働き方

2021年9月23日

2022年7月13日

情報資産とは?適切な管理方法と取り扱い上のリスク、対策

企業の持つ情報資産は個人情報だけを指すと思われがちですが、そうではありません。情報資産の取り扱いに対して意識を高めるためにも、まずは情報資産を正しく知り、漏えいした場合のリスクや対策方法を学びましょう。

情報資産の基礎知識

情報資産という呼び名は、「人」「物」「金」といった経営資源と同じくらい企業が所有する「情報」そのものと情報を収集・処理・保管するための装置は重要で価値があるという考えに基づいて生まれました。

例えば顧客情報や従業員の個人情報、財務情報、契約書のほか、プログラムのソースコードや図面などといったものも該当します。紙の書類はもちろん、コンピュータのHDDやSSD、USBメモリなどに格納されているデータ全てが価値のある情報資産と言えます。

そのどれもが重要なものであり、もし漏えいや改ざんといった事態を招いてしまうと、企業の存続を揺るがすほどの大きなダメージを負う可能性があります。そのため、適切な管理を行うことが重要です。

情報資産の具体例

前述したように、情報資産は企業が所有する情報そのものであり、その種類は多岐に渡ります。具体的にどのような情報が情報資産となりえるのか、例を以下に紹介します。

  • 顧客の個人情報、購入履歴
  • 企業間で交わした契約書
  • 企業の人事情報
  • 社内で利用しているシステムのID、パスワード情報
  • 社内で利用しているシステムのプログラムソースコードやOS、ネットワーク機器の情報
  • 商品の仕入先や販売先情報
  • 生産計画、製品の設計図面、仕様書
  • ブランドや企業イメージといった無形資産
  • 技術ノウハウや特許情報
  • サーバーや記録メディアなどの情報を記録する装置全般

このように、企業が持つありとあらゆる情報が、情報資産として扱われます。取引先や顧客情報はもちろん、自社の社員の情報や、社内システムに関するあらゆる情報、さらには音声や映像といった情報資産も存在します。

情報資産の管理方法

情報資産の管理はどのように行えばよいのでしょうか。ここでは3つのポイントを解説します。

情報資産管理台帳での管理

情報資産管理台帳は資産台帳の情報版と言えるもので、企業にどのような情報資産があるかを把握、管理するための台帳です。情報資産を台帳に記載し、それぞれの情報について、「利用者範囲」や「管理部署」、「媒体・保存先」や「機密性・重要度」、「登録日」、「保存期間」などを記入して分類、管理します。

こうした台帳を準備していない場合、どのような情報資産があるか把握できず、情報漏えいに気が付かない恐れもあります。もちろん、常に台帳を最新化しておく必要があることも忘れてはなりません。

クラウドや共有サーバーでの管理

データで管理される情報資産は、ネットワーク経由での脅威にさらされるため、セキュリティ対策が重要となります。

まず、情報にアクセスできる従業員を制限するため、アクセス権限を適切に管理します。また、データの暗号化などの対策や、社外からの不正アクセスにも目を向けなければなりません。

社内に構築した共有サーバーであれば、機器やネットワークを適切に設定し、従業員以外のアクセスを遮断するといった工夫が必要です。他方、クラウドサービスの場合はセキュリティ対策がしっかりとなされたサービスを選択することも重要となります。例えば電子契約サービス「GMO電子印鑑サイン」は、保存した契約書や通信の暗号化はもちろん、権限設定も柔軟に行えるだけでなく、不正な攻撃の検知機能なども備わっているセキュアなクラウドサービスです。

バックアップも重要

データとして保存されている情報資産に対して、適切なバックアップを行うことが大切です。データの更新頻度に合わせ、毎日や曜日ごと、のようにスケジュールを決め、定期的にバックアップ運用を行います。情報によってはデータの世代管理を行うことも検討します。もちろん、何か不具合が発生した場合、すみやかにデータを復元できる体制を整えておくことも忘れないようにしましょう。

