情報資産とは、資産として価値のある情報です。主に企業の事業活動の中で情報が資産であることが意識されます。一方、プラスの価値があれば保護して資産として管理することが意識されがちですが、資産は管理状況が悪ければ、損害賠償請求を受けるなどの原因でマイナスにさえなってしまう可能性もあります。
情報資産の内容と情報資産にまつわるリスクおよび管理方法が価値をどのように変える可能性があるのかを踏まえて、管理の必要性についてまとめてみました。
また、ISMS認証取得をご検討中の方に向けて、ISMS認証取得が社内で決定して最初に検討すべき事項から審査を受けて認証取得に至るまでのすべてを23項目のTodoリストにいたしました。ぜひ本記事と併せてご活用ください。
情報資産とは?
辞書的な意味において、情報資産とは、資産として価値のある情報のことである。
情報資産は、主に企業活動によって収集した情報で、企業情報のほぼすべてが情報資産として管理されることが期待されています。
情報資産の中には、商品を開発する際に収集した技術情報や開発中に得られた新たな技術情報、商品を販売する際に得られた営業情報・顧客情報などをあげることができます。また、企業の財務情報や人事情報なども情報資産の重要な一部です。
情報資産を記録する媒体にはパソコンやCDやUSBメモリなどの記録媒体、紙などがあります。また、従業員の記憶や知識・営業や技術に関するノウハウなども情報資産の記録形態として見なすこともあります。人がこの文脈で資産の記録媒体としてとらえられる場合、人材流出や、離職はこうした情報資産の管理の面からも問題になります。
人の記憶そのものは、情報資産に含めることができませんが、ライバル企業への転職制限が就業規則で定められている会社などは人の異動の場面でも情報資産の管理を意識しているといえるでしょう。
辞書的な意味から、情報資産をもう少し広げて考えましたが、今までの解釈から3つのことを読み取ることができます。
- 企業にとって価値のある情報が情報資産
- 情報そのもの(企業活動によって収集した情報や財務人事情報)
- 情報を記録する媒体(PCや外部記憶媒体、紙や人の記憶など)
情報そのもの・そうした情報を記録した媒体が情報資産としてとらえられますが、中でも資産として意識されるものは、企業にとって価値のある情報です。つまり、情報資産とは何かをとらえる際には、「企業活動の中で収集した情報」と「それら情報を記録する媒体」の中でも、「自組織にとって価値のあるもの」と捉えることができるでしょう。
情報資産とは情報と記録媒体だけではない
ところで、情報資産は情報と記録媒体だけでなく、例えばISMS認証の場面では情報の取り扱いにかかわる機器や設備も情報資産の一部です。ここでいう機器や設備とは、記憶媒体にとどまらず、取り扱い機器のことも言います。
ネットワーク機器や印刷機・監視カメラのように、情報を保持する機能はないか少ないものであってもISMSにおいては情報資産として実際にとらえられています。
例えば、ネットワーク機器や印刷機、監視カメラなどがイメージしやすいでしょう。その他にもディスプレイやWebカメラなども情報を処理する上で利用する機器・設備として含めても良いでしょう。ただし、ISMSは情報の管理を適切に行っているかが認証の対象になるので、そのような備品は別途管理しているといった場合には従来通りの運用でも問題ありません。
なぜ情報の取扱いにかかわる機器・設備も情報資産として含めるべきかということについては、以下の2つの視点から考えることができます。
1つ目が、情報を取り扱う機器を通じてでないと、電子データ等の情報は資産として価値を持つことができないことが理由として挙げられます。いくら重要な情報が存在していても、それらを再生・処理し、やり取りするための機器・設備がなければ、その情報は何の意味も持っていません。機器や設備を情報資産としてとらえるのは、価値を実現する機器や設備を、価値そのものの一部として考えるからです。
2つ目が、情報セキュリティの3要素、すなわち情報の「機密性」「完全性」「可用性」を実現できるのは、情報を取り扱う機器があるからだ、という考え方です。「機密性」「完全性」「可用性」は、情報の価値の本質部分と考えられています。
そのため、この3つを実現できる抜きにしてには情報は資産であり得ないという考え方です。組織にとって大切な情報資産をしっかり洗い出すことで、ISMSの取り組みをより有効的なものにできるのだとすると、機器や設備のことも含めて考えて当然ということができるでしょう。
