したがって、当技術分野では、効率の良いプライバシ・モデルを実現し、たとえば企業全域の情報フローを不当に制限せずに個人情報のリリースおよび伝搬の精密な制御を可能にする、本明細書で提示されているような新規のデータ・アクセス制御機能が必要である。
【課題を解決するための手段】
【0006】
一態様では、本発明は、PIIデータ・オブジェクトへのアクセスを制御するための備えを有するデータ・アクセス制御機能を実現する方法を提供する。この方法は、1つのPIIデータ・オブジェクトがそれに割り当てられた1つのPII分類ラベルを有するように、PII分類ラベルをPIIデータ・オブジェクトに割り当てるステップと、PIIデータ・オブジェクトを読み取るか、書き込むか、または再分類するアプリケーション機能のリストを有する少なくとも1つのPII目的対応機能セット(PSFS:purpose serving function set)を定義するステップと、各PSFSにPII分類ラベルを割り当てるステップとを含む。ここで、PIIデータ・オブジェクトは、そのPIIデータ・オブジェクトのPII分類ラベルに等しいかまたはその適切なサブセットであるPII分類ラベルを有するPII PSFSのアプリケーション機能を介してのみアクセス可能である。
【0007】
一実施形態は、PIIデータ・オブジェクトは、そのPIIデータ・オブジェクトのPII分類ラベルに等しいかまたはそれより優位であるPII分類ラベルを有するPII PSFSのアプリケーション機能によって書込みアクセス可能である。PIIデータ・オブジェクトは、PII PSFSに許可されるPII再分類のリストを有するPII PSFSのアプリケーション機能によって書込みアクセス可能である場合もある。
【0008】
一実施形態では、この方法は、データ・アクセス制御機能の特定の機能を呼び出すユーザを識別し、識別されたユーザにPIIクリアランス・セット(clearance set)を割り当てるステップを含む。ここで、PIIクリアランス・セットは識別されたユーザに関する1つまたは複数のPII分類ラベルのリストを有する。
【0009】
PIIデータ・オブジェクトに割り当てられたPII分類ラベルは、PIIデータ・オブジェクトの所有者の識別を含むことができる。
【0010】
PIIデータ・オブジェクトに割り当てられたPII分類ラベルは、そのためにデータ・オブジェクトを使用できる少なくとも1つの目的の表示を含むことができる。
【0011】
この方法は、初めにデータ・アクセス制御機能を使用するために企業内のPII目的を定義し、PIIデータ・オブジェクトに割り当てられ、少なくとも1つのPSFSに割り当てられるPII分類ラベルを定義する際に上記PII目的を使用するステップを含むことができる。
【0012】
本発明の他の態様では、データ・アクセス制御機能がPIIデータ・オブジェクトおよび少なくとも1つのPII目的対応機能セット(PSFS)に割り当てられる個人識別情報(PII)分類ラベルを有し、PSFSがPIIデータ・オブジェクトを読み取るかまたは書き込むアプリケーション機能のリストを含み、データ・アクセス制御機能のユーザに、少なくとも1つのPII分類ラベルを含むリストを有するPIIクリアランス・セットが割り当てられる状況において、次のデータ・アクセス制御方法が提供される。すなわち、データ・アクセス制御機能のユーザにより、特定の機能を呼び出すステップと、特定の機能がデータ・アクセス制御機能の少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されているかどうかを判定し、そうである場合に、ユーザのPIIクリアランス・セットがそのPII PSFSに割り当てられたPII分類ラベルと一致するPII分類ラベルを含むかどうかを判定し、さらにそうである場合に、特定の機能へのアクセスを許可するステップと、特定の機能を実行するために、ユーザが、選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップとを含むデータ・アクセス制御方法が提供される。
【0013】
このデータ・アクセス制御方法は、呼出しステップの前に、データ・アクセス制御機能のセキュリティ制御下でオペレーティング・システム内のプロセスを確立するステップを含むことができる。この呼出しは、その後、確立されたプロセス内で行われる。
【0014】
特定の機能が定義されているかどうかを判定するステップは、特定の機能がデータ・アクセス制御機能のPII PSFSに対して定義されておらず、確立されたプロセスについて現行プロセス・ラベル(CPL:current process label)が事前に設定されている場合に、特定の機能へのアクセスを拒否するステップを含むことができる。
【0015】
ユーザが、特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップは、選択されたデータ・オブジェクトがPIIデータ・オブジェクトから構成されるかどうかを判定し、そうである場合に、ユーザの特定の機能がデータ・アクセス制御機能の少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されていることを検証し、そうではない場合に、選択されたデータ・オブジェクトへのアクセスを拒否するステップを含むことができる。
【0016】
ユーザが、特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップは、選択されたデータ・オブジェクトがPIIデータ・オブジェクト以外のものである場合に、確立されたプロセスについて現行プロセス・ラベル(CPL)が設定されているかどうかを判定するステップを含むことができる。CPLがまったく設定されていない場合、この方法は、任意アクセス制御検査を介して選択されたデータ・オブジェクトにアクセス決定を提供するステップを含むことができる。
【0017】
ユーザが、特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップは、そのプロセスについてCPLが事前に設定されており、選択されたデータ・オブジェクトがPIIデータ・オブジェクト以外のものである場合に、特定の機能が読取り操作であるかどうかを判定し、そうである場合に、任意アクセス制御検査を介して選択されたデータ・オブジェクトにアクセス決定を提供し、特定の機能が読取り操作以外のものである場合に、確立されたプロセスから選択されたデータ・オブジェクトへのアクセスを拒否するステップを含むことができる。
【0018】
ユーザが、特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップは、特定の機能が読取り操作を有するかどうかを判定し、そうである場合に、特定の機能が定義されているPII PSFSに割り当てられたPII分類ラベルが選択されたデータ・オブジェクトに関連するPII分類ラベルに等しいかまたはその適切なサブセットであるかどうかを判定し、そうではない場合に、選択されたデータ・オブジェクトへのアクセスを拒否し、そうである場合に、確立されたプロセスに関する現行プロセス・ラベル(CPL)リストに選択されたデータ・オブジェクトのPII分類ラベルを追加するステップを含むことができる。
【0019】
ユーザが、特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップは、特定の機能が読取り操作以外のものであることを決定し、そうであるときに、確立されたプロセスに関する現行プロセス・ラベル(CPL)リストが存在するかどうかを判定し、そうではない場合に、任意アクセス制御検査を介して続行するために選択されたデータ・オブジェクトにアクセス決定を与えるステップを含むことができる。
【0020】
確立されたプロセスに関するCPLリストが存在する場合、このデータ・アクセス制御方法は、選択されたデータ・オブジェクトのPII分類ラベルがCPL項目のそれぞれに等しいかまたはその適切なサブセットであるかどうかを判定し、そうである場合に、任意アクセス制御検査を介して続行するために選択されたデータ・オブジェクトにアクセス決定を与えるステップを含むことができる。
【0021】
PIIデータ・オブジェクトのPII分類が各CPLリスト項目のPII分類ラベルに等しくないかまたはその適切なサブセットではない場合、この方法は、特定の機能が定義されているPII PSFSがCPLリスト内のPII分類ラベル(複数も可)からPIIデータ・オブジェクトのPII分類ラベルへの再分類を可能にするかどうかを判定し、そうである場合に、任意アクセス制御検査を介して続行するために選択されたデータ・オブジェクトにアクセス決定を与え、そうではない場合に、PIIデータ・オブジェクトへのユーザ・アクセスを拒否するステップを含むことができる。
【0022】
このデータ・アクセス制御方法は、確立されたプロセスに対して、該確立されたプロセス内で読み取られた各PIIデータ・オブジェクトのPII分類ラベルの動的リストを有する現行プロセス・ラベル(CPL)リストを提供するステップ含むことができる。
【0023】
このデータ・アクセス制御方法は、特定の機能が第2のPIIデータ・オブジェクトへの書込み操作であるときに、確立されたプロセスのユーザが第2のPIIデータ・オブジェクトにアクセスできるようにするかどうかを判定するときにCPLリストを使用するステップをさらに含むことができる。第2のPIIデータ・オブジェクトは、それから情報が読み取られたPIIデータ・オブジェクトに関連するPII分類ラベルとは異なるPII分類ラベルを有し、それにより、読み取られた情報を再分類することができる。
【0024】
