JP5422639B2 - データ蓄積システムとそのデータアクセス制御方法 - Google Patents

データ蓄積システムとそのデータアクセス制御方法 Download PDF

Info

Publication number
JP5422639B2
JP5422639B2 JP2011286609A JP2011286609A JP5422639B2 JP 5422639 B2 JP5422639 B2 JP 5422639B2 JP 2011286609 A JP2011286609 A JP 2011286609A JP 2011286609 A JP2011286609 A JP 2011286609A JP 5422639 B2 JP5422639 B2 JP 5422639B2
Authority
JP
Japan
Prior art keywords
data
access control
request
access
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011286609A
Other languages
English (en)
Other versions
JP2013134731A (ja
Inventor
順子 橋本
将浩 白石
恒子 倉
麻美 宮島
芳浩 吉田
一雄 森村
裕二 前田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2011286609A priority Critical patent/JP5422639B2/ja
Publication of JP2013134731A publication Critical patent/JP2013134731A/ja
Application granted granted Critical
Publication of JP5422639B2 publication Critical patent/JP5422639B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Medical Treatment And Welfare Office Work (AREA)

Description

この発明は、例えば医療分野において患者に関する情報データを蓄積するデータ蓄積システムと、上記情報データに対しアクセスするためのデータアクセス制御方法に関する。
近年、複数の医療機関がネットワークを介して連携し、医療サービスを市民に提供するサービスシステムが普及している。この種のシステムでは、例えば個々の病院がそれぞれサーバを運用し、これらのサーバ間で患者の情報データをやり取りするものとなっている。この種のシステムでは、各医療機関がそれぞれ自患者の情報データを管理している場合に、どの医療従事者がどの医療機関のどの患者の情報データにアクセスできるようにするかを柔軟に制御する必要がある。
データベースに蓄積された情報データへのアクセス制御方法の一例として、アクセス制御を行うために、インスタンス指示子、利用者指示子、操作指示子及び操作内容条件から成るインスタンス操作許可情報を管理しておき、操作実施前にアクセス要求に含まれる情報とその内容と照合し、要求された操作が可能かどうかを判定するシステムが提案されている(例えば特許文献1を参照)。
また、患者情報等のユーザの個人情報と、当該個人情報にアクセス可能なユーザとの対応付けを1対1ではなく柔軟に記述した方法も提案されている。この方法は、アクセス制御ルール以外に、本人ユーザと他のユーザとの人間関係を表すユーザ関係情報を用い、患者とある関係にあるユーザに対し、アクセスを許可するというアクセス制御ルールを用いるものである(例えば特許文献2を参照)。
特許第3788113号明細書 特開2011−100362号公報
ところが、従来提案されている技術には以下のような解決すべき課題があった。
すなわち、アクセス制御ルールにおいて、特許文献1に示すような患者情報と当該患者情報の開示先ユーザとを直接対応付ける方法では、個々の患者に対しアクセス制御ルールを定義する必要がある。このため、患者が追加されるたびにシステム運用者や医療従事者が当該追加された患者のためのアクセス制御ルールを作成し登録する必要があり、システム運用上の負担が大きくなる。また、特許文献2に示す方法も、患者ごとに当該患者情報とは別に作成したユーザ関係情報を管理する必要があり、運用上の負担が大きい。
さらに、例えば医療情報を管理するデータベースシステムでは、治療中はその患者の情報へのアクセスを許可するが、治療後はアクセスを禁止するなど、患者の情報の内容によってアクセス制御方法を変更する場合がある。しかし、従来のアクセス制御方法では、患者のデータの内容の変更に応じて、個々のアクセス制御ルールやユーザ関係情報を変更する必要があり、その負担が大きい。
この発明は上記事情に着目してなされたもので、その目的とするところは、操作対象データ又はその所有者ごとにアクセス制御ルールを作成しなくても済むようにし、これにより管理者の負担の軽減を図ったデータ蓄積システムとそのデータアクセス制御方法を提供することにある。
上記目的を達成するためにこの発明の1つの観点は、データ自体又はその所有者を個別に特定する項目を含む特定情報と、データの内容を表す少なくとも一つの項目を含む一般情報と、上記特定情報及び一般情報に含まれる複数の項目のうちどの項目がアクセス制御データキーとして定義されているかを表す情報とから構成される操作対象データを記憶する操作対象データ記憶手段と、上記操作対象データに含まれる複数の項目のうちアクセス制御データキーとして定義されている項目の少なくとも一つとそのデータ値との組み合せをアクセス制御対象抽出条件として含み、このアクセス制御対象抽出条件に関連付けてアクセスの許否を表す情報を定義したアクセス制御ルール情報を記憶するアクセス制御ルール記憶手段とを具備するデータ蓄積システムにあって、
データ操作要求を受信した場合に、この受信されたデータ操作要求から該当する操作対象データに含まれる項目のうちアクセス制御データキーとして定義されている項目のデータ値を全て抽出し、この抽出された全てのデータ値又はその組み合わせの論理和をアクセス制御対象抽出条件として定義したアクセス制御判定要求を作成する。そして、この作成されたアクセス制御判定要求で定義されたアクセス制御対象抽出条件を満足するアクセス制御ルール情報を、上記アクセス制御ルール記憶手段から検索し、この検索されたアクセス制御ルール情報により定義されたアクセスの許否を表す情報をもとに、上記データ操作要求に対するアクセスの許否を判定するようにしたものである。
また、この発明の第1の観点は以下のような態様を備えることを特徴とする。
第1の態様は、アクセス制御判定要求を作成する際に、受信されたデータ操作要求に、アクセス者、データ操作種別及びデータ集合識別を表す項目とそのデータ値が含まれている場合にこれらの項目のデータ値の論理積を第1の条件とし、かつ上記受信されたデータ操作要求に含まれる複数の項目のうちアクセス制御データキーとして定義されている全ての項目のデータ値又はその組み合わせの論理和を第2の条件としてそれぞれ定義したアクセス制御判定要求を作成する。そして、この作成されたアクセス制御判定要求で定義された第1及び第2の条件の両方を満足するアクセス制御ルール情報をアクセス制御ルール記憶手段から検索するものである。
第2の態様は、アクセス制御判定要求を作成する際に、受信されたデータ操作要求に含まれるデータ操作種別が操作対象データの登録である場合に、当該データ操作要求に含まれる登録対象データから当該登録対象データに含まれる複数の項目のうちアクセス制御データキーとして定義されている項目のデータ値を全て抽出して、この抽出されたデータ値又はその組み合わせの論理和をアクセス制御対象抽出条件として定義したアクセス制御判定要求を作成する。そして、この作成されたアクセス制御判定要求で定義されたアクセス制御対象抽出条件を満足するアクセス制御ルール情報を上記アクセス制御ルール記憶手段から検索し、この検索されたアクセス制御ルール情報により定義されたアクセスの許否を表す情報をもとに上記データ操作要求に対するアクセスの許否を判定して、許可された場合に上記受信されたデータ操作要求に含まれる登録対象データを上記操作対象データ記憶手段に記憶させるものである。
