【0001】
【発明の属する技術分野】
データベースのアクセス制御に関し、特にある個人情報を含むデータ系列が蓄積されたデータベースサーバに対するデータベースアクセス管理システムに関する。
【0002】
【従来の技術】
従来から、データベースに対するアクセスに関しては、データベース内に格納されるデータの秘密保護の観点から様々な技術が提案されている。例えば、その一例として、データベースのアクセス制御の対象である各テーブルの各カラム(項目)に対して、アクセス権を格納するマスクテーブルを用意し、マスクテーブルに格納されている各アクセス権と、ユーザコードとの間で演算を行なって、アクセス制御の対象であるテーブルの各カラム(項目)に対するアクセス可否を求め、それらアクセス可否に基づいて、アクセス制御の対象であるテーブルの各カラム(項目)に対するアクセスの許可又は不許可を判断するデータベースシステムが提案されている(例えば、特許文献1参照。)。
【0003】
【特許文献1】
特開2002−175217号公報(第2−4頁、第1図)
【0004】
【発明が解決しようとする課題】
しかし、これらのデータにアクセスするユーザに対しては開示の要否についてしか言及しておらず、アクセスを行うユーザの開示レベルを適宜変更することは容易ではなかった。また、アクセスレベルが記載されたデータと、アクセスを要求するユーザのレベル情報とを元に、アクセス可否を計算することによりアクセス可否を決定する方法では、時系列的な履歴情報をはじめとする属性の特長にあわせて開示可否を決定することができないという問題がある。さらに、従来の個人情報データベースを活用した技術においては、個人情報を活用するサービス提供事業者が個人情報を収集・管理する場合が多い。しかし、こうしたモデルでは、個人情報の管理者が、同時にサービス提供事業者であるため、個人情報を所有するデータ登録者による開示レベルの設定の自由度が低いという問題もあった。
【0005】
そこで、本発明は、上述した問題点に鑑みてなされたものであって、データ登録者が容易に、データ閲覧者の開示レベルを管理可能であるデータベースアクセス管理システムを提供することを目的とする。また、データ閲覧者だけでなく、データ閲覧者の代理者(以下,データ閲覧代理者)がアクセスを求めてきた際に、データ閲覧者だけでなく、データ閲覧代理者も含めて、アクセス要否を決定可能とすることを可能とするデータベースアクセス管理システムを提供することを目的とする。さらに、データ所有者の開示レベル設定管理において、単に上記のアクセスレベルの判断だけでなく、データ内に含まれる時系列的な履歴情報等をはじめとする属性の特長にあわせて開示可否を決定可能とするデータベースアクセス管理システムを提供する
ことを目的とする。
【0006】
【課題を解決するための手段】
前記課題を解決するため、本発明は、以下の手段を提案している。
請求項1に係る発明は、情報を記述するための少なくとも1つの属性値を登録する属性値登録部と、該属性値に対し開示許可レベルを有するデータセットを作成するデータ登録部と、該データセットを登録または保存するデータベース蓄積部と、該データセットへのアクセスを要求するデータ閲覧者に応じて該データセットへのアクセスを制御するデータベースアクセス管理部から構成されるシステムであって、データ閲覧者が該データセットへアクセスを要求したときに、データベースアクセス管理部があらかじめ登録されているデータ閲覧者毎の開示許可レベルと該データセット内の属性値毎に設定されている開示許可レベルからアクセス制御を行うことを特徴とするデータベースアクセス管理システムを提案している。
【0007】
この発明によれば、データ閲覧者がデータセットへアクセスを要求したときに、このデータ閲覧者への開示レベルをデータ閲覧者毎の開示許可レベルとデータセット内の属性値毎に設定されている開示許可レベルから判断して、アクセス制御を行うこととしたことから、個人情報の不正なアクセスや漏洩を防止することができる。
【0008】
請求項2に係る発明は、請求項1に記載されたデータベースアクセス管理システムについて、前記データベースアクセス管理部が現在登録されているデータ閲覧者ごとの開示許可レベルの変更を行う開示許可レベル変更手段を有することを特徴とする請求項1に記載されたデータベースアクセス管理システムを提案している。
【0009】
この発明によれば、データベースアクセス管理部が現在登録されているデータ閲覧者ごとの開示許可レベルの変更をする手段を有することから、その時々の事情やデータの種別に応じて、個人情報等を適切に保護することができる。
【0010】
請求項3に係る発明は、請求項1乃至2に記載されたデータベースアクセス管理システムについて、前記データ閲覧者が前記データセットへのアクセスを要求したときに、データ登録者に対し該データ閲覧者の開示許可レベルの変更要否を確認するための通知を行うデータ閲覧者確認通知手段と、データ登録者が変更の必要があると判断したときに、現在登録されているデータ閲覧者ごとの開示許可レベルの変更情報を受信し、更新する開示許可レベル更新手段とを有することを特徴とするデータベースアクセス管理システムを提案している。
【0011】
この発明によれば、データ閲覧者がデータセットへのアクセスを要求したときに、データ登録者に対しそのデータ閲覧者の開示許可レベルの変更要否を確認するための通知を行うこととしたので、データ登録者は、データ閲覧者および閲覧を要求するデータ毎に、迅速で、かつ、的確な対応をとることができる。
【0012】
請求項4に係る発明は、請求項1から3のいずれかに記載されたデータベースアクセス管理システムについて、前記データ閲覧者が前記データ閲覧代行者を経由して、前記データセットへのアクセスを要求したときに、該データセットへのアクセスを要求するデータ閲覧者に対する開示許可レベルと、データ閲覧者に対する代行者に対する開示許可レベルとを対比して、前記データセット内の属性値毎に、よりきびしい開示許可レベルに応じてアクセス制御を行うことを特徴とするデータベースアクセス管理システムを提案している。
【0013】
