JP5976149B1 - ログ生成システム、方法及びプログラム - Google Patents

ログ生成システム、方法及びプログラム Download PDF

Info

Publication number
JP5976149B1
JP5976149B1 JP2015033235A JP2015033235A JP5976149B1 JP 5976149 B1 JP5976149 B1 JP 5976149B1 JP 2015033235 A JP2015033235 A JP 2015033235A JP 2015033235 A JP2015033235 A JP 2015033235A JP 5976149 B1 JP5976149 B1 JP 5976149B1
Authority
JP
Japan
Prior art keywords
data
log
executed
response
upload
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015033235A
Other languages
English (en)
Other versions
JP2016157195A (ja
Inventor
池田 美穂
美穂 池田
芳浩 吉田
芳浩 吉田
麻美 宮島
麻美 宮島
一雄 森村
一雄 森村
前田 裕二
裕二 前田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015033235A priority Critical patent/JP5976149B1/ja
Application granted granted Critical
Publication of JP5976149B1 publication Critical patent/JP5976149B1/ja
Publication of JP2016157195A publication Critical patent/JP2016157195A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)
  • Medical Treatment And Welfare Office Work (AREA)

Abstract

【課題】バッチ処理等によってアップロードされるデータについて、生成から削除までの間に実行される処理をトレースできるログを生成するシステム、方法及びプログラムを提供する。【解決手段】ログ生成システム1は、第1のサーバ装置10(情報アップロード装置)及び第2のサーバ装置20(情報公開装置)を備える。第1のサーバ装置10は、データ更新処理に応じて、データ更新処理が実行された時刻を示す第1の時刻、操作対象識別子及び第1の利用者識別子を含む第1のログを生成する。また、実行されたアップロード処理に応じて、アップロード処理が実行された時刻を示す第2の時刻と、直近の第1の時刻及び操作対象識別子とを含む第2のログを生成する。第2のサーバ装置20は、応答処理に応じて、応答処理が実行された時刻を示す第3の時刻と、通信要求及び通信応答内の第2の利用者識別子及び操作対象識別子とを含む第3のログを生成する。【選択図】図1

