JP4550056B2 - データ・アクセス制御機能を実現する方法、システム、およびプログラム・ストレージ・デバイス - Google Patents

データ・アクセス制御機能を実現する方法、システム、およびプログラム・ストレージ・デバイス Download PDF

Info

Publication number
JP4550056B2
JP4550056B2 JP2006523632A JP2006523632A JP4550056B2 JP 4550056 B2 JP4550056 B2 JP 4550056B2 JP 2006523632 A JP2006523632 A JP 2006523632A JP 2006523632 A JP2006523632 A JP 2006523632A JP 4550056 B2 JP4550056 B2 JP 4550056B2
Authority
JP
Japan
Prior art keywords
pii
user
access control
data
psfs
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006523632A
Other languages
English (en)
Other versions
JP2007503035A (ja
JP2007503035A5 (ja
Inventor
ベッツ、リンダ
ダイカ、ジョン
ファレル、ウォルター
ガスキ、リチャード
カルヨト、ギュンター
ネルソン、マーク
フィッツマン、ビルギット
シュンター、マティアス
ヴァイドナー、ミヒャエル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2007503035A publication Critical patent/JP2007503035A/ja
Publication of JP2007503035A5 publication Critical patent/JP2007503035A5/ja
Application granted granted Critical
Publication of JP4550056B2 publication Critical patent/JP4550056B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、一般に、コンピュータ・システム内の個人情報のセキュリティに関し、詳細には、企業のコンピュータ・システム内の個人識別情報(PII:personally identifying information)オブジェクトまたはリソースに対するユーザによるアクセスを制御する条件付きアクセス機能の実現および使用に関する。
コンピューティング技術および通信技術の進歩は、人および組織が膨大な量の個人情報を保管し処理することを可能にすることにより、プライバシを圧縮し続けている。データのプライバシを確保するため、保管データ、転送中のデータを保護し、データのリリースをある程度制御することが必要である。保管データの保護は新たに開発されたプライバシ・ポリシー言語およびその執行によりある程度カバーされるが、企業のコンピューティング機能内からの個人識別情報の正しい使用を保証し、したがって、そのリリースを制御するために現在提案されているメカニズムはまったく存在しない。伝統的に、コンピュータ・システムのセキュリティを管理するには、組織のセキュリティ・ポリシーを比較的低レベルの制御セット、概して、アクセス制御リストにマッピングすることが必要であった。すなわち、個別ユーザ(人または論理プロセス)はまずコンピューティング・システムに対して十分に識別され認証されるものと想定すると、保護されたコンピュータ・システム内の文書、プログラム、機能、およびその他の「オブジェクト」に対する個別ユーザのアクセスは、単に所与のオブジェクトにアクセスする資格がある人の名前のリストとユーザの名前を比較することにより、セキュリティ・システム、たとえば、システム・セキュリティ・マネージャによって制御される。一般的に言えば、この技法は任意アクセス制御またはDACとして知られている。
米国政府内およびその他で広範に使用されるコンピュータ・システムのセキュリティのためのより高性能かつ十分開発されたモデルによれば、コンピューティング・システム内のオブジェクトへのアクセスは、ユーザおよび保護コンピュータ・リソース・オブジェクトに関連する論理セキュリティ・レベル(階層的なもの)またはカテゴリ(階層的ではないもの)あるいはその両方により実現された区画化の論理システムによって制御することができる。このようなシステムは、「マルチレベル・セキュア」(「MLS:multilevel secure」)システムと呼ばれ、1973年11月発行のMITRE Report、MTR 2547の「Secure computer systems: Mathematical foundations and model」においてD.BellおよびL.LaPadulaによって定義されたBell−LaPadulaセキュリティ・モデルの実現例である。このようなシステムの開発、検証、および実現には相当な投資が行われている。
MLSシステムでは、(割当てにより)最高のセキュリティ・レベルおよび最大数のカテゴリに関連するユーザは、システム内で最高のセキュリティ・レベルを有するものと言われている。保護オブジェクトを読み取るための権限は、要求側ユーザが(コンピューティング・システムに対する適切な識別および認証後)少なくとも要求されたオブジェクトのものと同じ高さの関連セキュリティ・レベルを有し、ユーザが要求されたオブジェクトに関連するものを含む1組のカテゴリ(1つまたは複数)を有するときに、ユーザに付与される。この場合、ユーザは、そのオブジェクトより「上位になる」と言われている。逆に、MLS保護オブジェクトに書き込むための権限は、要求されたオブジェクトが少なくとも要求側ユーザのものと同じ高さの関連セキュリティ・レベルを有し、そのオブジェクトが少なくとも要求側ユーザに関連するカテゴリを含む1組のカテゴリを有するときに、ユーザに付与される。この場合、オブジェクトはユーザより上位になると言われている。Bell−LaPadulaモデルによって定義されたこれらのプリンシパルにより、MLS保護情報は、より低いセキュリティ・レベルからより高いセキュリティ・レベルに、またはより少数のカテゴリからより多数のカテゴリに、あるいはその両方で移動するので、あるオブジェクトから読み取られ、他のオブジェクトに書き込まれたときに、よりセキュアなものになりうることが分かる。逆に、実際上、Bell−LaPadulaモデルの逆である許可検査のためのモデルは、1977年発行の米国空軍電子システム部門のTechnical Report 76−372の「Integrity considerations for secure computer systems」においてK.Bibaによって記載されている。Bibaは、データおよびプログラミング・システムが、その作成時に使用されたデータおよびプログラミング・システムの保全性と、このような保全性を保証するための処理モデルに依存することを示している。Bell−LaPadula(MLS)モデルとBibaモデルの「逆MLS(MLS-inverse)」態様の両方は、コンピューティング業界、たとえば、インターナショナル・ビジネス・マシーンズ社(IBM)によって提供されるz/OSオペレーティング・システムの任意選択のコンポーネントであるリソース・アクセス管理機能(RACF)というプログラム内で現在、使用されている。z/アーキテクチャについては、2001年10月発行の「z/Architecture Principles of Operation」というタイトルのIBM資料(資料番号SA22−7832−01)に記載されている。さらに、RACFについては、2002年9月発行の「z/OS V1R4.0 Security Server RACF Security Administrator's Guide」というタイトルのIBM資料(SA22−7683−03)に記載されている。
1973年11月発行のMITRE Report、MTR 2547の「Secure computer systems: Mathematical foundations and model」 2001年10月発行の「z/Architecture Principles of Operation」というタイトルのIBM資料(資料番号SA22−7832−01) 2002年9月発行の「z/OS V1R4.0 Security Server RACF Security Administrator's Guide」というタイトルのIBM資料(SA22−7683−03) 2002年10月発行の「DB2 UDB for OS/390 V7 An Introduction to DB2 for OS/390」という資料(SC26−9937−02) 1990年にマサチューセッツ州レディングのAddison−Wesleyから発行されたS.Skienaによる「Implementing Discrete Mathematics: Combinatorics and Graph Theory with Mathematica」の§5.4.2の「Hasse Diagrams」の163、169〜170、および206〜208ペー
PII保護オブジェクトの制御に関する要件は、保護オブジェクトおよびそれにアクセスするユーザのカテゴリ化を伴う手法に傾いている。MLS保護オブジェクトにカテゴリを割り当てるのと同様に、PII保護オブジェクトに目的を割り当てることができる。しかし、PIIデータ・オブジェクトの制御に関する要件は基本的に、より多くの目的(そのためにアクセスが行われる可能性があるもの)がそれに関連するときにPIIデータ・オブジェクトが必要とするセキュリティが低くなるという点で、MLS保護オブジェクトの制御に関する要件とは異なっている。これは、目的の数が増えると、PIIデータ・オブジェクトがあまりプライベートなものではなくなることを意味するからである。PII目的とMLSカテゴリとの類似性を引き出すことができる場合でも、階層的なMLSセキュリティ・レベルに関しては同様の類似性はまったく存在しない。加えて、伝統的なMLS手法ではユーザとオブジェクトを扱うが、PII目的については、単純にユーザを考慮することができず、ユーザならびにユーザが実行するプログラム(プロセス)と、PIIデータにアクセスするためにプログラムが有する理由(目的)の両方を考慮しなければならない。したがって、当技術分野では、効率の良いプライバシ・モデルを実現し、たとえば企業全域の情報フローを不当に制限せずに個人情報のリリースおよび伝搬の精密な制御を可能にする、本明細書で提示されているような新規のデータ・アクセス制御機能が必要である。
一態様では、本発明は、PIIデータ・オブジェクトへのアクセスを制御するための備えを有するデータ・アクセス制御機能を実現する方法を提供する。この方法は、1つのPIIデータ・オブジェクトがそれに割り当てられた1つのPII分類ラベルを有するように、PII分類ラベルをPIIデータ・オブジェクトに割り当てるステップと、PIIデータ・オブジェクトを読み取るか、書き込むか、または再分類するアプリケーション機能のリストを有する少なくとも1つのPII目的対応機能セット(PSFS:purpose serving function set)を定義するステップと、各PSFSにPII分類ラベルを割り当てるステップとを含む。ここで、PIIデータ・オブジェクトは、そのPIIデータ・オブジェクトのPII分類ラベルに等しいかまたはその適切なサブセットであるPII分類ラベルを有するPII PSFSのアプリケーション機能を介してのみアクセス可能である。
一実施形態は、PIIデータ・オブジェクトは、そのPIIデータ・オブジェクトのPII分類ラベルに等しいかまたはそれより優位であるPII分類ラベルを有するPII PSFSのアプリケーション機能によって書込みアクセス可能である。PIIデータ・オブジェクトは、PII PSFSに許可されるPII再分類のリストを有するPII PSFSのアプリケーション機能によって書込みアクセス可能である場合もある。
一実施形態では、この方法は、データ・アクセス制御機能の特定の機能を呼び出すユーザを識別し、識別されたユーザにPIIクリアランス・セット(clearance set)を割り当てるステップを含む。ここで、PIIクリアランス・セットは識別されたユーザに関する1つまたは複数のPII分類ラベルのリストを有する。
PIIデータ・オブジェクトに割り当てられたPII分類ラベルは、PIIデータ・オブジェクトの所有者の識別を含むことができる。
PIIデータ・オブジェクトに割り当てられたPII分類ラベルは、そのためにデータ・オブジェクトを使用できる少なくとも1つの目的の表示を含むことができる。
この方法は、初めにデータ・アクセス制御機能を使用するために企業内のPII目的を定義し、PIIデータ・オブジェクトに割り当てられ、少なくとも1つのPSFSに割り当てられるPII分類ラベルを定義する際に上記PII目的を使用するステップを含むことができる。
本発明の他の態様では、データ・アクセス制御機能がPIIデータ・オブジェクトおよび少なくとも1つのPII目的対応機能セット(PSFS)に割り当てられる個人識別情報(PII)分類ラベルを有し、PSFSがPIIデータ・オブジェクトを読み取るかまたは書き込むアプリケーション機能のリストを含み、データ・アクセス制御機能のユーザに、少なくとも1つのPII分類ラベルを含むリストを有するPIIクリアランス・セットが割り当てられる状況において、次のデータ・アクセス制御方法が提供される。すなわち、データ・アクセス制御機能のユーザにより、特定の機能を呼び出すステップと、特定の機能がデータ・アクセス制御機能の少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されているかどうかを判定し、そうである場合に、ユーザのPIIクリアランス・セットがそのPII PSFSに割り当てられたPII分類ラベルと一致するPII分類ラベルを含むかどうかを判定し、さらにそうである場合に、特定の機能へのアクセスを許可するステップと、特定の機能を実行するために、ユーザが、選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップとを含むデータ・アクセス制御方法が提供される。
このデータ・アクセス制御方法は、呼出しステップの前に、データ・アクセス制御機能のセキュリティ制御下でオペレーティング・システム内のプロセスを確立するステップを含むことができる。この呼出しは、その後、確立されたプロセス内で行われる。
特定の機能が定義されているかどうかを判定するステップは、特定の機能がデータ・アクセス制御機能のPII PSFSに対して定義されておらず、確立されたプロセスについて現行プロセス・ラベル(CPL:current process label)が事前に設定されている場合に、特定の機能へのアクセスを拒否するステップを含むことができる。
ユーザが、特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップは、選択されたデータ・オブジェクトがPIIデータ・オブジェクトから構成されるかどうかを判定し、そうである場合に、ユーザの特定の機能がデータ・アクセス制御機能の少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されていることを検証し、そうではない場合に、選択されたデータ・オブジェクトへのアクセスを拒否するステップを含むことができる。
ユーザが、特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップは、選択されたデータ・オブジェクトがPIIデータ・オブジェクト以外のものである場合に、確立されたプロセスについて現行プロセス・ラベル(CPL)が設定されているかどうかを判定するステップを含むことができる。CPLがまったく設定されていない場合、この方法は、任意アクセス制御検査を介して選択されたデータ・オブジェクトにアクセス決定を提供するステップを含むことができる。
ユーザが、特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップは、そのプロセスについてCPLが事前に設定されており、選択されたデータ・オブジェクトがPIIデータ・オブジェクト以外のものである場合に、特定の機能が読取り操作であるかどうかを判定し、そうである場合に、任意アクセス制御検査を介して選択されたデータ・オブジェクトにアクセス決定を提供し、特定の機能が読取り操作以外のものである場合に、確立されたプロセスから選択されたデータ・オブジェクトへのアクセスを拒否するステップを含むことができる。