この発明によれば、データ閲覧者がデータ閲覧代行者を経由して、データセットへのアクセスを要求したときに、データセットへのアクセスを要求するデータ閲覧者に対する開示許可レベルと、データ閲覧者に対する代行者に対する開示許可レベルとを対比して、データセット内の属性値毎に、よりきびしい開示許可レベルに応じてアクセス制御を行うことしたため、まったくの第三者であるデータ閲覧代行者に個人情報等が漏洩することを防止することができる。
【0014】
請求項5に係る発明は、請求項4に記載されたデータベースアクセス管理システムについて、前記データ閲覧者がデータ閲覧代行者を経由して、前記データセットへのアクセスを要求したときに、データ登録者に対し該代行者の開示許可レベルの変更要否を確認する通知を行うデータ閲覧代行者確認通知手段と、前記データ登録者が変更の必要があると判断した場合ときに、前記開示許可レベル更新手段により、現在登録されているデータ閲覧者ごとの開示許可レベルの変更情報を受信し、更新することを特徴とするデータベースアクセス管理システムを提案している。
【0015】
この発明によれば、データ閲覧者がデータ閲覧代行者を経由して、データセットへのアクセスを要求したときに、データ登録者に対し代行者の開示許可レベルの変更要否を確認する通知をし、開示許可レベル更新することができるため、データ登録者は、データ閲覧者、データ閲覧代行者および閲覧を要求する情報に応じて、迅速で的確な対応を行うことができる。
【0016】
請求項6に係る発明は、請求項1から5のいずれかに記載されたデータベースアクセス管理システムについて、前記データ閲覧者あるいはデータ閲覧代行者に対する開示許可レベルを保持するデータテーブルを有し、該データテーブルに記載された情報がタイマ満了により無効となることを特徴とするデータベースアクセス管理システムを提案している。
【0017】
この発明によれば、データ閲覧者あるいはデータ閲覧代行者に対する開示許可レベルに有効期限を設けたため、データ登録者が必要なデータの更新を怠った場合にも、安全に個人情報等を運用することができる。
【0018】
請求項7に係る発明は、請求項1から6のいずれかに記載されたデータベースアクセス管理システムについて、前記データ閲覧者あるいはデータ閲覧代行者が、前記複数のデータセットへのアクセスを要求したときに、データセットを構成する少なくとも1つの属性値に関する条件に応じて参照可否の判断を行う参照可否判断手段を有することを特徴とするデータベースアクセス管理システムを提案している。
【0019】
この発明によれば、データ閲覧者あるいはデータ閲覧代行者が、複数のデータセットへのアクセスを要求したときにデータセットを構成する少なくとも1つの属性値に関する条件に応じて参照可否の判断を行うこととしたため、複数のデータセットへのアクセスに対しても、個人情報等を安全に運用することができる。
【0020】
請求項8に係る発明は、請求項1から7のいずれかに記載されたデータベースアクセス管理システムについて、前記データ閲覧者あるいはデータ閲覧代行者が、前記データセットへアクセスを許可されたときに、アクセス内容を該データ登録者に通知するアクセス内容通知手段を有することを特徴とするデータベースアクセス管理システムを提案している。
【0021】
この発明によれば、データ閲覧者あるいはデータ閲覧代行者が、データセットへアクセスを許可されたときにも、そのアクセス内容を該データ登録者に通知することとしたため、データ登録者は、そのアクセス内容を確認することにより、開示レベル等の設定を再度確認することができる。
【0022】
【発明の実施の形態】
以下、本発明の実施形態に係るデータベースアクセス管理システムについて図1から図7を参照して詳細に説明する。
本発明の第1の実施形態に係るデータベースアクセス管理システムは、データベース蓄積部1と、データベースアクセス管理部2と、データ登録部3と、データ閲覧部4と、データベース5と、データ閲覧者開示レベルデータ6とから構成されている。データベース蓄積部1は、何らかの通信手段によってデータ登録部3から該データを受信し、これに時刻情報を追加してデータベース5に登録する機能を有する。データベースアクセス管理部2は、データ閲覧部4からのアクセスによって、データ閲覧者開示レベルデータ6を確認し、確認したデータ閲覧者開示レベルに応じて、必要なデータをデータベース5から取得し、データ閲覧部4に出力する。
【0023】
データ登録部3は、データ登録者が携帯端末等を用いて登録した様々なデータからデータセットを作成し、作成したデータセットをデータベース蓄積部1に出力する。図2は登録されたデータ系列の例を示している。図2の例では、データを記述する属性として、place属性、object属性、activity属性が設定されており、「自宅のパソコンでゲームをした」という情報を記述するために、上記各属性に対し、それぞれ、「自宅」、「パソコン」、「ゲームをした」というワードが配置されている。さらに、各属性毎に、第三者への開示レベルとして3段階のレベルが設定されている。
【0024】
データ閲覧部4は、データ閲覧者が所有する携帯端末等であり、データの閲覧を希望するときには、閲覧を希望するデータを特定してデータベースアクセス管理部2にアクセスを行う。データベース5は、個人情報が図2に示すような形式で格納された記憶装置である。データ閲覧者開示レベルデータ6は、データ閲覧者毎に設定された開示レベルを格納する記憶装置である。
【0025】
本実施形態において、データの閲覧を行うための処理を図7を用いて説明する。まず、データ閲覧者がデータを閲覧するためには、データ閲覧部4を介して、ユーザ宛のデータにアクセスを要求する(ステップ201)。データベースアクセス管理部2は、データ閲覧部4からのアクセスを受信するとデータ登録者に対する問い合わせの要否を確認し(ステップ202)、データ閲覧者開示レベルデータ6内に記述されているデータ閲覧者毎に設定された開示レベルを参照し、ユーザ開示レベルの変更通知を行った後(ステップ204)、ユーザ開示レベルを受信して(ステップ205)、開示レベルを更新する(ステップ206)。
【0026】