第3の態様は、アクセス制御判定要求を作成する際に、受信されたデータ操作要求に含まれるデータ操作種別が操作対象データの検索又は削除である場合に、当該データ操作要求に含まれる検索又は削除対象を表すデータから当該データに含まれる複数の項目のうちアクセス制御データキーとして定義されている項目のデータ値を全て抽出して、この抽出されたデータ値又はその組み合わせの論理和をアクセス制御対象抽出条件として定義したアクセス制御判定要求を作成する。そして、この作成されたアクセス制御判定要求で定義されたアクセス制御対象抽出条件を満足するアクセス制御ルール情報を上記アクセス制御ルール記憶手段から検索し、この検索されたアクセス制御ルール情報により定義されたアクセスの許否を表す情報をもとに上記データ操作要求に対するアクセスの許否を判定し、許可された場合に、上記受信されたデータ操作要求に含まれる検索又は削除対象を指定するデータに応じて上記操作対象データ記憶手段に記憶された該当する操作対象データに対し検索又は削除処理を行うものである。
また上記アクセスの許否を判定する際に、検索もしくは削除したい操作対象データを特定するための検索条件が特定情報に該当する全てのアクセス制御データキーを含んでいないことに起因して、上記操作対象データ記憶手段から複数のアクセス制御ルール情報が検索された場合に、当該検索された複数のアクセス制御ルール情報によるアクセス許否の判定結果を総合して、検索もしくは削除を行うかどうかを判断するとよい。
第4の態様は、アクセス制御判定要求を作成する際に、受信されたデータ操作要求に含まれるデータ操作種別が操作対象データの変更である場合に、当該データ操作要求に含まれる変更データから当該変更データに含まれる複数の項目のうちアクセス制御データキーとして定義されている変更前の項目のデータ値を全て抽出し、この抽出されたデータ値又はその組み合わせの論理和をアクセス制御対象抽出条件として定義した第1のアクセス制御判定要求と、上記変更データに含まれる複数の項目のうちアクセス制御データキーとして定義されている変更後の項目のデータ値を全て抽出し、この抽出されたデータ値又はその組み合わせの論理和をアクセス制御対象抽出条件として定義した第2のアクセス制御判定要求をそれぞれ作成する。そして、この作成された第1及び第2のアクセス制御判定要求でそれぞれ定義されたアクセス制御対象抽出条件を満足する第1及び第2のアクセス制御ルール情報を上記アクセス制御ルール記憶手段から検索し、この検索された第1及び第2のアクセス制御ルール情報により定義されたアクセスの許否を表す情報を総合して上記データ操作要求に対するアクセスの許否を判定し、この判定によりアクセスが許可された場合に、上記受信されたデータ操作要求に含まれる変更データに応じて、上記操作対象データ記憶手段に記憶された該当する操作対象データに対し変更処理を行うものである。
第5の態様は、アクセス制御判定要求を作成する際に、受信されたデータ操作要求からアクセス制御データキーとして定義されている項目のデータ値の全て又は一部を抽出できない場合に、当該データ操作要求に含まれる操作対象データの指定情報をもとに上記操作対象データ記憶手段から該当する操作対象データを読み出し、この読み出された操作対象データからアクセス制御データキーとして定義されている項目のうち上記データ操作要求から抽出できなかった項目のデータ値を抽出して、上記アクセス制御対象抽出条件に加えるものである。
したがってこの発明の1つの観点によれば、操作対象データに含まれる複数の項目のうちその所有者を特定する情報等の特定要素を必須の検索条件に含めず、上記操作対象データに含まれる複数の項目の少なくとも1つが一致することを検索条件としてアクセス制御ルールの検索が行われることになる。このため、操作対象データごとにそのアクセス制御ルールを設定する必要がなくなり、その分アクセス制御対象の選択の自由度を高めることができ、これによりシステム管理者や医師等の作業負担を軽減することが可能となる。
すなわちこの発明によれば、操作対象データ又はその所有者ごとにアクセス制御ルールを作成しなくても済むようになり、これにより管理者の負担の軽減を図ったデータ蓄積システムとそのデータアクセス制御方法を提供することができる。
この発明の原理説明に使用するデータ蓄積システムの機能構成図。 図1に示すデータ蓄積システムが取り扱う操作対象データのデータ構造を示す図。 図1に示すデータ蓄積システムが操作対象データのアクセス制御のために管理するアクセス制御リストのデータ構造を示す図。 この発明の一実施形態に係るデータ蓄積システムの機能構成を示すブロック図。 図4に示したデータ蓄積システムが操作対象データとして取り扱う患者データの一例を示す図。 図5に示した患者データから抽出されるアクセス制御データキー情報の一例を示す図。 図4に示したデータ蓄積システムが管理するアクセス制御リストの一例を示す図。 図4に示したデータ蓄積システムによるデータアクセス制御動作の第1の例を示す図。 図4に示したデータ蓄積システムによるデータアクセス制御動作の第2の例を示す図。 図4に示したデータ蓄積システムによるデータアクセス制御動作の第3の例を示す図。
以下、図面を参照してこの発明に係わる実施形態を説明する。
[原理]
図1は、この発明の原理説明に使用するデータ蓄積システムの機能構成図である。
このシステムは、データ提供装置1とデータ要求装置2とをネットワーク3を介して接続可能としたものである。
データ提供装置1は、制御機能としてアクセス制御リスト操作手段1−1と、アクセス制御判定手段1−2と、データ操作手段1−3とを備え、また記憶機能としてアクセス制御リスト記憶手段1−4と、アクセス制御データキー情報記憶手段1−5と、操作対象データ記憶手段1−6を備えている。
操作対象データ記憶手段1−6には操作対象データDが格納される。操作対象データDは、図2に示すように1つ以上のデータ集合D1〜DN(1≦i≦N)に分けられ、各データ集合Diは1つ以上のデータコードR1〜RM(1≦j≦M)を含んでいる。データコードRjは、1つ以上のデータ項目C1〜CP及びそのデータ値CV1〜CVP(0≦P)と、アクセス制御データキー情報を含む。
アクセス制御データキー情報は、データ集合ごとにどのデータ項目がアクセス制御データキーであるかを定義したもので、アクセス制御データKOとそのデータ値KVOとの組み合わせで表現される。このアクセス制御データKOとそのデータ値KVOの組み合わせは、1つのデータ集合について1つ以上(1≦O)設定される。この設定されたアクセス制御データキーK1〜KOは、アクセス制御データキー情報記憶手段1−5で管理される。
アクセス制御リスト記憶手段1−4には、1つ以上のアクセス制御リストLが格納される。アクセス制御リストLは、上記操作対象データDに対するアクセス制御ルールを定義するもので、図3に示すように1つ以上のアクセス制御データL1〜LN(1≦i≦N)を有し、1つのアクセス制御データLiはアクセス者情報と、操作種別情報と、データ集合識別情報と、アクセス制御対象抽出条件情報と、アクセス制御情報を含む。
アクセス制御対象抽出条件情報TDiには、上記アクセス制御データキー情報記憶手段15においてアクセス制御データキーとして管理されているデータ項目のうちの少なくとも一つが、そのデータ値と共に設定される。すなわち、操作対象データに含まれる複数のデータ項目(カラム)のうち、アクセス制御データキーとして定義されているデータ項目の少なくとも1つとそのデータ値との組み合わせがアクセス制御対象抽出条件情報TDiとして設定される。アクセス制御情報は、上記アクセス者による上記データ集合のデータレコードに対するアクセスを許可するか拒否するかを示す情報である。
データ操作手段1−3は、後述するデータ要求装置2からデータ操作要求を受け付けた場合に、アクセス制御判定要求を作成する。このアクセス制御判定要求には、データ操作要求を送出したユーザや認証状態を示すアクセス者情報と、アクセス対象データに対して実施したい操作の種類を示す操作種別情報と、アクセス制御対象とするデータ集合を特定するためのデータ集合識別情報と、アクセス制御対象抽出条件情報が記述される。