ユーザが、特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップは、特定の機能が読取り操作を有するかどうかを判定し、そうである場合に、特定の機能が定義されているPII PSFSに割り当てられたPII分類ラベルが選択されたデータ・オブジェクトに関連するPII分類ラベルに等しいかまたはその適切なサブセットであるかどうかを判定し、そうではない場合に、選択されたデータ・オブジェクトへのアクセスを拒否し、そうである場合に、確立されたプロセスに関する現行プロセス・ラベル(CPL)リストに選択されたデータ・オブジェクトのPII分類ラベルを追加するステップを含むことができる。
ユーザが、特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するステップは、特定の機能が読取り操作以外のものであることを決定し、そうであるときに、確立されたプロセスに関する現行プロセス・ラベル(CPL)リストが存在するかどうかを判定し、そうではない場合に、任意アクセス制御検査を介して続行するために選択されたデータ・オブジェクトにアクセス決定を与えるステップを含むことができる。
確立されたプロセスに関するCPLリストが存在する場合、このデータ・アクセス制御方法は、選択されたデータ・オブジェクトのPII分類ラベルがCPL項目のそれぞれに等しいかまたはその適切なサブセットであるかどうかを判定し、そうである場合に、任意アクセス制御検査を介して続行するために選択されたデータ・オブジェクトにアクセス決定を与えるステップを含むことができる。
PIIデータ・オブジェクトのPII分類が各CPLリスト項目のPII分類ラベルに等しくないかまたはその適切なサブセットではない場合、この方法は、特定の機能が定義されているPII PSFSがCPLリスト内のPII分類ラベル(複数も可)からPIIデータ・オブジェクトのPII分類ラベルへの再分類を可能にするかどうかを判定し、そうである場合に、任意アクセス制御検査を介して続行するために選択されたデータ・オブジェクトにアクセス決定を与え、そうではない場合に、PIIデータ・オブジェクトへのユーザ・アクセスを拒否するステップを含むことができる。
このデータ・アクセス制御方法は、確立されたプロセスに対して、該確立されたプロセス内で読み取られた各PIIデータ・オブジェクトのPII分類ラベルの動的リストを有する現行プロセス・ラベル(CPL)リストを提供するステップ含むことができる。
このデータ・アクセス制御方法は、特定の機能が第2のPIIデータ・オブジェクトへの書込み操作であるときに、確立されたプロセスのユーザが第2のPIIデータ・オブジェクトにアクセスできるようにするかどうかを判定するときにCPLリストを使用するステップをさらに含むことができる。第2のPIIデータ・オブジェクトは、それから情報が読み取られたPIIデータ・オブジェクトに関連するPII分類ラベルとは異なるPII分類ラベルを有し、それにより、読み取られた情報を再分類することができる。
このデータ・アクセス制御方法は、少なくとも1つのPII PSFSに関連する「再分類許可(reclassification allowed)」パラメータを提供するステップ含むことができる。「再分類許可」パラメータが設定されている場合、そのパラメータが、対応する少なくとも1つのPII PSFS内で定義されたすべての機能に関連付けられる。そして、CPLリストに含まれるPII分類ラベルのそれぞれと同一ではないかまたはその適切なサブセットではないPII分類ラベルを有するPIIデータ・オブジェクトに情報を書き込むときに、そのパラメータにより、これらの機能のうちの1つを実行するユーザはPIIデータ・オブジェクトを再分類することを許可される。
上記で要約されている方法に対応するシステムおよびコンピュータ・プログラムも本明細書に記載され、請求されている。このコンピュータ・プログラムは、記録媒体に記録されたコンピュータ・プログラムとして入手可能なものまたはデータ転送媒体を介してダウンロード用として入手可能なものにすることができる。このシステムはデータ・アクセス制御機能を実現することができる。
さらに、追加の特徴および利点は、本発明の技法により実現される。本発明のその他の諸実施形態および諸態様は、本明細書に詳細に記載され、請求された発明の一部と見なされる。
本発明と見なされる主題は、特許請求の範囲で詳細に指摘され、明確に請求されている。本発明の上記その他の特徴および利点は、添付図面に併せて示した以下の詳細な説明から明らかである。
本明細書には、個人識別情報(PII)に関するセキュリティを提供するデータ・アクセス制御機能が提示されている。この機能により、PII情報へのアクセスは、プライバシ分類コンピュータ化リソース(おおざっぱに、本明細書では「オブジェクト」または「データ・オブジェクト」という)へのアクセスが行われるコンピュータ・プロセスの実行中またはその実行に至るときに存在する(または実施される)可能性がある様々な「条件」に基づくものである。このような条件は、(1)そこでユーザがPIIオブジェクトへのアクセスを要求したアプリケーション機能、(2)ユーザがコンピューティング機能に対してどのように識別され認証されるか、(3)ユーザがどこにいるか、(4)要求の時間、(5)プログラムにより確認できるその他のコンテキスト上および環境上の要因を含むことができるが、これらに限定されない。
本発明の一態様によれば、任意の所与のアクセス制御検査イベントに条件を適用できる方法がいくつか存在する。たとえば、(1)プライバシ分類は、ユーザがPII機密オブジェクトにアクセスしようとしたときに実施される条件に動的に基づいてそのユーザに割り当てることができるか、または(2)その代わりに(またはしかも)、あるオブジェクトに対するプライバシ分類は、同様の条件、時には同じ条件に動的に基づくものにすることができる。したがって、本明細書に提示されているデータ・アクセス制御機能は、アクセス・イベント状況の力学により、PII分類オブジェクトおよび機能の種々の「セット」へのアクセスをユーザまたはコンピュータ・プロセスに対して有利に許可し、それにより、個人識別情報へのアクセスを必要とする情報プロセスのセキュリティに柔軟性を追加し、そのセキュリティを強化する。
おおざっぱに言えば、本明細書には(一態様では)、データ・アクセス制御機能を実現するための技法が開示されており、これは、個人識別情報(PII)分類ラベルをPIIオブジェクトに割り当てることを含み、各PIIデータ・オブジェクトはそれに割り当てられた1つのPII分類ラベルを有する。少なくとも1つのPII目的対応機能セット(PSFS)が定義され、これは、PIIデータ・オブジェクトを読み取るか、書き込むか、または再分類するアプリケーション機能のリストを有する。各PSFSにもPII分類ラベルが割り当てられる。使用されている場合、PIIオブジェクトは、そのオブジェクトのPII分類ラベルに等しいかまたはそのサブセットであるPII分類ラベルを有するPII PSFSのアプリケーション機能を介してのみ読み取ることができるか、またはそのオブジェクトのPII分類ラベルに等しいかまたはそれより優位であるPII分類ラベルを有するかまたはPSFSによって許可されたPII再分類のリストを有するPII PSFSのアプリケーション機能を介してのみ書き込むことができる。
操作上、データ・アクセス制御機能の使用は、コンピューティング・システム内で実行されているコンピューティング・アプリケーションのユーザにより、特定の機能を呼び出すことと、特定の機能がデータ・アクセス制御機能のPSFSに対して定義されているかどうかを判定し、そうである場合に、ユーザのPIIクリアランス・セット(少なくとも1つのPII分類ラベルを含むリストを有するもの)がそのPSFSに割り当てられたPII分類ラベルと一致するPII分類ラベルを含むかどうかを判定し、そうである場合に、特定の機能へのアクセスを許可することと、特定の機能を実行するために、ユーザが、選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定することを含む。したがって、以下に詳細に説明する通り、本発明の一態様によるPIIデータ・アクセス制御機能は、初めにユーザが特定の機能にアクセスする資格があるかどうかを判定し、その後、ユーザが、選択されたデータ・オブジェクトへのアクセスを許可されているかどうかを判定するために使用される。
PIIデータ・アクセス制御機能についてより詳細に論ずる前に、以下の論理構成体を定義する。本明細書で論じられる例では、PII制御機能は、病院事業に使用されるものと想定される。この想定は一例に過ぎない。
PII分類ラベル:
PIIデータ・オブジェクトの所有者をリストし、そのためにこのように分類されたPIIデータ・オブジェクトを使用でき、所有者によって選択された1つまたは複数の目的のリストを含む。例としては、所有者であるユーザIDx、目的である医療、処理、報告、請求などがある。PII保護データ・オブジェクト内に含まれる情報の後続ユーザは、元の所有者によって同意され、PII分類ラベルに指定された目的にのみ、その情報を使用することができる。そのためにPIIオブジェクトを使用できる目的は、ユーザがそのデータに対して実行することを許可されている機能内で具体化される。
PII目的対応機能セット(PSFS):
PIIオブジェクトを読み取る/書き込むアプリケーション機能のリストである。PSFS自体は、特定のPII分類ラベルでラベルが付けられる。所与のPSFS内の機能のリストは、特定プログラム、アプリケーション、EJB(Enterprise Java Bean)、メソッド、データベース管理開始手順、SQL照会などのアプリケーション内の機能を含むことができる。PSFSは任意選択で、指定のPSFSを実行しているユーザが、同じコンピュータ・オペレーティング・システム・プロセス内でユーザが事前に読み取ったPIIデータのPIIラベル(複数も可)が記録されている現行プロセス・ラベル(CPL)内に保管されたPIIラベル(複数も可)に含まれない目的を含むPIIラベルを有するPIIオブジェクトにデータを書き込む場合および書き込むときに、指定のPSFSによって許可されたPII分類変更(再分類)のリストを含むことができる。
PIIデータ・オブジェクト:
関連PII分類ラベルが付いた任意のリソース、文書、プログラム、機能などである。所与のPIIオブジェクトは、1つのPII分類ラベルのみを有することができる。PIIデータ・オブジェクトの所有者は、オブジェクトならびにそのオブジェクトを使用できる目的(複数も可)に関連するラベルに含まれる。完璧にするため、PIIデータ・オブジェクトの所有者は、本発明の主題であるPIIアクセス制御検査が全般的なアクセス制御検査プロセス内のその部分を完了した後のある点におけるアクセス制御検査中に活動し始めるので、この説明に含まれる。より具体的には、PII保護データ・オブジェクトの所有者は、それ自体のデータ・オブジェクトのみにアクセスすることができ、他の所有者によって所有されているPII保護データ・オブジェクトにアクセスすることはできず、この概念は、当技術分野内でDACとして知られている任意アクセス制御検査によって実施される。
サブジェクト:
ユーザIDおよびグループID(ユーザIDのグループ)は、(PIIデータの)所有者および企業ユーザ、すなわち、データ・オブジェクトにアクセスし、その企業機能の一部として特定の目的対応機能セット(複数も可)により機能を実行するために企業セキュリティ管理によって許可を与えられているものを含む。
ユーザPIIクリアランス・セット:
企業ユーザに割り当てられるPII分類ラベル(複数も可)のリストである。ユーザPIIクリアランス・セットは、その中からユーザが企業内で機能を実行することを許可される1つまたは複数の目的対応機能セットを確立するものである。たとえば、管理者は、{報告}、{請求、報告}というPIIクリアランス・セットを有することができ、したがって、それにより、{報告}または{請求、報告}のいずれか一方のPIIラベルを有する目的対応機能セット内に入るように定義される機能を実行することを許可される。医師は、{医療}、{医療、報告}というPIIクリアランス・セットを有することができ、したがって、{医療}または{医療、報告}のいずれか一方のPIIラベルを有する目的対応機能セット内に入るように定義される機能を実行することを許可される。看護士は、{処置}、{医療、処置}というPIIクリアランス・セットを有することができる。
PII現行プロセス・ラベル(CPL):
ユーザのオペレーティング・システム・プロセスに動的に割り当てられ、ユーザがPII保護オブジェクトにアクセスするときに、それに応じて更新されるPIIラベルである。CPLは、所与のコンピュータ・オペレーティング・システム・プロセス中にユーザが読み取る任意の1つまたは複数のPIIオブジェクトのPIIラベルのレコードを含むように動的に更新される。
セキュリティ管理者は、特定の企業に関するPIIデータ・アクセス制御機能をセットアップするものと想定されている。管理上、この機能の実現は以下のものを含むことができる。
1)セキュリティ管理者は、たとえば、PIIデータ・アクセス制御機能を実施するIBMのRACFなどのセキュリティ・マネージャに対して有効な目的セットを定義する。病院の例の場合は以下の通りである。
この企業に関する有効なPII目的は、以下のものを含むことができるであろう。
目的1(例:医療)
目的2(例:処置)
目的3(例:請求)、・・・
目的n(例:報告)
2)セキュリティ管理者は、様々なリソース/オブジェクトにPIIラベルを割り当てる。
オブジェクト名(例:要約医療レコード(SummaryMedical Record))
PII分類ラベル(例:{医療、報告})
3)セキュリティ管理者は、個別ユーザおよびユーザのグループを定義するが、これは進行中の活動である。たとえば、ユーザは以下のものを毎日変更することができる。
ユーザIDa(例:患者であるユーザ)グループPATIENTSに追加する
ユーザIDx(例:看護士であるユーザ)グループNURSESに追加する
ユーザIDy(例:医師であるユーザ)グループDOCTORSに追加する
4)セキュリティ管理者は、適切な各ユーザにユーザPIIクリアランス・セットを割り当てる。たとえば、以下の通りである。
ユーザIDx(例:看護士であるユーザ)PIIクリアランス・セット(例:[{処置}、{医療、処置}])
5)セキュリティ管理者は、セキュリティ・マネージャに対して目的対応機能セット(複数も可)を定義する。
PSFS名前1
関連プログラム機能のリスト
プログラムx
メソッドy
Enterprise Java Bean z
6)セキュリティ管理者は、PSFSにPIIラベルを割り当てる。
PSFS名前1−PII分類ラベル{医療、処置}
7)セキュリティ管理者は、PIIオブジェクトに書き込むためにこのPSFSが使用されるときに行うことが許可されるPII再分類を割り当てる。すなわち、{医療、処置}から{医療、報告}への再分類が許可される。所与のPSFSは、その実行中に許可される再分類の集団(したがって、リスト)を有することができる。
図1は、本発明の一態様により、リレーショナル・データベース管理システムおよびストレージ12内に(またはその中の)完全医療レコード(Complete Medical Record)14,要約医療レコード16、患者会計レコード(Patient FinancialRecord)18などのPIIオブジェクトを入力する(またはそれにアクセスする)個人識別情報(PII)所有者10(病院事業の一例における患者など)の一例を示している。操作上、患者10は、患者用に作成された目的対応機能セット(PSFS)内の特定の機能を呼び出すことができる。この特定の機能は、インターナショナル・ビジネス・マシーンズ社によって提供されるDB2リレーショナル・データベース管理システムなどのリレーショナル・データベース管理システム内のPIIデータ・オブジェクトを保管するために使用することができ、これについては、2002年10月発行の「DB2 UDB for OS/390 V7 An Introduction to DB2 for OS/390」という資料(SC26−9937−02)に記載されている。データは、適切な事前定義PII分類ラベルが付いた個々のテーブル行列位置に保管することができる。患者の個人データは、その後、異なるPII分類ラベルが付いた様々なPIIデータ・オブジェクト内に常駐する。図1の例では、{医療、処置}、{医療、報告}、{請求、報告}というラベルは一例としてのみ示されている。その後、患者は、指定されたPSFS機能を介して自分自身のPIIデータ・オブジェクトを表示することができ、これにより、特定の患者はその患者が所有者であるPIIオブジェクトのみを表示できることになるであろう。
