分散情報アクセスシステム、分散情報アクセス方法及びプログラム
【課題】ユーザ属性の管理に対するセキュリティを高く維持し、これによりユーザ属性情報を利用した個人データに対するアクセスの信頼性を向上させる。
【解決手段】システムにおいて認証面での信頼性が最も高いユーザ認証サーバASVによりユーザ属性情報を管理し、サービス連携サーバSSV1〜SSVmからのユーザ認証要求に応じて上記ユーザ認証サーバASVが認証結果と共にユーザ属性情報をサービス連携サーバSSV1〜SSVmに通知する。そして、サービス連携サーバSSV1〜SSVmは上記ユーザ属性情報を含むユーザ参照リクエストをデータサーバDSV1へ送り、データサーバDSV1はこのリクエストに含まれるユーザ属性情報に基づいて個人データの開示制御を行うようにしたもものである。
【解決手段】システムにおいて認証面での信頼性が最も高いユーザ認証サーバASVによりユーザ属性情報を管理し、サービス連携サーバSSV1〜SSVmからのユーザ認証要求に応じて上記ユーザ認証サーバASVが認証結果と共にユーザ属性情報をサービス連携サーバSSV1〜SSVmに通知する。そして、サービス連携サーバSSV1〜SSVmは上記ユーザ属性情報を含むユーザ参照リクエストをデータサーバDSV1へ送り、データサーバDSV1はこのリクエストに含まれるユーザ属性情報に基づいて個人データの開示制御を行うようにしたもものである。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、例えば医療機関や保健関連機関、運動関連施設等がそれぞれ保有する複数のデータベースにより管理されている医療等に関する個人データに対し、通信ネットワークを介してアクセスするためのシステム、方法及びプログラムに関する。
【背景技術】
【0002】
人は、罹病した場合や健康に不安を感じた場合、その症状等に応じて異なる医療機関を受診することがある。また、症状は同じでも居住地の移転や出張先等で罹病した場合にも、異なる医療機関を受診する。その結果、一人の患者の医療等に関する情報は複数の医療機関に分散して管理されることになる。
【0003】
ところで、最近このように複数の医療機関で管理されている一人の患者の医療等に関する情報を通信ネットワークを介して収集して、遠隔地での診療や投薬等に役立てる、EHR(Electronic Health Recode)システムが提案されている。このシステムは、例えば複数の医療機関がそれぞれ保有するデータベースから、特定の患者に係わる様々な医療データを定期的に収集し、この収集した医療データを集中管理データベースに記憶して閲覧を可能にするものである。
【0004】
その具体的なシステムとして、蓄積された情報を許可された利用者にだけ開示するために、例えばインスタンス指示子、利用者指示子、操作指示子、操作内容条件の4つの組みからなるインスタンス操作許可情報を管理するものが知られている(例えば、特許文献1を参照。)。
【0005】
また、患者に係わる様々な医療データを複数の医療関係施設で閲覧可能とするシステムとして、様々なデータを集中処理装置で集中管理し、患者による承諾情報に基づいてデータを閲覧できるようにするシステムが知られている(例えば、特許文献2を参照。)。
【0006】
さらに、ユーザ認証機能を備えたシステムとして、認証代行サーバを用いてID連携型認証を行うことにより、複数のサービスサーバに分散されたデータに対しサービスサーバにシングルサインオンすることでアクセス可能としたシステムが提案されている(例えば、特許文献3を参照。)。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特許第3788113号公報
【特許文献2】特許第3893588号公報
【特許文献3】特開2007−299303号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
ところが、ユーザ属性を用いて開示制御を行おうとする場合、クライアント側にユーザ属性の管理を任せると、ユーザ属性の間違いや詐称(なりすまし)が起こり得る。このため、ユーザ認証によりその正当性が確認されても、ユーザ属性情報に本来の属性とは異なる情報が記述されると、本来は参照権限がない情報を参照することが可能となり、この結果情報漏洩が発生する場合がある。したがって、システム全体としての信頼性が担保されないことになり個人情報保護の観点で大きな問題となる。
【0009】
この発明は上記事情に着目してなされたもので、その目的とするところは、ユーザ属性の管理に対するセキュリティを高く維持し、これによりユーザ属性情報を利用した個人データに対するアクセスの信頼性を向上させた分散情報アクセスシステム、分散情報アクセス方法及びプログラムを提供することにある。
【課題を解決するための手段】
【0010】
上記目的を達成するためにこの発明の第1の観点は、ユーザの個人データを当該ユーザの識別子と対応付けて分散管理する複数のデータサーバと、上記ユーザの認証情報を管理する認証サーバと、ユーザが使用するクライアント装置とを通信ネットワークを介して接続可能とした分散情報アクセスシステムにあって、
クライアント装置から認証要求を受信した場合に、認証サーバがこの受信された認証要求と上記管理されている認証情報とをもとに認証要求元のユーザに対する認証を行い、このユーザ認証により要求元のユーザの正当性が認められた場合に、上記受信された認証要求に含まれるユーザ識別子に対応するユーザ属性情報を属性情報データベースから読み出して要求元のクライアント装置へ返送する。そして、認証サーバからユーザ属性情報が返送された場合にクライアント装置が、当該ユーザのユーザ識別子とユーザ属性情報を含むアクセス要求を生成してアクセス先となるデータサーバへ送信し、データサーバが上記クライアント装置から送られたアクセス要求に含まれるユーザ属性情報を開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定し、開示を許可すると判定された場合に、上記受信されたアクセス要求に含まれるユーザ識別子に対応する個人データを上記アクセス要求元のクライアント装置へ返送するように構成したものである。
【0011】
したがって、システムにおいて認証面での信頼性が最も高い認証サーバによりユーザ属性情報が管理され、このユーザ属性情報をもとにデータサーバで個人データの開示制御が行われる。このため、ユーザ属性情報をクライアント側で管理する場合に比べ、より信頼性の高いデータ開示制御が行える。また、ユーザ属性情報が認証サーバで一元的に管理されるため、システムを構成するクライアント装置やデータサーバとの間でのユーザ属性の食い違いが生じない。
【0012】
この発明は、以下のような第1及び第2の実施態様を備えることも特徴とする。
第1の実施態様は、認証サーバが、ユーザごとに複数の属性情報をユーザ識別子に対応付けて属性情報データベースにより管理している場合に、認証サーバがユーザ属性を返送する際に、受信された認証要求に含まれるユーザ識別子に対応する複数のユーザ属性情報を属性情報データベースから読み出し、この読み出された複数のユーザ属性情報の選択リストを要求元のクライアント装置へ返送する。これに対しクライアント装置は、アクセス要求を送信する際に、上記認証サーバから返送されたユーザ属性情報の選択リストをユーザに提示し、ユーザの操作により上記選択リスト中のユーザ属性情報が選択された場合に、当該ユーザのユーザ識別子と上記選択されたユーザ属性情報を含むアクセス要求を生成してアクセス先となるデータサーバへ送信するものである。
このようにすると、例えば複数の医療機関に所属している医師がある患者の診療データ等を閲覧しようとする際に、どの立場でシステムを使用しているかを自身のユーザ属性情報によりデータサーバに通知することができる。このため、特定の患者のデータに対し同一の医師がアクセスする場合でも、その時々の立場に応じてデータの開示の許否を制御することが可能となる。
【0013】
第2の実施態様は、クライアント装置がユーザのユーザ識別子とユーザ自身が入力したユーザ属性情報を含む属性認証要求を認証サーバへ送信した場合に、認証サーバが上記ユーザ自身が入力したユーザ属性情報を属性情報データベースに格納されているユーザ属性情報と照合し、この照合の結果両情報が一致した場合にユーザ属性情報を返送するものである。
このようにすると、ユーザ認証に留まらず、ユーザが入力したユーザ属性情報についても認証することが可能となり、これによりユーザ自身がユーザ属性情報を入力した場合でも、当該ユーザ属性情報に対する信頼性を高く維持することができる。
【0014】
上記目的を達成するためにこの発明の第2の観点は、クライアント装置から認証要求を受信した場合に、認証サーバは当該認証要求に含まれるユーザ識別子と上記認証情報とをもとに認証要求元のユーザに対する認証を行い、その認証結果のみを認証要求元のクライアント装置へ返送する。クライアント装置は、認証サーバから正当性を保証する旨の認証結果が返送されると、ユーザ識別子を含むアクセス要求をアクセス先となるデータサーバへ送信する。データサーバは、クライアント装置から上記アクセス要求を受信すると、当該アクセス要求に含まれるユーザ識別子を含む属性取得要求を生成して認証サーバへ送信する。認証サーバは、データサーバからユーザ識別子を含む属性取得要求を受信すると、当該属性要求に含まれるユーザ識別子に対応するユーザ属性情報を属性情報データベースから読み出して要求元のデータサーバへ返送する。ユーザ属性情報を受信するとデータサーバは、この受信されたユーザ属性情報を開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定し、開示を許可すると判定された場合に上記受信されたアクセス要求に含まれるユーザ識別子に対応する個人データを上記アクセス要求元のクライアント装置へ送信するように構成したものである。
【0015】
したがって、ユーザ属性情報はクライアント装置を経由せずに認証サーバからアクセス先のデータサーバへ直接伝送される。このため、必ずしもセキュリティレベルが高いとは限らないクライアント装置とデータサーバとの間をユーザ属性情報が伝送されることはなくなるので、盗聴などの脅威を低減することができる。
【0016】
この発明の第1及び第2の観点は、以下のような第3乃至第6の実施態様を備えることも特徴とする。
第3の実施態様は、ユーザ認証に際し認証装置が、クライアント装置から受信された認証要求に含まれる認証要素の種類又は数に応じて認証の信頼度を示す情報を生成し、属性情報データベースから読み出されたユーザ属性情報に上記生成された認証の信頼度を示す情報を付加して要求元へ返送する。データサーバは、上記認証の信頼度を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、アクセス要求を受信すると、当該アクセス要求に含まれるユーザ属性情報と当該ユーザ属性情報に付加された認証の信頼度を示す情報を上記開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定するものである。
このようにすると、ユーザ認証を行った際の認証の信頼性の度合を表す情報がユーザ属性情報に付加されてデータサーバに送られ、データサーバではこの認証の信頼性の度合に応じて個人データの開示制御が行われる。この結果、同一ユーザからのアクセス要求であっても、例えば生体認証用のユーザ識別情報を用いたり複数に認証手段により認証を行った場合のように認証結果の信頼度が高い時には、個人データの多くの項目を開示し、一方単にユーザ名とパスワードのみで認証を行った場合のように信頼度が高くない揚合には、開示する項目を制限するといった認証結果の信頼度に応じた開示制御が可能となる。
【0017】
第4の実施態様は、認証サーバにおいて、認証要求を受信した場合に当該認証要求の通信経路を検出して、この検出した通信経路を表す情報を属性情報データベースから読み出されたユーザ属性情報に付加して要求元へ返送する。一方、データサーバでは、上記通信経路を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、アクセス要求を受信するとこのアクセス要求に含まれるユーザ属性情報と当該ユーザ属性情報に付加された通信経路を表す情報を開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定するものである。
このようにすると、同一ユーザがアクセスする場合であっても、どのような経路を用いてアクセスしたかに応じて最適な開示制御が行われる。例えば、クライアント装置からVPN経由でアクセスされた場合には個人データの多くの項目を公開するが、盗聴の危険性が高いような一般回線を経由してアクセスされた場合には公開する項目を制限するといった、アクセス経路に応じたデータ開示制御が可能となる。
【0018】
第5の実施態様は、認証サーバがユーザごとにその識別子に対応付けて当該ユーザの役割分類を表す情報を含むユーザ属性情報を属性情報データベースにより管理し、かつデータサーバがユーザごとにその役割分類に応じて予め設定された開示代行資格の有無を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理する。そして、アクセス要求を受信するとデータサーバが、当該アクセス要求に含まれるユーザ属性情報からユーザの役割分類を表す情報を取り出し、このユーザの役割分類を表す情報と上記開示設定データベースに格納された開示設定情報に含まれる開示代行資格の有無を表す情報とをもとに開示の許否を判定するものである。
このようにすると、ユーザ本人でなくても、例えばシステム管理者のような予め役割が与えられた開示設定専任者たるユーザが、一般ユーザの個人データに対しアクセスすることが可能となる。このため、例えば老人や子供のようにクライアント装置を操作できないユーザや、成人であっても装置の操作に不慣れなユーザの個人データに対し、その開示、追加、変更、削除等のためのアクセス処理を第三者が代行することが可能となる。
【0019】
第6の実施態様は、認証サーバが、ユーザごとにその識別子に対応付けて当該ユーザが開示代行資格を有する被代行ユーザのリストを含むユーザ属性情報を属性情報データベースにより管理し、データサーバが、ユーザごとに当該ユーザが開示代行資格を有する被代行ユーザのリストを開示条件の1つとして含む開示設定情報を開示設定データベースにより管理する。そしてデータサーバが、アクセス要求を受信した場合に、この受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザが開示代行資格を有する被代行ユーザのリストを取り出し、この受信されたリストと開示設定データベースに格納された開示設定情報に含まれる被代行ユーザのリストとに基づいてデータ開示の許否を判定するものである。
このようにすると、予め個人データの開示代行処理、又は開示設定情報の設定変更等の代行処理を委任されたユーザが、委任元の被代行ユーザの個人データに対してのみ、個人データ又は開示設定情報の開示、追加、変更、削除等のアクセス処理を代行することが可能となる。
【0020】
第7の実施態様は、認証サーバが、ユーザごとにその識別子に対応付けて当該ユーザのデータに関する開示代行資格を有する代行ユーザのリストを含むユーザ属性情報を属性情報データベースにより管理し、データサーバが、ユーザごとに当該ユーザの個人データの開示代行資格を有する代行ユーザのリストを開示条件の1つとして含む開示設定情報を開示設定データベースにより管理する。そして、データサーバが、アクセス要求を受信した場合に、この受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザの個人データの開示代行資格を有する代行ユーザのリストを取り出し、この受信されたリストと開示設定データベースに格納された開示設定情報に含まれる代行ユーザのリストとをもとに開示の許否を判定するものである。
このようにすると、例えば一般ユーザが自身の個人データに対する開示代行処理、又は開示設定情報の設定変更等の代行処理を予め委任したユーザのみが、上記一般ユーザの個人データに対し、上記個人データ又は開示設定情報の開示、追加、変更、削除等のアクセス処理を代行することが可能となる。
【0021】
第8の実施態様は、認証サーバが、ユーザごとにその識別子に対応付けて当該ユーザと他のユーザとの関係性を表す情報を含むユーザ属性情報を属性情報データベースにより管理し、データサーバが、ユーザごとに当該ユーザと他のユーザとの関係性を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理する。そしてデータサーバは、アクセス要求を受信すると、このアクセス要求に含まれるユーザ属性情報から当該ユーザと他のユーザとの関係性を表す情報を取り出し、この受信された関係性を表す情報と開示設定データベースに格納された開示設定情報とをもとに開示の許否を判定するものである。
このようにすると、ユーザごとに当該ユーザと特別の関係性を持つ他ユーザが上記ユーザの個人データに対するアクセスを代行できるようになる。例えば、患者たるユーザの属性情報にその主治医たるユーザの識別子を登録しておくことで、主治医たるユーザは患者たるユーザの個人データに対するアクセスを代行することが可能となる。
【発明の効果】
【0022】
すなわち、この発明によれば、ユーザ属性の管理に対するセキュリティを高く維持し、これによりユーザ属性情報を利用した個人データに対するアクセスの信頼性を向上させた分散情報アクセスシステム、分散情報アクセス方法及びプログラムを提供することができる。
【図面の簡単な説明】
【0023】
【図1】この発明の第1の実施形態に係わる分散情報アクセスシステムの構成を示すブロック図である。
【図2】図1に示したシステムのユーザ認証サーバに設けられた属性情報データベースに記憶されるユーザ属性管理情報の一例を示す図である。
【図3】図1に示したシステムのデータサーバに設けられた開示設定データベースに記憶される開示設定情報の一例を示す図である。
【図4】図1に示したシステムによる個人データ参照手順を示すシーケンス図である。
【図5】この発明の第2の実施形態に係わる分散情報アクセスシステムによる個人データ参照手順を示すシーケンス図である。
【図6】この発明の第3の実施形態に係わる分散情報アクセスシステムの構成を示すブロック図である。
【図7】図1に示したシステムによる個人データ参照手順を示すシーケンス図である。
【発明を実施するための形態】
【0024】
以下、図面を参照してこの発明に係わる実施形態を説明する。
(第1の実施形態)
図1は、この発明の第1の実施形態に係わる分散情報アクセスシステムの全体構成を示すブロック図である。
この実施形態の分散情報アクセスシステムは、ユーザ端末UTと、医療機関や保健関連機関、運動関連施設等が運用する複数のデータサーバDSV1〜DSVnと、複数(m台)のサービス連携サーバSSV1〜SSVmと、認証サーバASVを備え、これらのサーバDS1〜DSn,SSV1〜SSVm,ASV相互間、及びこれらのサーバとユーザ端末UTとの間で、通信ネットワークNWを介して情報通信を可能としたものである。なお、nはデータサーバの数であり自然数(正の整数)、mはサーバ連携サーバの数であり自然数(正の整数)である。
【0025】
ユーザ端末UTには、患者等の一般ユーザが自宅等において使用する一般ユーザ用の端末と、医師や保健師、薬剤師等が患者の依頼を受けて患者の医療データ等を取得するために使用する業務用の端末と、システム管理者が使用するオペレータ用コンソール端末(図示せず)が含まれる。ユーザ端末UTはいずれもパーソナル・コンピュータからなり、上記通信ネットワークNWを介して上記サービス連携サーバSSV1〜SSVm及びデータサーバDSV1〜DSVnとの間でデータ通信を行うための通信部41を備える。なお、このユーザ端末UTは、上記サービス連携サーバSSV1〜SSVmのいずれかと、クライアント装置を構成する。
【0026】
通信ネットワークNWは、例えばインターネットに代表されるIP(Internet Protocol)網と、このIP網に対しアクセスするための複数のアクセス網とから構成される。アクセス網としては、例えばLAN(Local Area Network)、無線LAN、携帯電話網、有線電話網、CATV(Cable Television)網が用いられる。
【0027】
