kintone権限設定の失敗例と情報漏えい防止策よくあるミスを防ぎ、セキュリティを担保する管理術を解説

kintoneの権限設定が情報漏えいリスクを左右する

kintoneを導入したものの、「誰がどの情報にアクセスできるのか把握できていない」「退職者のアカウントがそのまま残っている」といった状態になっていないでしょうか。本記事では、kintoneの権限設定でよくある失敗パターンと、情報漏えいを防ぐための具体的な設定方法を解説します。IPA（独立行政法人情報処理推進機構）が発表した「情報セキュリティ10大脅威 2025」では、組織向け脅威の第6位に「内部不正による情報漏えい等」、第9位に「不注意による情報漏えい等」がランクインしています。これらの脅威は、適切な権限設定によって大幅にリスクを軽減できます。

kintone権限設定の基本構造を理解する

kintoneの権限設定を正しく行うためには、まず権限の階層構造を理解することが重要です。kintoneには大きく分けて「サイボウズ共通管理」「kintoneシステム管理」「スペース管理」「アプリ管理」という4つの管理レベルがあります。

サイボウズ共通管理は、ユーザーの追加・削除やライセンス管理など、組織全体に関わる設定を行う最上位の管理権限です。この権限を持つ管理者は、すべてのkintone環境に影響を与える操作が可能なため、情報システム部門の責任者など、限られた人物のみに付与すべきです。

kintoneシステム管理は、kintone内のアプリ作成権限やAPIトークンの管理など、kintone固有の機能を制御する権限です。部門のIT担当者やkintone推進担当者に付与することが一般的ですが、むやみに権限を広げると、意図しないアプリが乱立したり、セキュリティホールが生まれたりする原因になります。

スペース管理とアプリ管理は、それぞれスペース単位、アプリ単位での権限設定を行います。実務上、最も頻繁に設定変更が発生するのがこのレベルです。「このアプリは営業部だけが閲覧できるようにしたい」「特定のフィールドは管理職以上しか編集できないようにしたい」といった要件は、アプリ管理の権限設定で実現します。

よくある権限設定の失敗パターン

kintoneの権限設定で陥りやすい失敗パターンを具体的に見ていきましょう。これらのパターンに心当たりがある場合は、早急な見直しが必要です。

1つ目の失敗パターンは「全員に管理者権限を付与してしまう」ケースです。導入初期に「とりあえず全員が触れるようにしておこう」と考え、多くのユーザーにアプリ管理者権限を付与してしまうことがあります。この状態では、誰でもアプリの設定変更やデータの一括削除が可能になり、誤操作による業務停止や情報漏えいのリスクが高まります。

2つ目は「部門異動・退職時の権限変更を忘れる」パターンです。人事異動や退職が発生した際に、kintone上の権限変更が後回しになるケースは非常に多く見られます。特に退職者のアカウントが有効なまま放置されていると、不正アクセスの温床となります。IPAの調査でも、退職者による情報持ち出しが内部不正の主要因として挙げられています。

3つ目は「レコードのアクセス権を設定していない」パターンです。アプリ全体の閲覧権限は設定していても、レコード単位のアクセス権を設定していないことで、本来見せるべきでない情報が閲覧可能になっているケースがあります。たとえば、顧客管理アプリで全社員が全顧客の情報を閲覧できる状態は、情報管理の観点から望ましくありません。

4つ目は「フィールドのアクセス権を活用していない」パターンです。同じレコード内でも、役職や部門によって見せるべき情報が異なる場合があります。給与情報や評価情報など、機密性の高いフィールドへのアクセスを制限していないと、意図せず情報が漏れる原因になります。

情報漏えいを防ぐ権限設定のベストプラクティス

では、具体的にどのような設定を行えば情報漏えいリスクを最小化できるのでしょうか。実践的な設定方法を解説します。

最小権限の原則を徹底することが基本です。ユーザーには業務遂行に必要な最小限の権限のみを付与し、「とりあえず広めに権限を付与する」という発想を排除します。新しいアプリを作成する際は、まず「誰が何をする必要があるか」を明確にし、その要件に基づいて権限を設計します。

組織・グループを活用した権限管理も効果的です。kintoneでは、ユーザー個人ではなく組織やグループ単位で権限を設定できます。「営業部」「管理職」といったグループに対して権限を付与することで、人事異動時の権限変更作業を効率化できます。新入社員が営業部に配属された場合、その社員を「営業部」グループに追加するだけで、営業部向けのすべてのアプリに適切な権限が付与されます。