図2は、本明細書に開示されているようなPIIデータ・アクセス制御機能を実現する企業コンピューティング環境の一例を示している。この例では、PIIデータの所有者または企業の従業員あるいはその両方などのユーザ21は、インターネット22の全域からファイアウォール24を通って、企業内のサーバ上で実行されるトランザクション・マネージャ25にアクセスする。代わって、ファイアウォール24内のユーザ21aは、トランザクション・マネージャ25を含むサーバに直接アクセスできるであろう。リレーショナル・データベース管理システム26は、この例ではサーバ上にも常駐し、関連ストレージ27内のテーブル28に含まれるPIIラベル付きオブジェクト29にアクセスする。オブジェクト・ストレージ27は、任意の所望の形を取ることができる。z/OSオペレーティング・システム用のオプションとしてインターナショナル・ビジネス・マシーンズ社によって提供される上記で参照したRACFなどのセキュリティ・マネージャ30は、その企業用のセキュリティ管理32によって維持されるセキュリティ・レジストリ31を調べる。レジストリ31は、関連PIIラベルが付いた、グループを含むユーザと、目的を定義することができ、アクセス・ルール、監査制御などを含む、オブジェクト・カテゴリを定義することができる。
操作上、および以下により詳細に説明する通り、特定の機能(PSFS内で定義される場合もあれば、定義されない場合もある)を実行するためのトランザクション・マネージャに対するユーザの要求の結果、オペレーティング・システム内に「プロセス」が作成される。これは、インターネットを介してコンピューティング・システムに接続されているユーザからの、またはローカルに接続されているユーザ、たとえば、従業員からの要求の結果として行うことができる。本発明の主題であるPIIデータ・アクセス制御機能を具体化するオペレーティング・システム・プラットフォーム・セキュリティ・マネージャは、要求された機能を実行するためのユーザの権限を決定するために、トランザクション・マネージャによって呼び出される。承認されると、その機能は実行を開始し、その後、その通常処理の一部として、リレーショナル・データベース管理システムの制御下にある(それが想定されている)PIIラベル付きデータについてトランザクション・マネージャを介して要求を生成する。データベース管理システムは、要求側ユーザが所望のPIIオブジェクトへのアクセスを許可されるかどうかを判定するためにセキュリティ・マネージャを呼び出す。セキュリティ・マネージャは、たとえば、要求されたオブジェクトに関連するPIIラベル、ユーザに関連するPIIラベル、およびそのオブジェクトに関するその他の関連アクセス・ルールに基づいて、決定を提供する。この場合も、PIIラベルおよびその他のアクセス・ルールは、セキュリティ管理者によって確立して維持し、セキュリティ・マネージャによってアドレス可能なセキュリティ・レジストリに保管することができる。
図3は、本発明の一態様により、病院環境内で目的対応機能セットを活用する情報フローを示している。
この例では、医師などのユーザは、その機能にサインオンし、ユーザの現行オペレーティング・システム・プロセスから、特定のアプリケーション機能を実行しようと試みる。ユーザには、企業セキュリティ管理によって、ユーザPIIクリアランス・セットが割り当てられており、そのセットは、この例では、[{医療}、{医療、報告}、{医療、処置}]を有するものと想定される。特定の機能がPII目的対応機能セット(PSFS)内にある場合、ユーザのPIIクリアランス・セットは、そのユーザが特定の機能を実行できるようにするためにそのPSFSに割り当てられたPIIラベルを含まなければならない(図5を参照)。たとえば、「医療」というPSFS分類ラベル41を使用すると、医師などのユーザは、リレーショナル・データベース管理システム44から「完全医療レコード」を読取り始めることができる。{医療、処置}というPIIラベルを有する「完全医療レコード」を読み取ると、ユーザの現行プロセス・ラベル(CPL)はそのデータのラベルに設定され、それにより、ユーザの現行オペレーティング・システム・プロセスに読み込まれた任意のデータのラベルの「履歴」を保持する。CPLは、後で、このプロセス内から行われる任意の書込み操作より先行する許可処理の一部の間に参照され、同一またはより少数の目的を備えたラベルを有する他のPIIラベル付きデータ・オブジェクトのみにPIIデータが書き込まれることを保証するか、またはこのプロセスに読み込まれたPIIデータと書き出されているPIIデータとこの特定の組み合わせとともにこのPSFSを使用して、PIIデータ再分類が許可されることを保証する。たとえば、自分のユーザ・クリアランス・セット内に{医療、報告}というユーザ・クリアランスを有し、したがって、[{医療}]というPIIラベルを有する目的対応機能セット「PSFS−D」内に入るように定義された機能を実行することができるユーザは、「完全医療レコード」から読み取ることはできるが、それに書き込むことはできず、PSFS−Dには{医療、処置}から{医療、報告}へのPII再分類が許可されているので、「要約医療レコード」については読取りと書込みの両方を行うことができる。逆に、ユーザは、ユーザのPIIクリアランス・セット内に定義されていないPII分類ラベルを有するPSFS内で定義された機能を呼び出すことができず、それにより、ユーザのPIIクリアランス・セットの範囲外のPIIオブジェクトにアクセスすることができない。たとえば、図3のユーザ1は、「患者会計レコード」の読取りまたは書込みを行うことができない。
図4〜8は、本発明の一態様によるPIIデータ・アクセス制御機能の上記で紹介した処理の一例をより詳細に示している。図4を参照すると、PII制御機能の使用は、60で目的対応機能セット(PSFS)内で定義可能な事前確立アプリケーション機能を実行するために、50でユーザがトランザクション・マネージャに対する要求を行うことから始まる。この結果、その中でトランザクション・マネージャ自体が実行されるオペレーティング・システム・プラットフォーム内で「プロセス」が論理的に作成される。また、本明細書に開示されている個人識別情報(PII)概念を実現するデータ・アクセス制御機能は、オペレーティング・システム・プラットフォーム内で実行されるか、またはそれに論理的に接続される。ある機能を実行しようとするユーザの試みを処理するための論理の一例は、図5に関連して以下に記載されている。ユーザが特定の機能へのアクセスを許可されているものと想定すると、70でトランザクション・マネージャは選択されたPIIデータ・オブジェクトへのユーザのためのアクセスを要求する。80でセキュリティ・マネージャは、ユーザが、選択されたPIIオブジェクトへのアクセスを許可されているかどうかを判定するために呼び出され、セキュリティ・マネージャはユーザ・アクセスを許可するかどうかの決定を提供する。90において、選択されたPIIデータ・オブジェクトへのユーザ・アクセスを許可するかどうかというこの決定は、部分的に、特定の機能が読取りまたは書込みを呼び出すかどうかに基づくものである。特定のPIIデータ・オブジェクトへのアクセスを許可するかどうかを判定するための論理の一実施形態は、図6〜8に提示されている。
上記の通り、図5は、ユーザが特定の機能を実行しようと試みるときに実現される処理の一例である。一例として、この処理は、図4のステップ60から呼び出すことができるであろう。初めに、102でユーザは特定のアプリケーション機能を指定し、104でセキュリティ・マネージャ処理はその機能がPSFSに対して定義されているかどうかを判定する。104で特定の機能がPSFSに対して定義されていない場合、105でセキュリティ・マネージャ処理は現行プロセス・ラベル(CPL)が事前に設定されているかどうかを判定し、そうである場合、セキュリティ・マネージャ処理は110で特定の機能へのアクセスを拒否し図4に戻る。現行プロセス・ラベルが事前に設定されていない場合、ユーザが、選択されたデータ・オブジェクトへのアクセスを許可されているかどうかをさらに評価するために、106でセキュリティ・マネージャ処理は単に図4に戻るだけである。104で特定の機能がPSFSに対して定義されている場合、108でセキュリティ・マネージャ処理はユーザのPIIクリアランス・セットがそのPSFSに割り当てられたPII分類ラベルを含むかどうかを判定する。ユーザのクリアランス・セットがそのPSFSに割り当てられたPII分類ラベルを含まない場合、ユーザはその機能へのアクセスを拒否され、処理は図4に戻る。
108でユーザのクリアランス・セットがそのPSFSに割り当てられたPII分類ラベルを含む場合、何らかの時点でアプリケーションが図4の70でトランザクション・マネージャを介して要求を行い、そのトランザクション・マネージャがその要求をデータベース・マネージャ(たとえば、DB2)に回し、そのデータベース・マネージャが図4の80でセキュリティ・マネージャを呼び出し、そのセキュリティ・マネージャがユーザが保護データ・オブジェクトにアクセスすることを許可されているかどうかを判定し、図4の90で決定を提供し、その決定が適切なアクションのためにデータベース・マネージャに返されるまで、アプリケーション処理は112を介して続行される。
図6は、選択されたPIIデータ・オブジェクトへのユーザ・アクセスを許可するかどうかを評価するときにセキュリティ・マネージャによって実現可能な決定プロセスの一例を示している。初めに、120で処理はオブジェクトがPIIラベルを有するかどうかを判定する。そうではなく、しかも125でユーザのプロセスに関する現行プロセス・ラベルが事前に設定されていない場合、127でセキュリティ・マネージャ処理は従来の任意アクセス制御検査を介してアクセス決定を提供する。任意アクセス制御(DAC)検査は、アクセス制御検査を実行するための手法であり、オペレーティング・システムのセキュリティ・マネージャの諸機能、たとえば、z/OSオペレーティング・システムとともにインターナショナル・ビジネス・マシーンズ社によって提供されるRACFセキュリティ・マネージャを介して保護リソース/オブジェクトに関連するアクセス制御ルールに基づくものである。アクセス制御ルールは、とりわけ、特定のユーザおよびユーザ・グループに関するアクセスモード項目を含むアクセス制御リスト(ACL)を含む。DAC検査は、保護オブジェクトに関連するPIIラベル(目的)がまったく存在しないとき、およびアクセス制御決定をさらに限定(または詳細化)するためにPIIラベル処理が行われた後で、使用することができる。PIIアクセス制御検査のようなDAC検査はアクセスモードを使用することができ、これはオブジェクトに対する特定の活動である。DAC検査に関連するアクセスモードの例としては、作成、削除、更新、読取りなしの更新(update but not read)、および読取りを含む。アクセスに関するルールは、IBMのRACFでは「リソース・プロファイル」といい、これも指定される。一般的に言えば、このようなルールは、「サブジェクト」が「オブジェクト」に対するアクセスモードを実行できるという形を取る。この場合も、いずれの任意アクセス制御検査手法でも、図6の処理のこの段階で使用することができる。127で任意アクセス制御検査は、選択されたオブジェクトへのユーザ・アクセスを許可するかどうかの決定を提供する。この決定は、132のアクセス許可または134のアクセス拒否のいずれかになる。任意アクセス制御(DAC)の詳細説明は、2002年9月発行の「Z/OS V1R4.0 Security Server RACF Security Administrator's Guide」というIBM資料(SA22−7683−3)に記載されている。125でユーザの「プロセス」に関するCPLが事前に設定されている場合、126でセキュリティ・マネージャ処理は特定の機能が読取り操作であるかどうかを判定する。そうである場合、127で、たとえば、DAC検査を使用して、オブジェクトへのアクセスを許可するかどうかの決定が提供される。特定の機能が読取り操作以外のものである場合、コンピュータ・オペレーティング・システム・プロセスにPII保護オブジェクト(複数も可)を読み込んだ後、そのプロセスから非PII保護オブジェクトへの書込みは許可されないので、134でアクセスが拒否される。
オブジェクトがPII分類ラベルを有するものと想定すると、122でセキュリティ・マネージャ処理はユーザがPSFS機能を実行しているかどうかを判定する。そうである場合、124で処理は図7に移行する。そうではない場合、選択されたオブジェクトはPIIラベルを有し、ユーザはPSFS機能を実行していないので、134でアクセスはPIIラベル処理によって拒否される。
130で図7または図8から戻ると、セキュリティ・マネージャ処理は128でアクセスがPIIラベル処理によって拒否されたかどうかを判定する。そうではない場合、127で、たとえば、任意アクセス制御検査を使用して、アクセス決定が提供される。そうではない場合、134でアクセスが拒否される。
ユーザがPSFS機能を実行しているものと想定すると、140(図7)で処理はユーザが読取り操作を実行しているかどうかを判定する。そうではない場合、ユーザは書込み操作を実行しているに違いなく、したがって、処理は図8を続ける。YESである場合、142でPSFSのラベルがPIIオブジェクトのラベルに等しいかまたはその適切なサブセットであるかどうかの判定が行われる。そうではない場合、145で処理は図6に戻り、このPIIオブジェクトをこの特定のPSFSで読み取ることができないので、ユーザはPIIラベル処理によってアクセスを拒否される。142でYESである場合、143でPIIオブジェクトのラベルが項目としてCPLに追加される。これは、CPL内の第1の項目である可能性があるかまたは既存のCPLへの追加項目である可能性もある。PIIオブジェクトのラベルに等しいCPL内にすでに項目が存在する場合、このステップは迂回される。次に144で処理は図6に戻り、ユーザはPIIラベル処理によってPIIオブジェクトへのアクセスを拒否されない。
ユーザが読取り操作を実行していない場合、これは、ユーザが書込み操作を実行していることを意味し、ステップ140からセキュリティ・マネージャ処理は図8に移行し、まず150でユーザのプロセスに関する現行プロセス・ラベル(CPL)が事前に設定されているかどうかを判定する。そうではない場合、151で処理は図6に戻り、ユーザのプロセスはPII制御プロセスとして継続し、ユーザは非PIIデータを既存のPIIデータ・オブジェクトに書き込むことを許可されている。150でYESである場合、152でPIIオブジェクトのラベルがCPL項目(1つだけ存在する可能性もある)のそれぞれのラベルに等しいかまたはその適切なサブセットであるかどうかの判定が行われる。YESである場合、151で処理は継続し、上記の通り、図6に戻る。152でNOである場合、153でこのPSFSがCPL内の1つまたは複数のラベルから書込み中のPIIオブジェクト内のラベルにPIIオブジェクト(複数も可)を再分類するための十分な権限を有するかどうかを確認するための判定が行われる。NOである場合、154で処理は図6に戻り、ユーザはPIIデータ・オブジェクトへのアクセスを拒否される。153でYESである場合、151で処理は継続し、上記の通り、図6に戻る。
以下は、本発明により開示された概念のいくつかに関する理論的基礎の正式表現である。複数組のオブジェクトO、サブジェクトS、およびアクションAが存在するものと想定されている。さらに、各アクションAは、読取りモードまたは書込みモードのいずれかを有するものと解釈することができる。サブジェクトおよびオブジェクトは、複数組の目的セットでラベルが付けられる。ラベルl1がラベルl2内にある場合のみ、すなわち、目的セットl1が目的セットl2のスーパー・セットである場合のみ、ラベルl1はラベルl2より優位である。一般に、本発明によって保護されるPIIデータを読み取るために、ユーザは、ユーザが読み取ろうと試みているデータのラベルの方が優位であるPIIラベルを有するPSFSを実行していなければならず、したがって、そのPSFSを実行することを許可(または認可)されていなければならない。それはPSFSであり、関連付けにより、それを実行しているユーザは、読取り中のPIIオブジェクトのラベル内にある1つまたは複数の目的を備えたPIIラベルを有していなければならない。
プライバシ・ラベル
個人データのすべてのインスタンスは関連ラベルを有する。ラベルLは1組の目的を含み、これらは、そのために個人データの所有者が承諾を与えた目的である。より多くの目的を有するオブジェクトはあまりプライベートなものではなく、したがって、オブジェクト間のデータ・フローは、特別に定義された事情ではない限り、より多くの目的を有するオブジェクトから、より少ない目的を有するオブジェクトへに限られる可能性がある。したがって、データは計算中にシステムを通って流れるので、特別に制御された事情(プロセス)により被制御方式でデータを再分類できるようにしない限り、そのラベルはより限定的なものになる。