情報資産のリスクアセスメントの流れ

情報資産を守るリスクアセスメントについてご紹介します。リスクアセスメントのためには、まず情報セキュリティに関する危険性の特定と、そのリスク調査、優先度の設定、リスク低減措置の決定を行う必要があり、最終的にはその結果に基づいたセキュリティ対策を行います。

情報資産の洗い出し

最初に自社の情報資産にどのようなものがあるか、できる限り洗い出しを行いましょう。前述(情報資産の具体例)したような情報資産をリスト化し次の作業に備えます。

情報資産の重要度を確認

リスト化した情報資産に対して、それぞれ重要度を確認します。

脅威/脆弱性の洗い出し

重要度をつけた情報資産がそれぞれどのような脆弱性を持っているか確認します。例えば「情報資産が施錠されていない棚にしまってある」、「ファイルサーバー上のデータに社員全員がアクセスできる」などを確認して、脅威/脆弱性としてまとめます。

リスクレベルの決定と評価

完成した情報資産リストに対し、現在の情報資産の管理方法を評価するとともに、リスクの大きさを付与します。

実際のセキュリティ対策の実施

情報資産の重要度やリスク評価を行ったあとは、どのようなセキュリティ対策を行えばよいか、検討し、実施します。

こうしたリスト化から評価、そして実施までを行うリスクアセスメントは、一度行えば終わり、というわけではありません。情報資産は常に増減しますし、また脆弱性や脅威も日々増すからです。定期的にリスクアセスメントを行い、大切な情報資産を守りましょう。

情報資産を取り扱う上でのリスクと対策

もし情報資産が社外に漏えいしてしまった場合、どのようなことが起こるのでしょうか。ここでは情報資産を取り扱う上で知っておきたいリスクと、基本的な対策を解説します。

情報セキュリティ対策の現状

経済産業省が公開している「情報処理実態調査」に、平成28年度の「情報セキュリティ対策の実施状況」が紹介されています。

2,263事業者の回答によると、実施している割合の高い情報セキュリティ対策は第1位「情報セキュリティに関する全社的な対応方針(セキュリティポリシー)の策定・社内外への宣言・公表」が57.9%と高く、続いて第2位「情報セキュリティ関する従業員向けの教育・研修などの実施(標的型メール対応訓練など)」が56.0%、第3位「サイバー攻撃に関する情報共有活動への参加や、関係機関からの情報収集(脆弱性に関する情報・事故情報など)、入手した情報を有効活用するための環境の整備」が45.7%となっています。

しかし、それぞれの項目において「現在実施しておらず、特に検討も行っていない」と回答した企業は20%を超えていることから、情報セキュリティ対策が十分に進んでいるとは考えにくい状況です。

情報漏えいが起きた場合のリスク

情報が漏えいした場合、情報提供した側はさまざまな損害を受ける可能性があります。クレジットカードや銀行口座などの情報であれば、不正に利用されるといった被害が考えられます。

また、技術情報や契約情報といった重要な機密の場合、自社のビジネスが直接的な被害に遭うほか、他社にも被害が及ぶ可能性があります。当然、情報が漏えいしたことにより、取引先や個人から損害賠償を請求される可能性もありますし、企業そのものの信頼を失うことにも直結しかねません。

情報漏えいの事例

情報漏えいは、どのように起こるのでしょうか。漏えいはさまざまな要因で起こりますが、ここではいくつかの例をもとに、対策方法とあわせて解説します。

セキュリティホールからの漏えい

WindowsやAndroidといったコンピュータのOSや、利用しているソフトウェアのセキュリティホールといった脆弱性を突き、不正に情報を取得されることがあります。対策としては、利用しているソフトウェアを常に最新化し、セキュリティホールがない状態にしておく方法が挙げられます。