サービス連携サーバSSV1〜SSVmは、中央制御ユニット(Central Control Unit;CPU)に、バスを介してプログラムメモリ、データメモリ及び通信インタフェースを接続したもので、その機能モジュールとしてユーザ管理部21と、ログイン処理部22と、アプリケーション部23と、通信部24を備えている。これらの機能モジュールは、いずれも上記プログラムメモリに格納された各プログラムを上記CPUに実行させることにより実現される。
【0028】
ユーザ管理部21はユーザデータベース(ユーザDB)211を有する。このユーザDB211には、各利用者(ユーザ)を識別し管理するためのユーザ情報が記憶される。ユーザ情報は、ユーザ識別子(ユーザID)及びユーザ基本情報等からなる。ユーザ管理部21は、ユーザ端末UTのユーザの操作に応じて上記ユーザ情報の登録、変更、追加、削除等を行う。
ログイン処理部22は、ユーザ端末UTから送信されたログイン要求が通信部24で受信された場合に、ユーザDB211に格納されたユーザ情報を参照してログインの受け付け処理を行う。
【0029】
アプリケーション部23は、ユーザ端末UTからのログインを受け付けた場合に、認証サーバASVに対し通信部24からユーザ認証要求を送信し、その認証結果とユーザ認証情報を通信部24を介して受信する機能を有する。またアプリケーション部23は、上記認証結果がログインユーザの正当性を証明するものだった場合に、上記ログインユーザの識別子と上記受信されたユーザ属性情報とを含むアクセス要求を生成し、この生成したアクセス要求をアクセス先のデータサーバDSV1〜DSVnへ通信部24から送信する機能を有する。さらにアプリケーション部23は、上記アクセス要求に対しデータサーバから返送される個人データを通信部24を介して受信し、この受信した個人データを通信部24からアクセス要求元のユーザ端末UTへ転送する機能を有する。
【0030】
ユーザ認証サーバASVも、上記データサーバDSV1〜DSVnと同様に、CPUに対しバスを介してプログラムメモリ、データベース及び通信インタフェースを接続したものからなる。機能モジュールとしては、認証処理部31と、通信部32と、ユーザ管理部33と、ユーザ属性管理部34と、認証情報管理部35とを備える。これらの機能モジュールは、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0031】
ユーザ管理部33はユーザデータベース(ユーザDB)331を有する。このユーザDB331には、各ユーザを識別し管理するためのユーザ情報が記憶される。ユーザ情報は、ユーザ識別子(ユーザID)及びユーザ基本情報等からなる。ユーザ管理部33は、認証サーバASVの管理者の操作に応じて上記ユーザ情報の登録、変更、追加、削除等を行う。
【0032】
ユーザ属性管理部34は、属性情報データベース(属性情報DB)341を有する。属性情報DB341には、各ユーザのユーザ識別子に対応付けて当該ユーザの属性情報が格納されている。ユーザ属性管理部34は、認証サーバASVの管理者の操作に応じて上記ユーザ属性情報の登録、変更、追加、削除等を行う。
認証情報管理部35は、認証情報データベース(認証情報DB)351を有する。この認証情報DB351には、ユーザ管理部21で管理されているユーザの認証に必要な情報が格納されている。
【0033】
認証処理部31は、サービス連携サーバSSV1〜SSVmから送信されたユーザ認証要求が通信部32で受信された場合に、ユーザ管理部33及び認証情報管理部35で管理されているユーザ情報及び認証情報を参照して要求されたユーザの認証を行う機能と、この認証の結果が要求元ユーザの正当性を証明するものだった場合に、属性情報DB341から要求元ユーザのユーザ属性情報を読み出し、このユーザ属性情報を上記認証結果と共に要求元のサービス連携サーバSSV1〜SSVmへ返送する機能を有する。
【0034】
データサーバDSV1〜DSVnも、中央制御ユニット(Central Control Unit;CPU)に、バスを介してプログラムメモリ、データメモリ及び通信インタフェースを接続したもので、その機能モジュールとしてデータ開示処理部11と、通信部12と、ユーザ管理部13と、データ管理部14と、開示設定記憶部15とを備えている。これらの機能モジュールは、いずれも上記プログラムメモリに格納された各プログラムを上記CPUに実行させることにより実現される。
【0035】
ユーザ管理部13は、ユーザデータベース(ユーザDB)131を有する。このユーザDB131には、各利用者(ユーザ)を識別し管理するためのユーザ情報が記憶される。ユーザ情報は、ユーザ識別子(ユーザID)及びユーザ基本情報等からなる。ユーザ管理部13は、データサーバのオペレータの操作に応じて上記ユーザ情報の登録、変更、追加、削除等を行う。
【0036】
データ管理部14は、アプリケーションデータベース(アプリケーションDB)141を有する。アプリケーションDB141には、各ユーザの個人データとして保健指導情報及び健康診断情報等が上記ローカルなユーザIDに対応付けられて格納される。データ管理部14は、データサーバのオペレータの操作に応じて上記個人データの登録、変更、追加、削除等を行う。
【0037】
開示設定記憶部15は、開示設定データベース(開示設定DB)151を有する。開示設定DB151には、アプリケーションDB141に格納されているそれぞれの個人データについて、どのユーザに対してどういうアクセス権を与えるかを表す開示設定情報が格納される。開示設定記憶部15は、データサーバのオペレータの操作に応じて上記開示設定情報の登録、変更、追加、削除等を行う。
【0038】
データ開示処理部11は、サービス連携サーバSSV1〜SSVmから送信された自己宛のアクセス要求が通信部12により受信された場合に、この受信されたアクセス要求から当該アクセス要求に含まれているユーザ属性情報を取り出し、この取得したユーザ属性情報をもとに個人データの開示の許否を判定する機能を有する。この判定機能は、上記取得したユーザ属性情報を、上記ユーザDB131に格納されているユーザ情報、及び開示設定DB151に格納されている開示設定情報と照合し、その照合結果からアクセス要求元のユーザはアクセス先として指定した個人データに対しアクセスすることが可能か否かを判定するものである。
【0039】
またデータ開示処理部11は、上記判定の結果に基づく個人データの検索及び返送機能を有する。この機能は、上記判定の結果アクセスが許可されていれば、アプリケーションDB141から該当する個人データを読み出し、この読み出した個人データを通信部12からアクセス要求元のサービス連携サーバSSV1〜SSVmへ向け返送するものである。
【0040】
次に、以上のように構成されたシステムによる個人データ参照手順を、ユーザCがユーザAの診療情報を参照する場合を例にとって説明する。図4はその手順を示すシーケンス図である。
いま、ユーザ認証サーバASVの属性情報DB341及びデータサーバDSV1〜DSVnの開示設定DB151にはそれぞれ、例えば図2及び図3に示すようなユーザ属性情報及び開示設定情報が格納されているものとする。図2に例示するようにユーザ属性は、ユーザの「役割分類」、「所属」及び「関係」により構成され、これらの要素ごとに具体的な内容が設定される。例えば、ユーザCの属性情報としては、役割分類として「医師」、所属として「H病院」、関係として「ユーザAの担当医」がそれぞれ設定されている。また、ユーザEの属性情報としては、役割分類として「開示設定専任者」が設定されている。
【0041】
一方、図3に示すように開示設定情報は、ユーザごとに、そのアクセス方法として「参照」、「追記」及び「開示設定変更」が用意され、これらのアクセス方法に対しアクセス可能なユーザ属性が設定されるようになっている。例えば、ユーザAは自分の診療情報をH病院には開示しないが担当医には開示すると設定されており、ユーザBは自分の診療情報をH病院に開示すると設定されている。また、ユーザA及びBのいずれも、本人と開示設定専任者による開示設定変更が可能なように設定がなされている。
【0042】
さてこの状態で、ユーザCがユーザAの診療情報を参照するために、自身のユーザ端末UTにおいてWebブラウザを起動し、サービス連携サーバSSV1に対し自身のユーザ識別子を用いてログインしたとする。そうするとサービス連携サーバSSV1は、ログイン処理部22により、ユーザ管理部21で管理されているユーザ情報を参照して、上記ユーザ端末UTから送られてきたユーザ識別子を有するユーザがサービス連携サーバSSV1を利用する権限を持った正当なユーザであるかどうか判断する。そして、正当なユーザであれば、アプリケーション部23の制御の下でアプリケーション画面の表示データをユーザ端末UTへ送信する。この結果ユーザ端末UTには、上記アプリケーション画面が表示される。
【0043】
この状態で、ユーザCがアプリケーション画面においてユーザAの診療情報を参照するためのリクエスト操作を行ったとする。そうすると、サービス連携サーバSSV1のアプリケーション部23は、ユーザ認証サーバASVに対し、ユーザ識別子やパスワードなどの認証に必要な情報を含むユーザ認証要求を送信する。
【0044】
ユーザ認証サーバASVは、上記ユーザ認証要求を受信すると、認証処理部31により先ず上記受信されたユーザ認証要求に含まれるユーザ識別子がユーザ管理部33のユーザDB331に登録されているかを確認する。そして、登録されていれば、続いて認証情報管理部35の認証情報DB351に登録されている情報と、上記受信されたユーザ識別子及びパスワードを用いて認証処理を行う。この認証の結果、要求元のユーザCの正当性が証明されると、上記ユーザ識別子をキーにしてユーザ属性管理部34の属性情報DB341から該当するユーザ属性情報を読み出し、この読み出したユーザ属性情報を上記認証結果と共に要求元のサービス連携サーバSSV1へ返送する。ここでは、図2に示すようにユーザCは医療従事者であってH病院に所属しており、かつユーザAの担当医であることがユーザ属性情報として送られる。
【0045】
上記ユーザ認証サーバASVから認証結果とユーザ属性情報が返送され、当該認証結果が要求元のユーザCの正当性を証明するものであれば、サービス連携サーバSSV1のアプリケーション部23はユーザ参照リクエストを生成する。このユーザ参照リクエストには、参照先となるユーザAの診療情報の指定情報と、ユーザCのユーザ識別子と、上記ユーザ認証サーバASVから取得したユーザ属性情報が挿入される。そして、この生成されたユーザ参照リクエストを、アクセス先となるデータサーバ(例えばDSV1)に対して送信する。
【0046】
データサーバDSV1は、サービス連携サーバSSV1からユーザ参照リクエストを受信すると、データ開示処理部11により、参照先として要求されたユーザAの診療情報が要求元のユーザCに対して開示許可されているかどうかを、上記受信されたリクエストに含まれるユーザ属性情報を開示設定DB151に格納された開示設定情報を参照して確認する。この例では、図2に示すようにユーザCのユーザ属性情報にはユーザCはユーザAの担当医であると設定されており、開示設定情報には図3に示すようにユーザAは担当医に診療情報を開示すると設定されている。このため、ユーザAの診療情報はユーザCに開示可能と判定される。
【0047】
開示可能と判定されるとデータ開示処理部11は、データ管理部13のアプリケーションDB141から参照先として指定されたユーザAの診療情報を読み出し、この読み出された診療情報を予め決められているフォーマットに従い編集した後、要求元のサービス連携サーバSSV1へ送信する。サービス連携サーバSSV1のアプリケーション部23は、上記データサーバDSV1から送信されたユーザAの診療情報を表示用のフォーマットに成型し、ユーザ端末UTへ送信する。この結果、ユーザ端末UTには上記ユーザAの診療情報が表示される。
【0048】
一方、例えばユーザDがユーザAの診療情報を参照しようとしてログインを行ったとする。この場合は、ユーザ認証サーバASVによる認証処理によりユーザDの正当性が証明され、その結果サービス連携サーバからデータサーバへユーザ参照リクエストが送信される。しかし、データサーバの開示条件判定処理では、ユーザDはユーザBの担当医でもなくH病院の医師でもないので、上記ユーザDはユーザAの診療情報の開示条件と合致しない。このため、ユーザDに対するユーザAの診療情報の開示は許可されない。
なお、ここでは開示条件が複数あった場合、それらはOR条件であるとしているが、開示設定記憶部15に予め設定されているルールに従って解釈されるようにしてもよい。
【0049】
以上述べたように第1の実施形態では、サービス連携サーバSSV1〜SSVm、ユーザ認証サーバASV及びデータサーバDSV1〜DSVnのそれぞれにおいてユーザ情報が管理されているが、このうちユーザ認証サーバASVはユーザ認証を行うための情報まで管理しており、サービス連携サーバSSV1〜SSVmやデータサーバDSV1〜DSVnに対して、より信頼性の高いデータとしてユーザ情報が扱われている。同様に、ユーザ認証サーバASVで管理されているユーザ属性情報も、認証用のユーザ情報と同等の信頼性を持ってメンテナンスされていると考えられるので、ユーザ属性情報も他のサービス連携サーバSSV1〜SSVmやデータサーバDSV1〜DSVnで管理する場合に比べて高い信頼性により管理される。このため、信頼性が高いユーザ情報管理が行われているユーザ認証サーバASV上で、ユーザ属性情報の信頼性も高くデータ管理することは、他のサーバでのユーザ属性の信頼性を高く確保するよりも、容易である。
【0050】
したがって、例えばサービス連携サーバSSV1〜SSVmやデータサーバDSV1〜DSVnでユーザ属性を管理するよりも、ユーザ認証サーバASVでユーザ属性情報を管理する方が、より信頼性が高い情報として管理することが容易であり、システム全体での信頼性を高めることができる。
【0051】
また、サービス連携サーバSSV1〜SSVmやデータサーバDSV1〜DSVnのそれぞれにおいてユーザ属性情報を管理すると、ユーザ属性情報に変更が生じた場合に、管理しているすべてのサーバでユーザ属性情報を変更する処理を行わなければならず、サーバ間のユーザ属性情報の整合性を保つためには手間と時間がかかる。しかし、本実施形態では、ユーザ属性情報をユーザ認証サーバASVにおいて一元管理しているので、ユーザ属性情報に変更があっても、ユーザ認証サーバASVにおいてのみ変更処理を行えばよいことになる。このため、ユーザ属性情報に対するシステム管理者のメンテナンス作業は大幅に軽減され、かつユーザ属性情報の整合性の不一致等も生じない。
【0052】
なお、第1の実施形態では、個人データに対するアクセスの例としてデータ参照の場合を取り上げたが、データアクセスにはデータの参照、登録、変更、削除などのデータ操作に加え、データに対する開示設定の参照、登録、変更、削除などの開示設定操作も含まれる。
また、ユーザ認証サーバASVにおいては、ユーザDB331、認証情報DB351及び属性情報DB341を別個に設けたが、1つのデータベースに統合するようにしてもよい。
【0053】
さらに、ユーザの認証方法として、ユーザ識別子とパスワードを用いる例を記載した。しかしそれに限定されるものではなく、例えばICカードを利用した方法、生体認証用のユーザ識別情報などを用いた方法を用いてもよい。
さらに第1の実施例においては、クライアント装置をサービス連携サーバとユーザ端末とから構成した場合を例示したが、複数のサービスを提供するのでなければ、サービス連携サーバを省略してユーザ端末のみによりクライアント装置を構成し、このユーザ端末からユーザ認証サーバやデータサーバに対し直接アクセスするようにしてもよい。
【0054】
(第2の実施形態)
この発明の第2の実施形態は以下のような構成及びアクセス処理手順を採用したものである。すなわち、サービス連携サーバからのユーザ認証要求に対しユーザ認証サーバはユーザ認証のみを行ってその認証結果を認証要求元のサービス連携サーバへ返送する。このサービス連携サーバからのユーザ参照リクエストに応じて、データサーバがユーザ属性取得要求をユーザ認証サーバへ送信してユーザ属性情報を取得する。そして、この取得したユーザ属性情報を開示設定情報と照合することにより開示の許否を判定し、開示を許可すると判定された場合に個人データを要求元のサービス連携サーバを介してユーザ端末へ送信する。
【0055】
なお、この第2の実施形態のシステム構成は、一部の機能モジュールの機能を除いて前記図1と同一なので、ここでは図1を引用して第1の実施形態とは異なる部分のみ説明する。
ユーザ認証サーバASVの認証処理部31は、サービス連携サーバSSV1〜SSVmから送られたユーザ認証要求に対するユーザ認証の結果を保存しておく。そして、この状態でデータサーバDSV1〜DSVnから属性情報の取得要求が送られた場合に、上記保存された認証結果が要求元ユーザの正当性を証明するものであることを確認したのち、属性情報DB341から該当するユーザ属性情報を読み出して、要求元のデータサーバDSV1〜DSVnへ送信する機能を有する。
【0056】
サービス連携サーバSSV1〜SSVmのアプリケーション部23は、上記ユーザ認証サーバASVからユーザ認証の結果が通知されると、この認証結果が要求元ユーザの正当性を証明するものである場合に、要求元のユーザの属性情報を含まずユーザ識別子のみを含むユーザ参照リクエストをアクセス先のデータサーバDSV1〜DSVnへ送信する機能を有する。
【0057】
データサーバDSV1〜DSVnのデータ開示処理部11は、サービス連携サーバSSV1〜SSVmから自己宛のユーザ参照リクエストが送られた場合に、要求元ユーザの属性情報を取得するための要求をユーザ認証サーバASVに対し送信し、ユーザ認証サーバASVのから要求元ユーザの属性情報を取得する機能を有する。
【0058】
次に、以上のように構成されたシステムによる個人データ参照手順を、前記第1の実施形態と同様に、ユーザCがユーザAの診療情報を参照する場合を例にとって説明する。図4はその手順を示すシーケンス図である。
ユーザCがユーザAの診療情報を参照するために、自身のユーザ端末UTにおいてWebブラウザを起動し、サービス連携サーバSSV1に対し自身のユーザ識別子を用いてログインしたとする。そうするとサービス連携サーバSSV1は、ログイン処理部22により、ユーザ管理部21で管理されているユーザ情報を参照して、上記ユーザ端末UTから送られてきたユーザ識別子を有するユーザがサービス連携サーバSSV1を利用する権限を持った正当なユーザであるかどうか判断する。そして、正当なユーザであれば、アプリケーション部23の制御の下でアプリケーション画面の表示データをユーザ端末UTへ送信する。この結果ユーザ端末UTには、上記アプリケーション画面が表示される。
【0059】
この状態で、ユーザCがアプリケーション画面においてユーザAの診療情報を参照するためのリクエスト操作を行ったとする。そうすると、サービス連携サーバSSV1のアプリケーション部23は、ユーザ認証サーバASVに対し、ユーザ識別子やパスワードなどの認証に必要な情報を含むユーザ認証要求を送信する。
【0060】
ユーザ認証サーバASVは、上記ユーザ認証要求を受信すると、認証処理部31により先ず上記受信されたユーザ認証要求に含まれるユーザ識別子がユーザ管理部33のユーザDB331に登録されているかを確認する。そして、登録されていれば、続いて認証情報管理部35の認証情報DB351に登録されている情報と、上記受信されたユーザ識別子及びパスワードを用いて認証処理を行う。この認証の結果、要求元のユーザCの正当性が証明されると、その認証結果を表す情報のみを要求元のサービス連携サーバSSV1へ返送する。また、このとき認証処理部31は上記認証結果を内部メモリに保存しておく。
【0061】
上記ユーザ認証サーバASVから認証結果が返送され、当該認証結果が要求元のユーザCの正当性を証明するものだったとすると、サービス連携サーバSSV1のアプリケーション部23はユーザ参照リクエストを生成する。このユーザ参照リクエストには、参照先となるユーザAの診療情報の指定情報と、ユーザCのユーザ識別子が挿入される。そして、この生成されたユーザ参照リクエストを、アクセス先となるデータサーバ(例えばDSV1)に対して送信する。
【0062】
データサーバDSV1は、サービス連携サーバSSV1からユーザ参照リクエストを受信すると、データ開示処理部11により、当該ユーザ参照リクエストに含まれるユーザ識別子を含む属性取得要求を生成して、この属性取得要求をユーザ認証サーバASVへ送信する。
