各ユーザーが見るものを制御する。各ユーザーができることを制御する。あらゆる階層で。

なぜ重要なのか

企業規模のマルチステークホルダーレビューでは、権限の失敗は2つの分かりやすい形で現れます。

1つ目はコンテンツの漏洩です。誰かがアクセス権限のないコンテンツを見てしまいます。規制当局への提出書類の機密セクションがマーケティングレビュー担当者に見えてしまう。PHIが承認されていない人に見えてしまう。発売前の資料がまだ知るべきではないチームに見えてしまう。これらの漏洩の影響範囲は、気まずいものからコンプライアンス違反、法的措置の対象となるものまで多岐にわたります。

2つ目は権限の逸脱です。コンテンツにアクセスできる人が、本来行うべきではないことを実行できてしまうのです。下級レビュー担当者が上級レビュー担当者の承認を覆してしまう。ブランドレビュー担当者が規制上の決定を下してしまう。外部代理店の担当者が、内部専用のはずのAIエージェントを呼び出してしまう。悪意がなくても、権限の逸脱は監査証跡を損ない、プロセスへの信頼を損ないます。

Aprooveの2次元権限モデルは、これら2つの失敗モードに対応しています。コンテンツの権限は漏洩側を制御します。アクション権限は、権限の逸脱を防ぎます。どちらもきめ細かな粒度で機能します。どちらもアプリケーション層ではなくプラットフォーム層で適用されるため、ユーザーがAPI、統合、または通常とは異なるアクセス経路を介してシステムにアクセスした場合でも有効です。これは、政府機関向けの文書バージョン管理ソフトウェアを評価するチームにとって重要です。

制御の 2 つの側面

コンテンツ権限 は、このユーザーが何を見ることができるかという質問に答えます。

• プロジェクト全体 (ユーザーはプロジェクトレベルのアクセス権をまったく持っていますか?)
• プロジェクト内の特定のファイル (同じプロジェクト内でも、一部のファイルは表示され、他のファイルは表示されません)
• ファイルの特定のセクション (法務セクションは法務担当者に表示され、ブランドセクションはブランド担当者に表示されます)
• セクションの特定のページ (12 から 18 ページまでが表示され、残りは表示されません)
• ページの特定のコンポーネント (特定の画像、段落、または領域)

アクション権限 は、このユーザーが何ができるかという質問に答えます。

• 使用できるマークアップ ツール (テキスト抽出、領域マーキング、フリーハンド注釈など)
• 作成、編集、または削除できるメモ
• 特定のワークフロー ステップで表示される決定ボタン (承認、拒否、コメント付き承認、SME に送信、コンプライアンスのために保留など）
• 呼び出せる AI エージェント (ブランド レビュー担当者はブランド エージェントは表示できますが、法務エージェントは表示できません)
• エクスポートとダウンロードの権限 (一部のユーザーは証明 PDF をエクスポートできますが、他のユーザーはできません)
• 実行できる管理機能 (ワークフローの編集、ユーザー管理、スキーマ構成)

ディメンションは増えます。コンテンツ権限が広いユーザーはアクション権限が狭い場合があり、その逆もあります。組み合わせによって、そのユーザーのエクスペリエンスが決まります。

アクション側でゲートできるもの

アクション権限で制御できる具体的な例:

• AI エージェントへのアクセス ユーザーが呼び出せるプロンプト テンプレート セット。規制レビュー担当者は規制エージェントのみにアクセスできる場合があります。ブランド レビュー担当者はブランド エージェントのみにアクセスできる場合があります。 AI アクセスはファイル アクセスとは独立しています。
• メモの作成、編集、削除。 一部の役割では、メモを作成して自分のメモを編集できます。他の役割では、任意のメモを編集できます。他の役割では、メモを削除できます。それぞれ設定可能です。
• 決定ボタンが使用可能。 ワークフロー ステップでは、承認、拒否、条件付き承認、エスカレーションなどの決定ボタンを定義できます。役割によって表示できるサブセットが異なります。ジュニア レビュー担当者は、承認と拒否のみを表示できます。シニア レビュー担当者は、エスカレーションを含むすべてのセットを表示できます。
• マークアップ ツールが使用可能。 レビュー インターフェイスでは、複数のマークアップ ツール (テキスト抽出、領域選択、フリーハンド注釈、カラー ピッカー) が提供されています。役割には、すべてのツールではなく、特定のツールへのアクセスを許可できます。
• エクスポートとダウンロード。 一部の役割では、元のファイルをダウンロードできます。他の役割では、ストリーミング ビューアでのみ表示できます。一部の役割では、校正とコメントの PDF をエクスポートできます。他のユーザーはできません。
• ワークフローと管理機能。 ワークフローの編集、ユーザー管理、スキーマ構成、およびその他の管理機能は、管理者ロールに制限されており、オプションのサブティア (たとえば、ワークフローを編集できますがユーザーを管理できないワークフロー管理者) があります。

