ISMS(ISO27001)の情報資産とは？ポイントと管理方法を解説！

１．情報資産とは？

情報資産とは、簡単に言うと「会社が保有している情報」です。
具体例としては、従業者の履歴書などの個人情報をはじめ、会社の決算情報やお客様との契約書などがあげられます。

その情報そのものだけでなく、情報が保管されているPCなどの媒体やシステムなども情報資産と言えます。
その他、自社の情報を保管している外部のクラウドも、自社の情報が保管されているという意味では自社の情報資産となります。

そのため、書類、電子データやハードウェアなど情報資産の形態は様々です。
万が一、その情報を漏えい、紛失してしまった場合に会社に不利益を被るものは情報資産として適切に管理をするのがよいでしょう。

２．情報資産に該当するものは？

情報資産に該当するものは、いくつかのカテゴリーに分けられます。

①紙情報（紙で管理している情報）
②電子データ（データで管理している情報）
③ハードウェア（データを取り扱うインターフェースとなる媒体）
④ソフトウェア（ハードウェアにインストールして利用するツール）
⑤クラウドサービス（外部サービス）

（１）紙情報（紙で管理している情報）

「履歴書」「賃金台帳」「名刺」など紙媒体に情報が記載されている場合が該当します。
一番目に付く情報なので、イメージしやすいかもしれません。

（２）電子データ（データで管理している情報）

紙情報としてアウトプットされる前に、PC上で作成するデータ等が該当します。
紙情報の元データをイメージすると分かりやすいかもしれません。

（３）ハードウェア（データを取り扱うインターフェースとなる媒体）

「デスクトップPC」「ノートPC」「NAS」など、社内で取り扱う情報端末を指します。
こちらも日々取り扱う為、パッと思いつきやすいと思います。

（４）ソフトウェア（ハードウェアにインストールして利用するツール）

「会計ソフト」「アンチウイルスソフト」などPCにインストールして使うものです。
システムという表現の方が、なじみがある方も多いかもしれません。

（５）クラウドサービス（外部サービス）

ソフトウェアと近いものですが直接インストールするものではなく、ネットワークに接続して、外部サービスを使う場合を想定しています。ストレージサービスやカレンダー、チャットツール等多岐にわたります。

３．情報資産洗い出しのポイント

情報資産の洗い出しのポイントは、まず業務フローを確認しながら洗い出しをすることです。

お仕事の受注から納品までの一連の流れを確認し、その流れの中で発生する書類やデータ、使用するシステムなどを確認していくことで情報資産は洗い出しやすくなるでしょう。

業務フローに沿って洗い出しをした後、他に自社の情報資産がないか確認する方法としては、紛失したり、漏洩したり、壊れたりしたときに困るものは何だろう？という観点で洗い出しをしてみることです。

「情報資産」で考えるとなかなか洗い出しが難しいですが、漏えいしたら会社にとって不利益を生むかもしれないといった観点で考えてみると思い浮かびやすいのではないでしょうか？

併せて、書類、データ、ソフトウエア、ハードウエア、サービスなどの分類で分けて洗い出してみるとより自社の情報資産を洗い出すことができます。

４．情報資産に必要な項目

情報資産に必要な項目は、誰がその情報を利用することができるのかという資産利用の許容範囲や、社外秘情報なのか、極秘情報なのかなどの情報管理区分などがあげられます。

情報の管理区分については、どれくらい慎重に取り扱わなければならないかという観点から分類をするとよいでしょう。

５．情報資産の管理方法は？

情報資産の管理方法は、「２．情報資産に該当するものは？」にあげた情報資産のカテゴリー、詳細項目毎に異なります。
まずは、リスクアセスメント（評価）が必要です。

情報の重要性、利用頻度、アクセス範囲など様々な項目を複合的に評価しリスク値を洗い出します。
リスクがゼロということはほぼあり得ませんが、全て対応しなければならないというものでもありません。
リスク値を洗い出した後、優先順位をつけてリスク対応（リスクを低減するための施策）を決定します。

例えば、「名刺（紙情報）」を従業員が個人ごとで管理しているとします。
管理方法を会社管理にすると意思決定した場合、スキャンデータをNASに保管する方法や、会社指定の名刺管理クラウドサービスなどに保管、紙媒体は廃棄する等、「名刺（紙情報）」を会社で保管しないという方法がリスク対応です。

他にも、給与明細を経理担当者が作成、個人にメールで送信というプロセスを実施している場合、給与管理ツールを導入して、本人がアクセスして給与明細を入手するというプロセスに変更すると経理担当者に属人化するリスクを低減することができます。

６．情報資産管理台帳とは？

「情報資産管理台帳」とは、洗い出した情報資産を管理する為の台帳で、大まかにいうと自社の情報資産を一覧化したものです。
ISMSを運用する範囲で取り扱う全ての情報資産を洗い出し、一元管理します。

（１）情報資産管理台帳フォーマットサンプル

実際の情報資産管理台帳を見てみましょう。
これから説明する全ての項目を埋めると以下のような台帳が完成するのではないでしょうか。

（２）情報資産管理台帳に必要な項目とは

情報資産管理台帳には以下のような項目を特定します。
例）

• 情報資産名　：「名刺」「ノートPC」など取り扱う情報資産を記載します
• 情報資産区分：電子媒体、ソフトウェアなど２で洗い出した項目のどこに該当するかを記載します
• 許容範囲　　：アクセス権の範囲を明確にします。経理部、管理本部、本部長以上など
• リスク所有者：アクセス権のトップを特定します。部門管理であれば部長、極秘情報であれば社長など
• 保管場所　　：キャビネット、ノートPC、クラウドサーバなど情報資産の保管場所を特定します
• 保管期間　　：電子媒体は保管期間の定義があいまいになりがちですが、ここでは保管期間を定めます

上記以外にも他の項目を特定するケースがありますが、項目を増やしすぎても毎年の更新管理が大変になったり、見にくい資料になる可能性があるので、必要な項目だけに絞ることが重要です。

（３）情報資産管理台帳の運用方法

情報資産管理台帳の運用方法は、自社で決めることができますが、
一般的な方法は1年に1度、各部署で情報資産の棚卸をして更新する方法です。

新規認証タイミングであらかた情報資産を特定すると思いますが、
会社の状況は日々変わっている為、1年に1度は各部門で内容を見直しして、
新たに取り扱い始めた情報資産のリスクアセスメントが漏れないようにすることが大切です。

ISMSでは変化点管理が重要ですので、1年間で変更があった項目にリスクがあると考えると
リスク対応も決めやすくなるかもしれません。

7．情報資産管理台帳の失敗事例

実際に、情報資産管理台帳を作った際の失敗事例を紹介します。

ISMS（ISO27001）では、事業で利用する情報資産を全て特定することが求められています。
しかし、全ての情報資産を「情報資産管理台帳」に特定していては、いつまで経っても完成することはできません。

ある企業では、情報資産管理台帳の項目を複雑にしてしまったため、全ての情報資産を特定し、情報資産管理台帳を作成するまでに約半年程度かかってしまいました。
作成したものの、本当にこれでよいのか、審査が通るのかが不安で、結局1年経ってコンサルに依頼することが決まりました。

弊社サポートの場合、準備開始から認証取得まで約6か月です。

ISMSでは、要求事項に沿って記録を作ったとしても、どこまでのものを作ればよいのかが明確にされていません。

例えば、情報資産の件数はざっくりと100件でよいのか、詳細に101件とすべきなのか？
ノウハウがないと悩んでしまうようなことがたくさんあります。

8．まとめ

ISMS（ISO27001）の情報資産管理台帳は大切な取り組みです。
ただし、複雑な仕組みにしてしまうと、認証取得や更新の負担になってしまうリスクが存在します。
自社にあった取組みにすることで、皆さんの負担にならないようにしてください。

自分たちの負担を減らし、適切に情報資産を管理できるようにしましょう。

情報資産管理台帳の作成、更新に時間がかかっている場合、コンサルタントによる無料相談も可能です。
お気軽にご連絡ください。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。 アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。 認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

• 無料相談はこちら
• 見積もり依頼はこちら