このデータ・アクセス制御方法は、少なくとも1つのPII PSFSに関連する「再分類許可(reclassification allowed)」パラメータを提供するステップ含むことができる。「再分類許可」パラメータが設定されている場合、そのパラメータが、対応する少なくとも1つのPII PSFS内で定義されたすべての機能に関連付けられる。そして、CPLリストに含まれるPII分類ラベルのそれぞれと同一ではないかまたはその適切なサブセットではないPII分類ラベルを有するPIIデータ・オブジェクトに情報を書き込むときに、そのパラメータにより、これらの機能のうちの1つを実行するユーザはPIIデータ・オブジェクトを再分類することを許可される。
【0025】
上記で要約されている方法に対応するシステムおよびコンピュータ・プログラムも本明細書に記載され、請求されている。このコンピュータ・プログラムは、記録媒体に記録されたコンピュータ・プログラムとして入手可能なものまたはデータ転送媒体を介してダウンロード用として入手可能なものにすることができる。このシステムはデータ・アクセス制御機能を実現することができる。
【0026】
さらに、追加の特徴および利点は、本発明の技法により実現される。本発明のその他の諸実施形態および諸態様は、本明細書に詳細に記載され、請求された発明の一部と見なされる。
【0027】
本発明と見なされる主題は、特許請求の範囲で詳細に指摘され、明確に請求されている。本発明の上記その他の特徴および利点は、添付図面に併せて示した以下の詳細な説明から明らかである。
【発明を実施するための最良の形態】
【0028】
本明細書には、個人識別情報(PII)に関するセキュリティを提供するデータ・アクセス制御機能が提示されている。この機能により、PII情報へのアクセスは、プライバシ分類コンピュータ化リソース(おおざっぱに、本明細書では「オブジェクト」または「データ・オブジェクト」という)へのアクセスが行われるコンピュータ・プロセスの実行中またはその実行に至るときに存在する(または実施される)可能性がある様々な「条件」に基づくものである。このような条件は、(1)そこでユーザがPIIオブジェクトへのアクセスを要求したアプリケーション機能、(2)ユーザがコンピューティング機能に対してどのように識別され認証されるか、(3)ユーザがどこにいるか、(4)要求の時間、(5)プログラムにより確認できるその他のコンテキスト上および環境上の要因を含むことができるが、これらに限定されない。
【0029】
本発明の一態様によれば、任意の所与のアクセス制御検査イベントに条件を適用できる方法がいくつか存在する。たとえば、(1)プライバシ分類は、ユーザがPII機密オブジェクトにアクセスしようとしたときに実施される条件に動的に基づいてそのユーザに割り当てることができるか、または(2)その代わりに(またはしかも)、あるオブジェクトに対するプライバシ分類は、同様の条件、時には同じ条件に動的に基づくものにすることができる。したがって、本明細書に提示されているデータ・アクセス制御機能は、アクセス・イベント状況の力学により、PII分類オブジェクトおよび機能の種々の「セット」へのアクセスをユーザまたはコンピュータ・プロセスに対して有利に許可し、それにより、個人識別情報へのアクセスを必要とする情報プロセスのセキュリティに柔軟性を追加し、そのセキュリティを強化する。
【0030】
おおざっぱに言えば、本明細書には(一態様では)、データ・アクセス制御機能を実現するための技法が開示されており、これは、個人識別情報(PII)分類ラベルをPIIオブジェクトに割り当てることを含み、各PIIデータ・オブジェクトはそれに割り当てられた1つのPII分類ラベルを有する。少なくとも1つのPII目的対応機能セット(PSFS)が定義され、これは、PIIデータ・オブジェクトを読み取るか、書き込むか、または再分類するアプリケーション機能のリストを有する。各PSFSにもPII分類ラベルが割り当てられる。使用されている場合、PIIオブジェクトは、そのオブジェクトのPII分類ラベルに等しいかまたはそのサブセットであるPII分類ラベルを有するPII PSFSのアプリケーション機能を介してのみ読み取ることができるか、またはそのオブジェクトのPII分類ラベルに等しいかまたはそれより優位であるPII分類ラベルを有するかまたはPSFSによって許可されたPII再分類のリストを有するPII PSFSのアプリケーション機能を介してのみ書き込むことができる。
【0031】
操作上、データ・アクセス制御機能の使用は、コンピューティング・システム内で実行されているコンピューティング・アプリケーションのユーザにより、特定の機能を呼び出すことと、特定の機能がデータ・アクセス制御機能のPSFSに対して定義されているかどうかを判定し、そうである場合に、ユーザのPIIクリアランス・セット(少なくとも1つのPII分類ラベルを含むリストを有するもの)がそのPSFSに割り当てられたPII分類ラベルと一致するPII分類ラベルを含むかどうかを判定し、そうである場合に、特定の機能へのアクセスを許可することと、特定の機能を実行するために、ユーザが、選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定することを含む。したがって、以下に詳細に説明する通り、本発明の一態様によるPIIデータ・アクセス制御機能は、初めにユーザが特定の機能にアクセスする資格があるかどうかを判定し、その後、ユーザが、選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するために使用される。
【0032】
PIIデータ・アクセス制御機能についてより詳細に論ずる前に、以下の論理構成体を定義する。本明細書で論じられる例では、PII制御機能は、病院事業に使用されるものと想定される。この想定は一例に過ぎない。
【0033】
PII分類ラベル:
PIIデータ・オブジェクトの所有者をリストし、そのためにこのように分類されたPIIデータ・オブジェクトを使用でき、所有者によって選択された1つまたは複数の目的のリストを含む。例としては、所有者であるユーザIDx、目的である医療、処理、報告、請求などがある。PII保護データ・オブジェクト内に含まれる情報の後続ユーザは、元の所有者によって同意され、PII分類ラベルに指定された目的にのみ、その情報を使用することができる。そのためにPIIオブジェクトを使用できる目的は、ユーザがそのデータに対して実行することを許可されている機能内で具体化される。
【0034】
PII目的対応機能セット(PSFS):
PIIオブジェクトを読み取る/書き込むアプリケーション機能のリストである。PSFS自体は、特定のPII分類ラベルでラベルが付けられる。所与のPSFS内の機能のリストは、特定プログラム、アプリケーション、EJB(Enterprise Java Bean)、メソッド、データベース管理開始手順、SQL照会などのアプリケーション内の機能を含むことができる。PSFSは任意選択で、指定のPSFSを実行しているユーザが、同じコンピュータ・オペレーティング・システム・プロセス内でユーザが事前に読み取ったPIIデータのPIIラベル(複数も可)が記録されている現行プロセス・ラベル(CPL)内に保管されたPIIラベル(複数も可)に含まれない目的を含むPIIラベルを有するPIIオブジェクトにデータを書き込む場合および書き込むときに、指定のPSFSによって許可されたPII分類変更(再分類)のリストを含むことができる。
【0035】
PIIデータ・オブジェクト:
関連PII分類ラベルが付いた任意のリソース、文書、プログラム、機能などである。所与のPIIオブジェクトは、1つのPII分類ラベルのみを有することができる。PIIデータ・オブジェクトの所有者は、オブジェクトならびにそのオブジェクトを使用できる目的(複数も可)に関連するラベルに含まれる。完璧にするため、PIIデータ・オブジェクトの所有者は、本発明の主題であるPIIアクセス制御検査が全般的なアクセス制御検査プロセス内のその部分を完了した後のある点におけるアクセス制御検査中に活動し始めるので、この説明に含まれる。より具体的には、PII保護データ・オブジェクトの所有者は、それ自体のデータ・オブジェクトのみにアクセスすることができ、他の所有者によって所有されているPII保護データ・オブジェクトにアクセスすることはできず、この概念は、当技術分野内でDACとして知られている任意アクセス制御検査によって実施される。
【0036】
サブジェクト:
ユーザIDおよびグループID(ユーザIDのグループ)は、(PIIデータの)所有者および企業ユーザ、すなわち、データ・オブジェクトにアクセスし、その企業機能の一部として特定の目的対応機能セット(複数も可)により機能を実行するために企業セキュリティ管理によって許可を与えられているものを含む。
【0037】
ユーザPIIクリアランス・セット:
企業ユーザに割り当てられるPII分類ラベル(複数も可)のリストである。ユーザPIIクリアランス・セットは、その中からユーザが企業内で機能を実行することを許可される1つまたは複数の目的対応機能セットを確立するものである。たとえば、管理者は、{報告}、{請求、報告}というPIIクリアランス・セットを有することができ、したがって、それにより、{報告}または{請求、報告}のいずれか一方のPIIラベルを有する目的対応機能セット内に入るように定義される機能を実行することを許可される。医師は、{医療}、{医療、報告}というPIIクリアランス・セットを有することができ、したがって、{医療}または{医療、報告}のいずれか一方のPIIラベルを有する目的対応機能セット内に入るように定義される機能を実行することを許可される。看護士は、{処置}、{医療、処置}というPIIクリアランス・セットを有することができる。
【0038】
PII現行プロセス・ラベル(CPL):
ユーザのオペレーティング・システム・プロセスに動的に割り当てられ、ユーザがPII保護オブジェクトにアクセスするときに、それに応じて更新されるPIIラベルである。CPLは、所与のコンピュータ・オペレーティング・システム・プロセス中にユーザが読み取る任意の1つまたは複数のPIIオブジェクトのPIIラベルのレコードを含むように動的に更新される。
