情報アクセス制御システムとそのサーバ装置及び情報アクセス制御方法
【課題】ユーザの個人情報を適切な相手にのみ開示できるようにすると共に、開示対象ユーザの設定を簡単かつ確実に行えるようにする。
【解決手段】本人ユーザと他のユーザとの人間関係を表すユーザ関係情報をユーザ関係管理サーバMSVに記憶すると共に、このユーザ関係と関連付けて本人ユーザの医療健康関連情報の開示条件を設定したアクセス制御ルールをデータプロバイドサーバPSVに記憶しておく。そして、利用者端末UTから情報取得リクエストが送信された場合に、この情報取得リクエストに応じて取得要求元のユーザが本人ユーザとどのような関係にあるかをデータプロバイドサーバPSVからユーザ関係管理サーバMSVに問い合わせ、その回答結果とアクセス制御ルールとに基づいて上記本人ユーザの医療健康関連情報の開示を許可するか否かを判定するようにしたものである。
【解決手段】本人ユーザと他のユーザとの人間関係を表すユーザ関係情報をユーザ関係管理サーバMSVに記憶すると共に、このユーザ関係と関連付けて本人ユーザの医療健康関連情報の開示条件を設定したアクセス制御ルールをデータプロバイドサーバPSVに記憶しておく。そして、利用者端末UTから情報取得リクエストが送信された場合に、この情報取得リクエストに応じて取得要求元のユーザが本人ユーザとどのような関係にあるかをデータプロバイドサーバPSVからユーザ関係管理サーバMSVに問い合わせ、その回答結果とアクセス制御ルールとに基づいて上記本人ユーザの医療健康関連情報の開示を許可するか否かを判定するようにしたものである。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、例えば医療機関や保健関連機関、自治体等が保有するデータベースに散在して保存されているユーザ情報を、本人もしくは本人が許可した第三者に対し提供するサービスを実現するための情報アクセス制御システムとそのサーバ装置及び情報アクセス制御方法に関する。
【背景技術】
【0002】
近年、複数の医療機関・保健関連機関・自治体等が保有する医療や健康に係る情報を、通信ネットワークを介し、相互接続・共有することで統合的医療サービス・健康サービスを目指すEHR(Electronic Health Record)システムが提案されている。
EHRシステムにおいては、個人のプライバシーに関わる医療及び健康関連情報を扱う。プライバシーに関わる情報は、その扱いのミスが個人にとって大きな損害につながる場合があり、その流通と開示は必要最小限度にとどめる必要がある。そのため、従来型の個人情報を扱うシステムにおいては認証技術により本人確認を行い、本人に係る情報は本人のみが参照することを基本としていた(例えば、非特許文献1を参照。)。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】医療の情報化、EHRは何をもたらしたか −地域の役割と情報の自己管理−インターネット<URL : http://e-public.nttdata.co.jp/f/repo/602_j0902/j0902.aspx>
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところが、医療健康関連の情報を本人しか閲覧できない状況では、その医療健康関連情報を活用することは困難であり、現代日本で目指されている地域に根ざした統合的医療サービスといったものの実現は難しい。例えば、医師に自身の情報を十分に閲覧してもらい、診断及び指導を受けるなど、他者に情報を閲覧してもらった上でその閲覧者から有益な情報を得ることができない。本人の医療健康関連の情報を活用するためには、情報開示したい相手には、簡単にそして過ちなく開示できるしくみが必要である。
【0005】
この発明は上記事情に着目してなされたもので、その目的とするところは、ユーザの個人情報を適切な相手にのみ開示できるようにすると共に、開示対象ユーザの設定を簡単かつ確実に行えるようにする情報アクセス制御システムとそのサーバ装置及び情報アクセス制御方法を提供することにある。
【課題を解決するための手段】
【0006】
上記目的を達成するためにこの発明の一つの観点は、データベースに記憶された第1のユーザの個人情報を、情報取得者としての第2のユーザが使用する端末から送信される情報取得要求に応じて検索し要求元の端末へ送信するシステム又は方法にあって、
上記第1のユーザとその個人情報の開示を許可する第2のユーザとの関係を表すユーザ関係情報を管理する手段又は過程と、上記ユーザ関係情報と関連付けて上記第1のユーザの個人情報の開示条件を設定したアクセス制御ルールを管理する手段又は過程と、アクセス許否を判定する手段又は過程とを備える。
そして、このアクセス許否を判定する手段又は過程により、上記端末から、第1及び第2のユーザの識別情報を含む情報取得要求が送られた場合に、この情報取得要求に含まれる第1及び第2の識別情報をもとに上記ユーザ関係管理手段及び上記アクセス制御ルール管理手段に対しそれぞれアクセスし、そのユーザ関係情報及びアクセス制御ルールに基づいて上記第2のユーザに対する上記第1のユーザの個人情報の開示の許否を判定し、この判定の結果情報開示が許可された場合に、上記第1のユーザの識別情報をもとに上記データベースから該当する個人情報を読み出して、取得要求元の端末へ送信するように構成したものである。
【0007】
したがって、第1のユーザの個人情報を他のユーザに開示してもよいかどうかが、予め設定された当該第1のユーザとの人間関係を表す情報と、このユーザ関係と関連付けて開示条件を設定したアクセス制御ルールに基づいて判定される。このため、第1のユーザとの人間関係が予め設定された関係にあり、かつアクセス制御ルールに規定された開示条件を満たす第2のユーザに対してのみ、第1のユーザの個人情報は開示される。したがって、個人情報が無制限に開示される不具合を防止した上で、例えば家族やかかりつけの医師といった特定の関係にある第2のユーザに対しては個人情報を開示してアドバイス等を受けることが可能となる。また、一度特定の関係にあるユーザへの開示条件を設定しておくことで、同様の関係にあるユーザに対する開示条件の設定作業が簡易になる。また、一般ユーザにとってわかりやすく、ルールの設定を間違い難く、誤った情報の開示が起き難い。
【0008】
例えば、転居に伴いかかりつけの医師等が変更になった場合、この発明に係わる手段又は過程を具備していなければ、新たな医師のために誤りのない開示条件をアクセス制御ルールに設定することが必要となる。しかし、この発明によれば一度「かかりつけ」という人間関係に関する開示条件をアクセス制御ルールに設定しておけば、かかりつけの医師が追加又は変更された場合でも、当該ユーザのユーザ関係情報に「かかりつけ」として新たな医師ユーザを追加するだけで設定を完了することができ、上記新たな医師ユーザに対する開示条件をアクセス制御ルールに個別かつ詳細に設定する必要がない。さらに、一度「家族」という人間関係に関する開示条件をアクセス制御ルールに設定しておけば、例えば結婚によって家族が増えても、当該ユーザとの人間関係情報に「家族」としてこの新しい家族ユーザを追加するだけでよく、上記新たな家族ユーザに対する開示条件をアクセス制御ルールに個別かつ詳細に設定しなくてもよい。
【0009】
また、この発明の一つの観点は以下のような態様を備えることも特徴とする。
第1の態様は、端末から第2のユーザの識別情報を含むユーザ関係取得要求が送られた場合に、当該ユーザ関係取得要求に含まれる第2のユーザの識別情報をもとにユーザ関係管理手段に対しアクセスし、上記第2のユーザと当該第2のユーザに対し情報開示を許可している第1のユーザとの関係を表すユーザ関係情報を検索して要求元の端末へ送信する手段又は過程をさらに備えるものである。
【0010】
第2の態様は、アクセス制御ルールを管理する手段又は過程において、第2のユーザの属性情報と、開示期間又は非開示期間を指定する情報と、個人情報を構成する複数の項目のうち開示対象項目又は非開示対象項目を指定する情報とのうちの少なくとも一つを開示条件としてさらに含むアクセス制御ルールを管理し、アクセス許否を判定する手段又は過程において、アクセス制御ルールに開示条件として含まれる第2のユーザの属性情報、開示期間又は非開示期間を指定する情報、或いは開示対象項目又は非開示対象項目を表す情報を加味して、第2のユーザに対する第1のユーザの個人情報の開示の許否を判定するものである。
このようにすると、「かかりつけ」や「家族」等の人間関係に加え、第2のユーザの属性情報と、開示期間又は非開示期間を指定する情報と、開示対象項目又は非開示対象項目を表す情報の少なくとも一つをさらに考慮してアクセスの許否を判定することが可能となり、さらにきめ細やかなアクセス制御を実現することが可能となる。
【0011】
例えば、第2のユーザの属性情報としてかかりつけ医師の氏名や所属病院名等を考慮することで、すべてのかかりつけ医師へ無条件に情報を開示するのではなく、X内科医院のかかりつけ医師にのみ情報を開示するといった開示制限を行うことが可能となる。また、開示期間又は開示禁止期間を考慮することで、特定の期間にのみ情報を開示又は非開示とすることも可能とする。例えば、骨折治療のために一定期間のみ通うY整骨医院への情報開示を初診から6ヶ月と設定することで、無用の情報開示を控えることが可能となる。さらに、アクセス制御対象とするデータ項目を規定することで、データ項目ごとの開示/非開示の制御が可能となる。例えば、自身の家族に対して、罹患病名は明らかにするが具体的な治療記録は非開示とするといった情報項目別の開示制御が可能となる。
【発明の効果】
【0012】
すなわちこの発明によれば、ユーザの個人情報を適切な相手にのみ開示できるようにすると共に、開示対象ユーザの設定を簡単かつ確実に行えるようにする情報アクセス制御システムとそのサーバ装置及び情報アクセス制御方法を提供することができる。
【図面の簡単な説明】
【0013】
【図1】この発明の一実施形態に係わる情報アクセス制御システムの機能構成を示すブロック図である。
【図2】図1に示したシステムにおけるユーザ関係登録処理シーケンスを示す図である。
【図3】図2に示したユーザ関係登録処理シーケンスにより登録されるユーザ関係情報の一例を示す図である。
【図4】図2に示したユーザ関係登録処理シーケンスにより登録されるユーザ関係情報の他の例を示す図である。
【図5】図1に示したシステムにおけるアクセス制御ルール登録制御シーケンスを示す図である。
【図6】図1に示したシステムにおけるアクセス制御ルール更新・削除制御シーケンスを示す図である。
【図7】図5に示したアクセス制御ルール登録制御シーケンスにより登録されるアクセス制御ルールリストの一例を示す図である。
【図8】図1に示したシステムの情報取得処理シーケンスにおいて情報取得を行えた場合を示す図である。
【図9】図1に示したシステムの情報取得処理シーケンスにおいて情報取得を行えない場合を示す図である。
【図10】この発明の他の実施形態に係わる情報アクセス制御システムの機能構成を示すブロック図である。
【発明を実施するための形態】
【0014】
以下、図面を参照してこの発明に係わる実施形態を説明する。
この発明の一実施形態に係わる情報アクセス制御システムの全体構成を示す機能ブロック図である。
この一実施形態に係わる情報アクセス制御システムは、医療機関や保健関連機関、運動関連施設等がそれぞれ運用する複数のデータプロバイドサーバPSV1〜PSVnと、複数のサービス連携サーバSSVと、認証サーバASVaと、ユーザ登録サーバRSVと、ユーザ関係管理サーバMSVとを備え、これらのサーバ間及びこれらのサーバと利用者端末UTとの間をネットワークNWを介して接続可能としたものである。
【0015】
ネットワークNWは、例えばインターネットに代表されるIP網と、このIP網に対しアクセスするための複数のアクセス網とから構成される。アクセス網としては例えばLAN(Local Area Network)、無線LAN、携帯電話網、有線電話網、CATV(Cable Television)網が用いられる。
【0016】
利用者端末UTには、患者等の一般ユーザが自宅等において使用する一般ユーザ用の端末と、医師や保健師、薬剤師等が患者の依頼を受けて患者の医療情報等を取得するために使用する業務用の端末と、ユーザ登録サーバRSVに設けられるオペレータ用のコンソール端末が含まれる。
【0017】
データプロバイドサーバPSV1〜PSVnは、中央制御ユニット(Central Control Unit;CPU)に、バスを介してプログラムメモリと、各種データベースを保存するためのデータメモリと、通信インタフェースを接続したもので、その機能モジュールとして、アプリケーション処理モジュール10と、情報取得リクエスト処理モジュール11と、アクセス制御ルール管理モジュール12と、アクセス制御モジュール13と、連携処理モジュール14と、ユーザ設定処理モジュール15とを備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0018】