データベースアクセス管理部2は、引き続いて、開示レベルとアクセス要求のあった情報の各属性について予め設定された開示レベルからアクセス可否を決定する(ステップ207)。アクセス可否の決定は、例えば、所望のデータ閲覧者に設定された開示レベルがNである場合、N以下の数値に設定されている属性を開示可能と判断する等の方法で実行される。その結果、アクセス可と決定されたデータをデータ閲覧部4へ送信する(ステップ208)。なお、データ登録者に対する問い合わせが不要である場合は、ユーザに対する開示レベルの管理データの有無を確認し(ステップ203)、管理データが有る場合には、ステップ207に進んで、開示レベルを取得し、管理データがない場合には、ステップ301に進んで、処理を続行する。
【0027】
また、データ登録者がデータ閲覧者開示レベルデータ6内に記載されているデータ閲覧者毎の登録内容を変更する場合には、データ登録部3からデータベースアクセス管理部2へ設定変更要求を出す(ステップ101)。すると、データベースアクセス管理部2は、データ閲覧者開示レベルデータ6から得られる現状の設定状態をデータ登録部3へ返信する(ステップ102)。図3は、データ登録部3で表示される現状の設定状態および設定変更フォームの例を示している。図3には、現在の設定されているデータ閲覧者のユーザネーム(ログインネーム)とそのデータ閲覧者に対する現在設定されている開示レベルが表示されている。開示レベルは、選択により他の開示レベルに変更できるとともに、新規にユーザネームの追加可能である。引き続いて、データ登録部3は、変更部分のみをデータベースアクセス管理部2へ送信し(ステップ103)、該データベースアクセス管理部2は、データ閲覧者開示レベルデータ6に対してデータの更新を行う(ステップ104)。
【0028】
また、データ閲覧者がデータにアクセスを要求した場合に、データ閲覧者の開示レベル情報がないとき、もしくは、登録されている開示レベル情報にかかわらずデータ登録者にその都度開示レベルを問合せるように設定されているときは、データベースアクセス管理部2が、データ登録部3へ確認を促すメッセージを送付し(ステップ301)、該データ閲覧者の開示レベルを設定してもらい(ステップ302)、開示レベルを更新する(ステップ303)。データ登録部3における画面例を図4に示す。
【0029】
次に、本発明の第2の実施形態について説明する。本発明の第2の実施形態に係るデータベースアクセス管理システムは、図5に示すように、第1の実施形態に係るデータベースアクセス管理システムに対し、さらに、データ閲覧代行部7と、データ閲覧代行者開示レベルデータ8とを有する構成になっている。ここで、データ閲覧代行部7は、データ閲覧者に代行してデータへのアクセスを行うものであり、例えば、サービスプロバイダ等が相当する。データ閲覧代行者開示レベルデータ8は、データ閲覧代行者ごとに予め設定された各データに対する開示レベルを記述した記憶装置である。
【0030】
本実施形態は、データ閲覧者がデータ閲覧部4からではなく、データ閲覧代行者がデータ閲覧代行部7からデータベースアクセス管理部2へアクセスを要求する場合を想定したものである。ただし、データ閲覧者からの要求を代行するトリガは、データ閲覧部4がデータ閲覧代行部7に指示を出す場合だけでなく、データ閲覧者が予めデータ閲覧代行者と何らかの契約等をしており、データ閲覧者4からの明示的な指示がなくとも、データ閲覧代行部7が自律的にデータベースアクセス管理部2へ要求を出す場合等をも含んでいる。
【0031】
データ閲覧代行部7がアクセスを要求した場合、データベースアクセス管理部2は、データ閲覧者開示レベルデータ6内に記述されている該データ閲覧者の開示レベルデータ:N1と、データ閲覧代行者の開示レベルデータ8内に記述されている該データ閲覧代行者の開示レベルデータ:N2とを取得する。これらの開示レベルデータ:N1,N2に加え、アクセス要求のあった情報の各属性に設定された開示レベルからアクセス可否を決定する。アクセス可否の決定は、例えば、min{N1,N2}以下の数値に設定している属性を開示可能と判断する等の方法で実行される。
【0032】
また、データ登録者がデータ閲覧代行者の開示レベルデータ8内に記載されているデータ閲覧代行者毎の登録内容を変更する場合には、データ登録部3からデータベースアクセス管理部2へ設定変更要求を出す。すると、データベースアクセス管理部2は、データ閲覧代行者の開示レベルデータ8から得られる現状の設定状態および設定変更フォームをデータ登録部3へ返信する。引き続いて、データ登録部3は、変更部分のみをデータベースアクセス部2へ返信し、該データベースアクセス管理部2は、データ閲覧代行者の開示レベルデータ8に対してデータの更新を行う。
【0033】
また、上記のシステムにおいては、データ閲覧者開示レベルデータ6およびデータ閲覧代行者の開示レベルデータ8の有効期限を設定することも可能である。タイマ監視の実施の方法は、データベースアクセス管理部2においてタイマ計測装置を配備し、ある周期毎に期限切れかどうかをチェックする方法と、予め期限切れになる時間を登録しておき、その期限がきれるときに該当するデータを消去する方法等がある。
【0034】
次に、本発明の第3の実施形態について説明する。本発明の第3の実施形態に係るデータベースアクセス管理システムは、図6に示すように、第2の実施形態に係るデータベースアクセス管理システムに対し、さらに、属性値による開示レベル制御データ9が加えられた構成となっている。ここで、属性値による開示レベル制御データ9は、データの各属性値ごとに、データ閲覧者およびデータ閲覧代行者の開示レベルが記述された記憶装置である。
【0035】
第3の実施形態は、データ閲覧者もしくはデータ閲覧代行者および,登録された情報内の属性毎に設定された開示レベルからだけでなく,さらに,データを構成する属性値に関する条件を加味することで,アクセス制御可否を決定するものである。該データベースへアクセス要求が来た場合、データベースアクセス管理部2は、上述のいずれかの方法で開示レベルを決定した上で、データ閲覧者もしくはデータ閲覧代行者に対し、設定されている属性値による開示レベル制御データ9を参照して最終的に参照可能なデータ属性を決定する。なお、属性値による開示レベル制御データの例としては、要求がきた時の時刻に対し、time属性が30分以内のデータに限り開示可能と判断するためのスクリプト言語等がある。
【0036】