【0039】
セキュリティ管理者は、特定の企業に関するPIIデータ・アクセス制御機能をセットアップするものと想定されている。管理上、この機能の実現は以下のものを含むことができる。
1)セキュリティ管理者は、たとえば、PIIデータ・アクセス制御機能を実施するIBMのRACFなどのセキュリティ・マネージャに対して有効な目的セットを定義する。病院の例の場合は以下の通りである。
この企業に関する有効なPII目的は、以下のものを含むことができるであろう。
目的1(例:医療)
目的2(例:処置)
目的3(例:請求)、・・・
目的n(例:報告)
2)セキュリティ管理者は、様々なリソース/オブジェクトにPIIラベルを割り当てる。
オブジェクト名(例:要約医療レコード(SummaryMedical Record))
PII分類ラベル(例:{医療、報告})
3)セキュリティ管理者は、個別ユーザおよびユーザのグループを定義するが、これは進行中の活動である。たとえば、ユーザは以下のものを毎日変更することができる。
ユーザIDa(例:患者であるユーザ)グループPATIENTSに追加する
ユーザIDx(例:看護士であるユーザ)グループNURSESに追加する
ユーザIDy(例:医師であるユーザ)グループDOCTORSに追加する
4)セキュリティ管理者は、適切な各ユーザにユーザPIIクリアランス・セットを割り当てる。たとえば、以下の通りである。
ユーザIDx(例:看護士であるユーザ)PIIクリアランス・セット(例:[{処置}、{医療、処置}])
5)セキュリティ管理者は、セキュリティ・マネージャに対して目的対応機能セット(複数も可)を定義する。
PSFS名前1
関連プログラム機能のリスト
プログラムx
メソッドy
Enterprise Java Bean z
6)セキュリティ管理者は、PSFSにPIIラベルを割り当てる。
PSFS名前1−PII分類ラベル{医療、処置}
7)セキュリティ管理者は、PIIオブジェクトに書き込むためにこのPSFSが使用されるときに行うことが許可されるPII再分類を割り当てる。すなわち、{医療、処置}から{医療、報告}への再分類が許可される。所与のPSFSは、その実行中に許可される再分類の集団(したがって、リスト)を有することができる。
【0040】
図1は、本発明の一態様により、リレーショナル・データベース管理システムおよびストレージ12内に(またはその中の)完全医療レコード(Complete Medical Record)14,要約医療レコード16、患者会計レコード(Patient FinancialRecord)18などのPIIオブジェクトを入力する(またはそれにアクセスする)個人識別情報(PII)所有者10(病院事業の一例における患者など)の一例を示している。操作上、患者10は、患者用に作成された目的対応機能セット(PSFS)内の特定の機能を呼び出すことができる。この特定の機能は、インターナショナル・ビジネス・マシーンズ社によって提供されるDB2リレーショナル・データベース管理システムなどのリレーショナル・データベース管理システム内のPIIデータ・オブジェクトを保管するために使用することができ、これについては、2002年10月発行の「DB2 UDB for OS/390 V7 An Introduction to DB2 for OS/390」という資料(SC26−9937−02)に記載されている。データは、適切な事前定義PII分類ラベルが付いた個々のテーブル行列位置に保管することができる。患者の個人データは、その後、異なるPII分類ラベルが付いた様々なPIIデータ・オブジェクト内に常駐する。図1の例では、{医療、処置}、{医療、報告}、{請求、報告}というラベルは一例としてのみ示されている。その後、患者は、指定されたPSFS機能を介して自分自身のPIIデータ・オブジェクトを表示することができ、これにより、特定の患者はその患者が所有者であるPIIオブジェクトのみを表示できることになるであろう。
【0041】
図2は、本明細書に開示されているようなPIIデータ・アクセス制御機能を実現する企業コンピューティング環境の一例を示している。この例では、PIIデータの所有者または企業の従業員あるいはその両方などのユーザ21は、インターネット22の全域からファイアウォール24を通って、企業内のサーバ上で実行されるトランザクション・マネージャ25にアクセスする。代わって、ファイアウォール24内のユーザ21aは、トランザクション・マネージャ25を含むサーバに直接アクセスできるであろう。リレーショナル・データベース管理システム26は、この例ではサーバ上にも常駐し、関連ストレージ27内のテーブル28に含まれるPIIラベル付きオブジェクト29にアクセスする。オブジェクト・ストレージ27は、任意の所望の形を取ることができる。z/OSオペレーティング・システム用のオプションとしてインターナショナル・ビジネス・マシーンズ社によって提供される上記で参照したRACFなどのセキュリティ・マネージャ30は、その企業用のセキュリティ管理32によって維持されるセキュリティ・レジストリ31を調べる。レジストリ31は、関連PIIラベルが付いた、グループを含むユーザと、目的を定義することができ、アクセス・ルール、監査制御などを含む、オブジェクト・カテゴリを定義することができる。
【0042】
操作上、および以下により詳細に説明する通り、特定の機能(PSFS内で定義される場合もあれば、定義されない場合もある)を実行するためのトランザクション・マネージャに対するユーザの要求の結果、オペレーティング・システム内に「プロセス」が作成される。これは、インターネットを介してコンピューティング・システムに接続されているユーザからの、またはローカルに接続されているユーザ、たとえば、従業員からの要求の結果として行うことができる。本発明の主題であるPIIデータ・アクセス制御機能を具体化するオペレーティング・システム・プラットフォーム・セキュリティ・マネージャは、要求された機能を実行するためのユーザの権限を決定するために、トランザクション・マネージャによって呼び出される。承認されると、その機能は実行を開始し、その後、その通常処理の一部として、リレーショナル・データベース管理システムの制御下にある(それが想定されている)PIIラベル付きデータについてトランザクション・マネージャを介して要求を生成する。データベース管理システムは、要求側ユーザが所望のPIIオブジェクトへのアクセスを許可されるかどうかを判定するためにセキュリティ・マネージャを呼び出す。セキュリティ・マネージャは、たとえば、要求されたオブジェクトに関連するPIIラベル、ユーザに関連するPIIラベル、およびそのオブジェクトに関するその他の関連アクセス・ルールに基づいて、決定を提供する。この場合も、PIIラベルおよびその他のアクセス・ルールは、セキュリティ管理者によって確立して維持し、セキュリティ・マネージャによってアドレス可能なセキュリティ・レジストリに保管することができる。
【0043】
図3は、本発明の一態様により、病院環境内で目的対応機能セットを活用する情報フローを示している。
【0044】
この例では、医師などのユーザは、その機能にサインオンし、ユーザの現行オペレーティング・システム・プロセスから、特定のアプリケーション機能を実行しようと試みる。ユーザには、企業セキュリティ管理によって、ユーザPIIクリアランス・セットが割り当てられており、そのセットは、この例では、[{医療}、{医療、報告}、{医療、処置}]を有するものと想定される。特定の機能がPII目的対応機能セット(PSFS)内にある場合、ユーザのPIIクリアランス・セットは、そのユーザが特定の機能を実行できるようにするためにそのPSFSに割り当てられたPIIラベルを含まなければならない(図5を参照)。たとえば、「医療」というPSFS分類ラベル41を使用すると、医師などのユーザは、リレーショナル・データベース管理システム44から「完全医療レコード」を読取り始めることができる。{医療、処置}というPIIラベルを有する「完全医療レコード」を読み取ると、ユーザの現行プロセス・ラベル(CPL)はそのデータのラベルに設定され、それにより、ユーザの現行オペレーティング・システム・プロセスに読み込まれた任意のデータのラベルの「履歴」を保持する。CPLは、後で、このプロセス内から行われる任意の書込み操作より先行する許可処理の一部の間に参照され、同一またはより少数の目的を備えたラベルを有する他のPIIラベル付きデータ・オブジェクトのみにPIIデータが書き込まれることを保証するか、またはこのプロセスに読み込まれたPIIデータと書き出されているPIIデータとこの特定の組み合わせとともにこのPSFSを使用して、PIIデータ再分類が許可されることを保証する。たとえば、自分のユーザ・クリアランス・セット内に{医療、報告}というユーザ・クリアランスを有し、したがって、[{医療}]というPIIラベルを有する目的対応機能セット「PSFS−D」内に入るように定義された機能を実行することができるユーザは、「完全医療レコード」から読み取ることはできるが、それに書き込むことはできず、PSFS−Dには{医療、処置}から{医療、報告}へのPII再分類が許可されているので、「要約医療レコード」については読取りと書込みの両方を行うことができる。逆に、ユーザは、ユーザのPIIクリアランス・セット内に定義されていないPII分類ラベルを有するPSFS内で定義された機能を呼び出すことができず、それにより、ユーザのPIIクリアランス・セットの範囲外のPIIオブジェクトにアクセスすることができない。たとえば、図3のユーザ1は、「患者会計レコード」の読取りまたは書込みを行うことができない。
【0045】