データベースとしては、ユーザデータベース16と、連携用IDデータベース17と、アクセス制御ルールデータベース18と、アプリケーションデータベース19を備えている。ユーザデータベース16には、各ユーザを識別し管理するためのユーザ情報が記憶される。ユーザ情報は、ユーザの識別情報(ID)、ユーザ基本情報およびユーザ属性等からなる。アプリケーションデータベース19には、各ユーザの個人情報、例えば保健指導情報や健康診断情報等の医療健康関連情報が上記ユーザIDに対応付けられて格納される。
【0019】
連携用IDデータベース17には、ユーザ登録サーバRSVから登録を要求されたID連携情報が記憶される。ID連携情報は、他サーバから自サーバのあるユーザの個人データにアクセスするための情報である。
【0020】
アクセス制御ルールデータベース18には、アプリケーションデータベース19に格納されているユーザの医療健康関連情報について、当該情報をどのような条件のもとでアクセスを許可するかを設定するためのアクセス制御ルールを表す情報が記憶される。図7にこのアクセス制御ルールのリストの一例を示す。
【0021】
アクセス制御ルールには、情報の開示条件を表す複数のルール項目が記載されている。このルール項目は、例えば医療健康関連情報のオーナを示すデータ所有ユーザ(ID等で管理される)と、アクセス制御対象とするデータ項目(「対象データ−項目」)と、何時から何時までに登録されたデータをアクセス制御対象とするかを示す情報である「対象データ−期間」と、誰をアクセス制限又は許可の対象とするかを示す「対象ユーザ」と、どの組織をアクセス制限・許可の対象とするかを示す「対象ユーザ−所属組織」と、どのような資格を持った者をアクセス制限又は許可の対象とするかを示す「対象ユーザ−ロール」と、データ所有者とどのような人間関係にある者をアクセス制限又は許可の対象とするかを示す「対象ユーザ−関係」とから構成される。「対象データ−項目」としては、例えば、病名、投薬名、体重、アレルギー情報がある。
また、アクセス制御ルールには、上記各ルール項目に加え、上記アプリケーションデータベース19に格納されているユーザの医療健康関連情報の読み取りの可否を表す項目と、当該医療健康関連情報の書き込みの可否を表す項目が記載されている。
【0022】
なお、例えばアクセス制御対象とするユーザがICカードとパスワードで認証された際にのみアクセスを許可するといったように、アクセスを許可する認証手段を限定する項目(「対象ユーザ−認証手段」)を含ませることも可能である。また、このアクセス制御ルール自体の有効期間を示す「ルール有効期間」項目を含ませ、これにより特定の期間にのみ情報を開示/非開示とすることも可能とする。
【0023】
ユーザ設定処理モジュール15は、ユーザ登録サーバRSVからの要求に応じて、自らの連携用IDデータベース17およびユーザデータベース16の検索、連携用IDデータベース17へのID連携情報の登録または削除、ユーザデータベース16へのユーザ情報の登録または削除を行い、その結果をユーザ登録サーバRSVに応答するものである。
【0024】
連携処理モジュール14は、認証サーバASVaから認証情報を取得し、連携用IDデータベース17に格納されたID連係情報を用いて他のデータプロバイドサーバPSV1〜PSVnとの間で属性交換(個人データの流通)を行う。この属性交換の処理は、SAML(Security Assertion Markup Language)におけるSP等の機能を有する認証連携部や、ID-WSF(Identity Web Service Framework)におけるWSC(Web Service Consumer)等の機能を使用して行われる。なお、SAMLおよびID−WSFは、Liberty Allianceが定めているWebサービスのための仕様である。
【0025】
アクセス制御ルール管理モジュール12は、上記アクセス制御ルールデータベース18に対するアクセス制御ルールの登録、更新又は削除処理を行う。
アクセス制御モジュール13は、サービス連携サーバSSVから送信された情報取得リクエストを情報取得リクエスト処理モジュール11が受信した場合に、この受信された情報取得リクエストに基づいて、リクエスト対象となっている情報に関連付けられているアクセス制御ルールを参照し、当該情報の読み取り可否及び書き込み可否を判定する。そして、アクセス可と判定された場合には、アプリケーション処理モジュール10に対し情報取得リクエストを転送し、リクエスト対象である医療健康関連情報を読み出す処理を行う。
【0026】
アプリケーション処理モジュール10は、例えば保健指導情報や健康診断情報といったユーザの個人情報に基づいて、当該ユーザに対し保健指導を行うようなアプリケーション機能を備える。このアプリケーション機能は、データプロバイドサーバPSV1〜PSVn内の上記各機能モジュールを利用することができ、それ以外の部分は自由に作成できるものである。
【0027】
認証サーバASVaは、上記データプロバイドサーバPSV1〜PSVnと同様に、CPUに対しバスを介してプログラムメモリと、データベースを記憶するデータメモリと、通信インタフェースを接続したもので、その機能モジュールとして認証処理モジュール21と、連携処理モジュール22と、ユーザ設定処理モジュール23を備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0028】
また、データベースとして、ユーザデータベース24と、連携用IDデータベース25と、ディレクトリデータベース26を備えている。ユーザデータベース24には、各ユーザを識別し管理するためのユーザ情報が記憶される。連携用IDデータベース25には、ユーザ登録サーバRSVから登録を要求されたID連携情報が記憶される。このID連携情報は、それぞれのユーザに対してサーバごとに設定される。ディレクトリデータベース26には、個人情報の所在、つまりどのサーバがどの医療健康関連情報を保持しているかを表すディレクトリデータが記憶される。
【0029】
ユーザ設定処理モジュール23は、ユーザ登録サーバRSVからの要求に応じて自らのID連携データベース25及びユーザデータベース24の検索、連携用IDデータベース25へのID連携情報の登録又は削除、ユーザデータベース24へのユーザ情報の登録又は削除を行い、その結果をユーザ登録サーバRSVに対し応答する処理を行う。
【0030】
連携処理モジュール22は、ユーザデータベース24、連携用IDデータベース25及びディレクトリデータベース26を用いて、データプロバイドサーバPSV1〜PSVnに対し、認証情報の提供及びディレクトリサービスの提供を行う。この連携処理モジュール22は、上記処理のためにID−WSFにおけるSP(Service Provider)機能を有すると共に、SAMLにおけるIDP(Identity Provider)の機能を有する。
【0031】
認証処理モジュール21は、ユーザに対する認証処理を行うものであり、利用者端末UTにおいてユーザが入力したユーザ情報をもとにユーザデータベース24を参照し、当該ユーザの正当性を認証する。認証方式としては、ID/パスワード認証、ICカード認証、公開鍵暗号基盤認証、多要素認証等の様々な認証方式を用いることができる。
【0032】
サービス連携サーバSSVは、上記認証サーバASVaと同様に、CPUにバスを介してプログラムメモリ、データベースを記憶するデータメモリ及び通信インタフェースを接続したもので、その機能モジュールとしてアプリケーション処理モジュール31と、関係検索モジュール32と、アクセス制御ルール設定管理要求モジュール33と、情報取得リクエストモジュール34と、連携処理等モジュール35と、ユーザ設定処理モジュール36を備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0033】
またデータベースとしては、ユーザデータベース37と、連携用IDデータベース38を備えている。ユーザデータベース37には、各ユーザを識別し管理するためのユーザ情報が記憶される。連携用IDデータベース38には、ユーザ登録サーバRSVから登録を要求されてID連携情報が記憶される。
【0034】
ユーザ設定処理モジュール36は、ユーザ登録サーバRSVからの検索要求に応じて、自らのユーザデータベース37及び連携用IDデータベース38の検索、連携用IDデータベース38へのID連携情報の登録又は削除、ユーザデータベース37へのユーザ情報の登録又は削除を行い、その検索結果をユーザ登録サーバRSVに対し応答する処理を行う。
【0035】
連携処理モジュール35は、認証サーバASVaから認証情報を取得し、連携用IDデータベース38を用いて、データプロバイドサーバPSV1〜PSVnや他のサービス連携サーバSSV等との間で属性交換を行うものであり、この属性交換処理のためにSAMLにおけるSPの機能を有する。また、ID−WSFにおけるWSCの機能を有する。
【0036】
関係検索モジュール32は、利用者端末UTから送信された情報取得リクエストが受信された場合に、情報取得対象となるユーザのリストを提示する際に機能するもので、要求元のユーザと関係性を持つユーザを検索する処理を行う。
【0037】
情報取得リクエストモジュール34は、ユーザデータベース37に記憶されたユーザ情報を用いて、データプロバイドサーバPSV1〜PSVnに対しアクセス制御ルール情報、及びユーザ個人の医療健康関連情報の収集を要求する。
【0038】
アクセス制御ルール設定管理要求モジュール33は、利用者端末UTから送られるアクセス制御ルール設定リクエストに応じて、データプロバイドサーバPSV1〜PSVnに対し、アクセス制御ルールデータベース18へのアクセス制御ルール情報の追加、更新または削除を要求する。
【0039】
アプリケーション処理モジュール31は、利用者端末UTから送信される要求に応じて、要求元のユーザに関する様々な医療健康関連情報の一覧サービスを行うためのアプリケーション等を備える。
【0040】
ユーザ登録サーバRSVも、上記認証サーバASVa等と同様に、CPUにバスを介してプログラムメモリと、データベースを記憶するデータメモリと、通信インタフェースを接続したもので、その機能モジュールとして、利用者操作処理モジュール41及びユーザ設定処理モジュール42を備えている。またデータベースとしては、ユーザデータベース43を備えている。このユーザデータベース43には、各ユーザのユーザ情報が記憶される。なお、上記各機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0041】
ユーザ設定処理モジュール42は、ユーザ又はオペレータからの操作に応じて自らのユーザデータベース43に記憶されたユーザ情報を更新すると共に、認証サーバASVa、データプロバイドサーバPSV1〜PSVn及びサービス連携サーバSSVに対してユーザの登録、更新又は削除を要求する。
【0042】
また、ユーザIDと、認証サーバASVa、データプロバイドサーバPSV1〜PSVn、サービス連携サーバSSVがそれぞれ独自に管理するユーザIDとの間の関連付けと、その解除処理を行う。
【0043】
さらに、データプロバイドサーバPSV1〜PSVnを利用可能又は利用不可能にするために、認証サーバASVaに対してサービス関連情報の登録又は解除を要求する。認証サーバASVa、データプロバイドサーバPSV1〜PSVn及びサービス連携サーバSSVがそれぞれ独自に使用する匿名ID(SAML等)をシステム共通のユーザIDに、又はシステム共通のユーザIDからそれぞれの匿名IDに変換する機能も持つ。また、各サーバに対し、指定された条件でのユーザ検索機能も持つ。
【0044】
ユーザ関係管理サーバMSVも、上記認証サーバASVa等と同様に、CPUにバスを介してプログラムメモリと、データベースを記憶するデータメモリと、通信インタフェースを接続したもので、その機能モジュールとして、ユーザ関係管理モジュール51と、連携処理モジュール52と、組織・ロール管理モジュール53と、ユーザ設定処理モジュール54を備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0045】
また、データベースとして、ユーザ関係データベース55と、ユーザデータベース56と、連携用IDデータベース57と、組織データベース58と、ロールデータベース59と、関係名データベース60を備えている。ユーザデータベース56には、各ユーザを識別し管理するためのユーザ情報が記憶される。連携用IDデータベース57には、ユーザ登録サーバRSVから登録を要求されてID連携情報が記憶される。
【0046】
関係名データベース60には、ユーザと当該ユーザが自己の個人情報の閲覧を許可した情報取得ユーザとの人間関係を表す具体名が記憶される。人間関係を表す具体名としては、例えば「家族」や「かかりつけ」、「職場同僚」等がある。ロールデータベース59には、情報取得者たるユーザのロール情報が記憶される。ロール情報には、例えばISOによって協議されているhcRole(health care Role)のように保健医療福祉分野の国家資格等によって識別される役割である、「医師」や「保健師」、「看護師」、「理学療法士」といった役割名が用いられる。組織データベース58には、情報取得者たるユーザが所属する組織名が記憶される。組織名としては、例えば「A診療所」、「B市民病院」、「Cフィットネスクラブ」等がある。