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成はこれらの実施の形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、本実施形態においては、データの登録形式を図2に示すようなカラム形式で説明したが、これに限らず、XML形式であってもよい。
【0037】
また、本実施形態においては、単一のデータ閲覧者もしくはデータ閲覧代行者を想定して説明をおこなったが、複数の同時アクセスが可能となるように構成することも可能である。さらに、本実施形態においては、あるデータ閲覧者は、データ登録者への通知なしに、(閲覧要求を出していることをデータ登録者が知らなくとも)該データベースへアクセス可能であるとして説明をおこなったが、データ登録者の設定により、データ閲覧者からの該データベースアクセスに対して、その都度、アクセス履歴をデータ登録者に通知するように構成することも可能である。
【0038】
【発明の効果】
以上のように、この発明によれば、アプリケーションの利用形態等に応じて、データ閲覧者に対する開示レベルを変更する必要性がある場合に、データ登録者が開示レベルを容易に変更が可能となるという効果がある。例えば、データ閲覧者からアクセスがくるたびに、その都度開示レベルを設定するようにデータ登録者に喚起することや開示レベルの有効期限の設定等が可能となる。
【0039】
また、データ閲覧者が直接アクセスするのではなく、データ閲覧代行者がアクセスしてきた場合においては、 データ閲覧代行者が該個人情報を知りえるため、データ閲覧者だけでなく、データ閲覧代行者も含めたデータベースアクセス管理が可能になるとなるという効果がある。
【0040】
さらに、データ閲覧者あるいは、データ閲覧代行者に対する開示レベルおよびデータセットに定義されている開示レベルだけでなく、データセットを構成する属性値情報に対して開示要否を決定する条件を満たすかどうかを判断することにより該データへの参照可否が設定可能になるという効果がある。また、ユーザの位置情報、行動履歴、その時々の個人の感情等に関する個人情報を対象として、他者に対する開示レベルを設定して保存することにより構成したデータベースに対し、本発明によるデータベースアクセス管理システムを適用すると、これらのデータベースに対するアクセス制御がよりユーザ主導で実現可能となるという効果もある。
【図面の簡単な説明】
【図1】本発明の第1の実施形態に係る構成図である。
【図2】本発明の第1の実施形態に係る登録データの形式を示した図である。
【図3】本発明の第1の実施形態に係る設定画面の表示内容を示した図である。
【図4】本発明の第1の実施形態に係る問い合わせ時の画面の表示を示した図である。
【図5】本発明の第2の実施形態に係る構成図である。
【図6】本発明の第3の実施形態に係る構成図である。
【図7】本発明の実施形態に係る処理の手順を示したフォローチャートである。
【符号の説明】
1・・・データベース蓄積部、2・・・データベースアクセス管理部、3・・・データ登録部、4・・・データ閲覧部、5・・・データベース、6・・・データ閲覧者開示レベルデータ、7・・・データ閲覧代行部、8・・・データ閲覧代行者開示レベルデータ、9・・・開示レベル制御データ、[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to database access control, and particularly to a database access management system for a database server in which a data sequence including certain personal information is stored.
[0002]
[Prior art]
2. Description of the Related Art Conventionally, various techniques for accessing a database have been proposed from the viewpoint of protection of data stored in the database. For example, as an example, a mask table for storing access rights is prepared for each column (item) of each table which is a target of database access control, and each access right stored in the mask table and a user An operation is performed with respect to the code to determine whether or not each column (item) of the table to be subjected to the access control is accessible. Based on the accessability, each column (item) of the table to be subjected to the access control is determined. A database system that determines whether access is permitted or not is proposed (for example, refer to Patent Document 1).
[0003]
[Patent Document 1]
JP-A-2002-175217 (pages 2-4, FIG. 1)
[0004]
[Problems to be solved by the invention]