機密性や可用性・完全性に対して有効的な対応を行っていくためには、それらを管理するための機器・設備は重要な存在であり、情報資産の一部と考えるのです。これがISMSの認証基準の解釈の中では主流の考え方となっています。
情報資産を管理する必要性とは
情報資産は、適切な管理をしないと、次のようなリスクがあります。
- 情報がデジタル化されることにより、サイバー攻撃、情報漏洩や内部不正等の脅威にさらされる
- インターネットを通じて悪意のある第三者ともつながるため、誰しもサイバー攻撃の標的になりうる
- 常に情報資産は狙われ続けていて、失う・奪われる可能性がある
これに加えて、データ活用・データドリブンのビジネススタイルは、情報の価値をかつてよりあげています。
もしもリスクがあると、かつてより、企業の損害は大きくなる、と考えられるのです。
そこで、情報資産の管理として、どんな対応をすべきかが問題になります。
情報資産の管理のために対応すべきこと
情報の資産としての価値が上がる一方で、リスクも増大しているとみられる状況で、具体的にはどのように情報資産を管理することが適切なのでしょうか。以下、見ていきましょう。
記憶媒体を主とした情報資産の管理
情報資産は、記憶媒体に格納されていますが、格納・保存の状態を可視化し、管理しやすくすることが課題となっています。理想を言えば、すべて情報資産は可視化されている状態を目指した方が資産としての価値はあげることができると考えられます。
そこで、次のような管理を十分に施しておきましょう。
- 一覧性の確保
- 台帳・システムなどを利用し、データを保存する媒体の把握、管理を実施する
- 媒体の網羅
- 紙、CD、DVD、HDD、SSD、SDカード、USBメモリ、外付けドライブやパソコン、スマートフォン、タブレットなど、漏らさずに管理をする
- 情報のありかの十分な把握と記録
- 誰がどこで何を持っているかを記録しておく。できればICタグ・バーコードなどの仕組み・システムなどを使って、リアルタイムで簡単に管理できると望ましい。
操作のログ保存・監視
操作ログの保存と監視により、万が一の事故が起こった際でも原因究明・リカバリーを迅速にできることが望ましい管理のありかたです。ここでもシステムによる管理・自動化された管理の方が望ましいでしょう。
- 電子化とログ保存・監視の推進
- 紙の書類は可能な限り電子化して、操作・アクセスログを保存・監視できるようにする
- デバイス管理
- 業務に関連するすべてのPCを中心とするデバイスの操作ログの保存や監視が理想
- 重要データの管理
- 最低でも、個人情報や機密情報、社外秘のデータについてはすべてログの保存や監視をすべきなので、システムでこれらの分類整理と、ログの記録・管理ができるとよい
ログに加えて、適切なアクセス管理により、そもそもアクセスしてファイル等のデータを操作できる人員を制限しておくことも重要です。
セキュリティ対策についての教育
セキュリティ対策についての教育も、組織的・人的安全管理策の一部として施しておくべきです。情報漏えいは、うっかりミスと、ヒューマンエラーにより生じることがあります。ミスの可能性を減らし、ミスが起こった際でも損害を最小限にすることができるようにしておくと情報資産の価値に大きなダメージを及ぼさずに済ませられます。
また、内部不正は不合理で、割に合わないことであること、また相応の罰則があることも周知を徹底しておきましょう。残念ながら、IPAの法人のセキュリティリスクの上位として内部不正があげられています。
情報資産の管理作業の効率化
情報資産の管理作業は、その数が多いだけに、Excelで実施するなどの方法をとっていると管理側が疲弊してしまいます。自社の実情に合った情報資産管理用のソフトウェアを導入し、省力化・自動化することがどの企業にも課題と考えられます。例えば、リモートで一元管理のできるソフトウェアなどが理想的でしょう。
まとめ
情報資産は、かつてないほど重要性が増し、データドリブン経営が主流になれば価値そのものも高くなります。その一方で、機密性・完全性・可用性が十分に確保できない管理状況にあれば、価値は下がり、時にマイナスの財産となる可能性すらあります。
こうした状況の中で、情報資産管理の網羅性と質を保つ手段を使うこと、そして膨大な情報資産を管理するシステムを適切に使い、業務負担を合理化することが課題となるでしょう。
また、ISMS認証取得をお考えの皆様に向けて、こちらの資料では、ISMS認証取得の始めの検討段階から審査当日までの一連の流れを23項目のチェックリストにいたしました。認証取得までの流れを抜け漏れなく把握していただくために、ぜひまずは無料でダウンロードしてお確かめください。