【0047】
ユーザ関係データベース55には、ユーザと当該ユーザが自己の個人情報の閲覧を許可した情報取得ユーザとの人間関係を表す情報が記憶される。図3及び図4はこのユーザ関係データベース55に記憶される人間関係を表す情報の一例を示すものである。すなわち、図3は市民Bの関係情報を示しており、市民Bとこのシステム上で人間関係が作られているユーザは市民Aであり、その関係が「家族」であることを示している。また図4は、市民Aの関係情報を示しており、市民Aと人間関係が作られているユーザとして、市民B、市民C、X病院x医師、Y病院y医師、Y病院z保健師がいることを示している。またx医師、y医師、z保健師はいずれも、市民Aの「かかりつけ」という関係として登録されていることを示している。
【0048】
組織・ロール管理モジュール53は、上記組織データベース58、ロールデータベース59及び関係名データベース60にそれぞれ記憶された組織、ロール及び関係名を管理するもので、これらの情報の登録、更新又は削除を実行する機能を持つ。
【0049】
ユーザ設定処理モジュール54は、ユーザ登録サーバRSVから送信された要求に応じて、自らの連携用IDデータベース57及びユーザデータベース56の検索、連携用IDデータベース57へのID連携情報の登録又は削除、ユーザ情報の登録又は削除を行い、その結果をユーザ登録サーバRSVに対し応答する。
【0050】
ユーザ関係管理モジュール51は、サービス連携サーバSSV及びデータプロバイドサーバPSV1〜PSVnからユーザ関係情報の検索リクエストが送られた場合に、このリクエストにより指定されたユーザのユーザ関係情報をユーザ関係データベース55から読み出す。そして、この読み出したユーザ関係情報を要求元のサーバへ返送する。
【0051】
次に、以上のように構成されたシステムの動作を説明する。
(1)ユーザ関係情報の登録
先ず、ユーザ関係情報の登録処理は以下のように行われる。図2はその処理手順と処理内容を示すシーケンス図である。
【0052】
すなわち、利用者端末UTにおいてシステムにログオンした状態で、ユーザ本人が自身のユーザ関係情報を追加、削除又は更新を要求する操作を行ったとする。そうすると、この操作に応じてユーザ関係情報の追加、削除又は更新を要求するためのリクエストが、利用者端末UTからサービス連携サーバSSVへ送信される。サービス連携サーバSSVは上記リクエストを受信すると、アプリケーション処理モジュール31の制御の下で、上記リクエストをユーザ関係管理サーバMSVへ転送する。
【0053】
ユーザ関係管理サーバMSVは、上記リクエストを受信すると、ユーザ関係管理モジュール51の制御の下で、上記リクエストの内容に従いユーザ関係データベース55に対しユーザ関係情報を新規登録するか、又は登録済みのユーザ関係情報の更新又は削除を行う。そして、その実行結果(OKまたはNG)を表すレスポンスを返送する。このレスポンスは、ユーザ関係管理サーバMSVからサービス連携サーバSSVに送られ、このサービス連携サーバSSVから要求元の利用者端末UTへ転送される。
【0054】
かくして、ユーザ関係管理サーバMSVのユーザ関係データベース55には、要求元のユーザが市民Bであれば、例えば図3に示したようなユーザ関係情報が登録される。また要求元のユーザが市民Aであれば、例えば図4に示したようなユーザ関係情報が登録される。
【0055】
(2)アクセス制御ルールの登録
次に、アクセス制御ルールの登録処理は以下のように行われる。図5はその処理手順と処理内容を示すシーケンス図である。
【0056】
すなわち、利用者端末UTにおいてシステムにログオンした状態で、ユーザが自身の個人情報の開示条件を表すアクセス制御ルールの登録を要求する操作を行ったとする。そうすると、先ず利用者端末UTからサービス連携サーバSSVへ、登録対象組織、登録対象ロール又は登録対象関係名の検索・選択リクエストが送信される。サービス連携サーバSSVは上記検索・選択リクエストを受信すると、アクセス制御ルール設定管理要求モジュール33の制御の下で、上記検索・選択リクエストをユーザ関係管理サーバMSVへ送信する。
【0057】
ユーザ関係管理サーバMSVは、上記アクセス制御ルールの検索・選択リクエストを受信すると、組織・ロール管理モジュール53の制御の下で、組織データベース58、ロールデータベース59又は関係名データベース60からそれぞれ、アクセス制御ルールを編集する際にその項目に記載する候補となる組織名、ロール名又は関係名を表す情報を読み出す。そして、この読み出した組織名、ロール名又は関係名を表す情報をサービス連携サーバSSVへ返送する。この組織名、ロール名又は関係名を表す情報は、サービス連携サーバSSVを介して要求元の利用者端末UTへ送られ、ディスプレイに表示される。
【0058】
この状態でユーザは、利用者端末UTにおいて、上記表示された組織名、ロール名又は関係名の候補の中から所望のものを選択してアクセス制御ルール中の対応する項目に挿入する。なお、「対象データ−期間」、「対象ユーザ−認証手段」、「ルール有効期間」、「読み取り可否」及び「書き込み可否」等の、アクセス制御ルールを構成するその他の項目については、ユーザがデータを手操作で入力することで挿入する。かくしてアクセス制御ルールの編集が行われる。
【0059】
上記アクセス制御ルールの編集が終了し、ユーザが送信操作を行ったとする。そうすると、利用者端末UTからサービス連携サーバSSVへ、上記編集により作成された新たなアクセス制御ルールの登録リクエストが送信される。サービス連携サーバSSVは、上記登録リクエストを受信すると、アクセス制御ルール設定管理要求モジュール33の制御の下で、上記アクセス制御ルールの登録リクエストをデータプロバイドサーバPSV1〜PSVnへ送信する。
【0060】
データプロバイドサーバPSV1〜PSVnは、上記アクセス制御ルールの登録リクエストを受信すると、アクセス制御ルール管理モジュール12の制御の下で、上記登録リクエストと共に送られた新たなアクセス制御ルールを、要求元のユーザIDに対応付けてアクセス制御ルールデータベース18に格納する。そして、その処理結果(登録OKまたはNG情報)を表すレスポンスを返送する。このレスポンスは、データプロバイドサーバPSV1〜PSVnからサービス連携サーバSSVに送信され、このサービス連携サーバSSVから要求元の利用者端末UTへ転送される。
かくして、データプロバイドサーバPSV1〜PSVnのアクセス制御ルールデータベース18には、例えば図7に示したようなアクセス制御ルールがリストに追加登録される。
【0061】
(3)アクセス制御ルールの更新又は削除
上記アクセス制御ルールデータベース18に登録されたアクセス制御ルールの変更又は削除処理は以下のように行われる。図6はその処理手順と処理内容を示すシーケンス図である。
【0062】
すなわち、利用者端末UTにおいてシステムにログオンした状態で、ユーザが自身のアクセス制御ルールリストの表示要求操作を行ったとする。そうすると、利用者端末UTからサービス連携サーバSSVへ、アクセス制御ルールリストの表示リクエストが送信される。サービス連携サーバSSVは、上記表示リクエストを受信すると、アクセス制御ルール設定管理要求モジュール33の制御の下で、上記表示リクエストをデータプロバイドサーバPSV1〜PSVnへ転送する。
【0063】
データプロバイドサーバPSV1〜PSVnは、上記表示リクエストを受信するとアクセス制御ルール管理モジュール12の制御の下で、上記表示リクエストに含まれる表示対象ユーザのIDをもとにアクセス制御ルールデータベース18から対応するアクセス制御ルールリストの一覧を読み出し、この読み出されたアクセス制御ルールリストの一覧を返送する。このアクセス制御ルールリストの一覧は、サービス連携サーバSSVを介して要求元の利用者端末UTへ転送され表示される。
【0064】
この状態で、ユーザが、表示されたアクセス制御ルールリストの一覧の中から変更又は削除対象のルールを選択して変更又は削除操作を行ったとする。そうすると、利用者端末UTから当該選択したルールに対する変更又は削除を要求するリクエストがサービス連携サーバSSVへ送信される。サービス連携サーバSSVは、上記ルール変更又は削除のためのリクエストを受信すると、アクセス制御ルール設定管理要求モジュール33の制御の下で、上記ルール変更又は削除のためのリクエストをデータプロバイドサーバPSV1〜PSVnへ転送する。
【0065】
データプロバイドサーバPSV1〜PSVnは、上記変更又は削除のためのリクエストを受信するとアクセス制御ルール管理モジュール12の制御の下で、アクセス制御ルールデータベース18記憶されたアクセス制御ルールのうち、上記変更又は削除のためのリクエストにより指定されたルールの変更又は削除処理を行う。そして、その処理結果(変更又は削除OKまたはNG情報)を表すレスポンスを返送する。このレスポンスは、データプロバイドサーバPSV1〜PSVnからサービス連携サーバSSVに送信され、このサービス連携サーバSSVから要求元の利用者端末UTへ転送される。
かくして、データプロバイドサーバPSV1〜PSVnのアクセス制御ルールデータベース18に記憶されたアクセス制御ルールの変更又は削除が行われる。
【0066】
(4)ユーザの医療健康関連情報の取得
ここでは、データプロバイドユーザPSV1〜PSVnに格納された市民Aの医療健康関連情報を、当該市民Aの家族である市民Bが取得する場合を例にとって説明する。図8及び図9はその取得処理の手順と処理内容を示すシーケンス図である。
【0067】
利用者端末UTにおいて、市民Bがシステムにログインすると、先ず利用者端末UTと認証サーバASVaとの間で市民Bの認証手順が実行される。そして、この認証手順により市民Bの正当性が確認され、当該市民Bが自身のユーザ関係情報の取得操作を行うと、利用者端末UTからサービス連携サーバSSVへユーザ関係情報の取得リクエストが送信される。サービス連携サーバSSVは、上記ユーザ関係情報の取得リクエストを受信すると、先ず関係検索モジュール32の制御の下で、市民Bのユーザ関係検索・指定リクエストを生成して、このリクエストをユーザ関係管理サーバMSVへ送信する。
【0068】
ユーザ関係管理サーバMSVは、上記ユーザ関係検索・指定リクエストを受信すると、ユーザ関係管理モジュール51の制御の下で、ユーザ関係データベース55から要求元の市民Bと人間関係のあるユーザのリストであるユーザ関係情報を検索し、この検索したユーザ関係情報を要求元の利用者端末UTへ返送する。利用者端末UTでは、上記ユーザ関係情報がディスプレイに表示される。
【0069】
この状態で、市民Bが上記表示されたユーザリストの中から情報取得対象のユーザとして市民Aを選択したとする。そうすると、この選択された市民AのユーザIDと情報取得者である市民BのユーザIDを含む情報取得リクエストが、利用者端末UTからサービス連携サーバSSVへ送信される。サービス連携サーバSSVは、上記情報取得リクエストを受信すると、情報取得リクエストモジュール34の制御の下で、上記情報取得リクエストをデータプロバイドサーバPSV1〜PSVnへ送信する。
【0070】
データプロバイドサーバPSV1〜PSVnは、上記情報取得リクエストを受信すると、先ず情報取得リクエスト処理モジュール11の制御の下で、上記受信された情報取得リクエストを、アクセス制御モジュール13が処理するために必要なデータ形式に変換した上で、この変換後の情報取得リクエストをアクセス制御モジュール13に転送する。アクセス制御モジュール13は、上記情報取得リクエストを受信すると、その送信元のユーザ(市民B)が市民Aの医療健康関連情報を取得する権限を有しているか否かを以下のようにして判定する。
【0071】
すなわち、先ずユーザ関係管理サーバMSVに対し、要求元ユーザ(市民B)のユーザ関係情報の確認要求を送信する。ユーザ関係管理サーバMSVは、上記確認要求を受信すると、ユーザ関係管理モジュール51の制御の下で、ユーザ関係データベース55から要求元ユーザ(市民B)のユーザ関係情報を読み出し、このユーザ関係情報をデータプロバイドサーバPSV1〜PSVnへ返送する。
【0072】
次に、上記受信したユーザ関係情報と、アクセス制御ルールデータベース18に記憶された市民Aのアクセス制御ルールを参照し、市民Bが市民Aの医療健康関連情報の取得権限を有しているか否かを判定する。例えば、いま市民Aのアクセス制御ルール1に図7に示すように対象ユーザとの関係として「家族」が設定されており、一方市民Bのユーザ関係情報に図3に示すように市民Aが市民Bの家族として登録されていれば、市民Bは市民Aの医療健康関連情報の取得権限を有すると判定される。
【0073】