Description

この発明は、ログ生成システム、方法及びプログラムに関する。
コンピュータシステムのセキュリティ管理に関する技術の一つとして、管理者又は利用者等の操作者の操作を追跡するための情報を監査ログとして生成し、データベースに記憶する技術が知られている。この技術によれば、記憶された監査ログを事後検証することにより、コンピュータシステムへの不正アクセス又は改ざん等の事故が発生した場合、操作者の操作を追跡し、事故の原因を特定できる。
監査ログには、事後検証を行うために必要な情報として例えば、いつ、誰が、どの人・物のデータに対して、何の操作をしたか、の情報が生成される。
例えば、特許文献1には、ログを一元的かつ安全に収集し、利用者がログを効率よく閲覧することができるログ収集システムが提案されている。
特許文献2には、複数のサーバに蓄積されたアクセスログを安全に管理し、検索する人の立場に応じて簡単に閲覧できるアクセス履歴提供システムが提案されている。
しかしながら、上記のような技術は、複数のシステムが連携して動作する場合、各々のシステムの監査ログは独立して記録されるため、どのシステム間でデータアクセスが実行されたかを監査ログから追跡できない、という不都合がある。
したがって、操作者の操作に関して、複数のシステムが連携して動作する場合、システム間で送受信した通信を識別するトランザクション識別子が更に監査ログとして記憶される。また、トランザクション処理同士が連携して実行される親子関係にある場合、子トランザクション処理が実行されたときの監査ログに、親トランザクション処理のトランザクション識別子を生成することで、順序関係を導くことができる。
特許文献3には、ユーザ端末からのログインに応じて、当該ログインからログアウトまでの期間に限り有効となるログ結合識別子を発行して他のサーバへ通知し、各サーバは自己の動作記録を表すログを作成する際に、当該ログにログ結合識別子を含める機能を有するログ管理システムが提案されている。
特開2013−084212号公報 特許第5593370号公報 特許第4820900号公報
しかしながら、ログ結合識別子を含める技術は、トランザクション処理同士を時系列に整理することはできるものの、あるシステムから別のシステムへ1又は複数個のデータが一括してアップロードされた場合、各データが、いつ、誰が、アップロードしたどのデータか、を追跡することができない。
即ち、本発明者の検討によれば、バッチ処理等により1又は複数個のデータが一括してアップロードされる場合、アップロードの実行者としては、各データを生成した個人ではなく、アップロードを実行した装置を示す識別子がログに出力される。したがって、アップロードされたデータの、アップロード以前の生成・更新履歴を辿る場合、アップロードに係るログからは、いつ、誰が、どのような処理をした、どのデータがアップロードされたか、を追跡することができない、と言う不都合がある。
また、アップロードされたデータの、アップロード以前の生成・更新履歴を追跡する場合、データ生成・更新時のログと、バッチ処理等によるアップロード時のログとを組み合わせることにより、追跡することができる可能性がある。
しかしながら、本発明者の検討によれば、バッチ処理等によるアップロード時のログと、データ生成・更新時のログとは、従来、紐づくように設計されていない、と言う不都合がある。
即ち、従来の技術は、バッチ処理等によってアップロードされるデータについて、生成から削除までの間に実行される処理をトレース(追跡)できるログを生成することができない。
この発明は上記事情に着目してなされたもので、その目的とするところは、バッチ処理等によってアップロードされるデータについて、生成から削除までの間に実行される処理をトレースできるログを生成できるようにしたログ生成システム、方法及びプログラムを提供することにある。
上記目的を達成するためにこの発明の第1の観点は、以下のような構成要素を備える。すなわち、ログ生成システムは、第1のサーバ装置から第2のサーバ装置にアップロード処理され、外部ネットワークからの通信要求に対して応答処理されるデータに対して実行された各々の処理をトレースするためのログを生成する、上記各サーバ装置を備える。上記第1のサーバ装置は、第1の利用者の操作によって入力された指示に基づき、前記データへのデータ更新処理を実行する。上記データを識別する操作対象識別子と、上記第1の利用者を識別する第1の利用者識別子とを記憶する。上記データに対して実行された上記データ更新処理に応じて、上記データ更新処理が実行された時刻を示す第1の時刻と、上記記憶された操作対象識別子、及び上記第1の利用者識別子とを含む第1のログを生成する。上記データ更新処理が実行されたデータを上記第2のサーバ装置にアップロードするアップロード処理を実行する。上記実行された上記アップロード処理に応じて、上記データに対して上記アップロード処理が実行された時刻を示す第2の時刻と、上記データに対応する直近の上記第1の時刻及び上記操作対象識別子とを含む第2のログを生成する。上記第2のサーバ装置は、上記アップロード処理が実行された上記データを記憶する。第2の利用者の操作によって入力された指示に基づき、上記第2の利用者を識別する第2の利用者識別子と、上記データの操作対象識別子とを含む通信要求を受信する。上記受信した通信要求に基づき、通信応答を送信する応答処理を実行する。上記実行された応答処理に応じて、上記応答処理が実行された時刻を示す第3の時刻と、上記通信要求及び上記通信応答内の上記第2の利用者識別子、及び上記操作対象識別子とを含む第3のログを生成するようにしたものである。
また、この発明の第1の観点は、以下のような態様を備えることを特徴とする。
第1の態様は、上記データが、上記外部ネットワークとの通信を制限する制限情報を含む。上記データ更新処理は、上記第1の利用者の操作により上記制限情報を更に設定し、最終的に上記データへ実行される。上記第1のログは、上記データ内の制限情報を更に含む。上記アップロード処理は、上記制限情報に基づき、上記データ更新処理が実行されたデータをアップロードするか否かを判定し、アップロードすると判定した場合、実行されるようにしたものである。
第2の態様は、上記第1のサーバ装置において、第3の利用者の操作によって入力された指示に基づき、上記外部ネットワークとの通信を制限する制限情報、及び上記制限情報に対応する更新番号又は更新時刻を含む更新履歴情報と、上記第3の利用者を識別する第3の利用者識別子とを含む制限リストを記憶する。上記記憶された制限リスト内の制限情報及び更新履歴情報を更新する制限リスト更新処理を実行する。上記実行された制限リスト更新処理に応じて、上記記憶された制限リスト内の制限情報と、更新履歴情報と、上記第3の利用者識別子とを含む第4のログを生成する。上記アップロード処理は、上記記憶された制限リストに基づき、上記データ更新処理又は上記制限リスト更新処理が実行されたデータをアップロードするか否かを判定し、アップロードすると判定した場合に実行される。上記第2のログは、上記記憶された制限リスト内の更新履歴情報を更に含むようにしたものである。
第3の態様は、上記第1のサーバ装置において、次回のアップロード処理が実行されるデータの操作対象識別子を含むアップロード対象リストを記憶する。上記アップロード処理は、上記記憶されたアップロード対象リスト内の操作対象識別子で識別されるデータに対して実行されるようにしたものである。
第4の態様は、上記第3のログにおいて、上記応答処理が他のトランザクション処理と連携して実行される場合、上記応答処理を識別する第1のトランザクション識別子と、上記他のトランザクション処理を識別する第2のトランザクション識別子とを更に含むようにしたものである。
第5の態様は、上記第2のサーバ装置において、上記応答処理が、上記受信した通信要求に基づき上記応答処理を実行するか否かを判定し、上記判定の結果、上記応答処理を実行すると判定された場合、最終的に実行される。上記第3のログは、上記判定の結果を更に含むようにしたものである。
この発明の第1の観点によれば、ログ生成システムは、データに対して実行されたデータ更新処理に応じて、上記データ更新処理が実行された時刻を示す第1の時刻と、記憶された操作対象識別子、及び第1の利用者識別子とを含む第1のログを生成する。実行されたアップロード処理に応じて、上記データに対して上記アップロード処理が実行された時刻を示す第2の時刻と、上記データに対応する直近の上記第1の時刻及び上記操作対象識別子とを含む第2のログを生成する。実行された応答処理に応じて、上記応答処理が実行された時刻を示す第3の時刻と、通信要求及び通信応答内の第2の利用者識別子、及び上記操作対象識別子とを含む第3のログを生成する。このため、バッチ処理等によってアップロードされたデータが、いつ、誰が、更新処理したものかをトレースするログを生成することができる。また、バッチ処理等によってアップロードされたデータに対して、いつ、誰が、通信処理したかをトレースするログを生成することができる。
第1の態様によれば、ログ生成システムは、上記第1の利用者の操作によりデータ内の制限情報を更に設定し、最終的に上記データへのデータ更新処理を実行する。上記データ内の制限情報を更に含む第1のログを生成する。上記制限情報に基づき、上記データ更新処理が実行されたデータをアップロードするか否かを判定し、アップロードすると判定した場合、上記アップロード処理を実行するようにしている。このため、バッチ処理等によってアップロードされたデータに、いつ、誰が、どのような公開範囲及び操作制限を設定して、データ更新処理が実行されたかをトレースするログを生成することができる。
第2の態様によれば、第1のサーバ装置は、第3の利用者の操作によって入力された指示に基づき、制限情報、更新履歴情報、及び上記第3の利用者を識別する第3の利用者識別子を含む制限リストを更新する制限リスト更新処理を実行する。上記制限リスト更新処理に応じて、制限リスト内の制限情報と、更新履歴情報と、第3の利用者識別子とを含む第4のログを生成する。上記記憶された制限リストに基づき、データ更新処理又は制限リスト更新処理が実行されたデータをアップロードするか否かを判定し、アップロードすると判定した場合、上記アップロード処理を実行する。上記第2のログは、記憶された制限リスト内の更新履歴情報を更に含むようにしている。このため、バッチ処理等によってアップロードされたデータに対して、制限リストを適用する場合、当該制限リストが、いつ、誰が、どのような公開範囲及び操作制限を設定した、どのバージョンの制限リストか、を更にトレースするログを生成することができる。
第3の態様によれば、第1のサーバ装置は、アップロード対象リスト内の操作対象識別子で識別されるデータに対してアップロード処理が実行されるようにしている。これにより、バッチ処理の処理性能を向上することができ、また、監査ログ及びバッチ処理ログの出力性能が低下することを防止できる。したがって、よりデータに対して実行される処理をトレースしやすくすることが可能となる。
第4の態様によれば、第2のサーバ装置は、応答処理が他のトランザクション処理と連携して実行される場合、上記応答処理を識別する第1のトランザクション識別子と、他のトランザクション処理を識別する第2のトランザクション識別子とを更に含む第3のログを生成するようにしている。このため、他装置からどのような経路でデータアクセスがあったかを事後検証することができる。したがって、データに対して実行される処理を、より詳細にトレースできるログを生成することが可能となる。
第5の態様によれば、第2のサーバ装置は、受信した通信要求に基づき応答処理を実行するか否かを判定し、上記判定の結果、応答処理を実行すると判定された場合、最終的に上記応答処理を実行する。上記判定の結果を更に含む第3のログを生成するようにしている。このため、外部ネットワークからのデータへの通信が正当なものであったかを事後検証することができる。したがって、データに対して実行される処理を、より詳細にトレースできるログを生成することが可能となる。
すなわち、この発明によれば、バッチ処理等によってアップロードされるデータについて、生成から削除までの間に実行される処理をトレースできるログを生成できるようにしたログ生成システム、方法及びプログラムを提供することができる。
この発明の第1の実施形態に係るログ生成システムの機能構成の一例を示すブロック図である。 同実施形態における情報アップロード装置の機能構成の一例を示すブロック図である。 同実施形態における操作対象データの一例を示す模式図である。 同実施形態における監査ログの一例を示す模式図である。 同実施形態におけるバッチ処理ログの一例を示す模式図である。 同実施形態における情報公開装置の機能構成の一例を示すブロック図である。 同実施形態における通信要求及び通信応答の一例を示す模式図である。 同実施形態における情報要求装置の機能構成の一例を示すブロック図である。 同実施形態の変形例におけるログ生成システムの機能構成の一例を示すブロック図である。 同実施形態の変形例におけるログ生成システムの機能構成の一例を示す模式図である。 同実施形態の変形例における情報更新装置の機能構成の一例を示すブロック図である。 同実施形態の変形例におけるログ生成システムの動作の一例を示すシーケンス図である。 同実施形態における監査ログの一例を示す模式図である。 同実施形態における監査ログ及びバッチ処理ログの一例を示す模式図である。 同実施形態における監査ログの一例を示す模式図である。 この発明の第2の実施形態に係る操作対象データの一例を示す模式図である。 同実施形態における監査ログの一例を示す模式図である。 同実施形態におけるログ生成システムの動作の一例を示すシーケンス図である 同実施形態における監査ログ及びバッチ処理ログの一例を示す模式図である。 同実施形態における監査ログの一例を示す模式図である。 この発明の第3の実施形態に係る情報アップロード装置の機能構成の一例を示すブロック図である。 同実施形態における制限リストの一例を示す模式図である。 同実施形態における監査ログの一例を示す模式図である。 同実施形態におけるログ生成システムの動作の一例を示すシーケンス図である 同実施形態における監査ログ及びバッチ処理ログの一例を示す模式図である。 この発明の第4の実施形態に係る情報アップロード装置の機能構成の一例を示すブロック図である。 同実施形態におけるアップロード対象リストの一例を示す模式図である。 この発明の第5の実施形態に係る監査ログの一例を示す模式図である。 この発明の第6の実施形態に係る監査ログの一例を示す模式図である。
以下、図面を参照してこの発明に関わる実施形態を説明する。なお、以下のログ生成システムは、各ネットワーク内のコンピュータにおけるログを生成するログ生成システムとして各コンピュータを機能させるためのプログラムを用いて実施してもよい。すなわち、ログ生成システムは、コンピュータ読取可能なメモリ及びCPU(Central Processing Unit)等のハードウェア資源とプログラムとが協働した機能ブロックの機能により実現してもよい。
[第1の実施形態]
図1は、この発明の第1の実施形態に係るログ生成システムの機能構成の一例を示すブロック図である。ログ生成システム1は、情報アップロード装置10、情報公開装置20、情報要求装置40及び利用者端末50,60を備える。情報公開装置20と情報要求装置40とは、ネットワーク30を介して接続されている。なお、ログ生成システム1は、1台に限らず、任意の台数の情報要求装置40を、ネットワーク30を介して接続可能なシステムとなっている。
ログ生成システム1は、情報アップロード装置10から情報公開装置20にアップロード処理され、ネットワーク30を介して接続された情報要求装置40からの通信に対して応答処理されるデータに対して実行された各々の処理をトレースするためのログを生成する機能を備える。なお、以下の説明において、「情報アップロード装置10」、「情報公開装置20」、及び「ネットワーク30を介して接続された情報要求装置40」は、それぞれ「第1のサーバ装置」、「第2のサーバ装置」、及び「外部ネットワーク」と読み替えてもよい。
なお、情報アップロード装置10、情報公開装置20、及び利用者端末50は、例えば、ある地域内に整備された医療連携ネットワークを構成する装置でもよい。同様に、情報要求装置40及び利用者端末60は、例えば、他の地域内に整備された他の医療連携ネットワークを構成する装置でもよい。
具体的には例えば、情報アップロード装置10、情報公開装置20、及び利用者端末50は、医療圏Xに構成された地域医療連携ネットワークを構成していてもよい。また、情報要求装置40及び利用者端末60は、医療圏Yに構成された地域医療連携ネットワークを構成していてもよい。また、ネットワーク30は、各医療圏X,Yの地域医療連携ネットワーク間を互いに接続するためのネットワークでもよい。ここで、医療圏X,Yは、一次医療圏の如き市町村を単位とするような地域でもよく、二次医療圏の如き複数の市町村を単位とするような、より広範な地域であってもよい。
情報アップロード装置10は、図2に示すように、操作対象データDB(Database)101、監査ログDB102、バッチ処理ログDB103、受信部104、データ更新部105、バッチ処理制御部106、送信部107及びログ生成部108を備える。
操作対象データDB101は、各部から読出し可能であり、データ更新部105から書込み可能なメモリであり、図3に示す如き操作対象データ100aを記憶する。
操作対象データ100aは、データ更新時刻、利用者識別子、操作対象識別子、及び操作対象データの具体的内容を含んでいてもよい。なお、以下の説明では、「操作対象データ100a」は、単に「データ」と読み替えてもよい。
ここで、データは、データ更新部105によって実行されるデータ更新処理のうち、直近のデータ更新処理による最新の内容を含む。また、データは、直近のデータ更新処理以前のデータ更新処理による内容を履歴として記憶していてもよく、最新の内容で上書きされてもよい。なお、データ更新部105によって実行されるデータ更新処理とは、当該データの新規生成、修正等の更新、及び削除等を含む。なお、データが削除された場合、当該データは、操作対象データDB101から削除されてもよい。
同様に、データ内のデータ更新時刻、利用者識別子、操作対象識別子は、対応する当該データに対する直近のデータ更新処理を実行した際の時刻、利用者識別子、操作対象識別子を含む。ここで、利用者識別子は、データに対する各処理を実行するために、利用者端末50,60を介して各装置10,40を操作することによって指示を入力する利用者を一意に識別する情報である。また、操作対象識別子は、各処理が実行される対象となるデータを一意に識別する情報である。
監査ログDB102は、データ更新部105によって、データに対して実行されるデータ更新処理に応じて、ログ生成部108から書込まれるメモリであり、図4に示す如き、監査ログ100bを記憶する。
監査ログ100bは、時刻、利用者識別子、及び操作対象識別子を含む。また、監査ログ100bは、操作種別等を更に含んでもよい。
ここで、時刻は、当該監査ログ100bに関する各処理が実行された時刻を示す情報である。操作種別は、データに対して実行された処理の種別を示す情報であり、例えば当該データの「生成」、「修正」、「削除」等を含む。また、操作種別は、当該データの他装置への「送信」、及び他装置からの「受信」等を含んでもよい。
なお、以下の説明において、「データに対して実行されたデータ更新処理に応じて生成される監査ログ100b」は、「第1のログ」と読み替えてもよい。また、「データ更新処理が実行された時刻」は、「第1の時刻」と読み替えてもよい。また、「データ更新処理を実行するための指示を入力する利用者」は、「第1の利用者」と読み替えてもよい。また、「第1の利用者を識別する情報」は、「第1の利用者識別子」と読み替えてもよい。
バッチ処理ログDB103は、バッチ処理制御部106が開始するバッチ処理によって制御される送信部107が実行するアップロード処理に応じて、ログ生成部108から書込まれるメモリである。バッチ処理ログDB103は、当該アップロード処理に応じて、図5に示す如き、バッチ処理ログ100cを記憶する。
バッチ処理ログ100cは、バッチ処理制御部106によって開始されるバッチ処理に基づき、送信部107によってデータをアップロードするアップロード処理に応じて生成されるログである。バッチ処理ログ100cは、アップロード時刻、操作対象識別子、及びデータ更新時刻を含む。また、バッチ処理ログ100cは、バッチ処理ID(Identifier)を更に含んでもよい。
ここで、アップロード時刻は、データに対してアップロード処理が実行された時刻を示す。データ更新時刻は、当該アップロード処理が実行されたデータについて直近のデータ更新処理が実行された時刻を示す。したがって、データ更新時刻は、当該アップロード処理が実行されたデータに対応する直近の第1の時刻を示す。バッチ処理IDは、当該データに対して実行されたバッチ処理を一意に識別するための情報である。
なお、以下の説明において、「データをアップロードするアップロード処理に応じて生成されるバッチ処理ログ100c」は、「第2のログ」と読み替えてもよい。また、「データに対してアップロード処理が実行された時刻」は、「第2の時刻」と読み替えてもよい。
受信部104は、第1の利用者の操作によって入力された指示に基づき、利用者端末50からデータ更新処理に関する指示を受信し、当該データ更新処理に関する指示をデータ更新部105に送信する。
データ更新部105は、データ更新処理に関する指示を受信部104から受信し、当該データを操作対象データDB101から読出す。データ更新部105は、当該指示に基づき、読出した当該データへのデータ更新処理を実行する。データ更新部105は、当該指示がデータ生成処理に関する指示の場合、当該データの生成処理を実行し、最終的にデータ更新処理を実行してもよい。データ更新部105は、データ更新処理を実行したデータを、操作対象データDB101に記憶する。また、データ更新部105は、データ更新処理が実行された場合、ログ生成部108に当該実行されたデータ更新処理に関する監査ログ生成指示を送信する。
