情報資産管理台帳の概要と記入すべき内容について

情報セキュリティ

企業が保有する資産は、資金のことだけを指しているわけではありません。
事業規模に関わらず、いずれの企業も“情報資産”を保有しています。
また、こちらを管理するにあたって必要不可欠なのが、“情報資産管理台帳”です。
今回は、情報資産や情報資産管理台帳の概要、台帳に記入すべき内容について解説します。

情報資産の概要

情報資産とは、企業における経営資源(ヒト、モノ、カネ、情報)の一種であり、情報セキュリティ分野においては、情報および情報を扱う仕組みまでを含む概念をいいます。
“IT資産”と呼ばれることもあります。
わかりやすくいうと、企業が保有するデータ全般を指し、紙媒体の書類だけでなく、パソコンのSSDやHDD、リムーバブルディスクなどに保存されているデータおよび情報すべてが情報資産に該当します。
企業活動において日々蓄積されるもの、顧客や取引先企業とのやり取りで発生するものなど、それらの履歴も含め、何らかの形で資産価値を生むものがすべて当てはまり、一見無意味そうに見えるデータであっても、蓄積されることで資産価値を生む可能性があります。
具体的には、以下のような情報等が該当します。

・顧客の個人情報
・従業員の人事情報
・企業の財務情報
・契約書
・社内システムのソースコード など

いずれも非常に重要な情報であり、一度漏えいすると企業の安定を揺るがすほどの損害をもたらす可能性もあります。

情報資産管理台帳の概要

情報資産管理台帳とは、名前の通り企業が保有する情報資産をリスト化し、まとめたものを指しています。
企業は情報資産管理台帳を作成するにあたり、まずは事業継続において保護が必要な情報資産を特定します。
その後、それぞれの情報資産に対するリスク評価を実施し、評価結果を情報セキュリティポリシーに反映させます。
つまり、こちらの作成は、情報資産の管理だけでなく、情報セキュリティポリシーの策定も目的にしているということです。
また、情報資産管理台帳は、情報セキュリティ関連の監査において提出しなければいけない大事な書類です。
その他、JAPHICマークなど、情報セキュリティに関する認証取得を目指す場合は作成が必須であるため、なるべく早めに着手すべきです。

情報資産管理台帳に記入すべき内容

情報資産管理台帳には、以下のような内容を記入すべきです。

・業務分類
・情報資産名称
・備考
・利用者範囲
・管理部署
・媒体、保存先
・個人情報の種類
・重要度
・保存期間
・登録日

それぞれ詳しく見てみましょう。

業務分類

情報資産に関する業務、部署名を記入します。
企業の保有する情報資産は、業務に関連して発生するため、まず関連業務や部署を特定し、その業務や部署で利用している情報を洗い出すことで、記入漏れを極力減らすことができます。

情報資産名称

情報資産の内容を簡潔に記入します。
正式名称が存在しないものに関しては、社内の通称でも問題ありません。
また、管理方法や重要度が同じものについては、1行にまとめて記入します。

備考

必要に応じて、情報資産に関する説明などの備考を記入します。

利用者範囲

当該情報資産を利用して良い部署の名称を記入します。

管理部署

当該情報資産の管理責任がある部署名を記入します。
複数の部署が存在しない中小企業などでは、担当者の氏名を記入しても構いません。

媒体、保存先

情報資産の媒体、保存場所を記入します。
紙媒体とデータの両方で保存している場合は、それぞれ完全性や可用性、脅威や脆弱性が異なるため、2行に分けて記入します。

個人情報の種類

こちらの項目は、個人情報、要配慮個人情報、特定個人情報に分けられ、各個人情報が含まれる情報資産の場合は、それぞれ“有”と記入します。

重要度

情報資産の機密性、完全性、可用性をそれぞれ評価し、重要度として記入します。
重要度の判断基準とステージは以下の通りです。

重要度 判断基準
2 機密性、完全性、可用性評価値のいずれかまたはすべてが2の情報資産
1 機密性、完全性、可用性評価値のうち最大値が1の情報資産
0 機密性、完全性、可用性評価値すべてが0の情報資産

ちなみに、機密性、完全性、可用性の評価値については、漏えいや改ざん、利用停止になると、法律違反や取引停止など企業に深刻な影響がある場合に2、それ以下の影響がある場合に1、漏えいや改ざん、利用停止になってもほとんど影響がない場合に0をつけます。

保存期間

法定文書では法律で定められた保存期間を、それ以外では、利用が完了して廃棄、消去が必要となる期間をそれぞれ記入します。

登録日

登録した日付を記入します。
内容を更新した場合には、更新日に修正します。

まとめ

ここまで、情報資産や情報資産管理台帳の概要、台帳に記入すべき内容の詳細について解説しましたが、いかがでしたでしょうか?
特に事業規模が大きい企業では、情報資産管理台帳の作成は手間も時間もかかります。
しかし、こちらがなければ情報セキュリティ体制は万全とは言えませんし、今後情報セキュリティ関連の認証を取得する際の足かせとなってしまうため、少しずつでも整備していかなければいけません。

タイトルとURLをコピーしました