【0063】
ユーザ認証サーバASVは、上記データサーバDSV1から属性取得要求が送られると、認証処理部31により、先に内部メモリに保存しておいた認証結果が要求元ユーザCの正当性を証明するものであるか否かを判定する。そして、要求元ユーザCの正当性を証明するものであれば、上記属性取得要求に含まれるユーザ識別子を用いて属性情報DB341から対応するユーザ属性情報を読み出し、このユーザ属性情報を要求元のデータサーバDSV1へ返送する。
【0064】
データサーバDSV1は、ユーザ属性サーバASVからユーザ属性情報を受信すると、データ開示処理部11により、参照先として要求されたユーザAの診療情報が要求元のユーザCに対して開示許可されているかどうかを、上記受信されたユーザ属性情報を開示設定DB151に格納された開示設定情報を参照することにより確認する。この例では、図2に示すようにユーザCのユーザ属性情報にはユーザCはユーザAの担当医であると設定されており、かつ開示設定情報には図3に示すようにユーザAは担当医に診療情報を開示すると設定されている。このため、ユーザAの診療情報はユーザCに開示可能と判定される。
【0065】
開示可能と判定されるとデータ開示処理部11は、データ管理部13のアプリケーションDB141から参照先として指定されたユーザAの診療情報を読み出し、この読み出された診療情報を予め決められているフォーマットに従い編集した後、要求元のサービス連携サーバSSV1へ送信する。サービス連携サーバSSV1のアプリケーション部23は、上記データサーバDSV1から送信されたユーザAの診療情報を表示用のフォーマットに成型し、ユーザ端末UTへ送信する。この結果、ユーザ端末UTには上記ユーザAの診療情報が表示される。
【0066】
以上のように第2の実施形態では、サービス連携サーバSSV1からのユーザ認証要求に対しユーザ認証サーバASVはユーザ認証の結果のみを認証要求元のサービス連携サーバSSV1へ返送し、サービス連携サーバSSV1はユーザ識別子のみを含むユーザ参照リクエストをデータサーバDSV1へ送信するようにしている。
したがって、必ずしもセキュリティレベルが高いとは限らないサービス連携サーバSSV1とデータサーバDSV1との間をユーザ属性情報が伝送されることはなくなるので、盗聴などの脅威を低減することができる。
【0067】
(第3の実施形態)
この発明の第3の実施形態は、ユーザ認証サーバから取得したユーザ属性情報に複数の属性値が含まれる場合に、サービス連携サーバにより当該複数の属性値をユーザに選択させるためのリストを生成してユーザ端末に表示させ、このリストにおいてユーザが選択した属性値をユーザ属性情報として含むユーザ参照リクエストをデータサーバに送信するようにしたものである。
【0068】
図6は、この発明の第3の実施形態に係わる分散情報アクセスシステムの構成を示すブロック図である。なお、同図において前記図1と同一部分には同一符号を付して詳しい説明は省略する。
サービス連携サーバSSV1〜SSVmは、その機能モジュールとして、ユーザ管理部21、ログイン処理部22、アプリケーション部23及び通信部24に加え、ユーザ属性選択部25を備えている。なお、このユーザ属性選択部25も、他の機能モジュールと同様にプログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0069】
ユーザ属性選択部25は、ユーザ認証サーバASVから送られたユーザ属性情報に選択可能な複数の属性値(項目)が含まれている場合に、これらの属性値のリストを生成してこの生成したリストを通信部24からユーザ端末UTに送信して表示させる機能と、上記リストに表示された属性値のうちの1つがユーザにより選択指定された場合に、その選択情報をユーザ端末UTから受信する機能を有する。
【0070】
アプリケーション部23は、上記ユーザ属性選択部25がユーザ端末UTから受信した選択情報をもとに、ユーザが選択した属性値のみをユーザ属性情報として含むユーザ参照リクエストを生成し、この生成したユーザ参照リクエストをアクセス先のデータサーバDSV1〜DSVnへ送信する。
【0071】
次に、以上のように構成されたシステムによる個人データ参照手順を、ユーザDがユーザBの診療情報を参照する場合を例にとって説明する。図7はその手順を示すシーケンス図である。
さてこの状態で、ユーザDがユーザBの診療情報を参照するために、自身のユーザ端末UTにおいてWebブラウザを起動し、サービス連携サーバSSV1に対し自身のユーザ識別子を用いてログインしたとする。そうするとサービス連携サーバSSV1は、ログイン処理部22により、ユーザ管理部21で管理されているユーザ情報を参照して、上記ユーザ端末UTから送られてきたユーザ識別子を有するユーザがサービス連携サーバSSV1を利用する権限を持った正当なユーザであるかどうか判断する。そして、正当なユーザであれば、ユーザ認証サーバASVに対し、ユーザDのユーザ識別子やパスワードなどの認証に必要な情報を含むユーザ認証要求を送信する。
【0072】
ユーザ認証サーバASVは、上記ユーザ認証要求を受信すると、認証処理部31により先ず上記受信されたユーザ認証要求に含まれるユーザ識別子がユーザ管理部33のユーザDB331に登録されているかを確認する。そして、登録されていれば、続いて認証情報管理部35の認証情報DB351に登録されている情報と、上記受信されたユーザ識別子及びパスワードを用いて認証処理を行う。この認証の結果、要求元のユーザDの正当性が証明されると、上記ユーザ識別子をキーにしてユーザ属性管理部34の属性情報DB341から該当するユーザ属性情報を読み出し、この読み出したユーザ属性情報を上記認証結果と共に要求元のサービス連携サーバSSV1へ返送する。ここでは、図2に示すようにユーザDは医療従事者であってH病院とK病院に所属していることがユーザ属性情報として送られる。
【0073】
上記ユーザ認証サーバASVから認証結果とユーザ属性情報が返送され、当該認証結果が要求元のユーザDの正当性を証明するものであれば、サービス連携サーバSSV1のアプリケーション部23はユーザ属性選択部25に上記ユーザ属性情報を渡す。ユーザ属性選択部25は、上記渡されたユーザ属性情報に選択可能な複数の属性値(項目)が含まれているか否かを判定する。そして、含まれている場合には、これら選択可能な複数の属性値のリストを生成し、この生成したリストを通信部24からユーザ端末UTに送信して表示させる。
【0074】
例えば、ログインユーザがユーザDの場合には、図2に示すように所属の属性値としてH病院とK病院が含まれている。このため、ユーザ属性選択部25はH病院とK病院の選択リストを生成して、このリストをユーザ端末UTに送信して表示させる。なお、ユーザ属性情報に選択可能な複数の属性値(項目)が含まれていない場合には、ユーザ属性選択部25はその旨をアプリケーション部23に返答する。
【0075】
この状態で、上記リストに表示された属性値のうちの1つが、ユーザ端末UTにおいてユーザにより選択指定されたとする。そうすると、サービス連携サーバSSV1は、上記選択情報をユーザ属性選択部25で受信してアプリケーション部23に渡す。アプリケーション部23は、上記ユーザ属性選択部25がユーザ端末UTから受信した選択情報をもとに、ユーザが選択した属性値のみをユーザ属性情報として含むユーザ参照リクエストを生成し、この生成したユーザ参照リクエストをアクセス先のデータサーバDSV1〜DSVnへ送信する。
【0076】
例えば、いまユーザが上記リストに表示されたH病院とK病院のうちH病院を選択指定したとする。この場合、サービス連携サーバSSV1のアプリケーション部23は、上記選択結果に従い、所属としてユーザが選択したH病院のみをユーザ属性情報に含むユーザ参照リクエストを生成し、この生成したユーザ参照リクエストをアクセス先のデータサーバ(例えばDSV1)へ送信する。
なお、ユーザ属性選択部25から、ユーザ属性情報に選択可能な複数の属性値(項目)が含まれていない旨が返答された場合には、アプリケーション部23はユーザ認証サーバASVから受信したユーザ属性情報をそのままユーザ参照リクエストに付加してデータサーバへ送信する。
【0077】
データサーバDSV1は、サービス連携サーバSSV1からユーザ参照リクエストを受信すると、データ開示処理部11により、参照先として要求されたユーザBの診療情報が要求元のユーザDに対して開示許可されているかどうかを、上記受信されたリクエストに含まれるユーザ属性情報を開示設定DB151に格納された開示設定情報を参照して確認する。
【0078】
この例では、アクセス先のユーザBは、図3に示すようにH病院の医師には診療情報を開示可能としているが、K病院の医師には開示していない。したがって、サービス連携サーバSSV1のユーザ属性選択部25において先に例示したようにユーザDがH病院を選択した場合には、ユーザDに対してユーザBの診療情報は開示可能と判定される。これに対し、ユーザDがK病院を選択した場合には、ユーザDに対しユーザBの診療情報は開示不可と判定される。
【0079】
開示可能と判定されるとデータ開示処理部11は、データ管理部13のアプリケーションDB141から参照先として指定されたユーザBの診療情報を読み出し、この読み出された診療情報を予め決められているフォーマットに従い編集した後、要求元のサービス連携サーバSSV1へ送信する。サービス連携サーバSSV1のアプリケーション部23は、上記データサーバDSV1から送信されたユーザBの診療情報を表示用のフォーマットに成型し、ユーザ端末UTへ送信する。この結果、ユーザ端末UTには上記ユーザBの診療情報が表示される。
【0080】
以上述べたように第3の実施形態では、ユーザ認証サーバASVから取得したユーザ属性情報に選択可能な複数の属性値が含まれる場合に、サービス連携サーバSSV1のユーザ属性選択部25により当該複数の属性値をユーザに選択させるためのリストを生成してユーザ端末UTに表示させ、このリストにおいてユーザが選択した属性値をユーザ属性情報として含むユーザ参照リクエストをデータサーバDSV1〜DSVnに送信するようにしている。
【0081】
したがって、例えば複数の医療機関に所属している医師がある患者の診療データ等を閲覧しようとする際に、どの立場でシステムを使用しているかを自身のユーザ属性情報によってデータサーバDSV1〜DSVnに通知することができる。このため、特定の患者の診療情報に対し同一の医師がアクセスする場合でも、医師のその時々の立場に応じてデータの開示の許否を制御することが可能となる。
【0082】
なお、以上の説明では、ユーザ自身が属性値を選択する場合を例示したが、端末識別番号や電話番号、メールアドレス等のユーザ端末UTに保存されている固有情報を用いて属性値を自動的に選択するように構成してもよい。
また、上記第3の実施形態では、サービス連携サーバSSV1がユーザ認証サーバASVから取得したユーザ属性情報の属性値リストを生成してユーザ端末UTに送る場合を示した。しかしそれに限らず、サービス連携サーバSSV1〜SSVmから当該サーバに格納されている現在のユーザ属性情報の属性値リストをユーザ端末UTに送り、これに対しユーザが選択した属性値をユーザ認証サーバASVに送信して属性認証を行い、その認証結果を受信したのちデータサーバへユーザ参照リストを送信するようにしてもよい。
【0083】
(その他の実施形態)
上記各実施形態においては、ユーザ認証サーバASVにおけるユーザ認証方法の例としてユーザ識別子とパスワードを用いた場合を記載したが、ユーザ認証サーバASVにおいてユーザを認証する方法が複数用意されている場合には、これらの認証方法に対しその信頼度に応じて認証レベルを設定し、この認証レベルに従い個人データの開示の可否を判定するようにしてもよい。
【0084】
例えば、ユーザ識別子とパスワードを用いた認証方法に対しては認証レベル1、ICカードを用いた信頼性の高い認証方法に対しては認証レベル2と設定する。そして、ユーザ認証サーバASVが、ユーザ認証を行った際に判定した認証レベルをユーザ属性情報に含めて要求元のサービス連携サーバ又はデータサーバに送り、データサーバが開示判定をする際に、認証レベル1の場合には個人データを開示しないが、認証レベル2の場合には個人データを開示するといった判定をするようにしてもよい。この開示判定は、上記認証レベルに対する開示の可否を表す情報を開示設定情報に予め含めておくことで、実現可能である。
【0085】
また、ユーザ認証サーバASVによるユーザ認証処理において、ユーザ端末UTがネットワークNWにどのような回線を用いて接続してきているか、例えば病院のネットワークからアクセスしてきているのか、自宅からアクセスしてきているのか、といった通信経路を表す回線情報を取得する。そして、この取得した回線情報をユーザ属性情報に付加して要求元のサービス連携サーバ又はデータサーバに送り、データサーバが開示判定をする際に、ユーザ属性情報に含まれる上記回線情報をもとに開示判定をするようにしてもよい。この開示判定は、上記回線情報に対する開示の可否を表す情報を開示設定情報に予め含めておくことで、実現可能である。
このようにすると、データサーバDSV1〜DSVnにおいて、例えば自宅からのアクセス時には個人データを開示しないが、病院からのアクセス時には個人データを開示する、といった開示判定が可能となる。
【0086】
また、上記各実施例においては、簡単のため、各サーバ間で一人のユーザを共通のユーザ識別子を用いて管理する場合を例にとって説明した。しかし、一人のユーザをサーバごとに異なるローカルなユーザ識別子を用いて管理するような場合には、ユーザ認証サーバASVにおいてそれぞれのユーザ識別子を関連付けるID連携用の識別子を設定し、このID連携用の識別子をシステム内で流通させることにより、サーバ間でユーザ識別子の関連付けをするようにしてもよい。この場合、流通しているID連携用の識別子が盗聴されても、それだけでは各DBの記憶情報を参照することはできないため、システムとしての信頼性をさらに高めることが可能となる。
【0087】
さらに、個人データに対するアクセスの種類が開示設定の変更の場合は、上記各実施形態で述べたデータ参照に代えてデータ開示設定となる。この場合、データサーバDSV1〜DSVnではアプリケーションDB141へのアクセスではなく、開示設定DB151へのアクセスとなる。
【0088】
さらに、上記各実施形態では、ユーザ属性情報におけるユーザ間の関係性として、患者と担当医との関係を設定した場合を例示したが、他に例えば高齢者や、幼児又は小児と親との関係、職場の一般職員と幹部職員(上長)との関係を設定することも可能である。
【0089】
さらに、自分では個人データの開示設定を行えないようなユーザ、例えば高齢者や子供、端末操作に不慣れな人に対して、特定の人がデータの開示設定を行えるようにしてもよい。この場合の開示設定ルールは、各ユーザのデータごとにするのではなく、高齢者に対する子供や、幼児・小児に対する親は開示設定変更可能というルールを開示設定記憶部15で管理し、ユーザ属性情報として高齢者や幼児・小児であるという情報と、親子関係が記載されているとするとよい。
【0090】
また、サービス連携サーバSSV1〜SSVmがユーザのユーザ識別子とユーザ自身が入力したユーザ属性情報を含む属性認証要求をユーザ認証サーバASVへ送信した場合に、ユーザ認証サーバASVが上記ユーザ自身が入力したユーザ属性情報を属性情報DB341に公式に登録されているユーザ属性情報と照合し、この照合の結果両情報が一致した場合にユーザ属性情報を返送するようにしてもよい。このようにすると、ユーザ認証に留まらず、ユーザが入力したユーザ属性情報についても認証することが可能となり、これによりユーザ自身が任意にユーザ属性情報を入力した場合でも、当該ユーザ属性情報に対する信頼性を高く維持することができる。
【0091】
さらに、ユーザ認証サーバASVが、ユーザごとにその識別子に対応付けて当該ユーザが開示代行資格を有する被代行ユーザのリストを含むユーザ属性情報を属性情報DB341により管理し、データサーバDSV1〜DSVnが、ユーザごとに当該ユーザが開示代行資格を有する被代行ユーザのリストを開示条件の1つとして含む開示設定情報を開示設定DB151により管理する。そしてデータサーバDSV1〜DSVnが、アクセス要求を受信した場合に、この受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザが開示代行資格を有する被代行ユーザのリストを取り出し、この受信されたリストと開示設定DB151に格納された開示設定情報に含まれる被代行ユーザのリストとに基づいてデータ開示の許否を判定するようにしてもよい。
このようにすると、予め個人データの開示代行処理、又は開示設定情報の設定変更等の代行処理を委任されたユーザが、委任元の被代行ユーザの個人データに対してのみ、個人データ又は開示設定情報の開示、追加、変更、削除等のアクセス処理を代行することが可能となる。
【0092】
また、ユーザ認証サーバASVが、ユーザごとにその識別子に対応付けて当該ユーザに係わるデータ、つまり個人データ又は開示設定情報の開示代行資格を有する代行ユーザのリストを含むユーザ属性情報を属性情報DB341により管理し、データサーバDSV1〜DSVnが、ユーザごとに当該ユーザに係わる上記個人データ又は開示設定情報の開示代行資格を有する代行ユーザのリストを開示条件の1つとして含む開示設定情報を開示設定DB151により管理する。そして、データサーバDSV1〜DSVnが、アクセス要求を受信した場合に、この受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザに係わるデータの開示代行資格を有する代行ユーザのリストを取り出し、この受信されたリストと開示設定DB151に格納された開示設定情報に含まれる代行ユーザのリストとをもとに開示の許否を判定するようにしてもよい。このようにすると、例えば一般ユーザが自身の個人データに対する開示代行処理、又は開示設定情報の設定変更等の代行処理を予め委任したユーザのみが、上記一般ユーザの個人データに対し、上記個人データ又は開示設定情報の開示、追加、変更、削除等のアクセス処理を代行することが可能となる。
【0093】
その他、サービス連携サーバSSV1〜SSVm、データサーバDSV1〜DSVn及びユーザ認証サーバASVの構成、データアクセス処理手順とその処理内容等については、この発明の要旨を逸脱しない範囲で種々変形して実施できる。
要するにこの発明は、上記各実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記各実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、各実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【符号の説明】
【0094】
UT…ユーザ端末、SSV1〜SSVm…サービス連携サーバ、DSV1〜DSVn…データサーバ、ASV…ユーザ認証サーバ、NW…通信ネットワーク、11…データ開示処理部、12,24,32,41…通信部、13,21,33…ユーザ管理部、14…データ管理部、15…開示設定記憶部、22…ログイン処理部、23…アプリケーション部、25…ユーザ属性選択部、31…認証処理部、34…ユーザ属性管理部、35…認証情報管理部、131,211,331…ユーザデータベース、141…アプリケーションデータベース、151…開示設定データベース、341…属性情報データベース、351…認証情報データベース。
【技術分野】
【0001】
この発明は、例えば医療機関や保健関連機関、運動関連施設等がそれぞれ保有する複数のデータベースにより管理されている医療等に関する個人データに対し、通信ネットワークを介してアクセスするためのシステム、方法及びプログラムに関する。
【背景技術】
【0002】
人は、罹病した場合や健康に不安を感じた場合、その症状等に応じて異なる医療機関を受診することがある。また、症状は同じでも居住地の移転や出張先等で罹病した場合にも、異なる医療機関を受診する。その結果、一人の患者の医療等に関する情報は複数の医療機関に分散して管理されることになる。
【0003】
ところで、最近このように複数の医療機関で管理されている一人の患者の医療等に関する情報を通信ネットワークを介して収集して、遠隔地での診療や投薬等に役立てる、EHR(Electronic Health Recode)システムが提案されている。このシステムは、例えば複数の医療機関がそれぞれ保有するデータベースから、特定の患者に係わる様々な医療データを定期的に収集し、この収集した医療データを集中管理データベースに記憶して閲覧を可能にするものである。