However, it only mentions the necessity of disclosure for users accessing these data, and it has not been easy to appropriately change the disclosure level of users who access these data. Further, in the method of determining access permission by calculating access permission based on data describing an access level and level information of a user who requests access, an attribute such as time-series history information is used. There is a problem that it is not possible to determine whether disclosure is possible or not in accordance with the features of (1). Further, in the conventional technology utilizing a personal information database, a service provider utilizing personal information often collects and manages personal information. However, in such a model, there is also a problem that the degree of freedom of setting the disclosure level by the data registrant who owns the personal information is low because the manager of the personal information is also a service provider.
[0005]
Therefore, the present invention has been made in view of the above-described problems, and has as its object to provide a database access management system in which a data registrant can easily manage a disclosure level of a data viewer. . In addition, when a data viewer's agent (hereinafter referred to as a data viewing agent) requests access in addition to the data viewer, whether or not access is necessary, including not only the data viewer but also the data viewing agent It is an object of the present invention to provide a database access management system capable of determining a database access management system. Furthermore, in the disclosure level setting management of the data owner, it is possible to determine not only the above access level but also the disclosure permission according to the characteristics of attributes such as chronological history information included in the data. The purpose of the present invention is to provide a database access management system.
[0006]
[Means for Solving the Problems]
In order to solve the above problems, the present invention proposes the following means.
The invention according to claim 1, wherein: an attribute value registration unit for registering at least one attribute value for describing information; a data registration unit for creating a data set having a disclosure permission level for the attribute value; A system comprising: a database storage unit for registering or storing a set; and a database access management unit for controlling access to the data set according to a data viewer requesting access to the data set. When a user requests access to the data set, the database access management unit accesses from the disclosure permission level for each data viewer registered in advance and the disclosure permission level set for each attribute value in the data set. We propose a database access management system characterized by performing control.