バッチ処理制御部106は、データ更新処理が実行されたデータを、データ更新処理が実行された他のデータと共に操作対象データDB101から読出す。バッチ処理制御部106は、読出したデータ及び情報公開装置20にアップロードするアップロード処理を実行するように、送信部107を制御する。具体的には、バッチ処理制御部106は、読出したデータ及び他のデータを情報公開装置20に一括して又は個別にアップロードするためのバッチ処理を開始し、読出したデータを送信部107に送信する。また、バッチ処理制御部106は、当該バッチ処理を識別するためのバッチ処理IDを生成し、送信部107に送信してもよい。なお、バッチ処理制御部106は、複数のデータに限らず、1個以上の任意の数のデータに対してアップロード処理が実行されるように制御可能である。
送信部107は、バッチ処理に基づき、データ更新処理が実行されたデータをバッチ処理制御部106から受信する。また、送信部107は、受信した各データを情報公開装置20にアップロードするアップロード処理を実行する。送信部107は、アップロード処理が実行された場合、ログ生成部108に当該実行されたアップロード処理に関するバッチ処理ログ生成指示を送信する。また、送信部107は、バッチ処理IDをバッチ処理制御部106から受信し、当該バッチ処理IDをバッチ処理ログ生成指示と共にログ生成部108に送信してもよい。
ログ生成部108は、データ更新部105から監査ログ生成指示を受信すると、操作対象データDB101から監査ログ生成対象のデータを読出し、監査ログ100bを生成する。また、ログ生成部108は、送信部107からバッチ処理ログ生成指示を受信すると、バッチ処理ログ100cを生成する。
具体的には、ログ生成部108は、監査ログ生成指示をデータ更新部105から受信すると、第1のログを生成する。第1のログは、データ更新処理に応じて、当該データ更新処理が実行された時刻を示す第1の時刻と、読出した当該データ内の操作対象識別子、及び第1の利用者識別子とを含む。ログ生成部108は、生成した第1のログを監査ログDB102に記憶する。
また、ログ生成部108は、送信部107からバッチ処理ログ生成指示を受信すると、第2のログを生成する。第2のログは、アップロード処理に応じて、データに対して当該アップロード処理が実行された時刻を示す第2の時刻と、当該データに対応する直近の第1の時刻及び操作対象識別子とを含む。ログ生成部108は、生成した第2のログをバッチ処理ログDB103に記憶する。なお、第2のログは、バッチ処理に基づいて生成されるため、データ更新に係る利用者の識別子(例えば、第1の利用者識別子等)を含まない。また、第2のログは、当該アップロード処理に係る利用者が存在しないため、当該アップロード処理に係る利用者の識別子に代えて、当該アップロード処理を実行した情報アップロード装置10を識別する識別子を含んでもよい。
情報公開装置20は、図6に示すように、操作対象データDB201、監査ログDB202、受信部203、応答処理部204、送信部205及びログ生成部206を備える。
操作対象データDB201は、各部から読出し可能で、受信部203から書込み可能なメモリであり、受信部203が情報アップロード装置10の送信部107から受信した、アップロードされた操作対象データ100aを記憶する。
監査ログDB202は、各部203,205が実行する各処理に応じて、ログ生成部206から書込まれるメモリであり、監査ログ100bを記憶する。なお、監査ログDB202に記憶される監査ログ100bは、監査ログDB102に記憶される監査ログ100bと同様の構成のため、詳細な説明を省略する。
受信部203は、アップロード処理によって送信部107からアップロードされた各データを受信し、操作対象データDB201に記憶する。受信部203は、当該受信処理に応じて、監査ログ100bを生成する指示をログ生成部206に送信してもよい。
また、受信部203は、図7(A)に示す如き通信要求100dを情報要求装置40から受信し、応答処理部204に送信する。受信部203は、当該通信要求100dの受信に係る処理に応じて、通信要求100d及び監査ログ生成指示をログ生成部206に送信する。
なお、通信要求100dは、応答処理を実行するための指示を入力する利用者により操作された利用者端末60を介して、情報要求装置40から送信される。通信要求100dは、当該利用者を識別する利用者識別子と、要求するデータに対応する操作対象識別子とを含む。
なお、以下の説明において、「応答処理を実行するための指示を入力する利用者」は、「第2の利用者」と読み替えてもよい。また、「第2の利用者を識別する利用者識別子」は、「第2の利用者識別子」と読み替えてもよい。
したがって、受信部203は、第2の利用者の操作によって入力された指示に基づき、第2の利用者を識別する第2の利用者識別子と、操作対象識別子とを含む通信要求100dを受信する。
応答処理部204は、通信要求100dを受信部203から受信し、当該通信要求100dに基づき、図7(B)に示す如き、通信応答100eを送信する応答処理を実行する。具体的には、応答処理部204は、通信要求100d内の操作対象識別子に基づき、当該操作対象識別子に該当するデータを操作対象データDB201から読出す。応答処理部204は、通信要求100d内の第2の利用者識別子及び操作対象識別子と、当該読出したデータとを含む通信応答100eを生成し、送信部205に送信する。
送信部205は、通信応答100eを応答処理部204から受信し、ネットワーク30を介して情報要求装置40に送信する。送信部205は、当該通信応答100eの送信に係る処理に応じて、監査ログ生成指示と共に、通信応答100eをログ生成部206に送信する。
ログ生成部206は、受信部203及び送信部205から監査ログ生成指示を受信すると、監査ログ100bを生成する。
具体的には、ログ生成部206は、アップロードされた各データの受信処理に係る監査ログ生成指示を受信部203から受信すると、当該受信処理によって各データを受信した時刻と、当該各データ内の操作対象識別子、及び第1の利用者識別子とを含む監査ログ100bを生成してもよい。
また、ログ生成部206は、通信要求100dの受信処理に係るログ生成指示及び通信要求100dを受信部203から受信し、通信応答100eの送信処理に係るログ生成指示及び通信応答100eを送信部205から受信する。ログ生成部206は、通信要求100dを受信した時刻及び通信応答100eを送信した時刻と、当該通信要求100d及び通信応答100e内の第2の利用者識別子、及び操作対象識別子とを含む監査ログ100bを生成する。
なお、以下の説明において、「通信要求100dを受信した時刻及び通信応答100eを送信した時刻」は、「応答処理が実行された時刻」と読み替えてもよく、「応答処理が実行された時刻」は、「第3の時刻」と読み替えてもよい。また、「第3の時刻と、通信要求100d及び通信応答100e内の第2の利用者識別子、及び操作対象識別子とを含むログ」は、「第3のログ」と読み替えてもよい。
情報要求装置40は、図8に示すように、操作対象データDB401、監査ログDB402、受信部403、要求生成部404、送信部405及びログ生成部406を備える。
操作対象データDB401は、各部から読出し可能で、受信部403から書込み可能なメモリであり、受信部403が情報公開装置20の送信部205から受信した、通信応答100e内の操作対象データ100aを記憶する。
監査ログDB402は、各部403,405による各処理に応じて、ログ生成部406から書込まれるメモリであり、監査ログ100bを記憶する。なお、監査ログDB402に記憶される監査ログ100bは、監査ログDB102に記憶される監査ログ100bと同様の構成のため、詳細な説明を省略する。
受信部403は、通信応答100eを情報公開装置20の送信部205から受信し、当該通信応答100eを送信部405に送信する。受信部403は、通信応答100eの受信処理に応じて、監査ログ生成指示と共に、通信応答100eをログ生成部206に送信する。
また、受信部403は、第2の利用者の操作によって入力されたデータへの通信要求に関する指示を利用者端末60から受信し、当該データ通信要求に関する指示を要求生成部404に送信する。
要求生成部404は、通信要求に関する指示を受信部403から受信し、当該指示に基づく通信要求100dを生成する。要求生成部404は、生成した通信要求100dを送信部405に送信する。
送信部405は、通信要求100dを要求生成部404から受信し、当該通信要求100dを情報公開装置20の受信部203に送信する。送信部405は、当該通信要求100dの送信処理に応じて、監査ログ生成指示と共に、通信要求100dをログ生成部406に送信する。
また、送信部405は、通信応答100eを受信部403から受信し、当該通信応答100e内のデータを利用者端末60に送信する。
ログ生成部406は、受信部403及び送信部405から監査ログ生成指示を受信すると、監査ログ100bを生成する。
具体的には、ログ生成部406は、通信要求100dの送信処理に係るログ生成指示及び通信要求100dを送信部405から受信し、通信応答100eの受信処理に係るログ生成指示及び通信応答100eを受信部403から受信する。ログ生成部406は、通信要求100dを受信した時刻及び通信応答100eを送信した時刻と、当該通信要求100d及び通信応答100e内の第2の利用者識別子、及び操作対象識別子とを含む監査ログ100bを生成する。
利用者端末50は、第1の利用者の操作によってデータ更新処理に係る指示が入力される端末であり、情報アップロード装置10にデータ更新処理を実行させるための指示を送信する。
利用者端末60は、第2の利用者の操作によってデータの通信に係る指示が入力される端末であり、情報要求装置40に通信要求100dを送信させるための指示を送信する。
なお、以上のように構成されたログ生成システム1は、図9に示す如き構成に変形可能である。即ち、ログ生成システム1は、情報更新装置70及び利用者端末80を更に備えてもよい。なお、ログ生成システム1は、1台に限らず、任意の台数の情報更新装置70を、情報アップロード装置10と接続可能である。
ここで、情報アップロード装置10、情報公開装置20及び利用者端末50が医療圏Xにおける地域医療連携ネットワークを構成する場合、情報更新装置70及び利用者端末80は、当該地域医療連携ネットワーク内に構成されていてもよい。
また、複数の情報更新装置70が情報アップロード装置10に接続される場合、図10に示すように、各情報更新装置70は、医療圏X内の総合病院A及び診療所Bにそれぞれ設置されていてもよい。
情報更新装置70は、図11に示すように、操作対象データDB701、監査ログDB702、受信部703、データ更新部704、送信部705、及びログ生成部706を備える。即ち、情報更新装置70は、情報アップロード装置10から、バッチ処理ログDB103、及びバッチ処理制御部106を除く各機能を有していてもよい。
従って、操作対象データDB701、監査ログDB702は、それぞれ操作対象データDB101、及び監査ログDB102と同様の機能を有している。
なお、以下の説明において、「データ更新部704によって実行されたデータ更新処理に応じて生成される監査ログ100b」についても、「第1のログ」と読み替えてもよい。即ち、「データ更新部704によって実行されるデータ更新処理が実行された時刻」は、「第1の時刻」と読み替えてもよい。また、「データ更新部704によるデータ更新処理を実行するための操作を行う利用者」は、「第1の利用者」と読み替えてもよく、当該「第1の利用者を識別する情報」は、「第1の利用者識別子」と読み替えてもよい。したがって、本実施形態の変形例における第1の利用者は、データに対するデータ更新処理を実行するために、利用者端末50を介して情報アップロード装置10のデータ更新部105を操作する者、又は利用者端末80を介して情報更新装置70のデータ更新部704を操作する者である。
受信部703は、第1の利用者の操作によって入力されたデータへのデータ更新処理に関する指示を利用者端末80から受信し、当該データ更新処理に関する指示をデータ更新部704に送信する。
データ更新部704は、データ更新処理に関する指示を受信部703から受信し、当該データを操作対象データDB701から読出す。データ更新部704は、当該指示に基づき、読出した当該データへのデータ更新処理を実行する。データ更新部704は、データ更新処理を実行したデータを、操作対象データDB701に記憶し、送信部705に送信する。また、データ更新部704は、データ更新処理が実行された場合、ログ生成部706に当該実行されたデータ更新処理に関する監査ログ生成指示を送信する。
送信部705は、データ更新部704からデータ更新処理が実行されたデータを受信し、当該データを情報アップロード装置10の受信部104に送信する。また、送信部705は、当該データ送信に係る処理が実行された場合、ログ生成部706に送信処理に係る監査ログ生成指示を送信してもよい。
ログ生成部706は、データ更新部704から監査ログ生成指示を受信すると、操作対象データDB101から当該監査ログ100bの対象データを読出し、監査ログ100bを生成する。
具体的には、ログ生成部706は、データ更新処理の実行に関する監査ログ100bの生成指示をデータ更新部704から受信すると、第1のログを生成する。第1のログは、データ更新部704が実行したデータ更新処理に応じて、当該データ更新処理が実行された時刻を示す第1の時刻と、読出した当該データ内の操作対象識別子、及び第1の利用者識別子とを含む。ログ生成部706は、生成した第1のログを監査ログDB702に記憶する。
また、ログ生成部706は、送信部705から送信処理に係る監査ログ生成指示を受信すると、監査ログ100bを生成してもよい。ログ生成部706は、送信部705から送信処理に係る監査ログ生成指示を受信すると、当該データを送信した時刻と、当該データ内の操作対象識別子、及び第1の利用者識別子とを含むログを生成してもよい。
利用者端末80は、第1の利用者の操作によって入力された、情報更新装置70にデータ更新処理を実行させるための指示を送信する。
情報アップロード装置10の受信部104は、送信部705からデータ更新処理が実行されたデータを受信し、操作対象データDB101に記憶する。受信部104は、当該受信処理に係る監査ログ生成指示をログ生成部108に送信してもよい。
ログ生成部108は、受信部104からデータ更新処理が実行されたデータの受信処理に係る監査ログ生成指示を受信すると、当該データを受信した時刻と、当該データ内の操作対象識別子、及び第1の利用者識別子とを含むログを生成してもよい。
次に、以上のように構成されたログ生成システムの動作の一例について図12に示すシーケンス図を用いて説明する。なお、以下の説明では、ログ生成システム1は、図10に示す如き、複数の情報更新装置70が情報アップロード装置10に接続される場合について述べる。
即ち、ログ生成システム1は、医療圏X内に構成された地域医療連携ネットワーク及び医療圏Y内に構成された地域医療連携ネットワークにおいて構成される。ログ生成システム1は、医療圏Xに、情報アップロード装置10、情報公開装置20、総合病院Aの情報更新装置70、診療所Bの情報更新装置70、及び利用者端末80を備える。また、ログ生成システム1は、医療圏Yに、情報要求装置40の機能を有する他医療圏接続GW(Gateway)(以下、情報要求装置40という。)、及び利用者端末60を備える。
始めに、第1の利用者である医師Pは、利用者端末80を操作し、第1の利用者識別子“usr_01”で総合病院Aの情報更新装置70にログインする。
利用者端末80は、医師Pの操作により入力された指示を受け付け、操作対象識別子“subj_91”で識別される操作対象に関するデータを生成する指示を総合病院Aの情報更新装置70に送信する。総合病院Aの受信部703は、当該データ生成処理に係る指示を受信し、データ更新部704に送信する。総合病院Aのデータ更新部704は、当該データ生成に係る指示を受信し、第1の利用者の操作によって入力された指示に基づき、時刻T100にデータ更新処理を実行する。
総合病院Aのデータ更新部704は、データ更新処理に基づいて生成された、利用者識別子“usr_01”による操作対象識別子“subj_91”に関するデータを操作対象データDB101に記憶する。総合病院Aのデータ更新部704は、生成した当該データを送信部705に送信する。データ更新部704は、当該データ更新処理に係る監査ログ生成指示をログ生成部706に送信する。
総合病院Aのログ生成部706は、データ更新処理に係る監査ログ生成指示を受信する。総合病院Aのログ生成部706は、データ更新処理に応じて、データ更新処理が実行された時刻を示す第1の時刻と、記憶された操作対象識別子、及び第1の利用者識別子とを含む第1のログを生成する。具体的には、総合病院Aのログ生成部706は、図13(A)に示すように、第1の時刻に“T100”、利用者識別子に“usr_01”、操作対象識別子に“subj_91”、操作種別に“データ生成”と記載された監査ログ100fを生成する。
総合病院Aの送信部705は、データ更新処理が実行されたデータを受信し、時刻T200に情報アップロード装置10の受信部104に送信する。総合病院Aの送信部705は、当該送信処理に係る監査ログ生成指示をログ生成部706に送信する。
総合病院Aのログ生成部706は、データ送信処理に係る監査ログ生成指示を受信し、監査ログを生成する。具体的には、総合病院Aのログ生成部706は、図13(A)に示すように、送信処理を実行した時刻に“T200”、利用者識別子に“usr_01”、操作対象識別子に“subj_91”、操作種別に“データ送信”と記載された監査ログ100fを生成する。
次に、第1の利用者である医師Pは、利用者端末80を操作し、第1の利用者識別子“usr_02”で診療所Bの情報更新装置70にログインする。
利用者端末80は、医師Pの操作により入力された指示を受け付け、操作対象識別子“subj_92”,“subj_93”でそれぞれ識別される操作対象に関するデータを更新する指示を診療所Bの情報更新装置70に送信する。診療所Bの情報更新装置70の受信部703は、当該データ更新に係る指示を受信し、データ更新部704に送信する。診療所Bのデータ更新部704は、当該データ更新に係る指示を受信し、第1の利用者の操作によって入力された指示に基づき、時刻T300,T301にそれぞれデータ更新処理を実行する。
診療所Bのデータ更新部704は、データ更新処理に基づいて生成された、利用者識別子“usr_02”による操作対象識別子“subj_92”,“subj_93”に関するデータを操作対象データDB101に記憶する。診療所Bのデータ更新部704は、生成した当該データを送信部705に送信する。診療所Bのデータ更新部704は、当該データ更新処理に係る監査ログ生成指示をログ生成部706に送信する。
診療所Bのログ生成部706は、データ更新処理に係る監査ログ生成指示を受信する。診療所Bのログ生成部706は、データ更新処理に応じて、データ更新処理が実行された時刻を示す第1の時刻と、記憶された操作対象識別子、及び第1の利用者識別子とを含む第1のログを生成する。具体的には、診療所Bのログ生成部706は、図13(B)に示すように、第1の時刻に“T300”,“T301”、利用者識別子に“usr_02”、操作対象識別子に“subj_92”,“subj_93”、操作種別に“データ更新”と記載された監査ログ100gを生成する。
診療所Bの送信部705は、データ更新処理が実行された各データを受信し、時刻T400,T401にそれぞれ情報アップロード装置10の受信部104に送信する。診療所Bの送信部705は、当該送信処理に係る監査ログ生成指示をログ生成部706に送信する。
診療所Bのログ生成部706は、当該送信処理に係る監査ログ生成指示を受信し、監査ログを生成する。具体的には、診療所Bのログ生成部706は、図13(B)に示すように、送信処理を実行した時刻に“T400”,“T401”、利用者識別子に“usr_02”、操作対象識別子に“subj_92”,“subj_93”、操作種別に“データ送信”と記載された監査ログ100gを生成する。
情報アップロード装置10の受信部104は、総合病院Aの送信部705から送信されたデータを時刻T201に受信し、診療所Bの送信部705から送信された各データを時刻T402,T403にそれぞれ受信し、操作対象データDB101に記憶する。受信部104は、各データの受信処理に係る監査ログ生成指示をログ生成部108に送信する。
ログ生成部108は、当該受信処理に係る監査ログ生成指示を受信し、監査ログを生成する。具体的には、ログ生成部108は、図14(A)に示すように、受信処理を実行した時刻に“T201”、利用者識別子に“usr_01”、操作対象識別子に“subj_91”、操作種別に“データ受信”と記載された監査ログ100hと、受信処理を実行した時刻に“T402”,“T403”、利用者識別子に“usr_02”、操作対象識別子に“subj_92”,“subj_93”、操作種別に“データ受信”と記載された監査ログ100hとをそれぞれ生成する。
次に、第1の利用者である管理者Qは、利用者端末50を操作し、第1の利用者識別子“admin_01”で情報アップロード装置10にログインする。
利用者端末50は、管理者Qの操作により入力された指示を受け付け、操作対象識別子“subj_93”で識別される操作対象に関するデータを更新する指示を情報アップロード装置10に送信する。受信部104は、当該データ更新に係る指示を受信し、データ更新部105に送信する。データ更新部105は、当該データ更新に係る指示を受信し、第1の利用者の操作によって入力された指示に基づき、時刻T500にデータ更新処理を実行する。
