[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP5090425B2 - 情報アクセス制御システム及び方法 - Google Patents

情報アクセス制御システム及び方法 Download PDF

Info

Publication number
JP5090425B2
JP5090425B2 JP2009259286A JP2009259286A JP5090425B2 JP 5090425 B2 JP5090425 B2 JP 5090425B2 JP 2009259286 A JP2009259286 A JP 2009259286A JP 2009259286 A JP2009259286 A JP 2009259286A JP 5090425 B2 JP5090425 B2 JP 5090425B2
Authority
JP
Japan
Prior art keywords
user
information
tus
request
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009259286A
Other languages
English (en)
Other versions
JP2011107779A (ja
Inventor
麻美 宮島
亨 中村
浩 大野
知宏 爰川
仁 土川
岳 内藤
裕二 前田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009259286A priority Critical patent/JP5090425B2/ja
Publication of JP2011107779A publication Critical patent/JP2011107779A/ja
Application granted granted Critical
Publication of JP5090425B2 publication Critical patent/JP5090425B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Medical Treatment And Welfare Office Work (AREA)

Description

この発明は、例えば医療機関や保健関連機関、自治体等が保有するデータベースに保存されているユーザ情報を、本人もしくは本人が許可した第三者がアクセスして取得するサービスを実現するための情報アクセス制御システム及び方法に関する。
近年、複数の医療機関・保健関連機関・自治体等が保有する医療や健康に係る情報を、通信ネットワークを介し、相互接続・共有することで統合的医療サービス・健康サービスを目指すEHR(Electronic Health Record)システムが提案されている。
EHRシステムにおいては、個人のプライバシーに関わる医療及び健康関連情報を扱う。プライバシーに関わる情報は、その扱いのミスが個人にとって大きな損害につながる場合があり、その流通と開示は必要最小限度にとどめる必要がある。そのため、従来型の個人情報を扱うシステムにおいては認証技術により本人確認を行い、本人に係る情報は本人のみが参照することを基本としている。
しかし、国民の誰もがEHRを使えるようにするためには、本人に係わる情報を本人しか閲覧できないのでは不十分である。例えば、幼児や高齢者等の場合、本人から権限委譲された代理人が本人の代わりに操作できるようにする必要がある。また、医療健康関連の情報を本人しか閲覧できない状況では、その医療健康関連情報を活用することは困難であり、現代日本で目指されている地域に根ざした統合的医療サービスといったものの実現は難しい。例えば、医師に自身の情報を十分に閲覧してもらい、診断及び指導を受けるなど、他者に情報を閲覧してもらった上でその閲覧者から有益な情報を得ることができない。本人の医療健康関連の情報を活用するためには、情報開示したい相手には、簡単にそして過ちなく開示できるしくみが必要である。
そこで本発明者等は、ユーザごとにその医療健康関連情報の開示条件を規定したアクセス制御ルールを設定して、このアクセス制御ルールに医療健康関連情報の開示を許可した第三者ユーザの識別子を登録し、第三者ユーザから情報取得要求が送られた場合に上記アクセス制御ルールに基づいて情報開示の可否を判定するシステムを提案している。
しかし、個人情報に対しアクセスするためには、その所有者の識別情報(ユーザID)を何らかの方法で取得する必要がある。また、情報開示を許可した第三者のユーザIDを登録する場合にも、第三者のユーザIDを何らかの方法で取得しなければならない。
第三者のユーザIDを取得する方法としては、例えば以下のようなものがある。すなわち、EHRのように医師や保健師等の業務用ユーザリスト(例えば担当患者リスト)が用意されている場合には、ユーザ本人がこの業務用ユーザリストの中から自己の医療健康関連情報の閲覧を許可する医師等を選択してそのユーザIDをアクセス制御リストに登録する。しかし、一般市民のような不特定多数のユーザが、利用範囲がシステム内のみに限定された業務用ユーザリストから医師や保健師等を指定してそのユーザIDを取得することは、医師や保健師のユーザID保護の観点から許されない。したがって、システム内に限定してユーザを安全に指定することは困難である。
一方、一般市民が自らの代理人を指定する場合、上記のような業務用ユーザリストから検索することはできない。また、システムが管理するユーザリストから氏名等で他の市民を検索することは個人情報保護の観点から許されない。一件まで絞り込んでから検索結果をていじするようにしたとしても、例えば同姓同名のユーザが存在する場合には誤検索の可能性があり非常に好ましくない。
また、システム上で登録済みのユーザを指定するその他の方法として、グループウェアにおける第三者ユーザを指定するものがある。この方法は、会社等の信頼できる特定ユーザのみが利用することを想定し、各ユーザはログインID、氏名、所属等を公開し、他者に参照させることを前提としている。このため、氏名やログインIDを直接指定して、システム上の第三者ユーザを特定することができる(例えば、非特許文献1を参照。)。
さらに、別の方法として、SNS(Social Network Service)サービスにおける他者ユーザ指定方法がある。この方法は、不特定多数のユーザがそれぞれ自身のニックネームや氏名、性別、写真等の一部の個人情報(プロフィール)を公開し、他者に参照させるものとなっている。このため、プロフィール等に基づいて自分に近い趣向を持つ他者ユーザ等を検索することが可能となる(例えば、非特許文献2を参照。)。
サイボウズ、インターネット<URL: http://manual.cybozu.co.jp/office8/user/ GREE(グリー)、インターネット<URL: http://www.gree.co.jp/privacy/
ところが、非特許文献1に記載された方法は、登録ユーザが信頼できることを前提としたものであり、不特定多数の見知らぬユーザが利用するサービスでは、個人情報に対する安全上の点で問題があり利用できない。また非特許文献2に記載された方法も、SNSのように、ユーザ同士の交流を目的とし、個人情報の一部を開示することを前提としたサービスでなければ利用できない。
この発明は上記事情に着目してなされたもので、その目的とするところは、ユーザを識別するための情報を公開したり無制限に検索させることなく、システム上で安全に所望のユーザを指定することを可能にした情報アクセス制御システム及び方法を提供することにある。
上記目的を達成するためにこの発明の第1の観点は、サーバ装置に記憶された第1のユーザの個人情報に対し、第2のユーザの端末から上記第1のユーザを識別するための情報を用いてアクセスする情報アクセス制御システムにあって、先ず上記第1のユーザの端末から送信される発行要求に応じて、上記アクセスのために第2のユーザが第1のユーザを指定するために使用する、暗号化された一時ユーザ指定子を発行する。この一時ユーザ指定子には、上記発行要求元のユーザを識別するための情報に加え、当該発行要求元ユーザの属性情報と、上記一時ユーザ指定子の発行元となるサーバ装置を特定するための識別情報と、解決要求元のユーザに提示するための提示情報のうちの少なくとも一つを含める。次に、上記第2のユーザの端末から送信される解決要求に応じて、当該解決要求に含まれる上記発行された暗号化一時ユーザ指定子を復号して上記第1のユーザを識別するための情報に変換し、この変換された第1のユーザを識別するための情報を用いて第1のユーザの個人情報にアクセスするように構成したものである。
したがって、第1のユーザの個人情報に対しアクセスするために必要な第1のユーザを識別するための情報は、第1のユーザ本人の要求に応じて一時ユーザ指定子として発行されるので、公開されることなくまた検索されることなく安全に第1のユーザから第2のユーザに渡すことができる。第2のユーザは、この渡された一時ユーザ指定子の解決をシステムに要求することで、システム上で第1のユーザを確実に指定してその個人情報をアクセスすることができる。
また、上記一時ユーザ指定子には、上記発行要求元のユーザを識別するための情報に加えて、当該発行要求元ユーザの属性情報と、上記一時ユーザ指定子の発行元となるサーバ装置を特定するための識別情報と、解決要求元のユーザに提示するための提示情報のうちの少なくとも一つが含められる。このため、ユーザ属性を含めた場合には、例えばアクセス制御ルールに第2のユーザを識別するための情報を設定する際に、同時に第2のユーザのユーザ属性情報、例えば所属組織や資格等を表す情報を設定することが可能となる。また、一時ユーザ指定子の発行元となるサーバ装置を特定するための識別情報を含めた場合には、一時ユーザ指定子発行元のサーバに限らず認証連携されたどのサーバでも一時ユーザ指定子の解決要求を受け付けることが可能となる。さらに、解決要求元のユーザに提示するための提示情報を含めた場合には、例えば発行元ユーザから入力されたニックネーム又は質問等を、一時ユーザ指定子の解決処理時に解決要求元ユーザに提示して確認させたり、質問に対する回答を要求することが可能となる。
一方、この発明の第2の観点は、サーバ装置に記憶された第1のユーザの個人情報に対し規定されたアクセス制御ルールに対し、第1のユーザの端末から、上記個人情報のアクセスを許可する第2のユーザを識別するための情報を設定する機能を有する情報アクセス制御システムにあって、先ず上記第2のユーザの端末から送信される発行要求に応じて、上記第2のユーザを識別するための情報の設定のために上記第1のユーザが第2のユーザを指定するために使用する、暗号化された一時ユーザ指定子を発行する。次に、上記第1のユーザの端末から送信される解決要求に応じて、当該解決要求に含まれる上記発行された暗号化一時ユーザ指定子を復号して上記第2のユーザを識別するための情報に変換し、この変換された第2のユーザを識別するための情報をアクセス制御ルールに設定するように構成したものである。
したがって、第1のユーザの個人情報に対応するアクセス制御ルールに設定するための第2のユーザの識別情報は、第2のユーザ本人の要求に応じて一時ユーザ指定子として発行される。このため、第2のユーザの識別情報は公開されることなくまた検索されることなく安全に第1のユーザに渡される。また、第1のユーザはこの渡された一時ユーザ指定子の解決を要求することで、システム上で第2のユーザを確実に指定してその識別情報を第1のユーザのアクセス制御ルールに設定することができる。
また、この発明の第1及び第2の観点は以下のような態様を備えることを特徴とする。
第1の態様は、上記発行手段により、システム上で発行要求元のユーザの識別子と関連付けられた仮名を暗号化した一時ユーザ指定子を発行し、上記解決手段により、上記発行された暗号化一時ユーザ指定子を復号して上記仮名に変換したのち、この変換された仮名を上記発行要求元のユーザの識別子に変換するものである。
このようにすると、上記暗号化された一時ユーザ指定子を復号するために使用する秘密鍵が流出して、一時ユーザ指定子が第三者に復号されても、システム上で使用されている実ID(ユーザIDやログインID)を第三者に知られるリスクを回避できる。
第2の態様は、上記発行手段により、一時ユーザ指定子に有効期間を表す情報を含め、解決手段により、上記復号された一時ユーザ指定子に含まれる有効期間を表す情報をもとに、当該一時ユーザ指定子が有効か無効かを判定するようにしたものである。
