情報資産の識別方法

　情報資産の中でも重要な情報は、漏洩しないように紙の文書でも電子データでも識別している企業は多いと思います。紙の文書の場合は文書管理規定などで規定されているの場合がほとんどだと思います。電子データを管理する場合には、古い文書管理規定を新しい情報セキュリティポリシーに書き換えなければならないと言うつもりはありませんが、紙の文書と電子データで取り扱いの統一が取られるように注意が必要です。

　情報資産を分類すると一般的には、情報資産の持ち出し履歴を管理しなければならない「要管理情報」（例：契約書の原本など）と、企業の信用や業績に影響が出るような「機密情報」、社外の第三者には見せられない「社外秘情報」、その他の「一般情報」に分けられると思います。

　もちろん、契約社員やアルバイトなどの人が多い場合や、プロジェクトごとに仕事を進めていくことが多い場合はもっと細かい分類が必要になる場合も出てくるかもしれません。

　ここで、重要になってくるのは「誰がどういう基準で情報資産を分類するか」ということになります。一度分類されて情報自体に識別（たとえば書類に「社外秘」などと書き込むこと）をしてしまえば、分類ごとの情報の取り扱い基準を作って全員でその基準を守っていくという比較的簡単なルールになります。

　ただし、情報資産を分類する基準は誰にでもわかるように作成しておかないと、せっかくの分類基準が生きてこなくなる可能性があります。たとえば、「個人情報は機密情報として扱います」と規定しておいても「個人情報とは○○である」と具体的にしておかないと、事故が起こった後に「それも個人情報だったの？」ということになりかねません。

　次に誰が情報資産を分類するかということですが、情報資産の作成者の上司もしくは、部門の管理者というのが正しいのでしょうが、実際に運用していくと情報資産の作成者（部下）の判断に委ねられていく傾向になりがちです。ルールを形骸化させないことを考えると情報資産の分類は情報資産の作成者とするほうがいいかもしれません。ただし、作成者といっても依頼されただけで、作成した情報資産の価値がわからない人ではその資格はありません。

　最後にまとめると、情報資産の識別は通常作成される書類やワープロデータのような電子データについては、誰にもわかりやすい基準を作っておくこと、その基準で判断できないような情報資産が作成された場合は、その情報資産の作成者（情報資産の価値が判断できる人）が行い誰でも識別ができるようにしておくことが良いと思います。