情報資産とは企業にとって価値ある情報のこと
情報資産とは、企業や組織などで保有している情報全般のことです。
総務省によると『 顧客情報や販売情報などの情報自体に加えて、それらを記載したファイルや電子メールなどのデータ、データが保存されているパソコンやサーバなどのコンピュータ、CD-ROMやUSBなどの記録媒体、そして紙の資料も情報資産に含まれます。』を指します。
つまり、情報資産とは企業にとって価値のあるあらゆる情報のことです。
紙の資料・書類に記載されている情報から、パソコンなどで作成してサーバーや記録媒体に保存しているデータまで、記録の形式は問わずすべての情報が含まれます。
企業活動の中で収集した情報とそれら情報を記録する媒体の中でも、自社にとって価値のあるものを指す言葉となります。
情報資産とはどのようなものを指すか?
企業取り扱う情報には、顧客情報や商品技術情報等のように情報資産として価値ある情報もあれば、企業の電話番号、拠点情報、製品情報、設備情報などのように情報が公開されていて、資産価値の低いものも含みます。
企業・組織にとって資産価値のある情報は、情報セキュリティにおいて保護管理対象となります。
では具体的にどのような情報が資産価値が高いものなのでしょうか。
以下でご紹介します。
資産価値の高い情報
・経営や事業計画、情報セキュリティなど戦略情報、企業間契約書類等
・企業/組織の経営状況を把握するための財務情報
・生産計画、製品の設計図面・仕様書・部品表・作業手順など製品技術情報、新製品情報
・顧客情報、顧客名や住所、電話番号、クレジットカード情報、注文履歴、仕入先・販売先等
・人事情報、従業員個人の携帯番号やメールアドレス、自宅住所、採用時の応募情報、給与・昇給・勤怠情報、マイナンバー等
・社内で利用しているシステムのID、パスワード情報
また、情報資産の種類は様々で、分類方法は企業によって異なりますが、一般的には「情報」と「情報システム」に分類されます。
「情報」には紙媒体・ノウハウ・外部情報・映像・音声、「情報システム」にはネットワーク機器・アプリケーション・情報共有ツールのように、「無形資産」と「有形資産」の形で両方に存在するものもあります。
情報資産の重要性とリスクについて
情報資産には、顧客や従業員の個人情報も重要な情報資産で含まれてきます。
昨今、こうした情報の多くはデジタル化され、収集・蓄積されてビジネスに活用されておりますが、一方で、それらの情報が漏洩・流出したり、窃取されたりするリスクも増大しています。第三者によるサイバー攻撃の巧妙化に加え、デバイスの紛失、メールなどの誤送信、SNSでの誤った操作による流出や内部不正など、リスクの種類もまた多様化してきているのが現状です。
重要な情報が漏洩すると、企業は深刻なダメージを負うおそれがあります。または社外に漏洩した個人情報などが不正利用されてしまうと、社会的信用を失って事業継続の危機になる可能性も十分に考えられます。
そのため情報資産をどのように管理していくのか考えていく必要があります。
情報資産の管理方法について
情報資産は、基本的には記憶媒体に格納されていますが、格納・保存の状態を可視化し、管理・検索しやすくすることが課題となっています。
理想はすべて情報資産は可視化されており、社内担当者が検索しやすい状態を目指した方が資産としての価値を挙げることが出来ます。
そのため、どのようなフローに沿って管理していくのか下記をご確認下さい。
・情報資産の洗い出し
情報資産を洗い出す方法として、業務フローを可視化してから行うことで、極力洗い出し漏れを削減することができます。
実際の業務に沿って、上記に記載した情報資産のリストを確認しつつ確認します。
すべての情報資産を洗い出さなければならないというわけではないです。
組織が保持している情報資産は変わっていくため、現状で守るべき情報資産をピックアップします。そのため、業務フローを確認しながら行うことを推奨します。
また、情報資産の選別が難しい場合には、その情報資産が漏洩・改ざん・紛失した際に、組織に影響があるのかを考えてみましょう。
組織に悪影響がある場合には、リストに加えておきます。
その後、その情報の性質や重要度、脆弱性といった観点から分類していくため、洗い出しの時点でその情報の価値を深く考えるのではなく、自社に影響があると考えられるのであれば洗い出しておくことが重要です。
・情報資産管理台帳での管理
次に洗い出した情報資産を「情報資産管理台帳」などに全てまとめ、可視化していきます。
どの情報がどのように、誰によって管理されているかを把握できるようにし、管理体制は適切か、管理できていない情報はないかなどを洗い出します。
情報資産管理台帳とは、組織・企業などが保有している情報をまとめたリストのことです。
また情報資産管理台帳には、以下の内容を記載するのが一般的です。
・情報資産管理台帳の管理項目例
業務分類 :人事・経理・営業・共通など
情報資産名:請求書控え、給与システムデータ、メールデータ、社員名簿、受注契約書など
媒体の種類:書類・電子データなど
保存先:社内サーバー、外部記憶媒体、モバイル機器など
利用範囲 :部署名、担当名など
管理部署/管理責任者:部署名および管理責任者
個人情報の有無:有無
評価値(機密性/完全性/可用性)
保存期間:文章保管規定など企業・組織の社内規程参照
登録日(更新日)
従業員各人が使用しているパソコンなどの機密データへのアクセスログを保存・監視できる管理体制ができていると理想的です。
万が一、情報漏えいなどの事故が発生した際に原因を判明しやすくなるでしょう。
・情報セキュリティ責任者を置き、従業員研修を実施する
情報漏洩などヒューマンエラーが原因で発生することが多く、そのような自体を防ぐためには上記のような方法で情報資産管理リテラシーを高めることに加えて、情報セキュリティに関する専任の責任者を置くことが重要になります。
また同時に、自社のセキュリティポリシーを定め、それに基づいた従業員向けのセキュリティ研修を実施することも重要で社員全員の意識向上が重要ですが、日々の業務の中でセキュリティ意識を高めるための声掛けやフォローアップをしていくことも効果の高い方法です。