このようにすると、一時ユーザ指定子の用途に応じてその有効期間を設定することができる。例えば、医師等の場合には、一時ユーザ指定子を渡す相手が複数人に及ぶため、有効期限の長い一時ユーザ指定子を発行することで、複数人の相手のそれぞれに対しその都度一時ユーザ指定子を発行すめる場合と比べユーザの負担を軽減することができる。
第3の態様は、上記解決手段に失効リスト記憶手段を設け、端末から送信される失効登録要求に応じて、当該失効登録要求により指定された一時ユーザ指定子を上記失効リスト記憶手段に記憶させる。そして、解決要求を受信したときに、この要求に応じて復号された一時ユーザ指定子が上記失効リスト記憶手段に記憶されているか否かを判定し、記憶されている場合に当該一時ユーザ指定子を無効とするようにしたものである。
このようにすると、一時ユーザ指定子を紛失したり悪用された場合に、この一時ユーザ指定子を休止又は廃止することが可能になる。
第4の態様は、上記解決手段に、端末から送信される失効削除要求に応じて、当該失効削除要求により指定される一時ユーザ指定子を上記失効リスト記憶手段から削除する機能をさらに備えるようにしたものである。
このようにすると、一時的に使用を休止した一時ユーザ指定子の使用を再開させることが可能となる。
の態様は、上記発行手段により当該発行手段が所有する秘密鍵を用いて一時ユーザ指定子に署名を行い、解決手段により上記復号された一時ユーザ指定子の署名を上記秘密鍵と対をなす公開鍵を用いて検証するようにしたものである。
このようにすると、解決処理時に一時ユーザ指定子について署名検証を行うことが可能となり、これにより一時ユーザ指定子を紛失した場合のセキュリティを高めることができる。
すなわちこの発明によれば、ユーザを識別するための情報を公開したり無制限に検索させることなく、システム上で安全に所望のユーザを指定することを可能にした情報アクセス制御システム及び方法を提供することができる。
この発明の一実施形態に係わるユーザ指定方法を実施するためのシステムの機能構成を示すブロック図である。 図1に示したシステムで使用される一時ユーザ指定子(TUS)の構成要素を示す図である。 図1に示したシステムで使用される一時ユーザ指定子(TUS)の種類を示す図である。 図1に示したシステムのWeb連携サーバに設けられるTUS発行手段の機能構成を示す図である。 図1に示したシステムのWeb連携サーバに設けられるTUS解決手段の機能構成を示す図である。 図1に示したシステムにおけるTUS発行処理手順とその内容(利用シーンAの場合)を示すフローチャートである。 図1に示したシステムにおけるTUS受け渡し処理手順とその内容(利用シーンAの場合)を示すフローチャートである。 図1に示したシステムにおけるTUS解決処理及びその利用手順とその内容(利用シーンAの場合)を示すフローチャートである。 図1に示したシステムにおけるTUS発行処理手順とその内容(利用シーンBの場合)を示すフローチャートである。 図1に示したシステムにおけるTUS受け渡し処理手順とその内容(利用シーンBの場合)を示すフローチャートである。 図1に示したシステムにおけるTUS解決処理及びその利用手順とその内容(利用シーンBの場合)を示すフローチャートである。 図1に示したシステムにおけるTUS失効処理手順とその内容を示すフローチャートである。 図1に示したシステムにおける失効済みTUS有効化処理手順とその内容を示すフローチャートである。 図1に示したシステムにおいて各サーバが保有するユーザ識別子とそのサーバ間受け渡し処理の一例を示す図である。 図6又は図9に示したTUS発行処理手順が実行されるときのWeb連携サーバ内の動作内容を示す図である。 図8又は図11に示したTUS解決処理手順が実行されるときのWeb連携サーバ及び認証サーバ内の動作内容を示す図である。 図12に示したTUS失効処理手順が実行されるときのユーザサポートセンタ及び認証サーバ内の動作内容を示す図である。 図12に示したTUS失効処理手順実行するために用いるTUS失効リストのレコードの構成要素を示す図である。 この発明の他の実施形態に係わる発行済みTUSを管理する機能を備えた場合のTUS解決処理の手順と内容を示すフローチャートである。
以下、図面を参照してこの発明に係わる実施形態を説明する。
この発明の一実施形態に係わる情報アクセス制御システムの全体構成を示す機能ブロック図である。
この一実施形態に係わる情報アクセス制御システムは、医療機関や保健関連機関、運動関連施設等がそれぞれ運用する複数のデータプロバイドサーバDPS1〜DPSnと、複数のWeb連携サーバWFS1〜WFSmと、認証サーバIDPと、ユーザサポートセンタUSCとを備え、これらのサーバ間及びこれらのサーバと図示しないユーザ端末との間を通信ネットワークを介して接続可能としたものである。
通信ネットワークは、例えばインターネットに代表されるIP網と、このIP網に対しアクセスするための複数のアクセス網とから構成される。アクセス網としては例えばLAN(Local Area Network)、無線LAN、携帯電話網、有線電話網、CATV(Cable Television)網が用いられる。
ユーザ端末には、患者等の一般ユーザが自宅等において使用する一般ユーザ用の端末と、医師や保健師、薬剤師等のプロユーザが患者の依頼を受けて患者の医療情報等を取得するために、さらにはアクセス制御ルールを代行設定するために使用する業務用の端末と、ユーザサポートセンタUSCに設けられるオペレータ用のコンソール端末が含まれる。これらの端末には一般にパーソナル・コンピュータが使用されるが、一般ユーザ用端末及びプロユーザ用端末としては携帯電話機やPDA(Personal Digital Assistant)等の携帯端末を使用することも可能である。
データプロバイドサーバDPS1〜DPSnは、中央制御ユニット(Central Control Unit;CPU)に、バスを介してプログラムメモリと、各種データベースを保存するためのデータメモリと、通信インタフェースを接続したもので、その機能モジュールとして、認証連携モジュール11と、情報流通モジュール12と、情報提供モジュール13と、アクセス制御ルール管理モジュール14を備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
データベースとしては、医療関連情報データベース15と、アクセス制御ルールデータベース16と、ローカルユーザデータベース17を備えている。ローカルユーザデータベース17には、各ユーザを識別し管理するためのユーザ情報が記憶される。ユーザ情報は、各ユーザに対しデータプロバイドサーバDPS1〜DPSnが独自に使用するローカルユーザIDと、ユーザ基本情報及びユーザ属性等からなる。医療関係情報データベース15には、各ユーザの個人情報、例えば保健指導情報や健康診断情報等の医療健康関連情報が上記ユーザIDに対応付けられて格納される。
アクセス制御ルールデータベース16には、医療関連情報データベース15に格納されているユーザの医療健康関連情報について、当該情報の開示条件を規定するアクセス制御ルールを表す情報が記憶される。アクセス制御ルールには、情報の開示条件を表す複数のルール項目が記載されている。このルール項目は、例えば医療健康関連情報のオーナを示すデータ所有ユーザ(ユーザID等で管理される)と、アクセス制御対象とするデータ項目(「対象データ−項目」)と、何時から何時までの期間に登録されたデータをアクセス制御対象とするかを示す情報である「対象データ−期間」と、誰をアクセス制限又は許可の対象とするかを示す「対象ユーザ」と、どの組織をアクセス制限又は許可の対象とするかを示す「対象ユーザ−所属組織」と、どのような資格を持った者をアクセス制限又は許可の対象とするかを示す「対象ユーザ−ロール」と、情報所有者とどのような人間関係にある者を個人情報又はアクセス制御ルールに対するアクセス制限又は許可の対象とするかを示す「対象ユーザ−関係」とから構成される。「対象データ−項目」としては、例えば、病名、投薬名、体重、アレルギー情報がある。また、アクセス制御ルールには、上記各ルール項目に加え、上記アプリケーションデータベース19に格納されているユーザの医療健康関連情報の読み取りの可否を表す項目と、当該医療健康関連情報の書き込みの可否を表す項目が記載されている。
なお、例えばアクセス制御対象とするユーザがICカードとパスワードで認証された際にのみアクセスを許可するといったように、アクセスを許可する認証手段を限定する項目(「対象ユーザ−認証手段」)を含ませることも可能である。また、このアクセス制御ルール自体の有効期間を示す「ルール有効期間」項目を含ませ、これにより特定の期間にのみ情報を開示/非開示とすることも可能とする。
認証連携モジュール11は、ローカルユーザデータベース17に記憶されたユーザ情報に基づいてシングルサインオンのための処理を実行する。これによりユーザは一度のログインにより他のサーバには再度の認証なしにアクセスすることが可能となる。情報流通モジュール12は、Web連携サーバWFS1〜WFSmからの要求を受理して情報提供モジュールに渡し、処理結果を受け取って要求元のWeb連携サーバWFS1〜WFSmに返送する。Web連携サーバWFS1〜WFSmとデータプロバイドサーバDPS1〜DPSnとの間では、IDPから取得した認証情報とローカルユーザデータベース17に格納されたID連携情報を用いてセキュアなデータ流通を行う。
情報提供モジュール13は、認証連携されたWeb連携サーバWFS1〜WSFmから送信された情報取得要求を情報流通モジュール12が受信したとき、この要求に応じて医療関連情報データベース15に格納された情報、つまりローカルIDに関連付けられて管理されている医療関連情報を選択的に読み出して要求元へ送信する処理を行う。また、上記医療関連情報へアクセスする際に、情報提供モジュール13はローカルユーザデータベース17に記憶されたユーザIDと、アクセス制御ルールデータベース16に記憶された対応するアクセス制御ルールに基づいて、要求元のユーザが開示条件を満足するユーザであるか否かを判断する。
アクセス制御ルール管理モジュール14は、Web連携サーバWFS1〜WFSmから送信された、アクセス制御ルールの登録、更新又は削除を要求するリクエストを受信した場合に、この受信されたリクエストに基づいてアクセス制御ルールデータベース16に記憶されているアクセス制御ルールに対しルールの登録、更新又は削除処理を行う。
Web連携サーバWFS1〜WFSmは、CPUにバスを介してプログラムメモリと、ローカルユーザデータベース28を備えるデータメモリと、図示しないユーザ端末との間で通信を行うユーザインタフェース21を接続したものからなる。ローカルユーザデータベース28には、各ユーザを識別し管理するためにWeb連携サーバWFS1〜WFSmが独自に使用するローカルユーザIDが記憶される。
また、機能モジュールとしては、認証連携モジュール22と、情報流通モジュール23と、アクセス制御ルール管理要求モジュール24と、情報取得要求モジュール25を備え、さらにTUS発行モジュール26及びTUS解決要求モジュール27を備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
認証連携モジュール22は、ユーザ端末からのログイン要求を受信した場合に認証サーバIDPに認証処理を委託し、認証サーバIDPから認証結果情報を受け取る。情報取得要求モジュール25は、認証後にユーザ端末から送信される情報取得要求をユーザインタフェース21が受信したとき、この受信した情報取得要求を情報流通モジュール23からデータプロバイドサーバDPS1〜DPSnへ送信する。そして、上記情報取得要求に対しデータプロバイドサーバDPS1〜DPSnから返送された医療関係情報を情報流通モジュール23が受信したとき、この受信した医療関係情報ユーザインタフェース21から要求元のユーザ端末へ送信する処理を行う。
アクセス制御ルール管理要求モジュール24は、ユーザ端末から送信されたアクセス制御ルールの設定要求をユーザインタフェース21が受信したとき、この受信した設定要求に応じてデータプロバイドサーバDPS1〜DPSnに対し情報流通モジュール22からアクセス制御ルールの登録、更新または削除を要求する処理を行う。
TUS発行モジュール26は、ユーザ端末からの発行要求をユーザインタフェース21が受信した場合に、他のサーバに問い合わせ等を行うことなくWeb連携サーバWFS1〜WFSm内で一時ユーザ指定子(以下、TUS:Temporary User Specifierと呼称する)を発行するもので、図4に示すようにTUS文字列生成処理部261と、暗号化処理部262とからなる。