データ更新部105は、データ更新処理に基づいて更新された、利用者識別子“admin_01”による操作対象識別子“subj_93”に関するデータを操作対象データDB101に記憶する。データ更新部105は、当該データ更新処理に係る監査ログ生成指示をログ生成部108に送信する。
ログ生成部108は、データ更新処理に係る監査ログ生成指示を受信する。ログ生成部108は、当該データ更新処理に応じて、データ更新処理が実行された時刻を示す第1の時刻と、記憶された操作対象識別子、及び第1の利用者識別子とを含む第1のログを生成する。具体的には、ログ生成部108は、図14(A)に示すように、第1の時刻に“T500”、利用者識別子に“admin_01”、操作対象識別子に“subj_93”、操作種別に“データ更新”と記載された監査ログ100hを生成する。
バッチ処理制御部106は、操作対象データDB101に記憶された各データを読出し、バッチ処理制御を開始する。バッチ処理制御部106は、データ更新処理が実行されたデータを情報公開装置20にアップロードするアップロード処理を実行するように送信部107を制御する。バッチ処理制御部106は、当該バッチ処理にバッチ処理ID“1”を付与し、各データと共に送信部107に送信する。
送信部107は、各データ及びバッチ処理IDを受信し、バッチ処理制御に基づき、当該複数のデータを情報公開装置20にアップロードするアップロード処理を実行する。送信部107は、情報公開装置20の受信部203に各データを、それぞれ時刻T600,T601,T602にそれぞれ送信し、アップロードする。送信部107は、当該アップロード処理に係るバッチ処理ログ生成指示をログ生成部108に送信する。
ログ生成部108は、アップロード処理に係るバッチ処理ログ生成指示を受信する。ログ生成部108は、各データに対して実行されたアップロード処理に応じて、各データに対してアップロード処理が実行された時刻を示す第2の時刻と、当該各データにそれぞれ対応する直近の第1の時刻及び操作対象識別子とを含む第2のログを生成する。具体的には、ログ生成部108は、図14(A)に示すように、バッチ処理IDに“1”、第2の時刻に“T600”,“T601”,“T602”、操作対象識別子に“subj_91”,“subj_92”,“subj_93”、直近の第1の時刻であるデータ更新時刻に“T100”,“T300”,“T500”と記載されたバッチ処理ログ100iを生成する。
情報公開装置20の受信部203は、情報アップロード装置10からアップロードされた複数のデータを受信し、操作対象データDB201に記憶する。
次に、第2の利用者である医師Rは、利用者端末60を操作し、第2の利用者識別子“usr_11”で情報要求装置40にログインする。
利用者端末60は、医師Rの操作により入力された指示を受け付け、操作対象識別子“subj_91”,“subj_92”,“subj_93”で識別される操作対象に関するデータの取得を要求する指示を情報要求装置40に送信する。なお、本実施例における当該データ要求に係る指示は、各操作対象識別子で識別される操作対象に関するデータを同時に取得するものとする。また、利用者端末60は、本実施例に限らず、個別のデータの取得を要求する指示を情報要求装置40に送信してもよい。 受信部403は、当該データ要求に係る指示を受信し、要求生成部404に送信する。要求生成部404は、当該データ要求に係る指示を受信し、利用者識別子“usr_11”、操作対象識別子“subj_91”,“subj_92”,“subj_93”、操作種別に“データ取得”を含む通信要求100dを生成し、当該生成した通信要求100dを送信部405に送信する。
送信部405は、受信した通信要求100dを、ネットワーク30を介して情報公開装置20に時刻T700に送信する。送信部405は、当該送信処理に係る監査ログ生成指示をログ生成部406に送信する。
情報公開装置20の受信部203は、通信要求100dを時刻T701に受信し、当該通信要求100dを応答処理部204に送信する。受信部203は、当該受信処理に係る監査ログ生成指示をログ生成部206に送信する。
応答処理部204は、受信した通信要求100dに基づき、応答処理を実行する。応答処理部204は、操作対象データDB201から通信要求100d内の操作対象識別子“subj_91”,“subj_92”,“subj_93”に対応するデータを読出す。応答処理部204は、当該読出したデータに基づき、利用者識別子“usr_11”、操作対象識別子“subj_91”,“subj_92”,“subj_93”、操作種別に“データ取得”、及び当該各データを含む通信応答100eを生成し、当該通信応答100eを送信部205に送信する。
送信部205は、受信した通信応答100eを、ネットワーク30を介して情報要求装置40に時刻T702に送信する。送信部205は、当該送信処理に係る監査ログ生成指示をログ生成部206に送信する。
ログ生成部206は、通信要求100dの受信処理に係る監査ログ生成指示、及び通信応答100eの送信処理に係る監査ログ生成指示を受信する。ログ生成部206は、各データに対して実行された応答処理に応じて、当該応答処理が実行された時刻を示す第3の時刻と、当該通信要求100d及び通信応答100e内の第2の利用者識別子及び操作対象識別子とを含む第3のログを生成する。具体的には、ログ生成部206は、図15(A)に示すように、第3の時刻に“T701”,“T702”、第2の利用者識別子に“usr_11”、操作対象識別子に“subj_91”,“subj_92”,“subj_93”、操作種別に“通信要求受信”,“通信応答送信”と記載された監査ログ100jを生成する。
受信部403は、情報公開装置20から通信応答100eを時刻T703に受信し、送信部405に送信する。受信部403は、当該受信処理に係る監査ログ生成指示をログ生成部406に送信する。
ログ生成部406は、通信要求100dの送信処理に係る監査ログ生成指示、及び通信応答100eの受信処理に係る監査ログ生成指示を受信する。ログ生成部406は、通信要求100dの送信処理及び通信応答100eの受信処理に応じて、当該各処理が実行された時刻を示す時刻と、当該通信要求100d及び通信応答100e内の第2の利用者識別子及び操作対象識別子とを含むログを生成する。具体的には、ログ生成部406は、図15(B)に示すように、各処理が実行された時刻を示す時刻に“T700”,“T703”、第2の利用者識別子に“usr_11”、操作対象識別子に“subj_91”,“subj_92”,“subj_93”、操作種別に“通信要求送信”,“通信応答受信”と記載された監査ログ100kを生成する。
送信部405は、受信した通信応答100e内のデータを利用者端末60に送信する。
以上詳述したように、第1の実施形態では、ログ生成システム1は、情報アップロード装置10から情報公開装置20にアップロード処理され、ネットワーク30を介して接続された情報要求装置40からの通信要求100dに対して応答処理されるデータに対して実行された各々の処理をトレースするためのログを生成する。情報アップロード装置10は、第1の利用者の操作によって入力された指示に基づき、前記データへのデータ更新処理を実行する。上記データを識別する操作対象識別子と、上記第1の利用者を識別する第1の利用者識別子とを記憶する。上記データに対して実行された上記データ更新処理に応じて、上記データ更新処理が実行された時刻を示す第1の時刻と、上記記憶された操作対象識別子、及び上記第1の利用者識別子とを含む第1のログを生成する。上記データ更新処理が実行されたデータを情報公開装置20にアップロードするアップロード処理を実行する。上記実行された上記アップロード処理に応じて、上記データに対して上記アップロード処理が実行された時刻を示す第2の時刻と、上記データに対応する直近の上記第1の時刻及び上記操作対象識別子とを含む第2のログを生成する。情報公開装置20は、上記アップロード処理が実行された上記データを記憶する。第2の利用者の操作によって入力された指示に基づき、上記第2の利用者を識別する第2の利用者識別子と、上記データの操作対象識別子とを含む通信要求100dを受信する。上記受信した通信要求100dに基づき、通信応答100eを送信する応答処理を実行する。上記実行された応答処理に応じて、上記応答処理が実行された時刻を示す第3の時刻と、上記通信要求100d及び上記通信応答100e内の上記第2の利用者識別子、及び上記操作対象識別子とを含む第3のログを生成する。このため、バッチ処理等によってアップロードされたデータが、いつ、誰が、更新処理したものかをトレースするログを生成することができる。また、バッチ処理等によってアップロードされたデータに対して、いつ、誰が、通信処理したかをトレースするログを生成することができる。
補足すると、データ生成処理に係る監査ログ100f,100g,100hと、アップロード処理に係るバッチ処理ログ100iと、アップロード後の通信処理に係る監査ログ100j,100kとを、一意の操作対象識別子で紐づけることができる。具体的には、各ログ100f−100kを一意の操作対象識別子をキーにして抽出することができ、更に、各ログ100f−100kを、時刻をキーにして時系列で一覧化することができる。これにより、データの生成時、アップロード時、アップロード後の通信時、という異なるタイミングで出力されるログを容易に紐づけることができる。
したがって、バッチ処理等によってアップロードされるデータについて、生成から削除までの間に実行される処理をトレースできるログを生成することができる。
[第2の実施形態]
第2の実施形態は、第1の実施形態の変形例であり、アップロードするデータを制限するデータ更新処理を更に実行し得る構成となっている。具体的には、このログ生成システム1の機能構成は、図9に示す機能構成と同様である。以下では、図9と同一部分には同一符号を付してその詳しい説明を省略し、異なる部分について主に述べる。
操作対象データDB101は、図16に示すように、制限情報を更に含む操作対象データ200aを記憶する。即ち、本実施形態におけるデータは、制限情報を更に含む。なお、操作対象データ200a内の制限情報は、データ更新部105から書込み可能な情報である。
ここで、制限情報は、外部ネットワークとの通信を制限する情報であり、例えば、時刻制限情報及び/又はアクセス制限情報等を含んでいてもよい。また、制限情報は、公開情報の種類等を更に含んでもよい。また、「外部ネットワークとの通信を制限する情報」は、「情報公開装置20へのアップロード処理を制限する情報」と読み替えてもよい。
時刻制限情報は、当該データを情報公開装置20にアップロード可能な期間を制限する情報であり、当該時刻制限情報に記載された期間外の場合、情報公開装置20へのアップロード処理を制限する。また、時刻制限情報は、当該期間内にアップロードされたが時刻制限期間外となった場合、情報要求装置40からの通信を制限してもよい。
アクセス制限情報は、情報公開装置20が公開するアクセス対象のデータを制限するための情報であり、例えば、当該データの公開が不許可の情報要求装置40から通信可能な情報公開装置20に対して、当該データのアップロード処理を制限する情報である。なお、アクセス制限情報は、アクセス先の装置に限らず、アクセス要求を実行する利用者、利用者の所属組織、及び利用者の資格等の条件を含んでもよく、当該条件に基づき、データのアップロード処理を制限する情報であってもよい。
監査ログDB102は、データ更新処理に応じて、ログ生成部108から書込まれるメモリであり、図17に示す如き、監査ログ200bを記憶する。
監査ログ200bは、監査ログ100bが含む各項目に加え、制限情報を更に含む。
データ更新部105は、データへのデータ更新処理に関する指示を受信部104から受信し、当該データを操作対象データDB101から読出す。データ更新部105は、当該指示に基づき、読出したデータ内の制限情報を設定し、最終的に当該データへのデータ更新処理を実行する。データ更新部105は、データ更新処理を実行したデータを、操作対象データDB101に記憶する。また、データ更新部105は、データ更新処理が実行された場合、ログ生成部108に当該データ更新処理に関する監査ログ生成指示を送信する。
バッチ処理制御部106は、データ更新部105によってデータ更新処理が実行されたデータを、操作対象データDB101から読出す。バッチ処理制御部106は、読出したデータを情報公開装置20にアップロードするアップロード処理を実行するように、送信部107を制御する。具体的には、バッチ処理制御部106は、読出したデータ内の制限情報に基づき、データ更新処理が実行されたデータをアップロードするか否かを判定する。バッチ処理制御部106は、当該判定の結果、アップロードすると判定した場合、当該データを情報公開装置20にアップロードするためのバッチ処理を開始し、アップロードすると判定されたデータを送信部107に送信する。
送信部107は、バッチ処理に基づき、データ更新処理が実行され、アップロードすると判定されたデータをバッチ処理制御部106から受信する。また、送信部107は、受信した各データを情報公開装置20にアップロードするアップロード処理を実行する。送信部107は、アップロード処理が実行された場合、当該アップロード処理に関するバッチ処理ログ生成指示をログ生成部108に送信する。また、送信部107は、バッチ処理IDをバッチ処理制御部106から受信し、当該バッチ処理IDをバッチ処理ログ生成指示と共に、ログ生成部108に送信してもよい。
ログ生成部108は、データ更新部105から監査ログ生成指示を受信すると、操作対象データDB101から監査ログ生成対象のデータを読出し、監査ログ200bを生成する。また、ログ生成部108は、送信部107からバッチ処理ログ生成指示を受信すると、バッチ処理ログ100cを生成する。
具体的には、ログ生成部108は、監査ログ生成指示をデータ更新部105から受信すると、第1のログを生成する。第1のログは、データ更新部105により制限情報を更に設定し、最終的に実行されるデータ更新処理に応じて、当該データ更新処理が実行された時刻を示す第1の時刻と、読出した当該データ内の操作対象識別子、及び第1の利用者識別子を含み、読出した当該データ内の制限情報を更に含む。ログ生成部108は、生成した第1のログを監査ログDB102に記憶する。
また、ログ生成部108は、送信部107からバッチ処理ログ生成指示を受信すると、第2のログを生成する。第2のログは、バッチ処理制御部106によって制御された送信部107が実行したアップロード処理に応じて生成される。第2のログは、データに対して当該アップロード処理が実行された時刻を示す第2の時刻と、当該データに対応する直近の第1の時刻及び操作対象識別子とを含む。ログ生成部108は、生成した第2のログをバッチ処理ログDB103に記憶する。
また、ログ生成部108は、受信部104からデータの受信処理に係る監査ログ生成指示を受信すると、当該データを受信した時刻と、当該データ内の操作対象識別子、及び第1の利用者識別子とを含む監査ログ100bを生成してもよい。なお、ログ生成部108は、当該データ内の制限情報を更に含む監査ログ200bを生成してもよい。
次に、以上のように構成されたログ生成システム1の動作の一例について図18に示すシーケンス図を用いて説明する。なお、以下の説明では、図10に示す如き、複数の情報更新装置70が情報アップロード装置10に接続される場合について述べ、第1の実施形態と同様の動作となる部分については、説明を省略する。
なお、当該動作説明におけるアップロードするか否かの判定は、時刻制限情報で定められた期間内に実行されるものとする。
始めに、総合病院Aの情報更新装置70及び診療所Bの情報更新装置70は、時刻T100−T401において、それぞれデータを生成又は更新し、情報アップロード装置10に送信する。情報アップロード装置10は、当該送信された各データを時刻T201,T402−T403において受信する。なお、時刻T100,T200−T201,T300−T301,T400−T403に係る動作については、第1の実施形態と同様の動作であるため、説明を省略する。
次に、第1の利用者である管理者Qは、利用者端末50を操作し、第1の利用者識別子“admin_01”で情報アップロード装置10にログインする。
利用者端末50は、管理者Qの操作により入力された指示を受け付け、操作対象識別子“subj_91”,“subj_92”,“subj_93”で識別される操作対象に関するデータの制限情報を設定し、最終的に当該データを更新する指示を情報アップロード装置10に送信する。受信部104は、当該データ更新に係る指示を受信し、データ更新部105に送信する。
データ更新部105は、当該データ更新に係る指示を受信し、第1の利用者の操作によって入力された指示に基づき、時刻T510−T512に制限情報を設定し、最終的にデータ更新処理を実行する。
具体的には、データ更新部105は、当該各データの制限情報内の時刻制限情報に“2015/01/01~2015/12/31”を設定する。また、データ更新部105は、操作対象識別子“subj_91”,“subj_92”のデータのアクセス制限情報に“情報要求装置40:許可”を設定し、“subj_93”のデータのアクセス制限情報に“情報要求装置40:不許可”を設定する。
データ更新部105は、データ更新処理に基づいて生成された、利用者識別子“admin_01”による操作対象識別子“subj_91”,“subj_92”,“subj_93”に関する各データを操作対象データDB101に記憶する。データ更新部105は、当該データ更新処理に係る監査ログ生成指示をログ生成部108に送信する。
ログ生成部108は、制限情報を更に設定されたデータ更新処理に係る監査ログ生成指示を受信する。ログ生成部108は、データ更新処理に応じて、当該データ更新処理が実行された時刻を示す第1の時刻と、記憶された操作対象識別子、及び第1の利用者識別子とを含み、制限情報を更に含む第1のログを生成する。具体的には、ログ生成部108は、図19(A)に示すように、第1の時刻に“T510”,“T511”,“T512”、利用者識別子に“admin_01”、操作対象識別子に“subj_91”,“subj_92”,“subj_93”、操作種別に“制限情報更新”、と記載された監査ログ200cを生成する。また、ログ生成部108は、当該監査ログ200cの時刻制限情報に“2015/01/01~2015/12/31”と更に記載する。また、ログ生成部108は、当該監査ログ200cのうち、操作対象識別子“subj_91”,“subj_92”のデータのアクセス制限情報に“情報要求装置40:許可”と更に記載し、“subj_93”のデータのアクセス制限情報に“情報要求装置40:不許可”と更に記載する。
バッチ処理制御部106は、データ更新処理が実行された各データを操作対象データDB101から読出す。バッチ処理制御部106は、当該各データ内の制限情報に基づき、アップロードするか否かを判定する。バッチ処理制御部106は、データ内のアクセス制限情報が情報要求装置40に対して“許可”である操作対象識別子“subj_91”,“subj_92”のデータについて、アップロードすると判定する。バッチ処理制御部106は、判定の結果、アップロードすると判定された各データに対してバッチ処理制御を開始する。バッチ処理制御部106は、当該バッチ処理にバッチ処理ID“1”を付与し、当該バッチ処理IDを各データと共に送信する。バッチ処理制御部106は、制限情報に基づき、アップロードすると判定された各データを情報公開装置20にアップロードするアップロード処理を実行するように送信部107を制御する。
送信部107は、各データを受信し、バッチ処理制御に基づき、当該各データを情報公開装置20にアップロードするアップロード処理を実行する。送信部107は、情報公開装置20の受信部203に各データを、それぞれ時刻T600,T601にそれぞれ送信し、アップロードする。送信部107は、当該アップロード処理に係るバッチ処理ログ生成指示をログ生成部108に送信する。
ログ生成部108は、アップロード処理に係るバッチ処理ログ生成指示を受信する。ログ生成部108は、各データに対して実行されたアップロード処理に応じて、アップロード処理が実行された時刻を示す第2の時刻と、当該各データにそれぞれ対応する直近の第1の時刻及び操作対象識別子とを含む第2のログを生成する。具体的には、ログ生成部108は、図19(B)に示すように、バッチ処理IDに“1”、第2の時刻に“T600”,“T601”、操作対象識別子に“subj_91”,“subj_92”、直近の第1の時刻であるデータ更新時刻に“T510”,“T511”と記載されたバッチ処理ログ200dを生成する。
情報公開装置20の受信部203は、情報アップロード装置10からアップロードされた各データを受信し、操作対象データDB201に記憶する。
次に、第2の利用者である医師Rは、利用者端末60を操作し、第2の利用者識別子“usr_11”で情報要求装置40にログインする。
利用者端末60は、医師Rの操作により入力された指示を受け付け、操作対象識別子“subj_91”,“subj_92”,“subj_93”で識別される操作対象に関するデータの取得を要求する指示を情報要求装置40に送信する。なお、本実施例における当該データ要求に係る指示は、第1の実施形態と同様、各操作対象識別子で識別される操作対象に関するデータを同時に取得するものとする。
受信部403は、当該データ要求に係る指示を受信し、要求生成部404に送信する。要求生成部404は、当該データ要求に係る指示を受信し、利用者識別子“usr_11”、操作対象識別子“subj_91”,“subj_92”,“subj_93”、操作種別に“データ取得”を含む通信要求100dを生成し、当該生成した通信要求100dを送信部405に送信する。
送信部405は、受信した通信要求100dを、ネットワーク30を介して情報公開装置20に時刻T700に送信する。送信部405は、当該送信処理に係る監査ログ生成の指示をログ生成部406に送信する。
