情報アクセス制御システムとそのサーバ装置、情報アクセス制御方法、アクセス制御ルール設定制御方法
【課題】ユーザの個人情報を適切な相手にのみ開示できるようにし、しかもそのために使用するアクセス制御ルールを適切な第三者が設定できるようにする。
【解決手段】ユーザ関係情報に関係を表す情報として「アクセス制御ルール設定代行」を設定すると共にその該当ユーザの識別情報を登録している。また、アクセス制御ルールリストに対して、アクセス制御ルールの設定代行が可能なユーザ関係を登録した設定代行ルールを設定している。そして、利用者端末UTからアクセス制御ルールの登録、変更又は削除の要求が送信された場合に、この要求に応じて要求元のユーザにアクセス制御ルールの設定代行権限があるか否かを、上記ユーザ関係情報と設定代行ルールに基づいて判定する。そして、設定代行権限があると判定された場合にのみ、対象ユーザのアクセス制御ルールの登録、変更又は削除処理を実行するようにしたものである。
【解決手段】ユーザ関係情報に関係を表す情報として「アクセス制御ルール設定代行」を設定すると共にその該当ユーザの識別情報を登録している。また、アクセス制御ルールリストに対して、アクセス制御ルールの設定代行が可能なユーザ関係を登録した設定代行ルールを設定している。そして、利用者端末UTからアクセス制御ルールの登録、変更又は削除の要求が送信された場合に、この要求に応じて要求元のユーザにアクセス制御ルールの設定代行権限があるか否かを、上記ユーザ関係情報と設定代行ルールに基づいて判定する。そして、設定代行権限があると判定された場合にのみ、対象ユーザのアクセス制御ルールの登録、変更又は削除処理を実行するようにしたものである。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、例えば医療機関や保健関連機関、自治体等が保有するデータベースに散在して保存されているユーザ情報を、本人もしくは本人が許可した第三者に対し提供するサービスを実現するための情報アクセス制御システムとそのサーバ装置、情報アクセス制御方法、アクセス制御ルール設定制御方法に関する。
【背景技術】
【0002】
近年、複数の医療機関・保健関連機関・自治体等が保有する医療や健康に係る情報を、通信ネットワークを介し、相互接続・共有することで統合的医療サービス・健康サービスを目指すEHR(Electronic Health Record)システムが提案されている。
EHRにおいては、個人のプライバシーに関わる医療及び健康関連情報を扱う。プライバシーに関わる情報は、その扱いのミスが個人にとって大きな損害につながる場合があり、その流通と開示は必要最小限度にとどめる必要がある。そのため、従来型の個人情報を扱うシステムにおいては認証技術により本人確認を行い、本人に係る情報は本人のみが参照することを基本としていた(例えば、非特許文献1を参照。)。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】医療の情報化、EHRは何をもたらしたか −地域の役割と情報の自己管理−インターネット<URL : http://e-public.nttdata.co.jp/f/repo/602_j0902/j0902.aspx>
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところが、医療健康関連の情報を本人しか閲覧できない状況では、その医療健康関連情報を活用することは困難であり、現代日本で目指されている地域に根ざした統合的医療サービスといったものの実現は難しい。例えば、医師に自身の情報を十分に閲覧してもらい、診断及び指導を受けるなど、他者に情報を閲覧してもらった上でその閲覧者から有益な情報を得ることができない。本人の医療健康関連の情報を活用するためには、情報開示したい相手には、簡単にそして過ちなく開示できるしくみが必要である。
【0005】
そこで本発明者等は、ユーザごとにその医療健康関連情報の開示条件を規定したアクセス制御ルールを設定し、第三者から情報の取得要求が送られた場合に上記アクセス制御ルールに基づいて情報開示の可否を判定するシステムを提案している。しかしながら、このようなシステムを実際に運用しようとする場合、アクセス制御ルールの設定操作にはある程度の熟練が要求されるため、乳幼児や高齢者が自ら設定することは実際上不可能であり、また一般的な成人ユーザであってもコンピュータの取り扱いに不慣れな場合には自身でアクセス制御ルールを設定することは難しく、また誤設定等が発生することも考えられる。
【0006】
この発明は上記事情に着目してなされたもので、その目的とするところは、ユーザの個人情報を適切な相手にのみ開示できるようにし、しかもそのために使用するアクセス制御ルールを適切な第三者も設定できるようにした情報アクセス制御システムとそのサーバ装置、情報アクセス制御方法、アクセス制御ルール設定制御方法を提供することにある。
【課題を解決するための手段】
【0007】
上記目的を達成するためにこの発明の一つの観点は、データベースに記憶された第1のユーザの個人情報を、情報取得者としての第2のユーザが使用する端末から送信される情報取得要求に応じて検索し要求元の端末へ送信する情報アクセス制御システムにおいて、第1のユーザとその個人情報の取得権限が与えられた第2のユーザとの関係を表す第1のユーザ関係情報を管理する第1のユーザ関係管理手段と、上記第1のユーザ関係情報と関連付けて上記第1のユーザの個人情報の開示条件を設定したアクセス制御ルールを管理するアクセス制御ルール管理手段と、上記第1のユーザとそのアクセス制御ルールの設定代行権限を与えられた第3のユーザの識別情報と、上記第1のユーザと第3のユーザとの関係を表す情報を含む第2のユーザ関係情報を管理する第2のユーザ関係管理手段と、上記アクセス制御ルールに対し設定され、第1のユーザとそのアクセス制御ルールの設定代行が許可された第3のユーザとの関係を表す設定代行ルールを管理する設定代行ルール管理手段とを備える。
そして、上記端末から、第1及び第2のユーザの識別情報を含む情報取得要求が送られた場合に、この情報取得要求に含まれる第1及び第2の識別情報をもとに上記第1のユーザ関係管理手段及び上記アクセス制御ルール管理手段からそれぞれ該当するユーザの第1のユーザ関係情報及びアクセス制御ルールを読み出し、この読み出された第1のユーザ関係情報及びアクセス制御ルールに基づいて上記第2のユーザに対する上記第1のユーザの個人情報の開示の許否を判定する。そして、この判定の結果、情報開示が許可された場合に、上記第1のユーザの識別情報をもとに上記データベースから該当する個人情報を読み出して、取得要求元の端末へ送信する。
またそれと共に、上記端末から、第1及び第3のユーザの識別情報を含むアクセス制御ルール設定要求が送られた場合に、この設定要求に含まれる第1及び第3の識別情報をもとに上記第2のユーザ関係管理手段及び上記設定代行ルール管理手段からそれぞれ該当するユーザに係わる第2のユーザ関係情報及び設定代行ルールを読み出し、この読み出された上記第2のユーザ関係管理情報及び上記設定代行ルールに基づいて上記第1のユーザのアクセス制御ルールに対する上記第3のユーザの設定代行権限の有無を判定する。そして、設定代行権限があると判定された場合に、上記アクセス制御ルール設定要求の内容に基づいて上記第1のユーザのアクセス制御ルールに対する設定処理を行うように構成したものである。
【0008】
したがって、第1のユーザの個人情報を他のユーザに開示してもよいかどうかが、予め設定された当該第1のユーザとの人間関係を表す情報と、このユーザ関係と関連付けて開示条件を設定したアクセス制御ルールに基づいて判定される。このため、第1のユーザとの人間関係が予め設定された関係にあり、かつアクセス制御ルールに規定された開示条件を満たす第2のユーザに対してのみ、第1のユーザの個人情報は開示される。したがって、個人情報が無制限に開示される不具合を防止した上で、例えば家族やかかりつけの医師といった特定の関係にある第2のユーザに対しては個人情報を開示してアドバイス等を受けることが可能となる。また、一度特定の関係にあるユーザへの開示条件を設定しておくことで、同様の関係にあるユーザに対する開示条件の設定作業が簡易になる。また、一般ユーザにとってわかりやすく、ルールの設定を間違い難く、誤った情報の開示が起き難い。
【0009】
例えば、転居に伴いかかりつけの医師等が変更になった場合、この発明に係わる手段又は過程を具備していなければ、新たな医師のために誤りのない開示条件をアクセス制御ルールに設定することが必要となる。しかし、この発明によれば一度「かかりつけ」という人間関係に関する開示条件をアクセス制御ルールに設定しておけば、かかりつけの医師が追加又は変更された場合でも、当該ユーザのユーザ関係情報に「かかりつけ」として新たな医師ユーザを追加するだけで設定を完了することができ、上記新たな医師ユーザに対する開示条件をアクセス制御ルールに個別かつ詳細に設定する必要がない。さらに、一度「家族」という人間関係に関する開示条件をアクセス制御ルールに設定しておけば、例えば結婚によって家族が増えても、当該ユーザとの人間関係情報に「家族」としてこの新しい家族ユーザを追加するだけでよく、上記新たな家族ユーザに対する開示条件をアクセス制御ルールに個別かつ詳細に設定しなくてもよい。
【0010】
さらに、対象ユーザのアクセス制御ルールに対し設定された設定代行ルールに設定代行が可能なユーザ関係が登録され、かつアクセス制御ルールの設定を要求したユーザが、対象ユーザのユーザ関係情報に設定代行が可能なユーザとして登録されている場合にのみ、対象ユーザのアクセス制御ルールの設定が許可される。このため、アクセス制御ルールの設定を第三者が無制限に行えないようにした上で、幼児や子供、高齢者等のようにアクセス制御ルールを自力で行うことが不可能なユーザや、コンピュータの取り扱いに不慣れな一般ユーザについて、そのアクセス制御ルールの設定を第三者が代行して行うことが可能となる。
【0011】
また、この発明の一観点は以下のような態様を備えることを特徴とする。
第1の態様は、第3のユーザが使用する端末が、アクセス制御ルール設定要求の送信に先立ち自己のユーザ関係情報の取得要求を送信した場合に、ユーザ関係管理サーバ装置が当該取得要求に応じて上記第2のユーザ関係管理手段により管理されている該当するユーザ関係情報を読み出して、この読み出した情報を要求元の端末へ返送するものである。
【0012】
第2の態様は、ユーザ関係管理サーバ装置が、アクセス制御ルールを構成する複数のデータ項目のうちの少なくとも一つのデータ項目についてその設定候補となる情報を記憶するデータ項目データベースを備えている場合に、第3のユーザが使用する端末が、上記アクセス制御ルール設定要求の送信に先立ち、上記データ項目の設定候補の取得要求を送信した場合に、ユーザ関係管理サーバ装置が当該取得要求に応じて上記データ項目データベースから設定候補となる情報を読み出して、この読み出した情報を要求元の端末へ返送するものである。
このようにすると、第3のユーザは、ユーザ関係管理サーバ装置のデータ項目データベースから取得した設定候補となる情報を参照して、アクセス制御ルールを簡単に編集することが可能となる。
【0013】
第3の態様は、第3のユーザの設定代行権限の有無を判定する際に、先ず設定代行ルールデータベースに記憶された設定代行ルールをもとに、設定代行が可能なユーザ関係が登録されているか否かを判定する。そして、この判定の結果、設定代行が可能なユーザ関係が登録されていると判定された場合に、ユーザ関係管理サーバ装置に対し該当ユーザに関する第2のユーザ関係情報の取得要求を送信して当該ユーザ関係管理サーバ装置から該当する第2のユーザ関係情報を取得する。そして、この取得された第2のユーザ関係情報に第3のユーザが設定代行者として登録されているか否かを判定し、この判定結果より第3のユーザの設定代行権限の有無を判定するものである。
このようにすると、設定代行ルールに設定代行が可能なユーザ関係が登録されている場合にのみ、ユーザ関係管理サーバ装置からユーザ関係情報を取得する手順が実行されることになる。このため、設定代行ルールに設定代行が可能なユーザ関係が登録されていない場合には、ユーザ関係管理サーバ装置からユーザ関係情報を取得する手順は実行されないことになり、これによりデータプロバイドサーバ装置及びユーザ関係管理サーバ装置の処理負荷を軽減し、かつネットワークのトラフィックの増加を抑制することができる。
【発明の効果】
【0014】
すなわちこの発明によれば、ユーザの個人情報を適切な相手にのみ開示できるようにし、しかもそのために使用するアクセス制御ルールを適切な第三者も設定できるようにした情報アクセス制御システムとそのサーバ装置、情報アクセス制御方法、アクセス制御ルール設定制御方法を提供することができる。
【図面の簡単な説明】
【0015】
【図1】この発明の一実施形態に係わる情報アクセス制御システムの機能構成を示すブロック図である。
【図2】図1に示したシステムにおけるユーザ関係登録処理シーケンスを示す図である。
【図3】図2に示したユーザ関係登録処理シーケンスにより登録されるユーザ関係情報の一例を示す図である。
【図4】図2に示したユーザ関係登録処理シーケンスにより登録されるユーザ関係情報の他の例を示す図である。
【図5】図1に示したシステムにおいて代行者によるアクセス制御ルールの登録制御シーケンスを示す図である。
【図6】図1に示したシステムにおける代行者によるアクセス制御ルールの更新・削除制御シーケンスを示す図である。
【図7】図5に示したアクセス制御ルール登録制御シーケンスにより登録されるアクセス制御ルールリストの一例を示す図である。
【図8】アクセス制御ルールの設定代行情報を含むアクセス制御ルールリストの一例を示す図である。
【図9】図1に示したシステムの情報取得処理シーケンスにおいて情報取得を行えた場合を示す図である。
【図10】図1に示したシステムの情報取得処理シーケンスにおいて情報取得を行えない場合を示す図である。
【図11】この発明の他の実施形態に係わる情報アクセス制御システムの機能構成を示すブロック図である。
【発明を実施するための形態】
【0016】
以下、図面を参照してこの発明に係わる実施形態を説明する。
この発明の一実施形態に係わる情報アクセス制御システムの全体構成を示す機能ブロック図である。
この一実施形態に係わる情報アクセス制御システムは、医療機関や保健関連機関、運動関連施設等がそれぞれ運用する複数のデータプロバイドサーバPSV1〜PSVnと、複数のサービス連携サーバSSVと、認証サーバASVaと、ユーザ登録サーバRSVと、ユーザ関係管理サーバMSVとを備え、これらのサーバ間及びこれらのサーバと利用者端末UTとの間をネットワークNWを介して接続可能としたものである。
【0017】
ネットワークNWは、例えばインターネットに代表されるIP網と、このIP網に対しアクセスするための複数のアクセス網とから構成される。アクセス網としては例えばLAN(Local Area Network)、無線LAN、携帯電話網、有線電話網、CATV(Cable Television)網が用いられる。
【0018】
利用者端末UTには、患者等の一般ユーザが自宅等において使用する一般ユーザ用の端末と、医師や保健師、薬剤師等が患者の依頼を受けて患者の医療情報等を取得するために、さらにはアクセス制御ルールを代行設定するために使用する業務用の端末と、ユーザ登録サーバRSVに設けられるオペレータ用のコンソール端末が含まれる。
【0019】
データプロバイドサーバPSV1〜PSVnは、中央制御ユニット(Central Control Unit;CPU)に、バスを介してプログラムメモリと、各種データベースを保存するためのデータメモリと、通信インタフェースを接続したもので、その機能モジュールとして、アプリケーション処理モジュール10と、情報取得リクエスト処理モジュール11と、アクセス制御ルール管理モジュール12と、アクセス制御モジュール13と、連携処理モジュール14と、ユーザ設定処理モジュール15とを備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0020】
データベースとしては、ユーザデータベース16と、連携用IDデータベース17と、アクセス制御ルールデータベース18と、アプリケーションデータベース19を備えている。ユーザデータベース16には、各ユーザを識別し管理するためのユーザ情報が記憶される。ユーザ情報は、ユーザの識別情報(ID)、ユーザ基本情報およびユーザ属性等からなる。アプリケーションデータベース19には、各ユーザの個人情報、例えば保健指導情報や健康診断情報等の医療健康関連情報が上記ユーザIDに対応付けられて格納される。
【0021】
連携用IDデータベース17には、ユーザ登録サーバRSVから登録を要求されたID連携情報が記憶される。ID連携情報は、他サーバから自サーバのあるユーザの個人データにアクセスするための情報である。
アクセス制御ルールデータベース18には、アプリケーションデータベース19に格納されているユーザの医療健康関連情報(個人情報)について、当該情報をどのような条件のもとでアクセスを許可するかを設定するためのアクセス制御ルールを表す情報が記憶される。図7にこのアクセス制御ルールのリスト例を示す。
【0022】
アクセス制御ルールには、個人情報の開示条件を表す複数のルール項目が記載されている。このルール項目は、例えば医療健康関連情報のオーナを示すデータ所有ユーザ(ユーザID等で管理される)と、アクセス制御対象とするデータ項目(「対象データ−項目」)と、何時から何時までの期間に登録されたデータをアクセス制御対象とするかを示す情報である「対象データ−期間」と、誰をアクセス制限又は許可の対象とするかを示す「対象ユーザ」と、どの組織をアクセス制限又は許可の対象とするかを示す「対象ユーザ−所属組織」と、どのような資格を持った者をアクセス制限又は許可の対象とするかを示す「対象ユーザ−ロール」と、情報所有者とどのような人間関係にある者を個人情報又はアクセス制御ルールに対するアクセス制限又は許可の対象とするかを示す「対象ユーザ−関係」とから構成される。「対象データ−項目」としては、例えば、病名、投薬名、体重、アレルギー情報がある。