[0007]
According to the present invention, when the data viewer requests access to the data set, the disclosure level to the data viewer is set for each disclosure permission level for each data viewer and each attribute value in the data set. Judging from the disclosure permission level and performing access control, unauthorized access and leakage of personal information can be prevented.
[0008]
According to a second aspect of the present invention, in the database access management system according to the first aspect, the database access management unit includes a disclosure permission level changing unit that changes a disclosure permission level for each currently registered data viewer. A database access management system according to claim 1 is provided.
[0009]
According to the present invention, since the database access management unit has means for changing the disclosure permission level for each currently registered data viewer, personal information and the like can be stored in accordance with the circumstances and the type of data at that time. Can be properly protected.
[0010]
According to a third aspect of the present invention, in the database access management system according to the first or second aspect, when the data viewer requests access to the data set, the data registrant is notified of the data viewer. A data viewer confirmation notifying means for notifying whether the disclosure permission level needs to be changed, and a disclosure permission for each currently registered data viewer when the data registrant determines that a change is necessary. A database access management system characterized by having disclosure permission level updating means for receiving and updating level change information is proposed.
[0011]
According to the present invention, when the data viewer requests access to the data set, the data registrant is notified to confirm whether or not the data viewer's disclosure permission level needs to be changed. In addition, the data registrant can take a quick and accurate response for each data viewer and data requested to be viewed.
[0012]
According to a fourth aspect of the present invention, in the database access management system according to any one of the first to third aspects, the data viewer requests access to the data set via the data viewing agent. Sometimes, a disclosure permission level for a data viewer requesting access to the data set is compared with a disclosure permission level for a delegate for the data viewer, and more strict disclosure is performed for each attribute value in the data set. We propose a database access management system that performs access control according to the permission level.
[0013]
According to the present invention, when a data viewer requests access to a data set via a data viewing agent, a disclosure permission level for the data viewer requesting access to the data set, and a data viewer Access control for each attribute value in the data set according to the more stringent disclosure permission level, compared to the disclosure permission level for the Leakage of information and the like can be prevented.
[0014]
According to a fifth aspect of the present invention, in the database access management system according to the fourth aspect, when the data viewer requests access to the data set via a data browsing agent, the data registrant A data browsing agent confirmation notifying means for notifying whether or not a change in the disclosure permission level of the agent is necessary, and updating the disclosure permission level when the data registrant determines that the agent needs to change the disclosure permission level. The present invention proposes a database access management system characterized by receiving and updating change information of a disclosure permission level for each currently registered data viewer by means.
[0015]
According to the present invention, when the data viewer requests access to the data set via the data browsing agent, the data registrant is notified of the necessity of changing the disclosure permission level of the agent. In addition, since the disclosure permission level can be updated, the data registrant can take quick and accurate action according to the data viewer, the data viewer, and the information requested to be viewed.
[0016]
According to a sixth aspect of the present invention, there is provided the database access management system according to any one of the first to fifth aspects, further comprising a data table for holding a disclosure permission level for the data viewer or the data viewer. A database access management system is proposed in which information described in a table becomes invalid when a timer expires.
[0017]
According to the present invention, since the expiration date is set for the disclosure permission level for the data viewer or the data browsing agent, even if the data registrant fails to update necessary data, it is possible to safely operate personal information and the like. Can be.
[0018]
According to a seventh aspect of the present invention, in the database access management system according to any one of the first to sixth aspects, when the data viewer or the data viewing agent requests access to the plurality of data sets. A database access management system is proposed, which comprises reference availability determining means for determining availability based on a condition relating to at least one attribute value constituting a data set.
[0019]
According to the present invention, when a data viewer or a data browsing agent requests access to a plurality of data sets, the data viewer or the data browsing agent determines whether or not reference is possible according to a condition regarding at least one attribute value constituting the data set. Therefore, personal information and the like can be operated safely even when accessing a plurality of data sets.
[0020]
According to an eighth aspect of the present invention, in the database access management system according to any one of the first to seventh aspects, when the data viewer or the data viewing agent is permitted to access the data set, the access is performed. There is proposed a database access management system having an access content notifying means for notifying the data registrant of the content.
[0021]
According to the present invention, even when the data viewer or the data browsing agent is permitted to access the data set, the data registrant is notified of the contents of the access to the data set. By confirming the contents, the settings such as the disclosure level can be confirmed again.
[0022]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, a database access management system according to an embodiment of the present invention will be described in detail with reference to FIGS.
The database access management system according to the first embodiment of the present invention includes a database storage unit 1, a database access management unit 2, a data registration unit 3, a data browsing unit 4, a database 5, and a data viewer disclosure level. And data 6. The database storage unit 1 has a function of receiving the data from the data registration unit 3 by some communication means, adding time information to the data, and registering the data in the database 5. The database access management unit 2 confirms the data viewer disclosure level data 6 by access from the data browsing unit 4, acquires necessary data from the database 5 according to the confirmed data viewer disclosure level, and performs data browsing. Output to section 4.