そうして市民Bが市民Aの医療健康関連情報の取得権限を有する者であることが確認されると、アクセス制御モジュール13は上記受信された市民Aの情報取得リクエストをアプリケーション処理モジュール10へ転送する。
【0074】
アプリケーション処理モジュール10は、上記転送されたリクエストに従いアプリケーションデータベース19から市民Aの医療健康関係情報を選択的に読み出し、この読み出した市民Aの医療健康関係情報をアクセス制御モジュール13に転送する。アクセス制御モジュール13は、上記転送された市民Aの医療健康関係情報を情報取得リクエスト処理モジュール11に転送し、情報取得リクエスト処理モジュール11はこの市民Aの医療健康関係情報をレスポンスとして返送する。このレスポンスは、サービス連携サーバSSVを介して要求元の利用者端末UTへ伝送される。
かくして、市民Aの家族である市民Bは、利用者端末UTにおいて市民Aの医療健康関連情報を閲覧することが可能となる。
【0075】
一方、上記データプロバイドサーバPSV1〜PSVnのアクセス制御モジュール13による情報取得権限の有無の判定処理において、市民Bは市民Aの「家族」として設定されておらず、また「かかりつけ」の医師または保健師としても登録されていないと判定されたとする。この場合、データプロバイドサーバPSV1〜PSVnのアクセス制御モジュール13は、上記判定結果(NG)に基づいて、市民Aの医療関健康連情報の読み書きを不許可とする。そして、情報取得リクエスト処理モジュール11に対し、情報取得を拒否する旨のNGレスポンスを図9に示すように返送する。このNGレスポンスは、データプロバイドサーバPSV1〜PSVnからサービス連携サーバSSVを介して要求元の利用者端末UTへ返送される。
【0076】
以上詳述したようにこの実施形態では、本人ユーザと他のユーザとの人間関係を表すユーザ関係情報をユーザ関係管理サーバMSVに記憶すると共に、このユーザ関係と関連付けて上記本人ユーザの医療健康関連情報の開示条件を設定したアクセス制御ルールをデータプロバイドサーバPSV1〜PSVnに記憶しておく。そして、利用者端末UTから情報取得リクエストが送信された場合に、この情報取得リクエストに応じて取得要求元のユーザが本人ユーザとどのような関係にあるかをデータプロバイドサーバPSV1〜PSVnからユーザ関係管理サーバMSVに問い合わせ、その回答結果とアクセス制御ルールとに基づいて上記本人ユーザの医療健康関連情報の開示を許可するか否かを判定する。そして、許可された場合にのみ、上記本人ユーザの医療健康関連情報をアプリケーションデータベース19から読み出して要求元の利用者端末UTへ送信するようにしている。
【0077】
したがって、情報取得要求元のユーザが、本人ユーザとの人間関係が予め設定された関係にあり、かつアクセス制御ルールに規定された開示条件を満たす場合にのみ、情報取得要求元のユーザに対し本人ユーザの医療健康関連情報が開示される。このため、個人情報であるユーザの医療健康関連情報が無制限に開示される不具合を防止した上で、例えば家族やかかりつけの医師といった特定の関係にあるユーザに対しては医療健康関連情報を開示してアドバイス等を受けることが可能となる。
【0078】
さらに、アクセス制御ルールに、ユーザ所属する組織名と、開示有効期間と、情報の開示対象項目を開示条件としてさらに追加し、アクセス許否を判定する際に、アクセス制御ルールに開示条件として含まれるユーザの組織名と、開示有効期間と、開示対象項目をもとに、情報取得要求元のユーザに対する本人ユーザの医療健康関連情報の開示の許否を判定するようにしている。このため、「かかりつけ」や「家族」等の人間関係に加え、情報取得要求元ユーザの組織名と、開示有効期間と、開示対象項目をさらに考慮してアクセスの許否を判定することが可能となり、さらにきめ細やかなアクセス制御を実現することが可能となる。
【0079】
さらに、ユーザ関係情報又はアクセス制御ルールを、利用者端末UTからのリクエストに応じて登録、変更衣又は削除できるようにしている。しかも、この登録、変更衣又は削除処理を行う際に、登録済みのユーザ関係情報をユーザ関係管理サーバMSVから利用者端末UTに送信し、ユーザがこのユーザ関係情報を参照してユーザ関係情報又はアクセス制御ルールの変更処理等を行うようにしている。このため、一度特定の関係にあるユーザへの開示条件を設定しておけば、以後同様の関係にあるユーザに対する開示条件の設定作業を容易に行えるようになる。また、一般ユーザにとってわかりやすくルールの設定を間違い難くなり、これにより誤った情報開示が発生し難くできる利点がある。
【0080】
なお、この発明は上記実施形態に限定されるものではない。例えば、前記実施形態ではユーザ関係管理サーバMSVを独立して設けたが、このユーザ関係管理サーバMSVの機能を図10に示すように認証サーバASVbに備えるようにしてもよい。このようにすると、利用者端末UTはシステムにログインした際に、認証サーバASVbにおいてログイン元ユーザの認証処理と当該ユーザに対するユーザ関係情報の送信を同時に行うことが可能となる。また、データプロバイドサーバPSV1〜PSVnがアクセスの許否を判定する際にユーザ関係情報を参照しようとした場合に、認証サーバへの認証確認要求と同時にユーザ関係情報を取得することが可能となる。
【0081】
その他、データプロバイドサーバ、サービス連携サーバ、ユーザ登録サーバ、認証サーバ、ユーザ関係管理サーバの構成やこれらのサーバを使用した一連のアクセス制御手順等についても、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【符号の説明】
【0082】
UT…利用者端末UT、PSV1〜PSVn…データプロバイドサーバPSV1〜PSVn、ASVa…認証サーバASVa、ASVb…ユーザ関係管理機能付きの認証サーバASVa、SSV…サービス連携サーバSSV、RSV…ユーザ登録サーバRSV、MSV…ユーザ関係管理サーバMSV、NW…ネットワーク、10,31…アプリケーション処理モジュール、11…情報取得リクエスト処理モジュール11、12…アクセス制御ルール管理モジュール12、13…アクセス制御モジュール13、14,22,35,52…連携処理モジュール、15,23,36,42,54…ユーザ設定処理モジュール、16,24,37,43,56…ユーザデータベース、17,25,38,57…連携用IDデータベース、18…アクセス制御ルールデータベース、19…アプリケーションデータベース、21…認証処理モジュール21、26…ディレクトリデータベース、32…関係検索モジュール32、33…アクセス制御ルール設定管理要求モジュール33、34…情報取得リクエストモジュール34、41…利用者操作処理モジュール、51…ユーザ関係管理モジュール、53…組織・ロール管理モジュール53、55…ユーザ関係データベース、58…組織データベース、59…ロールデータベース、60…関係名データベース。
【技術分野】
【0001】
この発明は、例えば医療機関や保健関連機関、自治体等が保有するデータベースに散在して保存されているユーザ情報を、本人もしくは本人が許可した第三者に対し提供するサービスを実現するための情報アクセス制御システムとそのサーバ装置及び情報アクセス制御方法に関する。
【背景技術】
【0002】
近年、複数の医療機関・保健関連機関・自治体等が保有する医療や健康に係る情報を、通信ネットワークを介し、相互接続・共有することで統合的医療サービス・健康サービスを目指すEHR(Electronic Health Record)システムが提案されている。
EHRシステムにおいては、個人のプライバシーに関わる医療及び健康関連情報を扱う。プライバシーに関わる情報は、その扱いのミスが個人にとって大きな損害につながる場合があり、その流通と開示は必要最小限度にとどめる必要がある。そのため、従来型の個人情報を扱うシステムにおいては認証技術により本人確認を行い、本人に係る情報は本人のみが参照することを基本としていた(例えば、非特許文献1を参照。)。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】医療の情報化、EHRは何をもたらしたか −地域の役割と情報の自己管理−インターネット<URL : http://e-public.nttdata.co.jp/f/repo/602_j0902/j0902.aspx>
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところが、医療健康関連の情報を本人しか閲覧できない状況では、その医療健康関連情報を活用することは困難であり、現代日本で目指されている地域に根ざした統合的医療サービスといったものの実現は難しい。例えば、医師に自身の情報を十分に閲覧してもらい、診断及び指導を受けるなど、他者に情報を閲覧してもらった上でその閲覧者から有益な情報を得ることができない。本人の医療健康関連の情報を活用するためには、情報開示したい相手には、簡単にそして過ちなく開示できるしくみが必要である。
【0005】
この発明は上記事情に着目してなされたもので、その目的とするところは、ユーザの個人情報を適切な相手にのみ開示できるようにすると共に、開示対象ユーザの設定を簡単かつ確実に行えるようにする情報アクセス制御システムとそのサーバ装置及び情報アクセス制御方法を提供することにある。
【課題を解決するための手段】
【0006】
上記目的を達成するためにこの発明の一つの観点は、データベースに記憶された第1のユーザの個人情報を、情報取得者としての第2のユーザが使用する端末から送信される情報取得要求に応じて検索し要求元の端末へ送信するシステム又は方法にあって、
上記第1のユーザとその個人情報の開示を許可する第2のユーザとの関係を表すユーザ関係情報を管理する手段又は過程と、上記ユーザ関係情報と関連付けて上記第1のユーザの個人情報の開示条件を設定したアクセス制御ルールを管理する手段又は過程と、アクセス許否を判定する手段又は過程とを備える。
そして、このアクセス許否を判定する手段又は過程により、上記端末から、第1及び第2のユーザの識別情報を含む情報取得要求が送られた場合に、この情報取得要求に含まれる第1及び第2の識別情報をもとに上記ユーザ関係管理手段及び上記アクセス制御ルール管理手段に対しそれぞれアクセスし、そのユーザ関係情報及びアクセス制御ルールに基づいて上記第2のユーザに対する上記第1のユーザの個人情報の開示の許否を判定し、この判定の結果情報開示が許可された場合に、上記第1のユーザの識別情報をもとに上記データベースから該当する個人情報を読み出して、取得要求元の端末へ送信するように構成したものである。
【0007】
したがって、第1のユーザの個人情報を他のユーザに開示してもよいかどうかが、予め設定された当該第1のユーザとの人間関係を表す情報と、このユーザ関係と関連付けて開示条件を設定したアクセス制御ルールに基づいて判定される。このため、第1のユーザとの人間関係が予め設定された関係にあり、かつアクセス制御ルールに規定された開示条件を満たす第2のユーザに対してのみ、第1のユーザの個人情報は開示される。したがって、個人情報が無制限に開示される不具合を防止した上で、例えば家族やかかりつけの医師といった特定の関係にある第2のユーザに対しては個人情報を開示してアドバイス等を受けることが可能となる。また、一度特定の関係にあるユーザへの開示条件を設定しておくことで、同様の関係にあるユーザに対する開示条件の設定作業が簡易になる。また、一般ユーザにとってわかりやすく、ルールの設定を間違い難く、誤った情報の開示が起き難い。
【0008】
例えば、転居に伴いかかりつけの医師等が変更になった場合、この発明に係わる手段又は過程を具備していなければ、新たな医師のために誤りのない開示条件をアクセス制御ルールに設定することが必要となる。しかし、この発明によれば一度「かかりつけ」という人間関係に関する開示条件をアクセス制御ルールに設定しておけば、かかりつけの医師が追加又は変更された場合でも、当該ユーザのユーザ関係情報に「かかりつけ」として新たな医師ユーザを追加するだけで設定を完了することができ、上記新たな医師ユーザに対する開示条件をアクセス制御ルールに個別かつ詳細に設定する必要がない。さらに、一度「家族」という人間関係に関する開示条件をアクセス制御ルールに設定しておけば、例えば結婚によって家族が増えても、当該ユーザとの人間関係情報に「家族」としてこの新しい家族ユーザを追加するだけでよく、上記新たな家族ユーザに対する開示条件をアクセス制御ルールに個別かつ詳細に設定しなくてもよい。
【0009】
また、この発明の一つの観点は以下のような態様を備えることも特徴とする。
第1の態様は、端末から第2のユーザの識別情報を含むユーザ関係取得要求が送られた場合に、当該ユーザ関係取得要求に含まれる第2のユーザの識別情報をもとにユーザ関係管理手段に対しアクセスし、上記第2のユーザと当該第2のユーザに対し情報開示を許可している第1のユーザとの関係を表すユーザ関係情報を検索して要求元の端末へ送信する手段又は過程をさらに備えるものである。
【0010】
