情報資産管理台帳とは?概要や内容、作成方法を解説
- 情報資産管理に役立つツールが情報資産管理台帳
- 情報資産の重要度を判断したうえで情報資産管理台帳にリスト化することが重要
IT技術の発展により、多くの企業がこれまで以上の情報を簡単に扱えるようになりました。利便性に優れており、ビジネスに活用しやすくなった反面、情報資産の管理が欠かせなくっています。
その際、まず自社が保有する情報資産を洗い出すために利用されるのが、情報資産管理台帳です。情報資産を管理したい中小企業にとって、作成することは必須といえるでしょう。
そこで、この記事では情報資産の定義や具体例、情報資産管理台帳の目的、作成方法などを解説します。
目次
情報資産とは
情報資産とは、組織が所有しているありとあらゆる情報のことです。
最近では、IT技術が進化し、組織のシステム化の普及に伴い、「ヒト」「モノ」「カネ」「情報」は4大経営資源として扱われているほど、重要視されています。
外部からのサイバー攻撃や不正アクセス、改ざん、情報資産の紛失・情報漏えいなどが派生すると、組織に多大な影響を与えることも多くあります。そのため、組織は情報資産を適切に管理できる体制を整備することが重要です。
情報資産の具体例
情報資産の具体例には、以下のようなものがあります。
- 顧客や従業員の個人情報
- 取引先の情報
- 取引先と結んだ契約書や請求書
- USB機器やSSD、サーバーなどの情報の保存機器
- 保存機器に記録されているデータや情報
- 自社の技術やノウハウ
- 自社の財務情報などの機密情報
- 社内システムのソースコード
文書化された情報だけでなく、音声や映像も情報資産に含まれます。情報資産の詳細については、以下の記事をご覧ください。
情報資産管理台帳とは
情報資産管理台帳とは、組織の情報資産をまとめた文書のことです。情報資産を管理するために、情報管理台帳の作成は必要不可欠です。
一言で解説すると、自社の情報資産には「どのような情報資産があるのか」「どこに情報資産を保管しているのか」「それぞれの情報資産の重要度の高さ」などを把握できる台帳となっています。
情報資産管理台帳を作成する目的
情報資産台帳を作成する主な目的は、組織の情報セキュリティポリシー策定に必要であるためです。
情報セキュリティポリシーとは、自社の情報セキュリティ対策を推進するうえでの基本方針となるものです。最近では情報セキュリティポリシーをホームページ上に公開している企業も多くあります。
情報セキュリティポリシーを策定するためには、まず各情報資産を洗い出し、リスク評価を実施することが求められます。なぜなら、どのような情報資産が自社の事業継続において重要なのかどうかを把握しておかないと、基本方針を定められないためです。そして、この際に情報資産台帳に各情報資産の情報をまとめておくことが必要になります。
また、情報セキュリティに関する国際規格 であるISO27001 にある情報セキュリティマネジメントシステム( ISMS )を構築する一環で作成されることもあります。
【記入例サンプル】情報資産管理台帳に記載すべき内容
情報資産管理台帳に記載すべき内容を以下にまとめました。
業務分類
その情報資産に関連する業務や部署名を記入します。
記入例は、「人事」「経理」「営業」などです。
情報資産名
情報資産の名称や通称を記入します。
記入例は、「社員名簿」「顧客情報」「給与データ」「請求書」などです。
備考
必要に応じて補足説明を記入します。
記入例は、情報資産名が「社員名簿」であれば「社員基本情報」などです。
利用範囲
その情報資産を利用できる部署名を記入します。
記入例は、「人事」「経理」「営業」などです。
管理部署・管理責任者
その情報資産の管理責任をもつ部署名や担当者名を記入します。
記入例は、「人事」「経理」「営業」などです。
媒体の種類・保存先
その情報の媒体や保存場所を記入します。紙媒体と電子文書の両方で管理している場合には、評価が異なるため、それぞれ別物として記入しましょう。
記入例は、「書類」「モバイル機器」「サーバー」などです。
個人情報の有無