この1組のラベルは、セキュリティクラス格子の本質的な特徴を備えた先行順(pre-order)を形成する。格子内の各要素は、可能なラベルの1つである。ラベルは、[という制限関係によって定義された半順序(partialorder)で存在する。BOTとして書かれた最も制限的ではないラベルは、どこでも流れることができるデータに対応し、最も可能性の高い制限であるTOPは、どこも流れることができないデータに対応し、これは誰にも読取り不能である。格子内を上昇するにつれて、ラベルは厳密により制限的なものになる。データはいつも格子内の上方へラベルを付け直すことができ、これは、制限によって情報漏れの可能性を生み出すことはないので、より少ない目的にデータを使用できることを意味する。ラベルBOTは公開情報、すなわち、個人情報を含まないデータに対応することに留意されたい。
個人データのラベルの付け直しは、新しいラベルが同じ目的またはより少ない目的を含む場合に制限となる。L1[L2という表現は、L1がL2ほど制限的ではないかまたはL2に等しいことと、演算子rがスーパー・セット関係を示す以下の表現によって表されるように、ラベルL1からL2にデータのラベルを付け直すことができることを意味する。
1[L2 h L1 r L2。この場合も、L1[L2である場合のみ、ラベルL2はラベルL1より優位である。
計算(またはPSFSとして表されるアクション)がそれぞれL1およびL2というラベルが付いた2つの値を結合すると、その結果は、L1およびL2によって指定されたすべての使用制限を執行するラベル(最も制限的ではないもの)を有していなければならない。L1およびL2におけるすべてのポリシーを執行する、最も制限的ではない1組のポリシーは単に2組のポリシーの論理積(intersection)に過ぎない。この最も制限的ではないラベルは、L1 7 L2と書かれたL1およびL2の最小上界または結合である。
1 7 L2 h L1 3 L2。たとえば、結合されたオブジェクト(たとえば、住所とクレジット・カード番号の両方を含むレコード)は、複数目的の論理積にのみ使用することができる。
たとえば、3つの目的に関して構成されたラベルが付いた格子は、請求、医療、および報告と想定される。このような格子は、そのハッセ図(Hasse diagram)(1990年にマサチューセッツ州レディングのAddison−Wesleyから発行されたS.Skienaによる「Implementing Discrete Mathematics: Combinatorics and Graph Theory with Mathematica」の§5.4.2の「Hasse Diagrams」の163、169〜170、および206〜208ページに記載されている)によって示すことができ、その場合、「あまり制限的ではない」関係[は下から上へ移行し、推移的および反射的エッジは省略される。医療および報告という目的に使用できるオブジェクトは{医療、報告}というラベルが付けられるであろう。このオブジェクトからのデータは、{医療}というラベルまたは{報告}というラベルが付いたオブジェクトにコピーできるであろう。サブジェクト(またはユーザ)は、そのオブジェクトを読み取れるようにするために、{医療}、{報告}、または{医療、報告}という有効ラベル(ユーザが実行しているPSFSから導出したもの)を有していなければならない。デフォルトでは、「リードダウン/ライトアップ(readdown/write up)」特性により、情報は格子内の上方のみに流れることができることに留意されたい。
この場合も、ラベルLに含まれる目的は権利を表さず、むしろ制限を表すことに留意されたい。したがって、1つのサブジェクトが対応する目的が少なくなるほど、それが読み取れるオブジェクトが増えるが、その場合、そのサブジェクトが読み取るべきPIIオブジェクトに関連する少なくとも1つの目的に対応することが条件になる。
サブジェクトsは、サブジェクトsに関連する目的がオブジェクトoに関連する目的のサブセットであるかまたはその目的に等しい場合にのみ、PIIオブジェクトoを読み取ることができる。
サブジェクトsは、オブジェクトoに関連する目的がサブジェクトsに関連する目的のサブセットであるかまたはその目的に等しい場合にのみ、PIIオブジェクトoを書き込むことができる。
たとえば、{請求、報告}というラベルが付いたユーザは、{請求、医療、報告}というラベルが付いたオブジェクトを読み取ることができ、{請求}というラベルが付いたオブジェクトに書き込むことができる。
適格なスター特性
ユーザのコンピュータ・オペレーティング・システム・プロセスの現行プロセス・ラベル(CPL)が「高水準点(high-watermark)」として扱われる場合、これは格子の上方へ浮動することができるが、下方へ浮動することはできない。ユーザが所与のPSFSにより様々な個人データを読み取ると、CPLは読み取られたPIIデータ・オブジェクトに関連する目的を反映し、したがって、ユーザが実行することを認可(許可)されているPSFS(複数も可)のうちの1つの機能であるユーザのクリアランスに到達するまで、格子の上方へ浮動する。たとえば、ジェーンというユーザは、{医療}というラベルが付いたPSFSを実行することを認可される可能性がある。このPSFSにより{医療、報告}というラベルが付いたオブジェクトを読み取ることにより、彼女のCPLは{医療、報告}になる。{医療}というラベルが付いたオブジェクトから情報を読み取ると、彼女のCPLが{医療}という追加項目を含むことになり、それにより、彼女が自分の現行プロセスに読み込んだ情報のラベルを正確に反映する。彼女のCPLがこの状態になっている場合、彼女は、デフォルトでは、彼女が自分のプロセスに読み込んだ情報を{医療}というラベルが付いたPIIオブジェクトに書き出すためにPSFS(おそらく、必ずしも、読み取るために使用したものと同じものではない)を実行できるようになる。彼女は、自分が読み取った情報の一部を{医療、報告}から{医療}に再分類しているが、これは、{医療}の方が{医療、報告}より格子(目的がより少ないかまたはより制限的であるもの)の上方にあるので、デフォルトでは許可されることに留意されたい。
これまでに論じたデータ・フローおよびその結果生じた情報の再分類は、いくつかの点で、MLS制御処理環境内のデータ・フローに似ている。しかし、MLSはセキュリティ上の理由でコンピュータ・リソース(たとえば、データ)の区画化されたアクセス制御のためのルールを厳重に遵守することができるツールに関する要件に対処するが、企業によって指定できる柔軟なルールによりPIIの再分類を可能にするプライバシ・サポートの必要性が残存する。換言すれば、プライバシ・サポートは、特定のユーザ(またはユーザ・グループ)がPIIを特定の事前定義分類から他の特定の事前定義分類に再分類することを許可されるが、それを実行することを許可されたユーザによって変更または操作することができない所定の1組の機能の範囲内でのみ、このように実行することを許可されることを企業が指定するための方法を含まなければならない。この必要性は、本発明の他の態様、すなわち、目的対応機能セット(PSFS)を記述する項目の定義の「再分類許可」構成体によって提供される。
選択されたユーザは、PIIデータ・オブジェクトを再分類することができ、その再分類を許可されているものを含む、任意/全部のPSFSを実行することを認可(許可)されている。この概念は、企業内のユーザの位置のためにセキュリティ管理によってユーザに割り当てられている可能性のあるPSFSへの1組のクリアランスとして本発明内で表された「適格なスター特性」と呼ぶ。
病院の例
本発明内で表された概念を例証するために、たとえとして病院事業を使用する。医師、看護士、管理従業員、および患者は、この例では、患者によって所有されるPII情報が病院のコンピューティング・システムを流れ、様々な病院スタッフによってアクセスされ使用されるときに現れるものである。次に、この例について説明を開始する。
病院のプライバシ・ステートメントは、4つのオブジェクト・カテゴリに対処するものと想定されている。一般レコード(General Record)は、請求および医療目的ともに、おそらくさらに多くの目的とともに、名前、住所などの一般的な個人情報を含む。医療レコードは、医療目的のみのために、患者に関する医療データを含む。要約医療レコードは、請求目的のみのために使用される。これは、たとえば、保険証券によって規定されている通り、どの医療データが請求書に入るかを正確に含む。会計レコードは、請求目的のみのために使用される。これは、保険の詳細、価格、請求書送付および支払の日付などを含む。
病院内の内部では、管理者、看護士、および内科医の役割で動作するプリンシパルが存在する。アクセスは以下の非公式プライバシ・ポリシーによって規制される。すなわち、医療レコードに保管された詳細データに対して実行すること(読み取ることおよびおそらく書き込むこと)を許可されている目的対応機能セット(複数も可)には、病院の内科医および看護士のみがアクセスできる。このように、病院の内科医および看護士は、医療レコードに関して「認可」されていると言われている。要約医療レコードは、病院が看護士に対してリリースしない機密情報である。これらのデータには、病院の管理責任者および内科医のみがアクセスできる。会計レコードには、病院の管理責任者のみがアクセスできる。一方では、排他的アクセス権が存在する。すなわち、内科医には会計レコードを読み取ることを認可してはならず、管理者には医療レコードを読み取ることを認可してはならない。他方では、情報は、要約医療レコードを介して医療レコードから会計レコードへ流れるだけでなければならない。
安全かつ正確に再分類し、被制御方式で格下げする機能を有するものとして病院のコンピュータ・セキュリティ管理によって事前定義されたPSFSを実行することを認可されている「信頼されたサブジェクト」の機能により、病院のポリシーについて他の指定を行うことができる。
第1の管理者は、報告というPIIラベルを有する目的対応機能セット内の機能を実行することを認可され、内科医は同様に、医療目的のために認可される。これは、要約レコードを読み取る可能性を両当事者に与えるものである。さらに、管理者は会計レコードを読み取ることができ、内科医は医療レコードを読み取ることができるが、逆は不可である。最後に、事前定義された安全かつ正確な方法でのみ医療レコードから要約レコードへの情報の流れを可能にするために、内科医のクリアランスは、たとえば、{{医療}、{医療、報告}}というラベル・セットを含むように定義することができる。したがって、内科医は、彼女が認可され、彼女が医療レコードと要約レコードを読み取れるようにする{医療}というラベルが付いたPSFSを実行することにより開始することができる。次に、その定義が「再分類許可」文節、すなわち、{医療}から{医療、報告}へを含むPSFSを実行することにより、彼女は、{医療}というラベルが付いたPIIを{医療、報告}へ格下げすることを許可されるが、PSFS内に含まれる企業定義の機能のみによる。内科医は決して会計レコードの読取りまたは書込みを行えないことに留意されたい。
これに対応して、管理者は、彼女が要約レコードならびに会計レコードを読み取れるようにする{報告}というラベルが付いたPSFSを実行することにより開始することができる。次に、その定義が「再分類許可」文節、すなわち、{報告}から{請求、報告}へを含むPSFSを実行することにより、彼女は、{報告}というラベルが付いたPIIを{請求、報告}へ格下げすることを許可されるが、PSFS内に含まれる企業定義の機能のみによる。この場合も、管理者は決して医療レコードの読取りまたは書込みを行えない。
情報は、内科医を介して医療レコードから要約レコードへ、ならびに、管理者を介して要約レコードから会計レコードへのみ流れることができることに留意されたい。
要約レコードを読み取るための看護士の能力を妨げるために、処置という追加の目的を導入することができる。看護士(実行することを認可されているPSFS(複数も可)内で定義された機能のため)ならびに医療レコードは{医療、処置}というラベルを有する。したがって、看護士は医療レコードの読取りおよび書込みを行うことができるが、残りのオブジェクトには一切アクセスできない。これで、ポリシー例の指定を完了する。
この指定例では、内科医は医療レコードを書き込むことを許可されていない。これは制限と見なすことができるであろう。しかし、この指定は、それぞれ{医療}、{医療、報告}、{医療、処置}というラベルが付いた複数のPSFSを含むようにそのPSFSクリアランスを変更することにより内科医にこの追加の能力を与えるように拡張することができる。したがって、医師は、{医療、処置}というラベルが付いたPSFSを使用するときに自分の医療作業を実行するときに、医療レコードの読取りおよび書込みを行うことができるであろう。しかし、彼女が管理作業を実行するつもりである場合、医療情報を読み取るために{医療}というラベルが付いたPSFS内の機能を実行する。彼女が{医療、処置}というラベルによって保護された何らかの詳細な医療情報を要約レコードに「再分類」することを決定した場合、{医療、処置}というラベルから{医療、報告}というラベルへPIIを再分類し、したがって、格下げするための権限によって事前定義されたPSFSを実行する。
利点
当業者であれば、上記の説明から、本明細書に記載したようなデータ・アクセス制御機能を使用することにより、セキュリティ管理者が、機密の個人識別情報(PII)オブジェクトを処理するときに企業のビジネス・ニーズに一致する特定の動作シーケンスにより特定の1組のコンピュータ機能を定義し確立できることに留意することになる。このような事前確立され制御された機能セットおよび関連の動作シーケンスは、このようなPIIオブジェクトにアクセスできる唯一のプロセスであり、したがって、企業プライバシ・ポリシーによって記載されている方法のみでPIIオブジェクトを使用できることを保証する。提示されたデータ・アクセス制御機能は、オブジェクトに必要なプライバシ・レベルに応じたデータ・オブジェクトおよびユーザの分類の概念(そのオブジェクトを正当に使用できる目的につながるもの)と、個別ユーザによって要求されるPIIオブジェクトへのクリアランスによりユーザに許可されている目的対応機能セットへの機能のグループ分けを含む、新しい論理構成体に基づくものである。さらに、本発明によるデータ・アクセス制御機能は、アクセス・イベント状況の力学によりPII分類情報および機能の種々のセットへのユーザ(またはコンピュータ・プロセス)のアクセスを可能にし、それにより、PIIオブジェクトへのアクセスを必要とする情報プロセスに柔軟性を追加し、そのセキュリティを強化する。
本発明は、たとえば、コンピュータ使用可能媒体を有する装置(たとえば、1つまたは複数のコンピュータ・プログラム)に含めることができる。この媒体は、本発明の諸機能を提供し促進するためのコンピュータ可読プログラム・コード手段をそこに実施している。この装置は、コンピュータ・システムの一部として含めるかまたは別個に販売することができる。
さらに、本発明の諸機能を実行するためにマシンによって実行可能な複数命令からなる少なくとも1つのプログラムを実施するマシンによって読取り可能な少なくとも1つのプログラム・ストレージ・デバイスを提供することができる。
本明細書に描写した流れ図は例にすぎない。本発明の精神を逸脱せずに、これらの図またはそこに記載された諸ステップ(または操作)に対する多くの変形態様が存在する可能性がある。たとえば、諸ステップを異なる順序で実行するか、またはステップを追加、削除、または変更することができる。これらの変形態様のすべては、請求された本発明の一部と見なされる。
本明細書では好ましい諸実施形態を詳細に示し説明してきたが、特許請求の範囲で定義された本発明の範囲内で様々な変更、追加、置換などが可能であることは当業者にとって明らかなものになるであろう。
本発明の一態様により、データ・アクセス制御機能によって使用するためにそれに割り当てられたPII分類ラベルとともに個人識別情報(PII)オブジェクトを保管するための手法の一例を示す図である。 本発明の一態様により、データ・アクセス制御機能の1つまたは複数の態様を組み込んで使用するためのコンピューティング環境の一実施形態を示す図である。 本発明の一態様により、ユーザがPIIデータ・オブジェクトからデータを読み取り、そこにデータを書き込むときに、確立されたプロセス内で変更が行われるユーザの現行プロセス・ラベル(CPL)を示す操作例を示す図である。 本発明の一態様により、PIIデータ・アクセス制御機能によって実現された処理の一実施形態の流れ図である。 本発明の一態様により、ユーザが特定の機能を使用できるかどうかを確認するための一論理実施形態の流れ図である。 本発明の一態様により、要求されたオブジェクトがPIIデータ・オブジェクトを有するかどうかを判定することを含む、データ・アクセスを行えるようにするかどうかを判定するための一論理実施形態の流れ図である。 本発明の一態様により、所望の特定の機能が読取り操作を有するときに、ユーザがPII制御プロセスとして続行できるかどうかを判定するための一論理実施形態の流れ図である。 本発明の一態様により、所望の特定の機能が書込み操作を有するときに、ユーザがPII制御プロセスとして続行できるかどうかを判定するための一論理実施形態の流れ図である。