情報公開装置20の受信部203は、通信要求100dを時刻T701に受信し、当該通信要求100dを応答処理部204に送信する。受信部203は、当該受信処理に係る監査ログ生成の指示をログ生成部206に送信する。
応答処理部204は、受信した通信要求100dに基づき、応答処理を実行する。応答処理部204は、操作対象データDB201から通信要求100d内の操作対象識別子のうち、操作対象データDB201内に存在する“subj_91”,“subj_92”に対応するデータを読出す。応答処理部204は、読出したデータに基づき、利用者識別子“usr_11”、操作対象識別子“subj_91”,“subj_92”、操作種別に“データ取得”、及び当該各データを含む通信応答100eを生成し、当該通信応答100eを送信部205に送信する。
送信部205は、受信した通信応答100eを、ネットワーク30を介して情報要求装置40に時刻T702に送信する。送信部205は、当該送信処理に係る監査ログ生成指示をログ生成部206に送信する。
ログ生成部206は、通信要求100dの受信処理に係る監査ログ生成の指示、及び通信応答100eの送信処理に係る監査ログ生成の指示を受信する。ログ生成部206は、各データに対して実行された応答処理に応じて、当該応答処理が実行された時刻を示す第3の時刻と、当該通信要求100d及び通信応答100e内の第2の利用者識別子及び操作対象識別子とを含む第3のログを生成する。具体的には、ログ生成部206は、図20(A)に示すように、第3の時刻に“T701”、第2の利用者識別子に“usr_11”、操作対象識別子に“subj_91”,“subj_92”,“subj_93”、操作種別に“通信要求受信”と記載された監査ログ200eを生成する。また、ログ生成部206は、第3の時刻に“T702”、第2の利用者識別子に“usr_11”、操作対象識別子に“subj_91”,“subj_92”、操作種別に“通信応答送信”と記載された監査ログ200eを生成する。
受信部403は、情報公開装置20から通信応答100eを時刻T703に受信し、送信部405に送信する。受信部403は、当該受信処理に係る監査ログ生成指示をログ生成部406に送信する。
ログ生成部406は、通信要求100dの送信処理に係る監査ログ生成指示、及び通信応答100eの受信処理に係る監査ログ生成指示を受信する。ログ生成部406は、通信要求100dの送信処理及び通信応答100eの受信処理に応じて、当該各処理が実行された時刻を示す時刻と、当該通信要求100d及び通信応答100e内の第2の利用者識別子及び操作対象識別子とを含むログを生成する。
具体的には、ログ生成部406は、図20(B)に示すように、通信要求送信処理が実行された時刻を示す時刻に“T700”、第2の利用者識別子に“usr_11”、操作対象識別子に“subj_91”,“subj_92”,“subj_93”、操作種別に“通信要求送信”と記載された監査ログ200fを生成する。また、ログ生成部406は、通信応答受信処理が実行された時刻を示す時刻に“T703”、第2の利用者識別子に“usr_11”、操作対象識別子に“subj_91”,“subj_92”、操作種別に“通信応答受信”と記載された監査ログ200fを生成する。
送信部405は、受信した通信応答100e内のデータを利用者端末60に送信する。
以上詳述したように、第2の実施形態では、ログ生成システム1は、上記データは、上記外部ネットワークとの通信を制限する制限情報を含む。上記第1の利用者の操作により上記制限情報を更に設定し、最終的に上記データへのデータ更新処理を実行する。上記データ内の制限情報を更に含む第1のログを生成する。上記制限情報に基づき、上記データ更新処理が実行されたデータをアップロードするか否かを判定し、アップロードすると判定した場合、上記アップロード処理を実行するようにしている。このため、アップロードされたデータに、いつ、誰が、どのような公開範囲及び操作制限を設定して、データ更新処理が実行されたかをトレースするログを生成することができる。
したがって、第2の実施形態によれば、第1の実施形態の効果に加え、データのアップロード処理を制限情報に応じて制限できると共に、当該制限情報に関して実行された各々の処理をトレースできるログを生成することができる。
[第3の実施形態]
図21は、第3の実施形態に係る情報アップロード装置10の機能構成の一例を示すブロック図である。以下では、図2と同一部分には同一符号を付してその詳しい説明を省略し、第1の実施形態と異なる部分について主に述べる。
第3の実施形態は、第1の実施形態の変形例であり、アップロードするデータを制限する制限リストを更新する制限リスト更新処理を更に実行し得る構成となっている。具体的には、このログ生成システム1の機能構成は、図9に示す機能構成と同様であるが、情報アップロード装置10は、第1の実施形態に加え、制限リストDB109及び制限リスト更新部110を更に備える。
制限リストDB109は、各部から読出し可能で、制限リスト更新部110から書込み可能なメモリであり、図22に示す如き、制限リスト300aを記憶する。制限リスト300aは、外部ネットワークとの通信を制限する更新履歴情報、及び制限情報と、利用者識別子とを含む。
ここで、更新履歴情報は、更新時刻及び/又は更新番号を含む情報である。更新時刻は、当該制限リスト300aが更新された時刻を示す。また、更新番号は、当該制限リスト300aが更新された場合、当該最新の制限リスト300aが何回目の更新処理によって生成されたものかを識別するための、制限情報に対応する番号である。
利用者識別子は、当該制限リスト300aを生成又は更新するために、制限リスト更新処理を実行するための指示を入力する利用者を識別する識別子である。なお、以下の説明において、「制限リスト更新処理を実行するための指示を入力する利用者」は、「第3の利用者」と読み替えてもよい。また、「第3の利用者を識別する利用者識別子」は、「第3の利用者識別子」と読み替えてもよい。
制限情報は、第2の実施形態におけるデータに含まれる制限情報と同様の情報であるため、説明を省略する。
なお、制限リスト300aは、操作対象データDB101内に記憶された全てのデータについて適用されてもよく、一部のデータについてのみ適用されてもよい。制限リスト300aは、操作対象データDB101内に記憶されたデータの一部について適用される場合、複数の制限リスト300aがそれぞれ各データに適用されてもよく、当該各制限リスト300aが、どのデータに適用されるかを示す適用範囲を更に含んでもよい。
制限リスト更新部110は、第3の利用者の操作によって入力された指示に基づき、制限リストDB109に記憶された制限リスト300a内の制限情報及び更新履歴情報を更新する制限リスト更新処理を実行する機能を有する。
具体的には、制限リスト更新部110は、データへの制限リスト更新処理に関する指示を受信部104から受信し、当該制限リスト300aを制限リストDB109から読出す。制限リスト更新部110は、当該指示に基づき、読出した当該制限リスト300a内の制限情報及び更新履歴情報を更新する制限リスト更新処理を実行する。制限リスト更新部110は、制限リスト更新処理を実行した制限リスト300aを、制限リストDB109に記憶する。また、制限リスト更新部110は、制限リスト更新処理が実行された場合、当該制限リスト更新処理に関する監査ログ生成指示をログ生成部108に送信する。
監査ログDB102は、制限リスト更新部110による制限リスト更新処理に応じて、ログ生成部108から書込まれるメモリであり、図23に示す如き、監査ログ300bを記憶する。
監査ログ300bは、制限リスト300a内の制限情報と、更新履歴情報と、第3の利用者識別子とを含む。なお、以下の説明において、「制限リスト300a内の制限情報と、更新履歴情報と、第3の利用者識別子とを含む監査ログ300b」は、「第4のログ」と読み替えてもよい。
バッチ処理制御部106は、データ更新部105によってデータ更新処理が実行されたデータを、操作対象データDB101から読出す。また、バッチ処理制御部106は、制限リスト更新部110によって制限リスト更新処理が実行された制限リスト300aを、制限リストDB109から読出す。バッチ処理制御部106は、読出したデータを情報公開装置20にアップロードするアップロード処理を実行するように、送信部107を制御する。
具体的には、バッチ処理制御部106は、読出した制限リスト300aに基づき、データ更新処理又は制限リスト更新処理が実行されたデータをアップロードするか否かを判定する。バッチ処理制御部106は、当該判定の結果、アップロードすると判定した場合、当該データを情報公開装置20にアップロードするためのバッチ処理を開始し、アップロードすると判定されたデータを送信部107に送信する。
送信部107は、バッチ処理制御部106が制御するバッチ処理に基づき、アップロードすると判定されたデータをバッチ処理制御部106から受信する。また、送信部107は、受信した各データを情報公開装置20にアップロードするアップロード処理を実行する。送信部107は、アップロード処理が実行された場合、当該アップロード処理に関するバッチ処理ログ生成指示をログ生成部108に送信する。送信部107は、バッチ処理IDをバッチ処理制御部106から受信し、当該バッチ処理IDをバッチ処理ログ生成指示と共にログ生成部108に送信してもよい。
ログ生成部108は、データ更新部105から監査ログ生成指示を受信すると、操作対象データDB101から監査ログ生成対象のデータを読出し、監査ログ100bを生成する。また、ログ生成部108は、制限リスト更新部110から監査ログ生成指示を受信すると、制限リストDB109から監査ログ生成対象の制限リスト300aを読出し、監査ログ300bを生成する。また、ログ生成部108は、送信部107からバッチ処理ログ生成指示を受信すると、バッチ処理ログ100cを生成する。
具体的には、ログ生成部108は、データ更新部105から監査ログ生成指示を受信すると、第1のログを生成する。第1のログは、データ更新部105により実行されるデータ更新処理に応じて、当該データ更新処理が実行された時刻を示す第1の時刻と、読出した当該データ内の操作対象識別子、及び第1の利用者識別子を含む。ログ生成部108は、生成した第1のログを監査ログDB102に記憶する。
また、ログ生成部108は、制限リスト更新部110から監査ログ生成指示を受信すると、第4のログを生成する。第4のログは、制限リスト更新部110により実行される制限リスト更新処理に応じて、当該制限リスト更新処理で使用された制限リスト300a内の制限情報と、更新履歴情報と、第3の利用者識別子とを含む。ログ生成部108は、生成した第4のログを監査ログDB102に記憶する。
また、ログ生成部108は、送信部107からバッチ処理ログ生成指示を受信すると、第2のログを生成する。第2のログは、アップロード処理に応じて、データに対して当該アップロード処理が実行された時刻を示す第2の時刻と、当該データに対応する直近の第1の時刻及び操作対象識別子とを含み、当該データに対して適用された制限リスト300a内の更新履歴情報を更に含む。ログ生成部108は、生成した第2のログをバッチ処理ログDB103に記憶する。
また、ログ生成部108は、受信部104からデータの受信処理に係る監査ログ生成指示を受信すると、当該データを受信した時刻と、当該データ内の操作対象識別子、及び第1の利用者識別子とを含む監査ログ100bを生成してもよい。なお、ログ生成部108は、当該データ内の制限情報を更に含む監査ログ200bを生成してもよい。
利用者端末50は、第1の利用者の操作によってデータ更新処理に係る指示を入力される端末であり、情報アップロード装置10にデータ更新処理を実行させるための指示を送信する。
また、利用者端末50は、第2の利用者の操作によって制限リスト更新処理に係る指示を入力される端末であり、情報アップロード装置10に制限リスト更新処理を実行させるための指示を送信する。
次に、以上のように構成されたログ生成システム1の動作の一例について図24に示すシーケンス図を用いて説明する。なお、以下の説明では、ログ生成システム1は、図10に示す如き、複数の情報更新装置70が情報アップロード装置10に接続される場合について述べ、第1の実施形態と同様の動作となる部分については、説明を省略する。
なお、当該動作説明におけるアップロードするか否かの判定は、時刻制限情報で定められた期間内に実行されるものとする。また、制限リスト300aは、全てのデータについて適用されるものとし、5回目の制限リスト更新処理が実行されるものとする。
始めに、総合病院Aの情報更新装置70及び診療所Bの情報更新装置70は、時刻T100−T401において、それぞれデータを生成又は更新し、情報アップロード装置10に送信する。情報アップロード装置10は、当該送信された各データを時刻T201,T402−T403において受信する。なお、時刻T100,T200−T201,T300−T301,T400−T403に係る動作については、第1の実施形態と同様の動作であるため、説明を省略する。
次に、第3の利用者である管理者Qは、利用者端末50を操作し、第1の利用者識別子“admin_01”で情報アップロード装置10にログインする。
利用者端末50は、管理者Qの操作により入力された指示を受け付け、制限リスト300a内の制限情報を更新する指示を情報アップロード装置10に送信する。受信部104は、当該制限リスト更新に係る指示を受信し、制限リスト更新部110に送信する。制限リスト更新部110は、当該制限リスト更新に係る指示を受信し、第3の利用者の操作によって入力された指示に基づき、時刻T520に制限リストDB109に記憶された制限リスト300a内の制限情報を更新し、制限リスト更新処理を実行する。
具体的には、制限リスト更新部110は、当該制限リスト300aの制限情報内の時刻制限情報に“2015/01/01~2015/12/31”を設定し、アクセス制限情報に“情報要求装置40:許可”を設定する。また、制限リスト更新部110は、当該制限リスト300aの更新履歴情報内の更新時刻に“T520”を設定し、更新番号に“5”を設定する。また、制限リスト更新部110は、当該制限リスト更新処理に係る指示を入力した第3の利用者を識別する第3の利用者識別子“admin_01”を設定する。
制限リスト更新部110は、制限リスト更新処理に基づいて生成された制限リスト300aを制限リストDB109に記憶する。制限リスト更新部110は、当該制限リスト更新処理に係る監査ログ生成指示をログ生成部108に送信する。
ログ生成部108は、制限リスト更新処理に係る監査ログ生成指示を受信する。ログ生成部108は、当該指示に応じて、更新された制限リスト300a内の制限情報と、更新履歴情報と、第3の利用者識別子とを含む第4のログを生成する。具体的には、ログ生成部108は、図25(A)に示すように、更新履歴情報の更新時刻に“T520”、更新番号に“5”、利用者識別子に“admin_01”、制限情報の時刻制限情報に“2015/01/01~2015/12/31”、アクセス制限情報に“情報要求装置40:許可”と記載された監査ログ300cを生成する。
バッチ処理制御部106は、データ更新部704によってデータ更新処理が実行された各データを操作対象データDB101から読出す。また、バッチ処理制御部106は、制限リスト更新部110によって制限リスト更新処理が実行された制限リスト300aを制限リストDB109から読出す。バッチ処理制御部106は、当該制限リスト300aに基づき、データ更新処理又は制限リスト更新処理が実行されたデータをアップロードするか否かを判定する。バッチ処理制御部106は、制限リスト300a内のアクセス制限情報が情報要求装置40に対して“許可”であることに基づき、全てのデータについて、アップロードすると判定する。バッチ処理制御部106は、当該判定の結果、全てのデータに対してバッチ処理制御を開始する。バッチ処理制御部106は、当該バッチ処理にバッチ処理ID“1”を付与し、当該バッチ処理IDを各データと共に送信部107に送信する。
送信部107は、各データを受信し、バッチ処理制御に基づき、当該各データを情報公開装置20にアップロードするアップロード処理を実行する。送信部107は、情報公開装置20の受信部203に各データを、それぞれ時刻T600,T601,T602にそれぞれ送信し、アップロードする。送信部107は、当該アップロード処理に係るバッチ処理ログ生成指示をログ生成部108に送信する。
ログ生成部108は、アップロード処理に係るバッチ処理ログ生成指示を受信する。ログ生成部108は、各データに対して実行されたアップロード処理に応じて、第2のログを生成する。第2のログは、アップロード処理が実行された時刻を示す第2の時刻と、当該各データにそれぞれ対応する直近の第1の時刻及び操作対象識別子とを含み、制限リスト300a内の更新履歴情報を更に含む。具体的には、ログ生成部108は、図25(B)に示すように、バッチ処理IDに“1”、第2の時刻に“T600”,“T601”,“T602”、操作対象識別子に“subj_91”,“subj_92”,“subj_93”、直近の第1の時刻であるデータ更新時刻に“T100”,“T300”,“T301”、更新履歴情報の更新時刻に“T520”、更新番号に“5”と記載されたバッチ処理ログ300dを生成する。
情報公開装置20の受信部203は、情報アップロード装置10からアップロードされたデータを受信し、操作対象データDB201に記憶する。
次に、第2の利用者である医師Rは、利用者端末60を操作し、情報要求装置40に対する指示を入力し、情報公開装置20内のデータに対する通信要求100dを送信し、通信応答100eを受信する(時刻T700−T703)。なお、時刻T700−T703に係る動作については、第1の実施形態と同様の動作であるため、説明を省略する。
以上詳述したように、第3の実施形態では、情報アップロード装置10は、第3の利用者の操作によって入力された指示に基づき、外部ネットワークとの通信を制限する制限情報、及び前記制限情報に対応する更新番号又は更新時刻を含む更新履歴情報と、第3の利用者を識別する第3の利用者識別子とを含む制限リストを記憶する。上記記憶された制限リスト内の制限情報及び更新履歴情報を更新する制限リスト更新処理を実行する。上記実行された制限リスト更新処理に応じて、上記記憶された制限リスト内の制限情報と、更新履歴情報と、第3の利用者識別子とを含む第4のログを生成する。上記記憶された制限リストに基づき、データ更新処理又は制限リスト更新処理が実行されたデータをアップロードするか否かを判定し、アップロードすると判定した場合、上記アップロード処理を実行する。上記第2のログは、記憶された制限リスト内の更新履歴情報を更に含むようにしている。このため、アップロードされたデータに対して、制限リストを適用する場合、当該制限リストが、いつ、誰が、どのような公開範囲及び操作制限を設定した、どのバージョンの制限リストか、を更にトレースするログを生成することができる。
したがって、第3の実施形態によれば、第1の実施形態の効果に加え、データのアップロード処理を制限リストに応じて制限できると共に、当該制限リストに関して実行された各々の処理をトレースできるログを生成することができる。
[第4の実施形態]
図26は、第4の実施形態に係る情報アップロード装置10の機能構成の一例を示すブロック図である。以下では、図2と同一部分には同一符号を付してその詳しい説明を省略し、第1の実施形態と異なる部分について主に述べる。
第4の実施形態は、第1の実施形態の変形例であり、アップロード対象データをアップロード処理が実行される前にリストアップしておき、当該リストアップされたアップロード対象データに対してアップロード処理を実行し得る構成となっている。具体的には、このログ生成システム1の機能構成は、図9に示す機能構成と同様であるが、情報アップロード装置10は、第1の実施形態に加え、アップロード対象リストDB111を更に備える。なお、第4の実施形態は、第1の実施形態に限らず、第2又は第3の実施形態の変形例としてもよい。
ここで、アップロード対象リストDB111は、各部から読出し/書込み可能なメモリであり、図27に示す如きアップロード対象リスト400aを記憶する。
アップロード対象リスト400aは、次回のアップロード処理が実行されるデータの操作対象識別子を含む。アップロード対象リスト400aは、アップロード対象の操作対象識別子に加え、次回アップロード時刻を更に含んでもよい。
受信部104は、利用者の操作によって利用者端末50に入力されたデータへのデータ更新処理に関する指示を受信し、当該データ更新処理に関する指示をデータ更新部105に送信する。
また、受信部104は、情報更新装置70の送信部705からデータ更新処理が実行されたデータを受信し、操作対象データDB101に記憶すると共に、当該データの操作対象識別子をアップロード対象リストDB111に記憶する。受信部104は、当該データの受信処理に係る監査ログ生成指示をログ生成部108に送信してもよい。
データ更新部105は、データへのデータ更新処理に関する指示を受信部104から受信し、当該データを操作対象データDB101から読出し、当該指示に基づき、データ更新処理を実行する。データ更新部105は、データ更新処理を実行したデータを、操作対象データDB101に記憶すると共に、当該データの操作対象識別子をアップロード対象リストDB111に記憶する。また、データ更新部105は、データ更新処理が実行された場合、データ更新処理に係る監査ログ生成指示をログ生成部108に送信する。
バッチ処理制御部106は、アップロード対象リストDB111に記憶されたアップロード対象リスト400aを読出し、アップロード対象の操作対象識別子を抽出する。バッチ処理制御部106は、データ更新処理を実行したデータであって、アップロード対象リスト400a内の操作対象識別子で識別される当該データに対して次回のアップロード処理を実行するように、送信部107を制御する。また、バッチ処理制御部106は、次回のアップロード実行時刻をアップロード対象リスト400aに設定してもよく、当該アップロード時刻を設定したアップロード対象リスト400aをアップロード対象リストDB111に記憶してもよい。