[0023]
The data registration unit 3 creates a data set from various data registered by the data registrant using a portable terminal or the like, and outputs the created data set to the database storage unit 1. FIG. 2 shows an example of a registered data sequence. In the example of FIG. 2, a place attribute, an object attribute, and an activity attribute are set as attributes for describing data. In order to describe information that “played a game on a personal computer at home,” The words "Home", "PC", and "Played a game" are arranged respectively. Further, for each attribute, three levels are set as disclosure levels to a third party.
[0024]
The data browsing unit 4 is a portable terminal or the like owned by the data browsing person. When the data browsing is desired, the data browsing unit 4 specifies the data to be browsed and accesses the database access management unit 2. The database 5 is a storage device in which personal information is stored in a format as shown in FIG. The data viewer disclosure level data 6 is a storage device that stores a disclosure level set for each data viewer.
[0025]
In the present embodiment, a process for browsing data will be described with reference to FIG. First, in order for a data viewer to view data, the user requests access to data addressed to the user via the data viewing unit 4 (step 201). Upon receiving the access from the data browsing unit 4, the database access management unit 2 confirms whether or not an inquiry to the data registrant is necessary (step 202), and for each data browsing person described in the data browsing disclosure level data 6. After the notification of the change of the user disclosure level is performed with reference to the disclosure level set in (step 204), the user disclosure level is received (step 205), and the disclosure level is updated (step 206).
[0026]
Subsequently, the database access management unit 2 determines whether or not access is possible from the disclosure level and the disclosure level preset for each attribute of the information requested to be accessed (step 207). The determination of access permission is performed, for example, by a method of determining that an attribute set to a numerical value equal to or less than N can be disclosed when the disclosure level set for the desired data viewer is N. As a result, the data determined to be accessible is transmitted to the data browsing unit 4 (step 208). If the inquiry to the data registrant is unnecessary, it is checked whether there is management data of the disclosure level for the user (step 203). If there is management data, the process proceeds to step 207 to acquire the disclosure level. If there is no management data, the process proceeds to step 301 to continue the process.
[0027]
Further, when the data registrant changes the registration content for each data viewer described in the data viewer disclosure level data 6, the data registration unit 3 issues a setting change request to the database access management unit 2 ( Step 101). Then, the database access management unit 2 returns the current setting state obtained from the data viewer disclosure level data 6 to the data registration unit 3 (Step 102). FIG. 3 shows an example of a current setting state and a setting change form displayed by the data registration unit 3. FIG. 3 shows the currently set user name (login name) of the data viewer and the currently set disclosure level for the data viewer. The disclosure level can be changed to another disclosure level by selection, and a new user name can be added. Subsequently, the data registration unit 3 transmits only the changed part to the database access management unit 2 (Step 103), and the database access management unit 2 updates the data to the data viewer disclosure level data 6 (Step 103). Step 104).
[0028]
Also, when a data viewer requests access to data, if there is no disclosure level information of the data viewer, or if the data registrant inquires about the disclosure level each time regardless of the registered disclosure level information, If it has been set, the database access management unit 2 sends a message prompting confirmation to the data registration unit 3 (step 301) and asks the data viewer to set the disclosure level (step 302). Is updated (step 303). FIG. 4 shows an example of a screen in the data registration unit 3.
[0029]
Next, a second embodiment of the present invention will be described. As shown in FIG. 5, the database access management system according to the second embodiment of the present invention is different from the database access management system according to the first embodiment in that a data browsing agent 7 and a data browsing agent are further provided. It is configured to have disclosure level data 8. Here, the data browsing agent unit 7 accesses the data on behalf of the data viewer, and corresponds to, for example, a service provider. The data browsing agent disclosure level data 8 is a storage device that describes a disclosure level for each data set in advance for each data browsing agent.
[0030]
In the present embodiment, it is assumed that the data browsing agent requests access to the database access management unit 2 from the data browsing proxy unit 7 instead of the data browsing unit 4. However, the trigger for acting on behalf of the request from the data viewer is not only when the data browsing unit 4 issues an instruction to the data browsing agent unit 7, but also when the data viewer has a contract with the data browsing agent in advance. This includes a case where the data browsing proxy unit 7 autonomously issues a request to the database access management unit 2 without an explicit instruction from the data viewer 4.
