kintoneの権限設計が企業の情報セキュリティを左右する
kintoneを導入したものの、「誰がどの情報にアクセスできるのか把握できていない」「部門間で見せてはいけないデータが共有されている」といった課題を抱える企業は少なくありません。本記事では、kintoneのアクセス権限を部門別・役職別に適切に設計する方法を解説します。権限設計の基本的な考え方から、具体的な設定手順、よくある失敗パターンまで、実務で使える内容をお伝えします。
情報処理推進機構(IPA)の「企業における情報セキュリティ実態調査2023」によると、内部からの情報漏洩事故の約35%がアクセス権限の設定不備に起因しています。kintoneは柔軟な権限設定が可能なツールですが、その柔軟さゆえに設計を誤ると深刻なセキュリティリスクを招きかねません。適切な権限設計は、情報漏洩を防ぐだけでなく、業務効率の向上にも直結します。
kintoneのアクセス権限とは何か
kintoneのアクセス権限とは、「誰が」「どのアプリの」「どのレコードを」「どこまで操作できるか」を制御する仕組みです。この権限設計を適切に行うことで、必要な人が必要な情報にアクセスでき、不要な情報へのアクセスを制限できます。
kintoneには大きく分けて3つの権限レイヤーがあります。1つ目は「アプリ権限」で、アプリ自体へのアクセス可否を制御します。2つ目は「レコード権限」で、レコード単位での閲覧・編集・削除の可否を設定できます。3つ目は「フィールド権限」で、特定の項目だけを見せない、編集させないといった細かな制御が可能です。
たとえば人事部が管理する従業員情報アプリを考えてみましょう。アプリ権限では人事部と経営層のみがアクセス可能に設定し、レコード権限では各部門長が自部門の従業員情報のみ閲覧できるようにします。さらにフィールド権限で給与情報は人事部のみが閲覧可能に設定する、といった多層的な制御ができます。
この3層構造を理解し、適切に組み合わせることが権限設計の基本となります。総務省の「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」でも、アクセス制御は「最小権限の原則」に基づいて設計すべきとされています。つまり、業務に必要な最小限の権限のみを付与するという考え方です。
部門別・役職別の権限設計の考え方
権限設計を始める前に、まず自社の組織構造と情報の流れを整理することが重要です。多くの企業では、部門ごとに扱う情報の機密度が異なり、役職によってアクセスすべき情報の範囲も変わります。
部門別の権限設計では、各部門が「作成・管理する情報」と「参照のみ必要な情報」を明確に分けることから始めます。営業部であれば顧客情報や案件情報の作成・編集権限が必要ですが、経理部の経費精算情報は参照のみで十分かもしれません。逆に経理部は経費精算情報のフル権限が必要ですが、営業部の詳細な案件情報までは不要でしょう。
役職別の権限設計では、「一般社員」「管理職」「経営層」の3階層で考えるのが基本です。一般社員は自身の業務に関連するレコードの作成・編集権限を持ちます。管理職は部下のレコードを含めた閲覧権限と、承認などの特定操作権限を持ちます。経営層は全社横断的な情報へのアクセス権限を持つことが一般的です。
サイボウズの公式ドキュメントでは、権限設計のベストプラクティスとして「グループを活用した権限管理」を推奨しています。個人単位ではなくグループ単位で権限を設定することで、人事異動や組織変更への対応が容易になります。たとえば「営業部」「営業部_管理職」「営業部_一般」といったグループを作成し、それぞれに適切な権限を割り当てます。社員が異動した際はグループの所属を変更するだけで、権限も自動的に切り替わります。
具体的な権限設定の手順
実際にkintoneで権限を設定する手順を説明します。まずアプリ権限の設定から始め、必要に応じてレコード権限、フィールド権限へと進みます。
アプリ権限の設定は、アプリの設定画面から「アクセス権」を選択して行います。ここでは「アプリ管理」「レコード追加」「レコード閲覧」などの権限を、ユーザーまたはグループ単位で設定できます。重要なのは、まず「Everyone(全員)」の権限を外し、必要なグループにのみ権限を付与することです。デフォルトでは全員がアクセスできる設定になっていることが多いため、この確認を怠ると意図しない情報公開につながります。
レコード権限は、特定の条件に合致するレコードに対して個別の権限を設定する機能です。たとえば「作成者本人のみ編集可能」「ステータスが承認済みの場合は閲覧のみ」といった設定ができます。営業案件管理アプリであれば、「担当者」フィールドの値と閲覧者が一致する場合のみ編集可能、といった設定が有効です。
フィールド権限は、機密性の高い情報を特定の人のみに公開する場合に使用します。給与情報、個人の評価情報、契約金額などが該当します。フィールド権限を設定すると、権限のないユーザーにはそのフィールドが表示されなくなるか、値が伏せ字で表示されます。
設定後は必ずテストを行いましょう。テスト用のアカウントを複数用意し、各役職・部門の視点でアプリにアクセスして、想定どおりの権限設定になっているか確認します。この検証工程を省略すると、運用開始後に「見えてはいけない情報が見えている」といったトラブルが発生しかねません。
よくある失敗パターンと対策
ここまで読んで
「うちも同じだ」と思った方へ
課題は企業ごとに異なります。30分の無料相談で、
御社のボトルネックを一緒に整理しませんか?