図4〜8は、本発明の一態様によるPIIデータ・アクセス制御機能の上記で紹介した処理の一例をより詳細に示している。図4を参照すると、PII制御機能の使用は、60で目的対応機能セット(PSFS)内で定義可能な事前確立アプリケーション機能を実行するために、50でユーザがトランザクション・マネージャに対する要求を行うことから始まる。この結果、その中でトランザクション・マネージャ自体が実行されるオペレーティング・システム・プラットフォーム内で「プロセス」が論理的に作成される。また、本明細書に開示されている個人識別情報(PII)概念を実現するデータ・アクセス制御機能は、オペレーティング・システム・プラットフォーム内で実行されるか、またはそれに論理的に接続される。ある機能を実行しようとするユーザの試みを処理するための論理の一例は、図5に関連して以下に記載されている。ユーザが特定の機能へのアクセスを許可されているものと想定すると、70でトランザクション・マネージャは選択されたPIIデータ・オブジェクトへのユーザのためのアクセスを要求する。80でセキュリティ・マネージャは、ユーザが、選択されたPIIオブジェクトへのアクセスを許可されているかどうかを判定するために呼び出され、セキュリティ・マネージャはユーザ・アクセスを許可するかどうかの決定を提供する。90において、選択されたPIIデータ・オブジェクトへのユーザ・アクセスを許可するかどうかというこの決定は、部分的に、特定の機能が読取りまたは書込みを呼び出すかどうかに基づくものである。特定のPIIデータ・オブジェクトへのアクセスを許可するかどうかを判定するための論理の一実施形態は、図6〜8に提示されている。
【0046】
上記の通り、図5は、ユーザが特定の機能を実行しようと試みるときに実現される処理の一例である。一例として、この処理は、図4のステップ60から呼び出すことができるであろう。初めに、102でユーザは特定のアプリケーション機能を指定し、104でセキュリティ・マネージャ処理はその機能がPSFSに対して定義されているかどうかを判定する。104で特定の機能がPSFSに対して定義されていない場合、105でセキュリティ・マネージャ処理は現行プロセス・ラベル(CPL)が事前に設定されているかどうかを判定し、そうである場合、セキュリティ・マネージャ処理は110で特定の機能へのアクセスを拒否し図4に戻る。現行プロセス・ラベルが事前に設定されていない場合、ユーザが、選択されたデータ・オブジェクトへのアクセスを許可されているかどうかをさらに評価するために、106でセキュリティ・マネージャ処理は単に図4に戻るだけである。104で特定の機能がPSFSに対して定義されている場合、108でセキュリティ・マネージャ処理はユーザのPIIクリアランス・セットがそのPSFSに割り当てられたPII分類ラベルを含むかどうかを判定する。ユーザのクリアランス・セットがそのPSFSに割り当てられたPII分類ラベルを含まない場合、ユーザはその機能へのアクセスを拒否され、処理は図4に戻る。
【0047】
108でユーザのクリアランス・セットがそのPSFSに割り当てられたPII分類ラベルを含む場合、何らかの時点でアプリケーションが図4の70でトランザクション・マネージャを介して要求を行い、そのトランザクション・マネージャがその要求をデータベース・マネージャ(たとえば、DB2)に回し、そのデータベース・マネージャが図4の80でセキュリティ・マネージャを呼び出し、そのセキュリティ・マネージャがユーザが保護データ・オブジェクトにアクセスすることを許可されているかどうかを判定し、図4の90で決定を提供し、その決定が適切なアクションのためにデータベース・マネージャに返されるまで、アプリケーション処理は112を介して続行される。
【0048】
図6は、選択されたPIIデータ・オブジェクトへのユーザ・アクセスを許可するかどうかを評価するときにセキュリティ・マネージャによって実現可能な決定プロセスの一例を示している。初めに、120で処理はオブジェクトがPIIラベルを有するかどうかを判定する。そうではなく、しかも125でユーザのプロセスに関する現行プロセス・ラベルが事前に設定されていない場合、127でセキュリティ・マネージャ処理は従来の任意アクセス制御検査を介してアクセス決定を提供する。任意アクセス制御(DAC)検査は、アクセス制御検査を実行するための手法であり、オペレーティング・システムのセキュリティ・マネージャの諸機能、たとえば、z/OSオペレーティング・システムとともにインターナショナル・ビジネス・マシーンズ社によって提供されるRACFセキュリティ・マネージャを介して保護リソース/オブジェクトに関連するアクセス制御ルールに基づくものである。アクセス制御ルールは、とりわけ、特定のユーザおよびユーザ・グループに関するアクセスモード項目を含むアクセス制御リスト(ACL)を含む。DAC検査は、保護オブジェクトに関連するPIIラベル(目的)がまったく存在しないとき、およびアクセス制御決定をさらに限定(または詳細化)するためにPIIラベル処理が行われた後で、使用することができる。PIIアクセス制御検査のようなDAC検査はアクセスモードを使用することができ、これはオブジェクトに対する特定の活動である。DAC検査に関連するアクセスモードの例としては、作成、削除、更新、読取りなしの更新(update but not read)、および読取りを含む。アクセスに関するルールは、IBMのRACFでは「リソース・プロファイル」といい、これも指定される。一般的に言えば、このようなルールは、「サブジェクト」が「オブジェクト」に対するアクセスモードを実行できるという形を取る。この場合も、いずれの任意アクセス制御検査手法でも、図6の処理のこの段階で使用することができる。127で任意アクセス制御検査は、選択されたオブジェクトへのユーザ・アクセスを許可するかどうかの決定を提供する。この決定は、132のアクセス許可または134のアクセス拒否のいずれかになる。任意アクセス制御(DAC)の詳細説明は、2002年9月発行の「Z/OS V1R4.0 Security Server RACF Security Administrator's Guide」というIBM資料(SA22−7683−3)に記載されている。125でユーザの「プロセス」に関するCPLが事前に設定されている場合、126でセキュリティ・マネージャ処理は特定の機能が読取り操作であるかどうかを判定する。そうである場合、127で、たとえば、DAC検査を使用して、オブジェクトへのアクセスを許可するかどうかの決定が提供される。特定の機能が読取り操作以外のものである場合、コンピュータ・オペレーティング・システム・プロセスにPII保護オブジェクト(複数も可)を読み込んだ後、そのプロセスから非PII保護オブジェクトへの書込みは許可されないので、134でアクセスが拒否される。
【0049】
オブジェクトがPII分類ラベルを有するものと想定すると、122でセキュリティ・マネージャ処理はユーザがPSFS機能を実行しているかどうかを判定する。そうである場合、124で処理は図7に移行する。そうではない場合、選択されたオブジェクトはPIIラベルを有し、ユーザはPSFS機能を実行していないので、134でアクセスはPIIラベル処理によって拒否される。
【0050】
130で図7または図8から戻ると、セキュリティ・マネージャ処理は128でアクセスがPIIラベル処理によって拒否されたかどうかを判定する。そうではない場合、127で、たとえば、任意アクセス制御検査を使用して、アクセス決定が提供される。そうではない場合、134でアクセスが拒否される。
【0051】
ユーザがPSFS機能を実行しているものと想定すると、140(図7)で処理はユーザが読取り操作を実行しているかどうかを判定する。そうではない場合、ユーザは書込み操作を実行しているに違いなく、したがって、処理は図8を続ける。YESである場合、142でPSFSのラベルがPIIオブジェクトのラベルに等しいかまたはその適切なサブセットであるかどうかの判定が行われる。そうではない場合、145で処理は図6に戻り、このPIIオブジェクトをこの特定のPSFSで読み取ることができないので、ユーザはPIIラベル処理によってアクセスを拒否される。142でYESである場合、143でPIIオブジェクトのラベルが項目としてCPLに追加される。これは、CPL内の第1の項目である可能性があるかまたは既存のCPLへの追加項目である可能性もある。PIIオブジェクトのラベルに等しいCPL内にすでに項目が存在する場合、このステップは迂回される。次に144で処理は図6に戻り、ユーザはPIIラベル処理によってPIIオブジェクトへのアクセスを拒否されない。
【0052】
ユーザが読取り操作を実行していない場合、これは、ユーザが書込み操作を実行していることを意味し、ステップ140からセキュリティ・マネージャ処理は図8に移行し、まず150でユーザのプロセスに関する現行プロセス・ラベル(CPL)が事前に設定されているかどうかを判定する。そうではない場合、151で処理は図6に戻り、ユーザのプロセスはPII制御プロセスとして継続し、ユーザは非PIIデータを既存のPIIデータ・オブジェクトに書き込むことを許可されている。150でYESである場合、152でPIIオブジェクトのラベルがCPL項目(1つだけ存在する可能性もある)のそれぞれのラベルに等しいかまたはその適切なサブセットであるかどうかの判定が行われる。YESである場合、151で処理は継続し、上記の通り、図6に戻る。152でNOである場合、153でこのPSFSがCPL内の1つまたは複数のラベルから書込み中のPIIオブジェクト内のラベルにPIIオブジェクト(複数も可)を再分類するための十分な権限を有するかどうかを確認するための判定が行われる。NOである場合、154で処理は図6に戻り、ユーザはPIIデータ・オブジェクトへのアクセスを拒否される。153でYESである場合、151で処理は継続し、上記の通り、図6に戻る。
【0053】