次に、以上のように構成されたログ生成システム1の動作の一例について図12に示すシーケンス図を用いて説明する。なお、以下の説明では、第1の実施形態と同様の動作となる部分については、説明を省略する。
始めに、総合病院Aの情報更新装置70及び診療所Bの情報更新装置70は、時刻T100−T401において、それぞれデータを生成又は更新し、情報アップロード装置10に送信する。なお、時刻T100,T200,T300−T301,T400−T401に係る動作については、第1の実施形態と同様の動作であるため、説明を省略する。
なお、次回アップロード時刻は、T600が予め設定されているものとする。
情報アップロード装置10の受信部104は、当該送信された各データを時刻T201,T402−T403に受信し、操作対象データDB101に記憶すると共に、受信した各データの操作対象識別子をアップロード対象リストDB111に記憶する。受信部104は、各データの受信処理に係る監査ログ生成指示をログ生成部108に送信する。
ログ生成部108は、上述の通り、当該受信処理に係る監査ログ100bを生成する。
次に、第1の利用者である管理者Qは、利用者端末50を操作し、第1の利用者識別子“admin_01”で情報アップロード装置10にログインする。
利用者端末50は、管理者Qの操作により入力された指示を受け付け、操作対象識別子“subj_93”で識別される操作対象に関するデータ更新処理に係る指示を情報アップロード装置10に送信する。受信部104は、当該指示を受信し、データ更新部105に送信する。データ更新部105は、当該指示を受信し、第1の利用者の操作によって入力された指示に基づき、時刻T500にデータ更新処理を実行する。
データ更新部105は、データ更新処理に基づいて生成された、利用者識別子“admin_01”による操作対象識別子“subj_93”に関するデータを操作対象データDB101に記憶すると共に、当該データの操作対象識別子をアップロード対象リストDB111に記憶する。データ更新部105は、当該データ更新処理に係る監査ログ生成指示をログ生成部108に送信する。
ログ生成部108は、上述の通り、当該データ更新処理に係る監査ログ100bを生成する。
バッチ処理制御部106は、時刻T600に、アップロード対象リスト400a内の操作対象識別子で識別されるデータに対してアップロード処理を実行するように、送信部107を制御する。
以下の時刻T700−T703における各動作については、第1の実施形態と同様の動作であるため、説明を省略する。
以上詳述したように、第4の実施形態では、情報アップロード装置10は、次回のアップロード処理が実行されるデータの操作対象識別子を含むアップロード対象リスト400aを記憶する。上記記憶されたアップロード対象リスト内の操作対象識別子で識別されるデータに対してアップロード処理が実行されるようにしている。これにより、バッチ処理の処理性能を向上することができる。また、ログに含める事項を増やさずに実施できるので、ログ生成の負荷が増大せず、もって、監査ログ及びバッチ処理ログの出力性能が低下することを防止できる。
したがって、第4の実施形態によれば、アップロード対象リストに応じてアップロード処理を実行する構成により、第1の実施形態の効果に加え、よりデータに対して実行される処理をトレースしやすくすることが可能となる。
なお、第4の実施形態は、第1の実施形態に限らず、第2又は第3の実施形態の変形例としてもよい。この場合も同様に、第2又は第3の実施形態の効果に加え、よりデータに対して実行される処理をトレースしやすくすることが可能となる。
[第5の実施形態]
第5の実施形態は、第1の実施形態の変形例であり、外部ネットワークからどのような経路でデータアクセスがあったかを事後検証し得る構成となっている。以下では、第1の実施形態と同一部分には同一符号を付してその詳しい説明を省略し、第1の実施形態と異なる部分について主に述べる。但し、第5の実施形態は、第1の実施形態に限らず、第2〜第4の各実施形態の変形例としてもよい。
ログ生成部206,406は、応答処理が他のトランザクション処理と連携して実行される場合、応答処理を識別する第1のトランザクション識別子と、当該他のトランザクション処理を識別する第2のトランザクション識別子とを更に含む第3のログを生成する。
次に、以上のように構成されたログ生成システム1の動作の一例について図12に示すシーケンス図を用いて説明する。なお、以下の説明では、第1の実施形態と同様の動作となる部分については、説明を省略する。
情報アップロード装置10は、データを情報公開装置20にアップロードする。
なお、時刻T100,T200−T201,T300−T301,T400−T403,T500−T502,T600−T602に係る動作については、第1の実施形態と同様の動作であるため、説明を省略する。
次に、第2の利用者である医師Rは、利用者端末60を操作し、第2の利用者識別子“usr_11”で情報要求装置40にログインする。
利用者端末60は、医師Rの操作により入力された指示を受け付け、操作対象識別子“subj_91”,“subj_92”,“subj_93”で識別される操作対象に関するデータの取得を要求する指示を情報要求装置40に送信する。なお、本実施例における当該データ要求に係る指示は、各操作対象識別子で識別される操作対象に関するデータを同時に取得するものとする。なお、当該指示に係る利用者端末80と情報要求装置40との通信は、トランザクション識別子“access_from_R”で識別されるトランザクション処理として情報要求装置40に送信される。 受信部403は、当該データ要求に係る指示を受信し、要求生成部404に送信する。要求生成部404は、当該データ要求に係る指示を受信し、利用者識別子“usr_11”、操作対象識別子“subj_91”,“subj_92”,“subj_93”、操作種別に“データ取得”を含む通信要求100dを生成し、当該生成した通信要求100dを送信部405に送信する。
送信部405は、受信した通信要求100dを、ネットワーク30を介して情報公開装置20に時刻T700に送信する。なお、当該通信要求100dに係る情報要求装置40と情報公開装置20との通信は、トランザクション識別子“access_from_GW”で識別されるトランザクション処理として実行される。また、当該トランザクション処理は、トランザクション識別子“access_from_R”で識別される他のトランザクション処理と連携して実行される。送信部405は、当該送信処理に係る監査ログ生成の指示をログ生成部406に送信する。
情報公開装置20の受信部203は、通信要求100dを時刻T701に受信し、当該通信要求100dを応答処理部204に送信する。受信部203は、当該受信処理に係る監査ログ生成指示をログ生成部206に送信する。
応答処理部204は、受信した通信要求100dに基づき、応答処理を実行する。応答処理部204は、操作対象データDB201から通信要求100d内の操作対象識別子“subj_91”,“subj_92”,“subj_93”に対応するデータを読出す。応答処理部204は、当該読出したデータに基づき、利用者識別子“usr_11”、操作対象識別子“subj_91”,“subj_92”,“subj_93”、操作種別に“データ取得”、及び当該各データを含む通信応答100eを生成し、当該通信応答100eを送信部205に送信する。
送信部205は、受信した通信応答100eを、ネットワーク30を介して情報要求装置40に時刻T702に送信する。送信部205は、当該送信処理に係る監査ログ生成指示をログ生成部206に送信する。
ログ生成部206は、通信要求100dの受信処理に係る監査ログ生成指示、及び通信応答100eの送信処理に係る監査ログ生成指示を受信する。ログ生成部206は、各データに対して実行された応答処理に応じて、当該応答処理が実行された時刻を示す第3の時刻と、当該通信要求100d及び通信応答100e内の第2の利用者識別子及び操作対象識別子とを含む第3のログを生成する。また、第3のログは、当該応答処理が他のトランザクション処理と連携して実行される場合、当該応答処理を識別する第1のトランザクション識別子と、他のトランザクション処理を識別する第2のトランザクション識別子とを更に含む。具体的には、ログ生成部206は、図28(A)に示すように、第3の時刻に“T701”,“T702”、第2の利用者識別子に“usr_11”、操作対象識別子に“subj_91”,“subj_92”,“subj_93”、操作種別に“通信要求受信”,“通信応答送信”、トランザクション識別子に“access_from_R”,“access_from_GW”と記載された監査ログ500aを生成する。
受信部403は、情報公開装置20から通信応答100eを時刻T703に受信し、送信部405に送信する。受信部403は、当該受信処理に係る監査ログ生成指示をログ生成部406に送信する。
ログ生成部406は、通信要求100dの送信処理に係る監査ログ生成指示、及び通信応答100eの受信処理に係る監査ログ生成指示を受信する。ログ生成部406は、通信要求100dの送信処理及び通信応答100eの受信処理に応じて、当該各処理が実行された時刻を示す時刻と、当該通信要求100d及び通信応答100e内の第2の利用者識別子及び操作対象識別子とを含むログを生成する。具体的には、ログ生成部406は、図28(B)に示すように、各処理が実行された時刻を示す時刻に“T700”,“T703”、第2の利用者識別子に“usr_11”、操作対象識別子に“subj_91”,“subj_92”,“subj_93”、操作種別に“通信要求送信”,“通信応答受信”、トランザクション識別子に“access_from_R”,“access_from_GW”と記載された監査ログ500bを生成する。
送信部405は、受信した通信応答100e内のデータを利用者端末60に送信する。
以上詳述したように、第5の実施形態では、情報公開装置20は、応答処理が他のトランザクション処理と連携して実行される場合、上記応答処理を識別する第1のトランザクション識別子と、他のトランザクション処理を識別する第2のトランザクション識別子とを更に含む第3のログを生成するようにしている。このため、他装置からどのような経路でデータアクセスがあったかを事後検証することができる。
このように、第5の実施形態によれば、トランザクション識別子を含むログを生成する構成により、第1の実施形態の効果に加え、データに対して実行される処理を、より詳細にトレースできるログを生成することが可能となる。
なお、第5の実施形態は、第1の実施形態に限らず、第2〜第4の各実施形態の変形例としてもよい。この場合も同様に、第2〜第4の各実施形態の効果に加え、よりデータに対して実行される処理をトレースしやすくすることが可能となる。
[第6の実施形態]
第6の実施形態は、第1の実施形態の変形例であり、外部ネットワークからのデータへの通信が正当なものであったかを事後検証し得る構成となっている。以下では、第1の実施形態と同一部分には同一符号を付してその詳しい説明を省略し、第1の実施形態と異なる部分について主に述べる。但し、第6の実施形態は、第1の実施形態に限らず、第2〜第5の各実施形態の変形例としてもよい。
応答処理部204は、通信要求100dを受信部203から受信し、当該受信した通信要求100dに基づき、応答処理を実行するか否かを判定し、判定の結果応答処理を実行すると判定された場合、最終的に応答処理を実行する。応答処理部204は、通信要求100d内の操作対象識別子に基づき、当該操作対象識別子に該当するデータを操作対象データDB201から読み出し、通信応答100eを生成し、送信部205に送信する。応答処理部204は、該当するデータが操作対象データDB201内に存在しない場合、判定の結果として、当該データの送信が“不許可”である操作制御結果を、送信部205に送信する。
送信部205は、通信応答100e及び操作制御結果を応答処理部204から受信し、ネットワーク30を介して情報要求装置40に送信する。また、送信部205は、当該通信応答100eの送信処理に応じて、監査ログ生成指示と共に、通信応答100e及び操作制御結果をログ生成部206に送信する。
ログ生成部206は、受信部203及び送信部205から監査ログ生成指示を受信すると、監査ログ100bを生成する。
具体的には、ログ生成部206は、通信要求100dの受信に係る監査ログ生成指示、及び通信要求100dを受信部203から受信すると、当該通信要求100dを受信した時刻と、当該通信要求100d内の第2の利用者識別子、及び操作対象識別子とを含む監査ログ100bを生成する。
また、ログ生成部206は、通信応答100eの送信処理に係る監査ログ生成指示、通信応答100e、及び操作制御結果を送信部205から受信すると、当該通信応答100eが実行された時刻と、当該通信応答100e内の第2の利用者識別子、及び操作対象識別子と、判定の結果としての操作制御結果を含む第3のログを生成する。
受信部403は、通信応答100e及び操作制御結果を情報公開装置20の送信部205から受信し、当該通信応答100eを送信部405に送信する。受信部403は、当該通信応答100e及び操作制御結果の受信処理に応じて、監査ログ生成指示と共に、通信応答100e及び操作制御結果をログ生成部206に送信する。
ログ生成部406は、受信部403及び送信部405から監査ログ生成指示を受信すると、監査ログ100bを生成する。
具体的には、ログ生成部406は、通信要求100dの送信処理に係る監査ログ生成指示と共に、通信要求100dを送信部405から受信すると、当該通信要求100dを送信した時刻と、当該通信要求100d内の操作対象識別子、及び第2の利用者識別子とを含むログを生成してもよい。
また、ログ生成部406は、通信応答100eの受信処理に係る監査ログ生成指示、通信応答100e、及び操作制御結果を受信部403から受信すると、当該通信応答100eを受信した時刻と、当該通信応答100e内の第2の利用者識別子、及び操作対象識別子とを含み、操作制御結果を更に含むログを生成してもよい。
次に、以上のように構成されたログ生成システム1の動作の一例について図12に示すシーケンス図を用いて説明する。なお、以下の説明では、第1の実施形態と同様の動作となる部分については、説明を省略する。
始めに、情報アップロード装置10は、データを情報公開装置20にアップロードする。なお、時刻T100,T200−T201,T300−T301,T400−T403,T500−T502,T600−T602に係る動作については、第1の実施形態と同様の動作であるため、説明を省略する。
次に、第2の利用者である医師Rは、利用者端末60を操作し、第2の利用者識別子“usr_11”で情報要求装置40にログインする。
利用者端末60は、医師Rの操作により入力された指示を受け付け、操作対象識別子“subj_91”,“subj_92”,“subj_93”で識別される操作対象に関するデータの取得を要求する指示を情報要求装置40に送信する。なお、本実施例における当該データ要求に係る指示は、各操作対象識別子で識別される操作対象に関するデータを同時に取得するものとする。
受信部403は、当該データ要求に係る指示を受信し、要求生成部404に送信する。要求生成部404は、当該データ要求に係る指示を受信し、利用者識別子“usr_11”、操作対象識別子“subj_91”,“subj_92”,“subj_93”,“subj_94”、操作種別に“データ取得”を含む通信要求100dを生成し、当該生成した通信要求100dを送信部405に送信する。
送信部405は、受信した通信要求100dを、情報公開装置20に時刻T700に送信する。送信部405は、当該送信処理に係る監査ログ生成指示をログ生成部406に送信する。
情報公開装置20の受信部203は、通信要求100dを時刻T701に受信し、当該通信要求100dを応答処理部204に送信する。受信部203は、当該受信処理に係る監査ログ生成指示をログ生成部206に送信する。
応答処理部204は、受信した通信要求100dに基づき、応答処理を実行するか否かを判定し、判定の結果、応答処理を実行すると判定された場合、最終的に応答処理を実行する。応答処理部204は、操作対象データDB201から通信要求100d内の操作対象識別子を検索し、“subj_91”,“subj_92”,“subj_93”に対応するデータを読出す。応答処理部204は、操作対象識別子“subj_94”に対応するデータが存在しないため、当該データに対する応答処理を実行しないと判定し、当該データに対する判定の結果が “不許可”である操作制御結果を生成する。応答処理部204は、当該読出したデータに基づき、利用者識別子“usr_11”、操作対象識別子“subj_91”,“subj_92”,“subj_93”、操作種別に“データ取得”、及び当該各データを含む通信応答100eを生成し、当該通信応答100e及び操作制御結果を送信部205に送信する。
送信部205は、受信した通信応答100eを、情報要求装置40に時刻T702に送信する。送信部205は、当該送信処理に係る監査ログ生成指示を、通信応答100e及び操作制御結果と共にログ生成部206に送信する。
ログ生成部206は、通信要求100dの受信処理に係る監査ログ生成指示、及び通信応答100eの送信処理に係る監査ログ生成指示を受信する。ログ生成部206は、各データに対して実行された応答処理に応じて、当該応答処理が実行された時刻を示す第3の時刻と、当該通信要求100d及び通信応答100e内の第2の利用者識別子及び操作対象識別子とを含み、操作制御結果を更に含む第3のログを生成する。具体的には、ログ生成部206は、図29(A)に示すように、第3の時刻に“T701”,“T702”、第2の利用者識別子に“usr_11”、操作対象識別子に“subj_91”,“subj_92”,“subj_93”,“subj_94”、操作種別に“通信要求受信”,“通信応答送信”、操作制御結果に“一部許可”と記載された監査ログ500aを生成する。なお、ログ生成部206は、操作制御結果として、“subj_91:許可、subj_92:許可、subj_93:許可、subj_94:不許可、”と更に記載された監査ログ600aを生成してもよい。
受信部403は、情報公開装置20から通信応答100e及び操作制御結果を時刻T703に受信し、送信部405に送信する。受信部403は、当該受信処理に係る監査ログ生成指示をログ生成部406に送信する。
ログ生成部406は、通信要求100dの送信処理に係る監査ログ生成指示、及び通信応答100eの受信処理に係る監査ログ生成指示を受信する。ログ生成部406は、通信要求100dの送信処理及び通信応答100eの受信処理に応じて、当該各処理が実行された時刻を示す時刻と、当該通信要求100d及び通信応答100e内の第2の利用者識別子及び操作対象識別子と、操作制御結果を含むログを生成する。具体的には、ログ生成部406は、図29(B)に示すように、各処理が実行された時刻を示す時刻に“T700”,“T703”、第2の利用者識別子に“usr_11”、操作対象識別子に“subj_91”,“subj_92”,“subj_93”,“subj_94”、操作種別に“通信要求送信”,“通信応答受信”、操作制御結果に“一部許可”と記載された監査ログ600bを生成する。なお、ログ生成部406は、操作制御結果として、“subj_91:許可、subj_92:許可、subj_93:許可、subj_94:不許可、”と更に記載された監査ログ600bを生成してもよい。
送信部405は、受信した通信応答100e内のデータを利用者端末60に送信する。
以上詳述したように、第6の実施形態では、情報公開装置20は、受信した通信要求100dに基づき応答処理を実行するか否かを判定し、上記判定の結果、応答処理を実行すると判定された場合、最終的に上記応答処理を実行する。上記判定の結果を更に含む第3のログを生成するようにしている。このため、外部ネットワークからのデータへの通信が正当なものであったかを事後検証することができる。
補足すると、第6の実施形態によれば、応答処理を実行すると判定した場合の判定結果を含むログを生成する構成により、第1の実施形態の効果に加え、データに対して実行される処理を、より詳細にトレースできるログを生成することが可能となる。
なお、第6の実施形態は、第1の実施形態に限らず、第2〜第5の各実施形態の変形例としてもよい。この場合も同様に、第2〜第5の各実施形態の効果に加え、データに対して実行される処理を、より詳細にトレースできるログを生成することが可能となる。
その他、ログ生成システムの構成や機能、通信手段、処理手順と処理内容などについても、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
1…ログ生成システム、10…情報アップロード装置、20…情報公開装置、30…ネットワーク、40…情報要求装置、50,60,80…利用者端末、70…情報更新装置、101,201,401,701…操作対象データDB、102,202,402,702…監査ログDB、103…バッチ処理ログDB、104,203,403,703…受信部、105,704…データ更新部、106…バッチ処理制御部、107,205,405,705…送信部、108,206,406,706…ログ生成部、109…制限リストDB、110…制限リスト更新部、111…アップロード対象リストDB、100a,200a…操作対象データ、100b,100f,100g,100h,100j,100k,200b,200c,200e,200f,300b,300c,500a,500b,600a,600b…監査ログ、100c,100i,200d,300d…バッチ処理ログ、100d…通信要求、100e…通信応答、300a…制限リスト、400a…アップロード対象リスト。