営業電話なし オンライン対応可 相談だけでもOK
権限設計でよく見られる失敗パターンを紹介します。これらを事前に把握しておくことで、同じ轍を踏まずに済みます。
1つ目の失敗は「権限の与えすぎ」です。「とりあえず全員に権限を付与しておいて、問題があれば後から制限する」というアプローチは危険です。一度公開した情報を後から制限することは、技術的には可能でも組織的な抵抗を招きやすく、実行が困難になります。最初から必要最小限の権限で始め、必要に応じて拡大する方が安全です。
2つ目の失敗は「個人単位での権限設定」です。「Aさんには見せるがBさんには見せない」といった個人単位の設定を繰り返すと、人事異動のたびに大量の設定変更が必要になります。数十人規模でも管理が煩雑になり、数百人規模では事実上管理不能になります。必ずグループを活用した設計を心がけてください。
3つ目の失敗は「権限設計の文書化漏れ」です。なぜこの権限設定にしたのか、どのグループにどの権限があるのかを文書化しておかないと、担当者が変わった際に設計意図がわからなくなります。権限設計書を作成し、変更があるたびに更新する運用ルールを設けることが重要です。
4つ目の失敗は「定期的な棚卸しの欠如」です。組織は常に変化します。新部門の設立、役職の変更、業務プロセスの見直しなどに伴い、権限設計も更新が必要です。少なくとも年に1回は権限設定の棚卸しを行い、実態と設計が乖離していないか確認しましょう。
自社で取り組むべき5つのアクション
ここまでの内容を踏まえ、御社で今すぐ取り組めるアクションを整理します。
まず1つ目として、現状の権限設定を棚卸ししてください。既存のkintoneアプリについて、誰がどの権限を持っているかを一覧化します。意外な人が意外な情報にアクセスできる状態になっていることが判明するケースは珍しくありません。
2つ目に、情報の機密度を分類します。自社で扱う情報を「極秘」「社外秘」「部門内限定」「全社共有可」などのレベルに分類し、それぞれどの役職・部門がアクセスすべきかを定義します。この分類表が権限設計の基盤となります。
3つ目に、グループ体系を整備します。kintoneのグループ機能を活用し、部門と役職の組み合わせでグループを作成します。「営業部_管理職」「経理部_一般」といった形で、権限設定に使いやすい粒度でグループを用意しておきます。
4つ目に、権限設計書のテンプレートを作成します。新規アプリ作成時に必ず権限設計を検討するよう、テンプレートを用意します。アプリ名、対象グループ、権限レベル、設定理由などを記載できるフォーマットがあると、設計の抜け漏れを防げます。
5つ目に、定期レビューの仕組みを構築します。四半期または半期に一度、権限設定の妥当性をレビューする会議体を設けます。組織変更や業務変更があった際に権限設定も見直す習慣をつけることで、セキュリティレベルを維持できます。
GXOのkintone設計支援サービス
kintoneのアクセス権限設計は、自社で取り組むことも可能ですが、組織規模が大きい場合や、複雑な業務プロセスを持つ場合は専門家の支援を受けることで、より確実かつ効率的に進められます。
GXOでは、180社以上の中小・中堅企業へのIT支援実績を活かし、kintoneの導入設計から権限設計、運用ルール策定までを一貫して支援しています。セキュリティ要件を満たしながら、現場の業務効率も向上させる権限設計を、御社の組織構造に合わせてご提案します。
自社でkintoneの権限設計を進めようとしているが「このやり方で合っているか不安」「もっと効率的な方法があるのでは」とお考えの方は、ぜひ一度ご相談ください。
まとめ
kintoneのアクセス権限設計は、情報セキュリティと業務効率の両立を実現する重要な取り組みです。アプリ権限、レコード権限、フィールド権限の3層構造を理解し、部門別・役職別に適切な権限を設計することで、必要な情報に必要な人だけがアクセスできる環境を構築できます。最小権限の原則に基づき、グループを活用した設計を行い、定期的な棚卸しで実態との乖離を防ぐことが成功のポイントです。
詳しくはGXOにご相談ください。 お問い合わせはこちら:https://gxo.co.jp/contact-form
「やりたいこと」はあるのに、
進め方がわからない?
DX・AI導入でつまずくポイントは企業ごとに異なります。
30分の無料相談で、御社の現状を整理し、最適な進め方を一緒に考えます。
営業電話なし オンライン対応可 相談だけでもOK
![kintoneで実現する業務効率化!成功企業の共通点とは](data:image/svg+xml,%3Csvg xmlns="http://www.w3.org/2000/svg" width="800" height="400" viewBox="0 0 800 400"%3E%3Crect width="800" height="400" fill="%2314b8a6"/%3E%3Ctext x="50%25" y="50%25" text-anchor="middle" dy=".3em" fill="white" font-family="Inter" font-size="32"%3Ekintone活用術%3C/text%3E%3C/svg%3E)