以下は、本発明により開示された概念のいくつかに関する理論的基礎の正式表現である。複数組のオブジェクトO、サブジェクトS、およびアクションAが存在するものと想定されている。さらに、各アクションAは、読取りモードまたは書込みモードのいずれかを有するものと解釈することができる。サブジェクトおよびオブジェクトは、複数組の目的セットでラベルが付けられる。ラベルl1がラベルl2内にある場合のみ、すなわち、目的セットl1が目的セットl2のスーパー・セットである場合のみ、ラベルl1はラベルl2より優位である。一般に、本発明によって保護されるPIIデータを読み取るために、ユーザは、ユーザが読み取ろうと試みているデータのラベルの方が優位であるPIIラベルを有するPSFSを実行していなければならず、したがって、そのPSFSを実行することを許可(または認可)されていなければならない。それはPSFSであり、関連付けにより、それを実行しているユーザは、読取り中のPIIオブジェクトのラベル内にある1つまたは複数の目的を備えたPIIラベルを有していなければならない。
【0054】
プライバシ・ラベル
個人データのすべてのインスタンスは関連ラベルを有する。ラベルLは1組の目的を含み、これらは、そのために個人データの所有者が承諾を与えた目的である。より多くの目的を有するオブジェクトはあまりプライベートなものではなく、したがって、オブジェクト間のデータ・フローは、特別に定義された事情ではない限り、より多くの目的を有するオブジェクトから、より少ない目的を有するオブジェクトへに限られる可能性がある。したがって、データは計算中にシステムを通って流れるので、特別に制御された事情(プロセス)により被制御方式でデータを再分類できるようにしない限り、そのラベルはより限定的なものになる。
【0055】
この1組のラベルは、セキュリティクラス格子の本質的な特徴を備えた先行順(pre-order)を形成する。格子内の各要素は、可能なラベルの1つである。ラベルは、[という制限関係によって定義された半順序(partialorder)で存在する。BOTとして書かれた最も制限的ではないラベルは、どこでも流れることができるデータに対応し、最も可能性の高い制限であるTOPは、どこも流れることができないデータに対応し、これは誰にも読取り不能である。格子内を上昇するにつれて、ラベルは厳密により制限的なものになる。データはいつも格子内の上方へラベルを付け直すことができ、これは、制限によって情報漏れの可能性を生み出すことはないので、より少ない目的にデータを使用できることを意味する。ラベルBOTは公開情報、すなわち、個人情報を含まないデータに対応することに留意されたい。
【0056】
個人データのラベルの付け直しは、新しいラベルが同じ目的またはより少ない目的を含む場合に制限となる。L1[L2という表現は、L1がL2ほど制限的ではないかまたはL2に等しいことと、演算子rがスーパー・セット関係を示す以下の表現によって表されるように、ラベルL1からL2にデータのラベルを付け直すことができることを意味する。
【0057】
L1[L2 h L1 r L2。この場合も、L1[L2である場合のみ、ラベルL2はラベルL1より優位である。
【0058】
計算(またはPSFSとして表されるアクション)がそれぞれL1およびL2というラベルが付いた2つの値を結合すると、その結果は、L1およびL2によって指定されたすべての使用制限を執行するラベル(最も制限的ではないもの)を有していなければならない。L1およびL2におけるすべてのポリシーを執行する、最も制限的ではない1組のポリシーは単に2組のポリシーの論理積(intersection)に過ぎない。この最も制限的ではないラベルは、L1 7 L2と書かれたL1およびL2の最小上界または結合である。
【0059】
L1 7 L2 h L1 3 L2。たとえば、結合されたオブジェクト(たとえば、住所とクレジット・カード番号の両方を含むレコード)は、複数目的の論理積にのみ使用することができる。
【0060】
たとえば、3つの目的に関して構成されたラベルが付いた格子は、請求、医療、および報告と想定される。このような格子は、そのハッセ図(Hasse diagram)(1990年にマサチューセッツ州レディングのAddison−Wesleyから発行されたS.Skienaによる「Implementing Discrete Mathematics: Combinatorics and Graph Theory with Mathematica」の§5.4.2の「Hasse Diagrams」の163、169〜170、および206〜208ページに記載されている)によって示すことができ、その場合、「あまり制限的ではない」関係[は下から上へ移行し、推移的および反射的エッジは省略される。医療および報告という目的に使用できるオブジェクトは{医療、報告}というラベルが付けられるであろう。このオブジェクトからのデータは、{医療}というラベルまたは{報告}というラベルが付いたオブジェクトにコピーできるであろう。サブジェクト(またはユーザ)は、そのオブジェクトを読み取れるようにするために、{医療}、{報告}、または{医療、報告}という有効ラベル(ユーザが実行しているPSFSから導出したもの)を有していなければならない。デフォルトでは、「リードダウン/ライトアップ(readdown/write up)」特性により、情報は格子内の上方のみに流れることができることに留意されたい。
【0061】
この場合も、ラベルLに含まれる目的は権利を表さず、むしろ制限を表すことに留意されたい。したがって、1つのサブジェクトが対応する目的が少なくなるほど、それが読み取れるオブジェクトが増えるが、その場合、そのサブジェクトが読み取るべきPIIオブジェクトに関連する少なくとも1つの目的に対応することが条件になる。
【0062】
サブジェクトsは、サブジェクトsに関連する目的がオブジェクトoに関連する目的のサブセットであるかまたはその目的に等しい場合にのみ、PIIオブジェクトoを読み取ることができる。
【0063】
サブジェクトsは、オブジェクトoに関連する目的がサブジェクトsに関連する目的のサブセットであるかまたはその目的に等しい場合にのみ、PIIオブジェクトoを書き込むことができる。
【0064】
たとえば、{請求、報告}というラベルが付いたユーザは、{請求、医療、報告}というラベルが付いたオブジェクトを読み取ることができ、{請求}というラベルが付いたオブジェクトに書き込むことができる。
【0065】
適格なスター特性
ユーザのコンピュータ・オペレーティング・システム・プロセスの現行プロセス・ラベル(CPL)が「高水準点(high-watermark)」として扱われる場合、これは格子の上方へ浮動することができるが、下方へ浮動することはできない。ユーザが所与のPSFSにより様々な個人データを読み取ると、CPLは読み取られたPIIデータ・オブジェクトに関連する目的を反映し、したがって、ユーザが実行することを認可(許可)されているPSFS(複数も可)のうちの1つの機能であるユーザのクリアランスに到達するまで、格子の上方へ浮動する。たとえば、ジェーンというユーザは、{医療}というラベルが付いたPSFSを実行することを認可される可能性がある。このPSFSにより{医療、報告}というラベルが付いたオブジェクトを読み取ることにより、彼女のCPLは{医療、報告}になる。{医療}というラベルが付いたオブジェクトから情報を読み取ると、彼女のCPLが{医療}という追加項目を含むことになり、それにより、彼女が自分の現行プロセスに読み込んだ情報のラベルを正確に反映する。彼女のCPLがこの状態になっている場合、彼女は、デフォルトでは、彼女が自分のプロセスに読み込んだ情報を{医療}というラベルが付いたPIIオブジェクトに書き出すためにPSFS(おそらく、必ずしも、読み取るために使用したものと同じものではない)を実行できるようになる。彼女は、自分が読み取った情報の一部を{医療、報告}から{医療}に再分類しているが、これは、{医療}の方が{医療、報告}より格子(目的がより少ないかまたはより制限的であるもの)の上方にあるので、デフォルトでは許可されることに留意されたい。
【0066】
これまでに論じたデータ・フローおよびその結果生じた情報の再分類は、いくつかの点で、MLS制御処理環境内のデータ・フローに似ている。しかし、MLSはセキュリティ上の理由でコンピュータ・リソース(たとえば、データ)の区画化されたアクセス制御のためのルールを厳重に遵守することができるツールに関する要件に対処するが、企業によって指定できる柔軟なルールによりPIIの再分類を可能にするプライバシ・サポートの必要性が残存する。換言すれば、プライバシ・サポートは、特定のユーザ(またはユーザ・グループ)がPIIを特定の事前定義分類から他の特定の事前定義分類に再分類することを許可されるが、それを実行することを許可されたユーザによって変更または操作することができない所定の1組の機能の範囲内でのみ、このように実行することを許可されることを企業が指定するための方法を含まなければならない。この必要性は、本発明の他の態様、すなわち、目的対応機能セット(PSFS)を記述する項目の定義の「再分類許可」構成体によって提供される。
【0067】
選択されたユーザは、PIIデータ・オブジェクトを再分類することができ、その再分類を許可されているものを含む、任意/全部のPSFSを実行することを認可(許可)されている。この概念は、企業内のユーザの位置のためにセキュリティ管理によってユーザに割り当てられている可能性のあるPSFSへの1組のクリアランスとして本発明内で表された「適格なスター特性」と呼ぶ。
【0068】
病院の例
本発明内で表された概念を例証するために、たとえとして病院事業を使用する。医師、看護士、管理従業員、および患者は、この例では、患者によって所有されるPII情報が病院のコンピューティング・システムを流れ、様々な病院スタッフによってアクセスされ使用されるときに現れるものである。次に、この例について説明を開始する。
【0069】
病院のプライバシ・ステートメントは、4つのオブジェクト・カテゴリに対処するものと想定されている。一般レコード(General Record)は、請求および医療目的ともに、おそらくさらに多くの目的とともに、名前、住所などの一般的な個人情報を含む。医療レコードは、医療目的のみのために、患者に関する医療データを含む。要約医療レコードは、請求目的のみのために使用される。これは、たとえば、保険証券によって規定されている通り、どの医療データが請求書に入るかを正確に含む。会計レコードは、請求目的のみのために使用される。これは、保険の詳細、価格、請求書送付および支払の日付などを含む。
