第2講で触れた「情報資産」について、改めて記載しておきます。
情報資産について
情報資産とは、企業のデータ、顧客情報、知的財産、業務プロセスに関する情報など、価値のある情報全般を指す。これらの情報資産を効果的に保護するためには、体系的で効果的なセキュリティ管理が必要
CIAトライアドや、情報セキュリティマネジメントシステム、そしてサイバーセキュリティについて触れてきましたが、まず何を守るのか? を明確にすることがポイントです。
第5講では、情報資産の洗い出しを考えていきましょう。
この講座の学習ポイント
- 情報資産の洗い出し
企業単位で考えると大きくなってしまうので、まずは皆さん自身の「守るべき」データはなにか? 考えてみましょう。
実際に考えてみよう!
皆さんのプライベートで考えてみます。自信の情報資産を洗い出してみてください。以下、参考までに一般的な情報資産を列挙してみます。
① 銀行情報
② クレジットカード情報
③ 各インターネットサービスのIDとPASS
④ スマートフォン内のデータ
⑤ パソコン内のデータ
⑥ 写真データ
⑦ 動画データ
⑧ 音源データ
etc …
情報資産はローカル上にあるべきか? それともクラウド上にあるべきか?
もちろんローカル上にあれば、紛失・故障のリスクがあり、クラウド上におけば、障害・サービス停止というリスクがあります。
個人レベルの情報資産ですら、完全に管理することを考えても大変です。
参考までに、情報資産洗い出しワーク用Excelファイルを作成してみたので、ぜひダウンロードしてお時間のあるときに洗い出し演習をしてみてください!

ポイントとして、洗い出したあと、それらを分類し、重要度を評価することが大切です。簡単な方法として、以下の3段階で評価してみましょう。
- 重要性:高
- 漏洩や損失が事業に重大な影響を与える情報
- 重要性:中
- 一定の影響はあるが、迅速な対応で回復可能な情報
- 重要性:低
- 影響が軽微な情報
例えば、顧客の個人情報は「高」、社内の業務マニュアルは「中」、公開文書の下書きファイルは「低」といった具合です。
もちろん、これはサンプルですので、自分が表現しやすい評価に置き換えてください。
いかがでしたでしょうか? プライベートの情報資産の洗い出しができたところで、次に企業の守るべき情報資産を考えていきましょう。
守るべき情報資産
情報資産管理は、法的要件とも密接に関連しています。
例えば、個人情報保護法では個人情報の適切な管理が求められます。また、上場企業であれば金融商品取引法に基づく内部統制報告制度(J-SOX)という対応も必要です。
その制度においては「リスクコントロールマトリックス」という、リスク対応の一覧表を作らなければいけません。情報資産の洗い出しは、これらの法令遵守の第一歩にもなります。
それでは、企業や組織が守るべき情報資産を簡単にまとめてみましょう。
顧客情報
顧客情報には、名前、住所、連絡先、購買履歴などのデータが含まれます。これらが漏洩すると、顧客を危険に晒すことになりますし、企業の信頼性も著しく損なわれます。
企業の機密情報
企業の機密情報には、ビジネス戦略、財務データ、開発中のプロジェクト情報などが含まれます。競合他社に漏れてしまうと、企業は不利な立場に立たされることになります。
知的財産
知的財産には、特許、商標、著作権、企業秘密などがあります。これらの情報が漏れると、企業の競争力が大きく損なわれる可能性があります。
業務プロセス情報
業務プロセス情報には、業務手順書、システム仕様書、業務マニュアルなどが含まれます。これらは、企業の業務効率を保つために重要な情報です。
従業員情報
従業員情報には、人事データ、給与情報、評価情報などが含まれます。企業は従業員のプライバシーを守る義務がありますので、企業の内部管理が脅かされる可能性があります。
第5講のまとめ
情報セキュリティを考えていくうえで、必ず最初に整理しておかなければいけないのが、情報資産を可視化すること。
自社の公開情報はどれで、どの情報が機密に該当するのか? またその機密レベルはどれくらいか? いきなり企業の情報資産を考えていくと大変なので、まずは個人の情報資産で練習をしてみてください!