第2の態様は、アクセス制御ルールを管理する手段又は過程において、第2のユーザの属性情報と、開示期間又は非開示期間を指定する情報と、個人情報を構成する複数の項目のうち開示対象項目又は非開示対象項目を指定する情報とのうちの少なくとも一つを開示条件としてさらに含むアクセス制御ルールを管理し、アクセス許否を判定する手段又は過程において、アクセス制御ルールに開示条件として含まれる第2のユーザの属性情報、開示期間又は非開示期間を指定する情報、或いは開示対象項目又は非開示対象項目を表す情報を加味して、第2のユーザに対する第1のユーザの個人情報の開示の許否を判定するものである。
このようにすると、「かかりつけ」や「家族」等の人間関係に加え、第2のユーザの属性情報と、開示期間又は非開示期間を指定する情報と、開示対象項目又は非開示対象項目を表す情報の少なくとも一つをさらに考慮してアクセスの許否を判定することが可能となり、さらにきめ細やかなアクセス制御を実現することが可能となる。
【0011】
例えば、第2のユーザの属性情報としてかかりつけ医師の氏名や所属病院名等を考慮することで、すべてのかかりつけ医師へ無条件に情報を開示するのではなく、X内科医院のかかりつけ医師にのみ情報を開示するといった開示制限を行うことが可能となる。また、開示期間又は開示禁止期間を考慮することで、特定の期間にのみ情報を開示又は非開示とすることも可能とする。例えば、骨折治療のために一定期間のみ通うY整骨医院への情報開示を初診から6ヶ月と設定することで、無用の情報開示を控えることが可能となる。さらに、アクセス制御対象とするデータ項目を規定することで、データ項目ごとの開示/非開示の制御が可能となる。例えば、自身の家族に対して、罹患病名は明らかにするが具体的な治療記録は非開示とするといった情報項目別の開示制御が可能となる。
【発明の効果】
【0012】
すなわちこの発明によれば、ユーザの個人情報を適切な相手にのみ開示できるようにすると共に、開示対象ユーザの設定を簡単かつ確実に行えるようにする情報アクセス制御システムとそのサーバ装置及び情報アクセス制御方法を提供することができる。
【図面の簡単な説明】
【0013】
【図1】この発明の一実施形態に係わる情報アクセス制御システムの機能構成を示すブロック図である。
【図2】図1に示したシステムにおけるユーザ関係登録処理シーケンスを示す図である。
【図3】図2に示したユーザ関係登録処理シーケンスにより登録されるユーザ関係情報の一例を示す図である。
【図4】図2に示したユーザ関係登録処理シーケンスにより登録されるユーザ関係情報の他の例を示す図である。
【図5】図1に示したシステムにおけるアクセス制御ルール登録制御シーケンスを示す図である。
【図6】図1に示したシステムにおけるアクセス制御ルール更新・削除制御シーケンスを示す図である。
【図7】図5に示したアクセス制御ルール登録制御シーケンスにより登録されるアクセス制御ルールリストの一例を示す図である。
【図8】図1に示したシステムの情報取得処理シーケンスにおいて情報取得を行えた場合を示す図である。
【図9】図1に示したシステムの情報取得処理シーケンスにおいて情報取得を行えない場合を示す図である。
【図10】この発明の他の実施形態に係わる情報アクセス制御システムの機能構成を示すブロック図である。
【発明を実施するための形態】
【0014】
以下、図面を参照してこの発明に係わる実施形態を説明する。
この発明の一実施形態に係わる情報アクセス制御システムの全体構成を示す機能ブロック図である。
この一実施形態に係わる情報アクセス制御システムは、医療機関や保健関連機関、運動関連施設等がそれぞれ運用する複数のデータプロバイドサーバPSV1〜PSVnと、複数のサービス連携サーバSSVと、認証サーバASVaと、ユーザ登録サーバRSVと、ユーザ関係管理サーバMSVとを備え、これらのサーバ間及びこれらのサーバと利用者端末UTとの間をネットワークNWを介して接続可能としたものである。
【0015】
ネットワークNWは、例えばインターネットに代表されるIP網と、このIP網に対しアクセスするための複数のアクセス網とから構成される。アクセス網としては例えばLAN(Local Area Network)、無線LAN、携帯電話網、有線電話網、CATV(Cable Television)網が用いられる。
【0016】
利用者端末UTには、患者等の一般ユーザが自宅等において使用する一般ユーザ用の端末と、医師や保健師、薬剤師等が患者の依頼を受けて患者の医療情報等を取得するために使用する業務用の端末と、ユーザ登録サーバRSVに設けられるオペレータ用のコンソール端末が含まれる。
【0017】
データプロバイドサーバPSV1〜PSVnは、中央制御ユニット(Central Control Unit;CPU)に、バスを介してプログラムメモリと、各種データベースを保存するためのデータメモリと、通信インタフェースを接続したもので、その機能モジュールとして、アプリケーション処理モジュール10と、情報取得リクエスト処理モジュール11と、アクセス制御ルール管理モジュール12と、アクセス制御モジュール13と、連携処理モジュール14と、ユーザ設定処理モジュール15とを備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0018】
データベースとしては、ユーザデータベース16と、連携用IDデータベース17と、アクセス制御ルールデータベース18と、アプリケーションデータベース19を備えている。ユーザデータベース16には、各ユーザを識別し管理するためのユーザ情報が記憶される。ユーザ情報は、ユーザの識別情報(ID)、ユーザ基本情報およびユーザ属性等からなる。アプリケーションデータベース19には、各ユーザの個人情報、例えば保健指導情報や健康診断情報等の医療健康関連情報が上記ユーザIDに対応付けられて格納される。
【0019】
連携用IDデータベース17には、ユーザ登録サーバRSVから登録を要求されたID連携情報が記憶される。ID連携情報は、他サーバから自サーバのあるユーザの個人データにアクセスするための情報である。
【0020】
アクセス制御ルールデータベース18には、アプリケーションデータベース19に格納されているユーザの医療健康関連情報について、当該情報をどのような条件のもとでアクセスを許可するかを設定するためのアクセス制御ルールを表す情報が記憶される。図7にこのアクセス制御ルールのリストの一例を示す。
【0021】
アクセス制御ルールには、情報の開示条件を表す複数のルール項目が記載されている。このルール項目は、例えば医療健康関連情報のオーナを示すデータ所有ユーザ(ID等で管理される)と、アクセス制御対象とするデータ項目(「対象データ−項目」)と、何時から何時までに登録されたデータをアクセス制御対象とするかを示す情報である「対象データ−期間」と、誰をアクセス制限又は許可の対象とするかを示す「対象ユーザ」と、どの組織をアクセス制限・許可の対象とするかを示す「対象ユーザ−所属組織」と、どのような資格を持った者をアクセス制限又は許可の対象とするかを示す「対象ユーザ−ロール」と、データ所有者とどのような人間関係にある者をアクセス制限又は許可の対象とするかを示す「対象ユーザ−関係」とから構成される。「対象データ−項目」としては、例えば、病名、投薬名、体重、アレルギー情報がある。
また、アクセス制御ルールには、上記各ルール項目に加え、上記アプリケーションデータベース19に格納されているユーザの医療健康関連情報の読み取りの可否を表す項目と、当該医療健康関連情報の書き込みの可否を表す項目が記載されている。
【0022】
なお、例えばアクセス制御対象とするユーザがICカードとパスワードで認証された際にのみアクセスを許可するといったように、アクセスを許可する認証手段を限定する項目(「対象ユーザ−認証手段」)を含ませることも可能である。また、このアクセス制御ルール自体の有効期間を示す「ルール有効期間」項目を含ませ、これにより特定の期間にのみ情報を開示/非開示とすることも可能とする。
【0023】
ユーザ設定処理モジュール15は、ユーザ登録サーバRSVからの要求に応じて、自らの連携用IDデータベース17およびユーザデータベース16の検索、連携用IDデータベース17へのID連携情報の登録または削除、ユーザデータベース16へのユーザ情報の登録または削除を行い、その結果をユーザ登録サーバRSVに応答するものである。
【0024】
連携処理モジュール14は、認証サーバASVaから認証情報を取得し、連携用IDデータベース17に格納されたID連係情報を用いて他のデータプロバイドサーバPSV1〜PSVnとの間で属性交換(個人データの流通)を行う。この属性交換の処理は、SAML(Security Assertion Markup Language)におけるSP等の機能を有する認証連携部や、ID-WSF(Identity Web Service Framework)におけるWSC(Web Service Consumer)等の機能を使用して行われる。なお、SAMLおよびID−WSFは、Liberty Allianceが定めているWebサービスのための仕様である。
【0025】
アクセス制御ルール管理モジュール12は、上記アクセス制御ルールデータベース18に対するアクセス制御ルールの登録、更新又は削除処理を行う。
アクセス制御モジュール13は、サービス連携サーバSSVから送信された情報取得リクエストを情報取得リクエスト処理モジュール11が受信した場合に、この受信された情報取得リクエストに基づいて、リクエスト対象となっている情報に関連付けられているアクセス制御ルールを参照し、当該情報の読み取り可否及び書き込み可否を判定する。そして、アクセス可と判定された場合には、アプリケーション処理モジュール10に対し情報取得リクエストを転送し、リクエスト対象である医療健康関連情報を読み出す処理を行う。
【0026】
アプリケーション処理モジュール10は、例えば保健指導情報や健康診断情報といったユーザの個人情報に基づいて、当該ユーザに対し保健指導を行うようなアプリケーション機能を備える。このアプリケーション機能は、データプロバイドサーバPSV1〜PSVn内の上記各機能モジュールを利用することができ、それ以外の部分は自由に作成できるものである。
【0027】
認証サーバASVaは、上記データプロバイドサーバPSV1〜PSVnと同様に、CPUに対しバスを介してプログラムメモリと、データベースを記憶するデータメモリと、通信インタフェースを接続したもので、その機能モジュールとして認証処理モジュール21と、連携処理モジュール22と、ユーザ設定処理モジュール23を備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0028】
また、データベースとして、ユーザデータベース24と、連携用IDデータベース25と、ディレクトリデータベース26を備えている。ユーザデータベース24には、各ユーザを識別し管理するためのユーザ情報が記憶される。連携用IDデータベース25には、ユーザ登録サーバRSVから登録を要求されたID連携情報が記憶される。このID連携情報は、それぞれのユーザに対してサーバごとに設定される。ディレクトリデータベース26には、個人情報の所在、つまりどのサーバがどの医療健康関連情報を保持しているかを表すディレクトリデータが記憶される。
【0029】
ユーザ設定処理モジュール23は、ユーザ登録サーバRSVからの要求に応じて自らのID連携データベース25及びユーザデータベース24の検索、連携用IDデータベース25へのID連携情報の登録又は削除、ユーザデータベース24へのユーザ情報の登録又は削除を行い、その結果をユーザ登録サーバRSVに対し応答する処理を行う。
【0030】
連携処理モジュール22は、ユーザデータベース24、連携用IDデータベース25及びディレクトリデータベース26を用いて、データプロバイドサーバPSV1〜PSVnに対し、認証情報の提供及びディレクトリサービスの提供を行う。この連携処理モジュール22は、上記処理のためにID−WSFにおけるSP(Service Provider)機能を有すると共に、SAMLにおけるIDP(Identity Provider)の機能を有する。
【0031】
認証処理モジュール21は、ユーザに対する認証処理を行うものであり、利用者端末UTにおいてユーザが入力したユーザ情報をもとにユーザデータベース24を参照し、当該ユーザの正当性を認証する。認証方式としては、ID/パスワード認証、ICカード認証、公開鍵暗号基盤認証、多要素認証等の様々な認証方式を用いることができる。
【0032】
サービス連携サーバSSVは、上記認証サーバASVaと同様に、CPUにバスを介してプログラムメモリ、データベースを記憶するデータメモリ及び通信インタフェースを接続したもので、その機能モジュールとしてアプリケーション処理モジュール31と、関係検索モジュール32と、アクセス制御ルール設定管理要求モジュール33と、情報取得リクエストモジュール34と、連携処理等モジュール35と、ユーザ設定処理モジュール36を備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0033】