コンテンツ側で制限できるもの

コンテンツ権限で制御できる具体的な例:

• プロジェクトの可視性。 ユーザーがプロジェクトをまったく表示できるかどうか。プロジェクトレベルのアクセス権を持たないユーザーは、ダッシュボードにプロジェクトを表示できません。
• ファイルレベルの可視性。 プロジェクト内で、ユーザーが開くことができるファイル。プロジェクトには複数の校正が含まれている場合があります。すべてのレビュー担当者がそれらすべてを表示する必要はありません。
• セクションレベルの可視性。 複数のセクションがあるファイル内で、ユーザーが表示できるセクション。複雑な規制文書の異なるセクションは、それぞれ異なる専門チームにルーティングされ、各チームは自分のセクションのみを見ることができます。
• ページレベルの可視性。 ファイル内で、ユーザーが表示できるページ。機密、規制対象、またはセンシティブとしてタグ付けされたページは、適切なクリアランスを持つロールに制限できます。
• コンポーネントレベルの可視性。 ページ内で、ユーザーが表示できるコンポーネント。PHIとしてフラグが付けられた特定の画像、財務上の機密情報を含む段落、制限された情報を含む領域。制限されるのはコンポーネントであり、ページ全体ではありません。

権限がロール、チーム、およびユーザーにマッピングされる方法

権限は、ユーザー モデルの複数のレベルで割り当てられ、ガバナンスに一致する方法で解決されます。

• ロールベース。 最も一般的なパターン。権限はロールごとに定義され、ユーザーはロールに割り当てられることで権限を継承します。「法務レビュー担当者」ロールには、定義された一連のコンテンツ アクセスとアクション機能があります。役割に人を追加すると、その役割が持つすべての権限がその人に付与されます。
• チームベース。 権限はチームにスコープ設定でき、チームの権限はそのメンバーに適用されます。共有権限プロファイルが必要なクロスファンクショナルグループに便利です。
• ユーザー固有。 役割とチームの割り当てだけでは不十分な場合、権限を個々のユーザーに直接付与できます。実際にはまれですが、作業に必要な場合に利用できます。
• メタデータ駆動型。 権限は、プロジェクトまたはコンポーネントのメタデータに基づいて解決できます。ユーザーは、米国管轄としてタグ付けされたドキュメントに対して法的レビューアクセス権を持ちますが、EU管轄としてタグ付けされたドキュメントに対してはアクセス権を持たない場合があります。権限は、レビュー対象コンテンツのメタデータに条件付けられます。

組み合わせはきれいに解決されます。ユーザーは、役割、チーム、および直接割り当てによって資格のある権限の統合を取得し、適用されるメタデータ条件によってスコープ設定されます。

一般的なパターン

セキュリティクリアランスのゲート。 ドキュメントには、複数の機密レベルのセクションが含まれています。権限は、ユーザーが自身のクリアランス レベルで許可されているセクションのみを表示するように構成されています。同じドキュメントが複数のレビュー担当者プールに提供され、それぞれが適切な内容を表示します。

役割ベースのアクション制限。 ワークフロー ステップには、複数の決定ボタンがあります。ジュニア レビュー担当者は、[承認] と [拒否] のみを表示します。シニア レビュー担当者は、[承認]、[拒否]、[条件付き承認]、[エスカレーション] を表示します。コンフリクト マネージャーは、追加の [上書き] オプションを表示します。同じステップですが、アクションの語彙が異なります。