【0023】
また、アクセス制御ルールには、上記各ルール項目に加え、上記アプリケーションデータベース19に格納されているユーザの医療健康関連情報の読み取りの可否を表す項目と、当該医療健康関連情報の書き込みの可否を表す項目が記載されている。
なお、例えばアクセス制御対象とするユーザがICカードとパスワードで認証された際にのみアクセスを許可するといったように、アクセスを許可する認証手段を限定する項目(「対象ユーザ−認証手段」)を含ませることも可能である。また、このアクセス制御ルール自体の有効期間を示す「ルール有効期間」項目を含ませ、これにより特定の期間にのみ情報を開示/非開示とすることも可能とする。
【0024】
またアクセス制御ルールデータベース18には、アクセス制御ルールに対する設定代行ルールのリストも記憶される。この設定代行ルールのリストは、アクセス制御ルールデータベース18に記憶されたアクセス制御ルールを第三者が編集しようとするとき、つまり第三者がアクセス制御ルールの設定を代行しようとするときの条件を定義するものである。図8はこのアクセス制御ルールに対する設定代行ルールのリストの一例を示したもので、「対象データ項目」に設定代行ルールであることを示す“ACL”が記載され、また「対象ユーザ−関係」には「家族」、「アクセス制御ルール設定代行」といった、対象ユーザとの関係を表す情報が記載される。このように市民Aの各アクセス制御ルールに対する設定代行ルール1、2をさらに設定することで、例えば図7に示した市民Aについての各アクセス制御ルール1〜5に対しては、市民Aとの関係が「家族」又は「アクセス制御ルール設定代行」に該当する第三者に限り編集等の設定代行が許可される。
【0025】
ユーザ設定処理モジュール15は、ユーザ登録サーバRSVからの要求に応じて、自らの連携用IDデータベース17及びユーザデータベース16の検索、連携用IDデータベース17へのID連携情報の登録又は削除、ユーザデータベース16へのユーザ情報の登録又は削除を行い、その結果をユーザ登録サーバRSVに応答するものである。
【0026】
連携処理モジュール14は、認証サーバASVaから認証情報を取得し、連携用IDデータベース17に格納されたID連係情報を用いて他のデータプロバイドサーバPSV1〜PSVnとの間で属性交換(個人データの流通)を行う。この属性交換の処理は、SAML(Security Assertion Markup Language)におけるSP等の機能を有する認証連携部や、ID-WSF(Identity Web Service Framework)におけるWSC(Web Service Consumer)等の機能を使用して行われる。なお、SAMLおよびID−WSFは、Liberty Allianceが定めているWebサービスのための仕様である。
【0027】
アクセス制御ルール管理モジュール12は、上記アクセス制御ルールデータベース18に対するアクセス制御ルールの登録、更新又は削除処理を行う。
アクセス制御モジュール13は、サービス連携サーバSSVから送信された情報取得リクエストを情報取得リクエスト処理モジュール11が受信した場合に、この受信された情報取得リクエストに基づいて、リクエスト対象となっている情報に関連付けられているアクセス制御ルールと、後述するユーザ関係管理サーバMSVで管理されているユーザ関係情報を参照し、当該情報の読み取り可否及び書き込み可否を判定する。そして、アクセス可と判定された場合には、アプリケーション処理モジュール10に対し情報取得リクエストを転送し、リクエスト対象である医療関連情報を読み出す処理を行う。
【0028】
またアクセス制御モジュール13は、サービス連携サーバSSVから送信された、アクセス制御ルールの登録、更新又は削除を要求するリクエストを受信した場合に、この受信されたリクエストに基づいて、アクセス制御ルールデータベース18に記憶されている設定代行ルールリストと、後述するユーザ関係管理サーバMSVで管理されているユーザ関係情報を参照し、アクセス制御ルールの読み取り可否及び書き込み可否を判定する。そして、アクセス可と判定された場合には、アクセス制御ルール管理モジュール12に対し情報取得リクエストを転送し、該当するアクセス制御ルールの登録、更新又は削除処理を行う。
【0029】
アプリケーション処理モジュール10は、ユーザの個人情報、例えば保健指導情報や健康診断情報等の医療健康関連情報に基づいて、当該ユーザに対し保健指導を行うようなアプリケーション機能を備える。このアプリケーション機能は、データプロバイドサーバPSV1〜PSVn内の上記各機能モジュールを利用することができ、それ以外の部分は自由に作成できるものである。
【0030】
認証サーバASVaは、上記データプロバイドサーバPSV1〜PSVnと同様に、CPUに対しバスを介してプログラムメモリと、データベースを記憶するデータメモリと、通信インタフェースを接続したもので、その機能モジュールとして認証処理モジュール21と、連携処理モジュール22と、ユーザ設定処理モジュール23を備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0031】
また、データベースとして、ユーザデータベース24と、連携用IDデータベース25と、ディレクトリデータベース26を備えている。ユーザデータベース24には、各ユーザを識別し管理するためのユーザ情報が記憶される。連携用IDデータベース25には、ユーザ登録サーバRSVから登録を要求されたID連携情報が記憶される。このID連携情報は、それぞれのユーザに対してサーバごとに設定される。ディレクトリデータベース26には、個人情報の所在、つまりどのサーバがどの医療健康関連情報を保持しているかを表すディレクトリデータが記憶される。
【0032】
ユーザ設定処理モジュール23は、ユーザ登録サーバRSVからの要求に応じて自らのID連携データベース25及びユーザデータベース24の検索、連携用IDデータベース25へのID連携情報の登録又は削除、ユーザデータベース24へのユーザ情報の登録又は削除を行い、その結果をユーザ登録サーバRSVに対し応答する処理を行う。
【0033】
連携処理モジュール22は、ユーザデータベース24、連携用IDデータベース25及びディレクトリデータベース26を用いて、データプロバイドサーバPSV1〜PSVnに対し、認証情報の提供及びディレクトリサービスの提供を行う。これらの処理のために連携処理モジュール22は、ID−WSFにおけるSP(Service Provider)機能を有すると共に、SAMLにおけるIDP(Identity Provider)の機能を有する。
【0034】
認証処理モジュール21は、ユーザに対する認証処理を行うものであり、利用者端末UTにおいてユーザが入力したユーザ情報をもとにユーザデータベース24を参照し、当該ユーザの正当性を認証する。認証方式としては、ID/パスワード認証、ICカード認証、公開鍵暗号基盤認証、多要素認証等の様々な認証方式を用いることができる。
【0035】
サービス連携サーバSSVは、上記認証サーバASVaと同様に、CPUにバスを介してプログラムメモリと、データベースを記憶するデータメモリと、通信インタフェースを接続したもので、その機能モジュールとしてアプリケーション処理モジュール31と、関係検索モジュール32と、アクセス制御ルール設定管理要求モジュール33と、情報取得リクエストモジュール34と、連携処理等モジュール35と、ユーザ設定処理モジュール36を備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0036】
またデータベースとしては、ユーザデータベース37と、連携用IDデータベース38を備えている。ユーザデータベース37には、各ユーザを識別し管理するためのユーザ情報が記憶される。連携用IDデータベース38には、ユーザ登録サーバRSVから登録を要求されてID連携情報が記憶される。
【0037】
ユーザ設定処理モジュール36は、ユーザ登録サーバRSVからの検索要求に応じて、自らのユーザデータベース37及び連携用IDデータベース38の検索、連携用IDデータベース38へのID連携情報の登録又は削除、ユーザデータベース37へのユーザ情報の登録又は削除を行い、その検索結果をユーザ登録サーバRSVに対し応答する処理を行う。
【0038】
連携処理モジュール35は、認証サーバASVaから認証情報を取得し、連携用IDデータベース38を用いて、データプロバイドサーバPSV1〜PSVnや他のサービス連携サーバSSV等との間で属性交換を行うものであり、この属性交換処理のためにSAMLにおけるSPの機能を有する。また、ID−WSFにおけるWSCの機能を有する。
関係検索モジュール32は、利用者端末UTから送信された情報取得リクエストが受信された場合に、情報取得対象となるユーザのリストを提示する際に機能するもので、要求元のユーザと関係性を持つユーザを検索する処理を行う。
【0039】
情報取得リクエストモジュール34は、ユーザデータベース37に記憶されたユーザ情報を用いて、データプロバイドサーバPSV1〜PSVnに対しアクセス制御ルール情報、及びユーザ個人の医療健康関連情報の収集を要求する。
アクセス制御ルール設定管理要求モジュール33は、利用者端末UTから送られるアクセス制御ルール設定リクエストに応じて、データプロバイドサーバPSV1〜PSVnに対し、アクセス制御ルールデータベース18へのアクセス制御ルール情報の追加、更新または削除を要求する。
アプリケーション処理モジュール31は、利用者端末UTから送信される要求に応じて、要求元のユーザに関する様々な医療健康関連情報の一覧サービスを行うためのアプリケーション等を備える。
【0040】
ユーザ登録サーバRSVも、上記認証サーバASVa等と同様に、CPUにバスを介してプログラムメモリと、データベースを記憶するデータメモリと、通信インタフェースを接続したもので、その機能モジュールとして、利用者操作処理モジュール41及びユーザ設定処理モジュール42を備えている。またデータベースとしては、ユーザデータベース43を備えている。このユーザデータベース43には、各ユーザのユーザ情報が記憶される。なお、上記各機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0041】
ユーザ設定処理モジュール42は、ユーザ又はオペレータからの操作に応じて自らのユーザデータベース43に記憶されたユーザ情報を更新すると共に、認証サーバASVa、データプロバイドサーバPSV1〜PSVn及びサービス連携サーバSSVに対してユーザの登録、更新又は削除を要求する。また、ユーザIDと、認証サーバASVa、データプロバイドサーバPSV1〜PSVn、サービス連携サーバSSVがそれぞれ独自に管理するユーザIDとの間の関連付けと、その解除処理を行う。また、データプロバイドサーバPSV1〜PSVnを利用可能又は利用不可能にするために、認証サーバASVaに対してサービス関連情報の登録又は解除を要求する。認証サーバASVa、データプロバイドサーバPSV1〜PSVn及びサービス連携サーバSSVがそれぞれ独自に使用する匿名ID(SAML等)をシステム共通のユーザIDに、又はシステム共通のユーザIDからそれぞれの匿名IDに変換する機能も持つ。また、各サーバに対し、指定された条件でのユーザ検索機能も持つ。
【0042】
ユーザ関係管理サーバMSVも、上記認証サーバASVa等と同様に、CPUにバスを介してプログラムメモリと、データベースを記憶するデータメモリと、通信インタフェースを接続したもので、その機能モジュールとして、ユーザ関係管理モジュール51と、連携処理モジュール52と、組織・ロール管理モジュール53と、ユーザ設定処理モジュール54を備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0043】
また、データベースとして、ユーザ関係データベース55と、ユーザデータベース56と、連携用IDデータベース57と、組織データベース58と、ロールデータベース59と、関係名データベース60を備えている。ユーザデータベース56には、各ユーザを識別し管理するためのユーザ情報が記憶される。連携用IDデータベース57には、ユーザ登録サーバRSVから登録を要求されてID連携情報が記憶される。
【0044】
関係名データベース60には、ユーザと当該ユーザが自己の個人情報の取得を許可した情報取得ユーザとの人間関係を表す具体名が記憶される。人間関係を表す具体名としては、例えば「家族」や「かかりつけ」、「職場同僚」、「友人」等がある。ロールデータベース59には、情報取得要求者となるユーザのロール情報が記憶される。ロール情報には、例えばISOによって協議されているhcRole(health care Role)のように保健医療福祉分野の国家資格等によって識別される役割である、「医師」や「保健師」、「看護師」、「理学療法士」といった役割名が用いられる。組織データベース58には、情報取得要求者となるユーザが所属する組織名が記憶される。組織名としては、例えば「A診療所」、「B市民病院」、「Cフィットネスクラブ」等がある。
【0045】
ユーザ関係データベース55には、ユーザと当該ユーザが自己の個人情報の閲覧等を許可した第三者ユーザとの人間関係を表すユーザ関係情報が記憶される。図3及び図4はこのユーザ関係データベース55に記憶されるユーザ関係情報の一例を示すものである。すなわち、図3は市民Bのユーザ関係情報を示しており、市民Bとこのシステム上で人間関係が作られているユーザは市民Aであり、その関係が「家族」であることを示している。また図4は、市民Aのユーザ関係情報を示しており、市民Aと人間関係が作られているユーザとして、市民B、市民C、X病院x医師、Y病院y医師、Y病院z保健師がいることを示している。またx医師、y医師、z保健師はいずれも、市民Aの「かかりつけ」という関係として登録されていることを示している。
【0046】
さらにユーザ関係情報には、「アクセス制御ルール設定代行」という関係が定義され、この関係に対応付けて、設定代行を許可したユーザが設定される。例えば、図3のユーザ関係情報では「アクセス制御ルール設定代行」として市民Pが、また図4のユーザ関係情報では「アクセス制御ルール設定代行」として市民Qがそれぞれ設定されている。
【0047】
組織・ロール管理モジュール53は、上記組織データベース58、ロールデータベース59及び関係名データベース60にそれぞれ記憶された組織、ロール及び関係名を管理するもので、これらの情報の登録、更新又は削除を実行する機能を持つ。
ユーザ設定処理モジュール54は、ユーザ登録サーバRSVから送信された要求に応じて、自らの連携用IDデータベース57及びユーザデータベース56の検索、連携用IDデータベース57へのID連携情報の登録又は削除、ユーザ情報の登録又は削除を行い、その結果をユーザ登録サーバRSVに対し応答する。
【0048】
ユーザ関係管理モジュール51は、サービス連携サーバSSV及びデータプロバイドサーバPSV1〜PSVnからユーザ関係情報の検索リクエストが送られた場合に、このリクエストにより指定されたユーザのユーザ関係情報をユーザ関係データベース55から読み出す。そして、この読み出したユーザ関係情報を要求元のサーバへ返送する。
【0049】
次に、以上のように構成されたシステムの動作を説明する。
(1)ユーザ関係情報の登録
先ず、ユーザ関係情報の登録処理は以下のように行われる。図2はその処理手順と処理内容を示すシーケンス図である。
すなわち、利用者端末UTにおいてシステムにログオンした状態で、ユーザ本人又はシステムオペレータが自身又は設定を依託されたユーザのユーザ関係情報の追加、削除又は更新を要求する操作を行ったとする。そうすると、この操作に応じてユーザ関係情報の追加、削除又は更新を要求するためのリクエストが、利用者端末UTからサービス連携サーバSSVへ送信される。サービス連携サーバSSVは上記リクエストを受信すると、アプリケーション処理モジュール31の制御の下で、上記リクエストをユーザ関係管理サーバMSVへ転送する。
【0050】
ユーザ関係管理サーバMSVは、上記リクエストを受信すると、ユーザ関係管理モジュール51の制御の下で、上記リクエストの内容に従いユーザ関係データベース55に対しユーザ関係情報を新規登録するか、又は登録済みのユーザ関係情報の更新又は削除を行う。そして、その実行結果(OKまたはNG)を表すレスポンスを返送する。このレスポンスは、ユーザ関係管理サーバMSVからサービス連携サーバSSVに送られ、このサービス連携サーバSSVから要求元の利用者端末UTへ転送される。
【0051】
かくして、ユーザ関係管理サーバMSVのユーザ関係データベース55には、要求元のユーザが市民Bであれば、例えば図3に示したようなユーザ関係情報が登録される。また要求元のユーザが市民Aであれば、例えば図4に示したようなユーザ関係情報が登録される。
【0052】
(2)第三者によるアクセス制御ルールの登録
次に、第三者によるアクセス制御ルールの登録処理は以下のように行われる。ここでは、市民Aのアクセス制御ルールを、その家族である市民Bが登録する場合を例にとって説明する。図5はその処理手順と処理内容を示すシーケンス図である。
【0053】