【0004】
その具体的なシステムとして、蓄積された情報を許可された利用者にだけ開示するために、例えばインスタンス指示子、利用者指示子、操作指示子、操作内容条件の4つの組みからなるインスタンス操作許可情報を管理するものが知られている(例えば、特許文献1を参照。)。
【0005】
また、患者に係わる様々な医療データを複数の医療関係施設で閲覧可能とするシステムとして、様々なデータを集中処理装置で集中管理し、患者による承諾情報に基づいてデータを閲覧できるようにするシステムが知られている(例えば、特許文献2を参照。)。
【0006】
さらに、ユーザ認証機能を備えたシステムとして、認証代行サーバを用いてID連携型認証を行うことにより、複数のサービスサーバに分散されたデータに対しサービスサーバにシングルサインオンすることでアクセス可能としたシステムが提案されている(例えば、特許文献3を参照。)。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特許第3788113号公報
【特許文献2】特許第3893588号公報
【特許文献3】特開2007−299303号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
ところが、ユーザ属性を用いて開示制御を行おうとする場合、クライアント側にユーザ属性の管理を任せると、ユーザ属性の間違いや詐称(なりすまし)が起こり得る。このため、ユーザ認証によりその正当性が確認されても、ユーザ属性情報に本来の属性とは異なる情報が記述されると、本来は参照権限がない情報を参照することが可能となり、この結果情報漏洩が発生する場合がある。したがって、システム全体としての信頼性が担保されないことになり個人情報保護の観点で大きな問題となる。
【0009】
この発明は上記事情に着目してなされたもので、その目的とするところは、ユーザ属性の管理に対するセキュリティを高く維持し、これによりユーザ属性情報を利用した個人データに対するアクセスの信頼性を向上させた分散情報アクセスシステム、分散情報アクセス方法及びプログラムを提供することにある。
【課題を解決するための手段】
【0010】
上記目的を達成するためにこの発明の第1の観点は、ユーザの個人データを当該ユーザの識別子と対応付けて分散管理する複数のデータサーバと、上記ユーザの認証情報を管理する認証サーバと、ユーザが使用するクライアント装置とを通信ネットワークを介して接続可能とした分散情報アクセスシステムにあって、
クライアント装置から認証要求を受信した場合に、認証サーバがこの受信された認証要求と上記管理されている認証情報とをもとに認証要求元のユーザに対する認証を行い、このユーザ認証により要求元のユーザの正当性が認められた場合に、上記受信された認証要求に含まれるユーザ識別子に対応するユーザ属性情報を属性情報データベースから読み出して要求元のクライアント装置へ返送する。そして、認証サーバからユーザ属性情報が返送された場合にクライアント装置が、当該ユーザのユーザ識別子とユーザ属性情報を含むアクセス要求を生成してアクセス先となるデータサーバへ送信し、データサーバが上記クライアント装置から送られたアクセス要求に含まれるユーザ属性情報を開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定し、開示を許可すると判定された場合に、上記受信されたアクセス要求に含まれるユーザ識別子に対応する個人データを上記アクセス要求元のクライアント装置へ返送するように構成したものである。
【0011】
したがって、システムにおいて認証面での信頼性が最も高い認証サーバによりユーザ属性情報が管理され、このユーザ属性情報をもとにデータサーバで個人データの開示制御が行われる。このため、ユーザ属性情報をクライアント側で管理する場合に比べ、より信頼性の高いデータ開示制御が行える。また、ユーザ属性情報が認証サーバで一元的に管理されるため、システムを構成するクライアント装置やデータサーバとの間でのユーザ属性の食い違いが生じない。
【0012】
この発明は、以下のような第1及び第2の実施態様を備えることも特徴とする。
第1の実施態様は、認証サーバが、ユーザごとに複数の属性情報をユーザ識別子に対応付けて属性情報データベースにより管理している場合に、認証サーバがユーザ属性を返送する際に、受信された認証要求に含まれるユーザ識別子に対応する複数のユーザ属性情報を属性情報データベースから読み出し、この読み出された複数のユーザ属性情報の選択リストを要求元のクライアント装置へ返送する。これに対しクライアント装置は、アクセス要求を送信する際に、上記認証サーバから返送されたユーザ属性情報の選択リストをユーザに提示し、ユーザの操作により上記選択リスト中のユーザ属性情報が選択された場合に、当該ユーザのユーザ識別子と上記選択されたユーザ属性情報を含むアクセス要求を生成してアクセス先となるデータサーバへ送信するものである。
このようにすると、例えば複数の医療機関に所属している医師がある患者の診療データ等を閲覧しようとする際に、どの立場でシステムを使用しているかを自身のユーザ属性情報によりデータサーバに通知することができる。このため、特定の患者のデータに対し同一の医師がアクセスする場合でも、その時々の立場に応じてデータの開示の許否を制御することが可能となる。
【0013】
第2の実施態様は、クライアント装置がユーザのユーザ識別子とユーザ自身が入力したユーザ属性情報を含む属性認証要求を認証サーバへ送信した場合に、認証サーバが上記ユーザ自身が入力したユーザ属性情報を属性情報データベースに格納されているユーザ属性情報と照合し、この照合の結果両情報が一致した場合にユーザ属性情報を返送するものである。
このようにすると、ユーザ認証に留まらず、ユーザが入力したユーザ属性情報についても認証することが可能となり、これによりユーザ自身がユーザ属性情報を入力した場合でも、当該ユーザ属性情報に対する信頼性を高く維持することができる。
【0014】
上記目的を達成するためにこの発明の第2の観点は、クライアント装置から認証要求を受信した場合に、認証サーバは当該認証要求に含まれるユーザ識別子と上記認証情報とをもとに認証要求元のユーザに対する認証を行い、その認証結果のみを認証要求元のクライアント装置へ返送する。クライアント装置は、認証サーバから正当性を保証する旨の認証結果が返送されると、ユーザ識別子を含むアクセス要求をアクセス先となるデータサーバへ送信する。データサーバは、クライアント装置から上記アクセス要求を受信すると、当該アクセス要求に含まれるユーザ識別子を含む属性取得要求を生成して認証サーバへ送信する。認証サーバは、データサーバからユーザ識別子を含む属性取得要求を受信すると、当該属性要求に含まれるユーザ識別子に対応するユーザ属性情報を属性情報データベースから読み出して要求元のデータサーバへ返送する。ユーザ属性情報を受信するとデータサーバは、この受信されたユーザ属性情報を開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定し、開示を許可すると判定された場合に上記受信されたアクセス要求に含まれるユーザ識別子に対応する個人データを上記アクセス要求元のクライアント装置へ送信するように構成したものである。
【0015】
したがって、ユーザ属性情報はクライアント装置を経由せずに認証サーバからアクセス先のデータサーバへ直接伝送される。このため、必ずしもセキュリティレベルが高いとは限らないクライアント装置とデータサーバとの間をユーザ属性情報が伝送されることはなくなるので、盗聴などの脅威を低減することができる。
【0016】
この発明の第1及び第2の観点は、以下のような第3乃至第6の実施態様を備えることも特徴とする。
第3の実施態様は、ユーザ認証に際し認証装置が、クライアント装置から受信された認証要求に含まれる認証要素の種類又は数に応じて認証の信頼度を示す情報を生成し、属性情報データベースから読み出されたユーザ属性情報に上記生成された認証の信頼度を示す情報を付加して要求元へ返送する。データサーバは、上記認証の信頼度を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、アクセス要求を受信すると、当該アクセス要求に含まれるユーザ属性情報と当該ユーザ属性情報に付加された認証の信頼度を示す情報を上記開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定するものである。
このようにすると、ユーザ認証を行った際の認証の信頼性の度合を表す情報がユーザ属性情報に付加されてデータサーバに送られ、データサーバではこの認証の信頼性の度合に応じて個人データの開示制御が行われる。この結果、同一ユーザからのアクセス要求であっても、例えば生体認証用のユーザ識別情報を用いたり複数に認証手段により認証を行った場合のように認証結果の信頼度が高い時には、個人データの多くの項目を開示し、一方単にユーザ名とパスワードのみで認証を行った場合のように信頼度が高くない揚合には、開示する項目を制限するといった認証結果の信頼度に応じた開示制御が可能となる。
【0017】
第4の実施態様は、認証サーバにおいて、認証要求を受信した場合に当該認証要求の通信経路を検出して、この検出した通信経路を表す情報を属性情報データベースから読み出されたユーザ属性情報に付加して要求元へ返送する。一方、データサーバでは、上記通信経路を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、アクセス要求を受信するとこのアクセス要求に含まれるユーザ属性情報と当該ユーザ属性情報に付加された通信経路を表す情報を開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定するものである。
このようにすると、同一ユーザがアクセスする場合であっても、どのような経路を用いてアクセスしたかに応じて最適な開示制御が行われる。例えば、クライアント装置からVPN経由でアクセスされた場合には個人データの多くの項目を公開するが、盗聴の危険性が高いような一般回線を経由してアクセスされた場合には公開する項目を制限するといった、アクセス経路に応じたデータ開示制御が可能となる。
【0018】
第5の実施態様は、認証サーバがユーザごとにその識別子に対応付けて当該ユーザの役割分類を表す情報を含むユーザ属性情報を属性情報データベースにより管理し、かつデータサーバがユーザごとにその役割分類に応じて予め設定された開示代行資格の有無を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理する。そして、アクセス要求を受信するとデータサーバが、当該アクセス要求に含まれるユーザ属性情報からユーザの役割分類を表す情報を取り出し、このユーザの役割分類を表す情報と上記開示設定データベースに格納された開示設定情報に含まれる開示代行資格の有無を表す情報とをもとに開示の許否を判定するものである。
このようにすると、ユーザ本人でなくても、例えばシステム管理者のような予め役割が与えられた開示設定専任者たるユーザが、一般ユーザの個人データに対しアクセスすることが可能となる。このため、例えば老人や子供のようにクライアント装置を操作できないユーザや、成人であっても装置の操作に不慣れなユーザの個人データに対し、その開示、追加、変更、削除等のためのアクセス処理を第三者が代行することが可能となる。
【0019】
第6の実施態様は、認証サーバが、ユーザごとにその識別子に対応付けて当該ユーザが開示代行資格を有する被代行ユーザのリストを含むユーザ属性情報を属性情報データベースにより管理し、データサーバが、ユーザごとに当該ユーザが開示代行資格を有する被代行ユーザのリストを開示条件の1つとして含む開示設定情報を開示設定データベースにより管理する。そしてデータサーバが、アクセス要求を受信した場合に、この受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザが開示代行資格を有する被代行ユーザのリストを取り出し、この受信されたリストと開示設定データベースに格納された開示設定情報に含まれる被代行ユーザのリストとに基づいてデータ開示の許否を判定するものである。
このようにすると、予め個人データの開示代行処理、又は開示設定情報の設定変更等の代行処理を委任されたユーザが、委任元の被代行ユーザの個人データに対してのみ、個人データ又は開示設定情報の開示、追加、変更、削除等のアクセス処理を代行することが可能となる。
【0020】
第7の実施態様は、認証サーバが、ユーザごとにその識別子に対応付けて当該ユーザのデータに関する開示代行資格を有する代行ユーザのリストを含むユーザ属性情報を属性情報データベースにより管理し、データサーバが、ユーザごとに当該ユーザの個人データの開示代行資格を有する代行ユーザのリストを開示条件の1つとして含む開示設定情報を開示設定データベースにより管理する。そして、データサーバが、アクセス要求を受信した場合に、この受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザの個人データの開示代行資格を有する代行ユーザのリストを取り出し、この受信されたリストと開示設定データベースに格納された開示設定情報に含まれる代行ユーザのリストとをもとに開示の許否を判定するものである。
このようにすると、例えば一般ユーザが自身の個人データに対する開示代行処理、又は開示設定情報の設定変更等の代行処理を予め委任したユーザのみが、上記一般ユーザの個人データに対し、上記個人データ又は開示設定情報の開示、追加、変更、削除等のアクセス処理を代行することが可能となる。
【0021】
第8の実施態様は、認証サーバが、ユーザごとにその識別子に対応付けて当該ユーザと他のユーザとの関係性を表す情報を含むユーザ属性情報を属性情報データベースにより管理し、データサーバが、ユーザごとに当該ユーザと他のユーザとの関係性を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理する。そしてデータサーバは、アクセス要求を受信すると、このアクセス要求に含まれるユーザ属性情報から当該ユーザと他のユーザとの関係性を表す情報を取り出し、この受信された関係性を表す情報と開示設定データベースに格納された開示設定情報とをもとに開示の許否を判定するものである。
このようにすると、ユーザごとに当該ユーザと特別の関係性を持つ他ユーザが上記ユーザの個人データに対するアクセスを代行できるようになる。例えば、患者たるユーザの属性情報にその主治医たるユーザの識別子を登録しておくことで、主治医たるユーザは患者たるユーザの個人データに対するアクセスを代行することが可能となる。
【発明の効果】
【0022】
すなわち、この発明によれば、ユーザ属性の管理に対するセキュリティを高く維持し、これによりユーザ属性情報を利用した個人データに対するアクセスの信頼性を向上させた分散情報アクセスシステム、分散情報アクセス方法及びプログラムを提供することができる。
【図面の簡単な説明】
【0023】
【図1】この発明の第1の実施形態に係わる分散情報アクセスシステムの構成を示すブロック図である。
【図2】図1に示したシステムのユーザ認証サーバに設けられた属性情報データベースに記憶されるユーザ属性管理情報の一例を示す図である。
【図3】図1に示したシステムのデータサーバに設けられた開示設定データベースに記憶される開示設定情報の一例を示す図である。
【図4】図1に示したシステムによる個人データ参照手順を示すシーケンス図である。
【図5】この発明の第2の実施形態に係わる分散情報アクセスシステムによる個人データ参照手順を示すシーケンス図である。
【図6】この発明の第3の実施形態に係わる分散情報アクセスシステムの構成を示すブロック図である。
【図7】図1に示したシステムによる個人データ参照手順を示すシーケンス図である。
【発明を実施するための形態】
【0024】
以下、図面を参照してこの発明に係わる実施形態を説明する。
(第1の実施形態)
図1は、この発明の第1の実施形態に係わる分散情報アクセスシステムの全体構成を示すブロック図である。
この実施形態の分散情報アクセスシステムは、ユーザ端末UTと、医療機関や保健関連機関、運動関連施設等が運用する複数のデータサーバDSV1〜DSVnと、複数(m台)のサービス連携サーバSSV1〜SSVmと、認証サーバASVを備え、これらのサーバDS1〜DSn,SSV1〜SSVm,ASV相互間、及びこれらのサーバとユーザ端末UTとの間で、通信ネットワークNWを介して情報通信を可能としたものである。なお、nはデータサーバの数であり自然数(正の整数)、mはサーバ連携サーバの数であり自然数(正の整数)である。
【0025】
ユーザ端末UTには、患者等の一般ユーザが自宅等において使用する一般ユーザ用の端末と、医師や保健師、薬剤師等が患者の依頼を受けて患者の医療データ等を取得するために使用する業務用の端末と、システム管理者が使用するオペレータ用コンソール端末(図示せず)が含まれる。ユーザ端末UTはいずれもパーソナル・コンピュータからなり、上記通信ネットワークNWを介して上記サービス連携サーバSSV1〜SSVm及びデータサーバDSV1〜DSVnとの間でデータ通信を行うための通信部41を備える。なお、このユーザ端末UTは、上記サービス連携サーバSSV1〜SSVmのいずれかと、クライアント装置を構成する。
【0026】
通信ネットワークNWは、例えばインターネットに代表されるIP(Internet Protocol)網と、このIP網に対しアクセスするための複数のアクセス網とから構成される。アクセス網としては、例えばLAN(Local Area Network)、無線LAN、携帯電話網、有線電話網、CATV(Cable Television)網が用いられる。
【0027】
サービス連携サーバSSV1〜SSVmは、中央制御ユニット(Central Control Unit;CPU)に、バスを介してプログラムメモリ、データメモリ及び通信インタフェースを接続したもので、その機能モジュールとしてユーザ管理部21と、ログイン処理部22と、アプリケーション部23と、通信部24を備えている。これらの機能モジュールは、いずれも上記プログラムメモリに格納された各プログラムを上記CPUに実行させることにより実現される。
【0028】
ユーザ管理部21はユーザデータベース(ユーザDB)211を有する。このユーザDB211には、各利用者(ユーザ)を識別し管理するためのユーザ情報が記憶される。ユーザ情報は、ユーザ識別子(ユーザID)及びユーザ基本情報等からなる。ユーザ管理部21は、ユーザ端末UTのユーザの操作に応じて上記ユーザ情報の登録、変更、追加、削除等を行う。
ログイン処理部22は、ユーザ端末UTから送信されたログイン要求が通信部24で受信された場合に、ユーザDB211に格納されたユーザ情報を参照してログインの受け付け処理を行う。
【0029】
アプリケーション部23は、ユーザ端末UTからのログインを受け付けた場合に、認証サーバASVに対し通信部24からユーザ認証要求を送信し、その認証結果とユーザ認証情報を通信部24を介して受信する機能を有する。またアプリケーション部23は、上記認証結果がログインユーザの正当性を証明するものだった場合に、上記ログインユーザの識別子と上記受信されたユーザ属性情報とを含むアクセス要求を生成し、この生成したアクセス要求をアクセス先のデータサーバDSV1〜DSVnへ通信部24から送信する機能を有する。さらにアプリケーション部23は、上記アクセス要求に対しデータサーバから返送される個人データを通信部24を介して受信し、この受信した個人データを通信部24からアクセス要求元のユーザ端末UTへ転送する機能を有する。
【0030】
ユーザ認証サーバASVも、上記データサーバDSV1〜DSVnと同様に、CPUに対しバスを介してプログラムメモリ、データベース及び通信インタフェースを接続したものからなる。機能モジュールとしては、認証処理部31と、通信部32と、ユーザ管理部33と、ユーザ属性管理部34と、認証情報管理部35とを備える。これらの機能モジュールは、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0031】