またデータベースとしては、ユーザデータベース37と、連携用IDデータベース38を備えている。ユーザデータベース37には、各ユーザを識別し管理するためのユーザ情報が記憶される。連携用IDデータベース38には、ユーザ登録サーバRSVから登録を要求されてID連携情報が記憶される。
【0034】
ユーザ設定処理モジュール36は、ユーザ登録サーバRSVからの検索要求に応じて、自らのユーザデータベース37及び連携用IDデータベース38の検索、連携用IDデータベース38へのID連携情報の登録又は削除、ユーザデータベース37へのユーザ情報の登録又は削除を行い、その検索結果をユーザ登録サーバRSVに対し応答する処理を行う。
【0035】
連携処理モジュール35は、認証サーバASVaから認証情報を取得し、連携用IDデータベース38を用いて、データプロバイドサーバPSV1〜PSVnや他のサービス連携サーバSSV等との間で属性交換を行うものであり、この属性交換処理のためにSAMLにおけるSPの機能を有する。また、ID−WSFにおけるWSCの機能を有する。
【0036】
関係検索モジュール32は、利用者端末UTから送信された情報取得リクエストが受信された場合に、情報取得対象となるユーザのリストを提示する際に機能するもので、要求元のユーザと関係性を持つユーザを検索する処理を行う。
【0037】
情報取得リクエストモジュール34は、ユーザデータベース37に記憶されたユーザ情報を用いて、データプロバイドサーバPSV1〜PSVnに対しアクセス制御ルール情報、及びユーザ個人の医療健康関連情報の収集を要求する。
【0038】
アクセス制御ルール設定管理要求モジュール33は、利用者端末UTから送られるアクセス制御ルール設定リクエストに応じて、データプロバイドサーバPSV1〜PSVnに対し、アクセス制御ルールデータベース18へのアクセス制御ルール情報の追加、更新または削除を要求する。
【0039】
アプリケーション処理モジュール31は、利用者端末UTから送信される要求に応じて、要求元のユーザに関する様々な医療健康関連情報の一覧サービスを行うためのアプリケーション等を備える。
【0040】
ユーザ登録サーバRSVも、上記認証サーバASVa等と同様に、CPUにバスを介してプログラムメモリと、データベースを記憶するデータメモリと、通信インタフェースを接続したもので、その機能モジュールとして、利用者操作処理モジュール41及びユーザ設定処理モジュール42を備えている。またデータベースとしては、ユーザデータベース43を備えている。このユーザデータベース43には、各ユーザのユーザ情報が記憶される。なお、上記各機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0041】
ユーザ設定処理モジュール42は、ユーザ又はオペレータからの操作に応じて自らのユーザデータベース43に記憶されたユーザ情報を更新すると共に、認証サーバASVa、データプロバイドサーバPSV1〜PSVn及びサービス連携サーバSSVに対してユーザの登録、更新又は削除を要求する。
【0042】
また、ユーザIDと、認証サーバASVa、データプロバイドサーバPSV1〜PSVn、サービス連携サーバSSVがそれぞれ独自に管理するユーザIDとの間の関連付けと、その解除処理を行う。
【0043】
さらに、データプロバイドサーバPSV1〜PSVnを利用可能又は利用不可能にするために、認証サーバASVaに対してサービス関連情報の登録又は解除を要求する。認証サーバASVa、データプロバイドサーバPSV1〜PSVn及びサービス連携サーバSSVがそれぞれ独自に使用する匿名ID(SAML等)をシステム共通のユーザIDに、又はシステム共通のユーザIDからそれぞれの匿名IDに変換する機能も持つ。また、各サーバに対し、指定された条件でのユーザ検索機能も持つ。
【0044】
ユーザ関係管理サーバMSVも、上記認証サーバASVa等と同様に、CPUにバスを介してプログラムメモリと、データベースを記憶するデータメモリと、通信インタフェースを接続したもので、その機能モジュールとして、ユーザ関係管理モジュール51と、連携処理モジュール52と、組織・ロール管理モジュール53と、ユーザ設定処理モジュール54を備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
【0045】
また、データベースとして、ユーザ関係データベース55と、ユーザデータベース56と、連携用IDデータベース57と、組織データベース58と、ロールデータベース59と、関係名データベース60を備えている。ユーザデータベース56には、各ユーザを識別し管理するためのユーザ情報が記憶される。連携用IDデータベース57には、ユーザ登録サーバRSVから登録を要求されてID連携情報が記憶される。
【0046】
関係名データベース60には、ユーザと当該ユーザが自己の個人情報の閲覧を許可した情報取得ユーザとの人間関係を表す具体名が記憶される。人間関係を表す具体名としては、例えば「家族」や「かかりつけ」、「職場同僚」等がある。ロールデータベース59には、情報取得者たるユーザのロール情報が記憶される。ロール情報には、例えばISOによって協議されているhcRole(health care Role)のように保健医療福祉分野の国家資格等によって識別される役割である、「医師」や「保健師」、「看護師」、「理学療法士」といった役割名が用いられる。組織データベース58には、情報取得者たるユーザが所属する組織名が記憶される。組織名としては、例えば「A診療所」、「B市民病院」、「Cフィットネスクラブ」等がある。
【0047】
ユーザ関係データベース55には、ユーザと当該ユーザが自己の個人情報の閲覧を許可した情報取得ユーザとの人間関係を表す情報が記憶される。図3及び図4はこのユーザ関係データベース55に記憶される人間関係を表す情報の一例を示すものである。すなわち、図3は市民Bの関係情報を示しており、市民Bとこのシステム上で人間関係が作られているユーザは市民Aであり、その関係が「家族」であることを示している。また図4は、市民Aの関係情報を示しており、市民Aと人間関係が作られているユーザとして、市民B、市民C、X病院x医師、Y病院y医師、Y病院z保健師がいることを示している。またx医師、y医師、z保健師はいずれも、市民Aの「かかりつけ」という関係として登録されていることを示している。
【0048】
組織・ロール管理モジュール53は、上記組織データベース58、ロールデータベース59及び関係名データベース60にそれぞれ記憶された組織、ロール及び関係名を管理するもので、これらの情報の登録、更新又は削除を実行する機能を持つ。
【0049】
ユーザ設定処理モジュール54は、ユーザ登録サーバRSVから送信された要求に応じて、自らの連携用IDデータベース57及びユーザデータベース56の検索、連携用IDデータベース57へのID連携情報の登録又は削除、ユーザ情報の登録又は削除を行い、その結果をユーザ登録サーバRSVに対し応答する。
【0050】
ユーザ関係管理モジュール51は、サービス連携サーバSSV及びデータプロバイドサーバPSV1〜PSVnからユーザ関係情報の検索リクエストが送られた場合に、このリクエストにより指定されたユーザのユーザ関係情報をユーザ関係データベース55から読み出す。そして、この読み出したユーザ関係情報を要求元のサーバへ返送する。
【0051】
次に、以上のように構成されたシステムの動作を説明する。
(1)ユーザ関係情報の登録
先ず、ユーザ関係情報の登録処理は以下のように行われる。図2はその処理手順と処理内容を示すシーケンス図である。
【0052】
すなわち、利用者端末UTにおいてシステムにログオンした状態で、ユーザ本人が自身のユーザ関係情報を追加、削除又は更新を要求する操作を行ったとする。そうすると、この操作に応じてユーザ関係情報の追加、削除又は更新を要求するためのリクエストが、利用者端末UTからサービス連携サーバSSVへ送信される。サービス連携サーバSSVは上記リクエストを受信すると、アプリケーション処理モジュール31の制御の下で、上記リクエストをユーザ関係管理サーバMSVへ転送する。
【0053】
ユーザ関係管理サーバMSVは、上記リクエストを受信すると、ユーザ関係管理モジュール51の制御の下で、上記リクエストの内容に従いユーザ関係データベース55に対しユーザ関係情報を新規登録するか、又は登録済みのユーザ関係情報の更新又は削除を行う。そして、その実行結果(OKまたはNG)を表すレスポンスを返送する。このレスポンスは、ユーザ関係管理サーバMSVからサービス連携サーバSSVに送られ、このサービス連携サーバSSVから要求元の利用者端末UTへ転送される。
【0054】
かくして、ユーザ関係管理サーバMSVのユーザ関係データベース55には、要求元のユーザが市民Bであれば、例えば図3に示したようなユーザ関係情報が登録される。また要求元のユーザが市民Aであれば、例えば図4に示したようなユーザ関係情報が登録される。
【0055】
(2)アクセス制御ルールの登録
次に、アクセス制御ルールの登録処理は以下のように行われる。図5はその処理手順と処理内容を示すシーケンス図である。
【0056】
すなわち、利用者端末UTにおいてシステムにログオンした状態で、ユーザが自身の個人情報の開示条件を表すアクセス制御ルールの登録を要求する操作を行ったとする。そうすると、先ず利用者端末UTからサービス連携サーバSSVへ、登録対象組織、登録対象ロール又は登録対象関係名の検索・選択リクエストが送信される。サービス連携サーバSSVは上記検索・選択リクエストを受信すると、アクセス制御ルール設定管理要求モジュール33の制御の下で、上記検索・選択リクエストをユーザ関係管理サーバMSVへ送信する。
【0057】
ユーザ関係管理サーバMSVは、上記アクセス制御ルールの検索・選択リクエストを受信すると、組織・ロール管理モジュール53の制御の下で、組織データベース58、ロールデータベース59又は関係名データベース60からそれぞれ、アクセス制御ルールを編集する際にその項目に記載する候補となる組織名、ロール名又は関係名を表す情報を読み出す。そして、この読み出した組織名、ロール名又は関係名を表す情報をサービス連携サーバSSVへ返送する。この組織名、ロール名又は関係名を表す情報は、サービス連携サーバSSVを介して要求元の利用者端末UTへ送られ、ディスプレイに表示される。
【0058】
この状態でユーザは、利用者端末UTにおいて、上記表示された組織名、ロール名又は関係名の候補の中から所望のものを選択してアクセス制御ルール中の対応する項目に挿入する。なお、「対象データ−期間」、「対象ユーザ−認証手段」、「ルール有効期間」、「読み取り可否」及び「書き込み可否」等の、アクセス制御ルールを構成するその他の項目については、ユーザがデータを手操作で入力することで挿入する。かくしてアクセス制御ルールの編集が行われる。
【0059】
上記アクセス制御ルールの編集が終了し、ユーザが送信操作を行ったとする。そうすると、利用者端末UTからサービス連携サーバSSVへ、上記編集により作成された新たなアクセス制御ルールの登録リクエストが送信される。サービス連携サーバSSVは、上記登録リクエストを受信すると、アクセス制御ルール設定管理要求モジュール33の制御の下で、上記アクセス制御ルールの登録リクエストをデータプロバイドサーバPSV1〜PSVnへ送信する。
【0060】
データプロバイドサーバPSV1〜PSVnは、上記アクセス制御ルールの登録リクエストを受信すると、アクセス制御ルール管理モジュール12の制御の下で、上記登録リクエストと共に送られた新たなアクセス制御ルールを、要求元のユーザIDに対応付けてアクセス制御ルールデータベース18に格納する。そして、その処理結果(登録OKまたはNG情報)を表すレスポンスを返送する。このレスポンスは、データプロバイドサーバPSV1〜PSVnからサービス連携サーバSSVに送信され、このサービス連携サーバSSVから要求元の利用者端末UTへ転送される。
かくして、データプロバイドサーバPSV1〜PSVnのアクセス制御ルールデータベース18には、例えば図7に示したようなアクセス制御ルールがリストに追加登録される。
【0061】
(3)アクセス制御ルールの更新又は削除
上記アクセス制御ルールデータベース18に登録されたアクセス制御ルールの変更又は削除処理は以下のように行われる。図6はその処理手順と処理内容を示すシーケンス図である。
【0062】
すなわち、利用者端末UTにおいてシステムにログオンした状態で、ユーザが自身のアクセス制御ルールリストの表示要求操作を行ったとする。そうすると、利用者端末UTからサービス連携サーバSSVへ、アクセス制御ルールリストの表示リクエストが送信される。サービス連携サーバSSVは、上記表示リクエストを受信すると、アクセス制御ルール設定管理要求モジュール33の制御の下で、上記表示リクエストをデータプロバイドサーバPSV1〜PSVnへ転送する。
【0063】