【0070】
病院内の内部では、管理者、看護士、および内科医の役割で動作するプリンシパルが存在する。アクセスは以下の非公式プライバシ・ポリシーによって規制される。すなわち、医療レコードに保管された詳細データに対して実行すること(読み取ることおよびおそらく書き込むこと)を許可されている目的対応機能セット(複数も可)には、病院の内科医および看護士のみがアクセスできる。このように、病院の内科医および看護士は、医療レコードに関して「認可」されていると言われている。要約医療レコードは、病院が看護士に対してリリースしない機密情報である。これらのデータには、病院の管理責任者および内科医のみがアクセスできる。会計レコードには、病院の管理責任者のみがアクセスできる。一方では、排他的アクセス権が存在する。すなわち、内科医には会計レコードを読み取ることを認可してはならず、管理者には医療レコードを読み取ることを認可してはならない。他方では、情報は、要約医療レコードを介して医療レコードから会計レコードへ流れるだけでなければならない。
【0071】
安全かつ正確に再分類し、被制御方式で格下げする機能を有するものとして病院のコンピュータ・セキュリティ管理によって事前定義されたPSFSを実行することを認可されている「信頼されたサブジェクト」の機能により、病院のポリシーについて他の指定を行うことができる。
【0072】
第1の管理者は、報告というPIIラベルを有する目的対応機能セット内の機能を実行することを認可され、内科医は同様に、医療目的のために認可される。これは、要約レコードを読み取る可能性を両当事者に与えるものである。さらに、管理者は会計レコードを読み取ることができ、内科医は医療レコードを読み取ることができるが、逆は不可である。最後に、事前定義された安全かつ正確な方法でのみ医療レコードから要約レコードへの情報の流れを可能にするために、内科医のクリアランスは、たとえば、{{医療}、{医療、報告}}というラベル・セットを含むように定義することができる。したがって、内科医は、彼女が認可され、彼女が医療レコードと要約レコードを読み取れるようにする{医療}というラベルが付いたPSFSを実行することにより開始することができる。次に、その定義が「再分類許可」文節、すなわち、{医療}から{医療、報告}へを含むPSFSを実行することにより、彼女は、{医療}というラベルが付いたPIIを{医療、報告}へ格下げすることを許可されるが、PSFS内に含まれる企業定義の機能のみによる。内科医は決して会計レコードの読取りまたは書込みを行えないことに留意されたい。
【0073】
これに対応して、管理者は、彼女が要約レコードならびに会計レコードを読み取れるようにする{報告}というラベルが付いたPSFSを実行することにより開始することができる。次に、その定義が「再分類許可」文節、すなわち、{報告}から{請求、報告}へを含むPSFSを実行することにより、彼女は、{報告}というラベルが付いたPIIを{請求、報告}へ格下げすることを許可されるが、PSFS内に含まれる企業定義の機能のみによる。この場合も、管理者は決して医療レコードの読取りまたは書込みを行えない。
【0074】
情報は、内科医を介して医療レコードから要約レコードへ、ならびに、管理者を介して要約レコードから会計レコードへのみ流れることができることに留意されたい。
【0075】
要約レコードを読み取るための看護士の能力を妨げるために、処置という追加の目的を導入することができる。看護士(実行することを認可されているPSFS(複数も可)内で定義された機能のため)ならびに医療レコードは{医療、処置}というラベルを有する。したがって、看護士は医療レコードの読取りおよび書込みを行うことができるが、残りのオブジェクトには一切アクセスできない。これで、ポリシー例の指定を完了する。
【0076】
この指定例では、内科医は医療レコードを書き込むことを許可されていない。これは制限と見なすことができるであろう。しかし、この指定は、それぞれ{医療}、{医療、報告}、{医療、処置}というラベルが付いた複数のPSFSを含むようにそのPSFSクリアランスを変更することにより内科医にこの追加の能力を与えるように拡張することができる。したがって、医師は、{医療、処置}というラベルが付いたPSFSを使用するときに自分の医療作業を実行するときに、医療レコードの読取りおよび書込みを行うことができるであろう。しかし、彼女が管理作業を実行するつもりである場合、医療情報を読み取るために{医療}というラベルが付いたPSFS内の機能を実行する。彼女が{医療、処置}というラベルによって保護された何らかの詳細な医療情報を要約レコードに「再分類」することを決定した場合、{医療、処置}というラベルから{医療、報告}というラベルへPIIを再分類し、したがって、格下げするための権限によって事前定義されたPSFSを実行する。
【0077】
利点
当業者であれば、上記の説明から、本明細書に記載したようなデータ・アクセス制御機能を使用することにより、セキュリティ管理者が、機密の個人識別情報(PII)オブジェクトを処理するときに企業のビジネス・ニーズに一致する特定の動作シーケンスにより特定の1組のコンピュータ機能を定義し確立できることに留意することになる。このような事前確立され制御された機能セットおよび関連の動作シーケンスは、このようなPIIオブジェクトにアクセスできる唯一のプロセスであり、したがって、企業プライバシ・ポリシーによって記載されている方法のみでPIIオブジェクトを使用できることを保証する。提示されたデータ・アクセス制御機能は、オブジェクトに必要なプライバシ・レベルに応じたデータ・オブジェクトおよびユーザの分類の概念(そのオブジェクトを正当に使用できる目的につながるもの)と、個別ユーザによって要求されるPIIオブジェクトへのクリアランスによりユーザに許可されている目的対応機能セットへの機能のグループ分けを含む、新しい論理構成体に基づくものである。さらに、本発明によるデータ・アクセス制御機能は、アクセス・イベント状況の力学によりPII分類情報および機能の種々のセットへのユーザ(またはコンピュータ・プロセス)のアクセスを可能にし、それにより、PIIオブジェクトへのアクセスを必要とする情報プロセスに柔軟性を追加し、そのセキュリティを強化する。
【0078】
本発明は、たとえば、コンピュータ使用可能媒体を有する装置(たとえば、1つまたは複数のコンピュータ・プログラム)に含めることができる。この媒体は、本発明の諸機能を提供し促進するためのコンピュータ可読プログラム・コード手段をそこに実施している。この装置は、コンピュータ・システムの一部として含めるかまたは別個に販売することができる。
【0079】
さらに、本発明の諸機能を実行するためにマシンによって実行可能な複数命令からなる少なくとも1つのプログラムを実施するマシンによって読取り可能な少なくとも1つのプログラム・ストレージ・デバイスを提供することができる。
【0080】
本明細書に描写した流れ図は例にすぎない。本発明の精神を逸脱せずに、これらの図またはそこに記載された諸ステップ(または操作)に対する多くの変形態様が存在する可能性がある。たとえば、諸ステップを異なる順序で実行するか、またはステップを追加、削除、または変更することができる。これらの変形態様のすべては、請求された本発明の一部と見なされる。
【0081】
本明細書では好ましい諸実施形態を詳細に示し説明してきたが、特許請求の範囲で定義された本発明の範囲内で様々な変更、追加、置換などが可能であることは当業者にとって明らかなものになるであろう。
【図面の簡単な説明】
【0082】
【図1】本発明の一態様により、データ・アクセス制御機能によって使用するためにそれに割り当てられたPII分類ラベルとともに個人識別情報(PII)オブジェクトを保管するための手法の一例を示す図である。
【図2】本発明の一態様により、データ・アクセス制御機能の1つまたは複数の態様を組み込んで使用するためのコンピューティング環境の一実施形態を示す図である。
【図3】本発明の一態様により、ユーザがPIIデータ・オブジェクトからデータを読み取り、そこにデータを書き込むときに、確立されたプロセス内で変更が行われるユーザの現行プロセス・ラベル(CPL)を示す操作例を示す図である。
【図4】本発明の一態様により、PIIデータ・アクセス制御機能によって実現された処理の一実施形態の流れ図である。
【図5】本発明の一態様により、ユーザが特定の機能を使用できるかどうかを確認するための一論理実施形態の流れ図である。
【図6】本発明の一態様により、要求されたオブジェクトがPIIデータ・オブジェクトを有するかどうかを判定することを含む、データ・アクセスを行えるようにするかどうかを判定するための一論理実施形態の流れ図である。
【図7】本発明の一態様により、所望の特定の機能が読取り操作を有するときに、ユーザがPII制御プロセスとして続行できるかどうかを判定するための一論理実施形態の流れ図である。
【図8】本発明の一態様により、所望の特定の機能が書込み操作を有するときに、ユーザがPII制御プロセスとして続行できるかどうかを判定するための一論理実施形態の流れ図である。
【特許請求の範囲】
【請求項1】
データ・アクセス制御機能を実現する方法であって、
1つの個人識別情報(PII)データ・オブジェクトが1つのPII分類ラベルを有するように、PII分類ラベルをPIIデータ・オブジェクトに割り当てるステップと、
PIIデータ・オブジェクトを読み取るかまたは書き込むアプリケーション機能のリストを有する少なくとも1つのPII目的対応機能セット(PSFS)を定義するステップと、