ユーザ管理部33はユーザデータベース(ユーザDB)331を有する。このユーザDB331には、各ユーザを識別し管理するためのユーザ情報が記憶される。ユーザ情報は、ユーザ識別子(ユーザID)及びユーザ基本情報等からなる。ユーザ管理部33は、認証サーバASVの管理者の操作に応じて上記ユーザ情報の登録、変更、追加、削除等を行う。
【0032】
ユーザ属性管理部34は、属性情報データベース(属性情報DB)341を有する。属性情報DB341には、各ユーザのユーザ識別子に対応付けて当該ユーザの属性情報が格納されている。ユーザ属性管理部34は、認証サーバASVの管理者の操作に応じて上記ユーザ属性情報の登録、変更、追加、削除等を行う。
認証情報管理部35は、認証情報データベース(認証情報DB)351を有する。この認証情報DB351には、ユーザ管理部21で管理されているユーザの認証に必要な情報が格納されている。
【0033】
認証処理部31は、サービス連携サーバSSV1〜SSVmから送信されたユーザ認証要求が通信部32で受信された場合に、ユーザ管理部33及び認証情報管理部35で管理されているユーザ情報及び認証情報を参照して要求されたユーザの認証を行う機能と、この認証の結果が要求元ユーザの正当性を証明するものだった場合に、属性情報DB341から要求元ユーザのユーザ属性情報を読み出し、このユーザ属性情報を上記認証結果と共に要求元のサービス連携サーバSSV1〜SSVmへ返送する機能を有する。
【0034】
データサーバDSV1〜DSVnも、中央制御ユニット(Central Control Unit;CPU)に、バスを介してプログラムメモリ、データメモリ及び通信インタフェースを接続したもので、その機能モジュールとしてデータ開示処理部11と、通信部12と、ユーザ管理部13と、データ管理部14と、開示設定記憶部15とを備えている。これらの機能モジュールは、いずれも上記プログラムメモリに格納された各プログラムを上記CPUに実行させることにより実現される。
【0035】
ユーザ管理部13は、ユーザデータベース(ユーザDB)131を有する。このユーザDB131には、各利用者(ユーザ)を識別し管理するためのユーザ情報が記憶される。ユーザ情報は、ユーザ識別子(ユーザID)及びユーザ基本情報等からなる。ユーザ管理部13は、データサーバのオペレータの操作に応じて上記ユーザ情報の登録、変更、追加、削除等を行う。
【0036】
データ管理部14は、アプリケーションデータベース(アプリケーションDB)141を有する。アプリケーションDB141には、各ユーザの個人データとして保健指導情報及び健康診断情報等が上記ローカルなユーザIDに対応付けられて格納される。データ管理部14は、データサーバのオペレータの操作に応じて上記個人データの登録、変更、追加、削除等を行う。
【0037】
開示設定記憶部15は、開示設定データベース(開示設定DB)151を有する。開示設定DB151には、アプリケーションDB141に格納されているそれぞれの個人データについて、どのユーザに対してどういうアクセス権を与えるかを表す開示設定情報が格納される。開示設定記憶部15は、データサーバのオペレータの操作に応じて上記開示設定情報の登録、変更、追加、削除等を行う。
【0038】
データ開示処理部11は、サービス連携サーバSSV1〜SSVmから送信された自己宛のアクセス要求が通信部12により受信された場合に、この受信されたアクセス要求から当該アクセス要求に含まれているユーザ属性情報を取り出し、この取得したユーザ属性情報をもとに個人データの開示の許否を判定する機能を有する。この判定機能は、上記取得したユーザ属性情報を、上記ユーザDB131に格納されているユーザ情報、及び開示設定DB151に格納されている開示設定情報と照合し、その照合結果からアクセス要求元のユーザはアクセス先として指定した個人データに対しアクセスすることが可能か否かを判定するものである。
【0039】
またデータ開示処理部11は、上記判定の結果に基づく個人データの検索及び返送機能を有する。この機能は、上記判定の結果アクセスが許可されていれば、アプリケーションDB141から該当する個人データを読み出し、この読み出した個人データを通信部12からアクセス要求元のサービス連携サーバSSV1〜SSVmへ向け返送するものである。
【0040】
次に、以上のように構成されたシステムによる個人データ参照手順を、ユーザCがユーザAの診療情報を参照する場合を例にとって説明する。図4はその手順を示すシーケンス図である。
いま、ユーザ認証サーバASVの属性情報DB341及びデータサーバDSV1〜DSVnの開示設定DB151にはそれぞれ、例えば図2及び図3に示すようなユーザ属性情報及び開示設定情報が格納されているものとする。図2に例示するようにユーザ属性は、ユーザの「役割分類」、「所属」及び「関係」により構成され、これらの要素ごとに具体的な内容が設定される。例えば、ユーザCの属性情報としては、役割分類として「医師」、所属として「H病院」、関係として「ユーザAの担当医」がそれぞれ設定されている。また、ユーザEの属性情報としては、役割分類として「開示設定専任者」が設定されている。
【0041】
一方、図3に示すように開示設定情報は、ユーザごとに、そのアクセス方法として「参照」、「追記」及び「開示設定変更」が用意され、これらのアクセス方法に対しアクセス可能なユーザ属性が設定されるようになっている。例えば、ユーザAは自分の診療情報をH病院には開示しないが担当医には開示すると設定されており、ユーザBは自分の診療情報をH病院に開示すると設定されている。また、ユーザA及びBのいずれも、本人と開示設定専任者による開示設定変更が可能なように設定がなされている。
【0042】
さてこの状態で、ユーザCがユーザAの診療情報を参照するために、自身のユーザ端末UTにおいてWebブラウザを起動し、サービス連携サーバSSV1に対し自身のユーザ識別子を用いてログインしたとする。そうするとサービス連携サーバSSV1は、ログイン処理部22により、ユーザ管理部21で管理されているユーザ情報を参照して、上記ユーザ端末UTから送られてきたユーザ識別子を有するユーザがサービス連携サーバSSV1を利用する権限を持った正当なユーザであるかどうか判断する。そして、正当なユーザであれば、アプリケーション部23の制御の下でアプリケーション画面の表示データをユーザ端末UTへ送信する。この結果ユーザ端末UTには、上記アプリケーション画面が表示される。
【0043】
この状態で、ユーザCがアプリケーション画面においてユーザAの診療情報を参照するためのリクエスト操作を行ったとする。そうすると、サービス連携サーバSSV1のアプリケーション部23は、ユーザ認証サーバASVに対し、ユーザ識別子やパスワードなどの認証に必要な情報を含むユーザ認証要求を送信する。
【0044】
ユーザ認証サーバASVは、上記ユーザ認証要求を受信すると、認証処理部31により先ず上記受信されたユーザ認証要求に含まれるユーザ識別子がユーザ管理部33のユーザDB331に登録されているかを確認する。そして、登録されていれば、続いて認証情報管理部35の認証情報DB351に登録されている情報と、上記受信されたユーザ識別子及びパスワードを用いて認証処理を行う。この認証の結果、要求元のユーザCの正当性が証明されると、上記ユーザ識別子をキーにしてユーザ属性管理部34の属性情報DB341から該当するユーザ属性情報を読み出し、この読み出したユーザ属性情報を上記認証結果と共に要求元のサービス連携サーバSSV1へ返送する。ここでは、図2に示すようにユーザCは医療従事者であってH病院に所属しており、かつユーザAの担当医であることがユーザ属性情報として送られる。
【0045】
上記ユーザ認証サーバASVから認証結果とユーザ属性情報が返送され、当該認証結果が要求元のユーザCの正当性を証明するものであれば、サービス連携サーバSSV1のアプリケーション部23はユーザ参照リクエストを生成する。このユーザ参照リクエストには、参照先となるユーザAの診療情報の指定情報と、ユーザCのユーザ識別子と、上記ユーザ認証サーバASVから取得したユーザ属性情報が挿入される。そして、この生成されたユーザ参照リクエストを、アクセス先となるデータサーバ(例えばDSV1)に対して送信する。
【0046】
データサーバDSV1は、サービス連携サーバSSV1からユーザ参照リクエストを受信すると、データ開示処理部11により、参照先として要求されたユーザAの診療情報が要求元のユーザCに対して開示許可されているかどうかを、上記受信されたリクエストに含まれるユーザ属性情報を開示設定DB151に格納された開示設定情報を参照して確認する。この例では、図2に示すようにユーザCのユーザ属性情報にはユーザCはユーザAの担当医であると設定されており、開示設定情報には図3に示すようにユーザAは担当医に診療情報を開示すると設定されている。このため、ユーザAの診療情報はユーザCに開示可能と判定される。
【0047】
開示可能と判定されるとデータ開示処理部11は、データ管理部13のアプリケーションDB141から参照先として指定されたユーザAの診療情報を読み出し、この読み出された診療情報を予め決められているフォーマットに従い編集した後、要求元のサービス連携サーバSSV1へ送信する。サービス連携サーバSSV1のアプリケーション部23は、上記データサーバDSV1から送信されたユーザAの診療情報を表示用のフォーマットに成型し、ユーザ端末UTへ送信する。この結果、ユーザ端末UTには上記ユーザAの診療情報が表示される。
【0048】
一方、例えばユーザDがユーザAの診療情報を参照しようとしてログインを行ったとする。この場合は、ユーザ認証サーバASVによる認証処理によりユーザDの正当性が証明され、その結果サービス連携サーバからデータサーバへユーザ参照リクエストが送信される。しかし、データサーバの開示条件判定処理では、ユーザDはユーザBの担当医でもなくH病院の医師でもないので、上記ユーザDはユーザAの診療情報の開示条件と合致しない。このため、ユーザDに対するユーザAの診療情報の開示は許可されない。
なお、ここでは開示条件が複数あった場合、それらはOR条件であるとしているが、開示設定記憶部15に予め設定されているルールに従って解釈されるようにしてもよい。
【0049】
以上述べたように第1の実施形態では、サービス連携サーバSSV1〜SSVm、ユーザ認証サーバASV及びデータサーバDSV1〜DSVnのそれぞれにおいてユーザ情報が管理されているが、このうちユーザ認証サーバASVはユーザ認証を行うための情報まで管理しており、サービス連携サーバSSV1〜SSVmやデータサーバDSV1〜DSVnに対して、より信頼性の高いデータとしてユーザ情報が扱われている。同様に、ユーザ認証サーバASVで管理されているユーザ属性情報も、認証用のユーザ情報と同等の信頼性を持ってメンテナンスされていると考えられるので、ユーザ属性情報も他のサービス連携サーバSSV1〜SSVmやデータサーバDSV1〜DSVnで管理する場合に比べて高い信頼性により管理される。このため、信頼性が高いユーザ情報管理が行われているユーザ認証サーバASV上で、ユーザ属性情報の信頼性も高くデータ管理することは、他のサーバでのユーザ属性の信頼性を高く確保するよりも、容易である。
【0050】
したがって、例えばサービス連携サーバSSV1〜SSVmやデータサーバDSV1〜DSVnでユーザ属性を管理するよりも、ユーザ認証サーバASVでユーザ属性情報を管理する方が、より信頼性が高い情報として管理することが容易であり、システム全体での信頼性を高めることができる。
【0051】
また、サービス連携サーバSSV1〜SSVmやデータサーバDSV1〜DSVnのそれぞれにおいてユーザ属性情報を管理すると、ユーザ属性情報に変更が生じた場合に、管理しているすべてのサーバでユーザ属性情報を変更する処理を行わなければならず、サーバ間のユーザ属性情報の整合性を保つためには手間と時間がかかる。しかし、本実施形態では、ユーザ属性情報をユーザ認証サーバASVにおいて一元管理しているので、ユーザ属性情報に変更があっても、ユーザ認証サーバASVにおいてのみ変更処理を行えばよいことになる。このため、ユーザ属性情報に対するシステム管理者のメンテナンス作業は大幅に軽減され、かつユーザ属性情報の整合性の不一致等も生じない。
【0052】
なお、第1の実施形態では、個人データに対するアクセスの例としてデータ参照の場合を取り上げたが、データアクセスにはデータの参照、登録、変更、削除などのデータ操作に加え、データに対する開示設定の参照、登録、変更、削除などの開示設定操作も含まれる。
また、ユーザ認証サーバASVにおいては、ユーザDB331、認証情報DB351及び属性情報DB341を別個に設けたが、1つのデータベースに統合するようにしてもよい。
【0053】
さらに、ユーザの認証方法として、ユーザ識別子とパスワードを用いる例を記載した。しかしそれに限定されるものではなく、例えばICカードを利用した方法、生体認証用のユーザ識別情報などを用いた方法を用いてもよい。
さらに第1の実施例においては、クライアント装置をサービス連携サーバとユーザ端末とから構成した場合を例示したが、複数のサービスを提供するのでなければ、サービス連携サーバを省略してユーザ端末のみによりクライアント装置を構成し、このユーザ端末からユーザ認証サーバやデータサーバに対し直接アクセスするようにしてもよい。
【0054】
(第2の実施形態)
この発明の第2の実施形態は以下のような構成及びアクセス処理手順を採用したものである。すなわち、サービス連携サーバからのユーザ認証要求に対しユーザ認証サーバはユーザ認証のみを行ってその認証結果を認証要求元のサービス連携サーバへ返送する。このサービス連携サーバからのユーザ参照リクエストに応じて、データサーバがユーザ属性取得要求をユーザ認証サーバへ送信してユーザ属性情報を取得する。そして、この取得したユーザ属性情報を開示設定情報と照合することにより開示の許否を判定し、開示を許可すると判定された場合に個人データを要求元のサービス連携サーバを介してユーザ端末へ送信する。
【0055】
なお、この第2の実施形態のシステム構成は、一部の機能モジュールの機能を除いて前記図1と同一なので、ここでは図1を引用して第1の実施形態とは異なる部分のみ説明する。
ユーザ認証サーバASVの認証処理部31は、サービス連携サーバSSV1〜SSVmから送られたユーザ認証要求に対するユーザ認証の結果を保存しておく。そして、この状態でデータサーバDSV1〜DSVnから属性情報の取得要求が送られた場合に、上記保存された認証結果が要求元ユーザの正当性を証明するものであることを確認したのち、属性情報DB341から該当するユーザ属性情報を読み出して、要求元のデータサーバDSV1〜DSVnへ送信する機能を有する。
【0056】
サービス連携サーバSSV1〜SSVmのアプリケーション部23は、上記ユーザ認証サーバASVからユーザ認証の結果が通知されると、この認証結果が要求元ユーザの正当性を証明するものである場合に、要求元のユーザの属性情報を含まずユーザ識別子のみを含むユーザ参照リクエストをアクセス先のデータサーバDSV1〜DSVnへ送信する機能を有する。
【0057】
データサーバDSV1〜DSVnのデータ開示処理部11は、サービス連携サーバSSV1〜SSVmから自己宛のユーザ参照リクエストが送られた場合に、要求元ユーザの属性情報を取得するための要求をユーザ認証サーバASVに対し送信し、ユーザ認証サーバASVのから要求元ユーザの属性情報を取得する機能を有する。
【0058】
次に、以上のように構成されたシステムによる個人データ参照手順を、前記第1の実施形態と同様に、ユーザCがユーザAの診療情報を参照する場合を例にとって説明する。図4はその手順を示すシーケンス図である。
ユーザCがユーザAの診療情報を参照するために、自身のユーザ端末UTにおいてWebブラウザを起動し、サービス連携サーバSSV1に対し自身のユーザ識別子を用いてログインしたとする。そうするとサービス連携サーバSSV1は、ログイン処理部22により、ユーザ管理部21で管理されているユーザ情報を参照して、上記ユーザ端末UTから送られてきたユーザ識別子を有するユーザがサービス連携サーバSSV1を利用する権限を持った正当なユーザであるかどうか判断する。そして、正当なユーザであれば、アプリケーション部23の制御の下でアプリケーション画面の表示データをユーザ端末UTへ送信する。この結果ユーザ端末UTには、上記アプリケーション画面が表示される。
【0059】
この状態で、ユーザCがアプリケーション画面においてユーザAの診療情報を参照するためのリクエスト操作を行ったとする。そうすると、サービス連携サーバSSV1のアプリケーション部23は、ユーザ認証サーバASVに対し、ユーザ識別子やパスワードなどの認証に必要な情報を含むユーザ認証要求を送信する。
【0060】
ユーザ認証サーバASVは、上記ユーザ認証要求を受信すると、認証処理部31により先ず上記受信されたユーザ認証要求に含まれるユーザ識別子がユーザ管理部33のユーザDB331に登録されているかを確認する。そして、登録されていれば、続いて認証情報管理部35の認証情報DB351に登録されている情報と、上記受信されたユーザ識別子及びパスワードを用いて認証処理を行う。この認証の結果、要求元のユーザCの正当性が証明されると、その認証結果を表す情報のみを要求元のサービス連携サーバSSV1へ返送する。また、このとき認証処理部31は上記認証結果を内部メモリに保存しておく。
【0061】
上記ユーザ認証サーバASVから認証結果が返送され、当該認証結果が要求元のユーザCの正当性を証明するものだったとすると、サービス連携サーバSSV1のアプリケーション部23はユーザ参照リクエストを生成する。このユーザ参照リクエストには、参照先となるユーザAの診療情報の指定情報と、ユーザCのユーザ識別子が挿入される。そして、この生成されたユーザ参照リクエストを、アクセス先となるデータサーバ(例えばDSV1)に対して送信する。
【0062】
データサーバDSV1は、サービス連携サーバSSV1からユーザ参照リクエストを受信すると、データ開示処理部11により、当該ユーザ参照リクエストに含まれるユーザ識別子を含む属性取得要求を生成して、この属性取得要求をユーザ認証サーバASVへ送信する。
【0063】
ユーザ認証サーバASVは、上記データサーバDSV1から属性取得要求が送られると、認証処理部31により、先に内部メモリに保存しておいた認証結果が要求元ユーザCの正当性を証明するものであるか否かを判定する。そして、要求元ユーザCの正当性を証明するものであれば、上記属性取得要求に含まれるユーザ識別子を用いて属性情報DB341から対応するユーザ属性情報を読み出し、このユーザ属性情報を要求元のデータサーバDSV1へ返送する。
【0064】
データサーバDSV1は、ユーザ属性サーバASVからユーザ属性情報を受信すると、データ開示処理部11により、参照先として要求されたユーザAの診療情報が要求元のユーザCに対して開示許可されているかどうかを、上記受信されたユーザ属性情報を開示設定DB151に格納された開示設定情報を参照することにより確認する。この例では、図2に示すようにユーザCのユーザ属性情報にはユーザCはユーザAの担当医であると設定されており、かつ開示設定情報には図3に示すようにユーザAは担当医に診療情報を開示すると設定されている。このため、ユーザAの診療情報はユーザCに開示可能と判定される。
【0065】
開示可能と判定されるとデータ開示処理部11は、データ管理部13のアプリケーションDB141から参照先として指定されたユーザAの診療情報を読み出し、この読み出された診療情報を予め決められているフォーマットに従い編集した後、要求元のサービス連携サーバSSV1へ送信する。サービス連携サーバSSV1のアプリケーション部23は、上記データサーバDSV1から送信されたユーザAの診療情報を表示用のフォーマットに成型し、ユーザ端末UTへ送信する。この結果、ユーザ端末UTには上記ユーザAの診療情報が表示される。
【0066】
以上のように第2の実施形態では、サービス連携サーバSSV1からのユーザ認証要求に対しユーザ認証サーバASVはユーザ認証の結果のみを認証要求元のサービス連携サーバSSV1へ返送し、サービス連携サーバSSV1はユーザ識別子のみを含むユーザ参照リクエストをデータサーバDSV1へ送信するようにしている。
したがって、必ずしもセキュリティレベルが高いとは限らないサービス連携サーバSSV1とデータサーバDSV1との間をユーザ属性情報が伝送されることはなくなるので、盗聴などの脅威を低減することができる。
【0067】
(第3の実施形態)