すなわち、利用者端末UTにおいてシステムにログオンした状態で、市民Bが先ずシステム上で自身と何らかの関係を持つ他のユーザに関する情報を閲覧するための操作を行ったとする。そうすると、利用者端末UTでは関係ユーザの検索要求が生成され、この検索要求がサービス連携サーバSSVへ送られる。サービス連携サーバSSVは上記関係ユーザの検索要求を受信すると、アプリケーション処理モジュール31の制御の下で、この検索要求をユーザ関係管理サーバMSVへ転送する。ユーザ関係管理サーバMSVは、上記関係ユーザの検索要求を受信すると、ユーザ関係管理モジュール51の制御の下で、上記受信された検索要求に含まれる要求元ユーザのIDをキーにしてユーザ関係データベース55から対応するユーザ関係情報を読み出す。そして、この読み出されたユーザ関係情報を返送する。このユーザ関係情報はサービス連携サーバSSVを介して要求元の利用者端末UTへ転送され、ディスプレイに表示される。
【0054】
この状態で市民Bが、上記表示されたユーザ関係情報を参照して、自身がこれからアクセス制御ルールの設定を代行するユーザを選択すると、アクセス制御ルールの検索・選択リクエストがサービス連携サーバSSVへ送信される。このとき、アクセス制御ルールの検索・選択リクエストとしては、検索・選択を要求する対象に応じて、組織の検索・選択リクエスト、ロールの検索・選択リクエスト及び関係名の検索・選択リクエストのいずれかが送信される。サービス連携サーバSSVは、上記検索・選択リクエストを受信すると、アクセス制御ルール設定管理要求モジュール33の制御の下で、上記検索・選択リクエストをユーザ関係管理サーバMSVへ転送する。
【0055】
ユーザ関係管理サーバMSVは、上記アクセス制御ルールの検索・選択リクエストを受信すると、組織・ロール管理モジュール53の制御の下で、組織データベース58、ロールデータベース59又は関係名データベース60からそれぞれ、アクセス制御ルールを編集する際にその項目に記載する候補となる組織名、ロール名又は関係名を表す情報を読み出す。そして、この読み出した組織名、ロール名又は関係名を表す情報をサービス連携サーバSSVへ返送する。この組織名、ロール名又は関係名を表す情報は、サービス連携サーバSSVを介して要求元の利用者端末UTへ送られ、ディスプレイに表示される。
【0056】
この状態でユーザは、利用者端末UTにおいて、上記表示された組織名、ロール名又は関係名の候補の中から所望のものを選択してアクセス制御ルール中の対応する項目に挿入する。なお、「対象データ−期間」、「対象ユーザ−認証手段」、「ルール有効期間」、「読み取り可否」及び「書き込み可否」等の、アクセス制御ルールを構成するその他の項目については、ユーザがデータを手操作で入力することで挿入する。かくしてアクセス制御ルールの編集が行われる。
【0057】
上記アクセス制御ルールの編集が終了し、ユーザが送信操作を行ったとする。そうすると、利用者端末UTからサービス連携サーバSSVへ、上記編集により作成された新たなアクセス制御ルールの登録リクエストが送信される。サービス連携サーバSSVは、上記登録リクエストを受信すると、アクセス制御ルール設定管理要求モジュール33の制御の下で、上記アクセス制御ルールの登録リクエストをデータプロバイドサーバPSV1〜PSVnへ転送する。
【0058】
データプロバイドサーバPSV1〜PSVnは、上記アクセス制御ルールの登録リクエストを受信すると、アクセス制御モジュール13の制御の下で、上記登録リクエストの送信元のユーザ(市民B)が市民Aに対するアクセス制御ルールの登録権限を有しているか否かを以下のようにして判定する。
【0059】
すなわち、先ずアクセス制御ルールデータベース18に記憶された市民Aの設定代行ルールリストを参照し、この設定代行ルールリストに設定代行が許可されるユーザ関係が登録されているか否かを判定する。そして、設定代行が許可されるユーザ関係が登録されている場合に、ユーザ関係管理サーバMSVに対し登録要求元ユーザ(市民B)又は対象ユーザ(市民A)のユーザ関係情報の確認要求を送信する。ユーザ関係管理サーバMSVは、上記確認要求を受信すると、ユーザ関係管理モジュール51の制御の下で、ユーザ関係データベース55から登録要求元ユーザ(市民B)又は対象ユーザ(市民A)のユーザ関係情報を読み出し、この読み出したユーザ関係情報をデータプロバイドサーバPSV1〜PSVnへ返送する。次に、上記受信したユーザ関係情報に、上記設定代行が許可されるユーザ関係に対応付けて市民Bが登録されているか否かを判定する。この判定の結果、登録されていれば、市民Bは市民Aに対するアクセス制御ルールの設定代行権限を有していると判断する。
【0060】
例えば、いま市民Aの設定代行ルールには、図8に示すようにルール1に「家族」が設定代行者として指定されている。このため、データプロバイドサーバPSV1〜PSVnとユーザ関係管理サーバMSVとの間で、ユーザ関係情報の取得手順が実行される。この取得されたユーザ関係情報には、図3又は図4に示すように市民Aが市民Bの家族として登録されている。したがって、この場合市民Bは市民Aのアクセス制御ルールの設定代行者であると判定される。
【0061】
上記のように市民Bが市民Aのアクセス制御ルールの設定代行者であることが確認されると、アクセス制御モジュール13は上記受信されたアクセス制御ルールの登録リクエストをアクセス制御ルール管理モジュール12に転送する。アクセス制御ルール管理モジュール12は、上記登録リクエストと共に送られたアクセス制御ルールを、登録先ユーザ(市民A)の新たなアクセス制御ルールとしてアクセス制御ルールデータベース18に格納する。そして、その処理結果(登録OKまたはNG情報)を表すレスポンスを返送する。このレスポンスは、データプロバイドサーバPSV1〜PSVnからサービス連携サーバSSVに送信され、このサービス連携サーバSSVから要求元の利用者端末UTへ転送される。
かくして、第三者の操作により、データプロバイドサーバPSV1〜PSVnのアクセス制御ルールデータベース18には、例えば図7に示したように新たなアクセス制御ルールが市民Aのリストに追加登録される。
【0062】
なお、以上の説明では、市民Aのアクセス制御ルールリストに、その家族として登録されている市民Bが新たなアクセス制御ルールを追加登録する場合を例にとって説明した。しかし、それに限らず、市民Aのアクセス制御ルールリストに、図3に示すようにアクセス制御ルールの設定代行者として登録されている市民Pが新たなアクセス制御ルールを追加登録する場合等にも、同様の手順により実施可能である。
【0063】
(3)第三者によるアクセス制御ルールの更新又は削除
上記アクセス制御ルールデータベース18に登録されたアクセス制御ルールを、第三者が変更又は削除する処理は以下のように行われる。なお、ここでも市民Aのアクセス制御ルールを、その家族である市民Bが変更又は削除する場合を例にとって説明する。図6はその処理手順と処理内容を示すシーケンス図である。
【0064】
すなわち、利用者端末UTにおいてシステムにログオンした状態で、市民Bが先ずシステム上で自身と何らかの関係を持つ他のユーザに関する情報を閲覧するための操作を行うと、利用者端末UTからサービス連携サーバSSVへ、関係ユーザの検索要求が送信される。サービス連携サーバSSVは上記関係ユーザの検索要求を受信すると、アプリケーション処理モジュール31の制御の下で、この検索要求をユーザ関係管理サーバMSVへ転送する。ユーザ関係管理サーバMSVは、上記関係ユーザの検索要求を受信すると、ユーザ関係管理モジュール51の制御の下で、上記受信された検索要求に含まれる要求元ユーザのIDをキーにしてユーザ関係データベース55から対応するユーザ関係情報を読み出す。そして、この読み出されたユーザ関係情報を返送する。このユーザ関係情報はサービス連携サーバSSVを介して要求元の利用者端末UTへ転送され、ディスプレイに表示される。
【0065】
この状態で市民Bが、上記表示されたユーザ関係情報を参照して、自身がこれからアクセス制御ルールの設定を代行するユーザを選択し、その上でアクセス制御ルールリストの閲覧を要求する操作を行うと、利用者端末UTからサービス連携サーバSSVへアクセス制御ルールリストの表示要求が送信される。サービス連携サーバSSVは、上記表示要求を受信すると、アクセス制御ルール設定管理要求モジュール33の制御の下で、上記表示要求をデータプロバイドサーバPSV1〜PSVnへ転送する。
【0066】
データプロバイドサーバPSV1〜PSVnは、上記表示要求を受信するとアクセス制御ルール管理モジュール12の制御の下で、上記表示要求に含まれる表示対象ユーザのIDをもとにアクセス制御ルールデータベース18から対応するアクセス制御ルールリストの一覧を読み出し、この読み出されたアクセス制御ルールリストの一覧を返送する。このアクセス制御ルールリストの一覧は、サービス連携サーバSSVを介して要求元の利用者端末UTへ転送され表示される。
【0067】
この状態で、市民Bが、表示されたアクセス制御ルールリストの一覧の中から変更又は削除対象のルールを選択し、変更又は削除操作を行ったとする。そうすると、利用者端末UTから当該選択したルールに対する変更又は削除を要求するリクエストがサービス連携サーバSSVへ送信される。サービス連携サーバSSVは、上記ルール変更又は削除のためのリクエストを受信すると、アクセス制御ルール設定管理要求モジュール33の制御の下で、上記ルール変更又は削除のためのリクエストをデータプロバイドサーバPSV1〜PSVnへ転送する。
【0068】
データプロバイドサーバPSV1〜PSVnは、上記ルール変更又は削除のためのリクエストを受信すると、アクセス制御モジュール13の制御の下で、上記ルール変更又は削除のためのリクエストの送信元となるユーザ(市民B)が市民Aのアクセス制御ルールに対する変更又は削除権限を有しているか否かを判定する。その判定手順は、先に(2)で述べたアクセス制御ルール登録時の手順と同様に、先ずアクセス制御ルールデータベース18に記憶された市民Aの設定代行ルールリストに、アクセス制御ルールの設定代行が可能なユーザ関係が登録されているか否かを判定し、登録されていると判定された場合にユーザ関係管理サーバMSVから登録要求元ユーザ(市民B)又は対象ユーザ(市民A)のユーザ関係情報を取得し、この取得した市民B又は市民Aのユーザ関係情報に、市民Bが市民Aに対するアクセス制御ルールの設定代行者として登録されているか否かを判定することによりなされる。
【0069】
上記判定手順により市民Bが市民Aのアクセス制御ルールの設定代行者であることが確認されると、次にデータプロバイドサーバPSV1〜PSVnは、アクセス制御ルール管理モジュール12の制御の下で、アクセス制御ルールデータベース18記憶されたアクセス制御ルールのうち、上記ルール変更又は削除のためのリクエストにより指定されたアクセス制御ルールの変更又は削除処理を行う。そして、その処理結果(変更又は削除OKまたはNG情報)を表すレスポンスを返送する。このレスポンスは、データプロバイドサーバPSV1〜PSVnからサービス連携サーバSSVに送信され、このサービス連携サーバSSVから要求元の利用者端末UTへ転送される。
かくして、第三者の操作により、データプロバイドサーバPSV1〜PSVnのアクセス制御ルールデータベース18に記憶されたアクセス制御ルールの変更又は削除が行われる。
【0070】
なお、以上の説明では、市民Aのアクセス制御ルールリストを、その家族として登録されている市民Bが変更又は削除する場合を例にとって説明したが、それに限らず市民Aのアクセス制御ルールリストに、図3に示すようにアクセス制御ルールの設定代行者として登録されている市民Pが変更又は削除する場合等にも、同様の手順により実施可能である。
【0071】
(4)ユーザの医療健康関係情報の取得(アクセスが許可された場合)
ここでは、データプロバイドユーザPSV1〜PSVnに格納された市民Aの医療健康関連情報を、当該市民Aのかかりつけ医師であるX病院の医師xが取得する場合を例にとって説明する。図9はその取得処理の手順と処理内容を示すシーケンス図である。
【0072】
利用者端末UTにおいて、医師xがシステムにログインすると、先ず利用者端末UTと認証サーバASVaとの間で医師xの認証手順が実行される。そして、この認証手順により医師xの正当性が確認され、当該医師xが自身のユーザ関係情報の取得操作を行うと、利用者端末UTからサービス連携サーバSSVへユーザ関係情報の取得リクエストが送信される。サービス連携サーバSSVは、上記ユーザ関係情報の取得リクエストを受信すると、先ず関係検索モジュール32の制御の下で、医師xのユーザ関係検索・指定リクエストを生成して、このリクエストをユーザ関係管理サーバMSVへ送信する。
【0073】
ユーザ関係管理サーバMSVは、上記ユーザ関係検索・指定リクエストを受信すると、ユーザ関係管理モジュール51の制御の下で、ユーザ関係データベース55から要求元の医師xと人間関係のあるユーザのリストであるユーザ関係情報を検索し、この検索したユーザ関係情報を要求元の利用者端末UTへ返送する。利用者端末UTでは、上記ユーザリストがディスプレイに表示される。
【0074】
この状態で、医師xが上記表示されたユーザ関係情報の中から情報取得対象のユーザとして市民Aを選択したとする。そうすると、この選択された市民AのユーザIDと情報取得者である医師xのユーザIDを含む情報取得リクエストが、利用者端末UTからサービス連携サーバSSVへ送信される。サービス連携サーバSSVは、上記情報取得リクエストを受信すると、情報取得リクエストモジュール34の制御の下で、上記情報取得リクエストをデータプロバイドサーバPSV1〜PSVnへ送信する。
【0075】
データプロバイドサーバPSV1〜PSVnは、上記情報取得リクエストを受信すると、先ず情報取得リクエスト処理モジュール11の制御の下で、上記受信された情報取得リクエストを、アクセス制御モジュール13が処理するために必要なデータ形式に変換した上で、この変換後の情報取得リクエストをアクセス制御モジュール13に転送する。
【0076】
アクセス制御モジュール13は、上記情報取得リクエストを受信すると、その送信元の医師xが市民Aの医療健康関連情報を取得する権限を有しているか否かを以下のようにして判定する。
すなわち、先ずユーザ関係管理サーバMSVに対し、市民Aのユーザ関係情報の確認要求を送信する。ユーザ関係管理サーバMSVは、上記確認要求を受信すると、ユーザ関係管理モジュール51の制御の下で、ユーザ関係データベース55から市民Aのユーザ関係情報を読み出し、このユーザ関係情報をデータプロバイドサーバPSV1〜PSVnへ返送する。
【0077】
次に、上記受信したユーザ関係情報と、アクセス制御ルールデータベース18に記憶された市民Aのアクセス制御ルールを参照し、医師xが市民Aの医療健康関連情報の取得権限を有しているか否かを判定する。例えば、いま市民Aのアクセス制御ルール2に図7に示すように対象ユーザとの関係として「かかりつけ」が設定されており、一方市民Aのユーザ関係情報に図4に示すように医師xが市民Aのかかりつけ医師として登録されていれば、医師xは市民Aの医療健康関連情報の取得権限を有すると判定される。
【0078】
そうして医師xが市民Aの医療健康関連情報の取得権限を有する者であることが確認されると、アクセス制御モジュール13は上記受信された市民Aの情報取得リクエストをアプリケーション処理モジュール10へ転送する。
アプリケーション処理モジュール10は、上記リクエストに従いアプリケーションデータベース19から市民Aの医療健康関係情報を選択的に読み出し、この読み出した市民Aの医療健康関係情報をアクセス制御モジュール13に転送する。アクセス制御モジュール13は、上記転送された市民Aの医療健康関係情報を情報取得リクエスト処理モジュール11に転送し、情報取得リクエスト処理モジュール11はこの市民Aの医療健康関係情報をレスポンスとして返送する。このレスポンスは、サービス連携サーバSSVを介して要求元の利用者端末UTへ伝送される。
かくして、市民Aのかかりつけ医である医師xは、自身の利用者端末UTにおいて市民Aの医療健康関連情報を閲覧することが可能となる。
【0079】
(5)ユーザの医療健康関連情報の取得(アクセスが許可されなかった場合)
ここでは、データプロバイドユーザPSV1〜PSVnに格納された市民Aの医療健康関連情報を、当該市民Aとは無関係の市民Dが閲覧しようとした場合を例にとって説明する。図10はその取得処理の手順と処理内容を示すシーケンス図である。
【0080】
利用者端末UTにおいて、市民Dがシステムにログインすると、利用者端末UTと認証サーバASVaとの間で市民Dの認証手順が実行される。そして、この認証手順により市民Dの正当性が確認され、当該市民Dが自身のユーザ関係情報の取得操作を行うと、利用者端末UTからサービス連携サーバSSVへユーザ関係情報の取得リクエストが送信される。サービス連携サーバSSVは、上記ユーザ関係情報の取得リクエストを受信すると、先ず関係検索モジュール32の制御の下で、市民Dのユーザ関係検索・指定リクエストを生成して、このリクエストをユーザ関係管理サーバMSVへ送信する。
【0081】
ユーザ関係管理サーバMSVは、上記ユーザ関係検索・指定リクエストを受信すると、ユーザ関係管理モジュール51の制御の下で、ユーザ関係データベース55から要求元の医師xと人間関係のあるユーザのリストであるユーザ関係情報を検索し、この検索したユーザ関係情報を要求元の利用者端末UTへ返送する。利用者端末UTでは、上記ユーザリストがディスプレイに表示される。
【0082】
この状態で、市民Dが上記表示されたユーザ関係情報を無視して、情報取得対象のユーザとして市民Aを選択したとする。そうすると、この選択された市民AのユーザIDと情報取得者である市民DのユーザIDを含む情報取得リクエストが、利用者端末UTからサービス連携サーバSSVへ送信される。サービス連携サーバSSVは、上記情報取得リクエストを受信すると、情報取得リクエストモジュール34の制御の下で、上記情報取得リクエストをデータプロバイドサーバPSV1〜PSVnへ送信する。
【0083】
データプロバイドサーバPSV1〜PSVnは、上記情報取得リクエストを受信すると、先ず情報取得リクエスト処理モジュール11の制御の下で、上記受信された情報取得リクエストを、アクセス制御モジュール13が処理するために必要なデータ形式に変換した上で、この変換後の情報取得リクエストをアクセス制御モジュール13に転送する。
