▼ 目次
1. はじめに
1.1. 記事の目的と対象読者
本記事では、**ISMS(ISO/IEC 27001)**を導入するうえで欠かせない「情報資産」について、あらゆる具体例をまとめて解説します。
対象読者:
これからISMSを導入する企業の担当者や管理者
「情報資産って何?」「どこまでを資産として管理するの?」と疑問を持つ初心者
実際の守り方やリスク評価の方法が知りたい方
この記事を読むと…
どんなモノやデータが情報資産に当たるのか、デジタルから紙・人的資産まで幅広く把握できる
ISMSのリスク管理や保護レベルの考え方を学べる
多数の具体例をもとに、自社の棚卸しやリスク評価に役立てられる
1.2. ISMSにおける「情報資産」の重要性とは?
ISMSでは、企業が持つ情報を適切に管理してリスクを下げることが大前提。そのためには、まず**「自社にどんな情報資産があるのか」を洗い出す**必要があります。
コンサル経験談: 情報資産を把握していない企業は多く、後から「こんなデータも流出リスクがあった…」と気づくことがよくあります。初期段階でしっかり定義しておくと、外部監査でも指摘が少なく、運用がスムーズになります。
2. ISMSの基本:情報資産とは何か?
2.1. 情報資産の定義(物理・電子・人的要素など)
情報資産: 企業や組織が「守る価値がある」と認識している情報のこと。形がないデータから紙文書、さらには人が持つノウハウまで含みます。
物理的資産: 紙の書類、DVD、USBメモリ、サーバーなど。
電子的資産: デジタルデータ、システムやクラウド上のファイル、ソフトウェアのソースコードなど。
人的資産: 社員・スタッフの知識やノウハウ、専門的スキルなど。
2.2. 初心者向け用語解説:機密性・完全性・可用性
ISMSでは、情報資産を**CIA(機密性・完全性・可用性)**の観点で守ります。
機密性: 情報が許可された人以外に見られない状態
完全性: 情報が改ざんや破損されず正確である状態
可用性: 必要なときに情報やシステムを使える状態
例: 顧客データは「機密性」が特に重要、システム稼働を止められない業務には「可用性」が最重要、など。
3.情報資産の具体例を公開
3.1. デジタル(電子データ)関連
顧客データベース(顧客名・住所・メールアドレス、購入履歴など)
個人情報データ(社員や取引先の個人情報、給与情報、マイナンバーなど)
販売管理システムのデータ(受注履歴、在庫数、売上情報など)
会計ソフトや経理システム上の会計データ(仕訳、決算書、予算管理など)
クラウド上のファイル(Google Drive、OneDrive、Dropboxなどに保管された文書・表計算ファイル)
メールサーバーのデータ(送受信メール、アドレス帳、メール添付ファイル)
チャット・メッセージツールのログ(Slack、Teamsなどの会話履歴、添付ファイル)
ソースコード(自社開発のプログラムやウェブサイトのHTML/CSS、Scriptなど)
設計図・CADデータ(製品図面、建築図面、電子基板設計図など)
開発中の新製品情報(プロトタイプ仕様、コンセプト資料、特許出願前データ)
暗号鍵や証明書(SSL証明書、PGP鍵などのセキュリティ関連キー)
IoT機器のログデータ(センサー情報、稼働ログ、機械学習用データ)
バックアップファイル(定期的に取得したサーバーイメージ、SQLダンプなど)
BIツールやデータウェアハウスの集約情報(分析用の大規模データセット)
3.2. 紙書類(物理ドキュメント)関連
契約書(顧客との契約、秘密保持契約、業務委託契約など)
覚書・合意書・承諾書(業務ルールや役務内容の確認文書)
顧客台帳や顧客連絡先リスト(紙ベースで管理しているもの)
人事ファイル・履歴書(社員の採用書類、面談記録、評価シートなど)
給与明細の控え、人事評価関連書類
稟議書や申請書の原本(承認サイン入りで物理的に保管している)
取引先との受発注書や納品書(紙ベースで管理している在庫など)
製造工程マニュアル・工場手順書(紙の作業手順、図解など)
会議議事録(役員会、取締役会などの記録を紙で保管している場合)