この発明の第3の実施形態は、ユーザ認証サーバから取得したユーザ属性情報に複数の属性値が含まれる場合に、サービス連携サーバにより当該複数の属性値をユーザに選択させるためのリストを生成してユーザ端末に表示させ、このリストにおいてユーザが選択した属性値をユーザ属性情報として含むユーザ参照リクエストをデータサーバに送信するようにしたものである。
【0068】
図6は、この発明の第3の実施形態に係わる分散情報アクセスシステムの構成を示すブロック図である。なお、同図において前記図1と同一部分には同一符号を付して詳しい説明は省略する。
サービス連携サーバSSV1〜SSVmは、その機能モジュールとして、ユーザ管理部21、ログイン処理部22、アプリケーション部23及び通信部24に加え、ユーザ属性選択部25を備えている。なお、このユーザ属性選択部25も、他の機能モジュールと同様にプログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0069】
ユーザ属性選択部25は、ユーザ認証サーバASVから送られたユーザ属性情報に選択可能な複数の属性値(項目)が含まれている場合に、これらの属性値のリストを生成してこの生成したリストを通信部24からユーザ端末UTに送信して表示させる機能と、上記リストに表示された属性値のうちの1つがユーザにより選択指定された場合に、その選択情報をユーザ端末UTから受信する機能を有する。
【0070】
アプリケーション部23は、上記ユーザ属性選択部25がユーザ端末UTから受信した選択情報をもとに、ユーザが選択した属性値のみをユーザ属性情報として含むユーザ参照リクエストを生成し、この生成したユーザ参照リクエストをアクセス先のデータサーバDSV1〜DSVnへ送信する。
【0071】
次に、以上のように構成されたシステムによる個人データ参照手順を、ユーザDがユーザBの診療情報を参照する場合を例にとって説明する。図7はその手順を示すシーケンス図である。
さてこの状態で、ユーザDがユーザBの診療情報を参照するために、自身のユーザ端末UTにおいてWebブラウザを起動し、サービス連携サーバSSV1に対し自身のユーザ識別子を用いてログインしたとする。そうするとサービス連携サーバSSV1は、ログイン処理部22により、ユーザ管理部21で管理されているユーザ情報を参照して、上記ユーザ端末UTから送られてきたユーザ識別子を有するユーザがサービス連携サーバSSV1を利用する権限を持った正当なユーザであるかどうか判断する。そして、正当なユーザであれば、ユーザ認証サーバASVに対し、ユーザDのユーザ識別子やパスワードなどの認証に必要な情報を含むユーザ認証要求を送信する。
【0072】
ユーザ認証サーバASVは、上記ユーザ認証要求を受信すると、認証処理部31により先ず上記受信されたユーザ認証要求に含まれるユーザ識別子がユーザ管理部33のユーザDB331に登録されているかを確認する。そして、登録されていれば、続いて認証情報管理部35の認証情報DB351に登録されている情報と、上記受信されたユーザ識別子及びパスワードを用いて認証処理を行う。この認証の結果、要求元のユーザDの正当性が証明されると、上記ユーザ識別子をキーにしてユーザ属性管理部34の属性情報DB341から該当するユーザ属性情報を読み出し、この読み出したユーザ属性情報を上記認証結果と共に要求元のサービス連携サーバSSV1へ返送する。ここでは、図2に示すようにユーザDは医療従事者であってH病院とK病院に所属していることがユーザ属性情報として送られる。
【0073】
上記ユーザ認証サーバASVから認証結果とユーザ属性情報が返送され、当該認証結果が要求元のユーザDの正当性を証明するものであれば、サービス連携サーバSSV1のアプリケーション部23はユーザ属性選択部25に上記ユーザ属性情報を渡す。ユーザ属性選択部25は、上記渡されたユーザ属性情報に選択可能な複数の属性値(項目)が含まれているか否かを判定する。そして、含まれている場合には、これら選択可能な複数の属性値のリストを生成し、この生成したリストを通信部24からユーザ端末UTに送信して表示させる。
【0074】
例えば、ログインユーザがユーザDの場合には、図2に示すように所属の属性値としてH病院とK病院が含まれている。このため、ユーザ属性選択部25はH病院とK病院の選択リストを生成して、このリストをユーザ端末UTに送信して表示させる。なお、ユーザ属性情報に選択可能な複数の属性値(項目)が含まれていない場合には、ユーザ属性選択部25はその旨をアプリケーション部23に返答する。
【0075】
この状態で、上記リストに表示された属性値のうちの1つが、ユーザ端末UTにおいてユーザにより選択指定されたとする。そうすると、サービス連携サーバSSV1は、上記選択情報をユーザ属性選択部25で受信してアプリケーション部23に渡す。アプリケーション部23は、上記ユーザ属性選択部25がユーザ端末UTから受信した選択情報をもとに、ユーザが選択した属性値のみをユーザ属性情報として含むユーザ参照リクエストを生成し、この生成したユーザ参照リクエストをアクセス先のデータサーバDSV1〜DSVnへ送信する。
【0076】
例えば、いまユーザが上記リストに表示されたH病院とK病院のうちH病院を選択指定したとする。この場合、サービス連携サーバSSV1のアプリケーション部23は、上記選択結果に従い、所属としてユーザが選択したH病院のみをユーザ属性情報に含むユーザ参照リクエストを生成し、この生成したユーザ参照リクエストをアクセス先のデータサーバ(例えばDSV1)へ送信する。
なお、ユーザ属性選択部25から、ユーザ属性情報に選択可能な複数の属性値(項目)が含まれていない旨が返答された場合には、アプリケーション部23はユーザ認証サーバASVから受信したユーザ属性情報をそのままユーザ参照リクエストに付加してデータサーバへ送信する。
【0077】
データサーバDSV1は、サービス連携サーバSSV1からユーザ参照リクエストを受信すると、データ開示処理部11により、参照先として要求されたユーザBの診療情報が要求元のユーザDに対して開示許可されているかどうかを、上記受信されたリクエストに含まれるユーザ属性情報を開示設定DB151に格納された開示設定情報を参照して確認する。
【0078】
この例では、アクセス先のユーザBは、図3に示すようにH病院の医師には診療情報を開示可能としているが、K病院の医師には開示していない。したがって、サービス連携サーバSSV1のユーザ属性選択部25において先に例示したようにユーザDがH病院を選択した場合には、ユーザDに対してユーザBの診療情報は開示可能と判定される。これに対し、ユーザDがK病院を選択した場合には、ユーザDに対しユーザBの診療情報は開示不可と判定される。
【0079】
開示可能と判定されるとデータ開示処理部11は、データ管理部13のアプリケーションDB141から参照先として指定されたユーザBの診療情報を読み出し、この読み出された診療情報を予め決められているフォーマットに従い編集した後、要求元のサービス連携サーバSSV1へ送信する。サービス連携サーバSSV1のアプリケーション部23は、上記データサーバDSV1から送信されたユーザBの診療情報を表示用のフォーマットに成型し、ユーザ端末UTへ送信する。この結果、ユーザ端末UTには上記ユーザBの診療情報が表示される。
【0080】
以上述べたように第3の実施形態では、ユーザ認証サーバASVから取得したユーザ属性情報に選択可能な複数の属性値が含まれる場合に、サービス連携サーバSSV1のユーザ属性選択部25により当該複数の属性値をユーザに選択させるためのリストを生成してユーザ端末UTに表示させ、このリストにおいてユーザが選択した属性値をユーザ属性情報として含むユーザ参照リクエストをデータサーバDSV1〜DSVnに送信するようにしている。
【0081】
したがって、例えば複数の医療機関に所属している医師がある患者の診療データ等を閲覧しようとする際に、どの立場でシステムを使用しているかを自身のユーザ属性情報によってデータサーバDSV1〜DSVnに通知することができる。このため、特定の患者の診療情報に対し同一の医師がアクセスする場合でも、医師のその時々の立場に応じてデータの開示の許否を制御することが可能となる。
【0082】
なお、以上の説明では、ユーザ自身が属性値を選択する場合を例示したが、端末識別番号や電話番号、メールアドレス等のユーザ端末UTに保存されている固有情報を用いて属性値を自動的に選択するように構成してもよい。
また、上記第3の実施形態では、サービス連携サーバSSV1がユーザ認証サーバASVから取得したユーザ属性情報の属性値リストを生成してユーザ端末UTに送る場合を示した。しかしそれに限らず、サービス連携サーバSSV1〜SSVmから当該サーバに格納されている現在のユーザ属性情報の属性値リストをユーザ端末UTに送り、これに対しユーザが選択した属性値をユーザ認証サーバASVに送信して属性認証を行い、その認証結果を受信したのちデータサーバへユーザ参照リストを送信するようにしてもよい。
【0083】
(その他の実施形態)
上記各実施形態においては、ユーザ認証サーバASVにおけるユーザ認証方法の例としてユーザ識別子とパスワードを用いた場合を記載したが、ユーザ認証サーバASVにおいてユーザを認証する方法が複数用意されている場合には、これらの認証方法に対しその信頼度に応じて認証レベルを設定し、この認証レベルに従い個人データの開示の可否を判定するようにしてもよい。
【0084】
例えば、ユーザ識別子とパスワードを用いた認証方法に対しては認証レベル1、ICカードを用いた信頼性の高い認証方法に対しては認証レベル2と設定する。そして、ユーザ認証サーバASVが、ユーザ認証を行った際に判定した認証レベルをユーザ属性情報に含めて要求元のサービス連携サーバ又はデータサーバに送り、データサーバが開示判定をする際に、認証レベル1の場合には個人データを開示しないが、認証レベル2の場合には個人データを開示するといった判定をするようにしてもよい。この開示判定は、上記認証レベルに対する開示の可否を表す情報を開示設定情報に予め含めておくことで、実現可能である。
【0085】
また、ユーザ認証サーバASVによるユーザ認証処理において、ユーザ端末UTがネットワークNWにどのような回線を用いて接続してきているか、例えば病院のネットワークからアクセスしてきているのか、自宅からアクセスしてきているのか、といった通信経路を表す回線情報を取得する。そして、この取得した回線情報をユーザ属性情報に付加して要求元のサービス連携サーバ又はデータサーバに送り、データサーバが開示判定をする際に、ユーザ属性情報に含まれる上記回線情報をもとに開示判定をするようにしてもよい。この開示判定は、上記回線情報に対する開示の可否を表す情報を開示設定情報に予め含めておくことで、実現可能である。
このようにすると、データサーバDSV1〜DSVnにおいて、例えば自宅からのアクセス時には個人データを開示しないが、病院からのアクセス時には個人データを開示する、といった開示判定が可能となる。
【0086】
また、上記各実施例においては、簡単のため、各サーバ間で一人のユーザを共通のユーザ識別子を用いて管理する場合を例にとって説明した。しかし、一人のユーザをサーバごとに異なるローカルなユーザ識別子を用いて管理するような場合には、ユーザ認証サーバASVにおいてそれぞれのユーザ識別子を関連付けるID連携用の識別子を設定し、このID連携用の識別子をシステム内で流通させることにより、サーバ間でユーザ識別子の関連付けをするようにしてもよい。この場合、流通しているID連携用の識別子が盗聴されても、それだけでは各DBの記憶情報を参照することはできないため、システムとしての信頼性をさらに高めることが可能となる。
【0087】
さらに、個人データに対するアクセスの種類が開示設定の変更の場合は、上記各実施形態で述べたデータ参照に代えてデータ開示設定となる。この場合、データサーバDSV1〜DSVnではアプリケーションDB141へのアクセスではなく、開示設定DB151へのアクセスとなる。
【0088】
さらに、上記各実施形態では、ユーザ属性情報におけるユーザ間の関係性として、患者と担当医との関係を設定した場合を例示したが、他に例えば高齢者や、幼児又は小児と親との関係、職場の一般職員と幹部職員(上長)との関係を設定することも可能である。
【0089】
さらに、自分では個人データの開示設定を行えないようなユーザ、例えば高齢者や子供、端末操作に不慣れな人に対して、特定の人がデータの開示設定を行えるようにしてもよい。この場合の開示設定ルールは、各ユーザのデータごとにするのではなく、高齢者に対する子供や、幼児・小児に対する親は開示設定変更可能というルールを開示設定記憶部15で管理し、ユーザ属性情報として高齢者や幼児・小児であるという情報と、親子関係が記載されているとするとよい。
【0090】
また、サービス連携サーバSSV1〜SSVmがユーザのユーザ識別子とユーザ自身が入力したユーザ属性情報を含む属性認証要求をユーザ認証サーバASVへ送信した場合に、ユーザ認証サーバASVが上記ユーザ自身が入力したユーザ属性情報を属性情報DB341に公式に登録されているユーザ属性情報と照合し、この照合の結果両情報が一致した場合にユーザ属性情報を返送するようにしてもよい。このようにすると、ユーザ認証に留まらず、ユーザが入力したユーザ属性情報についても認証することが可能となり、これによりユーザ自身が任意にユーザ属性情報を入力した場合でも、当該ユーザ属性情報に対する信頼性を高く維持することができる。
【0091】
さらに、ユーザ認証サーバASVが、ユーザごとにその識別子に対応付けて当該ユーザが開示代行資格を有する被代行ユーザのリストを含むユーザ属性情報を属性情報DB341により管理し、データサーバDSV1〜DSVnが、ユーザごとに当該ユーザが開示代行資格を有する被代行ユーザのリストを開示条件の1つとして含む開示設定情報を開示設定DB151により管理する。そしてデータサーバDSV1〜DSVnが、アクセス要求を受信した場合に、この受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザが開示代行資格を有する被代行ユーザのリストを取り出し、この受信されたリストと開示設定DB151に格納された開示設定情報に含まれる被代行ユーザのリストとに基づいてデータ開示の許否を判定するようにしてもよい。
このようにすると、予め個人データの開示代行処理、又は開示設定情報の設定変更等の代行処理を委任されたユーザが、委任元の被代行ユーザの個人データに対してのみ、個人データ又は開示設定情報の開示、追加、変更、削除等のアクセス処理を代行することが可能となる。
【0092】
また、ユーザ認証サーバASVが、ユーザごとにその識別子に対応付けて当該ユーザに係わるデータ、つまり個人データ又は開示設定情報の開示代行資格を有する代行ユーザのリストを含むユーザ属性情報を属性情報DB341により管理し、データサーバDSV1〜DSVnが、ユーザごとに当該ユーザに係わる上記個人データ又は開示設定情報の開示代行資格を有する代行ユーザのリストを開示条件の1つとして含む開示設定情報を開示設定DB151により管理する。そして、データサーバDSV1〜DSVnが、アクセス要求を受信した場合に、この受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザに係わるデータの開示代行資格を有する代行ユーザのリストを取り出し、この受信されたリストと開示設定DB151に格納された開示設定情報に含まれる代行ユーザのリストとをもとに開示の許否を判定するようにしてもよい。このようにすると、例えば一般ユーザが自身の個人データに対する開示代行処理、又は開示設定情報の設定変更等の代行処理を予め委任したユーザのみが、上記一般ユーザの個人データに対し、上記個人データ又は開示設定情報の開示、追加、変更、削除等のアクセス処理を代行することが可能となる。
【0093】
その他、サービス連携サーバSSV1〜SSVm、データサーバDSV1〜DSVn及びユーザ認証サーバASVの構成、データアクセス処理手順とその処理内容等については、この発明の要旨を逸脱しない範囲で種々変形して実施できる。
要するにこの発明は、上記各実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記各実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、各実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【符号の説明】
【0094】
UT…ユーザ端末、SSV1〜SSVm…サービス連携サーバ、DSV1〜DSVn…データサーバ、ASV…ユーザ認証サーバ、NW…通信ネットワーク、11…データ開示処理部、12,24,32,41…通信部、13,21,33…ユーザ管理部、14…データ管理部、15…開示設定記憶部、22…ログイン処理部、23…アプリケーション部、25…ユーザ属性選択部、31…認証処理部、34…ユーザ属性管理部、35…認証情報管理部、131,211,331…ユーザデータベース、141…アプリケーションデータベース、151…開示設定データベース、341…属性情報データベース、351…認証情報データベース。
【特許請求の範囲】
【請求項1】
ユーザの個人データを当該ユーザの識別子と対応付けて分散管理する複数のデータサーバと、前記ユーザの認証情報を管理する認証サーバと、ユーザが使用するクライアント装置とを通信ネットワークを介して接続可能とした分散情報アクセスシステムであって、
前記クライアント装置は、
ユーザのアクセス操作に応じて、少なくとも当該ユーザのユーザ識別子を含む認証要求を前記認証サーバへ送信する認証要求送信手段と、
前記認証要求に応答して前記認証サーバからユーザ属性情報が返送された場合に、当該ユーザのユーザ識別子とユーザ属性情報を含むアクセス要求を生成して、このアクセス要求をアクセス先となるデータサーバへ送信するアクセス要求送信手段と
を備え、
認証サーバは、
前記ユーザごとにその識別子に対応付けて当該ユーザの属性情報を属性情報データベースにより管理するユーザ属性管理手段と、
前記クライアント装置から前記認証要求を受信した場合に、この受信された認証要求と前記管理されている認証情報とをもとに認証要求元のユーザに対する認証を行うユーザ認証手段と、
前記認証により要求元のユーザの正当性が認められた場合に、前記受信された認証要求に含まれるユーザ識別子に対応するユーザ属性情報を前記属性情報データベースから読み出し、この読み出されたユーザ属性情報を要求元のクライアント装置へ返送するユーザ属性返送手段と
を備え、
前記複数のデータサーバの各々は、
前記ユーザごとにその個人データの開示条件を表す開示設定情報を開示設定データベースにより管理する開示設定管理手段と、
前記クライアント装置から前記アクセス要求を受信した場合に、当該アクセス要求に含まれるユーザ属性情報を前記開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定する判定手段と、
前記判定手段により開示を許可すると判定された場合に、前記受信されたアクセス要求に含まれるユーザ識別子に対応する個人データを前記アクセス要求元のクライアント装置へ返送する手段と
を備えることを特徴とする分散情報アクセスシステム。
【請求項2】
前記認証サーバのユーザ属性管理手段が、前記ユーザごとに複数の属性情報をユーザ識別子に対応付けて属性情報データベースにより管理している場合に、
前記認証サーバのユーザ属性返送手段は、前記受信された認証要求に含まれるユーザ識別子に対応する複数のユーザ属性情報を前記属性情報データベースから読み出し、この読み出された複数のユーザ属性情報の選択リストを要求元のクライアント装置へ返送し、
前記クライアント装置のアクセス要求送信手段は、前記認証サーバから返送されたユーザ属性情報の選択リストをユーザに提示し、ユーザの操作により前記選択リスト中のユーザ属性情報が選択された場合に、当該ユーザのユーザ識別子と前記選択されたユーザ属性情報を含むアクセス要求を生成して、このアクセス要求をアクセス先となるデータサーバへ送信することを特徴とする請求項1記載の分散情報アクセスシステム。
【請求項3】
前記クライアント装置は、ユーザのユーザ識別子とユーザ自身が入力したユーザ属性情報を含む属性認証要求を前記認証サーバへ送信する手段を、さらに備え、
前記認証サーバは、
前記クライアント装置から前記属性認証要求を受信した場合に、当該属性認証要求に含まれるユーザ自身が入力したユーザ属性情報を、前記属性情報データベースに格納されているユーザ属性情報と照合する手段と、