TUS文字列生成処理部261は、TUSの発行を要求したユーザを識別するための情報と、TUSの有効期間を表す情報と、乱数を含むTUS文字列を生成する。またTUS文字列には、ユーザ属性と、発行元となるWeb連携サーバWFS1〜WFSmのプロバイダIDと、表示名を含めることも可能である。
図2にTUSの構成要素を示す。発行要求元ユーザを識別するための情報としては、システムユーザID、仮名等が用いられる。乱数は8桁のランダムな数値からなる。有効期間は有効期限開始日時とその終了日時とにより表される。ユーザ属性は、ログインユーザの所属組織情報とロール情報からなる。所属組織情報には、ログインユーザが所属する機関(病院、診療所、自治体等)を表す情報が含まれる。ロール情報には、ログインユーザが保有するロール(医療従事者資格など)が含まれる。
TUSにユーザ属性を埋め込むことは、特に医療従事者資格を有するプロユーザがTUSを発行する場合において有用である。例えば、一般ユーザが自らのアクセス制御ルールに「A病院の医師には自分の情報を開示する」というルールを記述したい場合、TUSに組織やロールを含めることによって、ユーザIDの設定と同様に所属組織とロール情報を設定することが可能となる。すなわち、TUSはその目的により使い分けることができる。図3はその目的別のTUSの種類を示すものである。また、TUSにプロバイダIDを埋め込むことで、TUS発行元のWeb連携サーバWFS1〜WFSm以外でもTUS解決を受け付けることが可能となる。
さらに、TUSにニックネームや質問/回答等の表示名を埋め込むと、後述するTUSの解決処理時に、TUSに埋め込んだニックネームを解決要求元のユーザ端末に表示して発行元のユーザを確認させることができる。また、質問に対する回答を要求することにより、発行要求元のユーザが、本当に自分が意図する相手のTUSであることを解決要求元のユーザ端末に確認させることができる。すなわち、TUSに埋め込まれたユーザ識別情報が本当にTUSを渡された実在の人物を指しているのかを解決要求元のユーザ端末が確認することができる。
暗号化処理部262は、上記生成されたTUS文字列を認証サーバIDPの公開鍵を用いて暗号化する。またその際、セキュリティをさらに強化するため、Web連携サーバWFS1〜WFSmの秘密鍵を用いてTUS文字列に署名を付与する。この暗号化処理がなされたTUSは、ユーザインタフェース21から発行要求元のユーザ端末へ返送される。
TUS解決要求モジュール27は、ユーザ端末から送信された暗号化TUSの解決要求をユーザインタフェース21が受信した場合に、このユーザから受け取った暗号化TUSを認証サーバIDPへ転送してTUSの解決を要求する。そして、解決処理により変換されたTUSを認証サーバIDPから受信し、ユーザインタフェース21から要求元のユーザ端末へ返送する。
認証サーバIDPは、上記Web連携サーバWFS1〜WFSmと同様に、CPUに対しバスを介してプログラムメモリと、データベースを記憶するデータメモリと、通信インタフェースを接続したもので、その機能モジュールとして認証モジュール31と、認証連携モジュール32と、情報流通モジュール33と、管理用処理受付モジュール34を備え、さらにTUS解決モジュール35と、TUS失効管理モジュール36を備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
またデータベースとしては、システムユーザデータベース37と、TUS失効リストデータベース38を備えている。システムユーザデータベース37には、システムに登録されているユーザのシステムユーザID、システムログインID及びこれらのIDに関連付けられた仮名、つまりサーバ間のデータ送受信に用いられる連携用のIDが記憶される。また必要に応じてユーザIDと関連付けられてユーザの属性情報も記憶される。
TUS失効リストデータベース38にはTUS失効リストが格納される。TUS失効リストには、システムユーザIDとTUSが含まれる。なお、TUS失効リストには、この他に要件に応じて失効日時、失効操作者、失効理由等を追加することも可能である。失効日時や失効操作者は監査時等の確認に、失効理由は失効済みTUSを復活させる際の判断材料として用いることができる。
認証モジュール31は、ユーザがログイン、情報取得要求及びアクセス制御ルールへのアクセス要求を送信したとき、当該要求元のユーザに対する認証処理を行うものである。具体的には、Web連携サーバWFS1〜WFSmから認証要求が送られたとき、システムユーザデータベース37に記憶されたユーザ情報を参照して、当該要求元のユーザの正当性を認証する。認証方式としては、ID/パスワード認証、ICカード認証、公開鍵暗号基盤認証、多要素認証等の様々な認証方式を用いることができる。認証連携モジュール32は、認証モジュール21による認証処理の結果をWeb連携サーバWFS1〜WFSmに返す。
情報流通モジュール33は、Web連携サーバWFS1〜WFSmとデータプロバイドサーバDPS1〜DPSnとの間で情報流通、つまり医療関連情報の伝送やアクセス制御ルール管理要求/応答の伝送が行われる場合に、WEb連携サーバWFS1〜WFSmからの要求に応じてデータプロバイドサーバDPS1〜DPSnの所在(ディレクトリ)を通知し、両サーバ間における情報流通を成立させるための仲介を行う。管理用処理受付モジュール34は、後述するユーザサポートセンタUSCからの要求を受け付け、システムユーザデータベース37へのユーザ情報の登録、更新又は削除を行う。また、TUS失効リスト管理要求(追加・削除)を受け付け、TUS失効管理モジュール36に渡す。
TUS解決モジュール35は、Web連携サーバWFS1〜WFSmから受け取ったTUSを解決して発行元ユーザのシステム上の識別子に変換する処理を行うもので、以下のような機能を備えている。図5はその機能構成を示すブロック図である。すなわち、TUS解決モジュール35は復号処理部351を有し、上記Web連携サーバWFS1〜WFSmから受け取ったTUSを、認証サーバIDPが所持する秘密鍵を用いて復号する。また、TUSに署名が付与されている場合には、復号に先立ち発行元のWeb連携サーバWFS1〜WFSmの公開鍵を用いて署名を検証する。
すなわち、TUSは認証サーバIDPの秘密鍵で暗号化されているため、TUSの解決は認証サーバIDPのみが行える。また、TUSを解決してシステム上のユーザ識別子に変換してからでないと、TUSで示されるユーザに関するシステム上の機能、例えばそのユーザをアクセス制御ルールに追加する等を利用することができない。
TUS解決モジュール35は、次に有効期間判定部352において、現在時刻が上記復号されたTUSに含まれる有効期間情報により表される期間内であるかどうかを判定する。この判定の結果、現在時刻が有効期間内であれば、失効リスト判定部353において、上記復号されたTUSがTUS失効リストデータベース38に存在しないかどうかを判定する。そして、存在しなければ、変換部354において、上記復号されたTUSをシステム上のユーザ識別子(システムユーザIDまたは仮名等)に変換し、この変換されたユーザ識別子を要求元のWeb連携サーバWFS1〜WFSmへ返送する。
TUS失効管理モジュール36は、後述するユーザサポートセンタUSCからTUSの失効要求又は失効解除要求を管理用処理受付モジュール34を介して受け取った場合に、これらの要求の内容に応じてTUS失効リストデータベース38に失効対象のTUSを追加したり、TUS失効リストデータベース38から失効解除となったTUSを削除する処理を行う。
ユーザサポートセンタUSCも、上記認証サーバIDP等と同様に、CPUにバスを介してプログラムメモリと、データメモリと、ユーザインタフェース41を接続したもので、その機能モジュールとして、管理用処理要求モジュール42と、TUS失効管理要求モジュール43を備えている。これらの機能モジュールは何れも、上記プログラムメモリに格納されたプログラムを上記CPUに実行させることにより実現される。
管理用処理要求モジュール42は、図示しないオペレータ(システム管理者)の端末から送信される要求に応じて、認証サーバIDPが管理するシステムユーザデータベース37及び仮名の登録、更新又は削除を認証サーバIDPに要求する処理を行う。また、データプロバイドサーバDPS1〜DPSn及びWeb連携サーバWFS1〜WFSmがそれぞれ独自に使用する仮名をシステム共通のユーザIDに、又はシステム共通のユーザIDからそれぞれの仮名に変換する機能も持つ。また、TUS失効管理要求モジュール43からの要求を認証サーバIDPへ転送する機能を持つ。
TUS失効管理要求モジュール43は、図示しないオペレータ端末から送信されたTUSの失効要求又は失効解除要求をユーザインタフェース41が受信した場合に、この受信されたTUSの失効要求又は失効解除要求を管理用処理要求モジュール42を介して認証サーバIDPへ転送する処理を行う。
次に、以上のように構成されたシステムの動作を説明する。
(1)アクセス制御ルールへのユーザ登録(利用シーンA)
ここでは、例えばユーザAの医療関係情報に対し設定されたアクセス制御ルールに、当該医療関係情報へのアクセスを許可するユーザとして、例えばユーザAの家族或いは担当医師であるユーザBを登録する場合を例にとって説明する。図6乃至図8はそのシーケンスを示す図、図14はTUSの発行からアクセス制御ルールへのユーザ情報の登録までの過程においてサーバ間で受け渡しされる制御データの一例を示す図である。
(1−1)TUSの発行
ユーザ情報の登録を依頼する側のユーザBは、自身のユーザ端末において、図6に示すように先ずシステムに対しログインする(ステップS61)。そうすると認証サーバIDPにおいて上記ログインユーザの認証処理が行われ(ステップS62)、ログインユーザの正当性が認められるとその応答がログイン元のユーザ端末に返送される。
この状態で、ユーザBがユーザ端末においてTUSの発行を要求するための操作を行ったとする(ステップS63)。例えば、このときユーザ端末には図14のG1に示すような操作画面が表示され、ユーザBは表示されたメニューの中で「TUS発行」を選択する。そして、TUSに含めるための図2に示した各構成要素(パラメータ)を任意に入力する。そうすると、ユーザ端末ではTUS発行要求が生成され、このTUS発行要求はWeb連携サーバWFS1へ送信される。
Web連携サーバWFS1は、上記TUS発行要求を受信するとステップS64においてTUSを発行して要求元のユーザ端末へ返送する。図15はその処理手順と内容を示したものである。
同図において、TUS発行要求はユーザインタフェース21で受信され、TUS発行モジュール26に転送される。TUS発行モジュール26は、上記TUS発行要求を受け取ると、このTUS発行要求に含まれる入力パラメータ(図2の項番3〜7)をチェックする。そして、情報流通モジュール23を呼び出し、情報流通モジュール23が管理する要求元ユーザの認証結果情報を取得する。
例えば、先ず入力パラメータにてロール情報(ロールID)又は所属組織情報(所属組織コード)が指定されている場合には、これらが上記認証結果情報の中に存在するか否かを判定する。この判定の結果、認証結果情報に含まれていれば、Web連携サーバWFS1のローカルユーザIDと認証サーバIDPのプロバイダIDを検索キーとしてローカルユーザデータベース28に対しアクセスし、ローカルユーザIDに相当する仮名を読み出す。図14では“Bwfs1”が読み出された場合を例示している。
続いて、情報流通モジュール23を呼び出し、この情報流通モジュール23が管理するWeb連携サーバ(自プロバイダ)WFS1のプロバイダIDを取得する。そして、TUSを生成する各構成要素、つまり上記ユーザ端末から受信した入力パラメータ、上記取得された仮名及び乱数を連結する。各構成要素はKey=Value形式とし、ValueはURLエンコードを行う。
次に、上記連結されたTUSの構成要素を認証サーバIDPの公開鍵で暗号化する。例えば、BASE64エンコードを用いて文字列を生成する。そして、この生成された暗号化文字列に認証サーバIDPのプロバイダIDと、上記取得た自己のWeb連携サーバWFS1のプロバイダIDを連結してTUSとする。なお、暗号化にはRSA暗号などを使用する。最後に、上記生成された暗号化TUSを、ユーザインタフェース21から要求元のユーザ端末へ返送する。
なお、上記TUSの受信後にユーザBがログアウト操作を行うと(ステップS65)、認証サーバIDPにおいてログアウトが受け付けられて、ログアウト処理される(ステップS66)。
(1−2)発行されたTUSの受け渡し
Web連携サーバWFS1から送られたTUSは、図7に示すようにユーザBのユーザ端末からユーザAのユーザ端末へ例えば電子メールにより送信される(ステップS71,S72)。なお、上記TUSの受け渡しは、TUSをFDやUSBメモリ等の記憶媒体に保存し、この記憶媒体をユーザBからユーザAに手渡しすることで行ってもよい。
このTUSの受け渡しの具体例としては、以下のようなものが考えられる。
(1−2−1)市民が発行した短期の有効期限が設定されたTUSの受け渡し
市民が短期の有効期限を設定したTUSを自分の家族等に受け渡す場合には、発行されたTUSのみ又はTUSを発行したWeb連携サーバWFS1のURLと発行されたTUSを埋め込んだURLを作成し、このURLを記述した電子メールをユーザBの端末からユーザAの端末へ送信する。
(1−2−2)医師が発行した長期の有効期限を設定したTUSの受け渡し
医師など、業務においてシステムを利用し、情報を開示してもらう必要があるプロユーザ(自身のTUSを渡す必要がある相手)が複数人におよぶ場合には、利便性向上のため、TUSの有効期限は長期(例えば、同一病院に勤めている期間)に設定し、次のような方法でTUSを受け渡すことが考えられる。
すなわち、先ず医師に受診した後、患者が自宅でアクセス制御ルールに医師を登録するケースでは、医師が発行したTUS(文字列)またはTUSの内容を二次元バーコードなどに変換したものを名刺に印刷し、患者(医師に対し情報を開示してほしい相手)に配布する方法が考えられる。
また、病院において、受診前に患者が医師を自身のアクセス制御ルールに医師を登録するケースでは、医師が発行したTUSを含むバーコードを受付で渡し、病院に設置された専用端末で患者がシステムにログインしてバーコードを読み込ませることで、アクセス制御ルールに医師を登録する。
尚、TUSは「開示してほしい側のユーザを示す指定子」であり、さらに業務でシステムを利用する医師などのプロユーザの場合、自身の医療関連情報を保有していないため、長期の有効期限が設定されたTUSを複数人に配布しても、悪用される危険性は極めて少ない。
(1−3)TUSの解決とその利用
他者のユーザ情報を自身のアクセス制御ルールに登録しようとするユーザAは、自身のユーザ端末において、図8に示すように先ずシステムに対しログインする(ステップS81)。そうすると認証サーバIDPにおいて上記ログインユーザの認証処理が行われ(ステップS82)、ログインユーザの正当性が認められるとその応答がログイン元のユーザ端末に返送される。
この状態で、ユーザAがユーザ端末において、ユーザBから渡されたTUSの解決を要求するための操作を行ったとする(ステップS83)。そうすると、ユーザ端末ではTUS解決要求が生成され、このTUS解決要求はWeb連携サーバWFS2へ送信される。Web連携サーバWFS2は、上記TUS解決要求を受信するとステップS84によりこのTUS解決要求を認証サーバIDPへ転送する。認証サーバIDPは、転送されたTUSを解決し(ステップS85)、その結果を要求元のユーザAのユーザ端末へ返送する。図16はその処理手順と内容を示したものである。
Web連携サーバWFS2は、ユーザ端末から送信されたTUS解決要求をユーザインタフェース21により受信すると、TUS解決要求モジュール27が要求されたTUSに含まれる入力パラメータをチェックする。そして、情報流通モジュール23を呼び出し、情報流通モジュール23が管理する要求元ユーザの認証結果情報を取得する。続いて、認証サーバIDPに送付するTUS解決要求電文を作成し、上記取得した要求元ユーザの認証結果と、上記作成されたTUS解決要求電文とを引数として情報流通モジュール23を呼び出し、認証サーバIDPへTUS解決要求電文を送信する。
認証サーバIDPは、Web連携サーバWFS2から送信されたTUS解決要求電文を情報流通モジュール33により受信すると、TUS解決モジュール35が上記受信されたTUS解決要求電文をチェックする。そして、TUS解決要求電文よりTUSを取得し、認証サーバIDPの秘密鍵で復号する。
次に、TUS解決モジュール35は、上記復号されたTUSの有効期限をチェックする。このチェックの結果、有効期限開始日時が設定されない場合には、すでに解決処理が開始されているものとして扱う。また、有効期限終了日時が設定されない場合には無期限として扱う。
続いて、TUS解決モジュール35は、上記復号されたTUSがTUS失効リストデータベース38に記憶されていないか否かを判定する。つまり、上記復号されたTUSが失効していないかどうかを確認する。この判定の結果、解決を要求されたTUSが失効していなければ、上記復号されたTUSの仮名と、TUS解決要求電文に含まれるTUS発行元のWeb連携サーバWFS2のプロバイダIDを検索キーとして、情報流通モジュール33を介してシステムユーザデータベース37に対しアクセスし、仮名及びプロバイダIDに対応するシステムユーザIDを取得する。例えば、いま仮名が“Bwfs1”、プロバイダIDが“Wfs1”であれば、図14に示すようにシステムユーザIDとして“B@idp”が得られる。
続いて、TUS解決モジュール35は、上記取得されたシステムユーザIDと、TUS解決要求電文にTUS解決要求元のWeb連携サーバWFS2のプロバイダIDを検索キーとして、情報流通モジュール33を介してシステムユーザデータベース37に対しアクセスし、これによりシステムユーザIDに該当する仮名を取得する。この処理により、TUS発行元のWeb連携サーバWFS1とは異なるWeb連携サーバWFS2でも、TUS解決要求を行うことができる。
続いて、TUS解決モジュール35は、上記取得された仮名と、TUSから抽出したロール情報(ロールID)、所属組織情報(所属組織コード)および表示名とを含む応答電文を作成する。そして、この作成された応答電文を情報流通モジュール33から要求元のWeb連携サーバWFS2へ返送する。
認証サーバIDPから応答電文を受け取ると、Web連携サーバWFS2のTUS解決要求モジュール27は、上記受け取ったTUS解決応答電文からTUSの構成要素である仮名、所属組織情報、ロール情報、表示名を取得し、TUSの発行元ユーザのユーザ識別子を生成する。そして、この生成されたTUSの発行元ユーザのユーザ識別子をユーザインタフェース21から解決要求元のユーザ端末へ返送する。
上記TUSの発行元ユーザのユーザ識別子を受信すると、ユーザAはこの受信したユーザ識別子を自身のアクセス制御ルールへ登録するための操作を行う(ステップS86)。例えば、このときユーザ端末には図14のG2に示すような操作画面が表示され、ユーザAは表示されたメニューの中で「アクセス制御ルール設定」を選択する。そうすると、ユーザ端末ではアクセス制御ルール設定要求が生成され、このアクセス制御ルール設定要求はWeb連携サーバWFS2へ送信される。
Web連携サーバWFS2は、上記ユーザ端末から送信されたアクセス制御ルール設定要求をユーザインタフェース21により受信すると、アクセス制御ルール管理要求モジュール24が、ユーザAの認証結果情報と、上記受信されたアクセス制御ルール設定要求に含まれるユーザBのユーザ識別子を引数として、情報流通モジュール23を介して認証サーバIDPからデータプロバイドサーバ向けのユーザA及びユーザBの識別子を取得する。そして、この取得したデータプロバイドサーバ向けのユーザA及びユーザBの識別子をもとに、アクセス先のデータプロバイドサーバDPS1へ情報流通モジュール23からアクセス制御ルール設定要求を送信する(ステップS88)。
データプロバイドサーバDPS1は、Web連携サーバWFS2から送信された設定要求を情報流通モジュール12により受信すると、アクセス制御ルール管理モジュール14が、上記要求に応じてローカルユーザデータベース17から該当するユーザAのローカルユーザIDを読み出す。そして、この読み出されたローカルユーザIDをもとにアクセス制御ルールデータベース16に対しアクセスし、上記ユーザAの該当するアクセス制御ルールに、上記受信されたアクセス制御ルール設定要求に含まれる設定対象となるユーザID等を追加登録する(ステップS88)。
上記登録処理が終了すると、その応答がデータプロバイドサーバDPS1の情報流通モジュール12から要求元のWeb連携サーバWFS2の情報流通モジュール23へ返送される。そして、さらにこのWeb連携サーバWFS2のアクセス制御ルール管理要求モジュール24の制御の下で、上記応答がユーザインタフェース21からユーザAのユーザ端末へ転送される。
(2)他者によるユーザの医療関係情報の取得(利用シーンB)
ここでは、例えばデータプロバイドサーバDPS1で管理されているユーザAの医療関係情報を、例えばその家族或いは担当医師であるユーザBが取得する場合を例にとって説明する。図9乃至図11はそのシーケンスを示す図である。
(2−1)TUSの発行
医療関連情報を取得させようとするユーザAは、自身のユーザ端末において、図9に示すように先ずシステムに対しログインする(ステップS91)。そうすると認証サーバIDPにおいて上記ログインユーザの認証処理が行われ(ステップS92)、ログインユーザの正当性が認められるとその応答がログイン元のユーザ端末に返送される。
この状態で、ユーザAがユーザ端末においてTUSの発行を要求するための操作を行ったとする(ステップS93)。この要求操作も、先に(1)で述べたアクセス制御ルールへのユーザ情報の登録の場合と同様に、ユーザ端末には操作画面が表示され、ユーザAは表示されたメニューの中で「TUS発行」を選択する。そして、TUSに含めるための図2に示した各構成要素(パラメータ)を任意に入力する。そうすると、ユーザ端末ではTUS発行要求が生成され、このTUS発行要求はWeb連携サーバWFS2へ送信される。
Web連携サーバWFS2は、上記TUS発行要求を受信するとステップS94においてTUSを発行して要求元のユーザ端末へ返送する。このTUSの発行処理は以下のように行われる。
すなわち、Web連携サーバWFS2は、ユーザ端末から送信されたTUS発行要求をユーザインタフェース21で受信すると、TUS発行モジュール26により、先ず受信されたTUS発行要求に含まれる入力パラメータ(図2の項番3〜7)をチェックする。そして、情報流通モジュール23を呼び出し、情報流通モジュール23が管理する要求元ユーザの認証結果情報を取得する。
例えば、先ず入力パラメータにてロール情報(ロールID)又は所属組織情報(所属組織コード)が指定されている場合には、これらが上記認証結果情報の中に存在するか否かを判定する。この判定の結果、認証結果情報に含まれていれば、Web連携サーバWFS2のローカルユーザIDと認証サーバIDPのプロバイダIDを検索キーとしてローカルユーザデータベース28に対しアクセスし、ローカルユーザIDに相当する仮名を読み出す。続いて、情報流通モジュール23を呼び出し、この情報流通モジュール23が管理するWeb連携サーバ(自プロバイダ)WFS2のプロバイダIDを取得する。そして、TUSを生成する各構成要素、つまり上記ユーザ端末から受信した入力パラメータ、上記取得された仮名及び乱数を連結する。
次に、上記連結されたTUSの構成要素を認証サーバIDPの公開鍵で暗号化する。そして、この生成された暗号化文字列に認証サーバIDPのプロバイダIDと、上記取得た自己のWeb連携サーバWFS2のプロバイダIDを連結してTUSとする。なお、暗号化にはRSA暗号などを使用する。最後に、上記生成された暗号化TUSを、ユーザインタフェース21から要求元のユーザ端末へ返送する。
なお、上記TUSの受信後にユーザBがログアウト操作を行うと(ステップS95)、認証サーバIDPにおいてログアウトが受け付けられて、ログアウト処理される(ステップS96)。
(2−2)発行されたTUSの受け渡し
Web連携サーバWFS2から送られたTUSは、図12に示すようにユーザAのユーザ端末からユーザBのユーザ端末へ例えば電子メールにより送信される(ステップS101,S102)。なお、上記TUSの受け渡しは、TUSをFDやUSBメモリ等の記憶媒体に保存し、この記憶媒体をユーザAからユーザBに手渡しすることで行ってもよい。このTUSの受け渡しの具体例としては、発行されたTUSのみ又はTUSを発行したWeb連携サーバWFS2のURLと発行されたTUSを埋め込んだURLを作成し、このURLを記述した電子メールをユーザAの端末からユーザBの端末へ送信する。
(2−3)TUSの解決とその利用
ユーザAの医療関連情報を取得しようとするユーザBは、自身のユーザ端末において、図11に示すように先ずシステムに対しログインする(ステップS111)。そうすると認証サーバIDPにおいて上記ログインユーザの認証処理が行われ(ステップS112)、ログインユーザの正当性が認められるとその応答がログイン元のユーザ端末に返送される。
この状態で、ユーザBがユーザ端末において、ユーザAから渡されたTUSの解決を要求するための操作を行ったとする(ステップS113)。そうすると、ユーザ端末ではTUS解決要求が生成され、このTUS解決要求はWeb連携サーバWFS1へ送信される。Web連携サーバWFS1は、上記TUS解決要求を受信するとステップS114によりこのTUS解決要求を認証サーバIDPへ転送する。認証サーバIDPは、転送されたTUSを解決し(ステップS115)、その結果を要求元のユーザBのユーザ端末へ返送する。
Web連携サーバWFS1は、ユーザ端末から送信されたTUS解決要求をユーザインタフェース21により受信すると、TUS解決要求モジュール27が要求されたTUSに含まれる入力パラメータをチェックする。そして、情報流通モジュール23を呼び出し、情報流通モジュール23が管理する要求元ユーザの認証結果情報を取得する。続いて、認証サーバIDPに送付するTUS解決要求電文を作成し、上記取得した要求元ユーザの認証結果と、上記作成されたTUS解決要求電文とを引数として情報流通モジュール23を呼び出し、認証サーバIDPへTUS解決要求電文を送信する。
認証サーバIDPは、Web連携サーバWFS1から送信されたTUS解決要求電文を情報流通モジュール33により受信すると、TUS解決モジュール35が上記受信されたTUS解決要求電文をチェックする。そして、TUS解決要求電文よりTUSを取得し、認証サーバIDPの秘密鍵で復号する。
次に、TUS解決モジュール35は、上記復号されたTUSの有効期限をチェックする。このチェックの結果、有効期限開始日時が設定されない場合には、すでに解決処理が開始されているものとして扱う。また、有効期限終了日時が設定されない場合には無期限として扱う。
続いて、TUS解決モジュール35は、上記復号されたTUSがTUS失効リストデータベース38に記憶されていないか否かを判定する。つまり、上記復号されたTUSが失効していないかどうかを確認する。この判定の結果、解決を要求されたTUSが失効していなければ、上記復号されたTUSの仮名と、TUS解決要求電文に含まれるTUS発行元のWeb連携サーバWFS2のプロバイダIDを検索キーとして、情報流通モジュール33を介してシステムユーザデータベース37に対しアクセスし、仮名及びプロバイダIDに対応するシステムユーザIDを取得する。
続いて、TUS解決モジュール35は、上記取得されたシステムユーザIDと、TUS解決要求電文にTUS解決要求元のWeb連携サーバWFS1のプロバイダIDを検索キーとして、情報流通モジュール33を介してシステムユーザデータベース37に対しアクセスし、これによりシステムユーザIDに該当する仮名を取得する。この処理により、TUS発行元のWeb連携サーバWFS2とは異なるWeb連携サーバWFS1でも、TUS解決要求を行うことができる。
続いて、TUS解決モジュール35は、上記取得された仮名と、TUSから抽出したロール情報(ロールID)、所属組織情報(所属組織コード)および表示名とを含む応答電文を作成する。そして、この作成された応答電文を情報流通モジュール33から要求元のWeb連携サーバWFS1へ返送する。
認証サーバIDPから応答電文を受け取ると、Web連携サーバWFS1のTUS解決要求モジュール27は、上記受け取ったTUS解決応答電文からTUSの構成要素である仮名、所属組織情報、ロール情報、表示名を取得し、TUSの発行元ユーザのユーザ識別子を生成する。そして、この生成されたTUSの発行元ユーザのユーザ識別子をユーザインタフェース21から解決要求元のユーザ端末へ返送する。
上記TUSの発行元ユーザのユーザ識別子を受信すると、ユーザBはこの受信したユーザ識別子をもとにユーザAの医療関連情報を取得するための操作を行う(ステップS116)。例えば、このときユーザ端末には操作画面が表示され、ユーザBは表示されたメニューの中で「情報取得」を選択する。そうすると、ユーザ端末では情報取得要求が生成され、この情報取得要求はWeb連携サーバWFS1へ送信される。
Web連携サーバWFS1は、上記ユーザ端末から送信された情報取得要求をユーザインタフェース21により受信すると、情報取得要求モジュール25が、ユーザBの認証結果情報と、上記受信された情報取得要求に含まれるユーザAのユーザ識別子を引数として、情報流通モジュール23を介して認証サーバIDPからデータプロバイドサーバ向けのユーザA及びユーザBの識別子を取得する。そして、この取得したデータプロバイドサーバ向けのユーザB及びユーザAの識別子をもとに、アクセス先のデータプロバイドサーバDPS1へ情報流通モジュール23から情報取得要求を送信する(ステップS117)。
データプロバイドサーバDPS1は、Web連携サーバWFS1から送信された情報取得要求を情報流通モジュール12により受信すると、情報提供モジュール13が、上記要求に応じてローカルユーザデータベース17から該当するユーザAのローカルユーザIDを読み出す。そして、この読み出されたローカルユーザIDをもとに医療関連情報データベース15に対しアクセスし、上記ユーザAの該当する医療関連情報を読み出す。そして、この読み出された医療関連情報を、情報流通モジュール12から要求元のWeb連携サーバWFS1へ送信する(ステップS118)。
Web連携サーバWFS1は、上記データプロバイドサーバDPS1から送信された医療関連情報を情報流通モジュール23で受信すると、情報取得要求モジュール25の制御の下で、この受信された医療関連情報をユーザインタフェース21からユーザBのユーザ端末へ転送する。
(3)TUS失効リストの管理
(3−1)TUS失効処理
例えば、発行したTUSの紛失や第三者への流出が判明した場合、当該TUSを失効させる必要がある。このTUSの失効手続きは以下のように行われる。
ここでは、ユーザAが自身のTUSを失効させたい場合を例にとって説明を行う。図12はその処理手順と処理内容の概要を示すフローチャートである。
TUS失効管理は、システムの管理者であるオペレータがユーザからの依頼を受けて行う。ユーザAはオペレータに対しTUS失効登録申請書を提出する(ステップS121)。オペレータは、ステップS122で上記TUS失効登録申請書を受領すると、オペレータ用の端末からシステムにログインする(ステップS123)。上記ログイン要求を受信するとユーザサポートセンタUSCは、先ずステップS124でユーザ認証を行う。そして、ログインユーザの正当性が確認されると、その結果をログイン元のオペレータ端末に返送する。
上記認証結果の通知を受けてオペレータが、上記TUS失効登録申請書の内容に基づいてTUS失効登録要求操作を行うと、オペレータ端末からユーザサポートセンタUSCへTUS失効リストの追加登録要求が送信される(ステップS125)。ユーザサポートセンタUSCは、上記TUS失効リストの追加登録要求を受信すると、ステップS126において認証サーバIDPへTUS失効リストの追加登録要求を転送する。認証サーバIDPは上記TUS失効リストの追加登録要求を受信すると、この受信された追加登録要求の内容に応じてTUS失効リストデータベース38に失効対象のTUSを追加登録する処理を実行する(ステップS127)。
図17は、上記ユーザサポートセンタUSC及び認証サーバIDP内における処理の流れを示す図である。同図において、ユーザサポートセンタUSCは、上記TUS失効リストの追加登録要求をユーザインタフェース41により受信すると、TUS失効リスト管理要求モジュール43が先ず入力パラメータ、つまりTUSおよび認証サーバのプロバイダIDをチェックする。続いて、管理用処理要求モジュール42が認証サーバへTUS失効リスト追加要求電文を送信する。
これに対し認証サーバIDPは、上記ユーザサポートセンタUSCから送られたTUS失効リスト追加要求電文を受信すると、以下のようにTUS失効リスト追加登録処理を実行する。
すなわち、先ず要求元のユーザサポートセンタUSCのIPアドレスが、認証サーバIDPの管理用処理受付モジュール34で管理されている許可IPアドレスリストに含まれるか否かをチェックする。続いて、入力パラメータ(TUSのリスト)をチェックする。そして、これらのチェックの結果、受付けの条件を満足すると、上記受信されたTUS失効リスト追加要求電文に含まれる暗号化されたTUSを復号し、仮名、TUSの発行元のWeb連携サーバのプロバイダID、有効期限開始日時及び有効期限終了日時を抽出する。
次に、TUS失効リスト管理モジュール36が、上記抽出されたTUSの仮名とプロバイダIDを検索キーとして、情報流通モジュール33を介してシステムユーザデータベース37を検索し、仮名に相当するシステムユーザIDを取得する。続いて、この取得したシステムユーザIDを含むTUS失効リストのレコードを作成する。図18は、作成されるTUS失効リストのレコードの一例を示すものである。同図に示すようにTUS失効リストのレコードは、ユーザIDと、TUSと、TUSから抽出した有効期間の開始日時及び終了日時と、レコードの作成日時及び更新日時とを含む。
そして、TUS失効リスト管理モジュール36は、上記作成されたTUS失効リストのレコードを、TUS失効リストデータベース38のTUS失効リストに追加登録する。なお、入力パラメータに複数のTUSリストが記載されている場合には、以上のレコード登録処理をこれらのTUSリスト分繰り返す。そして、すべてのレコードの登録が完了すると、登録処理を終了する。
上記登録処理が終了すると、認証サーバIDPの管理用処理受付モジュール34が、処理結果を表す応答を要求元のユーザサポートセンタUSCへ返送する。上記処理結果を表す応答は、図17に示すようにユーザサポートセンタUSCを経由して要求元のオペレータ端末に転送される。
オペレータは、上記応答を受けると自身の端末においてログアウト操作を行う(ステップS128)。そうするとユーザサポートセンタUSCは、ステップS129においてログアウト処理を行い、その結果をオペレータ端末に通知する。オペレータは、上記ログアウト後にステップS130によりTUS失効情報を作成し、このTUS失効情報をユーザAが使用するユーザ端末へ送信する(ステップS131)。
かくして、TUS失効リストデータベース38に失効対象のTUSが登録され、以後このTUSの使用は停止される。
(3−2)失効済みTUSの有効化
一時的に紛失したTUSが見つかった場合、失効済みのTUSの失効を解除することが可能である。この失効済みTUSの有効化処理は以下のように行われる。図13はその処理手順と処理内容の概要を示すフローチャートである。
失効済みTUSの有効化処理も、先に述べたTUS失効登録処理と同様に、システムの管理者であるオペレータがユーザからの依頼を受けて行う。ユーザAはオペレータに対しTUS失効削除申請書を提出する(ステップS141)。オペレータは、ステップS142で上記TUS失効削除申請書を受領すると、オペレータ用の端末からシステムにログインする(ステップS143)。上記ログイン要求を受信するとユーザサポートセンタUSCは、先ずステップS144でユーザ認証を行う。そして、ログインユーザの正当性が確認されると、その結果をログイン元のオペレータ端末に返送する。
上記認証結果の通知を受けてオペレータが、上記TUS失効リストの閲覧要求操作を行うと、オペレータ端末からユーザサポートセンタUSCへTUS失効リストの検索を求めるTUS失効管理要求が送信される(ステップS145)。ユーザサポートセンタUSCは、上記TUS失効リスト管理要求を受信すると、ステップS146において認証サーバIDPへ上記TUS失効リストの検索を求めるTUS失効リスト管理要求を転送する。認証サーバIDPは上記TUS失効リスト管理要求を受信すると、この受信された要求に応じてTUS失効リストデータベース38から該当するTUS失効リストを読み出し、この読み出されたTUS失効リストをユーザサポートセンタUSCを経由して要求元のオペレータ端末へ返送する(ステップS147)。
オペレータは、自身の端末において、上記返送されたTUS失効リストの中から失効を削除する対象のTUSを選択する(ステップS148)。そうすると、オペレータ端末はTUS失効管理要求モジュール43によりTUS失効リストの削除を求めるTUS失効管理要求を生成し、このTUS失効管理要求をユーザサポートセンタUSCへ送信する(ステップS148)。
ユーザサポートセンタUSCは、上記TUS失効管理要求をユーザインタフェース41により受信すると、TUS失効管理要求モジュール43の制御の下で、管理用処理要求モジュール42から上記TUSの失効削除を求めるTUS失効管理要求を認証サーバIDPへ転送する(ステップS150)。認証サーバIDPは、上記TUS失効リスト管理要求を受信すると、この受信された要求の内容に応じてTUS失効リストデータベース38から該当する失効TUSの失効管理情報を削除する(ステップS151)。
上記削除処理が終了すると、認証サーバIDPの管理用処理受付モジュール34が、処理結果を表す応答を要求元のユーザサポートセンタUSCへ返送する。上記処理結果を表す応答は、ユーザサポートセンタUSCを経由して要求元のオペレータ端末に転送される。オペレータは、上記応答を受けると自身の端末においてログアウト操作を行う(ステップS152)。そうするとユーザサポートセンタUSCは、ステップS153においてログアウト処理を行い、その結果をオペレータ端末に通知する。オペレータは、上記ログアウト後にステップS154により削除処理後の新たなTUS失効情報を作成し、このTUS失効情報をユーザAが使用するユーザ端末へ送信する(ステップS154)。
かくして、TUS失効リストデータベース38に記憶された失効対象TUSのうち、有効化すべきTUSの失効状態は解除され、以後このTUSは再び使用可能となる。
以上詳述したように上記実施形態では、ユーザAの個人情報に対し規定されたアクセス制御ルールに対し、ユーザBが自身のユーザ情報の登録を要求する際に、先ずユーザBの端末からTUS発行要求を送信して、Web連携サーバWFS1により暗号化されたTUSを発行する。次に、ユーザAの端末からTUS解決要求を送信し、認証サーバIDPにおいてこのTUS解決要求に含まれるTUSを復号してユーザBを識別するための情報に変換し、この変換されたユーザBを識別するための情報をデータプロバイドサーバDPS1に送信して上記ユーザAのアクセス制御ルールに設定するようにしている。
したがって、ユーザAの医療関係情報に対応するアクセス制御ルールに設定するユーザBの識別情報は、ユーザB本人の要求に応じてTUSとして発行される。このため、ユーザBの識別情報を、公開されることなくまた検索されることなく安全にユーザAに渡すことができる。また、ユーザAはこの渡されたTUSの解決を要求することで、システム上でユーザBを確実に指定してその識別情報をユーザAのアクセス制御ルールに設定することができる。
またこの実施形態では、ユーザAの医療関連情報を、ユーザBが自身の端末からユーザAの識別情報を用いて取得する際に、先ずユーザAの端末からTUSの発行要求を送信して、ユーザAを他者に指定させるための暗号化されたTUSをWeb連携サーバWFS2により発行する。次に、上記ユーザBの端末からTUS解決要求を送信し、認証サーバIDPにより当該解決要求に含まれる暗号化TUSを復号してユーザAの識別情報に変換し、この変換されたユーザAの識別情報を用いてデータプロバイドサーバDPS1からユーザAの医療関係情報を取得するようにしている。
したがって、ユーザAの医療関連情報を取得するために必要なユーザAの識別情報は、ユーザA本人の要求に応じてTUSとして発行される。このため、ユーザAの識別情報は、公開されることなくまた検索されることなく安全にユーザAからユーザBに渡すことができる。また、ユーザBはこの渡されたTUSの解決を自身の端末から要求することで、システム上でユーザAを確実に指定してその医療関連情報を取得することができる。
さらにこの実施形態では、TUSを発行する際に、システム上で発行要求元のユーザIDと関連付けられた仮名をTUSに含め、TUSを解決する際に、上記発行された暗号化TUSを復号して上記仮名に変換したのち、この変換された仮名を上記発行要求元のユーザIDに変換するようにしている。したがって、上記暗号化されたTUSを復号する秘密鍵が流出してTUSが第三者により復号されても、システム上で使用されている実ID(ユーザIDやログインID)が第三者に知られるリスクを回避できる。
さらにこの実施形態では、TUSを発行する際に、TUSに有効期間の開始日時と終了日時を表す情報を含め、このTUSを解決する際に、復号されたTUSに含まれる有効期間の開始日時と終了日時を表す情報をもとに、当該TUSが有効か無効かを判定するようにしている。したがって、TUSの用途に応じてその有効期間を任意に設定することができる。例えば、医師等の場合には、TUSを渡す相手が複数人に及ぶため、有効期間の長いTUSを発行することで、複数人の相手のそれぞれに対しその都度TUSを発行する場合と比べユーザの負担を軽減することができる。
さらにこの実施形態では、認証サーバIDPにTUS失効リストデータベース38を設け、オペレータ端末からTUS失効登録要求を送信して、認証サーバIDPにより失効対象のTUSを表す情報をTUS失効リストデータベース38に登録する。そして、ユーザがTUS解決を要求したときに、この要求に応じてTUSが上記TUS失効リストデータベース38に登録されているか否かを判定し、登録されている場合にはこのTUSを使用無効とするようにしている。したがって、TUSを紛失したり悪用された場合に、このTUSの使用を停止させることが可能になる。
さらにこの方法を用いると、暗号化されたユーザの識別情報をTUSに埋め込むことで、TUSを管理する必要がなくなり、TUSの発行数にも制限がないという利点がある。また、同一ユーザが複数のTUSを発行することも可能である。
さらにこの実施形態では、オペレータ端末からTUS失効削除要求を送信して、認証サーバIDPにより失効中のTUSの失効管理情報を削除するようにしている。このため、一時的に使用を停止させたTUSの使用を、ユーザの申請に応じて再開させることが可能となる。
さらにこの実施形態では、TUSを発行する際に、TUSに発行要求元のユーザの識別情報に加えて、発行要求元ユーザの属性情報、例えばユーザの所属組織や資格を表す情報を含めるようにしている。このようにすると、アクセス制御ルールにユーザIDを設定する際に、同時に当該設定要求元のユーザの所属組織や資格等を表す情報を設定することが可能となる。
また、TUSにその発行元となるWeb連携サーバのプロバイダIDを含めるようにしてもよい。このようにすると、TUS発行元のWeb連携サーバに限らず認証連携されたどのWeb連携サーバでもTUSの解決要求を受け付けることが可能となる。
さらに、TUSにニックネームや質問/回答等の表示情報を含めることで、発行元ユーザが入力したニックネーム又は質問等を、TUS解決処理時にその解決要求元ユーザに向けて表示してユーザ確認させることが可能となる。
さらにこの実施形態では、TUSを発行する際に、Web連携サーバが保持する秘密鍵を用いてTUSに署名を行い、このTUSを認証サーバIDPが解決する際に、復号されたTUSの署名を上記秘密鍵と対をなす公開鍵を用いて検証するようにしている。したがって、TUSの解決処理時にTUSについて署名検証を行うことが可能となり、これによりTUSを紛失した場合のセキュリティを高めることができる。
なお、この発明は上記実施形態に限定されるものではない。例えば、上記実施形態ではTUSの失効管理を行うようにしたが、それに加えてTUSの発行管理も行うようにしてもよい。
TUSの失効管理のみを行う場合には、TUS発行時にWeb連携サーバWFS1〜WFSmと認証サーバIDPとの間の通信が発生しないし、またTUSの発行数が制限されない等の利点がある反面、ユーザがTUSを失効するためにはTUSを提示することが必要となり、TUSを紛失した場合にTUSの失効処理を行えないという課題がある。このことは、TUS失効リストの内容を充実させることでも回避可能であるが、TUSの発行を管理することにより対処できる。以下、認証サーバIDPにおいてTUSを発行し、発行したTUSを管理する場合について述べる。
認証サーバIDPにおいて、TUS失効リストに加え、「TUS発行リスト」をデータベースにより管理する。TUS発行リストでは、前記実施形態で述べたように、TUSに埋め込んでいた発行ユーザの識別子、所属組織情報、ロール情報、有効期間(開始日時及び終了日時)、表示名などの情報を保持する。また、TUSの種別などを保持することも可能である。これにより、TUSにはTUS発行リストとリンクさせるための情報のみを埋め込めばよいことになり、ユーザ個人に関連付けられた各種情報を格納する必要はなくなる。
先ず、TUSの発行処理は次のように行われる。すなわち、TUS発行モジュールはWeb連携サーバWFS1〜WFSmではなく認証サーバIDPに配置し、代わりにWeb連携サーバWFS1〜WFSmにはユーザ端末からのTUS発行要求を、認証サーバIDPへ転送するための処理を行うTUS発行要求モジュールを配置する。認証サーバIDPにおけるTUS発行モジュールの処理機能は、図4に示した構成と同じである。但し、このTUS発行処理は、認証サーバIDPで実行されるため、TUSに付与される発行元プロバイダIDは認証サーバIDPを示すものとなる。またTUSの暗号化は、前記実施形態と同様に認証サーバIDPの公開鍵を用いて行うが、署名は認証サーバIDPの秘密鍵を用いて行う。
次に、TUS解決処理は以下のように行われる。図19はその処理手順と処理内容を示す図である。
すなわち、TUS解決モジュール35は前記実施形態と同様に認証サーバIDPに設けられる。TUS解決モジュール35は、認証サーバIDPの秘密鍵でTUSをステップS211で復号し、そのTUSがTUS発行リストに存在するか否かをステップS222により確認する。そして、存在する場合にはTUS発行リストデータベース39から付随するユーザ属性情報などを取得し、ステップS223により対象ユーザのユーザ識別子を生成する。なお、TUSの復号処理は認証サーバIDPの秘密鍵で、また署名は認証サーバIDPの公開鍵を用いて行う。
このようにTUSの発行管理機能を設けると、以下のような効果が奏せられる。すなわち、認証サーバIDPにおいてTUSに関する情報を保持するため、仮名や有効期間などの各種情報をTUSに格納する必要がなくなる。このため、TUSの文字列を短くすることができる。また、図3に示したようなTUSの種類に関する情報も認証サーバIDP側で保持することができ、TUSの文字列自体を変更しなくても実現可能となる。さらに、ユーザ識別子から発行済みのTUSを検索することができる。このため、TUSを紛失した場合には当該TUSを失効させることが可能になる。
また、前記実施形態ではTUSをこのTUSに埋め込まれた有効期間情報により指定された期間内に限り有効とするようにしたが、ログインからログアウトされるまでの期間内に限り有効とするように制御してもよい。また、TUSは認証サーバで発行するようにしてもよく、その他データプロバイドサーバ、Web連携サーバ、認証サーバの構成や機能等についても、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。
さらに、前記実施形態ではEHRシステムを例にとって説明したが、利用するユーザが不特定多数で、本人が許可したユーザ以外には個人情報を一切公開することが許されないシステムであって、なおかつEHRと同様に蓄積された本人の情報を第三者が代理操作したり参照することが要件となるシステムであれば、同様にこの発明を適用可能である。この種のシステムとしては、例えば既存もしくは今後普及が予測される公共サービスである、住民基本台帳ネットワークや、住民登録、運転免許管理、自動車登録、介護保険申請、年金照会、税納付状況照会、電子私書箱等のシステムがあげられる。
要するにこの発明は、上記各実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記各実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
DPS1〜DPSn…データプロバイドサーバ、WFS1〜WFSm…Web連携サーバ、IDP…認証サーバ、USC…ユーザサポートセンタ、11,22,32…認証連携モジュール、12,23,33…情報流通モジュール、13…情報提供モジュール、14…アクセス制御ルール管理モジュール、15…医療関連情報データベース、16…アクセス制御ルールデータベース、17,28…ローカルユーザデータベース、21,41…ユーザインタフェース、24…アクセス制御ルール管理要求モジュール、25…情報取得要求モジュール、26…TUS発行モジュール、27…TUS解決要求モジュール、31…認証モジュール、34…管理用処理受付モジュール、35…TUS解決モジュール、36…TUS失効管理モジュール、37…システムユーザデータベース、38…TUS失効リストデータベース、42…管理用処理要求モジュール、43…TUS失効管理要求モジュール。

Claims (9)

  1. サーバ装置に記憶された第1のユーザの個人情報に対し、第2のユーザの端末から前記第1のユーザを識別するための情報を用いてアクセスする情報アクセス制御システムであって、
    前記第1のユーザの端末から送信される発行要求に応じて、当該発行要求元のユーザを識別するための情報に加え、当該発行要求元ユーザの属性情報と、前記一時ユーザ指定子の発行元となるサーバ装置を特定するための識別情報と、解決要求元のユーザに提示するための提示情報のうちの少なくとも一つを含んだ、前記アクセスのために第2のユーザが第1のユーザを指定するために使用する、暗号化された一時ユーザ指定子を発行する発行手段と、
    前記第2のユーザの端末から送信される解決要求に応じて、当該解決要求に含まれる前記発行された暗号化一時ユーザ指定子を復号して前記第1のユーザを識別するための情報に変換する解決手段と
    を具備することを特徴とする情報アクセス制御システム。
  2. サーバ装置に記憶された第1のユーザの個人情報に対し規定されたアクセス制御ルールに対し、第1のユーザの端末から、前記個人情報のアクセスを許可する第2のユーザを識別するための情報を設定する機能を有する情報アクセス制御システムであって、
    前記第2のユーザの端末から送信される発行要求に応じて、前記第2のユーザを識別するための情報の設定のために前記第1のユーザが第2のユーザを指定するために使用する、暗号化された一時ユーザ指定子を発行する発行手段と、
    前記第1のユーザの端末から送信される解決要求に応じて、当該解決要求に含まれる前記発行された暗号化一時ユーザ指定子を復号して前記第2のユーザを識別するための情報に変換する解決手段と
    を具備することを特徴とする情報アクセス制御システム。
  3. 前記発行手段は、システム上で発行要求元のユーザの識別子と関連付けられた仮名を暗号化した一時ユーザ指定子を発行し、
    前記解決手段は、前記発行された暗号化一時ユーザ指定子を復号して前記仮名に変換した後、この変換された仮名を前記発行要求元のユーザの識別子に変換することを特徴とする請求項1又は2記載の情報アクセス制御システム。
  4. 前記発行手段は、前記一時ユーザ指定子に有効期間を表す情報を含め、
    前記解決手段は、前記復号された一時ユーザ指定子に含まれる有効期間を表す情報をもとに、当該一時ユーザ指定子が有効か無効かを判定する手段を、さらに備えることを特徴とする請求項1又は2記載の情報アクセス制御システム。
  5. 前記解決手段は、
    失効リスト記憶手段と、
    端末から送信される失効登録要求に応じて、当該失効登録要求により指定された一時ユーザ指定子を前記失効リスト記憶手段に記憶させる手段と、
    前記復号された一時ユーザ指定子が前記失効リスト記憶手段に記憶されているか否かを判定し、記憶されている場合に当該一時ユーザ指定子を無効とする手段と
    を、さらに備えることを特徴とする請求項1又は2記載の情報アクセス制御システム。
  6. 前記解決手段は、端末から送信される失効削除要求に応じて、当該失効削除要求により指定される一時ユーザ指定子を前記失効リスト記憶手段から削除する手段を、さらに備えることを特徴とする請求項5記載の情報アクセス制御システム。
  7. 前記発行手段は、当該発行手段が所有する秘密鍵を用いて一時ユーザ指定子に署名を行う手段を、さらに備え、
    前記解決手段は、前記復号された一時ユーザ指定子の署名を、前記秘密鍵と対をなす公開鍵を用いて検証する手段を、さらに備えることを特徴とする請求項1又は2記載の情報アクセス制御システム。
  8. 第1のユーザの個人情報を記憶するデータプロバイドサーバ装置と、ユーザが使用する端末と前記データプロバイドサーバ装置との間を連携する連携サーバ装置と、前記データプロバイドサーバ装置と連携サーバ装置との間を認証連携する認証サーバ装置とを備えるシステムを利用して、前記データプロバイドサーバ装置に記憶された第1のユーザの個人情報に対し、第2のユーザの端末から前記第1のユーザを識別するための情報を用いてアクセスする情報アクセス方法であって、
    前記連携サーバ装置が、前記第1のユーザの端末から送信される発行要求に応じて、当該発行要求元のユーザを識別するための情報に加え、当該発行要求元ユーザの属性情報と、前記一時ユーザ指定子の発行元となるサーバ装置を特定するための識別情報と、解決要求元のユーザに提示するための提示情報のうちの少なくとも一つを含んだ、前記アクセスのために第2のユーザが第1のユーザを指定するために使用する、暗号化された一時ユーザ指定子を発行する過程と、
    前記認証サーバ装置が、前記第2のユーザの端末から送信される解決要求に応じて、当該解決要求に含まれる前記発行された暗号化一時ユーザ指定子を復号して前記第1のユーザを識別するための情報に変換する過程と
    を具備することを特徴とする情報アクセス制御方法。
  9. 第1のユーザの個人情報を記憶するデータプロバイドサーバ装置と、ユーザが使用する端末と前記データプロバイドサーバ装置との間を連携する連携サーバ装置と、前記データプロバイドサーバ装置と連携サーバ装置との間を認証連携する認証サーバ装置とを備えるシステムを利用して、前記データプロバイドサーバ装置に記憶された第1のユーザの個人情報に対し規定されたアクセス制御ルールに対し、第1のユーザの端末から、前記個人情報のアクセスを許可する第2のユーザを識別するための情報を設定する機能を有する情報アクセス制御方法であって、
    前記連携サーバ装置が、前記第2のユーザの端末から送信される発行要求に応じて、前記第2のユーザを識別するための情報の設定のために前記第1のユーザが第2のユーザを指定するために使用する、暗号化された一時ユーザ指定子を発行する過程と、
    前記認証サーバ装置が、前記第1のユーザの端末から送信される解決要求に応じて、当該解決要求に含まれる前記発行された暗号化一時ユーザ指定子を復号して前記第2のユーザを識別するための情報に変換する過程と
    を具備することを特徴とする情報アクセス制御方法。
JP2009259286A 2009-11-12 2009-11-12 情報アクセス制御システム及び方法 Active JP5090425B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009259286A JP5090425B2 (ja) 2009-11-12 2009-11-12 情報アクセス制御システム及び方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009259286A JP5090425B2 (ja) 2009-11-12 2009-11-12 情報アクセス制御システム及び方法

Publications (2)

Publication Number Publication Date
JP2011107779A JP2011107779A (ja) 2011-06-02
JP5090425B2 true JP5090425B2 (ja) 2012-12-05

Family

ID=44231209

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009259286A Active JP5090425B2 (ja) 2009-11-12 2009-11-12 情報アクセス制御システム及び方法

Country Status (1)

Country Link
JP (1) JP5090425B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5439443B2 (ja) * 2011-07-26 2014-03-12 日本電信電話株式会社 情報管理システムとそのデータ連携操作方法、プログラム
JP5483746B2 (ja) * 2011-11-30 2014-05-07 日本電信電話株式会社 ネットワークシステム、ゲートウェイサーバ、ユーザ識別子連携方法及びユーザ識別子連携プログラム
JP2014134881A (ja) * 2013-01-08 2014-07-24 Nippon Telegr & Teleph Corp <Ntt> 権限委譲管理システム及びその方法
KR102483794B1 (ko) * 2019-06-05 2023-01-03 주식회사 모카시스템 출입 관리 시스템 및 그 방법
JP7019648B2 (ja) * 2019-10-01 2022-02-15 株式会社エムティーアイ 情報処理システムおよびプログラム
JP7133136B1 (ja) 2022-02-24 2022-09-08 株式会社サンクスネット 共有健康医療情報第三者開示システム
JP7204271B1 (ja) 2022-02-24 2023-01-16 株式会社サンクスネット 共有健康医療情報第三者開示システム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002229953A (ja) * 2001-01-30 2002-08-16 Canon Inc 個人情報管理システム及びその方法
JP2002324194A (ja) * 2001-04-26 2002-11-08 Hitachi Ltd アクセス権管理方法
JP2003066836A (ja) * 2001-08-28 2003-03-05 Hitachi Ltd 電子署名方法
JP2004213265A (ja) * 2002-12-27 2004-07-29 Hitachi Ltd 電子文書管理装置、文書作成者装置、文書閲覧者装置、電子文書管理方法及び電子文書管理システム
JP2005025674A (ja) * 2003-07-02 2005-01-27 Keio Gijuku 情報処理システム及び情報処理方法、並びにコンピュータ上で動作する情報処理プログラム
JP4672593B2 (ja) * 2006-05-02 2011-04-20 日本電信電話株式会社 Id連携型認証システムおよびid連携型認証方法

Also Published As

Publication number Publication date
JP2011107779A (ja) 2011-06-02

Similar Documents

Publication Publication Date Title
TWI700916B (zh) 提供和獲取安全身份資訊的方法及裝置
US8635679B2 (en) Networked identity framework
Huang et al. MedBloc: A blockchain-based secure EHR system for sharing and accessing medical data
US8117459B2 (en) Personal identification information schemas
US20070192140A1 (en) Systems and methods for extending an information standard through compatible online access
US20060229911A1 (en) Personal control of healthcare information and related systems, methods, and devices
JP5090425B2 (ja) 情報アクセス制御システム及び方法
US20070027715A1 (en) Private health information interchange and related systems, methods, and devices
US20200035339A1 (en) Blockchain security system for secure record access across multiple computer systems
JP5865420B2 (ja) Web情報アクセスシステムとそのアクセス権限譲渡方法
US20220278830A1 (en) Secure information sharing systems and methods
US20140379380A1 (en) Methods for remotely accessing electronic medical records without having prior authorization
KR20170135332A (ko) 공인기관에 의한 의료기록 관리 및 전송 시스템 및 방법
JP4871991B2 (ja) 情報アクセス制御システムとそのサーバ装置、情報アクセス制御方法、アクセス制御ルール設定制御方法
Ghayvat et al. Sharif: Solid pod-based secured healthcare information storage and exchange solution in internet of things
Chadwick et al. Using the Internet to access confidential patient records: a case study
WO2021173260A1 (en) Decentralized identification anchored by decentralized identifiers
JP2010186250A (ja) 分散情報アクセスシステム、分散情報アクセス方法及びプログラム
JP3770173B2 (ja) 共通鍵管理システムおよび共通鍵管理方法
EP4348915A1 (en) Endorsement claim in a verifiable credential
Zhang et al. The feasibility and significance of employing blockchain-based identity solutions in health care
Santos-Pereira et al. A mobile based authorization mechanism for patient managed role based access control
Gouveia et al. E-id authentication and uniform access to cloud storage service providers
JP5919497B2 (ja) ユーザ認証システム
Nagamani et al. A mobile cloud-based approach for secure m-health prediction application

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120314

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120417

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120613

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20120627

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120703

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120806

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120904

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120912

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150921

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5090425

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350