「情報資産の洗い出しってどれくらいの細かさ（粒度）で行えばいいですか？」
この質問は、ISMSの取り組み中に登場する回数ベスト3に入るくらいよく聞かれます。
実は先に少しだけ回答を述べると「答えがない」ということにはなるのですが、それではみなさんもどのように取り組んでいいか困ってしまうのではないでしょうか。

そこで今回は、以下のポイントをご説明していきたいと思います。

今回のポイント

• そもそも情報資産って何？
• どういう粒度感で洗い出すのが正解？
• 洗い出しのポイント

そもそも情報資産って何？

情報資産とは、大まかに説明すると以下の概念に当てはまるものです。

• 企業活動によって収集した情報
• 情報を保管している媒体
• 情報を取り扱うための機器・設備
• 上記の中で企業にとって価値のあるもの

より具体的に気になる方は「そもそも情報資産ってなんだろう？」もぜひご一読ください。

どういう粒度感で洗い出すのが正解？

はじめにも述べた通り正解はありません。
ただあえて言うのであれば、「情報資産名を見て何を指しているかわかる」レベル感であるということです。

例えば「決算関連書類」と表現して何が含まれているのか把握できれば、この表現でも問題はありません。
ただ、「決算関連書類って何ですか？」と聞かれた際に、「えっと…」と詰まるようであればもう少し詳細に記載した方が管理の観点からは好ましいと言えます。

洗い出しのポイント

基本的には、前章で述べたように情報資産名から内包される情報資産が分かる粒度で洗い出せば問題ありません。
ただ、こういったケースでは分けた方がいいといったポイントがいくつかあるのでご紹介します。

1.　媒体が異なる

これは、紙媒体と電子データ、記憶媒体など、情報資産を保管する媒体の話です。
仮に同じ情報資産の場合でも、紙と電子データ両方で存在している場合などは、同じ情報資産名でも別で洗い出すことが望まれます。

理由は、紙で所持・保管する場合と、電子データで所持・保管する場合では伴うリスクが異なることから、明確にリスクを把握し対応するためにも、詳細に管理することが望まれるためです。

2.　保管期間が異なる

同じ媒体の情報資産であったとしても、保管期間が異なるものが存在するのであれば分けて記載することが望ましいです。

保管期間とは情報資産をどれだけ保持してどのタイミングで処分するのかということを明確化するために重要なものであり、保管期間の違うものを一つにまとめて管理してしまうと、本来処分すべきものを処分し忘れたり、反対に、まだ持ち続けておくべきものを間違えて処分してしまったりというミスが発生する可能性があります。

3.　保管場所が異なる

これは例えば、ソースコードを「PCローカル」「バージョン管理ツール」「本番環境」にそれぞれ保管している場合や、お問合せ情報を各自のメーラや共通のメールツール、電話記録など様々な方法で保管している場合などが当てはまります。

ただし、この場合は必ずしも分けることが望ましいというわけでもありません。
最近だと、様々なツールを利用しており、同じデータが何か所かに分かれて保管されるというケースもあるのではないでしょうか。
そこで、情報資産を分ける基準のひとつとしては、「保管場所によって大きくリスクが異なる場合」や「保管場所によって取扱い方が異なる場合」などを考えていただくと良いのではないかと思います。

例えば、ソースコードを個人の管理下にあるPCローカルに保管しているのと、共有で管理するバージョン管理ツール上で保管するのでは、取り巻くリスクが異なってくる可能性が大きいです。
このような場合には、それぞれのリスクを把握するためにも情報資産を分割した方が良いかもしれません。

一方で、同じ情報資産を複数のツール上で管理している場合でも、全てのツールが組織の管理下にあり組織で動向が把握できると言った場合には、そこまで厳密に細かく分ける必要はないといえるでしょう。

まとめ

今回は、情報資産洗い出しの粒度感について考えてきました。
紹介したポイントはあくまでも一例ではありますが、どれにも共通することとして「情報資産に関わる何かが異なることによって、管理方法やリスクが異なるか」ということが挙げられます。

この疑問に対する答えは本当になく、「組織内の人たちがその情報資産の一覧を見て把握できる」状態が組織にとっての正解になります。
反対に言うと、組織の人たちが把握できない一覧だとしっかりと管理することができない、良くない洗い出しになっているということもできます。

情報資産の洗い出しに関連して今回紹介したポイントやその他アクセス権などを整理する際にも上記のリスクについて意識してみると良いでしょう。