レコードのアクセス権設定では、「作成者のみ編集可」「自部門のレコードのみ閲覧可」といった条件を活用します。顧客管理アプリであれば、担当営業のみが自分の顧客情報を編集でき、他の営業担当者は閲覧のみ可能、といった設定が可能です。これにより、誤編集を防ぎつつ、情報共有の利便性も確保できます。

フィールドのアクセス権設定では、機密情報を含むフィールドに対して、閲覧・編集できるユーザーを限定します。人事評価アプリの「評価コメント」フィールドは管理職のみ閲覧可能、「給与情報」フィールドは人事部のみ編集可能、といった設定により、情報の機密性を担保できます。

権限設定の運用ルールを整備する

権限設定は、一度行えば終わりではありません。組織の変化に合わせて継続的に見直しを行う運用ルールの整備が不可欠です。

定期的な権限棚卸しを実施することをお勧めします。四半期に1回程度、現在の権限設定が適切かどうかを確認する機会を設けます。特に管理者権限を持つユーザーの一覧を出力し、本当に必要な人物のみが管理者になっているかを確認します。不要な権限が付与されているユーザーが見つかった場合は、速やかに権限を見直します。

人事異動・退職時の対応フローを明確化することも重要です。人事部門とIT部門が連携し、異動・退職の情報がkintoneの権限管理担当者に確実に伝わる仕組みを構築します。退職日当日にアカウントを無効化する、異動日に旧部門の権限を削除し新部門の権限を付与する、といったルールを文書化し、関係者に周知します。

アプリ作成時の権限設計テンプレートを用意することも効果的です。新しいアプリを作成する際に、「権限設計チェックシート」を必ず作成するルールを設けます。アプリの目的、利用者、含まれる情報の機密度を整理し、それに応じた権限設定を行うことで、セキュリティの抜け漏れを防ぎます。

今すぐ確認すべき5つのアクション

ここまでの内容を踏まえ、御社で今すぐ実施すべきアクションを整理します。

まず、管理者権限を持つユーザーの棚卸しを行ってください。サイボウズ共通管理、kintoneシステム管理、各アプリの管理者権限を持つユーザーを一覧化し、本当に必要な人物のみに絞り込みます。管理者権限は3名以内に限定することを目安としてください。

次に、退職者・異動者のアカウント状況を確認してください。過去1年間に退職・異動した社員のkintoneアカウントが適切に処理されているかを確認します。退職者のアカウントが有効なまま残っている場合は、即座に無効化します。

レコードのアクセス権設定状況もチェックが必要です。顧客情報、人事情報、財務情報など、機密性の高いデータを扱うアプリにおいて、レコード単位のアクセス権が設定されているかを確認します。全社員が全レコードを閲覧できる状態であれば、見直しを検討します。

フィールドのアクセス権設定も見直しましょう。機密情報を含むフィールド（給与、評価、個人情報など）が適切に保護されているかを確認します。特に、本来の業務に不要な情報が閲覧可能になっていないかをチェックします。

最後に、権限変更の運用ルールを文書化してください。人事異動・退職時の対応フロー、定期的な権限棚卸しのスケジュール、アプリ作成時の権限設計ルールを文書化し、関係者に共有します。属人化を排除し、誰が担当しても同じ品質で権限管理ができる体制を整えます。

kintoneのセキュリティ設計ならGXOにご相談ください

kintoneは柔軟性の高いプラットフォームですが、その柔軟性ゆえに権限設定が複雑化しやすい側面があります。「自社の権限設定が適切か判断できない」「セキュリティを担保しつつ業務効率も維持したい」といったお悩みがあれば、専門家への相談も選択肢の一つです。

GXOは、180社以上のシステム開発・業務改善を支援してきた実績があります。kintoneの導入支援から、既存環境のセキュリティ診断、権限設計の見直しまで、御社の状況に合わせた支援が可能です。福岡本社を拠点に、伴走型でプロジェクトを推進します。

kintoneの権限設定やセキュリティ対策についてご相談されたい場合は、お気軽にお問い合わせください。

GXOへのお問い合わせはこちら

まとめ

kintoneの権限設定は、情報漏えいリスクを左右する重要な要素です。IPAの10大脅威でも指摘されているとおり、内部不正や不注意による情報漏えいは組織にとって大きなリスクとなります。最小権限の原則を徹底し、組織・グループを活用した効率的な権限管理、レコード・フィールド単位のきめ細かなアクセス制御を行うことで、セキュリティを担保しながら業務効率を維持できます。定期的な権限棚卸しと運用ルールの整備により、継続的にセキュリティレベルを維持していきましょう。