Claims (6)

  1. コンピュータによって実行されるデータ・アクセス制御方法であって、
    (i)前記コンピュータが、個人識別情報(PII)データ・オブジェクトおよびPIIデータ・オブジェクトを読み取るか、書き込むか、または再分類するアプリケーション機能のリストを含む少なくとも1つのPII目的対応機能セット(PSFS)に割り当てられたPII分類ラベルを有するデータ・アクセス制御機能のユーザであって、少なくとも1つのPII分類ラベルを含むリストを有するPIIクリアランス・セットが割り当てられた前記ユーザから、特定の機能呼び出しを受け取るステップと、
    (ii)前記コンピュータが、前記特定の機能が前記データ・アクセス制御機能の前記少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されているかどうかを判定し、定義されている場合に、前記ユーザのPIIクリアランス・セットがそのPII PSFSに割り当てられた前記PII分類ラベルと一致するPII分類ラベルを含むかどうかを判定し、一致するPII分類ラベルを含む場合に、前記特定の機能へのアクセスを許可するステップと、
    (iii)前記コンピュータが、前記ユーザが、前記特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかの判定を、選択された前記データ・オブジェクトがPIIデータ・オブジェクトを有するかどうかを判定し、そうである場合に、前記ユーザの特定の機能が前記データ・アクセス制御機能の前記少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されていることを検証し、そうではない場合に、選択された前記データ・オブジェクトへのアクセスを拒否することにより行うステップと
    を有する、データ・アクセス制御方法。
  2. 前記呼出しステップの前に、前記コンピュータが、前記データ・アクセス制御機能のセキュリティ制御下でオペレーティング・システム内のプロセスを確立するステップをさらに有し、前記呼出しステップが確立された前記プロセス内で行われる、請求項1に記載のデータ・アクセス制御方法。
  3. 前記判定ステップ(ii)が、前記特定の機能が前記データ・アクセス制御機能のPII PSFSに対して定義されておらず、かつ確立された前記プロセスについて現行プロセス・ラベル(CPL)が事前に設定されている場合に、前記特定の機能へのアクセスを拒否するステップをさらに有する、請求項2に記載のデータ・アクセス制御方法。
  4. 前記判定ステップ(iii)が、選択された前記データ・オブジェクトがPIIデータ・オブジェクト以外のものである場合に、確立された前記プロセスについて現行プロセス・ラベル(CPL)が設定されているかどうかを判定し、設定されていない場合に、任意アクセス制御検査を介して選択された前記データ・オブジェクトにアクセス決定を提供するステップをさらに有する、請求項2に記載のデータ・アクセス制御方法。
  5. データ・アクセス制御システムであって、
    (i)個人識別情報(PII)データ・オブジェクトおよびPIIデータ・オブジェクトを読み取るか、書き込むか、または再分類するアプリケーション機能のリストを含む少なくとも1つのPII目的対応機能セット(PSFS)に割り当てられたPII分類ラベルを有するデータ・アクセス制御機能のユーザであって、少なくとも1つのPII分類ラベルを含むリストを有するPIIクリアランス・セットが割り当てられた前記ユーザから、特定の機能呼び出しを受け取るための手段と、
    (ii)前記特定の機能が前記データ・アクセス制御機能の前記少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されているかどうかを判定し、定義されている場合に、前記ユーザのPIIクリアランス・セットがそのPII PSFSに割り当てられた前記PII分類ラベルと一致するPII分類ラベルを含むかどうかを判定し、含む場合に、前記特定の機能へのアクセスを許可するための手段と、
    (iii)前記ユーザが、前記特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかの判定を、選択された前記データ・オブジェクトがPIIデータ・オブジェクトを有するかどうかを判定し、そうである場合に、前記ユーザの特定の機能が前記データ・アクセス制御機能の前記少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されていることを検証し、そうではない場合に、選択された前記データ・オブジェクトへのアクセスを拒否することにより行う、判定するための手段と
    を有する、データ・アクセス制御システム
  6. コンピュータにおいて実行されるデータ・アクセス制御プログラムであって、前記データ・アクセス制御プログラムは、前記コンピュータに
    (i)個人識別情報(PII)データ・オブジェクトおよびPIIデータ・オブジェクトを読み取るか、書き込むか、または再分類するアプリケーション機能のリストを含む少なくとも1つのPII目的対応機能セット(PSFS)に割り当てられたPII分類ラベルを有するデータ・アクセス制御機能のユーザであって、少なくとも1つのPII分類ラベルを含むリストを有するPIIクリアランス・セットが割り当てられた前記ユーザから、特定の機能呼び出しを受け取るステップと、
    (ii)前記特定の機能が前記データ・アクセス制御機能の前記少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されているかどうかを判定し、定義されている場合に、前記ユーザのPIIクリアランス・セットがそのPII PSFSに割り当てられた前記PII分類ラベルと一致するPII分類ラベルを含むかどうかを判定し、含む場合に、前記特定の機能へのアクセスを許可するステップと、
    (iii)前記ユーザが、前記特定の機能を実行するために選択されたデータ・オブジェクトへのアクセスを許可されているかどうかの判定を、選択された前記データ・オブジェクトがPIIデータ・オブジェクトを有するかどうかを判定し、そうである場合に、前記ユーザの特定の機能が前記データ・アクセス制御機能の前記少なくとも1つのPII PSFSのうちの1つのPII PSFSに対して定義されていることを検証し、そうではない場合に、選択された前記データ・オブジェクトへのアクセスを拒否することにより行うステップとを実行させる、データ・アクセス制御プログラム
JP2006523632A 2003-08-19 2004-08-16 データ・アクセス制御機能を実現する方法、システム、およびプログラム・ストレージ・デバイス Expired - Fee Related JP4550056B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/643,798 US7302569B2 (en) 2003-08-19 2003-08-19 Implementation and use of a PII data access control facility employing personally identifying information labels and purpose serving functions sets
PCT/EP2004/051803 WO2005017720A1 (en) 2003-08-19 2004-08-16 Implementation and use of a pii data access control facility emlploying personally identifying information labels and purpose serving function sets