もし利用しているソフトウェアが、しばらくアップデートが行われていない場合や、既にアップデートを終了しているときには、ソフトウェアの変更も必要です。

不適切なパスワード管理

IDとパスワードがあれば、不正に企業の情報を取得することはとても簡単です。パスワードを書いたメモをPCや記録媒体に貼っておくといったことは言語道断ですが、パスワードの決め方も重要です。数字だけの羅列や、英単語1つといったパスワードは容易に突破できる時代です。

そのため、大文字小文字、数字と記号を組み合わせた複雑なパスワードを設定しましょう。また、パスワードの使い回しも厳禁です。さらに、IDとパスワードに加え、従業員のスマートフォンで認証を行う二要素認証などを導入することも検討しましょう。

漏えいの危険性は業務以外にもある

プライベートでの行いが、自社の情報資産の漏えいにつながってしまうこともあります。本物そっくりに作られた偽物のサイトに誘導し、IDとパスワードを入力させ、個人情報、クレジットカード情報などを盗むというフィッシング詐欺の手口は、日々巧妙化しています。

こうしたサイトで被害にあった場合、そのパスワードが悪意ある者にリスト化されるため、仮に会社の共有サーバーへログインするパスワードと同じだった場合は、漏えいリスクが大きくなってしまうのです。

情報漏えいに対する基本的な対策

情報漏えいに対する基本的な対策には、どのようなものがあるのでしょうか。まず紙媒体であれば、机の上に放置しない、保管場所(部屋やロッカー)への施錠と入室管理などが挙げられます。

PDFファイルやExcelなどの電子データでの対策は、利用するコンピュータへのアンチウィルスソフトの導入や、アクセスできる従業員の限定と権限管理、また、前述したソフトウェアの最新化や適切なパスワード管理も重要な対策です。

忘れてはならないのが、紙の書類やHDDといった記憶媒体を廃棄する場合です。シュレッダーやデータの完全消去といった対策を適切に行いましょう。

また、情報資産を取り扱う従業員全員がその価値を理解して行動することも必要です。社員へ情報セキュリティ対策の教育を十分に行う必要があります。

まとめ:大切な情報資産を守ることが重要

情報資産は企業にとって大変重要なもので、漏えいという事態を招いた場合には、自社だけでなく広い範囲に損害を招く可能性があります。漏えい対策には、重要な情報を取り扱っているという意識を高め、リスクアセスメントの実施が重要です。

また、電子契約サービス「GMO電子印鑑サイン」のように高いセキュリティを持ったサービスで、契約書以外のPDF化した書類までも安全に一元管理できるものもあります。情報資産の管理には、このようなセキュリティ対策の整っているクラウドサービスを利用することも有効な方法です。

電子印鑑GMOサインが選ばれる理由

電子サイン・電子契約ならGMOサイン
電子サイン・電子契約ならGMOサイン

関連記事

ハンコ脱出作戦 編集部

筆者

ハンコ脱出作戦 編集部

このライターの記事一覧を見る

電子サイン・電子契約ならGMOサイン
  • 電子印鑑GMOサインが選ばれる理由
  • 電子契約とは
  • 脱印鑑ブログ 公式Twitter

公式SNS

電子印鑑GMOサインのサービス情報や電子契約に関わる様々な情報を配信!

電子サイン・電子契約ならGMOサイン

「ハンコ脱出作戦」とは?

日本の脱印鑑文化を応援するブログメディアです。
電子印鑑GMOサインのサービス情報や電子印鑑、電子契約の最新情報をお伝えしています。

電子契約サービスを検討中の方向けに、
役立つ資料を提供しています。

電子契約サービスの基礎知識や選び方、導入ステップなどを分かりやすく紹介しています。
無料でダウンロードいただけます。ぜひご活用ください。

資料請求

印鑑の完全廃止に関するグループの取り組みと関連リンク集

印鑑の完全廃止に関するグループの取り組みと関連リンク集