PIIデータ・オブジェクトが前記PIIデータ・オブジェクトの前記PII分類ラベルに等しいかまたはその適切なサブセットであるPII分類ラベルを有するPII PSFSのアプリケーション機能を介してのみ読取りアクセス可能であるように、各PSFSにPII分類ラベルを割り当てるステップと、
を含む方法。
【請求項2】
PIIデータ・オブジェクトが、前記PIIデータ・オブジェクトの前記PII分類ラベルに等しいかまたはそれより優位であるPII分類ラベルを有するPII PSFSのアプリケーション機能によって書込みアクセス可能である、請求項1に記載の方法。
【請求項3】
前記データ・アクセス制御機能の特定の機能を呼び出すユーザを識別し、識別された前記ユーザに関する1つまたは複数のPII分類ラベルのリストを有するPIIクリアランス・セットを識別された前記ユーザに割り当てるステップをさらに有する、請求項1に記載の方法。
【請求項4】
前記PIIデータ・オブジェクトに割り当てられた前記PII分類ラベルが、前記PIIデータ・オブジェクトの所有者の識別を含む、請求項1に記載の方法。
【請求項5】
前記PIIデータ・オブジェクトに割り当てられた前記PII分類ラベルが、そのために前記データ・オブジェクトを使用できる少なくとも1つの目的の表示を含む、請求項1に記載の方法。
【請求項6】
初めに前記データ・アクセス制御機能を使用するために企業内のPII目的を定義し、前記PIIデータ・オブジェクトに割り当てられ、前記少なくとも1つのPSFSに割り当てられる前記PII分類ラベルを定義する際に前記PII目的を使用するステップをさらに有する、請求項1に記載の方法。
【請求項7】
(i)個人識別情報(PII)データ・オブジェクトおよびPIIデータ・オブジェクトを読み取るか、書き込むか、または再分類するアプリケーション機能のリストを含む少なくとも1つのPII目的対応機能セット(PSFS)に割り当てられたPII分類ラベルを有するデータ・アクセス制御機能のユーザであって、少なくとも1つのPII分類ラベルを含むリストを有するPIIクリアランス・セットが割り当てられたユーザにより、特定の機能を呼び出すステップと、
(ii)前記特定の機能が前記データ・アクセス制御機能の前記少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されているかどうかを判定し、定義されている場合に、前記ユーザのPIIクリアランス・セットがそのPII PSFSに割り当てられた前記PII分類ラベルと一致するPII分類ラベルを含むかどうかを判定し、一致するPII分類ラベルを含む場合に、前記特定の機能へのアクセスを許可するステップと、
(iii)前記ユーザが、前記特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップと、
を有する、データ・アクセス制御方法。
【請求項8】
前記呼出しステップの前に、前記データ・アクセス制御機能のセキュリティ制御下でオペレーティング・システム内のプロセスを確立するステップをさらに有し、前記呼出しステップが確立された前記プロセス内で行われる、請求項7に記載のデータ・アクセス制御方法。
【請求項9】
前記判定ステップ(ii)が、前記特定の機能が前記データ・アクセス制御機能のPII PSFSに対して定義されておらず、かつ確立された前記プロセスについて現行プロセス・ラベル(CPL)が事前に設定されている場合に、前記特定の機能へのアクセスを拒否するステップをさらに有する、請求項8に記載のデータ・アクセス制御方法。
【請求項10】
前記判定ステップ(iii)が、選択された前記データ・オブジェクトがPIIデータ・オブジェクトを有するかどうかを判定し、そうである場合に、前記ユーザの特定の機能が前記データ・アクセス制御機能の前記少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されていることを検証し、そうではない場合に、選択された前記データ・オブジェクトへのアクセスを拒否するステップを有する、請求項8に記載のデータ・アクセス制御方法。
【請求項11】
前記判定ステップ(iii)が、選択された前記データ・オブジェクトがPIIデータ・オブジェクト以外のものである場合に、確立された前記プロセスについて現行プロセス・ラベル(CPL)が設定されているかどうかを判定し、設定されていない場合に、任意アクセス制御検査を介して選択された前記データ・オブジェクトにアクセス決定を提供するステップをさらに有する、請求項8に記載のデータ・アクセス制御方法。
【請求項12】
データ・アクセス制御機能を実現するためのシステムにおいて、前記システムが、
1つの個人識別情報(PII)データ・オブジェクトがそれに割り当てられた1つのPII分類ラベルを有するようにPII分類ラベルをPIIデータ・オブジェクトに割り当てるための手段と、
PIIデータ・オブジェクトを読み取るかまたは書き込むアプリケーション機能のリストを有する少なくとも1つのPII目的対応機能セット(PSFS)を定義するための手段と、
PIIデータ・オブジェクトが前記PIIデータ・オブジェクトの前記PII分類ラベルに等しいかまたはその適切なサブセットであるPII分類ラベルを有するPII PSFSのアプリケーション機能を介してのみ読取りアクセス可能であるように、各PSFSにPII分類ラベルを割り当てるための手段と、
を有するシステム。
【請求項13】
(i)個人識別情報(PII)データ・オブジェクトおよびPIIデータ・オブジェクトを読み取るか、書き込むか、または再分類するアプリケーション機能のリストを含む少なくとも1つのPII目的対応機能セット(PSFS)に割り当てられたPII分類ラベルを有するデータ・アクセス制御機能のユーザであって、少なくとも1つのPII分類ラベルを含むリストを有するPIIクリアランス・セットが割り当てられた前記ユーザにより、特定の機能を呼び出すための手段と、
(ii)前記特定の機能が前記データ・アクセス制御機能の前記少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されているかどうかを判定し、定義されている場合に、前記ユーザのPIIクリアランス・セットがそのPII PSFSに割り当てられた前記PII分類ラベルと一致するPII分類ラベルを含むかどうかを判定し、含む場合に、前記特定の機能へのアクセスを許可するための手段と、
(iii)前記ユーザが、前記特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するための手段と、
を有する、データ・アクセス制御機能。
【請求項14】
データ・アクセス制御機能を実現する方法を実行するためにマシンによって実行可能な複数命令からなる少なくとも1つのプログラムを実施する前記マシンによって読取り可能なプログラム・ストレージ・デバイスにおいて、前記方法が、
1つの個人識別情報(PII)データ・オブジェクトが1つのPII分類ラベルを有するようにPII分類ラベルをPIIデータ・オブジェクトに割り当てるステップと、
PIIデータ・オブジェクトを読み取るかまたは書き込むアプリケーション機能のリストを有する少なくとも1つのPII目的対応機能セット(PSFS)を定義するステップと、
PIIデータ・オブジェクトが前記PIIデータ・オブジェクトの前記PII分類ラベルに等しいかまたはその適切なサブセットであるPII分類ラベルを有するPII PSFSのアプリケーション機能を介してのみ読取りアクセス可能であるように、各PSFSにPII分類ラベルを割り当てるステップと、
を有する、プログラム・ストレージ・デバイス。
【請求項15】
データ・アクセスを制御するための方法を実行するためにマシンによって実行可能な複数命令からなる少なくとも1つのプログラムを実施する前記マシンによって読取り可能なプログラム・ストレージ・デバイスにおいて、前記方法が、
(i)個人識別情報(PII)データ・オブジェクトおよびPIIデータ・オブジェクトを読み取るか、書き込むか、または再分類するアプリケーション機能のリストを含む少なくとも1つのPII目的対応機能セット(PSFS)に割り当てられたPII分類ラベルを有するデータ・アクセス制御機能のユーザであって、少なくとも1つのPII分類ラベルを含むリストを有するPIIクリアランス・セットが割り当てられた前記ユーザにより、特定の機能を呼び出すステップと、
(ii)前記特定の機能が前記データ・アクセス制御機能の前記少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されているかどうかを判定し、定義されている場合に、前記ユーザのPIIクリアランス・セットがそのPII PSFSに割り当てられた前記PII分類ラベルと一致するPII分類ラベルを含むかどうかを判定し、含む場合に、前記特定の機能へのアクセスを許可するステップと、
(iii)前記ユーザが、前記特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップと、
を有する、プログラム・ストレージ・デバイス。
【請求項1】
データ・アクセス制御機能を実現する方法であって、
1つの個人識別情報(PII)データ・オブジェクトが1つのPII分類ラベルを有するように、PII分類ラベルをPIIデータ・オブジェクトに割り当てるステップと、
PIIデータ・オブジェクトを読み取るかまたは書き込むアプリケーション機能のリストを有する少なくとも1つのPII目的対応機能セット(PSFS)を定義するステップと、
PIIデータ・オブジェクトが前記PIIデータ・オブジェクトの前記PII分類ラベルに等しいかまたはその適切なサブセットであるPII分類ラベルを有するPII PSFSのアプリケーション機能を介してのみ読取りアクセス可能であるように、各PSFSにPII分類ラベルを割り当てるステップと、
を含む方法。
【請求項2】
PIIデータ・オブジェクトが、前記PIIデータ・オブジェクトの前記PII分類ラベルに等しいかまたはそれより優位であるPII分類ラベルを有するPII PSFSのアプリケーション機能によって書込みアクセス可能である、請求項1に記載の方法。