Publications (3)

Publication Number Publication Date
JP2007503035A JP2007503035A (ja) 2007-02-15
JP2007503035A5 JP2007503035A5 (ja) 2010-04-15
JP4550056B2 true JP4550056B2 (ja) 2010-09-22

Family

ID=34193957

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006523632A Expired - Fee Related JP4550056B2 (ja) 2003-08-19 2004-08-16 データ・アクセス制御機能を実現する方法、システム、およびプログラム・ストレージ・デバイス

Country Status (7)

Country Link
US (2) US7302569B2 (ja)
EP (1) EP1660967A1 (ja)
JP (1) JP4550056B2 (ja)
KR (1) KR100877650B1 (ja)
CN (1) CN100504714C (ja)
TW (1) TWI303785B (ja)
WO (1) WO2005017720A1 (ja)

Families Citing this family (206)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7822980B2 (en) * 2002-03-15 2010-10-26 International Business Machines Corporation Authenticated identity propagation and translation within a multiple computing unit environment
US8255978B2 (en) * 2003-03-11 2012-08-28 Innovatrend, Inc. Verified personal information database
US7302569B2 (en) * 2003-08-19 2007-11-27 International Business Machines Corporation Implementation and use of a PII data access control facility employing personally identifying information labels and purpose serving functions sets
JP4273934B2 (ja) * 2003-11-13 2009-06-03 株式会社日立製作所 ファイルシステム
JP4313171B2 (ja) * 2003-12-09 2009-08-12 株式会社日立製作所 認証制御装置および認証制御方法
US7617531B1 (en) * 2004-02-18 2009-11-10 Citrix Systems, Inc. Inferencing data types of message components
US7716716B1 (en) * 2004-06-24 2010-05-11 Sprint Communications Company L.P. Method and system for architecting enterprise data security
US7634803B2 (en) * 2004-06-30 2009-12-15 International Business Machines Corporation Method and apparatus for identifying purpose and behavior of run time security objects using an extensible token framework
US20060005234A1 (en) * 2004-06-30 2006-01-05 International Business Machines Corporation Method and apparatus for handling custom token propagation without Java serialization
US7617501B2 (en) 2004-07-09 2009-11-10 Quest Software, Inc. Apparatus, system, and method for managing policies on a computer having a foreign operating system
US7716242B2 (en) * 2004-10-19 2010-05-11 Oracle International Corporation Method and apparatus for controlling access to personally identifiable information
US7904949B2 (en) 2005-12-19 2011-03-08 Quest Software, Inc. Apparatus, systems and methods to provide authentication services to a legacy application
US8087075B2 (en) 2006-02-13 2011-12-27 Quest Software, Inc. Disconnected credential validation using pre-fetched service tickets
US8561127B1 (en) * 2006-03-01 2013-10-15 Adobe Systems Incorporated Classification of security sensitive information and application of customizable security policies
US8429712B2 (en) 2006-06-08 2013-04-23 Quest Software, Inc. Centralized user authentication system apparatus and method
US8020213B2 (en) * 2006-08-01 2011-09-13 International Business Machines Corporation Access control method and a system for privacy protection
US7730078B2 (en) * 2006-09-28 2010-06-01 Honeywell Hommed Llc Role based internet access and individualized role based systems to view biometric information
US8086710B2 (en) 2006-10-30 2011-12-27 Quest Software, Inc. Identity migration apparatus and method
US7877812B2 (en) * 2007-01-04 2011-01-25 International Business Machines Corporation Method, system and computer program product for enforcing privacy policies
ES2692435T3 (es) * 2007-05-18 2018-12-03 Secure Keys Pty Limited Token de seguridad y sistema y procedimiento para la generación y decodificación del token de seguridad
US20090106815A1 (en) * 2007-10-23 2009-04-23 International Business Machines Corporation Method for mapping privacy policies to classification labels
US8463815B1 (en) * 2007-11-13 2013-06-11 Storediq, Inc. System and method for access controls
US8689008B2 (en) * 2008-08-05 2014-04-01 Net.Orange, Inc. Operating system
US20100318489A1 (en) * 2009-06-11 2010-12-16 Microsoft Corporation Pii identification learning and inference algorithm
US8601531B1 (en) * 2009-06-29 2013-12-03 Emc Corporation System authorization based upon content sensitivity
US8255984B1 (en) 2009-07-01 2012-08-28 Quest Software, Inc. Single sign-on system for shared resource environments
JP2013514577A (ja) * 2009-12-18 2013-04-25 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 属性ベースの暗号化を用いるデジタル権利管理
TWI422200B (zh) * 2010-05-11 2014-01-01 Nat Univ Tsing Hua 利用感測資料互相分享資料之認證方法、裝置及系統
US9038176B2 (en) 2011-03-31 2015-05-19 Mcafee, Inc. System and method for below-operating system trapping and securing loading of code into memory
US9317690B2 (en) 2011-03-28 2016-04-19 Mcafee, Inc. System and method for firmware based anti-malware security
US9262246B2 (en) 2011-03-31 2016-02-16 Mcafee, Inc. System and method for securing memory and storage of an electronic device with a below-operating system security agent
US9143509B2 (en) * 2011-05-20 2015-09-22 Microsoft Technology Licensing, Llc Granular assessment of device state
US8930325B2 (en) 2012-02-15 2015-01-06 International Business Machines Corporation Generating and utilizing a data fingerprint to enable analysis of previously available data
US20130312099A1 (en) * 2012-05-21 2013-11-21 Mcafee, Inc. Realtime Kernel Object Table and Type Protection
US9836907B2 (en) * 2012-06-12 2017-12-05 Snap-On Incorporated Tool training for automated tool control systems
US9947004B2 (en) 2012-06-28 2018-04-17 Green Dot Corporation Wireless client transaction systems and related methods
US20140019322A1 (en) 2012-07-13 2014-01-16 Green Dot Corporation Mobile banking systems and related methods
CN103065100B (zh) * 2012-12-26 2015-07-22 中国人民解放军总参谋部第六十一研究所 一种基于容器的用户私有数据保护方法
US10769296B2 (en) * 2013-12-10 2020-09-08 Early Warning Services, Llc System and method of permission-based data sharing
JP6295712B2 (ja) * 2014-02-25 2018-03-20 沖電気工業株式会社 コールセンタシステム、本人確認管理装置、本人確認管理方法、及び本人確認管理プログラム
US9773117B2 (en) * 2014-06-04 2017-09-26 Microsoft Technology Licensing, Llc Dissolvable protection of candidate sensitive data items
US9729583B1 (en) 2016-06-10 2017-08-08 OneTrust, LLC Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance
US10430788B2 (en) 2015-08-06 2019-10-01 Green Dot Corporation Systems and methods for fund transfers
US10268840B2 (en) 2015-12-04 2019-04-23 Xor Data Exchange, Inc. Systems and methods of determining compromised identity information
US10599872B2 (en) 2015-12-04 2020-03-24 Early Warning Services, Llc Systems and methods of determining compromised identity information
US11630918B2 (en) 2015-12-04 2023-04-18 Early Warning Services, Llc Systems and methods of determining compromised identity information
US11004125B2 (en) 2016-04-01 2021-05-11 OneTrust, LLC Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design
US10706447B2 (en) 2016-04-01 2020-07-07 OneTrust, LLC Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments
US11244367B2 (en) 2016-04-01 2022-02-08 OneTrust, LLC Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design
US20220164840A1 (en) 2016-04-01 2022-05-26 OneTrust, LLC Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design
US11057356B2 (en) 2016-06-10 2021-07-06 OneTrust, LLC Automated data processing systems and methods for automatically processing data subject access requests using a chatbot
US10846433B2 (en) 2016-06-10 2020-11-24 OneTrust, LLC Data processing consent management systems and related methods
US11138242B2 (en) 2016-06-10 2021-10-05 OneTrust, LLC Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
US10685140B2 (en) 2016-06-10 2020-06-16 OneTrust, LLC Consent receipt management systems and related methods
US10762236B2 (en) 2016-06-10 2020-09-01 OneTrust, LLC Data processing user interface monitoring systems and related methods
US10284604B2 (en) 2016-06-10 2019-05-07 OneTrust, LLC Data processing and scanning systems for generating and populating a data inventory
US11403377B2 (en) 2016-06-10 2022-08-02 OneTrust, LLC Privacy management systems and methods
US10848523B2 (en) 2016-06-10 2020-11-24 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11562097B2 (en) 2016-06-10 2023-01-24 OneTrust, LLC Data processing systems for central consent repository and related methods
US10496846B1 (en) 2016-06-10 2019-12-03 OneTrust, LLC Data processing and communications systems and methods for the efficient implementation of privacy by design
US11157600B2 (en) 2016-06-10 2021-10-26 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11461500B2 (en) 2016-06-10 2022-10-04 OneTrust, LLC Data processing systems for cookie compliance testing with website scanning and related methods
US10776514B2 (en) 2016-06-10 2020-09-15 OneTrust, LLC Data processing systems for the identification and deletion of personal data in computer systems
US10796260B2 (en) 2016-06-10 2020-10-06 OneTrust, LLC Privacy management systems and methods
US11188862B2 (en) 2016-06-10 2021-11-30 OneTrust, LLC Privacy management systems and methods
US11341447B2 (en) 2016-06-10 2022-05-24 OneTrust, LLC Privacy management systems and methods
US11227247B2 (en) 2016-06-10 2022-01-18 OneTrust, LLC Data processing systems and methods for bundled privacy policies
US11625502B2 (en) 2016-06-10 2023-04-11 OneTrust, LLC Data processing systems for identifying and modifying processes that are subject to data subject access requests
US11544667B2 (en) 2016-06-10 2023-01-03 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11138299B2 (en) 2016-06-10 2021-10-05 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10909265B2 (en) 2016-06-10 2021-02-02 OneTrust, LLC Application privacy scanning systems and related methods
US10706379B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Data processing systems for automatic preparation for remediation and related methods
US11146566B2 (en) 2016-06-10 2021-10-12 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US11675929B2 (en) 2016-06-10 2023-06-13 OneTrust, LLC Data processing consent sharing systems and related methods
US11354434B2 (en) 2016-06-10 2022-06-07 OneTrust, LLC Data processing systems for verification of consent and notice processing and related methods
US11586700B2 (en) 2016-06-10 2023-02-21 OneTrust, LLC Data processing systems and methods for automatically blocking the use of tracking tools
US11277448B2 (en) 2016-06-10 2022-03-15 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11727141B2 (en) 2016-06-10 2023-08-15 OneTrust, LLC Data processing systems and methods for synching privacy-related user consent across multiple computing devices
US10839102B2 (en) 2016-06-10 2020-11-17 OneTrust, LLC Data processing systems for identifying and modifying processes that are subject to data subject access requests
US10776517B2 (en) 2016-06-10 2020-09-15 OneTrust, LLC Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods
US11475136B2 (en) 2016-06-10 2022-10-18 OneTrust, LLC Data processing systems for data transfer risk identification and related methods
US10776518B2 (en) 2016-06-10 2020-09-15 OneTrust, LLC Consent receipt management systems and related methods
US11100444B2 (en) 2016-06-10 2021-08-24 OneTrust, LLC Data processing systems and methods for providing training in a vendor procurement process
US10678945B2 (en) 2016-06-10 2020-06-09 OneTrust, LLC Consent receipt management systems and related methods
US11023842B2 (en) 2016-06-10 2021-06-01 OneTrust, LLC Data processing systems and methods for bundled privacy policies
US10572686B2 (en) 2016-06-10 2020-02-25 OneTrust, LLC Consent receipt management systems and related methods
US11636171B2 (en) 2016-06-10 2023-04-25 OneTrust, LLC Data processing user interface monitoring systems and related methods
US11295316B2 (en) 2016-06-10 2022-04-05 OneTrust, LLC Data processing systems for identity validation for consumer rights requests and related methods
US10606916B2 (en) 2016-06-10 2020-03-31 OneTrust, LLC Data processing user interface monitoring systems and related methods
US10242228B2 (en) 2016-06-10 2019-03-26 OneTrust, LLC Data processing systems for measuring privacy maturity within an organization
US10510031B2 (en) 2016-06-10 2019-12-17 OneTrust, LLC Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques
US11392720B2 (en) 2016-06-10 2022-07-19 OneTrust, LLC Data processing systems for verification of consent and notice processing and related methods
US10607028B2 (en) 2016-06-10 2020-03-31 OneTrust, LLC Data processing systems for data testing to confirm data deletion and related methods
US10614247B2 (en) 2016-06-10 2020-04-07 OneTrust, LLC Data processing systems for automated classification of personal information from documents and related methods
US10503926B2 (en) 2016-06-10 2019-12-10 OneTrust, LLC Consent receipt management systems and related methods
US10949170B2 (en) 2016-06-10 2021-03-16 OneTrust, LLC Data processing systems for integration of consumer feedback with data subject access requests and related methods
US10169609B1 (en) 2016-06-10 2019-01-01 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US11087260B2 (en) 2016-06-10 2021-08-10 OneTrust, LLC Data processing systems and methods for customizing privacy training
US11354435B2 (en) 2016-06-10 2022-06-07 OneTrust, LLC Data processing systems for data testing to confirm data deletion and related methods
US11301796B2 (en) 2016-06-10 2022-04-12 OneTrust, LLC Data processing systems and methods for customizing privacy training
US11294939B2 (en) 2016-06-10 2022-04-05 OneTrust, LLC Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
US10318761B2 (en) 2016-06-10 2019-06-11 OneTrust, LLC Data processing systems and methods for auditing data request compliance