【0084】
アクセス制御モジュール13は、上記情報取得リクエストを受信すると、その送信元の市民Dが市民Aの医療健康関連情報を取得する権限を有しているか否かを判定する。その判定手順は、先に(4)で述べた場合と同様に、先ずユーザ関係管理サーバMSVから市民Aのユーザ関係情報を取得し、続いてこの取得した市民Aのユーザ関係情報と、アクセス制御ルールデータベース18に記憶された市民Aのアクセス制御ルールを参照し、市民Dが市民Aに対する医療健康関連情報の取得権限を有しているか否かを判定することによりなされる。
【0085】
例えば、いま市民Aのアクセス制御ルールリストには図7に示すように対象ユーザとの関係として「家族」、「かかりつけ」が設定されているものの、市民Aのユーザ関係情報には図4に示すように市民Dは「家族」としてもまた「かかりつけ」としても登録されていない。このため、市民Dは市民Aの医療健康関連情報の取得権限を有していないと判定される。
【0086】
この場合、データプロバイドサーバPSV1〜PSVnのアクセス制御モジュール13は、上記判定結果(NG)に基づいて、市民Dによる市民Aの医療関健康連情報の読み書きを不許可とする。そして、情報取得リクエスト処理モジュール11に対し、情報取得を拒否する旨のNGレスポンスを図10に示すように返送する。このNGレスポンスは、データプロバイドサーバPSV1〜PSVnからサービス連携サーバSSVを介して要求元の利用者端末UTへ返送される。
【0087】
以上詳述したようにこの実施形態では、本人ユーザと他のユーザとの人間関係を表すユーザ関係情報をユーザ関係管理サーバMSVに記憶すると共に、このユーザ関係と関連付けて上記本人ユーザの医療健康関連情報の開示条件を設定したアクセス制御ルールをデータプロバイドサーバPSV1〜PSVnのアクセス制御ルールデータベース55に記憶しておく。そして、利用者端末UTから情報取得リクエストが送信された場合に、この情報取得リクエストに応じて取得要求元のユーザが本人ユーザとどのような関係にあるかをデータプロバイドサーバPSV1〜PSVnからユーザ関係管理サーバMSVに問い合わせ、その回答結果とアクセス制御ルールとに基づいて上記本人ユーザの医療健康関連情報の開示を許可するか否かを判定する。そして、許可された場合にのみ、上記本人ユーザの医療健康関連情報をアプリケーションデータベース19から読み出して要求元の利用者端末UTへ送信するようにしている。
【0088】
したがって、情報取得要求元のユーザが、本人ユーザとの人間関係が予め設定された関係にあり、かつアクセス制御ルールに規定された開示条件を満たす場合にのみ、情報取得要求元のユーザに対し本人ユーザの医療健康関連情報が開示される。このため、個人情報であるユーザの医療健康関連情報が無制限に開示される不具合を防止した上で、例えば家族やかかりつけの医師といった特定の関係にあるユーザに対しては医療健康関連情報を開示してアドバイス等を受けることが可能となる。
【0089】
またこの実施形態では、ユーザ関係情報に、対象ユーザとの関係を表す情報として「アクセス制御ルール設定代行」を定義すると共に設定代行者としてのユーザIDを登録している。また、対象ユーザのアクセス制御ルールリストに対して設定代行ルールを設定し、この設定代行ルールにアクセス制御ルールの設定代行が可能なユーザ関係を登録している。そして、利用者端末UTからアクセス制御ルールの登録、変更又は削除の要求が送信された場合に、この要求に応じて要求元のユーザに対象ユーザのアクセス制御ルールの設定代行権限があるか否かを、上記ユーザ関係情報と設定代行ルールに基づいて判定する。そして、設定代行権限があると判定された場合にのみ、対象ユーザのアクセス制御ルールの登録、変更又は削除処理を実行するようにしている。
【0090】
したがって、対象ユーザのアクセス制御ルールリストに対し設定された設定代行ルールに設定代行が可能なユーザ関係が登録され、かつアクセス制御ルールの登録、変更又は削除を要求したユーザが、対象ユーザのユーザ関係情報に設定代行が可能なユーザとして登録されている場合にのみ、対象ユーザのアクセス制御ルールの登録、変更又は削除が許可される。このため、アクセス制御ルールの登録、変更又は削除を第三者が無制限に行えないようにした上で、幼児や子供、高齢者等のようにアクセス制御ルールを自力で行うことが不可能なユーザや、コンピュータの取り扱いに不慣れな一般ユーザについて、そのアクセス制御ルールの登録、変更又は削除を第三者が代行して行うことが可能となる。
【0091】
なお、この発明は上記実施形態に限定されるものではない。例えば、前記実施形態ではユーザ関係管理サーバMSVを独立して設けたが、このユーザ関係管理サーバMSVの機能を図10に示すように認証サーバASVbに備えるようにしてもよい。このようにすると、利用者端末UTはシステムにログインした際に、認証サーバASVbにおいてログイン元ユーザの認証処理と当該ユーザに対するユーザ関係情報の送信を同時に行うことが可能となる。また、データプロバイドサーバPSV1〜PSVnがアクセスの許否を判定する際にユーザ関係情報を参照しようとした場合に、認証サーバへの認証確認要求と同時にユーザ関係情報を取得することが可能となる。
【0092】
また、前記実施形態ではアクセス制御ルールとその設定代行ルールを共にアクセス制御ルールデータベース18に記憶し管理するようにしたが、異なるデータベースに記憶して別々に管理するように構成してもよい。
その他、データプロバイドサーバ、サービス連携サーバ、ユーザ登録サーバ、認証サーバ、ユーザ関係管理サーバの構成やこれらのサーバを使用した一連のアクセス制御手順等についても、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。
【0093】
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【符号の説明】
【0094】
UT…利用者端末UT、PSV1〜PSVn…データプロバイドサーバPSV1〜PSVn、ASVa…認証サーバASVa、ASVb…ユーザ関係管理機能付きの認証サーバASVa、SSV…サービス連携サーバSSV、RSV…ユーザ登録サーバRSV、MSV…ユーザ関係管理サーバMSV、NW…ネットワーク、10,31…アプリケーション処理モジュール、11…情報取得リクエスト処理モジュール11、12…アクセス制御ルール管理モジュール12、13…アクセス制御モジュール13、14,22,35,52…連携処理モジュール、15,23,36,42,54…ユーザ設定処理モジュール、16,24,37,43,56…ユーザデータベース、17,25,38,57…連携用IDデータベース、18…アクセス制御ルールデータベース、19…アプリケーションデータベース、21…認証処理モジュール21、26…ディレクトリデータベース、32…関係検索モジュール32、33…アクセス制御ルール設定管理要求モジュール33、34…情報取得リクエストモジュール34、41…利用者操作処理モジュール、51…ユーザ関係管理モジュール、53…組織・ロール管理モジュール53、55…ユーザ関係データベース、58…組織データベース、59…ロールデータベース、60…関係名データベース。
【技術分野】
【0001】
この発明は、例えば医療機関や保健関連機関、自治体等が保有するデータベースに散在して保存されているユーザ情報を、本人もしくは本人が許可した第三者に対し提供するサービスを実現するための情報アクセス制御システムとそのサーバ装置、情報アクセス制御方法、アクセス制御ルール設定制御方法に関する。
【背景技術】
【0002】
近年、複数の医療機関・保健関連機関・自治体等が保有する医療や健康に係る情報を、通信ネットワークを介し、相互接続・共有することで統合的医療サービス・健康サービスを目指すEHR(Electronic Health Record)システムが提案されている。
EHRにおいては、個人のプライバシーに関わる医療及び健康関連情報を扱う。プライバシーに関わる情報は、その扱いのミスが個人にとって大きな損害につながる場合があり、その流通と開示は必要最小限度にとどめる必要がある。そのため、従来型の個人情報を扱うシステムにおいては認証技術により本人確認を行い、本人に係る情報は本人のみが参照することを基本としていた(例えば、非特許文献1を参照。)。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】医療の情報化、EHRは何をもたらしたか −地域の役割と情報の自己管理−インターネット<URL : http://e-public.nttdata.co.jp/f/repo/602_j0902/j0902.aspx>
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところが、医療健康関連の情報を本人しか閲覧できない状況では、その医療健康関連情報を活用することは困難であり、現代日本で目指されている地域に根ざした統合的医療サービスといったものの実現は難しい。例えば、医師に自身の情報を十分に閲覧してもらい、診断及び指導を受けるなど、他者に情報を閲覧してもらった上でその閲覧者から有益な情報を得ることができない。本人の医療健康関連の情報を活用するためには、情報開示したい相手には、簡単にそして過ちなく開示できるしくみが必要である。
【0005】
そこで本発明者等は、ユーザごとにその医療健康関連情報の開示条件を規定したアクセス制御ルールを設定し、第三者から情報の取得要求が送られた場合に上記アクセス制御ルールに基づいて情報開示の可否を判定するシステムを提案している。しかしながら、このようなシステムを実際に運用しようとする場合、アクセス制御ルールの設定操作にはある程度の熟練が要求されるため、乳幼児や高齢者が自ら設定することは実際上不可能であり、また一般的な成人ユーザであってもコンピュータの取り扱いに不慣れな場合には自身でアクセス制御ルールを設定することは難しく、また誤設定等が発生することも考えられる。
【0006】
この発明は上記事情に着目してなされたもので、その目的とするところは、ユーザの個人情報を適切な相手にのみ開示できるようにし、しかもそのために使用するアクセス制御ルールを適切な第三者も設定できるようにした情報アクセス制御システムとそのサーバ装置、情報アクセス制御方法、アクセス制御ルール設定制御方法を提供することにある。
【課題を解決するための手段】
【0007】
上記目的を達成するためにこの発明の一つの観点は、データベースに記憶された第1のユーザの個人情報を、情報取得者としての第2のユーザが使用する端末から送信される情報取得要求に応じて検索し要求元の端末へ送信する情報アクセス制御システムにおいて、第1のユーザとその個人情報の取得権限が与えられた第2のユーザとの関係を表す第1のユーザ関係情報を管理する第1のユーザ関係管理手段と、上記第1のユーザ関係情報と関連付けて上記第1のユーザの個人情報の開示条件を設定したアクセス制御ルールを管理するアクセス制御ルール管理手段と、上記第1のユーザとそのアクセス制御ルールの設定代行権限を与えられた第3のユーザの識別情報と、上記第1のユーザと第3のユーザとの関係を表す情報を含む第2のユーザ関係情報を管理する第2のユーザ関係管理手段と、上記アクセス制御ルールに対し設定され、第1のユーザとそのアクセス制御ルールの設定代行が許可された第3のユーザとの関係を表す設定代行ルールを管理する設定代行ルール管理手段とを備える。
そして、上記端末から、第1及び第2のユーザの識別情報を含む情報取得要求が送られた場合に、この情報取得要求に含まれる第1及び第2の識別情報をもとに上記第1のユーザ関係管理手段及び上記アクセス制御ルール管理手段からそれぞれ該当するユーザの第1のユーザ関係情報及びアクセス制御ルールを読み出し、この読み出された第1のユーザ関係情報及びアクセス制御ルールに基づいて上記第2のユーザに対する上記第1のユーザの個人情報の開示の許否を判定する。そして、この判定の結果、情報開示が許可された場合に、上記第1のユーザの識別情報をもとに上記データベースから該当する個人情報を読み出して、取得要求元の端末へ送信する。
またそれと共に、上記端末から、第1及び第3のユーザの識別情報を含むアクセス制御ルール設定要求が送られた場合に、この設定要求に含まれる第1及び第3の識別情報をもとに上記第2のユーザ関係管理手段及び上記設定代行ルール管理手段からそれぞれ該当するユーザに係わる第2のユーザ関係情報及び設定代行ルールを読み出し、この読み出された上記第2のユーザ関係管理情報及び上記設定代行ルールに基づいて上記第1のユーザのアクセス制御ルールに対する上記第3のユーザの設定代行権限の有無を判定する。そして、設定代行権限があると判定された場合に、上記アクセス制御ルール設定要求の内容に基づいて上記第1のユーザのアクセス制御ルールに対する設定処理を行うように構成したものである。
【0008】
したがって、第1のユーザの個人情報を他のユーザに開示してもよいかどうかが、予め設定された当該第1のユーザとの人間関係を表す情報と、このユーザ関係と関連付けて開示条件を設定したアクセス制御ルールに基づいて判定される。このため、第1のユーザとの人間関係が予め設定された関係にあり、かつアクセス制御ルールに規定された開示条件を満たす第2のユーザに対してのみ、第1のユーザの個人情報は開示される。したがって、個人情報が無制限に開示される不具合を防止した上で、例えば家族やかかりつけの医師といった特定の関係にある第2のユーザに対しては個人情報を開示してアドバイス等を受けることが可能となる。また、一度特定の関係にあるユーザへの開示条件を設定しておくことで、同様の関係にあるユーザに対する開示条件の設定作業が簡易になる。また、一般ユーザにとってわかりやすく、ルールの設定を間違い難く、誤った情報の開示が起き難い。
【0009】
例えば、転居に伴いかかりつけの医師等が変更になった場合、この発明に係わる手段又は過程を具備していなければ、新たな医師のために誤りのない開示条件をアクセス制御ルールに設定することが必要となる。しかし、この発明によれば一度「かかりつけ」という人間関係に関する開示条件をアクセス制御ルールに設定しておけば、かかりつけの医師が追加又は変更された場合でも、当該ユーザのユーザ関係情報に「かかりつけ」として新たな医師ユーザを追加するだけで設定を完了することができ、上記新たな医師ユーザに対する開示条件をアクセス制御ルールに個別かつ詳細に設定する必要がない。さらに、一度「家族」という人間関係に関する開示条件をアクセス制御ルールに設定しておけば、例えば結婚によって家族が増えても、当該ユーザとの人間関係情報に「家族」としてこの新しい家族ユーザを追加するだけでよく、上記新たな家族ユーザに対する開示条件をアクセス制御ルールに個別かつ詳細に設定しなくてもよい。
【0010】
さらに、対象ユーザのアクセス制御ルールに対し設定された設定代行ルールに設定代行が可能なユーザ関係が登録され、かつアクセス制御ルールの設定を要求したユーザが、対象ユーザのユーザ関係情報に設定代行が可能なユーザとして登録されている場合にのみ、対象ユーザのアクセス制御ルールの設定が許可される。このため、アクセス制御ルールの設定を第三者が無制限に行えないようにした上で、幼児や子供、高齢者等のようにアクセス制御ルールを自力で行うことが不可能なユーザや、コンピュータの取り扱いに不慣れな一般ユーザについて、そのアクセス制御ルールの設定を第三者が代行して行うことが可能となる。
【0011】
また、この発明の一観点は以下のような態様を備えることを特徴とする。
第1の態様は、第3のユーザが使用する端末が、アクセス制御ルール設定要求の送信に先立ち自己のユーザ関係情報の取得要求を送信した場合に、ユーザ関係管理サーバ装置が当該取得要求に応じて上記第2のユーザ関係管理手段により管理されている該当するユーザ関係情報を読み出して、この読み出した情報を要求元の端末へ返送するものである。
【0012】
第2の態様は、ユーザ関係管理サーバ装置が、アクセス制御ルールを構成する複数のデータ項目のうちの少なくとも一つのデータ項目についてその設定候補となる情報を記憶するデータ項目データベースを備えている場合に、第3のユーザが使用する端末が、上記アクセス制御ルール設定要求の送信に先立ち、上記データ項目の設定候補の取得要求を送信した場合に、ユーザ関係管理サーバ装置が当該取得要求に応じて上記データ項目データベースから設定候補となる情報を読み出して、この読み出した情報を要求元の端末へ返送するものである。
このようにすると、第3のユーザは、ユーザ関係管理サーバ装置のデータ項目データベースから取得した設定候補となる情報を参照して、アクセス制御ルールを簡単に編集することが可能となる。
【0013】
第3の態様は、第3のユーザの設定代行権限の有無を判定する際に、先ず設定代行ルールデータベースに記憶された設定代行ルールをもとに、設定代行が可能なユーザ関係が登録されているか否かを判定する。そして、この判定の結果、設定代行が可能なユーザ関係が登録されていると判定された場合に、ユーザ関係管理サーバ装置に対し該当ユーザに関する第2のユーザ関係情報の取得要求を送信して当該ユーザ関係管理サーバ装置から該当する第2のユーザ関係情報を取得する。そして、この取得された第2のユーザ関係情報に第3のユーザが設定代行者として登録されているか否かを判定し、この判定結果より第3のユーザの設定代行権限の有無を判定するものである。
このようにすると、設定代行ルールに設定代行が可能なユーザ関係が登録されている場合にのみ、ユーザ関係管理サーバ装置からユーザ関係情報を取得する手順が実行されることになる。このため、設定代行ルールに設定代行が可能なユーザ関係が登録されていない場合には、ユーザ関係管理サーバ装置からユーザ関係情報を取得する手順は実行されないことになり、これによりデータプロバイドサーバ装置及びユーザ関係管理サーバ装置の処理負荷を軽減し、かつネットワークのトラフィックの増加を抑制することができる。