権限の適用によるコンポーネント レベルのルーティング。 AI エージェントは、特定のコンポーネントにリスクをフラグ付けします。これらのコンポーネントは、リスク タイプに基づいて専門家にルーティングされます。権限により、専門家はフラグ付けされたコンポーネントのみを表示し、ファイルの残りの部分は表示しないようにします。他のレビュー担当者は、フラグ付けされていないコンテンツを続行します。

外部ユーザーのゲート。 代理店または外部パートナー ユーザーには、制限された権限プロファイルがあります。コンテンツへのアクセスが制限され、アクション機能が制限され、AI エージェントの呼び出しができず、管理者機能もありません。彼らは審査に参加するが、定められた範囲を超えることはできない。

メリット

• 2つの制御次元、1つのモデル。 コンテンツの可視性とアクション機能は、一貫した役割、チーム、およびユーザーのマッピングで一緒に構成されます。
• コンポーネントレベルの粒度。 権限はファイルレベルよりも深く設定できます。特定のページ、セクション、またはコンポーネントは個別にゲートできます。
• AI アクセスは権限によって制御されます。 どのエージェントを誰が呼び出せるかは、ファイル アクセスとは関係なく、ロール レベルで管理されます。
• 決定権限は権限によって制御されます。 ユーザーが表示する決定ボタンはロールごとに設定されるため、ジュニア レビュー担当者とシニア レビュー担当者は、定義された権限の範囲内で操作します。
• 機密コンテンツはゲートされたままです。 PHI、PII、規制対象資料、またはプレローンチ コンテンツは、承認されたロールにのみストリーミングするように構成できます。
• 外部ユーザーは、限定されたエクスペリエンスを持ちます。 代理店パートナー、クライアント レビュー担当者、およびその他の外部参加者は、制限された権限プロファイル内で操作します。‍
• 監査証跡は権限イベントをキャプチャします。 権限の付与、変更、およびアクセス イベントは、プロジェクトの監査証跡の一部であり、ガバナンスとコンプライアンス レビューをサポートします。

対象者

• 規制によりコンテンツアクセス制御が義務付けられている業界のコンプライアンス、法務、規制チーム。
• 権限範囲が異なる多数のステークホルダーグループにわたるレビューを管理するブランドガバナンスチーム。
• アクセス制御、データ所在地、最小権限の要件に基づいてプラットフォームを評価するITおよびセキュリティチーム。
• 複数の社内チーム、外部パートナー、および異なる権限レベルを持つレビュープログラムを実行する運用リーダー。‍
• 階層型アクセス制御が調達要件となっている規制対象業界（製薬、ヘルスケア、金融サービス、政府）の顧客。

内部構造

階層型アクセス制御は、Aproove の 2 層権限モデル (コンテンツ権限とアクション権限) によって実装されています。コンテンツ権限は、プロジェクト、ファイル、セクション、ページ、コンポーネントの各レベルで保存され、ロール割り当て、チームメンバーシップ、直接ユーザーへの許可、メタデータ駆動条件に基づいてユーザーごとに解決されます。アクション権限はロールごとに定義され、使用可能な決定ボタン、マークアップツール、AI エージェントの呼び出し、ノート操作、エクスポートおよびダウンロード機能、管理機能を制御します。権限解決では、メタデータ条件によって範囲が限定された、あらゆる割り当てパスを通じてユーザーが取得できる権限の和集合が計算されます。権限はアプリケーション層ではなくプラットフォーム層で強制されるため、API アクセス、統合アクセス、その他のアクセスパスすべてに適用されます。ストリーミング層では、タイル要求ごとにコンテンツ権限が強制されるため、ユーザーが表示を許可されていないコンテンツはデバイスにストリーミングされません。権限の付与、変更、アクセスイベントは、プロジェクトの監査ログに記録されます。

Krogerのプロモーション実行センター・オブ・エクセレンス変革に関するホワイトペーパー（Aproove、2021年10月）では、このプラットフォームが「数十万のタスクにわたる1億を超える権限セット」を処理していることを、モデルのスケーラビリティの証拠として挙げています。