自社の重要情報は何だろう？

～保有する情報資産を明確化することが情報セキュリティ対策の第一歩～

投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2023.8.30

（更新：2025.9.18）

業務に利用するデータや情報は本来重要なものですが、いつも当たり前に使えていると、その重要性が十分認識できなくなる場合も、あるかもしれません。

小さな事業者様であっても、できれば年に1回程度、職場で利用している重要な情報にはどんなものがあるか、洗い出しや棚卸しを行うことをお勧めします。

ISO/IEC27001に基づくISMS（情報セキュリティマネジメントシステム）の構築では必須の作業に「情報資産の洗い出し」があります。

「自分たちの会社・職場で利用する重要な情報にはどのようなものがあり、どのような媒体に記録され、どこに保管されているか」といったことを調べ、「情報資産台帳」「情報資産管理台帳」等と呼ばれる管理簿にリストアップして管理します。

〇重要な情報とは？

万が一、漏えいしたり、改ざんされたり、利用できなくなると、業務運営に悪影響が生じたり、関係者に損害が発生する可能性がある情報は重要情報といえます。

（例）

・お客様や取引先の氏名、住所、メールアドレス、クレジットカードなどの情報

・取引先ごとの仕切値や限度額、取引実績等の営業情報

・製品の設計図、商品の製造マニュアル、サービスマニュアル等の営業秘密

・取引先から”取扱注意”として預かる情報

・従業員に関する情報（マイナンバー、住所、給与明細）

〇「私達はどんな情報資産を持っているか？」明確化することが情報セキュリティの第一歩

ISMSの認証取得をする／しないにかかわらず、どの職場においても、

「そもそも私達はどんな情報資産を持っているか」

「私達にとっての重要情報は何か？」

これらを認識し明確にすることは情報セキュリティ対策の第一歩です。

情報資産を洗い出すことで、

・職場のどこに、どのような形で、どの程度重要な情報資産を有しているか

・それらの情報資産に対して、どのような脅威が存在するか

・現在、情報資産に対してどのような保護などの対策が行われているか

・それら保護などの対策にはどのような弱み（脆弱性）があるか

を明確にでき、その結果、とるべき情報セキュリティ対策も明確化できます。

ちなみに、本ブログでご紹介している情報資産を洗い出した後の作業は、

・情報資産毎の資産価値やリスクの分析・算出

・分析結果を踏まえた対策の立案・実施、

というのが情報セキュリティ対策中の、いわゆるリスクアセスメントのおおよその流れです。

（これらの詳細－情報資産のリスクアセスメントの実施－についてはまた別途書いてみたいと思います。）

＊参考：ISO/IEC27001:2013（JIS Q 27001:2014）、6.1.2項「情報セキュリティリスクアセスメント」

〇定期的な見直しや継続的な改善にもご留意を

情報資産の洗い出しやリスクアセスメントの実施は一度限りのものではありません。

定期的に見直し、継続的な改善を加えてゆくものです。

冒頭にも書きましたが、少なくとも年に1回程度、また、保有する情報資産の変動が生じた都度など、皆様の情報資産台帳などに整理した内容を実態に合わせて更新し、アセスメントの内容も含めて見直しましょう。

保有する情報資産を正確に把握することが、効率的で無駄のない情報セキュリティ対策の基盤です。

地道な作業といえますが、確実な実施をお勧めいたします。

（Primary-f／向実庵　代表）

＜ご案内＞

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びＩＰＡが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。

詳しくはこちらよりお入りください。