ブログ文書管理ノウハウ

文書管理のアクセス権(機密区分) 3つのポイントとは?

アクセス権とは、そもそも何でしょう。
アクセス権とは、システムに登録された利用者に対して設定されるもので、そのシステムが管理する文書などを利用する権限の事を指します。
紙文書しかない時代にもアクセス権は存在していました。現在では文書管理システムの導入が当たり前になっていますが、以前は文書の表紙に「社外秘」「機密文書」などを赤いハンコを押して鍵付きのロッカーや金庫に保管されている時代がありました。
その「社外秘」や「機密文書」という考え方は文書管理をシステム化しても引き継がれており、アクセスの制限は行われています、それどころか以前より厳しい制限を設けているとも言えます。時代が進み、文書が電子化され社外への持ち出しが簡単になったため、社員が勝手に文書を社外に持ち出して漏洩させるケースは後を絶ちません。また外部からの不正アクセスによって大切な文書を盗まれたりするリスクも高まっています。
アクセス権が正しく管理されていないと、社内情報の漏洩や不正な改ざんを防げず、会社に損害を及ぼす大きな事故を招くかもしれません。
では、どのようなアクセス権管理が文書管理には適切なのか、どのように運用すべきなのか、3つのポイントを解説致します。

文書管理のアクセス権1)種類

文書管理の中でアクセス権は非常に大事な要素になります。
アクセス権がない状態で文書を保管していると「社外秘」などの文書は誰にでも閲覧されてしまい、情報漏洩してしまうリスクがあります。昔のアクセス権は金庫のキーなどの物理的なものだったのですが、文書管理システムでは文書やフォルダにアクセス権を設定する事で、金庫のキーの代わりをします。それではどのようなアクセス権の種類があるのでしょうか。

【アクセス権の種類】
1. 閲覧権限
2. ダウンロード権限
3. 更新権限
4. 登録権限
5. 削除権限
6. 管理者権限

文書管理システムの利用者別に、システムに登録されている文書にどこまで行為が許されるかの種類です。

【各アクセス権の説明】
・閲覧権限:登録されている文書を閲覧するだけの権限になります。
・ダウンロード権限:文書管理システムから文書をダウンロードできる権限になります。
・更新権限:登録されている文書を修正できる権限になります。修正する権限がなければ
      登録されている文書の更新は出来ません。
・登録権限:新たな文書をシステムに登録できる権限になります。
・削除権限:システムに登録されている文書を削除できる権限になります。文書管理では
      基本的に文書の削除は行わないため、強い権限になります。
・管理者権限:上記権限に加えて、管理者特有のユーザを登録する機能などが使用できる
       権限になります。

これらのアクセス権は一般的なアクセス権になります。文書管理システムによっては、他にも様々なアクセス権が存在します。

文書管理のアクセス権2)必要性

それでは、アクセス権の必要性について考えてみましょう。

1. 情報漏洩の防止
アクセス権を設定せずに全ての文書が無防備な状態になったとしたら、誰でも自由に文書の持ち出しが可能になってしまいます。重要文書が社外に漏洩するリスクが高まりますし、悪意のあるユーザに中身を書き換えされる可能性もあります。
2. 人的なミスの防止
利用者の誤操作によるファイルやフォルダの削除や移動もシステムを利用する上での課題になります。意図的ではなくても、間違えて削除をしてしまう事もあるでしょう。また、意図的でないファイルやフォルダの移動は、どこに移動したかを意識していないため、見つけ出すのが困難になります。

これらのような課題を解決するためにもアクセス権が必要になります。
改ざんされて困る文書には閲覧しかできない権限を設定することで、間違えて修正しまうケースが防げます。また、社外秘の文書には特定のユーザのみに閲覧権限を設定し、閲覧権限のないユーザは文書の存在すら表示されない仕組みがあれば、さらにリスクは軽減されます。
このように、アクセス権とは文書管理システムに登録されている重要な文書を守るために必要な機能になります。

文書管理のアクセス権3)運用方法

アクセス権の運用に対しては、明確なルール設定が必要です。
例えば、1文書毎にアクセス権を付与すると、アクセス権のメンテナンスが大変になります。そこで以下の優先度でアクセス権を付与する運用ルールが良いでしょう。

【アクセス権付与の優先度】
1)グループ(部署など)単位
2)ユーザ単位
3)フォルダ単位
4)ファイル単位

まず、グループ単位(部署)で付与しておけば、あるユーザが異動で部署が変更になった場合は所属部署を変更するだけで、異動先の部署に付与されたアクセス権が有効になります。そのルールから逸脱するような場合があれば、ユーザ単位で付与すれば良いのです。
それでも、フォルダ・ファイルに対して細かな設定を行いたい時もあるでしょう。例えば、部署には更新権限が付与されているとして、あるフォルダだけは閲覧権限のみに制限したい場合などです。このような場合は、該当のフォルダに閲覧権限を付与していけば良いのです。ただし、アクセス権をフォルダ毎に付与する場合には注意すべき点があります。誰かが勝手にフォルダを作成し、そのフォルダにアクセス権を付与し忘れるケースです。そのフォルダにファイルを登録すると、アクセス権が付与されていないフリーなファイルになってしまいます。このようなケースも想定して運用ルールを設定していきましょう。
登録権限をもったユーザでも好き勝手にフォルダやファイルを登録するのではなく、社内のルールに添って運用することが大事です。

まとめ

文書管理のアクセス権の付与には明確なルールが必要です。
アクセス権を付与する前に、フォルダ・ファイルとグループ(部署)・ユーザの権限がどこまで必要かを確認しましょう。
文書図面管理システムに登録されているフォルダ・ファイルがグループ(部署)に付与したアクセス権で賄えるのか、特定のフォルダ・ファイルに対してアクセス権を付与する必要があるのかを考えてアクセス権を決めていくのです。
また、初期設定で安心せずに、退職した人のアカウントを悪用される場合なども想定し、リアルタイムでアカウントの削除やアクセス権の変更ができるようにしておきましょう。
このように文書管理システムの運用時には、情報漏洩や人為的ミスを防ぐためにもアクセス権の設定が重要です。システム構築時の初期設定だけではなく、運用中の臨機応変な対応を行い、皆様の大事な文書を守っていきましょう。

当サイトでは、「D-QUICKシリーズ」についてわかりやすく説明している資料をご用意しております。安心・安全に図面・文書管理を行うためのポイントが理解できる資料になっています。ぜひ、ダウンロードページより資料をご覧ください。

まだ情報収集レベルで、学びを優先されたい方
「図面・文書管理で困ったときのハンドブック」~製造業・完成図書・テレワーク・クラウド、すべての解決策をお見せします~

システムやクラウドサービス等の具体的な解決策を探している方
図面・文書管理システム「D-QUICKシリーズ」基本ガイドブック

より詳しい事例を知りたい方
「製造業の図面・文書管理 自治体の完成図書管理 D-QUICK導入事例集」

「文書管理ノウハウ」の関連ブログ