業務で使う情報は、分類を明確に

更新日：4月1日

投稿：舩生好幸（ISACA認定CISA、IPA登録セキュリティプレゼンター）2023.2.16

（更新：2026.4.1）

ISMS（情報セキュリティマネジメントシステム）の認証規格、ISO/IEC27001:2022の附属書A中の5.12項では、

情報は、機密性、完全性、可用性及び関連する利害関係者の要求事項などに基づき分類されることを求めており、　（※機密性・完全性・可用性の概略については後段をご参照ください。）

続く5.13項で、組織が採用した情報分類体系に従って情報のラベル付けされることを求めています。

業務で利用する情報が明確に分類され、その分類がラベルで分かりやすく表示されていると、どのような取り扱いや保護が必要か、利用者に簡潔かつ明確に示すことができます。

〇機密性に基づく情報の分類例

ISO/IEC27001に沿って情報資産の洗い出しやリスクアセスメントを実施している組織では、その実施結果から、組織の情報を、機密性によって分類する場合が多いのではないかと思います。

＊機密性：権限のある特定の人だけが情報にアクセスできること。

（機密性に基づく分類例）

・極秘：開示対象は経営者などに限られ、特に取り扱いに注意を要する情報

・秘密：一部の組織や秘密保持契約提携先にのみ開示可能な情報

・社外秘：社内のメンバーにのみ開示可能な情報

・公開：一般に公開している情報

〇完全性・可用性に基づく情報の分類例

また、機密性に加え、完全性・可用性に基づいて情報の分類を定める場合もあるでしょう。

＊完全性：その情報が正確で、改ざん等がされていないこと。

＊可用性：情報を利用する権限のある人が必要な時に確実に利用できること。

・非常用：トラブル対応マニュアル、災害対応マニュアルなど、非常事態に備えて平時から準備しておく情報

※機密性・完全性・可用性については以下のブログもご参照ください。

〇簡略でも可、情報の分類の明文化がおすすめです

ISO27001・ISMSの認証を受けている組織では、情報の分類やそのラベル付けの方法が文書化され、運用されていますが、

小さな組織や職場などでは「情報の分類とそれらの取扱い方法などは、慣習的に決まっているけれど明文化はされていない」といった状況もあるかもしれません。

明文化されていない場合、時間の経過やメンバーの異動等によって「定義や取扱い方法がぶれて」しまい、情報漏洩や情報の紛失などのインシデントが起こるリスクも考えられます。

まずは簡略な文章でもよいので、業務で利用する情報の分類を明文化し、メンバーと共有するようにしましょう。

そして分類が適切であるか年に1回など定期的に点検し、必要であれば見直しも行いましょう。

〇まとめ

業務で使う情報は、その分類を定義し、明文化し、文書ごとに表示（ラベル付け）し、年1回など定期的に、業務に照らして分類が適切か見直す、といった運用ができると理想的です。

（Primary-f／向実庵　代表）

＜ご案内＞

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びＩＰＡが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。

最新記事