【発明の効果】
【0014】
すなわちこの発明によれば、ユーザの個人情報を適切な相手にのみ開示できるようにし、しかもそのために使用するアクセス制御ルールを適切な第三者も設定できるようにした情報アクセス制御システムとそのサーバ装置、情報アクセス制御方法、アクセス制御ルール設定制御方法を提供することができる。
【図面の簡単な説明】
【0015】
【図1】この発明の一実施形態に係わる情報アクセス制御システムの機能構成を示すブロック図である。
【図2】図1に示したシステムにおけるユーザ関係登録処理シーケンスを示す図である。
【図3】図2に示したユーザ関係登録処理シーケンスにより登録されるユーザ関係情報の一例を示す図である。
【図4】図2に示したユーザ関係登録処理シーケンスにより登録されるユーザ関係情報の他の例を示す図である。
【図5】図1に示したシステムにおいて代行者によるアクセス制御ルールの登録制御シーケンスを示す図である。
【図6】図1に示したシステムにおける代行者によるアクセス制御ルールの更新・削除制御シーケンスを示す図である。
【図7】図5に示したアクセス制御ルール登録制御シーケンスにより登録されるアクセス制御ルールリストの一例を示す図である。
【図8】アクセス制御ルールの設定代行情報を含むアクセス制御ルールリストの一例を示す図である。
【図9】図1に示したシステムの情報取得処理シーケンスにおいて情報取得を行えた場合を示す図である。
【図10】図1に示したシステムの情報取得処理シーケンスにおいて情報取得を行えない場合を示す図である。
【図11】この発明の他の実施形態に係わる情報アクセス制御システムの機能構成を示すブロック図である。
【発明を実施するための形態】
【0016】
以下、図面を参照してこの発明に係わる実施形態を説明する。
この発明の一実施形態に係わる情報アクセス制御システムの全体構成を示す機能ブロック図である。
この一実施形態に係わる情報アクセス制御システムは、医療機関や保健関連機関、運動関連施設等がそれぞれ運用する複数のデータプロバイドサーバPSV1〜PSVnと、複数のサービス連携サーバSSVと、認証サーバASVaと、ユーザ登録サーバRSVと、ユーザ関係管理サーバMSVとを備え、これらのサーバ間及びこれらのサーバと利用者端末UTとの間をネットワークNWを介して接続可能としたものである。
【0017】
ネットワークNWは、例えばインターネットに代表されるIP網と、このIP網に対しアクセスするための複数のアクセス網とから構成される。アクセス網としては例えばLAN(Local Area Network)、無線LAN、携帯電話網、有線電話網、CATV(Cable Television)網が用いられる。
【0018】
利用者端末UTには、患者等の一般ユーザが自宅等において使用する一般ユーザ用の端末と、医師や保健師、薬剤師等が患者の依頼を受けて患者の医療情報等を取得するために、さらにはアクセス制御ルールを代行設定するために使用する業務用の端末と、ユーザ登録サーバRSVに設けられるオペレータ用のコンソール端末が含まれる。
【0019】
データプロバイドサーバPSV1〜PSVnは、中央制御ユニット(Central Control Unit;CPU)に、バスを介してプログラムメモリと、各種データベースを保存するためのデータメモリと、通信インタフェースを接続したもので、その機能モジュールとして、アプリケーション処理モジュール10と、情報取得リクエスト処理モジュール11と、アクセス制御ルール管理モジュール12と、アクセス制御モジュール13と、連携処理モジュール14と、ユーザ設定処理モジュール15とを備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0020】
データベースとしては、ユーザデータベース16と、連携用IDデータベース17と、アクセス制御ルールデータベース18と、アプリケーションデータベース19を備えている。ユーザデータベース16には、各ユーザを識別し管理するためのユーザ情報が記憶される。ユーザ情報は、ユーザの識別情報(ID)、ユーザ基本情報およびユーザ属性等からなる。アプリケーションデータベース19には、各ユーザの個人情報、例えば保健指導情報や健康診断情報等の医療健康関連情報が上記ユーザIDに対応付けられて格納される。
【0021】
連携用IDデータベース17には、ユーザ登録サーバRSVから登録を要求されたID連携情報が記憶される。ID連携情報は、他サーバから自サーバのあるユーザの個人データにアクセスするための情報である。
アクセス制御ルールデータベース18には、アプリケーションデータベース19に格納されているユーザの医療健康関連情報(個人情報)について、当該情報をどのような条件のもとでアクセスを許可するかを設定するためのアクセス制御ルールを表す情報が記憶される。図7にこのアクセス制御ルールのリスト例を示す。
【0022】
アクセス制御ルールには、個人情報の開示条件を表す複数のルール項目が記載されている。このルール項目は、例えば医療健康関連情報のオーナを示すデータ所有ユーザ(ユーザID等で管理される)と、アクセス制御対象とするデータ項目(「対象データ−項目」)と、何時から何時までの期間に登録されたデータをアクセス制御対象とするかを示す情報である「対象データ−期間」と、誰をアクセス制限又は許可の対象とするかを示す「対象ユーザ」と、どの組織をアクセス制限又は許可の対象とするかを示す「対象ユーザ−所属組織」と、どのような資格を持った者をアクセス制限又は許可の対象とするかを示す「対象ユーザ−ロール」と、情報所有者とどのような人間関係にある者を個人情報又はアクセス制御ルールに対するアクセス制限又は許可の対象とするかを示す「対象ユーザ−関係」とから構成される。「対象データ−項目」としては、例えば、病名、投薬名、体重、アレルギー情報がある。
【0023】
また、アクセス制御ルールには、上記各ルール項目に加え、上記アプリケーションデータベース19に格納されているユーザの医療健康関連情報の読み取りの可否を表す項目と、当該医療健康関連情報の書き込みの可否を表す項目が記載されている。
なお、例えばアクセス制御対象とするユーザがICカードとパスワードで認証された際にのみアクセスを許可するといったように、アクセスを許可する認証手段を限定する項目(「対象ユーザ−認証手段」)を含ませることも可能である。また、このアクセス制御ルール自体の有効期間を示す「ルール有効期間」項目を含ませ、これにより特定の期間にのみ情報を開示/非開示とすることも可能とする。
【0024】
またアクセス制御ルールデータベース18には、アクセス制御ルールに対する設定代行ルールのリストも記憶される。この設定代行ルールのリストは、アクセス制御ルールデータベース18に記憶されたアクセス制御ルールを第三者が編集しようとするとき、つまり第三者がアクセス制御ルールの設定を代行しようとするときの条件を定義するものである。図8はこのアクセス制御ルールに対する設定代行ルールのリストの一例を示したもので、「対象データ項目」に設定代行ルールであることを示す“ACL”が記載され、また「対象ユーザ−関係」には「家族」、「アクセス制御ルール設定代行」といった、対象ユーザとの関係を表す情報が記載される。このように市民Aの各アクセス制御ルールに対する設定代行ルール1、2をさらに設定することで、例えば図7に示した市民Aについての各アクセス制御ルール1〜5に対しては、市民Aとの関係が「家族」又は「アクセス制御ルール設定代行」に該当する第三者に限り編集等の設定代行が許可される。
【0025】
ユーザ設定処理モジュール15は、ユーザ登録サーバRSVからの要求に応じて、自らの連携用IDデータベース17及びユーザデータベース16の検索、連携用IDデータベース17へのID連携情報の登録又は削除、ユーザデータベース16へのユーザ情報の登録又は削除を行い、その結果をユーザ登録サーバRSVに応答するものである。
【0026】
連携処理モジュール14は、認証サーバASVaから認証情報を取得し、連携用IDデータベース17に格納されたID連係情報を用いて他のデータプロバイドサーバPSV1〜PSVnとの間で属性交換(個人データの流通)を行う。この属性交換の処理は、SAML(Security Assertion Markup Language)におけるSP等の機能を有する認証連携部や、ID-WSF(Identity Web Service Framework)におけるWSC(Web Service Consumer)等の機能を使用して行われる。なお、SAMLおよびID−WSFは、Liberty Allianceが定めているWebサービスのための仕様である。
【0027】
アクセス制御ルール管理モジュール12は、上記アクセス制御ルールデータベース18に対するアクセス制御ルールの登録、更新又は削除処理を行う。
アクセス制御モジュール13は、サービス連携サーバSSVから送信された情報取得リクエストを情報取得リクエスト処理モジュール11が受信した場合に、この受信された情報取得リクエストに基づいて、リクエスト対象となっている情報に関連付けられているアクセス制御ルールと、後述するユーザ関係管理サーバMSVで管理されているユーザ関係情報を参照し、当該情報の読み取り可否及び書き込み可否を判定する。そして、アクセス可と判定された場合には、アプリケーション処理モジュール10に対し情報取得リクエストを転送し、リクエスト対象である医療関連情報を読み出す処理を行う。
【0028】
またアクセス制御モジュール13は、サービス連携サーバSSVから送信された、アクセス制御ルールの登録、更新又は削除を要求するリクエストを受信した場合に、この受信されたリクエストに基づいて、アクセス制御ルールデータベース18に記憶されている設定代行ルールリストと、後述するユーザ関係管理サーバMSVで管理されているユーザ関係情報を参照し、アクセス制御ルールの読み取り可否及び書き込み可否を判定する。そして、アクセス可と判定された場合には、アクセス制御ルール管理モジュール12に対し情報取得リクエストを転送し、該当するアクセス制御ルールの登録、更新又は削除処理を行う。
【0029】
アプリケーション処理モジュール10は、ユーザの個人情報、例えば保健指導情報や健康診断情報等の医療健康関連情報に基づいて、当該ユーザに対し保健指導を行うようなアプリケーション機能を備える。このアプリケーション機能は、データプロバイドサーバPSV1〜PSVn内の上記各機能モジュールを利用することができ、それ以外の部分は自由に作成できるものである。
【0030】
認証サーバASVaは、上記データプロバイドサーバPSV1〜PSVnと同様に、CPUに対しバスを介してプログラムメモリと、データベースを記憶するデータメモリと、通信インタフェースを接続したもので、その機能モジュールとして認証処理モジュール21と、連携処理モジュール22と、ユーザ設定処理モジュール23を備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0031】
また、データベースとして、ユーザデータベース24と、連携用IDデータベース25と、ディレクトリデータベース26を備えている。ユーザデータベース24には、各ユーザを識別し管理するためのユーザ情報が記憶される。連携用IDデータベース25には、ユーザ登録サーバRSVから登録を要求されたID連携情報が記憶される。このID連携情報は、それぞれのユーザに対してサーバごとに設定される。ディレクトリデータベース26には、個人情報の所在、つまりどのサーバがどの医療健康関連情報を保持しているかを表すディレクトリデータが記憶される。
【0032】
ユーザ設定処理モジュール23は、ユーザ登録サーバRSVからの要求に応じて自らのID連携データベース25及びユーザデータベース24の検索、連携用IDデータベース25へのID連携情報の登録又は削除、ユーザデータベース24へのユーザ情報の登録又は削除を行い、その結果をユーザ登録サーバRSVに対し応答する処理を行う。
【0033】
連携処理モジュール22は、ユーザデータベース24、連携用IDデータベース25及びディレクトリデータベース26を用いて、データプロバイドサーバPSV1〜PSVnに対し、認証情報の提供及びディレクトリサービスの提供を行う。これらの処理のために連携処理モジュール22は、ID−WSFにおけるSP(Service Provider)機能を有すると共に、SAMLにおけるIDP(Identity Provider)の機能を有する。
【0034】
認証処理モジュール21は、ユーザに対する認証処理を行うものであり、利用者端末UTにおいてユーザが入力したユーザ情報をもとにユーザデータベース24を参照し、当該ユーザの正当性を認証する。認証方式としては、ID/パスワード認証、ICカード認証、公開鍵暗号基盤認証、多要素認証等の様々な認証方式を用いることができる。
【0035】
サービス連携サーバSSVは、上記認証サーバASVaと同様に、CPUにバスを介してプログラムメモリと、データベースを記憶するデータメモリと、通信インタフェースを接続したもので、その機能モジュールとしてアプリケーション処理モジュール31と、関係検索モジュール32と、アクセス制御ルール設定管理要求モジュール33と、情報取得リクエストモジュール34と、連携処理等モジュール35と、ユーザ設定処理モジュール36を備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0036】
またデータベースとしては、ユーザデータベース37と、連携用IDデータベース38を備えている。ユーザデータベース37には、各ユーザを識別し管理するためのユーザ情報が記憶される。連携用IDデータベース38には、ユーザ登録サーバRSVから登録を要求されてID連携情報が記憶される。
【0037】
ユーザ設定処理モジュール36は、ユーザ登録サーバRSVからの検索要求に応じて、自らのユーザデータベース37及び連携用IDデータベース38の検索、連携用IDデータベース38へのID連携情報の登録又は削除、ユーザデータベース37へのユーザ情報の登録又は削除を行い、その検索結果をユーザ登録サーバRSVに対し応答する処理を行う。
【0038】
連携処理モジュール35は、認証サーバASVaから認証情報を取得し、連携用IDデータベース38を用いて、データプロバイドサーバPSV1〜PSVnや他のサービス連携サーバSSV等との間で属性交換を行うものであり、この属性交換処理のためにSAMLにおけるSPの機能を有する。また、ID−WSFにおけるWSCの機能を有する。
関係検索モジュール32は、利用者端末UTから送信された情報取得リクエストが受信された場合に、情報取得対象となるユーザのリストを提示する際に機能するもので、要求元のユーザと関係性を持つユーザを検索する処理を行う。
【0039】
情報取得リクエストモジュール34は、ユーザデータベース37に記憶されたユーザ情報を用いて、データプロバイドサーバPSV1〜PSVnに対しアクセス制御ルール情報、及びユーザ個人の医療健康関連情報の収集を要求する。
アクセス制御ルール設定管理要求モジュール33は、利用者端末UTから送られるアクセス制御ルール設定リクエストに応じて、データプロバイドサーバPSV1〜PSVnに対し、アクセス制御ルールデータベース18へのアクセス制御ルール情報の追加、更新または削除を要求する。
アプリケーション処理モジュール31は、利用者端末UTから送信される要求に応じて、要求元のユーザに関する様々な医療健康関連情報の一覧サービスを行うためのアプリケーション等を備える。
【0040】
ユーザ登録サーバRSVも、上記認証サーバASVa等と同様に、CPUにバスを介してプログラムメモリと、データベースを記憶するデータメモリと、通信インタフェースを接続したもので、その機能モジュールとして、利用者操作処理モジュール41及びユーザ設定処理モジュール42を備えている。またデータベースとしては、ユーザデータベース43を備えている。このユーザデータベース43には、各ユーザのユーザ情報が記憶される。なお、上記各機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0041】
ユーザ設定処理モジュール42は、ユーザ又はオペレータからの操作に応じて自らのユーザデータベース43に記憶されたユーザ情報を更新すると共に、認証サーバASVa、データプロバイドサーバPSV1〜PSVn及びサービス連携サーバSSVに対してユーザの登録、更新又は削除を要求する。また、ユーザIDと、認証サーバASVa、データプロバイドサーバPSV1〜PSVn、サービス連携サーバSSVがそれぞれ独自に管理するユーザIDとの間の関連付けと、その解除処理を行う。また、データプロバイドサーバPSV1〜PSVnを利用可能又は利用不可能にするために、認証サーバASVaに対してサービス関連情報の登録又は解除を要求する。認証サーバASVa、データプロバイドサーバPSV1〜PSVn及びサービス連携サーバSSVがそれぞれ独自に使用する匿名ID(SAML等)をシステム共通のユーザIDに、又はシステム共通のユーザIDからそれぞれの匿名IDに変換する機能も持つ。また、各サーバに対し、指定された条件でのユーザ検索機能も持つ。
【0042】
ユーザ関係管理サーバMSVも、上記認証サーバASVa等と同様に、CPUにバスを介してプログラムメモリと、データベースを記憶するデータメモリと、通信インタフェースを接続したもので、その機能モジュールとして、ユーザ関係管理モジュール51と、連携処理モジュール52と、組織・ロール管理モジュール53と、ユーザ設定処理モジュール54を備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0043】
また、データベースとして、ユーザ関係データベース55と、ユーザデータベース56と、連携用IDデータベース57と、組織データベース58と、ロールデータベース59と、関係名データベース60を備えている。ユーザデータベース56には、各ユーザを識別し管理するためのユーザ情報が記憶される。連携用IDデータベース57には、ユーザ登録サーバRSVから登録を要求されてID連携情報が記憶される。
【0044】
関係名データベース60には、ユーザと当該ユーザが自己の個人情報の取得を許可した情報取得ユーザとの人間関係を表す具体名が記憶される。人間関係を表す具体名としては、例えば「家族」や「かかりつけ」、「職場同僚」、「友人」等がある。ロールデータベース59には、情報取得要求者となるユーザのロール情報が記憶される。ロール情報には、例えばISOによって協議されているhcRole(health care Role)のように保健医療福祉分野の国家資格等によって識別される役割である、「医師」や「保健師」、「看護師」、「理学療法士」といった役割名が用いられる。組織データベース58には、情報取得要求者となるユーザが所属する組織名が記憶される。組織名としては、例えば「A診療所」、「B市民病院」、「Cフィットネスクラブ」等がある。
【0045】
ユーザ関係データベース55には、ユーザと当該ユーザが自己の個人情報の閲覧等を許可した第三者ユーザとの人間関係を表すユーザ関係情報が記憶される。図3及び図4はこのユーザ関係データベース55に記憶されるユーザ関係情報の一例を示すものである。すなわち、図3は市民Bのユーザ関係情報を示しており、市民Bとこのシステム上で人間関係が作られているユーザは市民Aであり、その関係が「家族」であることを示している。また図4は、市民Aのユーザ関係情報を示しており、市民Aと人間関係が作られているユーザとして、市民B、市民C、X病院x医師、Y病院y医師、Y病院z保健師がいることを示している。またx医師、y医師、z保健師はいずれも、市民Aの「かかりつけ」という関係として登録されていることを示している。
【0046】
さらにユーザ関係情報には、「アクセス制御ルール設定代行」という関係が定義され、この関係に対応付けて、設定代行を許可したユーザが設定される。例えば、図3のユーザ関係情報では「アクセス制御ルール設定代行」として市民Pが、また図4のユーザ関係情報では「アクセス制御ルール設定代行」として市民Qがそれぞれ設定されている。
【0047】
組織・ロール管理モジュール53は、上記組織データベース58、ロールデータベース59及び関係名データベース60にそれぞれ記憶された組織、ロール及び関係名を管理するもので、これらの情報の登録、更新又は削除を実行する機能を持つ。
ユーザ設定処理モジュール54は、ユーザ登録サーバRSVから送信された要求に応じて、自らの連携用IDデータベース57及びユーザデータベース56の検索、連携用IDデータベース57へのID連携情報の登録又は削除、ユーザ情報の登録又は削除を行い、その結果をユーザ登録サーバRSVに対し応答する。
【0048】
ユーザ関係管理モジュール51は、サービス連携サーバSSV及びデータプロバイドサーバPSV1〜PSVnからユーザ関係情報の検索リクエストが送られた場合に、このリクエストにより指定されたユーザのユーザ関係情報をユーザ関係データベース55から読み出す。そして、この読み出したユーザ関係情報を要求元のサーバへ返送する。
【0049】
次に、以上のように構成されたシステムの動作を説明する。
(1)ユーザ関係情報の登録
先ず、ユーザ関係情報の登録処理は以下のように行われる。図2はその処理手順と処理内容を示すシーケンス図である。
すなわち、利用者端末UTにおいてシステムにログオンした状態で、ユーザ本人又はシステムオペレータが自身又は設定を依託されたユーザのユーザ関係情報の追加、削除又は更新を要求する操作を行ったとする。そうすると、この操作に応じてユーザ関係情報の追加、削除又は更新を要求するためのリクエストが、利用者端末UTからサービス連携サーバSSVへ送信される。サービス連携サーバSSVは上記リクエストを受信すると、アプリケーション処理モジュール31の制御の下で、上記リクエストをユーザ関係管理サーバMSVへ転送する。
【0050】
ユーザ関係管理サーバMSVは、上記リクエストを受信すると、ユーザ関係管理モジュール51の制御の下で、上記リクエストの内容に従いユーザ関係データベース55に対しユーザ関係情報を新規登録するか、又は登録済みのユーザ関係情報の更新又は削除を行う。そして、その実行結果(OKまたはNG)を表すレスポンスを返送する。このレスポンスは、ユーザ関係管理サーバMSVからサービス連携サーバSSVに送られ、このサービス連携サーバSSVから要求元の利用者端末UTへ転送される。
【0051】
かくして、ユーザ関係管理サーバMSVのユーザ関係データベース55には、要求元のユーザが市民Bであれば、例えば図3に示したようなユーザ関係情報が登録される。また要求元のユーザが市民Aであれば、例えば図4に示したようなユーザ関係情報が登録される。
【0052】
(2)第三者によるアクセス制御ルールの登録
次に、第三者によるアクセス制御ルールの登録処理は以下のように行われる。ここでは、市民Aのアクセス制御ルールを、その家族である市民Bが登録する場合を例にとって説明する。図5はその処理手順と処理内容を示すシーケンス図である。
【0053】
すなわち、利用者端末UTにおいてシステムにログオンした状態で、市民Bが先ずシステム上で自身と何らかの関係を持つ他のユーザに関する情報を閲覧するための操作を行ったとする。そうすると、利用者端末UTでは関係ユーザの検索要求が生成され、この検索要求がサービス連携サーバSSVへ送られる。サービス連携サーバSSVは上記関係ユーザの検索要求を受信すると、アプリケーション処理モジュール31の制御の下で、この検索要求をユーザ関係管理サーバMSVへ転送する。ユーザ関係管理サーバMSVは、上記関係ユーザの検索要求を受信すると、ユーザ関係管理モジュール51の制御の下で、上記受信された検索要求に含まれる要求元ユーザのIDをキーにしてユーザ関係データベース55から対応するユーザ関係情報を読み出す。そして、この読み出されたユーザ関係情報を返送する。このユーザ関係情報はサービス連携サーバSSVを介して要求元の利用者端末UTへ転送され、ディスプレイに表示される。
【0054】
この状態で市民Bが、上記表示されたユーザ関係情報を参照して、自身がこれからアクセス制御ルールの設定を代行するユーザを選択すると、アクセス制御ルールの検索・選択リクエストがサービス連携サーバSSVへ送信される。このとき、アクセス制御ルールの検索・選択リクエストとしては、検索・選択を要求する対象に応じて、組織の検索・選択リクエスト、ロールの検索・選択リクエスト及び関係名の検索・選択リクエストのいずれかが送信される。サービス連携サーバSSVは、上記検索・選択リクエストを受信すると、アクセス制御ルール設定管理要求モジュール33の制御の下で、上記検索・選択リクエストをユーザ関係管理サーバMSVへ転送する。
【0055】
ユーザ関係管理サーバMSVは、上記アクセス制御ルールの検索・選択リクエストを受信すると、組織・ロール管理モジュール53の制御の下で、組織データベース58、ロールデータベース59又は関係名データベース60からそれぞれ、アクセス制御ルールを編集する際にその項目に記載する候補となる組織名、ロール名又は関係名を表す情報を読み出す。そして、この読み出した組織名、ロール名又は関係名を表す情報をサービス連携サーバSSVへ返送する。この組織名、ロール名又は関係名を表す情報は、サービス連携サーバSSVを介して要求元の利用者端末UTへ送られ、ディスプレイに表示される。
【0056】
この状態でユーザは、利用者端末UTにおいて、上記表示された組織名、ロール名又は関係名の候補の中から所望のものを選択してアクセス制御ルール中の対応する項目に挿入する。なお、「対象データ−期間」、「対象ユーザ−認証手段」、「ルール有効期間」、「読み取り可否」及び「書き込み可否」等の、アクセス制御ルールを構成するその他の項目については、ユーザがデータを手操作で入力することで挿入する。かくしてアクセス制御ルールの編集が行われる。
【0057】
上記アクセス制御ルールの編集が終了し、ユーザが送信操作を行ったとする。そうすると、利用者端末UTからサービス連携サーバSSVへ、上記編集により作成された新たなアクセス制御ルールの登録リクエストが送信される。サービス連携サーバSSVは、上記登録リクエストを受信すると、アクセス制御ルール設定管理要求モジュール33の制御の下で、上記アクセス制御ルールの登録リクエストをデータプロバイドサーバPSV1〜PSVnへ転送する。
【0058】
データプロバイドサーバPSV1〜PSVnは、上記アクセス制御ルールの登録リクエストを受信すると、アクセス制御モジュール13の制御の下で、上記登録リクエストの送信元のユーザ(市民B)が市民Aに対するアクセス制御ルールの登録権限を有しているか否かを以下のようにして判定する。
【0059】
すなわち、先ずアクセス制御ルールデータベース18に記憶された市民Aの設定代行ルールリストを参照し、この設定代行ルールリストに設定代行が許可されるユーザ関係が登録されているか否かを判定する。そして、設定代行が許可されるユーザ関係が登録されている場合に、ユーザ関係管理サーバMSVに対し登録要求元ユーザ(市民B)又は対象ユーザ(市民A)のユーザ関係情報の確認要求を送信する。ユーザ関係管理サーバMSVは、上記確認要求を受信すると、ユーザ関係管理モジュール51の制御の下で、ユーザ関係データベース55から登録要求元ユーザ(市民B)又は対象ユーザ(市民A)のユーザ関係情報を読み出し、この読み出したユーザ関係情報をデータプロバイドサーバPSV1〜PSVnへ返送する。次に、上記受信したユーザ関係情報に、上記設定代行が許可されるユーザ関係に対応付けて市民Bが登録されているか否かを判定する。この判定の結果、登録されていれば、市民Bは市民Aに対するアクセス制御ルールの設定代行権限を有していると判断する。
【0060】
例えば、いま市民Aの設定代行ルールには、図8に示すようにルール1に「家族」が設定代行者として指定されている。このため、データプロバイドサーバPSV1〜PSVnとユーザ関係管理サーバMSVとの間で、ユーザ関係情報の取得手順が実行される。この取得されたユーザ関係情報には、図3又は図4に示すように市民Aが市民Bの家族として登録されている。したがって、この場合市民Bは市民Aのアクセス制御ルールの設定代行者であると判定される。
【0061】
上記のように市民Bが市民Aのアクセス制御ルールの設定代行者であることが確認されると、アクセス制御モジュール13は上記受信されたアクセス制御ルールの登録リクエストをアクセス制御ルール管理モジュール12に転送する。アクセス制御ルール管理モジュール12は、上記登録リクエストと共に送られたアクセス制御ルールを、登録先ユーザ(市民A)の新たなアクセス制御ルールとしてアクセス制御ルールデータベース18に格納する。そして、その処理結果(登録OKまたはNG情報)を表すレスポンスを返送する。このレスポンスは、データプロバイドサーバPSV1〜PSVnからサービス連携サーバSSVに送信され、このサービス連携サーバSSVから要求元の利用者端末UTへ転送される。
かくして、第三者の操作により、データプロバイドサーバPSV1〜PSVnのアクセス制御ルールデータベース18には、例えば図7に示したように新たなアクセス制御ルールが市民Aのリストに追加登録される。
【0062】
なお、以上の説明では、市民Aのアクセス制御ルールリストに、その家族として登録されている市民Bが新たなアクセス制御ルールを追加登録する場合を例にとって説明した。しかし、それに限らず、市民Aのアクセス制御ルールリストに、図3に示すようにアクセス制御ルールの設定代行者として登録されている市民Pが新たなアクセス制御ルールを追加登録する場合等にも、同様の手順により実施可能である。
【0063】
(3)第三者によるアクセス制御ルールの更新又は削除
上記アクセス制御ルールデータベース18に登録されたアクセス制御ルールを、第三者が変更又は削除する処理は以下のように行われる。なお、ここでも市民Aのアクセス制御ルールを、その家族である市民Bが変更又は削除する場合を例にとって説明する。図6はその処理手順と処理内容を示すシーケンス図である。
【0064】
すなわち、利用者端末UTにおいてシステムにログオンした状態で、市民Bが先ずシステム上で自身と何らかの関係を持つ他のユーザに関する情報を閲覧するための操作を行うと、利用者端末UTからサービス連携サーバSSVへ、関係ユーザの検索要求が送信される。サービス連携サーバSSVは上記関係ユーザの検索要求を受信すると、アプリケーション処理モジュール31の制御の下で、この検索要求をユーザ関係管理サーバMSVへ転送する。ユーザ関係管理サーバMSVは、上記関係ユーザの検索要求を受信すると、ユーザ関係管理モジュール51の制御の下で、上記受信された検索要求に含まれる要求元ユーザのIDをキーにしてユーザ関係データベース55から対応するユーザ関係情報を読み出す。そして、この読み出されたユーザ関係情報を返送する。このユーザ関係情報はサービス連携サーバSSVを介して要求元の利用者端末UTへ転送され、ディスプレイに表示される。
【0065】
この状態で市民Bが、上記表示されたユーザ関係情報を参照して、自身がこれからアクセス制御ルールの設定を代行するユーザを選択し、その上でアクセス制御ルールリストの閲覧を要求する操作を行うと、利用者端末UTからサービス連携サーバSSVへアクセス制御ルールリストの表示要求が送信される。サービス連携サーバSSVは、上記表示要求を受信すると、アクセス制御ルール設定管理要求モジュール33の制御の下で、上記表示要求をデータプロバイドサーバPSV1〜PSVnへ転送する。
【0066】
データプロバイドサーバPSV1〜PSVnは、上記表示要求を受信するとアクセス制御ルール管理モジュール12の制御の下で、上記表示要求に含まれる表示対象ユーザのIDをもとにアクセス制御ルールデータベース18から対応するアクセス制御ルールリストの一覧を読み出し、この読み出されたアクセス制御ルールリストの一覧を返送する。このアクセス制御ルールリストの一覧は、サービス連携サーバSSVを介して要求元の利用者端末UTへ転送され表示される。
【0067】
この状態で、市民Bが、表示されたアクセス制御ルールリストの一覧の中から変更又は削除対象のルールを選択し、変更又は削除操作を行ったとする。そうすると、利用者端末UTから当該選択したルールに対する変更又は削除を要求するリクエストがサービス連携サーバSSVへ送信される。サービス連携サーバSSVは、上記ルール変更又は削除のためのリクエストを受信すると、アクセス制御ルール設定管理要求モジュール33の制御の下で、上記ルール変更又は削除のためのリクエストをデータプロバイドサーバPSV1〜PSVnへ転送する。
【0068】
データプロバイドサーバPSV1〜PSVnは、上記ルール変更又は削除のためのリクエストを受信すると、アクセス制御モジュール13の制御の下で、上記ルール変更又は削除のためのリクエストの送信元となるユーザ(市民B)が市民Aのアクセス制御ルールに対する変更又は削除権限を有しているか否かを判定する。その判定手順は、先に(2)で述べたアクセス制御ルール登録時の手順と同様に、先ずアクセス制御ルールデータベース18に記憶された市民Aの設定代行ルールリストに、アクセス制御ルールの設定代行が可能なユーザ関係が登録されているか否かを判定し、登録されていると判定された場合にユーザ関係管理サーバMSVから登録要求元ユーザ(市民B)又は対象ユーザ(市民A)のユーザ関係情報を取得し、この取得した市民B又は市民Aのユーザ関係情報に、市民Bが市民Aに対するアクセス制御ルールの設定代行者として登録されているか否かを判定することによりなされる。
【0069】
上記判定手順により市民Bが市民Aのアクセス制御ルールの設定代行者であることが確認されると、次にデータプロバイドサーバPSV1〜PSVnは、アクセス制御ルール管理モジュール12の制御の下で、アクセス制御ルールデータベース18記憶されたアクセス制御ルールのうち、上記ルール変更又は削除のためのリクエストにより指定されたアクセス制御ルールの変更又は削除処理を行う。そして、その処理結果(変更又は削除OKまたはNG情報)を表すレスポンスを返送する。このレスポンスは、データプロバイドサーバPSV1〜PSVnからサービス連携サーバSSVに送信され、このサービス連携サーバSSVから要求元の利用者端末UTへ転送される。
かくして、第三者の操作により、データプロバイドサーバPSV1〜PSVnのアクセス制御ルールデータベース18に記憶されたアクセス制御ルールの変更又は削除が行われる。
【0070】
なお、以上の説明では、市民Aのアクセス制御ルールリストを、その家族として登録されている市民Bが変更又は削除する場合を例にとって説明したが、それに限らず市民Aのアクセス制御ルールリストに、図3に示すようにアクセス制御ルールの設定代行者として登録されている市民Pが変更又は削除する場合等にも、同様の手順により実施可能である。
【0071】
(4)ユーザの医療健康関係情報の取得(アクセスが許可された場合)
ここでは、データプロバイドユーザPSV1〜PSVnに格納された市民Aの医療健康関連情報を、当該市民Aのかかりつけ医師であるX病院の医師xが取得する場合を例にとって説明する。図9はその取得処理の手順と処理内容を示すシーケンス図である。
【0072】
利用者端末UTにおいて、医師xがシステムにログインすると、先ず利用者端末UTと認証サーバASVaとの間で医師xの認証手順が実行される。そして、この認証手順により医師xの正当性が確認され、当該医師xが自身のユーザ関係情報の取得操作を行うと、利用者端末UTからサービス連携サーバSSVへユーザ関係情報の取得リクエストが送信される。サービス連携サーバSSVは、上記ユーザ関係情報の取得リクエストを受信すると、先ず関係検索モジュール32の制御の下で、医師xのユーザ関係検索・指定リクエストを生成して、このリクエストをユーザ関係管理サーバMSVへ送信する。
【0073】