Claims (8)

  1. 第1のサーバ装置から第2のサーバ装置にアップロード処理され、外部ネットワークからの通信要求に対して応答処理されるデータに対して実行された各々の処理をトレースするためのログを生成する、前記各サーバ装置を備えるログ生成システムであって、
    前記第1のサーバ装置は、
    第1の利用者の操作によって入力された指示に基づき、前記データへのデータ更新処理を実行するデータ更新手段と、
    前記データを識別する操作対象識別子と、前記第1の利用者を識別する第1の利用者識別子とを記憶する第1の記憶手段と、
    前記データに対して実行された前記データ更新処理に応じて、前記データ更新処理が実行された時刻を示す第1の時刻と、前記記憶された操作対象識別子、及び前記第1の利用者識別子とを含む第1のログを生成する第1のログ生成手段と、
    前記データ更新処理が実行されたデータを前記第2のサーバ装置にアップロードするアップロード処理を実行するアップロード手段と、
    前記実行された前記アップロード処理に応じて、前記データに対して前記アップロード処理が実行された時刻を示す第2の時刻と、前記データに対応する直近の前記第1の時刻及び前記操作対象識別子とを含む第2のログを生成する第2のログ生成手段と
    を備え、
    前記第2のサーバ装置は、
    前記アップロード処理が実行された前記データを記憶する第2の記憶手段と、
    第2の利用者の操作によって入力された指示に基づき、前記第2の利用者を識別する第2の利用者識別子と、前記データの操作対象識別子とを含む通信要求を受信する受信手段と、
    前記受信した通信要求に基づき、通信応答を送信する応答処理を実行する応答手段と、
    前記実行された応答処理に応じて、前記応答処理が実行された時刻を示す第3の時刻と、前記通信要求及び前記通信応答内の前記第2の利用者識別子、及び前記操作対象識別子とを含む第3のログを生成する第3のログ生成手段と
    を備えることを特徴とするログ生成システム。
  2. 前記データは、前記外部ネットワークとの通信を制限する制限情報を含み、
    前記データ更新手段は、前記第1の利用者の操作により前記制限情報を更に設定し、最終的に前記データへのデータ更新処理を実行し、
    前記第1のログ生成手段は、前記データ内の制限情報を更に含む第1のログを生成し、
    前記アップロード手段は、前記制限情報に基づき、前記データ更新処理が実行されたデータをアップロードするか否かを判定し、アップロードすると判定した場合、前記アップロード処理を実行する
    ことを特徴とする請求項1に記載のログ生成システム。
  3. 前記第1のサーバ装置は、
    第3の利用者の操作によって入力された指示に基づき、前記外部ネットワークとの通信を制限する制限情報、及び前記制限情報に対応する更新番号又は更新時刻を含む更新履歴情報と、前記第3の利用者を識別する第3の利用者識別子とを含む制限リストを記憶する第3の記憶手段と、
    前記記憶された制限リスト内の制限情報及び更新履歴情報を更新する制限リスト更新処理を実行する制限リスト更新手段と、
    前記実行された制限リスト更新処理に応じて、前記記憶された前記制限リスト内の制限情報と、更新履歴情報と、前記第3の利用者識別子とを含む第4のログを生成する第4のログ生成手段と
    を更に備え、
    前記アップロード手段は、前記記憶された制限リストに基づき、前記データ更新処理又は前記制限リスト更新処理が実行されたデータをアップロードするか否かを判定し、アップロードすると判定した場合、前記アップロード処理を実行し、
    前記第2のログ生成手段は、前記記憶された制限リスト内の更新履歴情報を更に含む第2のログを生成する
    ことを特徴とする請求項1に記載のログ生成システム。
  4. 前記第1のサーバ装置は、
    前記データ更新処理が実行されたデータであって、次回のアップロード処理が実行される前記データの操作対象識別子を含むアップロード対象リストを記憶する第4の記憶手段を更に備え、
    前記アップロード手段は、前記記憶されたアップロード対象リスト内の操作対象識別子で識別されるデータに対して前記次回のアップロード処理を実行する
    ことを特徴とする請求項1乃至請求項3のいずれか1項に記載のログ生成システム。
  5. 前記第3のログ生成手段は、前記応答処理が他のトランザクション処理と連携して実行される場合、前記応答処理を識別する第1のトランザクション識別子と、前記他のトランザクション処理を識別する第2のトランザクション識別子とを更に含む第3のログを生成することを特徴とする請求項1乃至請求項4のいずれか1項に記載のログ生成システム。
  6. 前記第2のサーバ装置は、
    前記応答手段は、前記受信した通信要求に基づき前記応答処理を実行するか否かを判定し、前記判定の結果、前記応答処理を実行すると判定された場合、最終的に前記応答処理を実行し、
    前記第3のログ生成手段は、前記判定の結果を更に含む第3のログを生成することを特徴とする請求項2乃至請求項5のいずれか1項に記載のログ生成システム。
  7. 第1のサーバ装置から第2のサーバ装置にアップロード処理され、外部ネットワークからの通信要求に対して応答処理されるデータに対して実行された各々の処理をトレースするための、前記各サーバ装置が実行するログ生成方法であって、
    第1の利用者の操作によって入力された指示に基づき、前記データへのデータ更新処理を実行するデータ更新工程と、
    前記データを識別する操作対象識別子と、前記第1の利用者を識別する第1の利用者識別子とを記憶する第1の記憶工程と、
    前記データに対して実行された前記データ更新処理に応じて、前記データ更新処理が実行された時刻を示す第1の時刻と、前記記憶された操作対象識別子、及び前記第1の利用者識別子とを含む第1のログを生成する第1のログ生成工程と、
    前記データ更新処理が実行されたデータを前記第2のサーバ装置にアップロードするアップロード処理を実行するアップロード工程と、
    前記実行された前記アップロード処理に応じて、前記データに対して前記アップロード処理が実行された時刻を示す第2の時刻と、前記データに対応する直近の前記第1の時刻及び前記操作対象識別子とを含む第2のログを生成する第2のログ生成工程と、
    前記アップロード処理が実行された前記データを記憶する第2の記憶工程と、
    第2の利用者の操作によって入力された指示に基づき、前記第2の利用者を識別する第2の利用者識別子と、前記データの操作対象識別子とを含む通信要求を受信する受信工程と、
    前記受信した通信要求に基づき、通信応答を送信する応答処理を実行する応答工程と、
    前記実行された応答処理に応じて、前記応答処理が実行された時刻を示す第3の時刻と、前記通信要求及び前記通信応答内の前記第2の利用者識別子、及び前記操作対象識別子とを含む第3のログを生成する第3のログ生成工程と
    を備えることを特徴とするログ生成方法。
  8. 第1のサーバ装置から第2のサーバ装置にアップロード処理され、外部ネットワークからの通信要求に対して応答処理されるデータに対して実行された各々の処理をトレースするためのログを生成する、前記各サーバ装置に個別に用いられるログ生成プログラムであって、
    前記第1のサーバ装置を、
    第1の利用者の操作によって入力された指示に基づき、前記データへのデータ更新処理を実行するデータ更新手段、
    前記データを識別する操作対象識別子と、前記第1の利用者を識別する第1の利用者識別子とを記憶する第1の記憶手段、
    前記データに対して実行された前記データ更新処理に応じて、前記データ更新処理が実行された時刻を示す第1の時刻と、前記記憶された操作対象識別子、及び前記第1の利用者識別子とを含む第1のログを生成する第1のログ生成手段、
    前記データ更新処理が実行されたデータを前記第2のサーバ装置にアップロードするアップロード処理を実行するアップロード手段、
    前記実行された前記アップロード処理に応じて、前記データに対して前記アップロード処理が実行された時刻を示す第2の時刻と、前記データに対応する直近の前記第1の時刻及び前記操作対象識別子とを含む第2のログを生成する第2のログ生成手段
    として機能させ、
    前記第2のサーバ装置を、
    前記アップロード処理が実行された前記データを記憶する第2の記憶手段、
    第2の利用者の操作によって入力された指示に基づき、前記第2の利用者を識別する第2の利用者識別子と、前記データの操作対象識別子とを含む通信要求を受信する受信手段、
    前記受信した通信要求に基づき、通信応答を送信する応答処理を実行する応答手段、
    前記実行された応答処理に応じて、前記応答処理が実行された時刻を示す第3の時刻と、前記通信要求及び前記通信応答内の前記第2の利用者識別子、及び前記操作対象識別子とを含む第3のログを生成する第3のログ生成手段
    として機能させるためのプログラム。
JP2015033235A 2015-02-23 2015-02-23 ログ生成システム、方法及びプログラム Active JP5976149B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015033235A JP5976149B1 (ja) 2015-02-23 2015-02-23 ログ生成システム、方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015033235A JP5976149B1 (ja) 2015-02-23 2015-02-23 ログ生成システム、方法及びプログラム

