情報資産とは紙媒体、電子媒体を問わず価値のあるデータや情報を指します。価値のあるデータとは、個人情報や顧客情報、契約情報など、情報漏洩した場合に多大な損失を被ったり企業の信用を失墜させてしまったりするデータのことです。
近年デジタル化が進むにしたがって情報資産管理が重要視されています。
IT技術の進化により紙媒体では起こりえなかったサイバー攻撃や、大量記憶媒体の紛失などから情報漏洩が起こるリスクが高まっているためです。
本ブログでは、情報資産管理とはなにか、そしてそのリスクについて、また、実は情報資産管理と相性が良い文書管理システムで行う情報資産管理についてもご紹介します。
情報資産管理とは?
〇そもそも情報資産とは何か?
序章でも取り上げましたが、情報資産とは価値のあるデータを指します。
日本のIT国家戦略を技術面・人材面から支えるために設立されたIPA(独立行政法人情報処理推進機構)はこの情報資産を「財務情報、人事情報、顧客情報、戦略情報、技術情報 業務を遂行するために必要な様々な情報」と定義しており、資産となる情報の種類は幅広いことが分かります。
このような情報資産が漏洩や改ざんされてしまうと、その企業の運営が危ぶまれる事態に繋がりかねません。
〇情報資産はどのように管理するのか?
では情報資産はどの様に管理するのでしょうか?
紙媒体なら、決められた棚や金庫などに保管し、きちんと施錠したうえで鍵を適切に管理することが求められるでしょう。
電子データは主にクラウド上や共有サーバーで管理されます。しかし、クラウドであればインターネットを経由するのでセキュリティ対策が必要です。情報にアクセスできるユーザーの制限や、社外からの不正なアクセスを防ぐ対策を講じることがとても重要です。
社内の共有サーバーであれば外部からの攻撃や、機器の設置場所などにも注意を向ける必要があります。
このように情報資産管理にはセキュリティ対策が欠かせないことが分かります。
情報資産管理とリスク要因
情報資産管理にはセキュリティ対策が必要と前項でご紹介しましたが、具体的にどのようなリスクを避けることが必要なのでしょうか?まずは、起こりうるリスクの要因を確認してみましょう。
○リスク要因の種類
外部要因
・ネットワークへの侵入
・ウイルス感染
・盗難、紛失
・停電
内部要因
・ソフトウェアの脆弱性
・ハードウェアの信頼性
上記が主なリスク要因であり、外部要因と内部要因に分けることが出来ます。
このリスク要因が顕在化することで情報漏洩や情報消失、改ざんなどの問題が起こり、最悪の場合企業の業務停止を引き起こします。
個々のリスク要因への対処としては、ネットワークへの侵入には適切なパスワード管理、ウイルス感染への対策は利用するコンピュータへのアンチウィルスソフトの導入、盗難や紛失については保管場所の管理や社内の運用ルールの徹底が重要です。
停電やハードウェアのリスクには日々の点検や、バックアップ体制の強化が必要になります。
また、ソフトウェアのリスクについてはセキュリティ対策が整っているソフトウェアを選ぶことでリスクを回避することが出来ます。
このように様々なリスク要因がある中で、企業はどのような情報資産を保持しており、情報漏洩をはじめとする事故が起こった際どの程度の影響があるかあらかじめ想定しておくこともリスク管理において重要です。
情報資産管理台帳と文書管理システム
○情報資産管理台帳とは
情報資産管理を行う際に情報資産管理台帳を作成することがあります。情報資産管理台帳とは企業や組織が保有している情報資産をリスト化したものです。
作成方法は、まずその組織において保存が必要な情報資産を選定し、それぞれに対しリスク評価を行います。
ここでのリスク評価とは、国際標準規格のISO27001等でも要件とされている情報セキュリティの3要素(下記)を脅かすリスクにさらされた際の影響度を数値で表しています。
機密性:許可された者だけが情報にアクセスできる。
完全性:情報の処理方法が正確で完全である。
可用性:許可された者が必要な時に情報にアクセスできる。
この評価結果から企業や組織において実施する情報セキュリティ対策の方針や行動指針を決定します。ここで作成した情報資産管理台帳は情報セキュリティ関連の監査において提出が求められる大事な書類でもあります。
〇情報資産の運用
ただし、情報資産管理台帳の作成の最大の目的は情報資産の運用方法の策定です。最も大切なのは情報資産管理台帳の評価に沿った情報資産の運用がなされていることです。
その運用で非常に役立つのが文書管理システムです。
文書管理システムとは様々な形式の電子データを管理するシステムですが、システム内でアクセス権を設定できたり、バックアップ機能がついていたり、リスクに対する機能が多く備わっています。文書管理システムの導入で文書管理と一緒に情報資産管理が可能なのです。
文書管理システムで行う情報資産管理のポイント
では、情報資産管理に有効な文書管理システムの機能をピックアップしてみましょう。
〇アクセス権限
文書管理システムには文書の閲覧、登録、取出し、更新、削除についてユーザーごとに権限を与えることが出来るものがあります。
その為、操作権限のないユーザーが誤って文書を更新したり削除したりすることがなく、情報資産の漏洩や紛失のリスクを大きく減らすことが出来ます。
〇バックアップ機能
文書管理システムにバックアップ機能があれば、誤って文書を削除してしまっても速やかに復元が可能です。ゴミ箱機能やサーバー自体のバックアップなど必要な時にすぐにデータを修復可能であることが大切です。
〇期限管理機能
更新期限が定まっている文書に有効期限を付けておけば、更新期限前に気が付くことが出来るので更新漏れなどのミスを減らすことができます。また、企業には保管期間が法によってあらかじめ決められている文書が存在します。こうした重要な文書の管理を行うにあたっても期限管理機能はリスクを軽減できる機能です。
他にも文書管理システムには便利な機能が多くあります。文書管理システムの導入を検討する際は想定されるリスクに基づいて機能を判断しましょう。
まとめ
情報資産管理は企業のリスク管理において非常に重要な行為です。情報資産は少しでも運用を誤れば重大な問題になるリスクを秘めています。
これを回避するためには、保持している情報資産を正しく分析し、リスクへの対策をすることが重要です。そこで今回はリスク対策の1つとして文書管理システムで情報資産管理を行う有用性をご紹介いたしました。情報資産管理で悩まれている方の何らかのヒントになれば幸いです。
「規則・規定」の関連ブログ