データプロバイドサーバPSV1〜PSVnは、上記表示リクエストを受信するとアクセス制御ルール管理モジュール12の制御の下で、上記表示リクエストに含まれる表示対象ユーザのIDをもとにアクセス制御ルールデータベース18から対応するアクセス制御ルールリストの一覧を読み出し、この読み出されたアクセス制御ルールリストの一覧を返送する。このアクセス制御ルールリストの一覧は、サービス連携サーバSSVを介して要求元の利用者端末UTへ転送され表示される。
【0064】
この状態で、ユーザが、表示されたアクセス制御ルールリストの一覧の中から変更又は削除対象のルールを選択して変更又は削除操作を行ったとする。そうすると、利用者端末UTから当該選択したルールに対する変更又は削除を要求するリクエストがサービス連携サーバSSVへ送信される。サービス連携サーバSSVは、上記ルール変更又は削除のためのリクエストを受信すると、アクセス制御ルール設定管理要求モジュール33の制御の下で、上記ルール変更又は削除のためのリクエストをデータプロバイドサーバPSV1〜PSVnへ転送する。
【0065】
データプロバイドサーバPSV1〜PSVnは、上記変更又は削除のためのリクエストを受信するとアクセス制御ルール管理モジュール12の制御の下で、アクセス制御ルールデータベース18記憶されたアクセス制御ルールのうち、上記変更又は削除のためのリクエストにより指定されたルールの変更又は削除処理を行う。そして、その処理結果(変更又は削除OKまたはNG情報)を表すレスポンスを返送する。このレスポンスは、データプロバイドサーバPSV1〜PSVnからサービス連携サーバSSVに送信され、このサービス連携サーバSSVから要求元の利用者端末UTへ転送される。
かくして、データプロバイドサーバPSV1〜PSVnのアクセス制御ルールデータベース18に記憶されたアクセス制御ルールの変更又は削除が行われる。
【0066】
(4)ユーザの医療健康関連情報の取得
ここでは、データプロバイドユーザPSV1〜PSVnに格納された市民Aの医療健康関連情報を、当該市民Aの家族である市民Bが取得する場合を例にとって説明する。図8及び図9はその取得処理の手順と処理内容を示すシーケンス図である。
【0067】
利用者端末UTにおいて、市民Bがシステムにログインすると、先ず利用者端末UTと認証サーバASVaとの間で市民Bの認証手順が実行される。そして、この認証手順により市民Bの正当性が確認され、当該市民Bが自身のユーザ関係情報の取得操作を行うと、利用者端末UTからサービス連携サーバSSVへユーザ関係情報の取得リクエストが送信される。サービス連携サーバSSVは、上記ユーザ関係情報の取得リクエストを受信すると、先ず関係検索モジュール32の制御の下で、市民Bのユーザ関係検索・指定リクエストを生成して、このリクエストをユーザ関係管理サーバMSVへ送信する。
【0068】
ユーザ関係管理サーバMSVは、上記ユーザ関係検索・指定リクエストを受信すると、ユーザ関係管理モジュール51の制御の下で、ユーザ関係データベース55から要求元の市民Bと人間関係のあるユーザのリストであるユーザ関係情報を検索し、この検索したユーザ関係情報を要求元の利用者端末UTへ返送する。利用者端末UTでは、上記ユーザ関係情報がディスプレイに表示される。
【0069】
この状態で、市民Bが上記表示されたユーザリストの中から情報取得対象のユーザとして市民Aを選択したとする。そうすると、この選択された市民AのユーザIDと情報取得者である市民BのユーザIDを含む情報取得リクエストが、利用者端末UTからサービス連携サーバSSVへ送信される。サービス連携サーバSSVは、上記情報取得リクエストを受信すると、情報取得リクエストモジュール34の制御の下で、上記情報取得リクエストをデータプロバイドサーバPSV1〜PSVnへ送信する。
【0070】
データプロバイドサーバPSV1〜PSVnは、上記情報取得リクエストを受信すると、先ず情報取得リクエスト処理モジュール11の制御の下で、上記受信された情報取得リクエストを、アクセス制御モジュール13が処理するために必要なデータ形式に変換した上で、この変換後の情報取得リクエストをアクセス制御モジュール13に転送する。アクセス制御モジュール13は、上記情報取得リクエストを受信すると、その送信元のユーザ(市民B)が市民Aの医療健康関連情報を取得する権限を有しているか否かを以下のようにして判定する。
【0071】
すなわち、先ずユーザ関係管理サーバMSVに対し、要求元ユーザ(市民B)のユーザ関係情報の確認要求を送信する。ユーザ関係管理サーバMSVは、上記確認要求を受信すると、ユーザ関係管理モジュール51の制御の下で、ユーザ関係データベース55から要求元ユーザ(市民B)のユーザ関係情報を読み出し、このユーザ関係情報をデータプロバイドサーバPSV1〜PSVnへ返送する。
【0072】
次に、上記受信したユーザ関係情報と、アクセス制御ルールデータベース18に記憶された市民Aのアクセス制御ルールを参照し、市民Bが市民Aの医療健康関連情報の取得権限を有しているか否かを判定する。例えば、いま市民Aのアクセス制御ルール1に図7に示すように対象ユーザとの関係として「家族」が設定されており、一方市民Bのユーザ関係情報に図3に示すように市民Aが市民Bの家族として登録されていれば、市民Bは市民Aの医療健康関連情報の取得権限を有すると判定される。
【0073】
そうして市民Bが市民Aの医療健康関連情報の取得権限を有する者であることが確認されると、アクセス制御モジュール13は上記受信された市民Aの情報取得リクエストをアプリケーション処理モジュール10へ転送する。
【0074】
アプリケーション処理モジュール10は、上記転送されたリクエストに従いアプリケーションデータベース19から市民Aの医療健康関係情報を選択的に読み出し、この読み出した市民Aの医療健康関係情報をアクセス制御モジュール13に転送する。アクセス制御モジュール13は、上記転送された市民Aの医療健康関係情報を情報取得リクエスト処理モジュール11に転送し、情報取得リクエスト処理モジュール11はこの市民Aの医療健康関係情報をレスポンスとして返送する。このレスポンスは、サービス連携サーバSSVを介して要求元の利用者端末UTへ伝送される。
かくして、市民Aの家族である市民Bは、利用者端末UTにおいて市民Aの医療健康関連情報を閲覧することが可能となる。
【0075】
一方、上記データプロバイドサーバPSV1〜PSVnのアクセス制御モジュール13による情報取得権限の有無の判定処理において、市民Bは市民Aの「家族」として設定されておらず、また「かかりつけ」の医師または保健師としても登録されていないと判定されたとする。この場合、データプロバイドサーバPSV1〜PSVnのアクセス制御モジュール13は、上記判定結果(NG)に基づいて、市民Aの医療関健康連情報の読み書きを不許可とする。そして、情報取得リクエスト処理モジュール11に対し、情報取得を拒否する旨のNGレスポンスを図9に示すように返送する。このNGレスポンスは、データプロバイドサーバPSV1〜PSVnからサービス連携サーバSSVを介して要求元の利用者端末UTへ返送される。
【0076】
以上詳述したようにこの実施形態では、本人ユーザと他のユーザとの人間関係を表すユーザ関係情報をユーザ関係管理サーバMSVに記憶すると共に、このユーザ関係と関連付けて上記本人ユーザの医療健康関連情報の開示条件を設定したアクセス制御ルールをデータプロバイドサーバPSV1〜PSVnに記憶しておく。そして、利用者端末UTから情報取得リクエストが送信された場合に、この情報取得リクエストに応じて取得要求元のユーザが本人ユーザとどのような関係にあるかをデータプロバイドサーバPSV1〜PSVnからユーザ関係管理サーバMSVに問い合わせ、その回答結果とアクセス制御ルールとに基づいて上記本人ユーザの医療健康関連情報の開示を許可するか否かを判定する。そして、許可された場合にのみ、上記本人ユーザの医療健康関連情報をアプリケーションデータベース19から読み出して要求元の利用者端末UTへ送信するようにしている。
【0077】
したがって、情報取得要求元のユーザが、本人ユーザとの人間関係が予め設定された関係にあり、かつアクセス制御ルールに規定された開示条件を満たす場合にのみ、情報取得要求元のユーザに対し本人ユーザの医療健康関連情報が開示される。このため、個人情報であるユーザの医療健康関連情報が無制限に開示される不具合を防止した上で、例えば家族やかかりつけの医師といった特定の関係にあるユーザに対しては医療健康関連情報を開示してアドバイス等を受けることが可能となる。
【0078】
さらに、アクセス制御ルールに、ユーザ所属する組織名と、開示有効期間と、情報の開示対象項目を開示条件としてさらに追加し、アクセス許否を判定する際に、アクセス制御ルールに開示条件として含まれるユーザの組織名と、開示有効期間と、開示対象項目をもとに、情報取得要求元のユーザに対する本人ユーザの医療健康関連情報の開示の許否を判定するようにしている。このため、「かかりつけ」や「家族」等の人間関係に加え、情報取得要求元ユーザの組織名と、開示有効期間と、開示対象項目をさらに考慮してアクセスの許否を判定することが可能となり、さらにきめ細やかなアクセス制御を実現することが可能となる。
【0079】
さらに、ユーザ関係情報又はアクセス制御ルールを、利用者端末UTからのリクエストに応じて登録、変更衣又は削除できるようにしている。しかも、この登録、変更衣又は削除処理を行う際に、登録済みのユーザ関係情報をユーザ関係管理サーバMSVから利用者端末UTに送信し、ユーザがこのユーザ関係情報を参照してユーザ関係情報又はアクセス制御ルールの変更処理等を行うようにしている。このため、一度特定の関係にあるユーザへの開示条件を設定しておけば、以後同様の関係にあるユーザに対する開示条件の設定作業を容易に行えるようになる。また、一般ユーザにとってわかりやすくルールの設定を間違い難くなり、これにより誤った情報開示が発生し難くできる利点がある。
【0080】
なお、この発明は上記実施形態に限定されるものではない。例えば、前記実施形態ではユーザ関係管理サーバMSVを独立して設けたが、このユーザ関係管理サーバMSVの機能を図10に示すように認証サーバASVbに備えるようにしてもよい。このようにすると、利用者端末UTはシステムにログインした際に、認証サーバASVbにおいてログイン元ユーザの認証処理と当該ユーザに対するユーザ関係情報の送信を同時に行うことが可能となる。また、データプロバイドサーバPSV1〜PSVnがアクセスの許否を判定する際にユーザ関係情報を参照しようとした場合に、認証サーバへの認証確認要求と同時にユーザ関係情報を取得することが可能となる。
【0081】
その他、データプロバイドサーバ、サービス連携サーバ、ユーザ登録サーバ、認証サーバ、ユーザ関係管理サーバの構成やこれらのサーバを使用した一連のアクセス制御手順等についても、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【符号の説明】
【0082】
UT…利用者端末UT、PSV1〜PSVn…データプロバイドサーバPSV1〜PSVn、ASVa…認証サーバASVa、ASVb…ユーザ関係管理機能付きの認証サーバASVa、SSV…サービス連携サーバSSV、RSV…ユーザ登録サーバRSV、MSV…ユーザ関係管理サーバMSV、NW…ネットワーク、10,31…アプリケーション処理モジュール、11…情報取得リクエスト処理モジュール11、12…アクセス制御ルール管理モジュール12、13…アクセス制御モジュール13、14,22,35,52…連携処理モジュール、15,23,36,42,54…ユーザ設定処理モジュール、16,24,37,43,56…ユーザデータベース、17,25,38,57…連携用IDデータベース、18…アクセス制御ルールデータベース、19…アプリケーションデータベース、21…認証処理モジュール21、26…ディレクトリデータベース、32…関係検索モジュール32、33…アクセス制御ルール設定管理要求モジュール33、34…情報取得リクエストモジュール34、41…利用者操作処理モジュール、51…ユーザ関係管理モジュール、53…組織・ロール管理モジュール53、55…ユーザ関係データベース、58…組織データベース、59…ロールデータベース、60…関係名データベース。
【特許請求の範囲】
【請求項1】
データベースに記憶された第1のユーザの個人情報を、情報取得者としての第2のユーザが使用する端末から送信される情報取得要求に応じて検索し要求元の端末へ送信する情報アクセス制御システムにおいて、
前記第1のユーザとその個人情報の開示を許可する第2のユーザとの関係を表すユーザ関係情報を管理するユーザ関係管理手段と、
前記ユーザ関係情報と関連付けて前記第1のユーザの個人情報の開示条件を設定したアクセス制御ルールを管理するアクセス制御ルール管理手段と、
前記端末から、第1及び第2のユーザの識別情報を含む情報取得要求が送られた場合に、この情報取得要求に含まれる第1及び第2の識別情報をもとに、前記ユーザ関係管理手段及び前記アクセス制御ルール管理手段からそれぞれ該当するユーザのユーザ関係情報及びアクセス制御ルールを読み出し、この読み出されたユーザ関係情報及びアクセス制御ルールに基づいて前記第2のユーザに対する前記第1のユーザの個人情報の開示の許否を判定するアクセス許否判定手段と、
