情報セキュリティで含むべき”情報資産”の具体例を解説します!
- 情報資産とは、企業や組織が保有している価値のある情報
- 保有する情報資産のうち、何かしらの対応が必要になる可能性のある情報資産を洗い出す
- 保護すべき情報資産をカテゴリー別に分類し、価値付け(格付け)する
企業や組織が所有する「顧客の個人情報」、「従業員の人事情報」、「会社の財務情報」のことを“情報資産”といいます。
この情報資産は、悪意のある第三者に狙われてしまえば、顧客の個人情報流出などリスクを追うことになるので、資産価値のある情報は情報セキュリティで保護すべきなのです。
今回の記事では、情報資産とは具体的にどのようなものなのか、この情報資産を守るために具体的にどのような行動を行えば良いのか解説していきます。
情報資産とはどのようなものか
企業や組織が収集する情報には、顧客情報(個人情報含む)や製品技術情報等のように情報資産として価値ある情報もあれば、企業の公式Webサイト掲載の所在地や電話番号、拠点情報、製品情報、設備情報などのように情報が公開されており、情報として資産価値の低いものも含まれます。企業・組織にとって資産価値のある情報は、情報セキュリティにおいて保護すべき対象となり、大概の企業では、以下、≪企業/組織が保有する情報資産≫に示す情報資産を保有しています。
≪企業/組織が保有する情報資産≫
- 生産計画、製品の設計図面・仕様書・部品表・作業手順など製品技術情報
- 経営や事業計画、新製品情報、情報セキュリティなど戦略情報、企業間契約書類等
- 企業/組織の経営状況を把握するための財務情報
- 顧客情報(個人情報含む)顧客名や住所、電話番号、クレジットカード情報、注文履歴、仕入先・販売先等
- 人事情報(個人情報含む)従業員個人の携帯番号やメールアドレス、自宅住所、採用時の応募情報、給与・昇給・勤怠情報、マイナンバー等
- 設備機械や施設、車有車など「物理的資産
- 情報システム、ソフトウェア、社内ネットワーク(サーバー/パソコン、通信機器等)、DB、IT技術ノウハウ等
- 製品ブランドや企業イメージなど「無形資産」
また、情報資産の種類は様々で、分類方法は企業によって異なりますが、一般的に大別すると「情報」と「情報システム」に分類され、「情報」には音声や映像のように「無形資産」と「有形資産」の形で両方に存在するものもあります。
| 紙媒体 | 外部記憶媒体 | 音声 | 映像 | ノウハウ等 | 業務アプリケーション、クライアントサービス等 | ネットワーク機器・情報機器 |
| 紙情報 | 電子情報(音声・映像含む) | 知識 | ソフトウェア | ハードウェア | ||
| 有形資産 | 無形資産 | |||||
| 情報 | 情報システム | |||||
| 情報資産 | ||||||
情報資産の洗い出し
保有する情報資産のうち、何かしらの対応が必要になる可能性のある情報資産を洗い出します。抽出された情報がリスクアセスメント (リスク分析 ・評価)の対象となり、機密性 ・完全性 ・可用性の観点で対策の有無を検討する情報資産となります。情報資産の特定が済みましたら、企業や組織においてどのような形態で情報資産が保管され、利用場所、利用者、どのように管理されているかなど確認し、情報資産管理台帳を作成して、適切に資産管理します。
情報資産管理台帳の管理項目例
- ①業務分類 :人事・経理・営業・調達・共通など
- ②情報資産名:給与システムデータ、請求書控え、メールデータ、社員名簿、受注契約書等
- ③利用範囲 :部署名、処理担当名など
- ④管理部署/管理責任者:部署名および管理責任者
- ⑤媒体の種類:書類・電子データなど
- ⑥保存先:社内サーバー、外部記憶媒体、モバイル機器、クライアントPCなど
- ⑦個人情報の有無:有無
- ⑧評価値(機密性/完全性/可用性)・重要度:評価値は、「■情報資産価値の評価(例)」より、機密性・完全性・可用性のそれぞれの評価値を入力し、重要度は機密性・完全性・可用性のうち、最も高い値を入力します。
- ⑨保存期間:文章保管規定など企業・組織の社内規程参照
- ⑩登録日(更新日)
情報資産のリスク評価
次に保護すべき情報資産をカテゴリー別に分類し、価値付け(格付け)します。分類と価値付けの基準については、政府機関の統一基準や各府省庁の定めるガイドラインを参照ください。
以下に、機密性・完全性・可用性(3要素)の観点から分類・格付けした「情報資産価値の評価例」を掲載しました。情報資産が3要素を確保できなかった場合に、当該事業への影響度について情報資産価値の評価例を利用して段階的評価をします。
※「重要度評価」は4段階評価を採用、重要度評価の数値が大きい程、価値の高い情報資産であることを示しています。
情報資産価値の評価例
| 重要度評価 | 判断基準 | レベル付け |
|---|---|---|
| 機密性(アクセス権限付与者のみアクセス可) | 4 漏えいした場合、取引先・顧客への影響が大きい。あるいは経営に深刻な影響がある。 | 極秘 |
| 3 漏えいした場合、当該事業への影響が大きい | 部外秘 | |
| 2 漏えいした場合、当該事業への影響は殆どない | 秘 | |
| 1 漏えいした場合、当該事業への影響なし | 一般公開 | |
| 完全性(情報や情報システムが正確で完全である) | 4 改ざんされた場合、取引先・顧客への影響が大きい。あるいは経営に深刻な影響がある。 | - |
| 3 改ざんされた場合、当該事業への影響は大きい | - | |
| 2 改ざんされた場合、当該事業への影響は殆どない | - | |
| 1 改ざんされた場合、当該事業への影響なし | - | |
| 可用性(アクセス権限付与者が必要時にいつでも情報資産にアクセス可) | 4 利用停止の場合、取引先・顧客への影響が大きい。あるいは経営に深刻な影響がある。 | - |
| 3 利用停止の場合、当該事業への影響は大きい | - | |
| 2 利用停止の場合、当該事業への影響は殆どない | - |
まとめ
企業・組織が取り扱う情報資産には、資産価値の低い情報資産もあれば顧客情報(個人情報含む)や製品技術情報のように価値のある情報資産もあります。まずは、①保有するすべての情報資産を洗い出し、②その中から保護すべき情報資産を特定します。その際、②で特定した情報資産に対し、③情報資産価値の評価(分類と格付け)まで考慮することで、その後のプロセス(PDCAサイクル)運用が効率的に行えるでしょう。
ISOプロでは月額4.4万円(税込)から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4.4万円(税込)からご利用いただけます。
こんな方に読んでほしい