研究ノート(実験結果の記録、ラボノートなど)
社内報・社内掲示書類(内部連絡用の紙文書で重要度が高い場合も)
営業報告書・日報(外回りの営業マンが紙で提出している場合)
保険証券・融資関連書類(銀行とのやり取り書類、ローン契約書)
印鑑登録証明書や各種証明書類(登記関係書類など)
3.3. システム・ハードウェア関連
サーバー機器本体(オンプレミスで運用している物理サーバー)
ネットワーク機器(ルーター、スイッチ、ファイアウォール)
UPS(無停電電源装置)やバックアップ用NASなどの周辺機器
社員PC・ノートパソコン(業務データが詰まった端末)
モバイル端末(社用スマホ、タブレット)
USBメモリ・外付けHDD(バックアップ用、データ持ち出し用など)
監視カメラ映像データ(オフィスや工場の安全管理用)
サイバーセキュリティツールの設定ファイル(WAF, IDS/IPSなどのコンフィグデータ)
オンプレミスの電話交換機(内線や外線通話記録を保持している場合も)
複合機のHDD(印刷履歴やスキャンデータが残る可能性がある)
3.4. コミュニケーション・運用関連
チャットツールの書き込み内容(Slack, Microsoft Teamsなどの会話ログ)
Web会議録画データ(Zoom, Microsoft Teams, Google Meetなどの録画)
SNSアカウント(公式Twitter, Facebook, Instagram)とそこに保存されたDMやチャット履歴
メールメーリングリスト(社内・社外用のメーリングリスト情報)
社内Wiki・ナレッジベース(Confluence, Notionなどに集約された情報)
ログインID・パスワードリスト(安全管理上は一括管理が望ましい)
コミュニケーションプラットフォームの管理アカウント(特権ID)
3.5. 人的資産・ノウハウ関連
ベテラン社員の経験知(営業ノウハウ、製造の熟練テクニックなど)
エンジニアの頭の中にあるアルゴリズム設計(特許出願前のアイデア)
営業マンの顧客折衝スクリプト(会話フロー、成功パターン)
研究員の独自研究データや分析手法(製薬、化学、シミュレーション結果など)
メンター・トレーナーが持つ指導スキル(新人育成ノウハウ)
海外駐在社員の現地交渉術(ローカルの商習慣や文化知識)
4. なぜ情報資産をしっかり把握する必要があるのか
4.1. リスクアセスメントとの関係:どこにリスクが潜む?
ISMSではリスクを評価するために、まずどんな資産があるのかを明らかにし、それぞれに対して「どんなリスクがあるか」「発生頻度・影響度はどうか」を評価します。
把握不足の例: 在宅勤務が増えているのに、テレワーク端末やクラウド上のデータを資産リストに入れていない→リスク対策が不十分となり、事故発生率が高まる。
4.2. 不備が起きた場合の影響(顧客信頼喪失、法令違反など)
セキュリティ事故: 顧客情報流出で数百万~数千万の損害賠償、企業イメージダウンなど。
法令違反: 個人情報保護法や特定商取引法に抵触すれば行政処分や罰則もあり得る。
コンサル経験談: 過去に顧客データをメール誤送信した会社がSNSで炎上し、大手取引が打ち切りになった例も。
4.3. コンサル視点:実際に損害数千万円クラスの事故につながる例も
現実例: システム障害で受注システムがダウンし、何日も注文を受けられず大きな機会損失が発生した。
教訓: 自社の重要情報資産(システム、データ)を洗い出し、可用性を確保する仕組み(バックアップ、冗長化)を作ることが経営リスク低減になる。
5. 情報資産を分類するメリット:保護レベルの優先度づけ
5.1. 「機密」「社外秘」「一般公開可」などランクを分けるポイント
例:
最重要(機密): 顧客データ、個人情報、秘密契約書など。
中レベル(社外秘): 社内向けマニュアル、製造工程図など。
低レベル(一般公開可): 企業ホームページの公開情報、広告資料など。
狙い: ランクがわかると、対策(暗号化・アクセス制限など)を選ぶ基準が明確になる。
5.2. 保護レベル別に対策を変える(暗号化・アクセス制限・バックアップなど)
最重要資産: 暗号化、アクセスログ監視、二段階認証など厳格な対策
中レベル: 部署単位のパスワード付きフォルダ、印刷時の仕舞い込みルール
低レベル: 一般公開情報なので最低限の改ざん対策、バックアップだけ実施
コンサル経験: 全部を最高レベルで守ろうとするとコストや手間が過剰になるので、優先度づけが大事。
5.3. 事例:小規模企業でのシンプルな分類例
事例A: 従業員10名のITベンチャーが3段階に区分
機密:顧客リスト、契約書
社外秘:プログラムソースコード、事業計画資料
公開可:プレスリリース、ブログ記事
成果: それぞれに守り方を分けるだけで、リスク低減とコスト節約を両立。
6. 【デジタル資産の具体例】守るべき電子データと対策
6.1. 顧客データ(個人情報、顧客リスト、取引履歴)
背景: 名前・住所・電話番号などの個人情報が流出すれば、個人情報保護法にも抵触し、多額の損害賠償が発生する場合がある。
対策例:
アクセス権限を「最小限必要」な人だけに付与
データベースを暗号化
社員が端末にダウンロードできない仕組みにする
6.2. 設計図・ソースコードなどの知的財産
例: CADデータ、製品デザインファイル、システムのソースコード。
リスク: 競合に情報が渡ると、事業の根幹が脅かされる。
対策: バージョン管理ツール(Gitなど)でログを把握、アクセス制限フォルダ、VPN経由でしか編集できないようにする。
6.3. 社内システムやクラウド上の業務データ(会計、在庫情報など)
リスク: ランサムウェアでデータが暗号化されれば業務停止。
対策: 定期バックアップをオフラインにも保持、クラウドサービスでも多要素認証(MFA)を導入。
コンサルアドバイス: クラウドに頼り切りな場合はログイン情報管理が不適切だと一気に漏洩リスクが高まる。
6.4. メール・チャット履歴:誤送信・流出リスクへの対応
誤送信: メール本文や添付ファイルに顧客情報が含まれているケースが多い。
保護策: 誤送信防止ツール、送信前二重チェック、添付暗号化。チャットでも個人情報を投稿しないルールを徹底。
例: 過去に「To」と「CC」を間違えただけで大量の顧客メールアドレスが流出し、炎上した事例もある。
6.5. ディスク暗号化やアクセス権管理の実践例
ディスク暗号化: パソコン紛失や盗難時に中身が抜き取られないようにBitLocker、FileVaultなどを活用。
アクセス権管理: 「社内全員が見られるフォルダ」と「部署限定フォルダ」「管理職だけフォルダ」など細かく権限設定し、監査ログを取る。
コンサル経験: 一般社員が会社全体の顧客リストに簡単にアクセスできる状態は監査で不適合と指摘されやすい。
7. 【紙書類の具体例】オフィスや倉庫に眠る“見落とし資産”
7.1. 契約書・顧客台帳・人事情報など物理ドキュメント
種類: 紙の契約書、申込用紙、顧客台帳、社員の履歴書・考課表など。
リスク: 机の上やカバンに無造作に置かれている→紛失や持ち出しによる情報漏洩。
対策: 鍵付きキャビネットや金庫を使用、閲覧履歴を残す、関係者以外アクセス不可ルールを設ける。
7.2. 社外秘資料の印刷物・製造工程マニュアルなど
例: 取引先との共同開発資料、製造ノウハウ、現場用マニュアル。
リスク: 現場に散乱し、業者や来訪者が自由に撮影できてしまうケースあり。
コンサル経験: 製造業の工場で外注スタッフが携帯カメラで撮影し、情報が外部に流出した事例も。物理セキュリティの徹底が重要。
7.3. 保管ルール(施錠保管・持ち出しルール・廃棄方法)
施錠: 鍵の管理者を明確にし、入退出記録をつける。
持ち出し: 「外部へ持ち出す際は管理者承認+チェックリスト記載」などルール化。
廃棄: シュレッダー処理や専門業者への委託。可燃ゴミにそのまま捨てるのは論外。
7.4. コンサル経験:紙文書が流出して大問題になった事例と対策
事例: 営業が商談用の顧客リストを紛失し、ゴミ箱から第三者に拾われてしまった→数百人分の個人情報が漏洩。
対策: 顧客リストを紙出力する場合は必要最低限、使用後は即シュレッダー。共有フォルダだけで閲覧を済ませるなど習慣づけが肝心。
8. 【人的資産】業務ノウハウや技術スキルも情報資産?
8.1. 従業員の頭の中にある知識やノウハウ
例: ベテラン社員が持つ営業トークスクリプト、熟練技術者の作業ノウハウ、プログラムアルゴリズムのアイデアなど
リスク: 退職時に知識が消失、または他社に流出。企業にとって大きな機会損失や競合リスクになる。
8.2. 退職・転職による情報流出リスクと対策
対策: 秘密保持契約(NDA)を社員に徹底、ノウハウは文書化し共有フォルダなどに保管する。
コンサル実例: ある企業で、営業リーダーが辞めた瞬間に顧客リストを競合に持ち込んだケースがあり、大きなトラブルに発展した。
8.3. 教育と継承の仕組み:業務マニュアル化と引き継ぎ手順
ポイント: 人的資産も「会社の重要情報」とみなし、マニュアルや動画研修で標準化しておく。
効果: 離職率が高くなった場合でもノウハウが会社に残るので、業務が止まりにくい。
9. リスクアセスメントの進め方:情報資産ごとの評価ポイント
9.1. 評価手順:発生可能性×影響度で優先度を決める
例:
影響度(1~5), 発生可能性(1~5)の掛け算でスコアを出し、高いものから対策。
実務: 「個人情報が流出する確率は低いが、発生したら影響大→高リスク」「社内報が流出しても影響小→低リスク」。
9.2. 具体的な評価表サンプル(Excel例など)
構成:
資産名(顧客DB、紙契約書、ソースコードなど)
リスク内容(漏洩、改ざん、廃棄忘れなど)
影響度(1~5), 発生可能性(1~5), 合計スコア
対策優先度(高・中・低)
コンサルの体験: Excelで簡単に管理する中小企業が多い。大企業は専用システムを使う場合も。
9.3. 高リスク資産の保護策をどう決定するか(経営者の承認プロセス)
流れ: リスクが大きい資産(顧客DBなど)の対策案(暗号化、システム二重化)→ コスト試算 → 経営者に報告 → 承認 → 実施。
注意: コストが高い対策でもリスクが深刻な場合、経営者の英断が必要。そこを担当者・事務局がサポート。
10. 運用事例:企業が抱える情報資産を可視化するステップ
10.1. 小規模事業所A社:クラウド中心の業務で発見した危険箇所
背景: 社員10名、業務のほとんどをクラウドサービスで行うIT系ベンチャー
発見: 一部の社員が個人のGoogleアカウントに業務データを保存→資産管理外
対策: 全社共有のクラウドストレージ(Google Workspace / Office365)に集約し、個人アカウント使用を禁止。監査ログを有効化。
10.2. 製造業B社:紙書類・設計図が社内に散在→棚卸しで分類し、一元管理
経緯: 古い工場に設計図や工程表がダンボールで大量放置。
解決策: 事務局が工場ごとに紙書類を回収&分類し、重要書類は施錠金庫へ、それ以外はPDF化してデジタル管理。
成果: 紛失リスクが大幅減少、外部監査でも「物理文書がしっかり管理されている」と高評価。
10.3. ITサービス企業C社:人的資産・ノウハウをマニュアル化して離職リスクを最小化
取り組み: 社内Wikiを導入し、プログラマーやデザイナーのノウハウを記事化
結果: 中核スタッフが退職しても、業務継続に大きな問題が起こらず、外部監査時にも「人的資産を管理している」とポジティブな評価。
11. よくある失敗パターンと回避策
11.1. 電子データだけ重視して紙書類が放置されるケース
失敗例: 「ITで何とかなる」と思って電子資産は厳重管理→紙の契約書はオフィスの棚に無防備に保管
回避: 定期的な“紙書類棚卸し”+保管ルール・廃棄ルールを制定し、IT以外も漏れなく管理。
11.2. 人的資産が共有化されず、キーパーソン退職で大混乱
背景: ベテランが抱えるノウハウを資産リストに入れておらず、引き継ぎなしで退職→ 仕事が止まる
対策: 定期的なナレッジ共有会やマニュアル作成を方針・ルール化し、経営者がコミットする。
11.3. 外注や協力会社からの流出リスクを見落とす
例: 外注先にデザインデータを渡していたら、別プロジェクトで流用され顧客クレームに…
回避: NDA(秘密保持契約)を結び、資産の取扱いルールを明確に指示し、納品後のデータ破棄や再利用禁止を契約書で明記。
11.4. 回避策:定期的な資産棚卸し&ルールの見直し
ポイント: 毎年または大きな組織変更時に「新しいツール・プロジェクトで増えた資産ない?」と棚卸し。
コンサル経験: 1年放置すると、急に増えたクラウドツールや業務委託で資産がぐちゃぐちゃに…定期点検が鍵。
12. 保護レベル別の対策:具体的実践方法
12.1. Level1(高機密)→暗号化・厳格アクセス・二段階認証など
事例: 顧客個人情報、ソースコード、経営戦略資料など
対策:
システムログインにMFA(多要素認証)を採用
フォルダアクセスを管理職以上に制限、作業ログを毎日監視
データをAES-256など強力な暗号化方式で保管
12.2. Level2(社内秘)→部署単位のフォルダ権限、パスワード保護
事例: 社内マニュアルや中期事業計画、在庫データなど
対策:
Active Directoryで部署ごとのアクセス制御
ExcelやPDFにパスワード保護をかけ、漏えいリスクを下げる
差し入れUSB使用禁止や持ち出し時の社内申請など
12.3. Level3(公開可能)→バックアップ&改ざん対策のみ
例: 自社Webサイトの公開情報、SNS告知用データ、商品カタログのオープン版
対策: 万が一の改ざんに備え、バックアップを定期取得し、正本を復元できる体制を確保。
注意: 公開情報でも改ざんされると風評被害が出るので、一応可用性と改ざん検知は必要。
12.4. コンサル経験:レベル付けが甘い企業ほど管理コストが増える傾向
理由: 全部を「Level1」として厳重に守ろうとすると費用や手間が大きく、現場に負担がかかりすぎる。
アドバイス: 3~4段階程度でシンプルに区分し、社員が混乱しないレベルが理想。
13. 専門用語解説:機密性・完全性・可用性(CIA)を踏まえた資産保護
13.1. 機密性(Confidentiality):見られたら困る情報への具体対策
例: 顧客名簿、開発中の新製品情報など
保護: アクセス制御、暗号化、厳重な権限管理・監視ログでの追跡
13.2. 完全性(Integrity):改ざん防止や誤操作防止策
例: 財務データ、レシピ情報、在庫数量など
保護: ログ監視、バージョン管理システム、二重チェック体制、誤操作時のロールバック機能など
13.3. 可用性(Availability):業務ダウンを避けるバックアップや冗長化
例: 基幹システム(受注・出荷管理)、クラウドサービスのサーバーなど
対策: 定期的なバックアップ、サーバー二重化、UPS(無停電電源装置)など
13.4. 情報資産の価値をCIA観点で明確化するメリット
効果: 「どの資産がどの観点で重要か」を理解すると、リスク対策の選択肢を絞り込みやすい。
現場: 開発部門は機密性重視、コールセンターは可用性重視、といった対応が変わる。
14. 外部監査・内部監査でチェックされる情報資産管理の注意点
14.1. どのように資産リストを作っているか?定期更新しているか?