ユーザ関係管理サーバMSVは、上記ユーザ関係検索・指定リクエストを受信すると、ユーザ関係管理モジュール51の制御の下で、ユーザ関係データベース55から要求元の医師xと人間関係のあるユーザのリストであるユーザ関係情報を検索し、この検索したユーザ関係情報を要求元の利用者端末UTへ返送する。利用者端末UTでは、上記ユーザリストがディスプレイに表示される。
【0074】
この状態で、医師xが上記表示されたユーザ関係情報の中から情報取得対象のユーザとして市民Aを選択したとする。そうすると、この選択された市民AのユーザIDと情報取得者である医師xのユーザIDを含む情報取得リクエストが、利用者端末UTからサービス連携サーバSSVへ送信される。サービス連携サーバSSVは、上記情報取得リクエストを受信すると、情報取得リクエストモジュール34の制御の下で、上記情報取得リクエストをデータプロバイドサーバPSV1〜PSVnへ送信する。
【0075】
データプロバイドサーバPSV1〜PSVnは、上記情報取得リクエストを受信すると、先ず情報取得リクエスト処理モジュール11の制御の下で、上記受信された情報取得リクエストを、アクセス制御モジュール13が処理するために必要なデータ形式に変換した上で、この変換後の情報取得リクエストをアクセス制御モジュール13に転送する。
【0076】
アクセス制御モジュール13は、上記情報取得リクエストを受信すると、その送信元の医師xが市民Aの医療健康関連情報を取得する権限を有しているか否かを以下のようにして判定する。
すなわち、先ずユーザ関係管理サーバMSVに対し、市民Aのユーザ関係情報の確認要求を送信する。ユーザ関係管理サーバMSVは、上記確認要求を受信すると、ユーザ関係管理モジュール51の制御の下で、ユーザ関係データベース55から市民Aのユーザ関係情報を読み出し、このユーザ関係情報をデータプロバイドサーバPSV1〜PSVnへ返送する。
【0077】
次に、上記受信したユーザ関係情報と、アクセス制御ルールデータベース18に記憶された市民Aのアクセス制御ルールを参照し、医師xが市民Aの医療健康関連情報の取得権限を有しているか否かを判定する。例えば、いま市民Aのアクセス制御ルール2に図7に示すように対象ユーザとの関係として「かかりつけ」が設定されており、一方市民Aのユーザ関係情報に図4に示すように医師xが市民Aのかかりつけ医師として登録されていれば、医師xは市民Aの医療健康関連情報の取得権限を有すると判定される。
【0078】
そうして医師xが市民Aの医療健康関連情報の取得権限を有する者であることが確認されると、アクセス制御モジュール13は上記受信された市民Aの情報取得リクエストをアプリケーション処理モジュール10へ転送する。
アプリケーション処理モジュール10は、上記リクエストに従いアプリケーションデータベース19から市民Aの医療健康関係情報を選択的に読み出し、この読み出した市民Aの医療健康関係情報をアクセス制御モジュール13に転送する。アクセス制御モジュール13は、上記転送された市民Aの医療健康関係情報を情報取得リクエスト処理モジュール11に転送し、情報取得リクエスト処理モジュール11はこの市民Aの医療健康関係情報をレスポンスとして返送する。このレスポンスは、サービス連携サーバSSVを介して要求元の利用者端末UTへ伝送される。
かくして、市民Aのかかりつけ医である医師xは、自身の利用者端末UTにおいて市民Aの医療健康関連情報を閲覧することが可能となる。
【0079】
(5)ユーザの医療健康関連情報の取得(アクセスが許可されなかった場合)
ここでは、データプロバイドユーザPSV1〜PSVnに格納された市民Aの医療健康関連情報を、当該市民Aとは無関係の市民Dが閲覧しようとした場合を例にとって説明する。図10はその取得処理の手順と処理内容を示すシーケンス図である。
【0080】
利用者端末UTにおいて、市民Dがシステムにログインすると、利用者端末UTと認証サーバASVaとの間で市民Dの認証手順が実行される。そして、この認証手順により市民Dの正当性が確認され、当該市民Dが自身のユーザ関係情報の取得操作を行うと、利用者端末UTからサービス連携サーバSSVへユーザ関係情報の取得リクエストが送信される。サービス連携サーバSSVは、上記ユーザ関係情報の取得リクエストを受信すると、先ず関係検索モジュール32の制御の下で、市民Dのユーザ関係検索・指定リクエストを生成して、このリクエストをユーザ関係管理サーバMSVへ送信する。
【0081】
ユーザ関係管理サーバMSVは、上記ユーザ関係検索・指定リクエストを受信すると、ユーザ関係管理モジュール51の制御の下で、ユーザ関係データベース55から要求元の医師xと人間関係のあるユーザのリストであるユーザ関係情報を検索し、この検索したユーザ関係情報を要求元の利用者端末UTへ返送する。利用者端末UTでは、上記ユーザリストがディスプレイに表示される。
【0082】
この状態で、市民Dが上記表示されたユーザ関係情報を無視して、情報取得対象のユーザとして市民Aを選択したとする。そうすると、この選択された市民AのユーザIDと情報取得者である市民DのユーザIDを含む情報取得リクエストが、利用者端末UTからサービス連携サーバSSVへ送信される。サービス連携サーバSSVは、上記情報取得リクエストを受信すると、情報取得リクエストモジュール34の制御の下で、上記情報取得リクエストをデータプロバイドサーバPSV1〜PSVnへ送信する。
【0083】
データプロバイドサーバPSV1〜PSVnは、上記情報取得リクエストを受信すると、先ず情報取得リクエスト処理モジュール11の制御の下で、上記受信された情報取得リクエストを、アクセス制御モジュール13が処理するために必要なデータ形式に変換した上で、この変換後の情報取得リクエストをアクセス制御モジュール13に転送する。
【0084】
アクセス制御モジュール13は、上記情報取得リクエストを受信すると、その送信元の市民Dが市民Aの医療健康関連情報を取得する権限を有しているか否かを判定する。その判定手順は、先に(4)で述べた場合と同様に、先ずユーザ関係管理サーバMSVから市民Aのユーザ関係情報を取得し、続いてこの取得した市民Aのユーザ関係情報と、アクセス制御ルールデータベース18に記憶された市民Aのアクセス制御ルールを参照し、市民Dが市民Aに対する医療健康関連情報の取得権限を有しているか否かを判定することによりなされる。
【0085】
例えば、いま市民Aのアクセス制御ルールリストには図7に示すように対象ユーザとの関係として「家族」、「かかりつけ」が設定されているものの、市民Aのユーザ関係情報には図4に示すように市民Dは「家族」としてもまた「かかりつけ」としても登録されていない。このため、市民Dは市民Aの医療健康関連情報の取得権限を有していないと判定される。
【0086】
この場合、データプロバイドサーバPSV1〜PSVnのアクセス制御モジュール13は、上記判定結果(NG)に基づいて、市民Dによる市民Aの医療関健康連情報の読み書きを不許可とする。そして、情報取得リクエスト処理モジュール11に対し、情報取得を拒否する旨のNGレスポンスを図10に示すように返送する。このNGレスポンスは、データプロバイドサーバPSV1〜PSVnからサービス連携サーバSSVを介して要求元の利用者端末UTへ返送される。
【0087】
以上詳述したようにこの実施形態では、本人ユーザと他のユーザとの人間関係を表すユーザ関係情報をユーザ関係管理サーバMSVに記憶すると共に、このユーザ関係と関連付けて上記本人ユーザの医療健康関連情報の開示条件を設定したアクセス制御ルールをデータプロバイドサーバPSV1〜PSVnのアクセス制御ルールデータベース55に記憶しておく。そして、利用者端末UTから情報取得リクエストが送信された場合に、この情報取得リクエストに応じて取得要求元のユーザが本人ユーザとどのような関係にあるかをデータプロバイドサーバPSV1〜PSVnからユーザ関係管理サーバMSVに問い合わせ、その回答結果とアクセス制御ルールとに基づいて上記本人ユーザの医療健康関連情報の開示を許可するか否かを判定する。そして、許可された場合にのみ、上記本人ユーザの医療健康関連情報をアプリケーションデータベース19から読み出して要求元の利用者端末UTへ送信するようにしている。
【0088】
したがって、情報取得要求元のユーザが、本人ユーザとの人間関係が予め設定された関係にあり、かつアクセス制御ルールに規定された開示条件を満たす場合にのみ、情報取得要求元のユーザに対し本人ユーザの医療健康関連情報が開示される。このため、個人情報であるユーザの医療健康関連情報が無制限に開示される不具合を防止した上で、例えば家族やかかりつけの医師といった特定の関係にあるユーザに対しては医療健康関連情報を開示してアドバイス等を受けることが可能となる。
【0089】
またこの実施形態では、ユーザ関係情報に、対象ユーザとの関係を表す情報として「アクセス制御ルール設定代行」を定義すると共に設定代行者としてのユーザIDを登録している。また、対象ユーザのアクセス制御ルールリストに対して設定代行ルールを設定し、この設定代行ルールにアクセス制御ルールの設定代行が可能なユーザ関係を登録している。そして、利用者端末UTからアクセス制御ルールの登録、変更又は削除の要求が送信された場合に、この要求に応じて要求元のユーザに対象ユーザのアクセス制御ルールの設定代行権限があるか否かを、上記ユーザ関係情報と設定代行ルールに基づいて判定する。そして、設定代行権限があると判定された場合にのみ、対象ユーザのアクセス制御ルールの登録、変更又は削除処理を実行するようにしている。
【0090】
したがって、対象ユーザのアクセス制御ルールリストに対し設定された設定代行ルールに設定代行が可能なユーザ関係が登録され、かつアクセス制御ルールの登録、変更又は削除を要求したユーザが、対象ユーザのユーザ関係情報に設定代行が可能なユーザとして登録されている場合にのみ、対象ユーザのアクセス制御ルールの登録、変更又は削除が許可される。このため、アクセス制御ルールの登録、変更又は削除を第三者が無制限に行えないようにした上で、幼児や子供、高齢者等のようにアクセス制御ルールを自力で行うことが不可能なユーザや、コンピュータの取り扱いに不慣れな一般ユーザについて、そのアクセス制御ルールの登録、変更又は削除を第三者が代行して行うことが可能となる。
【0091】
なお、この発明は上記実施形態に限定されるものではない。例えば、前記実施形態ではユーザ関係管理サーバMSVを独立して設けたが、このユーザ関係管理サーバMSVの機能を図10に示すように認証サーバASVbに備えるようにしてもよい。このようにすると、利用者端末UTはシステムにログインした際に、認証サーバASVbにおいてログイン元ユーザの認証処理と当該ユーザに対するユーザ関係情報の送信を同時に行うことが可能となる。また、データプロバイドサーバPSV1〜PSVnがアクセスの許否を判定する際にユーザ関係情報を参照しようとした場合に、認証サーバへの認証確認要求と同時にユーザ関係情報を取得することが可能となる。
【0092】
また、前記実施形態ではアクセス制御ルールとその設定代行ルールを共にアクセス制御ルールデータベース18に記憶し管理するようにしたが、異なるデータベースに記憶して別々に管理するように構成してもよい。
その他、データプロバイドサーバ、サービス連携サーバ、ユーザ登録サーバ、認証サーバ、ユーザ関係管理サーバの構成やこれらのサーバを使用した一連のアクセス制御手順等についても、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。
【0093】
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【符号の説明】
【0094】
UT…利用者端末UT、PSV1〜PSVn…データプロバイドサーバPSV1〜PSVn、ASVa…認証サーバASVa、ASVb…ユーザ関係管理機能付きの認証サーバASVa、SSV…サービス連携サーバSSV、RSV…ユーザ登録サーバRSV、MSV…ユーザ関係管理サーバMSV、NW…ネットワーク、10,31…アプリケーション処理モジュール、11…情報取得リクエスト処理モジュール11、12…アクセス制御ルール管理モジュール12、13…アクセス制御モジュール13、14,22,35,52…連携処理モジュール、15,23,36,42,54…ユーザ設定処理モジュール、16,24,37,43,56…ユーザデータベース、17,25,38,57…連携用IDデータベース、18…アクセス制御ルールデータベース、19…アプリケーションデータベース、21…認証処理モジュール21、26…ディレクトリデータベース、32…関係検索モジュール32、33…アクセス制御ルール設定管理要求モジュール33、34…情報取得リクエストモジュール34、41…利用者操作処理モジュール、51…ユーザ関係管理モジュール、53…組織・ロール管理モジュール53、55…ユーザ関係データベース、58…組織データベース、59…ロールデータベース、60…関係名データベース。
【特許請求の範囲】
【請求項1】
データベースに記憶された第1のユーザの個人情報を、情報取得者としての第2のユーザが使用する端末から送信される情報取得要求に応じて検索し要求元の端末へ送信する情報アクセス制御システムにおいて、
前記第1のユーザとその個人情報の取得権限が与えられた第2のユーザとの関係を表す第1のユーザ関係情報を管理する第1のユーザ関係管理手段と、
前記第1のユーザ関係情報と関連付けて前記第1のユーザの個人情報の開示条件を設定したアクセス制御ルールを管理するアクセス制御ルール管理手段と、
前記第1のユーザとそのアクセス制御ルールの設定代行権限を与えられた第3のユーザの識別情報と、前記第1のユーザと第3のユーザとの関係を表す情報を含む第2のユーザ関係情報を管理する第2のユーザ関係管理手段と、
前記アクセス制御ルールに対し設定され、第1のユーザとそのアクセス制御ルールの設定代行が許可された第3のユーザとの関係を表す設定代行ルールを管理する設定代行ルール管理手段と、
前記端末から、第1及び第2のユーザの識別情報を含む情報取得要求が送られた場合に、この情報取得要求に含まれる第1及び第2の識別情報をもとに前記第1のユーザ関係管理手段及び前記アクセス制御ルール管理手段からそれぞれ該当するユーザの第1のユーザ関係情報及びアクセス制御ルールを読み出し、この読み出された第1のユーザ関係情報及びアクセス制御ルールに基づいて前記第2のユーザに対する前記第1のユーザの個人情報の開示の許否を判定するアクセス許否判定手段と、
前記判定の結果情報開示が許可された場合に、前記第1のユーザの識別情報をもとに前記データベースから該当する個人情報を読み出して、取得要求元の端末へ送信する手段と、
前記端末から、第1及び第3のユーザの識別情報を含むアクセス制御ルール設定要求が送られた場合に、この設定要求に含まれる第1及び第3の識別情報をもとに前記第2のユーザ関係管理手段及び前記設定代行ルール管理手段からそれぞれ該当するユーザに係わる第2のユーザ関係情報及び設定代行ルールを読み出し、この読み出された前記第2のユーザ関係管理情報及び前記設定代行ルールに基づいて前記第1のユーザのアクセス制御ルールに対する前記第3のユーザの設定代行権限の有無を判定する設定代行判定手段と、
前記設定代行判定手段により設定代行権限があると判定された場合に、前記アクセス制御ルール設定要求の内容に基づいて前記第1のユーザのアクセス制御ルールに対する設定処理を行う手段と
を具備することを特徴とする情報アクセス制御システム。
【請求項2】
請求項1記載の情報アクセス制御システムが具備する各手段のうち、
第1のユーザとその個人情報の取得権限が与えられた第2のユーザとの関係を表す第1のユーザ関係情報を管理する第1のユーザ関係管理手段と、
前記第1のユーザとそのアクセス制御ルールの設定代行権限を与えられた第3のユーザの識別情報と、前記第1のユーザと第3のユーザとの関係を表す情報を含む第2のユーザ関係情報を管理する第2のユーザ関係管理手段と
を具備することを特徴とするユーザ関係管理サーバ装置。
【請求項3】
請求項1記載の情報アクセス制御システムが具備する各手段のうち、
第1のユーザの個人情報を記憶する個人情報データベースと、
前記第1のユーザ関係情報と関連付けて前記第1のユーザの個人情報の開示条件を設定したアクセス制御ルールを管理するアクセス制御ルール管理手段と、
前記アクセス制御ルールに対し設定され、第1のユーザとそのアクセス制御ルールの設定代行が許可された第3のユーザとの関係を表す設定代行ルールを管理する設定代行ルール管理手段と、
前記第2のユーザが使用する端末から、第1及び第2のユーザの識別情報を含む情報取得要求が送られた場合に、この情報取得要求に含まれる第1及び第2の識別情報をもとに、前記ユーザ関係管理サーバ装置及び前記アクセス制御ルール管理手段から該当するユーザの第1のユーザ関係情報及びアクセス制御ルールを読み出し、この読み出した第1のユーザ関係情報及びアクセス制御ルールに基づいて前記第2のユーザに対する前記第1のユーザの個人情報の開示の許否を判定するアクセス許否判定手段と、
前記判定の結果情報開示が許可された場合に、前記第1のユーザの識別情報をもとに前記データベースから該当する個人情報を読み出して、取得要求元の端末へ送信する手段と、
前記第3のユーザが使用する端末から、第1及び第3のユーザの識別情報を含むアクセス制御ルール設定要求が送られた場合に、この設定要求に含まれる第1及び第3の識別情報をもとに前記ユーザ関係管理サーバ装置及び前記設定代行ルール管理手段からそれぞれ該当するユーザの第2のユーザ関係情報及び設定代行ルールを読み出し、この読み出された第2のユーザ関係情報及び設定代行ルールに基づいて前記第1のユーザのアクセス制御ルールに対する前記第3のユーザの設定代行権限の有無を判定する設定代行判定手段と、
前記設定代行判定手段により設定代行権限があると判定された場合に、前記アクセス制御ルール設定要求の内容に基づいて前記第1のユーザのアクセス制御ルールに対する設定処理を行う手段と
を具備することを特徴とするデータプロバイドサーバ装置。
【請求項4】
前記設定代行判定手段は、