US11328092B2 (en) 2016-06-10 2022-05-10 OneTrust, LLC Data processing systems for processing and managing data subject access in a distributed environment
US11228620B2 (en) 2016-06-10 2022-01-18 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10873606B2 (en) 2016-06-10 2020-12-22 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11222139B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems and methods for automatic discovery and assessment of mobile software development kits
US11210420B2 (en) 2016-06-10 2021-12-28 OneTrust, LLC Data subject access request processing systems and related methods
US10997315B2 (en) 2016-06-10 2021-05-04 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US10282700B2 (en) 2016-06-10 2019-05-07 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11144622B2 (en) 2016-06-10 2021-10-12 OneTrust, LLC Privacy management systems and methods
US11416109B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Automated data processing systems and methods for automatically processing data subject access requests using a chatbot
US10585968B2 (en) 2016-06-10 2020-03-10 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US11134086B2 (en) 2016-06-10 2021-09-28 OneTrust, LLC Consent conversion optimization systems and related methods
US11222142B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems for validating authorization for personal data collection, storage, and processing
US11038925B2 (en) 2016-06-10 2021-06-15 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11416798B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing systems and methods for providing training in a vendor procurement process
US11520928B2 (en) 2016-06-10 2022-12-06 OneTrust, LLC Data processing systems for generating personal data receipts and related methods
US10454973B2 (en) 2016-06-10 2019-10-22 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10713387B2 (en) 2016-06-10 2020-07-14 OneTrust, LLC Consent conversion optimization systems and related methods
US10592692B2 (en) 2016-06-10 2020-03-17 OneTrust, LLC Data processing systems for central consent repository and related methods
US11025675B2 (en) 2016-06-10 2021-06-01 OneTrust, LLC Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance
US10592648B2 (en) 2016-06-10 2020-03-17 OneTrust, LLC Consent receipt management systems and related methods
US10706174B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Data processing systems for prioritizing data subject access requests for fulfillment and related methods
US10878127B2 (en) 2016-06-10 2020-12-29 OneTrust, LLC Data subject access request processing systems and related methods
US11238390B2 (en) 2016-06-10 2022-02-01 OneTrust, LLC Privacy management systems and methods
US11151233B2 (en) 2016-06-10 2021-10-19 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11343284B2 (en) 2016-06-10 2022-05-24 OneTrust, LLC Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance
US10769301B2 (en) 2016-06-10 2020-09-08 OneTrust, LLC Data processing systems for webform crawling to map processing activities and related methods
US10565397B1 (en) 2016-06-10 2020-02-18 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US10798133B2 (en) 2016-06-10 2020-10-06 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11651104B2 (en) 2016-06-10 2023-05-16 OneTrust, LLC Consent receipt management systems and related methods
US11651106B2 (en) 2016-06-10 2023-05-16 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US10416966B2 (en) 2016-06-10 2019-09-17 OneTrust, LLC Data processing systems for identity validation of data subject access requests and related methods
US10783256B2 (en) 2016-06-10 2020-09-22 OneTrust, LLC Data processing systems for data transfer risk identification and related methods
US10885485B2 (en) 2016-06-10 2021-01-05 OneTrust, LLC Privacy management systems and methods
US11418492B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing systems and methods for using a data model to select a target data asset in a data migration
US10997318B2 (en) 2016-06-10 2021-05-04 OneTrust, LLC Data processing systems for generating and populating a data inventory for processing data access requests
US10467432B2 (en) 2016-06-10 2019-11-05 OneTrust, LLC Data processing systems for use in automatically generating, populating, and submitting data subject access requests
US10909488B2 (en) 2016-06-10 2021-02-02 OneTrust, LLC Data processing systems for assessing readiness for responding to privacy-related incidents
US10706176B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Data-processing consent refresh, re-prompt, and recapture systems and related methods
US11438386B2 (en) 2016-06-10 2022-09-06 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10353673B2 (en) 2016-06-10 2019-07-16 OneTrust, LLC Data processing systems for integration of consumer feedback with data subject access requests and related methods
US10565236B1 (en) 2016-06-10 2020-02-18 OneTrust, LLC Data processing systems for generating and populating a data inventory
US10803200B2 (en) 2016-06-10 2020-10-13 OneTrust, LLC Data processing systems for processing and managing data subject access in a distributed environment
US11336697B2 (en) 2016-06-10 2022-05-17 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11200341B2 (en) 2016-06-10 2021-12-14 OneTrust, LLC Consent receipt management systems and related methods
US11366786B2 (en) 2016-06-10 2022-06-21 OneTrust, LLC Data processing systems for processing data subject access requests
US10282559B2 (en) 2016-06-10 2019-05-07 OneTrust, LLC Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques
US10726158B2 (en) * 2016-06-10 2020-07-28 OneTrust, LLC Consent receipt management and automated process blocking systems and related methods
US10853501B2 (en) 2016-06-10 2020-12-01 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10565161B2 (en) 2016-06-10 2020-02-18 OneTrust, LLC Data processing systems for processing data subject access requests
US11074367B2 (en) 2016-06-10 2021-07-27 OneTrust, LLC Data processing systems for identity validation for consumer rights requests and related methods
US11481710B2 (en) 2016-06-10 2022-10-25 OneTrust, LLC Privacy management systems and methods
US11416590B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10706131B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Data processing systems and methods for efficiently assessing the risk of privacy campaigns
US10896394B2 (en) 2016-06-10 2021-01-19 OneTrust, LLC Privacy management systems and methods
US10708305B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Automated data processing systems and methods for automatically processing requests for privacy-related information
US11366909B2 (en) 2016-06-10 2022-06-21 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11222309B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems for generating and populating a data inventory
US10586075B2 (en) 2016-06-10 2020-03-10 OneTrust, LLC Data processing systems for orphaned data identification and deletion and related methods
US10949565B2 (en) 2016-06-10 2021-03-16 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11188615B2 (en) 2016-06-10 2021-11-30 OneTrust, LLC Data processing consent capture systems and related methods
US11416589B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10642870B2 (en) 2016-06-10 2020-05-05 OneTrust, LLC Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
US10944725B2 (en) 2016-06-10 2021-03-09 OneTrust, LLC Data processing systems and methods for using a data model to select a target data asset in a data migration
US10740487B2 (en) 2016-06-10 2020-08-11 OneTrust, LLC Data processing systems and methods for populating and maintaining a centralized database of personal data
CN107515879B (zh) 2016-06-16 2021-03-19 伊姆西Ip控股有限责任公司 用于文档检索的方法和电子设备
WO2018017628A1 (en) * 2016-07-19 2018-01-25 American Innovative Application Corporation Multi-functional integrated communications system application
US10013577B1 (en) 2017-06-16 2018-07-03 OneTrust, LLC Data processing systems for identifying whether cookies contain personally identifying information
US11715154B2 (en) 2017-09-22 2023-08-01 Green Dot Corporation Systems and methods for managing accounts in a financial services system
US11354443B2 (en) * 2017-09-26 2022-06-07 Neighborhood Connections Llc System and method for providing customizable property management services enabling increased transparency and communication
US10885225B2 (en) 2018-06-08 2021-01-05 Microsoft Technology Licensing, Llc Protecting personally identifiable information (PII) using tagging and persistence of PII
US10839104B2 (en) 2018-06-08 2020-11-17 Microsoft Technology Licensing, Llc Obfuscating information related to personally identifiable information (PII)
WO2020023759A1 (en) 2018-07-26 2020-01-30 Insight Sciences Corporation Secure electronic messaging system
US10803095B2 (en) * 2018-07-30 2020-10-13 International Business Machines Corporation Personally identifiable information determination
US11144675B2 (en) 2018-09-07 2021-10-12 OneTrust, LLC Data processing systems and methods for automatically protecting sensitive data within privacy management systems
US11544409B2 (en) 2018-09-07 2023-01-03 OneTrust, LLC Data processing systems and methods for automatically protecting sensitive data within privacy management systems
US10803202B2 (en) 2018-09-07 2020-10-13 OneTrust, LLC Data processing systems for orphaned data identification and deletion and related methods
US11100141B2 (en) 2018-10-03 2021-08-24 Microsoft Technology Licensing, Llc Monitoring organization-wide state and classification of data stored in disparate data sources of an organization
US20200175094A1 (en) * 2018-12-03 2020-06-04 Bank Of America Corporation Document visualization and distribution layering system
US10824894B2 (en) 2018-12-03 2020-11-03 Bank Of America Corporation Document content identification utilizing the font
US11323452B2 (en) * 2019-01-25 2022-05-03 International Business Machines Corporation Hiearchical access groups for controlling data access, especially patient data access
US11397830B2 (en) 2019-02-04 2022-07-26 Hewlett Packard Enterprise Development Lp Security rules compliance for personally identifiable information
US10872168B1 (en) * 2019-06-07 2020-12-22 Piamond Corp. Method and system for providing user notification when personal information is used in voice control device
US11386052B2 (en) 2019-09-24 2022-07-12 Bank Of America Corporation System for scanning and analysis of protected electronic data using a database schema collection
US11960619B1 (en) 2019-11-18 2024-04-16 Morgan Stanley Services Group Inc. System for intrafirm tracking of personally identifiable information
US11797528B2 (en) 2020-07-08 2023-10-24 OneTrust, LLC Systems and methods for targeted data discovery
US11444976B2 (en) 2020-07-28 2022-09-13 OneTrust, LLC Systems and methods for automatically blocking the use of tracking tools
WO2022032072A1 (en) 2020-08-06 2022-02-10 OneTrust, LLC Data processing systems and methods for automatically redacting unstructured data from a data subject access request
US11436373B2 (en) 2020-09-15 2022-09-06 OneTrust, LLC Data processing systems and methods for detecting tools for the automatic blocking of consent requests
US20230334158A1 (en) 2020-09-21 2023-10-19 OneTrust, LLC Data processing systems and methods for automatically detecting target data transfers and target data processing
US11082487B1 (en) 2020-09-22 2021-08-03 Vignet Incorporated Data sharing across decentralized clinical trials using customized data access policies
US11315041B1 (en) 2020-09-22 2022-04-26 Vignet Incorporated Machine learning with data sharing for clinical research data across multiple studies and trials
US11954225B1 (en) 2020-11-02 2024-04-09 Wells Fargo Bank, N.A. Data privacy management
US11397819B2 (en) 2020-11-06 2022-07-26 OneTrust, LLC Systems and methods for identifying data processing activities based on data discovery results
WO2022159901A1 (en) 2021-01-25 2022-07-28 OneTrust, LLC Systems and methods for discovery, classification, and indexing of data in a native computing system
WO2022170047A1 (en) 2021-02-04 2022-08-11 OneTrust, LLC Managing custom attributes for domain objects defined within microservices
US11494515B2 (en) 2021-02-08 2022-11-08 OneTrust, LLC Data processing systems and methods for anonymizing data samples in classification analysis
WO2022173912A1 (en) 2021-02-10 2022-08-18 OneTrust, LLC Systems and methods for mitigating risks of third-party computing system functionality integration into a first-party computing system
US11775348B2 (en) 2021-02-17 2023-10-03 OneTrust, LLC Managing custom workflows for domain objects defined within microservices
US11546661B2 (en) 2021-02-18 2023-01-03 OneTrust, LLC Selective redaction of media content
WO2022192269A1 (en) 2021-03-08 2022-09-15 OneTrust, LLC Data transfer discovery and analysis systems and related methods
US11562078B2 (en) 2021-04-16 2023-01-24 OneTrust, LLC Assessing and managing computational risk involved with integrating third party computing functionality within a computing system
US20230153457A1 (en) * 2021-11-12 2023-05-18 Microsoft Technology Licensing, Llc Privacy data management in distributed computing systems
US11620142B1 (en) 2022-06-03 2023-04-04 OneTrust, LLC Generating and customizing user interfaces for demonstrating functions of interactive user environments
US11790107B1 (en) 2022-11-03 2023-10-17 Vignet Incorporated Data sharing platform for researchers conducting clinical trials