前記照合の結果、ユーザ自身が入力したユーザ属性情報が前記属性情報データベースに格納されているユーザ属性情報と一致した場合に、前記ユーザ属性返送手段によるユーザ属性情報の返送を行わせる手段と
を、さらに備えることを特徴とする請求項1記載の分散情報アクセスシステム。
【請求項4】
ユーザの個人データを当該ユーザの識別子と対応付けて分散管理する複数のデータサーバと、前記ユーザの認証情報を管理する認証サーバと、ユーザが使用するクライアント装置とを通信ネットワークを介して接続可能とした分散情報アクセスシステムであって、
前記クライアント装置は、
ユーザのアクセス操作に応じて、少なくとも当該ユーザのユーザ識別子を含む認証要求を前記認証サーバへ送信する認証要求送信手段と、
前記認証要求に応答して前記認証サーバから前記ユーザの正当性を保証する旨の認証結果が返送された場合に、当該ユーザのユーザ識別子を含むアクセス要求を生成して、このアクセス要求をアクセス先となるデータサーバへ送信するアクセス要求送信手段と
を備え、
前記認証サーバは、
前記ユーザごとにその識別子に対応付けて当該ユーザの属性情報を属性情報データベースにより管理するユーザ属性管理手段と、
前記クライアント装置から前記認証要求を受信した場合に、当該認証要求に含まれるユーザ識別子と前記認証情報とをもとに認証要求元のユーザに対する認証を行い、その認証結果を前記認証要求元のクライアント装置へ返送するユーザ認証手段と、
前記データサーバからユーザ識別子を含む属性取得要求を受信した場合に、当該属性要求に含まれるユーザ識別子に対応するユーザ属性情報を前記属性情報データベースから読み出し、この読み出したユーザ属性情報を要求元のデータサーバへ返送するユーザ属性返送手段と
を備え、
前記複数のデータサーバの各々は、
前記ユーザごとにその個人データの開示条件を表す開示設定情報を開示設定データベースにより管理する開示設定管理手段と、
前記クライアント装置から前記アクセス要求を受信した場合に、当該アクセス要求に含まれるユーザ識別子を含む属性取得要求を生成して、この属性取得要求を前記認証サーバへ送信する属性取得要求送信手段と、
前記属性取得要求に応答して前記認証サーバからユーザ属性情報が返送された場合に、当該返送されたユーザ属性情報を前記開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定する判定手段と、
前記判定手段により開示を許可すると判定された場合に、前記受信されたアクセス要求に含まれるユーザ識別子に対応する個人データを前記アクセス要求元のクライアント装置へ送信する手段と
を備えることを特徴とする分散情報アクセスシステム。
【請求項5】
前記認証サーバのユーザ認証手段は、前記受信された認証要求に含まれる認証要素の種類又は数に応じて認証の信頼度を示す情報を生成する機能をさらに有し、
前記認証サーバのユーザ属性返送手段は、前記属性情報データベースから読み出されたユーザ属性情報に前記生成された認証の信頼度を示す情報を付加して要求元へ返送し、
前記データサーバの開示設定管理手段は、前記認証の信頼度を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記データサーバの判定手段は、受信されたアクセス要求に含まれるユーザ属性情報と当該ユーザ属性情報に付加された認証の信頼度を示す情報を、前記開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定することを特徴とする請求項1又は4記載の分散情報アクセスシステム。
【請求項6】
前記認証サーバのユーザ認証手段は、前記認証要求を受信した場合に当該認証要求の通信経路を検出する機能をさらに有し、
前記認証サーバのユーザ属性返送手段は、前記属性情報データベースから読み出されたユーザ属性情報に、前記検出された通信経路を表す情報を付加して要求元へ返送し、
前記データサーバの開示設定管理手段は、前記通信経路を反映した開示条件を表す開示設定情報を開示設定データベースにより管理し、
前記データサーバの判定手段は、受信されたアクセス要求に含まれるユーザ属性情報と当該ユーザ属性情報に付加された通信経路を表す情報を、前記開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定することを特徴とする請求項1又は4記載の分散情報アクセスシステム。
【請求項7】
前記認証サーバのユーザ属性管理手段は、ユーザごとにその識別子に対応付けて当該ユーザの役割分類を表す情報を含むユーザ属性情報を属性情報データベースにより管理し、
前記データサーバの開示設定管理手段は、前記ユーザごとにその役割分類に応じて予め設定された開示代行資格の有無を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記データサーバの判定手段は、受信されたアクセス要求に含まれるユーザ属性情報からユーザの役割分類を表す情報を取り出し、このユーザの役割分類を表す情報と前記開示設定データベースに格納された開示設定情報に含まれる開示代行資格の有無を表す情報とをもとに開示の許否を判定することを特徴とする請求項1又は4記載の分散情報アクセスシステム。
【請求項8】
前記認証サーバのユーザ属性管理手段は、ユーザごとにその識別子に対応付けて当該ユーザが開示代行資格を有する被代行ユーザのリストを含むユーザ属性情報を属性情報データベースにより管理し、
前記データサーバの開示設定管理手段は、前記ユーザごとに当該ユーザが開示代行資格を有する被代行ユーザのリストを開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記データサーバの判定手段は、受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザが開示代行資格を有する被代行ユーザのリストを取り出し、この受信されたリストと前記開示設定データベースに格納された開示設定情報に含まれる被代行ユーザのリストとをもとに開示の許否を判定することを特徴とする請求項1又は4記載の分散情報アクセスシステム。
【請求項9】
前記認証サーバのユーザ属性管理手段は、ユーザごとにその識別子に対応付けて当該ユーザに係わるデータの開示代行資格を有する代行ユーザのリストを含むユーザ属性情報を属性情報データベースにより管理し、
前記データサーバの開示設定管理手段は、前記ユーザごとに当該ユーザに係わるデータの開示代行資格を有する代行ユーザのリストを開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記データサーバの判定手段は、受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザに係わるデータの開示代行資格を有する代行ユーザのリストを取り出し、この受信されたリストと前記開示設定データベースに格納された開示設定情報に含まれる代行ユーザのリストとをもとに開示の許否を判定することを特徴とする請求項1又は4記載の分散情報アクセスシステム。
【請求項10】
前記認証サーバのユーザ属性管理手段は、ユーザごとにその識別子に対応付けて当該ユーザと他のユーザとの関係性を表す情報を含むユーザ属性情報を属性情報データベースにより管理し、
前記データサーバの開示設定管理手段は、前記ユーザごとに当該ユーザと他のユーザとの関係性を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記データサーバの判定手段は、受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザと他のユーザとの関係性を表す情報を取り出し、この受信された関係性を表す情報と前記開示設定データベースに格納された開示設定情報とをもとに開示の許否を判定することを特徴とする請求項1又は4記載の分散情報アクセスシステム。
【請求項11】
ユーザの個人データを当該ユーザの識別子と対応付けて分散管理する複数のデータサーバと、前記ユーザの認証情報を管理する認証サーバと、ユーザが使用するクライアント装置とを通信ネットワークを介して接続可能とした分散情報アクセスシステムで使用される分散情報アクセス方法であって、
前記クライアント装置が、ユーザのアクセス操作に応じて、少なくとも当該ユーザのユーザ識別子を含む認証要求を前記認証サーバへ送信する認証要求送信過程と、
前記認証サーバが、前記クライアント装置から前記認証要求を受信した場合に、この受信された認証要求と前記管理されている認証情報とをもとに認証要求元のユーザに対する認証を行うユーザ認証過程と、
前記認証サーバが、前記ユーザ認証過程により要求元のユーザの正当性が認められた場合に、前記受信された認証要求に含まれるユーザ識別子に対応するユーザ属性情報を属性情報データベースから読み出し、この読み出されたユーザ属性情報を要求元のクライアント装置へ返送するユーザ属性返送過程と、
前記クライアント装置が、前記認証サーバからユーザ属性情報が返送された場合に、当該ユーザのユーザ識別子とユーザ属性情報を含むアクセス要求を生成して、このアクセス要求をアクセス先となるデータサーバへ送信するアクセス要求送信過程と、
前記データサーバが、前記クライアント装置から前記アクセス要求を受信した場合に、当該アクセス要求に含まれるユーザ属性情報を、開示設定データベースに格納された、ユーザごとにその個人データの開示条件を表す開示設定情報と照合することにより開示の許否を判定する判定過程と、
前記データサーバが、前記判定過程により開示を許可すると判定された場合に、前記受信されたアクセス要求に含まれるユーザ識別子に対応する個人データを前記アクセス要求元のクライアント装置へ返送する過程と
を具備することを特徴とする分散情報アクセス方法。
【請求項12】
前記認証サーバが、前記ユーザごとに複数の属性情報をユーザ識別子に対応付けて属性情報データベースにより管理している場合に、
前記ユーザ属性返送過程は、前記受信された認証要求に含まれるユーザ識別子に対応する複数のユーザ属性情報を前記属性情報データベースから読み出し、この読み出された複数のユーザ属性情報の選択リストを要求元のクライアント装置へ返送し、
前記アクセス要求送信過程は、
前記認証サーバから返送されたユーザ属性情報の選択リストをユーザに提示し、ユーザの操作により前記選択リスト中のユーザ属性情報が選択された場合に、当該ユーザのユーザ識別子と前記選択されたユーザ属性情報を含むアクセス要求を生成し、この生成されたアクセス要求をアクセス先となるデータサーバへ送信することを特徴とする請求項11記載の分散情報アクセス方法。
【請求項13】
前記クライアント装置が、ユーザのユーザ識別子とユーザ自身が入力したユーザ属性情報を含む属性認証要求を前記認証サーバへ送信する過程と、
前記認証サーバが、前記クライアント装置から前記属性認証要求を受信した場合に、当該属性認証要求に含まれるユーザ自身が入力したユーザ属性情報を、前記属性情報データベースに格納されているユーザ属性情報と照合する過程と、
前記照合の結果、ユーザ自身が入力したユーザ属性情報が前記属性情報データベースに格納されているユーザ属性情報と一致した場合に、前記ユーザ属性返送過程によるユーザ属性情報の返送を行わせる過程と
を、さらに具備することを特徴とする請求項11記載の分散情報アクセス方法。
【請求項14】
ユーザの個人データを当該ユーザの識別子と対応付けて分散管理する複数のデータサーバと、前記ユーザの認証情報を管理する認証サーバと、ユーザが使用するクライアント装置とを通信ネットワークを介して接続可能とした分散情報アクセスシステムで使用される分散情報アクセス方法であって、
前記クライアント装置が、ユーザのアクセス操作に応じて、少なくとも当該ユーザのユーザ識別子を含む認証要求を前記認証サーバへ送信する過程と、
前記認証サーバが、前記クライアント装置から前記認証要求を受信した場合に、当該認証要求に含まれるユーザ識別子と前記認証情報とをもとに認証要求元のユーザに対する認証を行い、その認証結果を前記認証要求元のクライアント装置へ返送するユーザ認証過程と、
前記認証サーバから正当性を保証する旨の認証結果が返送された場合に、当該ユーザのユーザ識別子を含むアクセス要求を生成してこのアクセス要求をアクセス先となるデータサーバへ送信するアクセス要求送信過程と、
前記データサーバが、前記クライアント装置から前記アクセス要求を受信した場合に、当該アクセス要求に含まれるユーザ識別子を含む属性取得要求を生成して、この属性取得要求を前記認証サーバへ送信する過程と、
前記認証サーバが、前記データサーバからユーザ識別子を含む属性取得要求を受信した場合に、当該属性要求に含まれるユーザ識別子に対応するユーザ属性情報を属性情報データベースから読み出し、この読み出したユーザ属性情報を要求元のデータサーバへ返送するユーザ属性返送過程と、
前記データサーバが、前記認証サーバからユーザ属性情報を受信した場合に、当該受信されたユーザ属性情報を、開示設定データベースに格納された、ユーザごとにその個人データの開示条件を表す開示設定情報と照合することにより、開示の許否を判定する判定過程と、
前記データサーバが、前記判定過程により開示を許可すると判定された場合に、前記受信されたアクセス要求に含まれるユーザ識別子に対応する個人データを前記アクセス要求元のクライアント装置へ送信する過程と
を具備することを特徴とする分散情報アクセス方法。
【請求項15】
前記ユーザ認証過程は、前記受信された認証要求に含まれる認証要素の種類又は数に応じて認証の信頼度を示す情報を生成し、
前記ユーザ属性返送過程は、前記属性情報データベースから読み出されたユーザ属性情報に前記生成された認証の信頼度を示す情報を付加して要求元へ返送し、
前記データサーバの開示設定管理過程は、前記認証の信頼度を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記データサーバの判定過程は、受信されたアクセス要求に含まれるユーザ属性情報と当該ユーザ属性情報に付加された認証の信頼度を示す情報を、前記開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定することを特徴とする請求項11又は14記載の分散情報アクセス方法。
【請求項16】
前記ユーザ認証過程は、前記認証要求を受信した場合に当該認証要求の通信経路を検出し、
前記ユーザ属性返送過程は、前記属性情報データベースから読み出されたユーザ属性情報に、前記検出された通信経路を表す情報を付加して要求元へ返送し、
前記開示設定管理過程は、前記通信経路を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記判定過程は、受信されたアクセス要求に含まれるユーザ属性情報と当該ユーザ属性情報に付加された通信経路を表す情報を、前記開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定することを特徴とする請求項11又は14記載の分散情報アクセス方法。
【請求項17】
前記ユーザ属性管理過程は、ユーザごとにその識別子に対応付けて当該ユーザの役割分類を表す情報を含むユーザ属性情報を属性情報データベースにより管理し、
前記開示設定管理過程は、前記ユーザごとにその役割分類に応じて予め設定された開示代行資格の有無を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記判定過程は、受信されたアクセス要求に含まれるユーザ属性情報からユーザの役割分類を表す情報を取り出し、このユーザの役割分類を表す情報と前記開示設定データベースに格納された開示設定情報に含まれる開示代行資格の有無を表す情報とをもとに開示の許否を判定することを特徴とする請求項11又は14記載の分散情報アクセス方法。
【請求項18】
前記ユーザ属性管理過程は、ユーザごとにその識別子に対応付けて当該ユーザが開示代行資格を有する被代行ユーザのリストを含むユーザ属性情報を属性情報データベースにより管理し、
前記開示設定管理過程は、前記ユーザごとに当該ユーザが開示代行資格を有する被代行ユーザのリストを開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記判定過程は、前記受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザが開示代行資格を有する被代行ユーザのリストを取り出し、この受信されたリストと前記開示設定データベースに格納された開示設定情報に含まれる被代行ユーザのリストとをもとに開示の許否を判定することを特徴とする請求項11又は14記載の分散情報アクセス方法。
【請求項19】
前記ユーザ属性管理過程は、ユーザごとにその識別子に対応付けて当該ユーザに係わるデータの開示代行資格を有する代行ユーザのリストを含むユーザ属性情報を属性情報データベースにより管理し、
前記開示設定管理過程は、前記ユーザごとに当該ユーザに係わるデータの開示代行資格を有する代行ユーザのリストを開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記判定過程は、受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザに係わる開示代行資格を有する代行ユーザのリストを取り出し、この受信されたリストと前記開示設定データベースに格納された開示設定情報に含まれる代行ユーザのリストとをもとに開示の許否を判定することを特徴とする請求項11又は14記載の分散情報アクセス方法。
【請求項20】
前記ユーザ属性管理過程は、ユーザごとにその識別子に対応付けて当該ユーザと他のユーザとの関係性を表す情報を含むユーザ属性情報を属性情報データベースにより管理し、
前記開示設定管理過程は、前記ユーザごとに当該ユーザと他のユーザとの関係性を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記判定過程は、受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザと他のユーザとの関係性を表す情報を取り出し、この受信された関係性を表す情報と前記開示設定データベースに格納された開示設定情報とをもとに開示の許否を判定することを特徴とする請求項11又は14記載の分散情報アクセス方法。
【請求項21】
前記請求項1乃至10のいずれかに記載の分散情報アクセスシステムにおいて、各手段の処理を、前記データサーバ、前記認証サーバ及びクライアント装置が備えるプロセッサに実行させるプログラム。
【請求項1】
ユーザの個人データを当該ユーザの識別子と対応付けて分散管理する複数のデータサーバと、前記ユーザの認証情報を管理する認証サーバと、ユーザが使用するクライアント装置とを通信ネットワークを介して接続可能とした分散情報アクセスシステムであって、
前記クライアント装置は、
ユーザのアクセス操作に応じて、少なくとも当該ユーザのユーザ識別子を含む認証要求を前記認証サーバへ送信する認証要求送信手段と、
前記認証要求に応答して前記認証サーバからユーザ属性情報が返送された場合に、当該ユーザのユーザ識別子とユーザ属性情報を含むアクセス要求を生成して、このアクセス要求をアクセス先となるデータサーバへ送信するアクセス要求送信手段と
を備え、
認証サーバは、
前記ユーザごとにその識別子に対応付けて当該ユーザの属性情報を属性情報データベースにより管理するユーザ属性管理手段と、
前記クライアント装置から前記認証要求を受信した場合に、この受信された認証要求と前記管理されている認証情報とをもとに認証要求元のユーザに対する認証を行うユーザ認証手段と、
前記認証により要求元のユーザの正当性が認められた場合に、前記受信された認証要求に含まれるユーザ識別子に対応するユーザ属性情報を前記属性情報データベースから読み出し、この読み出されたユーザ属性情報を要求元のクライアント装置へ返送するユーザ属性返送手段と
を備え、
前記複数のデータサーバの各々は、
前記ユーザごとにその個人データの開示条件を表す開示設定情報を開示設定データベースにより管理する開示設定管理手段と、
前記クライアント装置から前記アクセス要求を受信した場合に、当該アクセス要求に含まれるユーザ属性情報を前記開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定する判定手段と、
前記判定手段により開示を許可すると判定された場合に、前記受信されたアクセス要求に含まれるユーザ識別子に対応する個人データを前記アクセス要求元のクライアント装置へ返送する手段と
を備えることを特徴とする分散情報アクセスシステム。