前記設定代行ルール管理手段で管理される設定代行ルールをもとに、設定代行が可能なユーザ関係が登録されているか否かを判定する手段と、
設定代行が可能なユーザ関係が登録されていると判定された場合に、前記ユーザ関係管理サーバ装置に対し該当ユーザに関する第2のユーザ関係情報の取得要求を送信して該当する第2のユーザ関係情報を取得する手段と、
前記取得された第2のユーザ関係情報に、第3のユーザが設定代行者として登録されているか否かを判定する手段と
を備えることを特徴とする請求項3記載のデータプロバイドサーバ装置。
【請求項5】
請求項2記載のユーザ関係管理サーバ装置と、請求項3記載のデータプロバイドサーバ装置と、前記第2のユーザが使用する端末及び前記第3のユーザが使用する端末とを、ネットワークを介して接続可能としたシステムで使用される情報アクセス制御方法であって、
前記データプロバイドサーバ装置が、前記第1のユーザ関係情報と関連付けて前記第1のユーザの個人情報の開示条件を設定したアクセス制御ルールをアクセス制御ルールデータベースにより管理する過程と、
前記データプロバイドサーバ装置が、前記アクセス制御ルールに対し設定された、第1のユーザとそのアクセス制御ルールの設定代行が許可された第3のユーザとの関係を表す設定代行ルールを設定代行ルールデータベースにより管理する過程と、
前記データプロバイドサーバ装置が、前記第2のユーザが使用する端末から第1及び第2のユーザの識別情報を含む情報取得要求が送られた場合に、この情報取得要求に含まれる第1及び第2の識別情報をもとに、前記ユーザ関係管理サーバ装置及び前記アクセス制御ルールデータベースから該当するユーザの第1のユーザ関係情報及びアクセス制御ルールを読み出し、この読み出した第1のユーザ関係情報及びアクセス制御ルールに基づいて前記第2のユーザに対する前記第1のユーザの個人情報の開示の許否を判定する過程と、
前記データプロバイドサーバ装置が、前記判定の結果情報開示が許可された場合に、前記第1のユーザの識別情報をもとに前記個人情報のデータベースから該当する個人情報を読み出して、取得要求元の端末へ送信する過程と、
前記データプロバイドサーバ装置が、前記第3のユーザが使用する端末から第1及び第3のユーザの識別情報を含むアクセス制御ルール設定要求が送られた場合に、この設定要求に含まれる第1及び第3の識別情報をもとに前記ユーザ関係管理サーバ装置及び前記設定代行ルールデータベースからそれぞれ該当するユーザの第2のユーザ関係情報及び設定代行ルールを読み出し、この読み出された第2のユーザ関係情報及び設定代行ルールに基づいて前記第1のユーザのアクセス制御ルールに対する前記第3のユーザの設定代行権限の有無を判定する過程と、
前記データプロバイドサーバ装置が、前記第3のユーザに設定代行権限があると判定された場合に、前記アクセス制御ルール設定要求の内容に基づいて前記第1のユーザのアクセス制御ルールに対する設定処理を行う過程と
を具備することを特徴とする情報アクセス制御方法。
【請求項6】
請求項2記載のユーザ関係管理サーバ装置と、請求項3記載のデータプロバイドサーバ装置と、第2のユーザが使用する端末及び第3のユーザが使用する端末とを、ネットワークを介して接続可能としたシステムで使用されるアクセス制御ルール設定制御方法であって、
データプロバイドサーバ装置が、前記第3のユーザが使用する端末から第1及び第3のユーザの識別情報を含むアクセス制御ルール設定要求が送られた場合に、この設定要求に含まれる第1及び第3の識別情報をもとに前記ユーザ関係管理サーバ装置及び前記設定代行ルールデータベースからそれぞれ該当するユーザの第2のユーザ関係情報及び設定代行ルールを読み出し、この読み出された第2のユーザ関係情報及び設定代行ルールに基づいて前記第1のユーザのアクセス制御ルールに対する前記第3のユーザの設定代行権限の有無を判定する過程と、
前記データプロバイドサーバ装置が、前記第3のユーザに設定代行権限があると判定された場合に、前記アクセス制御ルール設定要求の内容に基づいて前記第1のユーザのアクセス制御ルールに対する設定処理を行い、この設定処理後のアクセス制御ルールをアクセス制御ルールデータベースに記憶させる過程と
を具備することを特徴とするアクセス制御ルール設定制御方法。
【請求項7】
第3のユーザが使用する端末が、前記アクセス制御ルール設定要求の送信に先立ち、自己のユーザ関係情報の取得要求を送信した場合に、ユーザ関係管理サーバ装置が当該取得要求に応じて前記第2のユーザ関係管理手段により管理されている該当するユーザ関係情報を読み出して、この読み出した情報を要求元の端末へ返送する過程
を、さらに具備することを特徴とする請求項6記載のアクセス制御ルール設定制御方法。
【請求項8】
ユーザ関係管理サーバ装置が、アクセス制御ルールを構成する複数のデータ項目のうちの少なくとも一つのデータ項目についてその設定候補となる情報を記憶するデータ項目データベースを備えている場合に、
第3のユーザが使用する端末が、前記アクセス制御ルール設定要求の送信に先立ち、前記データ項目の設定候補の取得要求を送信した場合に、ユーザ関係管理サーバ装置が当該取得要求に応じて前記データ項目データベースから設定候補となる情報を読み出して、この読み出した情報を要求元の端末へ返送する過程
を、さらに具備することを特徴とする請求項6又は7記載のアクセス制御ルール設定制御方法。
【請求項9】
前記第3のユーザの設定代行権限の有無を判定する過程は、
前記設定代行ルールデータベースに記憶された設定代行ルールをもとに、設定代行が可能なユーザ関係が登録されているか否かを判定する過程と、
設定代行が可能なユーザ関係が登録されていると判定された場合に、ユーザ関係管理サーバ装置に対し該当ユーザに関する第2のユーザ関係情報の取得要求を送信し、当該ユーザ関係管理サーバ装置から該当する第2のユーザ関係情報を取得する過程と、
前記取得された第2のユーザ関係情報に、第3のユーザが設定代行者として登録されているか否かを判定する過程と
を備えることを特徴とする請求項6乃至8のいずれかに記載のアクセス制御ルール設定制御方法。
【請求項1】
データベースに記憶された第1のユーザの個人情報を、情報取得者としての第2のユーザが使用する端末から送信される情報取得要求に応じて検索し要求元の端末へ送信する情報アクセス制御システムにおいて、
前記第1のユーザとその個人情報の取得権限が与えられた第2のユーザとの関係を表す第1のユーザ関係情報を管理する第1のユーザ関係管理手段と、
前記第1のユーザ関係情報と関連付けて前記第1のユーザの個人情報の開示条件を設定したアクセス制御ルールを管理するアクセス制御ルール管理手段と、
前記第1のユーザとそのアクセス制御ルールの設定代行権限を与えられた第3のユーザの識別情報と、前記第1のユーザと第3のユーザとの関係を表す情報を含む第2のユーザ関係情報を管理する第2のユーザ関係管理手段と、
前記アクセス制御ルールに対し設定され、第1のユーザとそのアクセス制御ルールの設定代行が許可された第3のユーザとの関係を表す設定代行ルールを管理する設定代行ルール管理手段と、
前記端末から、第1及び第2のユーザの識別情報を含む情報取得要求が送られた場合に、この情報取得要求に含まれる第1及び第2の識別情報をもとに前記第1のユーザ関係管理手段及び前記アクセス制御ルール管理手段からそれぞれ該当するユーザの第1のユーザ関係情報及びアクセス制御ルールを読み出し、この読み出された第1のユーザ関係情報及びアクセス制御ルールに基づいて前記第2のユーザに対する前記第1のユーザの個人情報の開示の許否を判定するアクセス許否判定手段と、
前記判定の結果情報開示が許可された場合に、前記第1のユーザの識別情報をもとに前記データベースから該当する個人情報を読み出して、取得要求元の端末へ送信する手段と、
前記端末から、第1及び第3のユーザの識別情報を含むアクセス制御ルール設定要求が送られた場合に、この設定要求に含まれる第1及び第3の識別情報をもとに前記第2のユーザ関係管理手段及び前記設定代行ルール管理手段からそれぞれ該当するユーザに係わる第2のユーザ関係情報及び設定代行ルールを読み出し、この読み出された前記第2のユーザ関係管理情報及び前記設定代行ルールに基づいて前記第1のユーザのアクセス制御ルールに対する前記第3のユーザの設定代行権限の有無を判定する設定代行判定手段と、
前記設定代行判定手段により設定代行権限があると判定された場合に、前記アクセス制御ルール設定要求の内容に基づいて前記第1のユーザのアクセス制御ルールに対する設定処理を行う手段と
を具備することを特徴とする情報アクセス制御システム。
【請求項2】
請求項1記載の情報アクセス制御システムが具備する各手段のうち、
第1のユーザとその個人情報の取得権限が与えられた第2のユーザとの関係を表す第1のユーザ関係情報を管理する第1のユーザ関係管理手段と、
前記第1のユーザとそのアクセス制御ルールの設定代行権限を与えられた第3のユーザの識別情報と、前記第1のユーザと第3のユーザとの関係を表す情報を含む第2のユーザ関係情報を管理する第2のユーザ関係管理手段と
を具備することを特徴とするユーザ関係管理サーバ装置。
【請求項3】
請求項1記載の情報アクセス制御システムが具備する各手段のうち、
第1のユーザの個人情報を記憶する個人情報データベースと、
前記第1のユーザ関係情報と関連付けて前記第1のユーザの個人情報の開示条件を設定したアクセス制御ルールを管理するアクセス制御ルール管理手段と、
前記アクセス制御ルールに対し設定され、第1のユーザとそのアクセス制御ルールの設定代行が許可された第3のユーザとの関係を表す設定代行ルールを管理する設定代行ルール管理手段と、
前記第2のユーザが使用する端末から、第1及び第2のユーザの識別情報を含む情報取得要求が送られた場合に、この情報取得要求に含まれる第1及び第2の識別情報をもとに、前記ユーザ関係管理サーバ装置及び前記アクセス制御ルール管理手段から該当するユーザの第1のユーザ関係情報及びアクセス制御ルールを読み出し、この読み出した第1のユーザ関係情報及びアクセス制御ルールに基づいて前記第2のユーザに対する前記第1のユーザの個人情報の開示の許否を判定するアクセス許否判定手段と、
前記判定の結果情報開示が許可された場合に、前記第1のユーザの識別情報をもとに前記データベースから該当する個人情報を読み出して、取得要求元の端末へ送信する手段と、
前記第3のユーザが使用する端末から、第1及び第3のユーザの識別情報を含むアクセス制御ルール設定要求が送られた場合に、この設定要求に含まれる第1及び第3の識別情報をもとに前記ユーザ関係管理サーバ装置及び前記設定代行ルール管理手段からそれぞれ該当するユーザの第2のユーザ関係情報及び設定代行ルールを読み出し、この読み出された第2のユーザ関係情報及び設定代行ルールに基づいて前記第1のユーザのアクセス制御ルールに対する前記第3のユーザの設定代行権限の有無を判定する設定代行判定手段と、
前記設定代行判定手段により設定代行権限があると判定された場合に、前記アクセス制御ルール設定要求の内容に基づいて前記第1のユーザのアクセス制御ルールに対する設定処理を行う手段と
を具備することを特徴とするデータプロバイドサーバ装置。
【請求項4】
前記設定代行判定手段は、
前記設定代行ルール管理手段で管理される設定代行ルールをもとに、設定代行が可能なユーザ関係が登録されているか否かを判定する手段と、
設定代行が可能なユーザ関係が登録されていると判定された場合に、前記ユーザ関係管理サーバ装置に対し該当ユーザに関する第2のユーザ関係情報の取得要求を送信して該当する第2のユーザ関係情報を取得する手段と、
前記取得された第2のユーザ関係情報に、第3のユーザが設定代行者として登録されているか否かを判定する手段と
を備えることを特徴とする請求項3記載のデータプロバイドサーバ装置。
【請求項5】
請求項2記載のユーザ関係管理サーバ装置と、請求項3記載のデータプロバイドサーバ装置と、前記第2のユーザが使用する端末及び前記第3のユーザが使用する端末とを、ネットワークを介して接続可能としたシステムで使用される情報アクセス制御方法であって、
前記データプロバイドサーバ装置が、前記第1のユーザ関係情報と関連付けて前記第1のユーザの個人情報の開示条件を設定したアクセス制御ルールをアクセス制御ルールデータベースにより管理する過程と、
前記データプロバイドサーバ装置が、前記アクセス制御ルールに対し設定された、第1のユーザとそのアクセス制御ルールの設定代行が許可された第3のユーザとの関係を表す設定代行ルールを設定代行ルールデータベースにより管理する過程と、
前記データプロバイドサーバ装置が、前記第2のユーザが使用する端末から第1及び第2のユーザの識別情報を含む情報取得要求が送られた場合に、この情報取得要求に含まれる第1及び第2の識別情報をもとに、前記ユーザ関係管理サーバ装置及び前記アクセス制御ルールデータベースから該当するユーザの第1のユーザ関係情報及びアクセス制御ルールを読み出し、この読み出した第1のユーザ関係情報及びアクセス制御ルールに基づいて前記第2のユーザに対する前記第1のユーザの個人情報の開示の許否を判定する過程と、
前記データプロバイドサーバ装置が、前記判定の結果情報開示が許可された場合に、前記第1のユーザの識別情報をもとに前記個人情報のデータベースから該当する個人情報を読み出して、取得要求元の端末へ送信する過程と、
前記データプロバイドサーバ装置が、前記第3のユーザが使用する端末から第1及び第3のユーザの識別情報を含むアクセス制御ルール設定要求が送られた場合に、この設定要求に含まれる第1及び第3の識別情報をもとに前記ユーザ関係管理サーバ装置及び前記設定代行ルールデータベースからそれぞれ該当するユーザの第2のユーザ関係情報及び設定代行ルールを読み出し、この読み出された第2のユーザ関係情報及び設定代行ルールに基づいて前記第1のユーザのアクセス制御ルールに対する前記第3のユーザの設定代行権限の有無を判定する過程と、
前記データプロバイドサーバ装置が、前記第3のユーザに設定代行権限があると判定された場合に、前記アクセス制御ルール設定要求の内容に基づいて前記第1のユーザのアクセス制御ルールに対する設定処理を行う過程と
を具備することを特徴とする情報アクセス制御方法。
【請求項6】
請求項2記載のユーザ関係管理サーバ装置と、請求項3記載のデータプロバイドサーバ装置と、第2のユーザが使用する端末及び第3のユーザが使用する端末とを、ネットワークを介して接続可能としたシステムで使用されるアクセス制御ルール設定制御方法であって、
データプロバイドサーバ装置が、前記第3のユーザが使用する端末から第1及び第3のユーザの識別情報を含むアクセス制御ルール設定要求が送られた場合に、この設定要求に含まれる第1及び第3の識別情報をもとに前記ユーザ関係管理サーバ装置及び前記設定代行ルールデータベースからそれぞれ該当するユーザの第2のユーザ関係情報及び設定代行ルールを読み出し、この読み出された第2のユーザ関係情報及び設定代行ルールに基づいて前記第1のユーザのアクセス制御ルールに対する前記第3のユーザの設定代行権限の有無を判定する過程と、
前記データプロバイドサーバ装置が、前記第3のユーザに設定代行権限があると判定された場合に、前記アクセス制御ルール設定要求の内容に基づいて前記第1のユーザのアクセス制御ルールに対する設定処理を行い、この設定処理後のアクセス制御ルールをアクセス制御ルールデータベースに記憶させる過程と
を具備することを特徴とするアクセス制御ルール設定制御方法。
【請求項7】
第3のユーザが使用する端末が、前記アクセス制御ルール設定要求の送信に先立ち、自己のユーザ関係情報の取得要求を送信した場合に、ユーザ関係管理サーバ装置が当該取得要求に応じて前記第2のユーザ関係管理手段により管理されている該当するユーザ関係情報を読み出して、この読み出した情報を要求元の端末へ返送する過程
を、さらに具備することを特徴とする請求項6記載のアクセス制御ルール設定制御方法。
【請求項8】
ユーザ関係管理サーバ装置が、アクセス制御ルールを構成する複数のデータ項目のうちの少なくとも一つのデータ項目についてその設定候補となる情報を記憶するデータ項目データベースを備えている場合に、
第3のユーザが使用する端末が、前記アクセス制御ルール設定要求の送信に先立ち、前記データ項目の設定候補の取得要求を送信した場合に、ユーザ関係管理サーバ装置が当該取得要求に応じて前記データ項目データベースから設定候補となる情報を読み出して、この読み出した情報を要求元の端末へ返送する過程
を、さらに具備することを特徴とする請求項6又は7記載のアクセス制御ルール設定制御方法。
【請求項9】
前記第3のユーザの設定代行権限の有無を判定する過程は、
前記設定代行ルールデータベースに記憶された設定代行ルールをもとに、設定代行が可能なユーザ関係が登録されているか否かを判定する過程と、
設定代行が可能なユーザ関係が登録されていると判定された場合に、ユーザ関係管理サーバ装置に対し該当ユーザに関する第2のユーザ関係情報の取得要求を送信し、当該ユーザ関係管理サーバ装置から該当する第2のユーザ関係情報を取得する過程と、
前記取得された第2のユーザ関係情報に、第3のユーザが設定代行者として登録されているか否かを判定する過程と
を備えることを特徴とする請求項6乃至8のいずれかに記載のアクセス制御ルール設定制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2011−100361(P2011−100361A)
【公開日】平成23年5月19日(2011.5.19)
【国際特許分類】
【出願番号】特願2009−255450(P2009−255450)
【出願日】平成21年11月6日(2009.11.6)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成23年5月19日(2011.5.19)
【国際特許分類】
【出願日】平成21年11月6日(2009.11.6)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]