アクセス制御対象抽出条件情報は、アクセス制御対象データを絞り込む条件となる可能性がある全てのアクセス制御データキーとそのデータ値を含む。このとき、上記データ操作要求に絞り込む条件となる可能性がある全てのアクセス制御データキーとそのデータ値が含まれていない場合には、操作対象データ記憶手段1−6に格納された該当する操作対象データから不足するアクセス制御データキーのデータ値を検索して補完する。
そしてデータ操作手段1−3は、上記作成されたアクセス制御判定要求をアクセス制御判定手段12に与えてアクセス制御判定処理を実行させ、その判定結果に従い操作対象データに対してデータ操作を行い、その結果を返却する。
アクセス制御判定手段1−2は、上記データ操作手段1−3からアクセス制御判定要求が与えられると、当該要求をもとにアクセス制御対象抽出条件情報に含まれる複数のアクセス制御データキーの1つ以上の組み合わせと一致することを検索条件とする検索条件を作成し、アクセス制御リスト操作手段1−1に与える。そして、アクセス制御リスト操作手段1−1により検索されたアクセス制御ルールをもとに、要求された操作対象データに対するアクセスが許可されているか拒否されているかを判定し、その判定結果をデータ操作手段1−3に返却する。
アクセス制御リスト操作手段1−1は、上記アクセス制御判定手段1−2から与えられた検索条件に記述された検索条件を満足するアクセス制御ルールを、アクセス制御リスト記憶手段1−4から検索する。そして、この検索により読み出されたアクセス制御ルールを上記アクセス制御判定手段1−2に返却する。
データ要求装置2はデータ操作要求手段2−1を備える。このデータ操作要求手段2−1は、アクセス者の操作に応じて操作対象データにアクセスするためのアクセス操作要求情報を作成し、データ提供装置1へ送信する機能を有する。アクセス操作要求情報には、アクセス者情報、操作対象データ又はその集合の識別情報及び操作種別を表す情報が記述され、さらにアクセス制御対象抽出条件を表す情報が記述される。このときアクセス制御対象抽出条件となる情報には、操作対象データに含まれる複数のデータ項目のうちアクセス制御データキーとして定義されているデータ項目とそのデータ値が用いられる。
したがって、このようなシステムによれば、データ要求装置2からアクセス操作要求情報が送信されると、データ提供装置1では、先ずデータ操作手段1−3において、アクセス制御データキー情報1−5を参照して、上記アクセス要操作求情報から該当する操作対象データに含まれる項目のうちアクセス制御データキーとして定義されているデータ項目のデータ値を全て抽出し、これをアクセス制御対象抽出条件情報としてアクセス制御要求情報に含める。次にこのアクセス制御要求情報をもとに、アクセス制御判定手段1−2により上記アクセス制御対象抽出条件情報に含まれる複数のアクセス制御データキーとそのデータ値の1つ以上の組み合わせが一致することを検索条件とする検索条件が作成される。そして、この条件を満足するアクセス制御ルールがアクセス制御リスト操作手段1−1によりアクセス制御リストから検索され、この検索されたアクセス制御ルールをもとに操作対象データに対するアクセスの許否が判定される。
すなわち、データ提供装置1では、操作対象データの識別情報やユーザ関係情報等の特定の情報ではなく、操作対象データに含まれる汎用な一般情報をキーとしてアクセス制御ルールの検索が行われる。このため、操作対象データごとにアクセス制御ルールを定義する必要がなく、また操作対象データとは別に作成したユーザ関係情報を管理する必要もない。さらに、操作対象データの内容の変更等に応じて、その都度アクセス制御ルールやユーザ関係情報を変更する必要もない。したがって、システム運用上の管理者等の負担は大幅に軽減される。
[一実施形態]
(構成)
図4は、この発明の一実施形態に係るデータ蓄積システムの機能構成を示すブロック図である。
このシステムは、複数のデータ提供サーバ10a,10bを備え、これらのデータ提供サーバ10a,10bにはデータ要求サーバ20がネットワーク30を介して接続可能となっている。また、データ要求サーバ20には、医師端末40及びユーザ認証サーバ50がネットワーク30を介して接続可能となっている。
医師端末40は、パーソナル・コンピュータ等の端末からなり、A病院の医師及びB病院の医師が病院データに対しアクセスする際に使用する。
データ要求サーバ20は、制御機能としてデータ操作要求部21と、患者情報サービス部22と、ユーザ認証要求部23を備える。
患者情報サービス部22は、医師端末40から病院データに対するアクセス要求が送られた場合に、ユーザ認証要求部23を起動してアクセス元のユーザの認証手順を実行させる処理と、データ操作要求部21を起動して上記データ提供サーバ10a,10bの患者データに対し操作要求を送信させる処理と、操作結果を要求元の医師端末20に返送して表示させる処理を実行する機能を有する。
ユーザ認証要求部23は、医師端末40からアクセス者である医師のユーザIDやパスワード等の認証情報を受け取り、このユーザIDやパスワード等の認証情報を含む認証要求をユーザ認証サーバ50へ送信する処理と、この認証要求に対する認証結果を受信して患者情報サービス部22に通知する処理を実行する機能を有する。
ユーザ認証サーバ50は、ユーザ認証部51と、ユーザ認証に必要なユーザ個人情報を記憶した認証情報記憶部52を備える。ユーザ認証部51は、上記データ要求サーバ20から認証要求が送られた場合に、この認証要求に含まれるユーザID及びパスワードを認証情報記憶部52に記憶されているユーザ個人情報と照合し、アクセス者の正当性を判定してその結果を要求元のデータ要求サーバ20に返送する機能を有する。
データ要求サーバ20のデータ操作要求部21は、医師端末40におけるアクセス者の操作に応じて操作対象の患者データにアクセスするためのアクセス操作要求情報を作成し、データ提供装置1へ送信する機能を有する。アクセス操作要求情報には、アクセス者を表す情報(医師名又は医師ID)と、操作種別つまり「登録」、「変更」、「削除」又は「参照」を表す情報と、操作対象データが属するデータ集合の識別情報(例えば診療データ、入院データ又は診療詳細データ)と、アクセス制御対象抽出条件を表す情報と、上記認証結果を表す情報を含める。アクセス制御対象抽出条件を表す情報としては、操作対象データに含まれる複数のデータ項目のうちアクセス制御データキーとして定義されているデータ項目の少なくとも一つとそのデータ値を含める。
データ提供サーバ10a,10bは、それぞれA病院及びB病院が個別に運用するもので、この発明を実施するために必要な制御機能として、アクセス制御リスト操作部11と、アクセス制御判定部12と、データ操作部13とを備え、また記憶機能としてアクセス制御リスト記憶部14と、アクセス制御データキー情報記憶部15と、患者データ記憶部16を備えている。
患者データ記憶部16には、それぞれの病院が管理する患者のデータが記憶されている。図5はその一例を示すもので、患者データは同図(a)に示すように診療データと、入院データと、診療詳細データとから構成される。これらのデータはそれぞれデータ集合として独立するデータテーブルに記憶される。このうち診療データを例にとると、診療データは同図(b)に示すように、患者ID、診療科名、担当医師名、紹介先医師名、患者本人の名前、最終来院日時、診療情報等のカラムを有する。
アクセス制御データキー情報記憶部15には、上記患者データのアクセス制御データキー情報が記憶される。図6は、そのうちの診療データのアクセス制御データキー情報の一例を示したもので、診療データの各カラムのうち患者ID、診療科名、担当医師名及び紹介先医師名はアクセス制御データキーであることを記述している。また、患者本人の名前、最終来院日時及び診療情報はデータ項目、患者ID及び診療科名は主キーであることをそれぞれ記述している。なお、図6はXML(Extensible Markup Language)で記述した場合を例示したが、記述方式は問わない。
アクセス制御リスト記憶部14には、ユーザアクセス制御リストが格納される。ユーザアクセス制御リストは、病院ごとに予め設定された患者データに対するアクセス制御ポリシをアクセス制御リスト化したもので、例えば以下のように構成される。図7はその構成を示すものである。