【請求項2】
前記認証サーバのユーザ属性管理手段が、前記ユーザごとに複数の属性情報をユーザ識別子に対応付けて属性情報データベースにより管理している場合に、
前記認証サーバのユーザ属性返送手段は、前記受信された認証要求に含まれるユーザ識別子に対応する複数のユーザ属性情報を前記属性情報データベースから読み出し、この読み出された複数のユーザ属性情報の選択リストを要求元のクライアント装置へ返送し、
前記クライアント装置のアクセス要求送信手段は、前記認証サーバから返送されたユーザ属性情報の選択リストをユーザに提示し、ユーザの操作により前記選択リスト中のユーザ属性情報が選択された場合に、当該ユーザのユーザ識別子と前記選択されたユーザ属性情報を含むアクセス要求を生成して、このアクセス要求をアクセス先となるデータサーバへ送信することを特徴とする請求項1記載の分散情報アクセスシステム。
【請求項3】
前記クライアント装置は、ユーザのユーザ識別子とユーザ自身が入力したユーザ属性情報を含む属性認証要求を前記認証サーバへ送信する手段を、さらに備え、
前記認証サーバは、
前記クライアント装置から前記属性認証要求を受信した場合に、当該属性認証要求に含まれるユーザ自身が入力したユーザ属性情報を、前記属性情報データベースに格納されているユーザ属性情報と照合する手段と、
前記照合の結果、ユーザ自身が入力したユーザ属性情報が前記属性情報データベースに格納されているユーザ属性情報と一致した場合に、前記ユーザ属性返送手段によるユーザ属性情報の返送を行わせる手段と
を、さらに備えることを特徴とする請求項1記載の分散情報アクセスシステム。
【請求項4】
ユーザの個人データを当該ユーザの識別子と対応付けて分散管理する複数のデータサーバと、前記ユーザの認証情報を管理する認証サーバと、ユーザが使用するクライアント装置とを通信ネットワークを介して接続可能とした分散情報アクセスシステムであって、
前記クライアント装置は、
ユーザのアクセス操作に応じて、少なくとも当該ユーザのユーザ識別子を含む認証要求を前記認証サーバへ送信する認証要求送信手段と、
前記認証要求に応答して前記認証サーバから前記ユーザの正当性を保証する旨の認証結果が返送された場合に、当該ユーザのユーザ識別子を含むアクセス要求を生成して、このアクセス要求をアクセス先となるデータサーバへ送信するアクセス要求送信手段と
を備え、
前記認証サーバは、
前記ユーザごとにその識別子に対応付けて当該ユーザの属性情報を属性情報データベースにより管理するユーザ属性管理手段と、
前記クライアント装置から前記認証要求を受信した場合に、当該認証要求に含まれるユーザ識別子と前記認証情報とをもとに認証要求元のユーザに対する認証を行い、その認証結果を前記認証要求元のクライアント装置へ返送するユーザ認証手段と、
前記データサーバからユーザ識別子を含む属性取得要求を受信した場合に、当該属性要求に含まれるユーザ識別子に対応するユーザ属性情報を前記属性情報データベースから読み出し、この読み出したユーザ属性情報を要求元のデータサーバへ返送するユーザ属性返送手段と
を備え、
前記複数のデータサーバの各々は、
前記ユーザごとにその個人データの開示条件を表す開示設定情報を開示設定データベースにより管理する開示設定管理手段と、
前記クライアント装置から前記アクセス要求を受信した場合に、当該アクセス要求に含まれるユーザ識別子を含む属性取得要求を生成して、この属性取得要求を前記認証サーバへ送信する属性取得要求送信手段と、
前記属性取得要求に応答して前記認証サーバからユーザ属性情報が返送された場合に、当該返送されたユーザ属性情報を前記開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定する判定手段と、
前記判定手段により開示を許可すると判定された場合に、前記受信されたアクセス要求に含まれるユーザ識別子に対応する個人データを前記アクセス要求元のクライアント装置へ送信する手段と
を備えることを特徴とする分散情報アクセスシステム。
【請求項5】
前記認証サーバのユーザ認証手段は、前記受信された認証要求に含まれる認証要素の種類又は数に応じて認証の信頼度を示す情報を生成する機能をさらに有し、
前記認証サーバのユーザ属性返送手段は、前記属性情報データベースから読み出されたユーザ属性情報に前記生成された認証の信頼度を示す情報を付加して要求元へ返送し、
前記データサーバの開示設定管理手段は、前記認証の信頼度を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記データサーバの判定手段は、受信されたアクセス要求に含まれるユーザ属性情報と当該ユーザ属性情報に付加された認証の信頼度を示す情報を、前記開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定することを特徴とする請求項1又は4記載の分散情報アクセスシステム。
【請求項6】
前記認証サーバのユーザ認証手段は、前記認証要求を受信した場合に当該認証要求の通信経路を検出する機能をさらに有し、
前記認証サーバのユーザ属性返送手段は、前記属性情報データベースから読み出されたユーザ属性情報に、前記検出された通信経路を表す情報を付加して要求元へ返送し、
前記データサーバの開示設定管理手段は、前記通信経路を反映した開示条件を表す開示設定情報を開示設定データベースにより管理し、
前記データサーバの判定手段は、受信されたアクセス要求に含まれるユーザ属性情報と当該ユーザ属性情報に付加された通信経路を表す情報を、前記開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定することを特徴とする請求項1又は4記載の分散情報アクセスシステム。
【請求項7】
前記認証サーバのユーザ属性管理手段は、ユーザごとにその識別子に対応付けて当該ユーザの役割分類を表す情報を含むユーザ属性情報を属性情報データベースにより管理し、
前記データサーバの開示設定管理手段は、前記ユーザごとにその役割分類に応じて予め設定された開示代行資格の有無を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記データサーバの判定手段は、受信されたアクセス要求に含まれるユーザ属性情報からユーザの役割分類を表す情報を取り出し、このユーザの役割分類を表す情報と前記開示設定データベースに格納された開示設定情報に含まれる開示代行資格の有無を表す情報とをもとに開示の許否を判定することを特徴とする請求項1又は4記載の分散情報アクセスシステム。
【請求項8】
前記認証サーバのユーザ属性管理手段は、ユーザごとにその識別子に対応付けて当該ユーザが開示代行資格を有する被代行ユーザのリストを含むユーザ属性情報を属性情報データベースにより管理し、
前記データサーバの開示設定管理手段は、前記ユーザごとに当該ユーザが開示代行資格を有する被代行ユーザのリストを開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記データサーバの判定手段は、受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザが開示代行資格を有する被代行ユーザのリストを取り出し、この受信されたリストと前記開示設定データベースに格納された開示設定情報に含まれる被代行ユーザのリストとをもとに開示の許否を判定することを特徴とする請求項1又は4記載の分散情報アクセスシステム。
【請求項9】
前記認証サーバのユーザ属性管理手段は、ユーザごとにその識別子に対応付けて当該ユーザに係わるデータの開示代行資格を有する代行ユーザのリストを含むユーザ属性情報を属性情報データベースにより管理し、
前記データサーバの開示設定管理手段は、前記ユーザごとに当該ユーザに係わるデータの開示代行資格を有する代行ユーザのリストを開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記データサーバの判定手段は、受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザに係わるデータの開示代行資格を有する代行ユーザのリストを取り出し、この受信されたリストと前記開示設定データベースに格納された開示設定情報に含まれる代行ユーザのリストとをもとに開示の許否を判定することを特徴とする請求項1又は4記載の分散情報アクセスシステム。
【請求項10】
前記認証サーバのユーザ属性管理手段は、ユーザごとにその識別子に対応付けて当該ユーザと他のユーザとの関係性を表す情報を含むユーザ属性情報を属性情報データベースにより管理し、
前記データサーバの開示設定管理手段は、前記ユーザごとに当該ユーザと他のユーザとの関係性を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記データサーバの判定手段は、受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザと他のユーザとの関係性を表す情報を取り出し、この受信された関係性を表す情報と前記開示設定データベースに格納された開示設定情報とをもとに開示の許否を判定することを特徴とする請求項1又は4記載の分散情報アクセスシステム。
【請求項11】
ユーザの個人データを当該ユーザの識別子と対応付けて分散管理する複数のデータサーバと、前記ユーザの認証情報を管理する認証サーバと、ユーザが使用するクライアント装置とを通信ネットワークを介して接続可能とした分散情報アクセスシステムで使用される分散情報アクセス方法であって、
前記クライアント装置が、ユーザのアクセス操作に応じて、少なくとも当該ユーザのユーザ識別子を含む認証要求を前記認証サーバへ送信する認証要求送信過程と、
前記認証サーバが、前記クライアント装置から前記認証要求を受信した場合に、この受信された認証要求と前記管理されている認証情報とをもとに認証要求元のユーザに対する認証を行うユーザ認証過程と、
前記認証サーバが、前記ユーザ認証過程により要求元のユーザの正当性が認められた場合に、前記受信された認証要求に含まれるユーザ識別子に対応するユーザ属性情報を属性情報データベースから読み出し、この読み出されたユーザ属性情報を要求元のクライアント装置へ返送するユーザ属性返送過程と、
前記クライアント装置が、前記認証サーバからユーザ属性情報が返送された場合に、当該ユーザのユーザ識別子とユーザ属性情報を含むアクセス要求を生成して、このアクセス要求をアクセス先となるデータサーバへ送信するアクセス要求送信過程と、
前記データサーバが、前記クライアント装置から前記アクセス要求を受信した場合に、当該アクセス要求に含まれるユーザ属性情報を、開示設定データベースに格納された、ユーザごとにその個人データの開示条件を表す開示設定情報と照合することにより開示の許否を判定する判定過程と、
前記データサーバが、前記判定過程により開示を許可すると判定された場合に、前記受信されたアクセス要求に含まれるユーザ識別子に対応する個人データを前記アクセス要求元のクライアント装置へ返送する過程と
を具備することを特徴とする分散情報アクセス方法。
【請求項12】
前記認証サーバが、前記ユーザごとに複数の属性情報をユーザ識別子に対応付けて属性情報データベースにより管理している場合に、
前記ユーザ属性返送過程は、前記受信された認証要求に含まれるユーザ識別子に対応する複数のユーザ属性情報を前記属性情報データベースから読み出し、この読み出された複数のユーザ属性情報の選択リストを要求元のクライアント装置へ返送し、
前記アクセス要求送信過程は、
前記認証サーバから返送されたユーザ属性情報の選択リストをユーザに提示し、ユーザの操作により前記選択リスト中のユーザ属性情報が選択された場合に、当該ユーザのユーザ識別子と前記選択されたユーザ属性情報を含むアクセス要求を生成し、この生成されたアクセス要求をアクセス先となるデータサーバへ送信することを特徴とする請求項11記載の分散情報アクセス方法。
【請求項13】
前記クライアント装置が、ユーザのユーザ識別子とユーザ自身が入力したユーザ属性情報を含む属性認証要求を前記認証サーバへ送信する過程と、
前記認証サーバが、前記クライアント装置から前記属性認証要求を受信した場合に、当該属性認証要求に含まれるユーザ自身が入力したユーザ属性情報を、前記属性情報データベースに格納されているユーザ属性情報と照合する過程と、
前記照合の結果、ユーザ自身が入力したユーザ属性情報が前記属性情報データベースに格納されているユーザ属性情報と一致した場合に、前記ユーザ属性返送過程によるユーザ属性情報の返送を行わせる過程と
を、さらに具備することを特徴とする請求項11記載の分散情報アクセス方法。
【請求項14】
ユーザの個人データを当該ユーザの識別子と対応付けて分散管理する複数のデータサーバと、前記ユーザの認証情報を管理する認証サーバと、ユーザが使用するクライアント装置とを通信ネットワークを介して接続可能とした分散情報アクセスシステムで使用される分散情報アクセス方法であって、
前記クライアント装置が、ユーザのアクセス操作に応じて、少なくとも当該ユーザのユーザ識別子を含む認証要求を前記認証サーバへ送信する過程と、
前記認証サーバが、前記クライアント装置から前記認証要求を受信した場合に、当該認証要求に含まれるユーザ識別子と前記認証情報とをもとに認証要求元のユーザに対する認証を行い、その認証結果を前記認証要求元のクライアント装置へ返送するユーザ認証過程と、
前記認証サーバから正当性を保証する旨の認証結果が返送された場合に、当該ユーザのユーザ識別子を含むアクセス要求を生成してこのアクセス要求をアクセス先となるデータサーバへ送信するアクセス要求送信過程と、
前記データサーバが、前記クライアント装置から前記アクセス要求を受信した場合に、当該アクセス要求に含まれるユーザ識別子を含む属性取得要求を生成して、この属性取得要求を前記認証サーバへ送信する過程と、
前記認証サーバが、前記データサーバからユーザ識別子を含む属性取得要求を受信した場合に、当該属性要求に含まれるユーザ識別子に対応するユーザ属性情報を属性情報データベースから読み出し、この読み出したユーザ属性情報を要求元のデータサーバへ返送するユーザ属性返送過程と、
前記データサーバが、前記認証サーバからユーザ属性情報を受信した場合に、当該受信されたユーザ属性情報を、開示設定データベースに格納された、ユーザごとにその個人データの開示条件を表す開示設定情報と照合することにより、開示の許否を判定する判定過程と、
前記データサーバが、前記判定過程により開示を許可すると判定された場合に、前記受信されたアクセス要求に含まれるユーザ識別子に対応する個人データを前記アクセス要求元のクライアント装置へ送信する過程と
を具備することを特徴とする分散情報アクセス方法。
【請求項15】
前記ユーザ認証過程は、前記受信された認証要求に含まれる認証要素の種類又は数に応じて認証の信頼度を示す情報を生成し、
前記ユーザ属性返送過程は、前記属性情報データベースから読み出されたユーザ属性情報に前記生成された認証の信頼度を示す情報を付加して要求元へ返送し、
前記データサーバの開示設定管理過程は、前記認証の信頼度を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記データサーバの判定過程は、受信されたアクセス要求に含まれるユーザ属性情報と当該ユーザ属性情報に付加された認証の信頼度を示す情報を、前記開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定することを特徴とする請求項11又は14記載の分散情報アクセス方法。
【請求項16】
前記ユーザ認証過程は、前記認証要求を受信した場合に当該認証要求の通信経路を検出し、
前記ユーザ属性返送過程は、前記属性情報データベースから読み出されたユーザ属性情報に、前記検出された通信経路を表す情報を付加して要求元へ返送し、
前記開示設定管理過程は、前記通信経路を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記判定過程は、受信されたアクセス要求に含まれるユーザ属性情報と当該ユーザ属性情報に付加された通信経路を表す情報を、前記開示設定データベースに格納された開示設定情報と照合することにより開示の許否を判定することを特徴とする請求項11又は14記載の分散情報アクセス方法。
【請求項17】
前記ユーザ属性管理過程は、ユーザごとにその識別子に対応付けて当該ユーザの役割分類を表す情報を含むユーザ属性情報を属性情報データベースにより管理し、
前記開示設定管理過程は、前記ユーザごとにその役割分類に応じて予め設定された開示代行資格の有無を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記判定過程は、受信されたアクセス要求に含まれるユーザ属性情報からユーザの役割分類を表す情報を取り出し、このユーザの役割分類を表す情報と前記開示設定データベースに格納された開示設定情報に含まれる開示代行資格の有無を表す情報とをもとに開示の許否を判定することを特徴とする請求項11又は14記載の分散情報アクセス方法。
【請求項18】
前記ユーザ属性管理過程は、ユーザごとにその識別子に対応付けて当該ユーザが開示代行資格を有する被代行ユーザのリストを含むユーザ属性情報を属性情報データベースにより管理し、
前記開示設定管理過程は、前記ユーザごとに当該ユーザが開示代行資格を有する被代行ユーザのリストを開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記判定過程は、前記受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザが開示代行資格を有する被代行ユーザのリストを取り出し、この受信されたリストと前記開示設定データベースに格納された開示設定情報に含まれる被代行ユーザのリストとをもとに開示の許否を判定することを特徴とする請求項11又は14記載の分散情報アクセス方法。
【請求項19】
前記ユーザ属性管理過程は、ユーザごとにその識別子に対応付けて当該ユーザに係わるデータの開示代行資格を有する代行ユーザのリストを含むユーザ属性情報を属性情報データベースにより管理し、
前記開示設定管理過程は、前記ユーザごとに当該ユーザに係わるデータの開示代行資格を有する代行ユーザのリストを開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記判定過程は、受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザに係わる開示代行資格を有する代行ユーザのリストを取り出し、この受信されたリストと前記開示設定データベースに格納された開示設定情報に含まれる代行ユーザのリストとをもとに開示の許否を判定することを特徴とする請求項11又は14記載の分散情報アクセス方法。
【請求項20】
前記ユーザ属性管理過程は、ユーザごとにその識別子に対応付けて当該ユーザと他のユーザとの関係性を表す情報を含むユーザ属性情報を属性情報データベースにより管理し、
前記開示設定管理過程は、前記ユーザごとに当該ユーザと他のユーザとの関係性を表す情報を開示条件の1つとして含む開示設定情報を開示設定データベースにより管理し、
前記判定過程は、受信されたアクセス要求に含まれるユーザ属性情報から当該ユーザと他のユーザとの関係性を表す情報を取り出し、この受信された関係性を表す情報と前記開示設定データベースに格納された開示設定情報とをもとに開示の許否を判定することを特徴とする請求項11又は14記載の分散情報アクセス方法。
【請求項21】
前記請求項1乃至10のいずれかに記載の分散情報アクセスシステムにおいて、各手段の処理を、前記データサーバ、前記認証サーバ及びクライアント装置が備えるプロセッサに実行させるプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2010−186250(P2010−186250A)
【公開日】平成22年8月26日(2010.8.26)
【国際特許分類】
【出願番号】特願2009−28779(P2009−28779)
【出願日】平成21年2月10日(2009.2.10)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成22年8月26日(2010.8.26)
【国際特許分類】
【出願日】平成21年2月10日(2009.2.10)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]