権限設計の分割｜社内・取引先・店舗で“同じ画面”を安全に使う方法

社内だけの権限より、取引先・店舗・外注先など“外部の目”が入った瞬間に、権限設計の難易度は跳ねます。
よくある事故は、見えてはいけない情報が見える、編集してはいけないものが編集できる、ログが残らず原因が追えない、です。
この記事では、「同じ画面を役割別に安全に使う」ための権限設計を、実務の型として整理します。

1. ロール（役割）は「操作の種類」で分ける

最初に決めるのは役職名ではなく「できる操作」です。
最低限、次の4つを分けると破綻しにくいです。

• 閲覧：見るだけ（個人情報の表示範囲は別途制御）
• 編集：入力・更新できる
• 承認：確定・公開・決裁ができる（関連：承認フロー）
• 削除：原則は論外。必要なら“論理削除”＋ログ（権限・ログ）

削除はできるだけ避け、無効化・アーカイブで運用する方が安全です（データ整合も保ちやすいです）。

2. “見える範囲”は別軸（ロールと混ぜない）

同じ編集権限でも、「どこまで見えるか」は別問題です。
ここをロールと混ぜると、ロールが爆発的に増えます。
見える範囲は次のような軸で設計します。

• 拠点/店舗：自拠点のみ、全拠点（関連：拠点検索）
• 担当者：自分の案件のみ、チーム全体（関連：割当ロジック）
• 取引先：自社案件のみ（委託元/委託先で線引き）

3. 外部共有：共有リンクは“便利”より“事故らない”を優先する

外部に共有する導線を作るなら、次をセットで決めます。

• 期限：リンクは失効させる（例：7日/30日）
• 範囲：案件単位で限定（一覧や検索は見せない）
• 認証：パスコード/ワンタイム等（要件次第）
• ログ：誰がいつ共有リンクを発行したか

添付共有があるなら ファイル添付の設計 とセットで、直リンク運用は避けた方が安全です。

4. “見えてはいけない情報”はマスキング前提で考える

外部が絡むと、個人情報の取り扱いが一気にセンシティブになります。
「見せない」だけでなく、「見せても良い形に加工する」も選択肢です。

• 氏名は表示するが、電話/メールは編集権限がないと見えない
• 住所は市区町村まで、番地以降は非表示
• 備考欄は社内専用と顧客共有用で分ける（関連：履歴の書き方）

5. ログ：追えない権限設計は、必ず揉める

権限設計の最後はログです。
特に外部が入ると「誰が変えたのか」を追えないと運用が止まります。

• ログイン履歴
• 更新履歴（変更前/後、実行者、日時）
• 承認・確定の履歴
• 共有リンクの発行履歴

ダッシュボードで異常を見つけるなら、KPI設計 と繋げると運用が強くなります。

業種別の典型

物流（荷主・協力会社・倉庫）

荷主と倉庫、協力会社で“同じ案件”を見たいが、見える範囲は違う、という構造になりがちです。
業務像は 物流向け を前提に、
納品/バース予約（バース予約）は「案件単位で共有」「全体一覧は非公開」など、スコープで守る設計が効きます。

自動車販売・整備・タイヤショップ（店舗・本部・外注先）

複数店舗と本部、外注先が絡むと、権限が一気に複雑化します。
業務像は 自動車販売・整備・タイヤショップ向け を前提に、
入庫・作業指示（ピット割当）の“編集権限”と、“見える範囲（自店舗/全店）”を分離しておくと運用が崩れにくいです。

インテンスでも、外部共有が絡む案件ほど、ロールとスコープを分離し、ログで追える形を最優先で固めます。

まとめ

権限設計は「役割（操作）」と「範囲（スコープ）」を分けると破綻しにくいです。
外部共有は期限・範囲・ログをセットで、個人情報はマスキング前提で設計する。
最後にログで“追える”状態を作ると、同じ画面を安全に回せるようになります。