すなわち、アクセス制御ポリシごとに、当該ポリシを反映したアクセス制御ルールを表すデータ(アクセス制御データ)が作成される。各アクセス制御データは、ルール番号(No.)に対し、アクセス者情報(医師名)と、操作種別情報(「登録」、「変更」、「削除」又は「参照」)と、データ集合識別情報(診療データ、入院データ、診療詳細データ)と、アクセス制御対象抽出条件情報と、アクセス制御情報(許可/拒否)を関連付けたものである。
このうちアクセス制御対象抽出条件情報としては、アクセス対象データに含まれるアクセスデータ項目のうちアクセス制御データキーとして定義されたデータ項目の全てとそのデータ値が使用される。例えば、診療データの場合には、図6に示すように「患者ID」、「診療科名」、「担当医師名」、「紹介先医師名」が使用される。
したがって、新たな患者データが追加登録された場合でも、当該新たな患者データに対応付けてアクセス制御ルールを追加登録する必要はなくなる。また、登録済の患者データが変更された場合には、当該患者データのカラムの更新に応じて、適用されるアクセス制御ルールが自動的に変更される。このため、この場合もアクセス制御ルールを追加・変更する必要はない。
データ操作部13は、データ要求サーバ20からデータ操作要求を受信した場合に、アクセス制御判定要求を作成してアクセス制御判定部12に与える。アクセス制御判定要求には、アクセス者情報(医師名)と、操作種別情報(「登録」、「変更」、「削除」又は「参照」)と、データ集合識別情報(診療データ)と、アクセス制御対象抽出条件情報が記述される。アクセス制御対象抽出条件情報には、診療データの全てのアクセス制御データキーが記述される。このとき、アクセス制御データキーが不足している場合には、患者データ記憶部16に格納された該当する診療データから不足するアクセス制御データキーを検索して補完する。またデータ操作部13は、後述するアクセス制御判定部12からアクセスを許可する旨が通知された場合に、上記データ操作要求の内容に応じて患者データに対する操作を行う。
アクセス制御判定部12は、上記データ操作部13からアクセス制御判定要求が与えられた場合に、当該要求をもとにアクセス者情報(医師名)、操作種別情報(「登録」、「変更」、「削除」又は「参照」)及びデータ集合識別情報(診療データ)が何れも一致することを第1の条件とし、かつアクセス制御対象抽出条件情報に含まれる複数のアクセス制御データキーのうちの1つ以上の組み合わせと一致することを第2の条件とする検索条件を作成し、アクセス制御リスト操作部11に与える。そして、当該検索条件に対しアクセス制御リスト操作部11からアクセス制御ルールが返送された場合に、このルールをもとにアクセスが許可されたか拒否されたかを判定してその判定結果をデータ操作部13に通知する。
アクセス制御リスト操作部11は、上記アクセス制御判定部12から与えられた検索条件に記述された第1及び第2の条件を満足するアクセス制御ルールを、アクセス制御リスト記憶部14から検索する。そして、この検索により読み出されたアクセス制御ルールを上記アクセス制御判定部12に返却する。
(動作)
次に、以上のように構成されたデータ提供サーバ10a,10bにおける幾つかのアクセス制御動作を説明する。
なおここでは、A病院の動作を例にとり、A病院は患者データに対し以下のようなアクセス制御ポリシを持っているものとして説明を行う。
ポリシ1;A病院の患者の担当医師は、患者の診療データを登録、更新、参照、削除してよい。
ポリシ2;A病院の患者の担当医師の代理の医師は、患者の診療データを登録、更新、参照、削除してよい。
ポリシ3;A病院の医師は、自分の診療科の患者の診療データを参照してよい。
ポリシ4;A病院の患者の紹介先医師は、患者の診療データを参照してよい。
(1)第1の動作
A病院のa医師が、A病院のデータ提供サーバ10aに鈴木さんの診療データを登録する場合
A病院の医師aが、医師端末40を用いてデータ要求サーバ20にアクセスし、自身の医師IDとパスワードを入力してログインすると、データ要求サーバ20は患者情報サービス部22の制御の下、ユーザ認証要求部23によりユーザ認証サーバ50へ上記医師ID及びパスワードを含む認証要求を送信する。これに対しユーザ認証サーバ50は、上記認証要求を受信すると、ユーザ認証部51が上記認証要求に含まれる医師ID及びパスワードを認証情報記憶部52に記憶されているユーザ個人情報と照合し、アクセス者である医師aの正当性を判定してその結果を要求元のデータ要求サーバ20に返送する。
続いて医師aが、医師端末40において鈴木さんの患者データを入力したとする。そうすると、データ要求サーバ20は患者情報サービス部22の制御の下、上記医師端末40から送られた患者データをもとにデータ操作要求部21でデータ操作要求を作成し、このデータ操作要求をアクセス先のデータ提供サーバ10aに送信する。このときデータ操作要求には、アクセス者を示す「医師a」と、操作種別を示す「データ登録」と、データ集合識別を示す「診療データ」と、登録対象データを含める。登録対象データの内容は、例えば患者IDを示す「S05」と、診療科を示す「内科」と、担当医師を示す「医師a」と、患者の氏名を示す「鈴木一郎」と、最終来院日時を示す「2011.10.10」と、診療情報を示す「風邪」とから構成される。なお、アクセス者情報には、アクセス者が医師aと認証されたことを示す情報も付加される。
さて、上記データ操作要求が受信されると、データ提供サーバ10aは以下のように患者データの登録処理を実行する。図8はその処理手順と処理内容を示すフローチャートである。
すなわち、データ提供サーバ10aは、ステップS11で上記データ操作要求を受信すると、データ操作部13の制御の下、先ずステップS12により、上記受信したデータ操作要求をもとにアクセス制御判定要求を作成する。このアクセス制御判定要求は、図8のステップS13に示すように、アクセス者を示す「医師a」と、操作種別を示す「データ登録」と、データ集合識別を示す「診療データ」と、アクセス制御対象抽出条件情報を含む。このうちアクセス制御対象抽出条件情報には、上記データ操作要求に含まれる登録データから抽出したアクセス制御データキーの値が挿入される。具体的には、患者IDを示す「S05」と、診療科を示す「内科」と、担当医師を示す「医師a」が挿入される。
データ提供サーバ10aは、次にステップS14によりアクセス要求判定部12を起動し、このアクセス要求判定部12の制御の下、上記アクセス制御判定要求をもとに検索条件を作成する。例えば、ステップS15に示すように、アクセス者を示す「医師a」、操作種別を示す「データ登録」及びデータ集合識別を示す「診療データ」が何れも一致することを第1の条件とし、かつ患者IDを示す「S05」、診療科を示す「内科」及び担当医師を示す「医師a」の1つ以上の組み合わせと一致することを第2の条件とする検索条件を作成する。
データ提供サーバ10aは、続いてステップS16によりアクセス制御リスト操作部11を起動する。そして、このアクセス制御リスト操作部11の制御の下、上記作成された第1及び第2の条件を満足するアクセス制御ルールを、アクセス制御リスト記憶部14から検索する。この結果、図7に示すユーザアクセス制御リストのうち「ルールNo.1」のアクセス制御ルールが読み出される。アクセス制御リスト操作部11はこの読み出された「ルールNo.1」のアクセス制御ルールを、ステップS17によりアクセス要求判定部12に返却する。
なお、上記アクセス制御対象抽出条件情報に含まれるアクセス制御データキーをもとに第2の条件を作成する処理は、アクセス制御リスト操作部11において行ってもよい。
データ提供サーバ10aは、次にステップS18においてアクセス要求判定部12の制御の下、上記「ルールNo.1」のアクセス制御ルールに記載されたアクセス制御情報をもとにアクセスが許可されているか否かを判定する。そして、この場合は「許可」されているので、ステップS19によりデータ登録の許可通知をデータ操作部13に返却する。
データ提供サーバ10aは、データ操作部13の制御の下で、ステップS20により、先に受信されたデータ操作要求に含まれる登録データを、患者データ記憶部16内の診療データベースに記憶する処理を実行する。そして、登録処理が終了するとステップS21によりデータ登録が成功した旨のメッセージを、要求元のデータ要求サーバ20に返送する。データ要求サーバ20は、このメッセージを受信すると当該メッセージを医師端末40へ返送する。