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4926476A (en) * 1989-02-03 1990-05-15 Motorola, Inc. Method and apparatus for secure execution of untrusted software
US5276901A (en) * 1991-12-16 1994-01-04 International Business Machines Corporation System for controlling group access to objects using group access control folder and group identification as individual user
US5446903A (en) * 1993-05-04 1995-08-29 International Business Machines Corporation Method and apparatus for controlling access to data elements in a data processing system based on status of an industrial process by mapping user's security categories and industrial process steps
JPH0850559A (ja) * 1994-08-04 1996-02-20 Mitsubishi Electric Corp ファイル記憶保護装置
US5944794A (en) * 1994-09-30 1999-08-31 Kabushiki Kaisha Toshiba User identification data management scheme for networking computer systems using wide area network
US5859966A (en) * 1995-10-10 1999-01-12 Data General Corporation Security system for computer systems
JPH09190236A (ja) * 1996-01-10 1997-07-22 Canon Inc 情報処理方法及び装置及びシステム
KR19990028500A (ko) * 1996-04-29 1999-04-15 엠. 제이. 엠. 반캄 전기통신망으로의액세스한정처리와,전기통신시스템및이와같은시스템용의유닛
US6023765A (en) * 1996-12-06 2000-02-08 The United States Of America As Represented By The Secretary Of Commerce Implementation of role-based access control in multi-level secure systems
US6070243A (en) * 1997-06-13 2000-05-30 Xylan Corporation Deterministic user authentication service for communication network
US6178510B1 (en) * 1997-09-04 2001-01-23 Gtech Rhode Island Corporation Technique for secure network transactions
GB2329499B (en) * 1997-09-19 2001-05-30 Ibm Method for controlling access to electronically provided services and system for implementing such method
US6141754A (en) * 1997-11-28 2000-10-31 International Business Machines Corporation Integrated method and system for controlling information access and distribution
JPH11175402A (ja) * 1997-12-10 1999-07-02 Fujitsu Ltd カード型記憶媒体及びカード型記憶媒体のアクセス制御方法並びにカード型記憶媒体用アクセス制御プログラムを記録したコンピュータ読み取り可能な記録媒体
US6289344B1 (en) * 1998-05-11 2001-09-11 International Business Machines Corporation Context-sensitive authorization in an RDBMS
US6304973B1 (en) * 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
US6295605B1 (en) * 1998-09-10 2001-09-25 International Business Machines Corporation Method and apparatus for multi-level security evaluation
US6412070B1 (en) * 1998-09-21 2002-06-25 Microsoft Corporation Extensible security system and method for controlling access to objects in a computing environment
US6253203B1 (en) * 1998-10-02 2001-06-26 Ncr Corporation Privacy-enhanced database
US6275824B1 (en) * 1998-10-02 2001-08-14 Ncr Corporation System and method for managing data privacy in a database management system
US6073106A (en) * 1998-10-30 2000-06-06 Nehdc, Inc. Method of managing and controlling access to personal information
JP2000194591A (ja) * 1998-12-24 2000-07-14 Nec Corp セキュリティシステム
US7062780B2 (en) * 1999-10-14 2006-06-13 Hewlett-Packard Development Company, L.P. Granular access control of inter-process communications in a compartment mode workstation labeled environment
US6389542B1 (en) * 1999-10-27 2002-05-14 Terence T. Flyntz Multi-level secure computer with token-based access control
US6430561B1 (en) * 1999-10-29 2002-08-06 International Business Machines Corporation Security policy for protection of files on a storage device
JP4089171B2 (ja) * 2001-04-24 2008-05-28 株式会社日立製作所 計算機システム
US7093298B2 (en) * 2001-08-30 2006-08-15 International Business Machines Corporation Apparatus and method for security object enhancement and management
US7134022B2 (en) * 2002-07-16 2006-11-07 Flyntz Terence T Multi-level and multi-category data labeling system
US20040225883A1 (en) * 2003-05-07 2004-11-11 Weller Michael K. Method and apparatus providing multiple single levels of security for distributed processing in communication systems
US7302569B2 (en) * 2003-08-19 2007-11-27 International Business Machines Corporation Implementation and use of a PII data access control facility employing personally identifying information labels and purpose serving functions sets

Also Published As

Publication number Publication date
KR20060061820A (ko) 2006-06-08
JP2007503035A (ja) 2007-02-15
TW200519696A (en) 2005-06-16
US20070250913A1 (en) 2007-10-25
KR100877650B1 (ko) 2009-01-09
CN1836195A (zh) 2006-09-20
EP1660967A1 (en) 2006-05-31
US20050044409A1 (en) 2005-02-24
US7302569B2 (en) 2007-11-27
CN100504714C (zh) 2009-06-24
US7617393B2 (en) 2009-11-10
TWI303785B (en) 2008-12-01
WO2005017720A1 (en) 2005-02-24

Similar Documents

Publication Publication Date Title
JP4550056B2 (ja) データ・アクセス制御機能を実現する方法、システム、およびプログラム・ストレージ・デバイス
Hu et al. Assessment of access control systems
Ferraiolo et al. Extensible access control markup language (XACML) and next generation access control (NGAC)
Gladney Access control for large collections
EP2502144B1 (en) Controlling resource access based on resource properties
US9032076B2 (en) Role-based access control system, method and computer program product
US8973157B2 (en) Privileged access to managed content
US5720033A (en) Security platform and method using object oriented rules for computer-based systems using UNIX-line operating systems
US20070214497A1 (en) System and method for providing a hierarchical role-based access control
KR101101085B1 (ko) 데이터 아이템의 구역 기반 보안 관리
JPH09319659A (ja) コンピュータ・システム用のセキュリティ制御方法
WO2002044888A1 (en) Workflow access control
Hitchens et al. Design and specification of role based access control policies
Karjoth An operational semantics of Java 2 access control
Kim et al. Describing access control models as design patterns using roles
Pölck Small TCBs of policy-controlled operating systems
Hu The policy machine for universal access control
KR100447511B1 (ko) 역할기반 접근제어 방법
Guo Secrecy Resilience of Authorization Policies and Its Application to Role Mining
Chaudhary SecpostgreSQL: A system for flow-secure view, transaction, sanitization and declassification on mls database
Ferraioloa et al. The Policy Machine: A Novel Framework for Access Control Policy Specification and Enforcement
Jones Access control for client-server object databases
Teigao et al. A grammar for specifying usage control policies
Bertino The Chinese Wall Access Control Model
Paton et al. Security in database systems: state of the art

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070725

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100224

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20100224

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20100310

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100316

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100608

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100629

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100707

R150 Certificate of patent or registration of utility model

Ref document number: 4550056

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130716

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: R3D02

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees