Это как раз-таки задачка из стандартных

Во-первых, надо настучать по голове тому, кто решил, что пользователь должен видеть только "свое" а потом выяснилось, что не только
Если это клиент - это одно дело. Клиетну простительно. Но если это программист недосмотрел (недоспросил клиента, не задал вопрос "Вы уверены в том что пользователь может работать только со "своими" данными в 100% случаев?" не попросил клиента расписаться под ответом) - то конечно было упущено важное требование к системе.
Но это риторика.

Практически же вы абсолютно правы - надо будет создавать понятие групп (я предпочитаю слово "роль" - понятнее для клиетна) и раздавать права группам.
Если же вы хотите что называетя "quick fix" - то я бы на вашем месте создал бы таблицу Delegates(user_id, delegate_id), может быть с дополнительными полями ДЕТАЛИЗИРУЮЩИМИ тип делегирования (чтение, чтение-запись, что можно смотреть, т.д.)

Еслт юзер (ID=x) делегирует свои данные для просмотра юзеру (ID=y) то в таблице будет запись (x,y). Ну и чуть-чуть придется модифицировать запросы - выбирать все для пользователя + все ДЕЛЕГИРОВАННОЕ этому пользователю.