Publications (2)

Publication Number Publication Date
JP5976149B1 true JP5976149B1 (ja) 2016-08-23
JP2016157195A JP2016157195A (ja) 2016-09-01

Family

ID=56707085

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015033235A Active JP5976149B1 (ja) 2015-02-23 2015-02-23 ログ生成システム、方法及びプログラム

Country Status (1)

Country Link
JP (1) JP5976149B1 (ja)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4728783B2 (ja) * 2005-11-16 2011-07-20 株式会社東芝 ログ参照システム
JP2010267042A (ja) * 2009-05-14 2010-11-25 Konica Minolta Medical & Graphic Inc 医療データ管理システム
JP4820900B2 (ja) * 2009-11-04 2011-11-24 日本電信電話株式会社 ログ管理方法、管理システム及び管理プログラム
JP2015028772A (ja) * 2013-06-25 2015-02-12 肇 高橋 介護支援システム

Also Published As

Publication number Publication date
JP2016157195A (ja) 2016-09-01

Similar Documents

Publication Publication Date Title
CN103098070B (zh) 用于监视网络服务中数据位置的方法、装置和系统
CN101390084B (zh) 域管理方法、域扩展方法和参考点控制器选择方法
CN108280367A (zh) 数据操作权限的管理方法、装置、计算设备及存储介质
CN109510846A (zh) Api调用系统、方法、装置、电子设备及存储介质
CN103248680B (zh) 一种分享网盘数据的方法及系统
CN106127368B (zh) 用于企业资源管理系统的数据存储方法
CN111445328A (zh) 一种跨链网关交互系统和方法以及供应链数据管理方法
CN110704375B (zh) 文件管理方法、装置、设备及计算机存储介质
CN103262494A (zh) 对基于白名单的在线安全设备供应框架的跨域身份管理
CN111492355B (zh) 用于控制和/或监控装置的方法和控制系统
CN102845043A (zh) 在线安全设备供应框架
CN105099986A (zh) 一种网络游戏游戏数据的共享方法和服务器
CN112835977B (zh) 一种基于区块链的数据库管理方法及系统
CN104580210B (zh) 云平台环境下的防盗链方法、防盗链组件和云平台
JP2011229041A (ja) フィールド通信システムおよびフィールド通信方法
CN110324415B (zh) 一种对等网络的路由实现方法、装置、设备和介质
JP5987021B2 (ja) 分散情報連携システム
CN112788119A (zh) 一种面向以链治链的跨链共识架构及方法
CN111506661B (zh) 一种内容访问管理方法、装置和存储介质
JP5976149B1 (ja) ログ生成システム、方法及びプログラム
CN105763532B (zh) 一种登录虚拟桌面的方法及装置
CN105743922A (zh) 域间通信的方法、装置以及系统
CN105681291A (zh) 一种实现多客户端统一认证方法及系统
US10657139B2 (en) Information processing apparatus and non-transitory computer readable medium for distributed resource management
CN105844171A (zh) 用来进行档案同步控制的方法与装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160630

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160712

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160719

R150 Certificate of patent or registration of utility model

Ref document number: 5976149

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150