この記事では、情報資産の洗い出しにおいて、情報資産の登録時に必要な「機密分類」「管理責任者」「保管期間」の3つの情報について、その意味や書き方を紹介します。
関連記事:
機密分類について
情報資産をSecureNaviに登録するときには、合わせて機密分類を登録する必要があります。 機密分類は、初期設定では以下のように設定されています。
機密分類 | 説明 |
機密 | ・法令や規制で安全管理が求められている情報(個人情報など) ・お客様との契約で秘密保持が求められている情報 ・その他、社内でも限られた人間のみがアクセス可能な情報(人事情報など) |
社外秘 | 社外に漏えいすると影響がある情報 |
一般 | 社外に公開しても問題ない(あるいはすでに公開されている)情報 |
分類に迷った場合や、複数の分類にまたがる場合は、より上位の分類を採用しましょう。
管理責任者について
各情報資産には、責任者を定める必要があります。責任者をどのように定めるかについては決まりがありませんので、自由に決定することができます(小規模な組織では、代表がすべての情報資産の責任者になることも多いですし、中規模になると、各部の部長やISMS担当者が責任者になることが多いです)。
責任者の記載は、バイネームでも役職名でも構いませんが、部署異動や退職などを考慮し、役職で記載されることのほうが多い傾向にあります。
保管期間について
情報資産には、保管期間を入力できます。以下のような情報資産には、保管期間を入力するようにしましょう。
-
法令などで保管期間が定まっている情報資産であって、保管期間後に削除を実施する場合
- 経理や財務に関する情報資産は、会社法や法人税法によって、保管期間が定められていることがあります
- 人事や給与に関する情報資産は、労働基準法や健康保険法によって、保管期間が定められていることがあります
- こちらのマニュアルの下部にて、個人情報保護の観点で例示していますのでご参考ください
-
個人情報や機密情報であって、一定期間後に削除を実施する場合
- 利用する必要がない個人情報は、個人情報保護法によって、速やかに削除することが努力義務として定められています
個人情報保護法 第十九条
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
逆に、上記に該当しない情報資産に関しては、保管期間を定める必要はありません。
しかし、利用しない情報資産を削除せずに保持し続けると、情報漏えいのリスクにさらされ続けてしまいます。削除することで、情報漏えいのリスクを回避できます。保持し続けることによるリスクと、削除にかかる手間を鑑み、適切な保管期間を決定するようにしましょう。