前記判定の結果情報開示が許可された場合に、前記第1のユーザの識別情報をもとに前記データベースから該当する個人情報を読み出して、取得要求元の端末へ送信する手段と
を具備することを特徴とする情報アクセス制御システム。
【請求項2】
請求項1記載の情報アクセス制御システムが具備する各手段のうち、
前記第1のユーザとその個人情報の開示を許可する第2のユーザとの関係を表すユーザ関係情報を管理するユーザ関係管理手段
を具備することを特徴とするユーザ関係管理サーバ装置。
【請求項3】
前記端末から第2のユーザに係わるユーザ関係情報の取得要求が送られた場合に、当該取得要求に含まれる第2のユーザの識別情報をもとに前記ユーザ関係管理手段から該当するユーザ関係情報を検索して要求元の端末へ送信する手段を、さらに具備することを特徴とする請求項2記載のユーザ関係管理サーバ装置。
【請求項4】
請求項1記載の情報アクセス制御システムが具備する各手段のうち、
前記第1のユーザの個人情報を記憶する個人情報データベースと、
前記ユーザ関係情報と関連付けて前記第1のユーザの個人情報の開示条件を設定したアクセス制御ルールを管理するアクセス制御ルール管理手段と、
前記端末から、第1及び第2のユーザの識別情報を含む情報取得要求が送られた場合に、この情報取得要求に含まれる第1及び第2の識別情報をもとに、前記ユーザ関係管理手段及び前記アクセス制御ルール管理手段からそれぞれ該当するユーザのユーザ関係情報及びアクセス制御ルールを読み出し、この読み出されたユーザ関係情報及びアクセス制御ルールに基づいて前記第2のユーザに対する前記第1のユーザの個人情報の開示の許否を判定するアクセス許否判定手段と、
前記判定の結果情報開示が許可された場合に、前記第1のユーザの識別情報をもとに前記データベースから該当する個人情報を読み出して、取得要求元の端末へ送信する手段と
を具備することを特徴とするデータプロバイドサーバ装置。
【請求項5】
前記アクセス制御ルール管理手段は、第2のユーザの属性情報と、開示期間又は非開示期間を指定する情報と、個人情報を構成する複数の項目のうち開示対象項目又は非開示対象項目を指定する情報のうちの少なくとも一つを開示条件としてさらに含むアクセス制御ルールを管理し、
前記アクセス許否判定手段は、前記アクセス制御ルールに開示条件として含まれる第2のユーザの属性情報、開示期間又は非開示期間を指定する情報、或いは開示対象項目又は非開示対象項目を表す情報を加味して、前記第2のユーザに対する前記第1のユーザの個人情報の開示の許否を判定することを特徴とする請求項4記載のデータプロバイドサーバ装置。
【請求項6】
請求項2記載のユーザ関係管理サーバ装置と、請求項3記載のデータプロバイドサーバ装置と、前記第2のユーザが使用する端末とを、ネットワークを介して接続可能としたシステムで使用される情報アクセス制御方法であって、
前記データプロバイドサーバ装置が、前記ユーザ関係情報と関連付けて前記第1のユーザの個人情報の開示条件を設定したアクセス制御ルールをアクセス制御ルール用データベースにより管理する過程と、
前記データプロバイドサーバが、前記端末から第1及び第2のユーザの識別情報を含む情報取得要求が送られた場合に、この情報取得要求に含まれる第1及び第2の識別情報をもとに前記ユーザ関係管理サーバ装置及び前記アクセス制御ルール用データベースからそれぞれ該当するユーザのユーザ関係情報及びアクセス制御ルールを読み出し、この読み出されたユーザ関係情報及びアクセス制御ルールに基づいて前記第2のユーザに対する前記第1のユーザの個人情報の開示の許否を判定する過程と、
前記データプロバイドサーバが、前記判定の結果情報開示が許可された場合に、前記第1のユーザの識別情報をもとに前記データベースから該当する個人情報を読み出して、取得要求元の端末へ送信する過程と
を具備することを特徴とする情報アクセス制御方法。
【請求項7】
前記ユーザ関係管理サーバ装置が、前記端末から第2のユーザの識別情報を含むユーザ関係取得要求が送られた場合に、当該ユーザ関係取得要求に含まれる第2のユーザの識別情報に基づいて、前記ユーザ関係管理手段により管理されている該当するユーザ関係情報を検索し、この検索されたユーザ関係情報を要求元の端末へ送信する過程を、さらに具備することを特徴とする請求項6記載の情報アクセス制御方法。
【請求項8】
前記アクセス制御ルールを管理する過程は、第2のユーザの属性情報と、開示期間又は非開示期間を指定する情報と、個人情報を構成する複数の項目のうち開示対象項目又は非開示対象項目を指定する情報のうちの少なくとも一つを開示条件としてさらに含むアクセス制御ルールを管理し、
前記個人情報の開示の許否を判定する過程は、前記アクセス制御ルールに開示条件として含まれる第2のユーザの属性情報、開示期間又は非開示期間を指定する情報或いは開示対象項目又は非開示対象項目を表す情報を加味して、前記第2のユーザに対する前記第1のユーザの個人情報の開示の許否を判定することを特徴とする請求項6又は7記載の情報アクセス制御方法。
【請求項9】
前記ユーザ関係管理サーバ装置が、前記端末から送信される、第1のユーザに関連するユーザ関係情報の検索要求を受信した場合に、該当するユーザ関係情報を読み出して要求元の端末へ送信する過程と、
前記データプロバイドサーバ装置が、前記端末から送信される、前記ユーザ関係管理サーバ装置から送信されたユーザ関係情報をもとに編集された新たなアクセス制御ルールを表す情報を受信した場合に、この受信した新たなアクセス制御ルールを表す情報を前記アクセス制御ルール用データベースに記憶させる過程と
を、さらに具備することを特徴とする請求項6乃至8のいずれかに記載の情報アクセス制御方法。
【請求項1】
データベースに記憶された第1のユーザの個人情報を、情報取得者としての第2のユーザが使用する端末から送信される情報取得要求に応じて検索し要求元の端末へ送信する情報アクセス制御システムにおいて、
前記第1のユーザとその個人情報の開示を許可する第2のユーザとの関係を表すユーザ関係情報を管理するユーザ関係管理手段と、
前記ユーザ関係情報と関連付けて前記第1のユーザの個人情報の開示条件を設定したアクセス制御ルールを管理するアクセス制御ルール管理手段と、
前記端末から、第1及び第2のユーザの識別情報を含む情報取得要求が送られた場合に、この情報取得要求に含まれる第1及び第2の識別情報をもとに、前記ユーザ関係管理手段及び前記アクセス制御ルール管理手段からそれぞれ該当するユーザのユーザ関係情報及びアクセス制御ルールを読み出し、この読み出されたユーザ関係情報及びアクセス制御ルールに基づいて前記第2のユーザに対する前記第1のユーザの個人情報の開示の許否を判定するアクセス許否判定手段と、
前記判定の結果情報開示が許可された場合に、前記第1のユーザの識別情報をもとに前記データベースから該当する個人情報を読み出して、取得要求元の端末へ送信する手段と
を具備することを特徴とする情報アクセス制御システム。
【請求項2】
請求項1記載の情報アクセス制御システムが具備する各手段のうち、
前記第1のユーザとその個人情報の開示を許可する第2のユーザとの関係を表すユーザ関係情報を管理するユーザ関係管理手段
を具備することを特徴とするユーザ関係管理サーバ装置。
【請求項3】
前記端末から第2のユーザに係わるユーザ関係情報の取得要求が送られた場合に、当該取得要求に含まれる第2のユーザの識別情報をもとに前記ユーザ関係管理手段から該当するユーザ関係情報を検索して要求元の端末へ送信する手段を、さらに具備することを特徴とする請求項2記載のユーザ関係管理サーバ装置。
【請求項4】
請求項1記載の情報アクセス制御システムが具備する各手段のうち、
前記第1のユーザの個人情報を記憶する個人情報データベースと、
前記ユーザ関係情報と関連付けて前記第1のユーザの個人情報の開示条件を設定したアクセス制御ルールを管理するアクセス制御ルール管理手段と、
前記端末から、第1及び第2のユーザの識別情報を含む情報取得要求が送られた場合に、この情報取得要求に含まれる第1及び第2の識別情報をもとに、前記ユーザ関係管理手段及び前記アクセス制御ルール管理手段からそれぞれ該当するユーザのユーザ関係情報及びアクセス制御ルールを読み出し、この読み出されたユーザ関係情報及びアクセス制御ルールに基づいて前記第2のユーザに対する前記第1のユーザの個人情報の開示の許否を判定するアクセス許否判定手段と、
前記判定の結果情報開示が許可された場合に、前記第1のユーザの識別情報をもとに前記データベースから該当する個人情報を読み出して、取得要求元の端末へ送信する手段と
を具備することを特徴とするデータプロバイドサーバ装置。
【請求項5】
前記アクセス制御ルール管理手段は、第2のユーザの属性情報と、開示期間又は非開示期間を指定する情報と、個人情報を構成する複数の項目のうち開示対象項目又は非開示対象項目を指定する情報のうちの少なくとも一つを開示条件としてさらに含むアクセス制御ルールを管理し、
前記アクセス許否判定手段は、前記アクセス制御ルールに開示条件として含まれる第2のユーザの属性情報、開示期間又は非開示期間を指定する情報、或いは開示対象項目又は非開示対象項目を表す情報を加味して、前記第2のユーザに対する前記第1のユーザの個人情報の開示の許否を判定することを特徴とする請求項4記載のデータプロバイドサーバ装置。
【請求項6】
請求項2記載のユーザ関係管理サーバ装置と、請求項3記載のデータプロバイドサーバ装置と、前記第2のユーザが使用する端末とを、ネットワークを介して接続可能としたシステムで使用される情報アクセス制御方法であって、
前記データプロバイドサーバ装置が、前記ユーザ関係情報と関連付けて前記第1のユーザの個人情報の開示条件を設定したアクセス制御ルールをアクセス制御ルール用データベースにより管理する過程と、
前記データプロバイドサーバが、前記端末から第1及び第2のユーザの識別情報を含む情報取得要求が送られた場合に、この情報取得要求に含まれる第1及び第2の識別情報をもとに前記ユーザ関係管理サーバ装置及び前記アクセス制御ルール用データベースからそれぞれ該当するユーザのユーザ関係情報及びアクセス制御ルールを読み出し、この読み出されたユーザ関係情報及びアクセス制御ルールに基づいて前記第2のユーザに対する前記第1のユーザの個人情報の開示の許否を判定する過程と、
前記データプロバイドサーバが、前記判定の結果情報開示が許可された場合に、前記第1のユーザの識別情報をもとに前記データベースから該当する個人情報を読み出して、取得要求元の端末へ送信する過程と
を具備することを特徴とする情報アクセス制御方法。
【請求項7】
前記ユーザ関係管理サーバ装置が、前記端末から第2のユーザの識別情報を含むユーザ関係取得要求が送られた場合に、当該ユーザ関係取得要求に含まれる第2のユーザの識別情報に基づいて、前記ユーザ関係管理手段により管理されている該当するユーザ関係情報を検索し、この検索されたユーザ関係情報を要求元の端末へ送信する過程を、さらに具備することを特徴とする請求項6記載の情報アクセス制御方法。
【請求項8】
前記アクセス制御ルールを管理する過程は、第2のユーザの属性情報と、開示期間又は非開示期間を指定する情報と、個人情報を構成する複数の項目のうち開示対象項目又は非開示対象項目を指定する情報のうちの少なくとも一つを開示条件としてさらに含むアクセス制御ルールを管理し、
前記個人情報の開示の許否を判定する過程は、前記アクセス制御ルールに開示条件として含まれる第2のユーザの属性情報、開示期間又は非開示期間を指定する情報或いは開示対象項目又は非開示対象項目を表す情報を加味して、前記第2のユーザに対する前記第1のユーザの個人情報の開示の許否を判定することを特徴とする請求項6又は7記載の情報アクセス制御方法。
【請求項9】
前記ユーザ関係管理サーバ装置が、前記端末から送信される、第1のユーザに関連するユーザ関係情報の検索要求を受信した場合に、該当するユーザ関係情報を読み出して要求元の端末へ送信する過程と、
前記データプロバイドサーバ装置が、前記端末から送信される、前記ユーザ関係管理サーバ装置から送信されたユーザ関係情報をもとに編集された新たなアクセス制御ルールを表す情報を受信した場合に、この受信した新たなアクセス制御ルールを表す情報を前記アクセス制御ルール用データベースに記憶させる過程と
を、さらに具備することを特徴とする請求項6乃至8のいずれかに記載の情報アクセス制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2011−100362(P2011−100362A)
【公開日】平成23年5月19日(2011.5.19)
【国際特許分類】
【出願番号】特願2009−255453(P2009−255453)
【出願日】平成21年11月6日(2009.11.6)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成23年5月19日(2011.5.19)
【国際特許分類】
【出願日】平成21年11月6日(2009.11.6)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]