【請求項3】
前記データ・アクセス制御機能の特定の機能を呼び出すユーザを識別し、識別された前記ユーザに関する1つまたは複数のPII分類ラベルのリストを有するPIIクリアランス・セットを識別された前記ユーザに割り当てるステップをさらに有する、請求項1に記載の方法。
【請求項4】
前記PIIデータ・オブジェクトに割り当てられた前記PII分類ラベルが、前記PIIデータ・オブジェクトの所有者の識別を含む、請求項1に記載の方法。
【請求項5】
前記PIIデータ・オブジェクトに割り当てられた前記PII分類ラベルが、そのために前記データ・オブジェクトを使用できる少なくとも1つの目的の表示を含む、請求項1に記載の方法。
【請求項6】
初めに前記データ・アクセス制御機能を使用するために企業内のPII目的を定義し、前記PIIデータ・オブジェクトに割り当てられ、前記少なくとも1つのPSFSに割り当てられる前記PII分類ラベルを定義する際に前記PII目的を使用するステップをさらに有する、請求項1に記載の方法。
【請求項7】
(i)個人識別情報(PII)データ・オブジェクトおよびPIIデータ・オブジェクトを読み取るか、書き込むか、または再分類するアプリケーション機能のリストを含む少なくとも1つのPII目的対応機能セット(PSFS)に割り当てられたPII分類ラベルを有するデータ・アクセス制御機能のユーザであって、少なくとも1つのPII分類ラベルを含むリストを有するPIIクリアランス・セットが割り当てられたユーザにより、特定の機能を呼び出すステップと、
(ii)前記特定の機能が前記データ・アクセス制御機能の前記少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されているかどうかを判定し、定義されている場合に、前記ユーザのPIIクリアランス・セットがそのPII PSFSに割り当てられた前記PII分類ラベルと一致するPII分類ラベルを含むかどうかを判定し、一致するPII分類ラベルを含む場合に、前記特定の機能へのアクセスを許可するステップと、
(iii)前記ユーザが、前記特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップと、
を有する、データ・アクセス制御方法。
【請求項8】
前記呼出しステップの前に、前記データ・アクセス制御機能のセキュリティ制御下でオペレーティング・システム内のプロセスを確立するステップをさらに有し、前記呼出しステップが確立された前記プロセス内で行われる、請求項7に記載のデータ・アクセス制御方法。
【請求項9】
前記判定ステップ(ii)が、前記特定の機能が前記データ・アクセス制御機能のPII PSFSに対して定義されておらず、かつ確立された前記プロセスについて現行プロセス・ラベル(CPL)が事前に設定されている場合に、前記特定の機能へのアクセスを拒否するステップをさらに有する、請求項8に記載のデータ・アクセス制御方法。
【請求項10】
前記判定ステップ(iii)が、選択された前記データ・オブジェクトがPIIデータ・オブジェクトを有するかどうかを判定し、そうである場合に、前記ユーザの特定の機能が前記データ・アクセス制御機能の前記少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されていることを検証し、そうではない場合に、選択された前記データ・オブジェクトへのアクセスを拒否するステップを有する、請求項8に記載のデータ・アクセス制御方法。
【請求項11】
前記判定ステップ(iii)が、選択された前記データ・オブジェクトがPIIデータ・オブジェクト以外のものである場合に、確立された前記プロセスについて現行プロセス・ラベル(CPL)が設定されているかどうかを判定し、設定されていない場合に、任意アクセス制御検査を介して選択された前記データ・オブジェクトにアクセス決定を提供するステップをさらに有する、請求項8に記載のデータ・アクセス制御方法。
【請求項12】
データ・アクセス制御機能を実現するためのシステムにおいて、前記システムが、
1つの個人識別情報(PII)データ・オブジェクトがそれに割り当てられた1つのPII分類ラベルを有するようにPII分類ラベルをPIIデータ・オブジェクトに割り当てるための手段と、
PIIデータ・オブジェクトを読み取るかまたは書き込むアプリケーション機能のリストを有する少なくとも1つのPII目的対応機能セット(PSFS)を定義するための手段と、
PIIデータ・オブジェクトが前記PIIデータ・オブジェクトの前記PII分類ラベルに等しいかまたはその適切なサブセットであるPII分類ラベルを有するPII PSFSのアプリケーション機能を介してのみ読取りアクセス可能であるように、各PSFSにPII分類ラベルを割り当てるための手段と、
を有するシステム。
【請求項13】
(i)個人識別情報(PII)データ・オブジェクトおよびPIIデータ・オブジェクトを読み取るか、書き込むか、または再分類するアプリケーション機能のリストを含む少なくとも1つのPII目的対応機能セット(PSFS)に割り当てられたPII分類ラベルを有するデータ・アクセス制御機能のユーザであって、少なくとも1つのPII分類ラベルを含むリストを有するPIIクリアランス・セットが割り当てられた前記ユーザにより、特定の機能を呼び出すための手段と、
(ii)前記特定の機能が前記データ・アクセス制御機能の前記少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されているかどうかを判定し、定義されている場合に、前記ユーザのPIIクリアランス・セットがそのPII PSFSに割り当てられた前記PII分類ラベルと一致するPII分類ラベルを含むかどうかを判定し、含む場合に、前記特定の機能へのアクセスを許可するための手段と、
(iii)前記ユーザが、前記特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するための手段と、
を有する、データ・アクセス制御機能。
【請求項14】
データ・アクセス制御機能を実現する方法を実行するためにマシンによって実行可能な複数命令からなる少なくとも1つのプログラムを実施する前記マシンによって読取り可能なプログラム・ストレージ・デバイスにおいて、前記方法が、
1つの個人識別情報(PII)データ・オブジェクトが1つのPII分類ラベルを有するようにPII分類ラベルをPIIデータ・オブジェクトに割り当てるステップと、
PIIデータ・オブジェクトを読み取るかまたは書き込むアプリケーション機能のリストを有する少なくとも1つのPII目的対応機能セット(PSFS)を定義するステップと、
PIIデータ・オブジェクトが前記PIIデータ・オブジェクトの前記PII分類ラベルに等しいかまたはその適切なサブセットであるPII分類ラベルを有するPII PSFSのアプリケーション機能を介してのみ読取りアクセス可能であるように、各PSFSにPII分類ラベルを割り当てるステップと、
を有する、プログラム・ストレージ・デバイス。
【請求項15】
データ・アクセスを制御するための方法を実行するためにマシンによって実行可能な複数命令からなる少なくとも1つのプログラムを実施する前記マシンによって読取り可能なプログラム・ストレージ・デバイスにおいて、前記方法が、
(i)個人識別情報(PII)データ・オブジェクトおよびPIIデータ・オブジェクトを読み取るか、書き込むか、または再分類するアプリケーション機能のリストを含む少なくとも1つのPII目的対応機能セット(PSFS)に割り当てられたPII分類ラベルを有するデータ・アクセス制御機能のユーザであって、少なくとも1つのPII分類ラベルを含むリストを有するPIIクリアランス・セットが割り当てられた前記ユーザにより、特定の機能を呼び出すステップと、
(ii)前記特定の機能が前記データ・アクセス制御機能の前記少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されているかどうかを判定し、定義されている場合に、前記ユーザのPIIクリアランス・セットがそのPII PSFSに割り当てられた前記PII分類ラベルと一致するPII分類ラベルを含むかどうかを判定し、含む場合に、前記特定の機能へのアクセスを許可するステップと、
(iii)前記ユーザが、前記特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップと、
を有する、プログラム・ストレージ・デバイス。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公表番号】特表2007−503035(P2007−503035A)
【公表日】平成19年2月15日(2007.2.15)
【国際特許分類】
【出願番号】特願2006−523632(P2006−523632)
【出願日】平成16年8月16日(2004.8.16)
【国際出願番号】PCT/EP2004/051803
【国際公開番号】WO2005/017720
【国際公開日】平成17年2月24日(2005.2.24)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVA
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
【公表日】平成19年2月15日(2007.2.15)
【国際特許分類】
【出願日】平成16年8月16日(2004.8.16)
【国際出願番号】PCT/EP2004/051803
【国際公開番号】WO2005/017720
【国際公開日】平成17年2月24日(2005.2.24)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVA
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
[ Back to top ]