かくして、A病院のa医師の操作による、A病院のデータ提供サーバ10aへの診療データの登録がなされる。
なお、図8の例では紹介先医師カラムが空欄となっており、アクセス制御判定要求に含めていない。しかし、「紹介先医師カラムが空欄である」を検索条件としてアクセス制御判定要求に含めるようにしてもよい。
(2)第2の動作
A病院の医師eが、A病院のデータ提供サーバ10aに登録済の山田さんの患者データについて、担当医師を医師aから医師cに変更しようとした場合
A病院の医師eの認証処理は、先に(1)で述べた医師aの認証処理と同様に行われる。
この認証処理後、医師eが医師端末40において、A病院のデータ提供サーバ10aに登録済の山田さんの診療データにおいて、「担当医師」欄を「医師a」から「医師c」に変更する操作を行ったとする。
そうすると、データ要求サーバ20は患者情報サービス部22の制御の下、上記医師端末40から送られた変更データをもとにデータ操作要求部21でデータ操作要求を作成し、このデータ操作要求をアクセス先のデータ提供サーバ10aに送信する。このときのデータ操作要求には、アクセス者を示す「医師e」と、操作種別を示す「データ更新」と、データ集合識別を示す「診療データ」と、更新データが挿入される。更新データの内容は、例えば患者IDを示す「S01」と、診療科を示す「内科」と、担当医師を示す「医師c」とから構成される。なお、アクセス者情報には、アクセス者が医師eと認証されたことを示す情報も付加される。
さて、上記データ操作要求が受信されると、データ提供サーバ10aは以下のように患者データの変更処理を実行する。図9はその処理手順と処理内容を示すフローチャートである。
すなわち、データ提供サーバ10aは、ステップS31で上記データ操作要求を受信すると、データ操作部13の制御の下、先ずステップS32により、上記受信したデータ操作要求をもとにアクセス制御判定要求を作成する。
例えば、先ず上記受信されたデータ操作要求をもとに、更新前のアクセス制御判定要求と、更新後のアクセス制御判定要求を作成する。但し、上記受信したデータ操作要求に含まれる更新データだけではアクセス制御データキーが不足する場合には、上記更新データに含まれる全ての主キーを使って、更新前の山田さんの診療データを患者データ記憶部16から検索する。そして、この検索された診療データから全てのアクセス制御データキーの値を抽出し、上記更新前及び更新後の各アクセス制御判定要求のアクセス制御対象抽出条件情報を補完する。図9中のステップS33及びステップS34は、それぞれこのようにして作成された更新前アクセス制御判定要求及び更新後アクセス制御判定要求の構成を示すものである。
データ提供サーバ10aは、次にステップS35においてアクセス制御判定部12を起動し、このアクセス制御判定部12の制御の下、上記作成された更新前アクセス制御判定要求及び更新後アクセス制御判定要求をもとにそれぞれ検索条件を作成する。
例えば、更新前アクセス制御判定要求については、ステップS36に示すようにアクセス者を示す「医師e」、操作種別を示す「データ変更」及びデータ集合識別を示す「診療データ」が何れも一致することを第1の条件とし、かつ患者IDを示す「S01」、診療科を示す「内科」及び担当医師を示す「医師a」及び紹介先医師を示す「医師b」の1つ以上の組み合わせと一致することを第2の条件とする検索条件を作成する。
また更新後アクセス制御判定要求については、ステップS37に示すようにアクセス者を示す「医師e」、操作種別を示す「データ変更」及びデータ集合識別を示す「診療データ」が何れも一致することを第1の条件とし、かつ患者IDを示す「S01」、診療科を示す「内科」及び担当医師を示す「医師c」及び紹介先医師を示す「医師b」の1つ以上の組み合わせと一致することを第2の条件とする検索条件を作成する。
データ提供サーバ10aは、続いてステップS38によりアクセス制御リスト操作部11を起動する。そして、このアクセス制御リスト操作部11の制御の下、上記作成された更新前アクセス制御判定要求による検索条件を満足するアクセス制御ルールと、更新後アクセス制御判定要求による検索条件を満足するアクセス制御ルールを、アクセス制御リスト記憶部14からそれぞれ検索する。この検索の結果、更新前アクセス制御判定要求による検索条件を満足するアクセス制御ルールとして、図7に示したユーザアクセス制御リストからは「ルールNo.5」のアクセス制御ルールが読み出される。一方、更新後アクセス制御判定要求による検索条件を満足するアクセス制御ルールは図7に示したユーザアクセス制御リストには存在しないため、アクセス制御ルールの読み出しは行われない。
データ提供サーバ10aは、続いてアクセス制御判定部12の制御の下、上記検索結果をもとに、ステップS40においてアクセスの許否を判定する。例えば、更新前アクセス制御判定要求に対しては、「ルールNo.5」のアクセス制御ルールから「アクセス許可」と判定する。一方、更新後アクセス制御判定要求に対しては、該当するアクセス制御ルールがないので「アクセス拒否(又は禁止)」と判定する。そして、これらの判定結果を表す応答(1) ,(2) をステップS41によりデータ操作部13に返却する。
データ提供サーバ10aは、データ操作部13の制御の下、ステップS42により上記返却された応答(1) ,(2) をもとに総合的に「アクセス禁止」と判断し、ステップS43でデータ更新失敗を表すメッセージを作成して要求元のデータ要求サーバ20へ返送する。
なお、以上の説明では、更新前データと更新後データとに分けて、データ操作部13からアクセス制御判定部12を2回呼んでいるが、更新前データと更新後データを合わせたインタフェースによりアクセス制御判定部12を1回で呼ぶという方式も実施可能である。
(3)第3の動作
B病院の医師bが、A病院のデータ提供サーバ10aで管理されている山田さんの診療データを参照する場合
B病院の医師bの認証処理は、先に(1)で述べた医師aの認証処理と同様に行われる。
この認証処理後、医師bが医師端末40において、A病院のデータ提供サーバ10aに登録済の山田さんの診療データを参照(閲覧)するために、検索キーとして「患者ID=S01」及び「診療科=内科」を入力したとする。
そうすると、データ要求サーバ20は患者情報サービス部22の制御の下、上記医師端末40から送られた検索データをもとにデータ操作要求部21でデータ操作要求を作成し、このデータ操作要求をアクセス先のデータ提供サーバ10aに送信する。このときのデータ操作要求には、アクセス者を示す「医師b」と、操作種別を示す「データ検索」と、データ集合識別を示す「診療データ」と、検索データが挿入される。検索データの内容は、例えば患者IDを示す「S01」と、診療科を示す「内科」とから構成される。なお、アクセス者情報には、アクセス者が医師bと認証されたことを示す情報も付加される。
上記データ操作要求が受信されると、データ提供サーバ10aは以下のように患者データの検索処理を実行する。図10はその処理手順と処理内容を示すフローチャートである。
すなわち、データ提供サーバ10aは、ステップS51で上記データ操作要求を受信すると、データ操作部13の制御の下、先ずステップS52により、上記受信したデータ操作要求をもとにアクセス制御判定要求を作成する。
例えば、図10のステップS53に示すように、アクセス者を示す「医師b」と、操作種別を示す「データ検索」と、データ集合識別を示す「診療データ」と、アクセス制御対象抽出条件情報を含むアクセス制御判定要求を作成する。このうちアクセス制御対象抽出条件情報には、上記データ操作要求に含まれる検索データから抽出したアクセス制御データキーの値が挿入される。但し、上記受信したデータ操作要求に含まれる検索データだけではアクセス制御データキーが不足する場合には、上記検索データに含まれる全ての主キーを使って、山田さんの診療データを患者データ記憶部16から検索する。そして、この検索された診療データから全てのアクセス制御データキーの値を抽出し、上記アクセス制御対象抽出条件情報を補完する。この結果、アクセス制御対象抽出条件情報には、患者IDを示す「S01」及び診療科を示す「内科」に加え、担当医師を示す「医師a」と、紹介先医師を示す「医師b」が追加される。