[0031]
When the data browsing agent 7 requests access, the database access manager 2 discloses the data browsing disclosure level data: N1 described in the data browsing disclosure level data 6 and the disclosure of the data browsing proxy. The disclosure level data: N2 of the data browsing agent described in the level data 8 is acquired. In addition to these disclosure level data: N1 and N2, access permission / non-permission is determined from the disclosure level set for each attribute of the information for which access is requested. The determination of access permission is performed by, for example, a method of determining that an attribute set to a numerical value equal to or less than min {N1, N2} can be disclosed.
[0032]
When the data registrant changes the registered contents of each data browsing agent described in the disclosure level data 8 of the data browsing agent, the data registration unit 3 sends a setting change request to the database access management unit 2. Put out. Then, the database access management unit 2 returns the current setting state and the setting change form obtained from the disclosure level data 8 of the data browsing agent to the data registration unit 3. Subsequently, the data registration unit 3 returns only the changed portion to the database access unit 2, and the database access management unit 2 updates the disclosure level data 8 of the data browsing agent.
[0033]
In the above system, the expiration date of the data viewer disclosure level data 6 and the disclosure level data 8 of the data viewer can be set. The timer monitoring method includes a method of deploying a timer measuring device in the database access management unit 2 and checking whether the time has expired at a certain period, and a method of registering the time when the time expires in advance and when the time expires. There is a method of erasing data corresponding to.
[0034]
Next, a third embodiment of the present invention will be described. As shown in FIG. 6, in the database access management system according to the third embodiment of the present invention, disclosure level control data 9 based on attribute values is added to the database access management system according to the second embodiment. Configuration. Here, the disclosure level control data 9 based on attribute values is a storage device in which the disclosure level of a data viewer and a data viewing agent is described for each attribute value of data.
[0035]
In the third embodiment, not only a data viewer or a data browsing agent, but also a disclosure level set for each attribute in registered information, as well as conditions for attribute values constituting data are taken into consideration. This determines whether access control is possible or not. When an access request to the database is received, the database access management unit 2 determines the disclosure level by any one of the above-described methods, and then gives the data viewer or the data viewer on the basis of the set attribute value. The data attribute that can be finally referred to is determined with reference to the disclosure level control data 9. As an example of the disclosure level control data based on the attribute value, there is a script language or the like for determining that only the data whose time attribute is within 30 minutes with respect to the time when the request is made can be disclosed.
[0036]
As described above, the embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to these embodiments, and includes design changes and the like within a scope not departing from the gist of the present invention. It is. For example, in the present embodiment, the data registration format has been described in the column format as shown in FIG. 2, but is not limited to this, and may be in the XML format.
[0037]
Also, in the present embodiment, the description has been made assuming a single data viewer or a data viewing agent, but it is also possible to configure so that a plurality of simultaneous accesses are possible. Further, in the present embodiment, a description is given assuming that a certain data viewer can access the database without notification to the data registrant (even if the data registrant does not know that the browsing request has been issued). However, according to the setting of the data registrant, it is possible to notify the data registrant of the access history every time the database is accessed by the data viewer.
[0038]
【The invention's effect】
As described above, according to the present invention, the data registrant can easily change the disclosure level when it is necessary to change the disclosure level for the data viewer according to the application usage mode and the like. This has the effect. For example, it is possible to urge the data registrant to set the disclosure level each time a data viewer accesses, and to set the expiration date of the disclosure level.
[0039]
In the case where a data browsing agent does not directly access the data but accesses the data browsing agent, the data browsing agent can know the personal information. This has the effect that database access management can be performed.
[0040]
Furthermore, whether or not the disclosure level for the data viewer or the data browsing agent and the disclosure level defined in the data set, as well as the attribute value information constituting the data set, which satisfies the condition for determining the necessity of disclosure. Has the effect that it is possible to set whether or not reference to the data is possible. The present invention also relates to a database access management system according to the present invention for a database configured by setting and storing a disclosure level for others for personal information relating to a user's position information, action history, individual emotions at that time, and the like. Is effective in that access control to these databases can be realized more user-driven.
[Brief description of the drawings]
FIG. 1 is a configuration diagram according to a first embodiment of the present invention.
FIG. 2 is a diagram showing a format of registration data according to the first embodiment of the present invention.
FIG. 3 is a diagram showing display contents of a setting screen according to the first embodiment of the present invention.
FIG. 4 is a diagram showing a screen display at the time of an inquiry according to the first embodiment of the present invention.
FIG. 5 is a configuration diagram according to a second embodiment of the present invention.
FIG. 6 is a configuration diagram according to a third embodiment of the present invention.
FIG. 7 is a follow chart showing a procedure of processing according to the embodiment of the present invention.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 ... Database storage part, 2 ... Database access management part, 3 ... Data registration part, 4 ... Data browsing part, 5 ... Database, 6 ... Data viewer disclosure level data, 7: Data browsing agent unit, 8: Data browsing agent disclosure level data, 9: Disclosure level control data,
