この記事では、情報資産を洗い出すためのコツを、5つに分けてご紹介します。
業務の流れを想定する
情報資産をうまく洗い出すコツは、日々の業務の流れを想像することです。
例えば営業部であれば、
問い合わせ → 商談 → 受注 → 納品→フォロー
といった業務の流れが考えられます。開発部であれば、
要件定義 → 設計 → 開発 → 運用
といった業務の流れがあるでしょう。 このような流れを頭の中で思い描きながら、それぞれの業務で扱っている情報を考え、洗い出してみましょう。
情報資産の適切な粒度
情報資産の洗い出しの粒度に答えはありません。なので、粒度に関しては自由に決めて構いません。とはいっても、あまりにも粒度が細かすぎると、数が多くなり、管理が大変です。一方で、あまりにも少なすぎると、次のリスクアセスメントの取り組みが大変になってしまいます。あくまで目安ですが、1部門で10〜30程度の数が洗い出されるのが平均的です。
粒度のイメージに困った場合は、「業務で扱うすべての電子データを、10個程度のフォルダに分けるなら、そのフォルダ名にどんな名前をつけるだろう」と考えてみて下さい。あるいは、「業務で扱うすべての紙媒体を、10個程度のファイルにまとめるなら、そのファイルの背表紙にどんな名前をつけるだろう」と考えてみて下さい。
似たような情報資産は一つにまとめても構いません。似たような、というのは、保管場所や保管期間、機密分類などの、情報資産に付随する補足情報が同じものを意味します。具体的には、
- 賃金台帳 機密分類は「機密」で、勤怠管理システムに登録されている。保管期間は5年。
- 出勤簿 機密分類は「機密」で、勤怠管理システムに登録されている。保管期間は5年。
という2つの情報があったとき、これらの情報は「労務関連情報」などの名前として、ひとまとめにしても構いません。
洗い出しの漏れをどう考えるか
誤解を恐れずにいうと「漏れがあっても問題ない」が答えです。仮に漏れがあっても、すぐさまISMSに大きな影響が及ぶことは稀です。そもそも、日々の業務を行う中で、取り扱う情報資産は目まぐるしく変化していくものです。そのようなものを、全てリアルタイムで漏れなく洗い出すことは不可能ですし、無意味です。仮に、漏れのない完璧な情報資産リストを作ったとしても、きっと1ヶ月後には、その情報資産リストは、完璧ではなくなってしまうでしょう。
ただし、「企業に大きな影響を与えかねない重要な情報は、可能な限りもれなく洗い出す」ことは大切です。上述したとおり、普段の業務の流れを考えながら洗い出したり、「自部門で最も守らないといけない情報ってなんだっけ?」と考えながら洗い出すのが、もれなく洗い出すための工夫の一部です。
「これって情報資産?」と迷ったとき
情報資産として洗い出すべきか否かに迷ったときには、その情報資産の機密性・完全性・可用性が失われたときに、影響があるかどうかの視点で考えてみてください。ISMSは情報の機密性だけではなく、完全性や可用性も考える必要があります。つまり「漏れるとまずい情報」だけではなく、「改ざんされるとまずい情報」や「紛失やアクセス不可になるとまずい情報」であれば、たとえ公開されている情報でも洗い出してください。
逆に言うと「自分たちが、機密性・完全性・可用性の管理をする必要がない情報」は洗い出す必要がありません。例えば、書籍やニュースサイトはたしかに業務で扱う情報ではありますが、漏えい対策や改ざん対策は自分たちが行うものではありません。そのため、洗い出しは不要です。
部門ごとの情報資産例
各部門でよく用いられるサンプルを紹介します。あくまでサンプルですので、必要に応じてカスタマイズしながらご活用ください。
開発系部署
- ソースコード
- デザイン関連資料
- 設計書
- テスト仕様書
- 本番環境のユーザーデータ
- ログデータ
- バックアップデータ
- 開発用PC
- 開発用サーバ
営業系部署
- 提案資料
- 商談の記録
- 申込書・契約書
- 顧客情報(担当者の情報を含む)
サポート系部署
- ユーザーからの問い合わせ
- ユーザー向けマニュアル・ヘルプページ
財務経理系部署
- 請求書・領収書などの支払帳票
- 決算関連資料
- 銀行のソフトウェアトークン
人事労務系部署
- 社員名簿・組織図
- 採用候補者の情報(履歴書など)
- マイナンバー
- 健康診断データ
- 給与・評価の情報
社内情報システム系部署
- PC
- スマートフォン
- タブレット
- USBメモリ
- プリンター・複合機
- 社内サーバ