データ提供サーバ10aは、次にステップS54によりアクセス要求判定部12を起動し、このアクセス要求判定部12の制御の下で、上記アクセス制御判定要求をもとに検索条件を作成する。例えば、ステップS55に示すように、アクセス者を示す「医師b」、操作種別を示す「データ検索」及びデータ集合識別を示す「診療データ」が何れも一致することを第1の条件とし、かつ患者IDを示す「S01」、診療科を示す「内科」、担当医師を示す「医師a」及び照会医師を示す「医師b」の1つ以上の組み合わせと一致することを第2の条件とする検索条件を作成する。
データ提供サーバ10aは、続いてステップS56によりアクセス制御リスト操作部11を起動する。そして、このアクセス制御リスト操作部11の制御の下で、上記作成された第1及び第2の条件を満足するアクセス制御ルールを、アクセス制御リスト記憶部14から検索する。この結果、図7に示すユーザアクセス制御リストのうち「ルールNo.11」のアクセス制御ルールが読み出される。アクセス制御リスト操作部11はこの読み出された「ルールNo.11」のアクセス制御ルールを、ステップS57によりアクセス要求判定部12に返却する。
なお、上記アクセス制御対象抽出条件情報に含まれるアクセス制御データキーをもとに第2の条件を作成する処理は、アクセス制御リスト操作部11において行ってもよい。
データ提供サーバ10aは、次にステップS58においてアクセス要求判定部12の制御の下で、上記「ルールNo.11」のアクセス制御ルールに記載されたアクセス制御情報をもとにアクセスが許可されているか否かを判定する。そして、この場合は「許可」されているので、ステップS59によりデータ検索の許可通知をデータ操作部13に返却する。
データ提供サーバ10aは、データ操作部13の制御の下で、ステップS60により、先に受信されたデータ操作要求に含まれる患者IDをキーに患者データ記憶部16を検索し、該当する山田さんの診療データを選択的に読み出す。そして、この読み出された診療データを、ステップS61により操作要求元のデータ要求サーバ20に返送する。データ要求サーバ20は、この返送された山田さんの診療データを医師端末40へ返送する。
かくして、B病院のb医師は、A病院のデータ提供サーバ10aで管理されている山田さんの診療データを自身の医師端末40で閲覧することができる。
なお、以上述べた(3)の動作例では、ステップS52でアクセス制御判定要求を作成する際に、主キー全てを使って山田さんの診療データテーブルを検索しているため、1レコードのみがヒットしている。仮に、検索キーとして主キーが全て指定されていなかった場合には、複数レコードが検索結果として得られる。この場合、1レコードについて1回ずつアクセス制御判定部12を呼び出してアクセス制御判定を行うか、又は1回のアクセス制御判定部12の呼び出しで全レコード分のパラメータを渡すようにしてもよい。
また、検索レコードのそれぞれに対しアクセス制御判定結果が得られるが、その後の動作としては以下の2つが考えられる。
(1) アクセス制御判定結果が「許可」のレコードについてのみ、検索レコードを返却する。
(2) 複数のアクセス制御判定結果から、検索対象レコード全体のアクセス制御判定結果を出す。例えば、全てのアクセス制御判定結果が「許可」であれば、検索レコードを返却するが、一つでも「禁止」があると処理失敗と判断して1件もレコードを返却しない。
この2つの動作はどちらを選択してもよい。
(実施形態の効果)
以上詳述したように一実施形態に係るデータ提供サーバ10a,10bでは、データ要求サーバ20から送信されたデータ操作要求を受信した場合に、このデータ操作要求により指定されたアクセス者情報、操作種別情報及びデータ集合識別情報の全てが一致することを第1の検索条件とし、かつ上記データ操作要求により指定された操作対象の患者データに含まれる複数の項目のうちアクセス制御データキーとして用いる項目の1つ以上の組み合わせと一致することを第2の検索条件とするアクセス制御判定要求を作成する。そして、この作成されたアクセス制御判定要求の第1及び第2の検索条件を満足するアクセス制御ルールをアクセス制御リスト記憶部14から検索し、この検索されたアクセス制御ルールをもとに上記データ操作要求に対する拒否を判定するようにしている。
したがって、患者データに含まれる複数の項目のうち患者を特定する患者IDや病院を特定する病院ID等の特定要素を必須の検索条件に含めず、上記患者データに含まれる複数の項目の少なくとも1つが一致することを検索条件としてアクセス制御ルールの検索が行われることになる。このため、患者データごとにそのアクセス制御ルールを設定する必要がなくなり、その分アクセス制御対象の選択の自由度を高めることができ、これによりシステム管理者や医師等の作業負担を軽減することが可能となる。
例えば、患者データに対するアクセス制御ルールを、患者番号以外の診療科や居住地等に対応付けたルールを設定することが可能となる。これにより、アクセス制御ルールが汎用的になり、少ない数のアクセス制御ルールで記述が可能となる。それに伴い、アクセス制御ルールの運用負荷が軽減される。
また、患者データに含まれる項目の情報を利用するため、アクセス制御対象の選択のために、アクセス制御対象をグルーピングするためのデータやテーブルを別途追加する必要もない。
[その他の実施形態]
アクセス制御リスト記憶部14に格納されるユーザアクセス制御リストには、優先度情報の項目を含めるようにしてもよい。このようにすると、アクセス制御操作リスト操作部11により複数のアクセス制御ルールが検索された場合に、上記優先度情報をもとに上記複数のルールのうちどのルールを優先させるかを判断することができる。また、アクセス者、操作種別、データ集合識別情報によりルールが変わらない場合には、これらの項目を省略してもよい。
また、操作種別について、前記一実施形態では「データ登録」、「データ更新」、「データ参照」、「データ削除」の4種類としたが、これ以外にも「読取」及び「書込」の2種類の操作種別としたり、「担当医師更新」、「紹介先医師更新」等のサービスごとに細かく操作種別を設定してもよい。
さらに、図1に示したシステムでは、データ操作手段1−3、アクセス制御判定手段1−2及びアクセス制御リスト操作手段1−1をデータ提供装置1に設けた場合を例示したが、それぞれ独立した異なるサーバ装置に設けるようにしてもよい。例えば、データ操作用のサーバにデータ操作手段とそのデータを設け、アクセス制御用のサーバにアクセス制御判定手段、アクセス制御リスト操作手段及びアクセス制御リスト情報を設けるように構成してもよい。この場合には、データ操作用サーバのデータ操作手段が、アクセス制御用サーバのアクセス制御判定手段との間でネットワーク3を介して通信を行うことになるが、全体の処理手順は変わらない。
さらに、前記実施形態ではデータ提供サーバ10a,10bとは別にデータ要求サーバ20を設けたが、データ要求サーバ20の機能をデータ提供サーバ10a,10bに設けてもよい。また、データ要求サーバ20の機能をアクセス者の端末に設けるようにしてもよい。その他、データ提供サーバの機能や、操作対象データ及びアクセス制御リストの構成、データ操作手段、アクセス制御判定手段及びアクセス制御リスト操作手段による処理手順とその処理内容等についても、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
1…データ提供装置、2…データ要求装置、3…ネットワーク、1−1…アクセス制御リスト操作手段、1−2…アクセス制御判定手段、1−3…データ操作手段、1−4…アクセス制御リスト、1−5…アクセス制御データキー情報、1−6…患者データ、2−1…データ操作要求手段、10a,10b…病院データ提供サーバ、11…アクセス制御リスト操作部、12…アクセス制御判定部、13…データ操作部、14…アクセス制御リスト記憶部、15…アクセス制御データキー情報記憶部、16…患者データ、20…データ要求サーバ、21…データ操作要求部、22…患者情報サービス部、23…ユーザ認証要求部、30…ネットワーク、40…医師端末、50…ユーザ認証サーバ、51…ユーザ認証部、52…認証情報記憶部。

Claims (8)

  1. データ自体又はその所有者を個別に特定する項目を含む特定情報と、データの内容を表す少なくとも一つの項目を含む一般情報と、前記特定情報及び一般情報に含まれる複数の項目のうちどの項目がアクセス制御データキーとして定義されているかを表す情報とから構成される操作対象データを記憶する操作対象データ記憶手段と、
    前記操作対象データに含まれる複数の項目のうちアクセス制御データキーとして定義されている項目の少なくとも一つとそのデータ値との組み合わせをアクセス制御対象抽出条件として含み、このアクセス制御対象抽出条件に関連付けてアクセスの許否を表す情報を定義したアクセス制御ルール情報を記憶するアクセス制御ルール記憶手段と、
    データ操作要求を受信した場合に、この受信されたデータ操作要求から該当する操作対象データに含まれる項目のうちアクセス制御データキーとして定義されている項目のデータ値を全て抽出し、この抽出された全てのデータ値又はその組み合わせの論理和をアクセス制御対象抽出条件として定義したアクセス制御判定要求を作成する手段と、
    前記作成されたアクセス制御判定要求で定義されたアクセス制御対象抽出条件を満足するアクセス制御ルール情報を、前記アクセス制御ルール記憶手段から検索する手段と、
    前記検索されたアクセス制御ルール情報により定義されたアクセスの許否を表す情報をもとに、前記データ操作要求に対するアクセスの許否を判定する手段と
    を具備することを特徴とするデータ蓄積システム。
  2. 前記アクセス制御判定要求を作成する手段は、
    前記受信されたデータ操作要求に、アクセス者、データ操作種別及びデータ集合識別を表す項目とそのデータ値が含まれている場合にこれらの項目のデータ値の論理積を第1の条件とし、かつ前記受信されたデータ操作要求に含まれる複数の項目のうちアクセス制御データキーとして定義されている全ての項目のデータ値又はその組み合わせの論理和を第2の条件としてそれぞれ定義したアクセス制御判定要求を作成し、
    前記アクセス制御ルールの検索手段は、
    前記作成されたアクセス制御判定要求で定義された第1及び第2の条件の両方を満足するアクセス制御ルール情報を、前記アクセス制御ルール記憶手段から検索する
    ことを特徴とする請求項1記載のデータ蓄積システム。
  3. 前記アクセス制御判定要求を作成する手段は、
    前記受信されたデータ操作要求に含まれるデータ操作種別が操作対象データの登録である場合に、当該データ操作要求に含まれる登録対象データから当該登録対象データに含まれる複数の項目のうちアクセス制御データキーとして定義されている項目のデータ値を全て抽出して、この抽出されたデータ値又はその組み合わせの論理和をアクセス制御対象抽出条件として定義したアクセス制御判定要求を作成し、
    前記アクセス制御ルールの検索手段は、
    前記作成されたアクセス制御判定要求で定義されたアクセス制御対象抽出条件を満足するアクセス制御ルール情報を、前記アクセス制御ルール記憶手段から検索し、
    前記アクセスの許否を判定する手段は、
    前記検索されたアクセス制御ルール情報により定義されたアクセスの許否を表す情報をもとに前記データ操作要求に対するアクセスの許否を判定し、この判定によりアクセスが許可された場合に前記受信されたデータ操作要求に含まれる登録対象データを前記操作対象データ記憶手段に記憶させる
    ことを特徴とする請求項1記載のデータ蓄積システム。
  4. 前記アクセス制御判定要求を作成する手段は、
    前記受信されたデータ操作要求に含まれるデータ操作種別が操作対象データの検索又は削除である場合に、当該データ操作要求に含まれる検索又は削除対象を表すデータから当該データに含まれる複数の項目のうちアクセス制御データキーとして定義されている項目のデータ値を全て抽出して、この抽出されたデータ値又はその組み合わせの論理和をアクセス制御対象抽出条件として定義したアクセス制御判定要求を作成し、
    前記アクセス制御ルールの検索手段は、
    前記作成されたアクセス制御判定要求で定義されたアクセス制御対象抽出条件を満足するアクセス制御ルール情報を、前記アクセス制御ルール記憶手段から検索し、
    前記アクセスの許否を判定する手段は、
    前記検索されたアクセス制御ルール情報により定義されたアクセスの許否を表す情報をもとに前記データ操作要求に対するアクセスの許否を判定し、この判定によりアクセスが許可された場合に、前記受信されたデータ操作要求に含まれる検索又は削除対象を指定するデータに応じて、前記操作対象データ記憶手段に記憶された該当する操作対象データに対し検索又は削除処理を行う
    ことを特徴とする請求項1記載のデータ蓄積システム。
  5. 前記アクセスの許否を判定する手段は、
    検索もしくは削除したい操作対象データを特定するための検索条件が特定情報に該当する全てのアクセス制御データキーを含んでいないことに起因して、前記操作対象データ記憶手段から複数のアクセス制御ルール情報が検索された場合に、当該検索された複数のアクセス制御ルール情報によるアクセス許否の判定結果を総合して、検索もしくは削除を行うかどうかを判断することを特徴とする請求項4記載のデータ蓄積システム。
  6. 前記アクセス制御判定要求を作成する手段は、
    前記受信されたデータ操作要求に含まれるデータ操作種別が操作対象データの変更である場合に、当該データ操作要求に含まれる変更データから当該変更データに含まれる複数の項目のうちアクセス制御データキーとして定義されている変更前の項目のデータ値を全て抽出し、この抽出されたデータ値又はその組み合わせの論理和をアクセス制御対象抽出条件として定義した第1のアクセス制御判定要求と、前記変更データに含まれる複数の項目のうちアクセス制御データキーとして定義されている変更後の項目のデータ値を全て抽出し、この抽出されたデータ値又はその組み合わせの論理和をアクセス制御対象抽出条件として定義した第2のアクセス制御判定要求をそれぞれ作成し、
    前記アクセス制御ルールの検索手段は、
    前記作成された第1及び第2のアクセス制御判定要求でそれぞれ定義されたアクセス制御対象抽出条件を満足する第1及び第2のアクセス制御ルール情報を、前記アクセス制御ルール記憶手段から検索し、
    前記アクセスの許否を判定する手段は、
    前記検索された第1及び第2のアクセス制御ルール情報により定義されたアクセスの許否を表す情報を総合して前記データ操作要求に対するアクセスの許否を判定し、この判定によりアクセスが許可された場合に、前記受信されたデータ操作要求に含まれる変更データに応じて、前記操作対象データ記憶手段に記憶された該当する操作対象データに対し変更処理を行う
    ことを特徴とする請求項1記載のデータ蓄積システム。
  7. 前記アクセス制御判定要求を作成する手段は、
    前記受信されたデータ操作要求からアクセス制御データキーとして定義されている項目のデータ値の全部又は一部を抽出できない場合に、当該データ操作要求に含まれる操作対象データの指定情報をもとに前記操作対象データ記憶手段から該当する操作対象データを読み出し、この読み出された操作対象データからアクセス制御データキーとして定義されている項目のうち前記データ操作要求から抽出できなかった項目のデータ値を抽出して、前記アクセス制御対象抽出条件に加えることを特徴とする請求項1乃至6のいずれかに記載のデータ蓄積システム。
  8. データ自体又はその所有者を個別に特定する項目を含む特定情報と、データの内容を表す少なくとも一つの項目を含む一般情報と、前記特定情報及び一般情報に含まれる複数の項目のうちどの項目がアクセス制御データキーとして定義されているかを表す情報とから構成される操作対象データを記憶する操作対象データ記憶手段と、前記操作対象データに含まれる複数の項目のうちアクセス制御データキーとして定義されている項目の少なくとも一つとそのデータ値との組み合わせをアクセス制御対象抽出条件として含み、このアクセス制御対象抽出条件に関連付けてアクセスの許否を表す情報を定義したアクセス制御ルール情報を記憶するアクセス制御ルール記憶手段とを備えるデータ蓄積システムで実行されるデータアクセス制御方法であって、
    データ操作要求を受信した場合に、この受信されたデータ操作要求から該当する操作対象データに含まれる項目のうちアクセス制御データキーとして定義されている項目のデータ値を全て抽出し、この抽出された全てのデータ値又はその組み合わせの論理和をアクセス制御対象抽出条件として定義したアクセス制御判定要求を作成する過程と、
    前記作成されたアクセス制御判定要求で定義されたアクセス制御対象抽出条件を満足するアクセス制御ルール情報を、前記アクセス制御ルール記憶手段から検索する過程と、
    前記検索されたアクセス制御ルール情報により定義されたアクセスの許否を表す情報をもとに、前記データ操作要求に対するアクセスの許否を判定する過程と
    を具備することを特徴とするデータアクセス制御方法。
JP2011286609A 2011-12-27 2011-12-27 データ蓄積システムとそのデータアクセス制御方法 Active JP5422639B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011286609A JP5422639B2 (ja) 2011-12-27 2011-12-27 データ蓄積システムとそのデータアクセス制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011286609A JP5422639B2 (ja) 2011-12-27 2011-12-27 データ蓄積システムとそのデータアクセス制御方法