「個人情報」「要配慮個人情報(不当な差別や偏見、不利益につながりかねない個人情報)」「マイナンバー」などの個人情報の種類と有無について記入します。
評価値/重要度(機密性・完全性・可用性)
その情報資産の重要度を判断するための機密性 ・完全性 ・可用性の評価値をそれぞれ記入します。一般的には評価した「0~4」までの数字を記入します。
各評価基準や評価方法については、のちほど解説します。
保存期間
その情報資産の保存期間を記入します。法定保存期間が定められている法定文書においては、記入漏れや間違いがないよう注意しましょう。
登録日(更新日)
情報資産と登録・更新した日付を記入します。
情報資産管理台帳の作成方法
それでは、作成する際にはどのような手順を実施すれば良いのでしょうか。ここでは、情報資産管理台帳の作成方法を解説します。
1.情報資産の洗い出し
まず、組織内の情報資産を洗い出します。
手当たり次第に情報資産をピックアップすると漏れてしまうことがあるため、業務フローを可視化し、プロセスごとに必要な情報資産を確認することがおすすめです。
ただし、さまざまな情報資産すべてを洗い出す必要はありません。「その情報資産が漏えい・紛失などした際に、組織に悪影響があるかどうか」について検討し、悪影響がある場合にはリストに加えてみましょう。
2.各情報資産の重要度を評価する
各情報資産の重要度を評価します。重要度を評価するには、まず情報セキュリティの三要素である機密性・完全性・可用性の観点からラベリングします。
機密性:アクセス権のある者だけが情報資産にアクセスできる状態
完全性:情報資産が常に最新で正確な状態
可用性:アクセス権のある者が、必要なときにいつでも情報資産にアクセスできる状態
これらの観点を判断する際には、以下のように評価します。
| 判断基準 | レベル付け | 評価値 | |
|---|---|---|---|
| 機密性 | 漏えいした場合、取引先や顧客などに多大もしくは深刻な影響がある | 極秘 | 4 |
| 漏えいした場合、事業への影響が大きい | 部外秘 | 3 | |
| 漏えいした場合、事業への影響はあまりない | 秘 | 2 | |
| 漏えいした場合、事業への影響はない | 一般公開 | 1 | |
| 完全性 | 改ざんされた場合、取引先や顧客などに多大もしくは深刻な影響がある | 極秘 | 4 |
| 改ざんされた場合、事業への影響が大きい | 部外秘 | 3 | |
| 改ざんされた場合、事業への影響はあまりない | 秘 | 2 | |
| 改ざんされた場合、事業への影響はない | 一般公開 | 1 | |
| 可用性 | 利用停止した場合、取引先や顧客などに多大もしくは深刻な影響がある | ― | 4 |
| 利用停止した場合、事業への影響が大きい | ― | 3 | |
| 利用停止した場合、事業への影響はあまりない | ― | 2 | |
| 利用停止した場合、事業への影響はない | ― | 1 |
また、ISO27001におけるリスク評価について以下の記事で解説しています。こちらも参考にしてください。
3.各項目を入力する
収集した情報資産の情報を、各項目にまとめて入力します。漏れや間違いがないよう、慎重に実施しましょう。
4.定期的に見直しを実施する
情報資産は、事業活動を継続していくうちに変化していきます。また、社会情勢やセキュリティ脅威 といった外部環境についても目まぐるしく変化するでしょう。
そのため、一度情報資産管理台帳を作成しても、定期的に見直しをすることが必要です。年1回はリスク評価や情報資産の見直しを実施しましょう。
まとめ
この記事では、情報資産管理台帳の概要や目的、作成方法について解説しました。
ITシステムの発展と普及により、企業が抱える情報資産は増え、小さな規模の会社でも膨大な量の情報資産を抱えていることもあります。
そうした中で、情報資産の管理は事業継続性を高めるために欠かせない要素の一つです。
情報資産の管理を行う場合、まずは情報資産管理台帳の作成・運用からはじめてみてはいかがでしょうか。”
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい