12. 情報資産の定義と管理ルール
本規程は、当社が保有・管理する情報資産の定義、分類基準、および管理ルールを定めることにより、情報資産の適切な保護を確実にすることを目的とする。
当社では、個別の情報資産を台帳形式で管理するのではなく、情報資産の定義と管理ルールを明確にすることで、クラウド/SaaS環境における実効性のある情報セキュリティ管理を実現する。
2. 情報資産の定義
Section titled “2. 情報資産の定義”2.1 情報資産とは
Section titled “2.1 情報資産とは”当社事業に必要で価値がある情報および個人情報を「情報資産」と定義する。情報資産には以下が含まれる。
| 資産種別 | 具体例 |
|---|---|
| 電子データ | データベース、ファイル、ソースコード、設計書等 |
| 紙文書 | 契約書原本、設計図、報告書等 |
| 電子媒体 | USBメモリ、CD/DVD、外付けHDD等 |
| 情報機器 | サーバー、パソコン、スマートフォン等 |
| ソフトウェア | アプリケーション、OS等 |
| クラウドサービス上のデータ | SaaS、IaaS、PaaS上に保存されるデータ |
2.2 情報資産の所在
Section titled “2.2 情報資産の所在”当社の情報資産は、主に以下の場所に保管される。
| 保管場所の種類 | 具体例 |
|---|---|
| クラウドストレージ | Google Workspace 共有ドライブ |
| クラウドデータベース | Cloud SQL、Amazon RDS |
| SaaSサービス | GitHub、Zoho CRM、Money Forward、Slack等 |
| 物理的保管場所 | バックオフィス金庫(契約書原本等) |
3. 機密性レベルの定義
Section titled “3. 機密性レベルの定義”情報資産の機密性は、以下の3段階で分類する。
| レベル | 分類 | 定義 | 具体例 |
|---|---|---|---|
| 3 | 極秘 | 法律で安全管理が義務付けられている情報、守秘義務の対象、限定提供データ、営業秘密、または漏えいにより取引先・顧客に重大な影響を与える情報 | 顧客情報、従業員情報、ソースコード、契約書 |
| 2 | 社外秘 | 漏えいにより事業に大きな影響を与える情報 | 財務諸表、社内規程、営業先情報 |
| 1 | 公開 | 漏えいしても事業にほとんど影響がない情報 | 会社案内、公開Webサイトの情報 |
4. 管理ルール
Section titled “4. 管理ルール”4.1 機密性レベル別の管理ルール
Section titled “4.1 機密性レベル別の管理ルール”| 管理項目 | 極秘(3) | 社外秘(2) | 公開(1) |
|---|---|---|---|
| アクセス権限 | 業務上必要な従業員のみ | 関係部門の従業員 | 全従業員 |
| 社外持ち出し | 情報セキュリティ責任者の許可必須 | 管理責任者の許可必須 | 制限なし |
| 保管場所 | 当社指定のクラウドサービスまたは施錠管理 | 当社指定のクラウドサービス | 制限なし |
| 廃棄方法 | 復元不可能な方法で処分 | 復元不可能な方法で処分 | 通常廃棄可 |
| 暗号化 | 必須(保存時・転送時) | 推奨 | 不要 |
4.2 アクセス制御の原則
Section titled “4.2 アクセス制御の原則”情報資産へのアクセスは、以下の原則に基づいて管理する。
- 最小権限の原則:業務上必要な最低限の権限のみを付与する
- Need-to-know:知る必要がある者のみがアクセスできる
- 職務分離:相反する権限は分離する
- デフォルト拒否:明示的に許可されない限りアクセスを拒否する
4.3 利用者範囲の決定
Section titled “4.3 利用者範囲の決定”情報資産の利用者範囲は、以下の基準に基づいて決定する。
| 情報の種類 | 利用者範囲 |
|---|---|
| 顧客情報・個人情報 | 業務上必要な従業員のみ |
| 人事・給与情報 | バックオフィス担当者 |
| 財務情報 | バックオフィス担当者、経営層 |
| ソースコード | 開発チーム |
| 営業情報 | 営業チーム、経営層 |
| 社内規程 | 全従業員 |
5. 管理責任
Section titled “5. 管理責任”5.1 情報セキュリティ責任者
Section titled “5.1 情報セキュリティ責任者”- 本規程の策定・改訂
- 機密性レベルの最終判断
- 極秘情報の社外持ち出し承認
5.2 各部門責任者
Section titled “5.2 各部門責任者”- 所管する情報資産の管理
- 利用者範囲の設定・見直し
- 社外秘情報の社外持ち出し承認
5.3 システム管理者
Section titled “5.3 システム管理者”- クラウドサービスの権限設定
- アクセスログの管理
- 技術的セキュリティ対策の実施
6. 情報資産の識別方法
Section titled “6. 情報資産の識別方法”6.1 電子データの識別
Section titled “6.1 電子データの識別”電子データの機密性は、以下の方法で識別する。
- クラウドサービスの共有ドライブ名・フォルダ構成による識別
- ファイル名またはメタデータによる識別
- アクセス権限設定による識別
6.2 紙文書の識別
Section titled “6.2 紙文書の識別”紙文書の機密性は、以下の方法で識別する。
- 文書への機密性表示(極秘、社外秘等)
- 保管場所による識別(施錠キャビネット、金庫等)
7. 見直し
Section titled “7. 見直し”本規程は、年1回、または以下の事象が発生した場合に見直す。
- 新たな種類の情報資産の取り扱い開始
- 大規模なシステム構成変更
- 情報セキュリティインシデントの発生
- 法令・規制の変更
| 役職 | 氏名 | 承認日 | 署名 |
|---|---|---|---|
| 情報セキュリティ責任者 | 代表取締役 | 2024.04.01 |