Publications (2)

Publication Number Publication Date
JP2013134731A JP2013134731A (ja) 2013-07-08
JP5422639B2 true JP5422639B2 (ja) 2014-02-19

Family

ID=48911350

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011286609A Active JP5422639B2 (ja) 2011-12-27 2011-12-27 データ蓄積システムとそのデータアクセス制御方法

Country Status (1)

Country Link
JP (1) JP5422639B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101614448B1 (ko) 2014-04-24 2016-04-22 남서울대학교산학협력단 통합화 의료정보시스템 환경의 접근제어 소프트웨어 설계 방법
JP7210937B2 (ja) * 2018-08-29 2023-01-24 コニカミノルタ株式会社 画像形成装置
JP7131314B2 (ja) 2018-11-09 2022-09-06 富士通株式会社 情報管理プログラム、情報管理方法、情報管理装置、情報処理プログラム、情報処理方法及び情報処理装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3785841B2 (ja) * 1998-12-15 2006-06-14 カシオ計算機株式会社 アクセス制御装置およびそのプログラム記録媒体
JP2000267924A (ja) * 1999-03-19 2000-09-29 Nippon Steel Corp 情報共有システム、情報に対するアクセス制御装置及び方法、記録媒体
JP2003006194A (ja) * 2001-06-22 2003-01-10 Mitsubishi Electric Corp データベースアクセス制御システム
JP2005293196A (ja) * 2004-03-31 2005-10-20 Dainippon Printing Co Ltd データベースアクセス制御装置および制御方法、顧客情報データベースシステム
JP2006268265A (ja) * 2005-03-23 2006-10-05 Dainippon Printing Co Ltd データベースシステム、データベースサーバ、プログラム、及び、記録媒体
JP5283600B2 (ja) * 2009-09-25 2013-09-04 株式会社日立ソリューションズ 情報検索プログラム、情報検索システム

Also Published As

Publication number Publication date
JP2013134731A (ja) 2013-07-08

Similar Documents

Publication Publication Date Title
US10474646B2 (en) Systems and methods for creating a form for receiving data relating to a health care incident
US10467240B2 (en) Database management system
US8918586B1 (en) Policy-based storage of object fragments in a multi-tiered storage system
JP5640841B2 (ja) 医用情報管理システム及びプログラム
US20060155583A1 (en) Medical apparatus and method for controlling access to medical data
JP5422639B2 (ja) データ蓄積システムとそのデータアクセス制御方法
JP2020052457A (ja) 利用者情報管理システム、利用者情報管理装置、権限管理装置、利用者端末装置、コンピュータプログラム、利用者情報管理方法及びシステムの構築方法
US20120131011A1 (en) Intelligent query routing for federated pacs
CN110709939A (zh) 用于操作性个人健康记录的设备、系统和方法
JP2002269243A (ja) 医療情報管理システムおよび方法並びにプログラム
JP2016148999A (ja) 医療支援システム、その作動方法及び医療支援プログラム並びに医療支援装置
US8935474B1 (en) Policy based storage of object fragments in a multi-tiered storage system
JP6217072B2 (ja) 患者管理支援プログラム、該システム及び該方法
US20020040364A1 (en) Access controlling method, its execution apparatus and record medium recording its operational program
JP6069111B2 (ja) アクセス制御情報管理システムとそのサーバ装置、方法及びプログラム
JP2002312220A (ja) ユーザ定義機能を使用したセルレベルのデータアクセス制御
JP2003186747A (ja) アクセス権管理システム、その管理方法及びそのプログラム
JP5499148B1 (ja) データアクセス制御装置及び方法
JP5616293B2 (ja) 情報流通システム及び情報流通制御方法
JP2015090627A (ja) 医療情報提供システム及び方法
JP2005309863A (ja) 診療科横断患者管理システム
JP2003022351A (ja) 人事情報管理システム、プログラムおよび人事情報管理方法
JP5486649B2 (ja) データ参照システム、ドキュメント表示システムおよび医療情報システム
JP2011008543A (ja) 看護指示通知装置および看護指示通知プログラム
JP2005196382A (ja) 情報管理システムによるデータ登録方法、データ参照方法、ならびに、情報管理システムにおけるマスタデータベースサーバ

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130515

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131031

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131119

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131125

R150 Certificate of patent or registration of utility model

Ref document number: 5422639

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350