よくある質問: 「情報資産一覧はいつ作成し、どのように更新していますか?」
実例: Excelファイルや専用システムで一覧管理し、年1回リスクアセスメントに合わせて更新。
14.2. 運用と書類(規程)が一致しているかの確認項目
注意: 文書上「USB禁止」と書いてるのに実際は自由に使われている→外部監査で不適合。
対策: 担当者や事務局が定期的にチェックし、社内ルールと実際運用を合わせる。
14.3. 実際の監査で指摘されやすいポイント(廃棄ルール、退職者アカウント削除など)
例: 「退職者のアカウントをいつまで残しているのか?」→残存すると機密性リスク
コンサル経験: 紙書類の廃棄証明が曖昧な場合も指摘されやすい。シュレッダー後に再資源化業者の証明書を保管するなど手順化が必要。
15. Q&A:ISMS 情報資産に関するよくある疑問
15.1. 「クラウドサービス上のデータも資産に含まれる?」
答: もちろん含まれます。クラウドといえども自社が管理すべきデータがあれば「情報資産」。
対策: アクセス権や暗号化、バックアップ確認などクラウド固有のリスク対処が必要。
15.2. 「顧客情報と社内情報の優先順位が分からない…どうすれば?」
提案: まずは影響度を考える。顧客情報流出は法令トラブルや賠償リスクが大きい→最優先。
対応: 社内の部署ごとに、どの情報が重要か聞き取りし、リスク評価表で総合スコアを出すのがおすすめ。
15.3. 「人的資産をどこまで資産として扱うべき?」
現実: 全社員の知識を細かく管理しきるのは難しい。
アドバイス: 重要なノウハウや知識を“文書化・マニュアル化”すると“情報資産”として管理しやすい。あまりに抽象的なスキルは対象外の場合もある。
15.4. 「そもそも情報資産リストを全社員に公開していいの?」
注意: 全資産リストを丸ごと公開すれば逆に“盗むべき情報”を教えてしまう危険も。
対策: リストの中でも「公開レベル」を決め、部署ごとに閲覧権限を絞る企業も多い。
16. まとめ:デジタルから紙書類まで、情報資産を正しく管理しよう
16.1. 記事のおさらい:鍵は“リスク評価”“保護レベル”
ポイント: 全部同じように守るのは非効率。リスクと資産価値に合わせて分類・保護するのがISMSの基本。
成果: 情報資産をきちんと把握すれば、事故リスクを大幅に下げ、外部監査にも対応しやすくなる。
16.2. 小さな一歩から始め、継続的に棚卸し&運用見直し
おすすめ: 年1回、担当部署や事務局主導で「新たに増えたデータは?」「紙資料は増えた?」をチェック。
PDCA: リスクが増えれば対策を追加し、不要な資料は廃棄orデジタル化などを進める。
16.3. ISMSで企業の信用とリスク低減を同時に実現
結論: 情報資産をしっかり守る企業は、取引先・顧客からの信頼度が高まり、ビジネス拡大にもつながる。
コンサルコメント: 社員が「どんな情報がどれだけ大事か」を意識するだけでもセキュリティ事故は激減します。
おわりに
ISMSにおける情報資産とは、デジタルデータだけでなく、紙書類や社員のノウハウ、さらには外注先・協力会社が扱う資料まで多岐にわたります。適切に洗い出して分類しないと、「守るべき宝」を知らないままリスクにさらされる可能性が大きいのです。
まずは「自社が本当に守るべきモノは何か」を棚卸しし、CIA(機密性・完全性・可用性)の視点で保護レベルを考えましょう。
次に「優先度が高い資産」から対策を進めることで、運用コストを最適化しながらリスクを大きく減らせます。
最後に、継続的に見直してアップデートすることで、企業の信用・安全性を高めていきましょう。必要に応じて専門家を活用し、自社に最適なISMSを築いてください。
この記事の監修者情報
金光壮太 (ISOコンサルタント)
大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている。
Comentarios