Это невозможно с помощью встроенной системы безопасности. Роли безопасности предоставляют доступ на основе уровня записи, а не уровня значения.
Должна быть возможность создать плагин, который обрабатывает сообщение PreRetrieve для этого объекта. Этот плагин может проверять ваши пользовательские критерии, и если пользователю не разрешено открывать запись, вы можете выдать исключение, чтобы отменить операцию.
Имейте в виду, что для 100% решения вам также придется обрабатывать RetrieveMultiple, Execute, ...