情報資産洗出し作業で、情報の数量(件数)は把握してないとまずいものなんでしょうか?
情報資産洗出し作業で、情報の数量(件数)を記入するのですが、その数量は必ず把握してないとまずいものなんでしょうか?
とても初歩的な質問なのは承知しておりますが、社内でその時間がないから省けないのかという意見がでてきています。
私としては、数量を把握していないことは、紛失、盗難などされても気がつかない等のリスクにつながると思っています。
資産の洗い出し作業はISMSの屋台骨ですが、確かに数量の把握には工数がかかるため、社内で慎重論が出るのも無理はありません。
結論から申し上げますと、「厳密な1件単位の把握」は必須ではありませんが、「資産の影響度を測るための目安としての数量」の把握は不可欠です。
質問者様が懸念されている「紛失に気付けないリスク」に加え、専門的な観点から以下の3つのポイントで整理・解説いたします。
1. リスクアセスメント(影響度評価)の根拠になる
JIS Q 27001の規格では、具体的な「数量の記載」までは明示されていません。しかし、「資産の価値(重要性)」を評価することは明確に求められています。
例えば、同じ「顧客名簿」でも、10件の名簿と10万件の名簿では、漏洩した際の影響度(損害賠償額や社会的信用の失墜レベル)が全く異なります。
数量を把握していないということは、「その資産がどのくらい重要で、どの程度の対策コストをかけるべきか」という判断ができないことを意味します。
2. 紛失・盗難時の「被害規模」の早期特定
質問者様のご指摘通り、数量を把握していないとインシデントに気付きにくくなります。さらに重要なのは、事故が発覚した後の対応です。
監督官庁や顧客に対して「何件漏洩したか不明です」と報告するのと、「最大〇件の影響範囲です」と即答できるのとでは、事後対応の評価が大きく変わります。数量の把握は、有事の際の「企業の防衛策」でもあるのです。
3. 実務的な「効率化」のアイデア(社内への提案)
「時間がもったいない」という現場の意見に対しては、以下のような「運用の工夫」を提案してみてはいかがでしょうか。
- 正確な数値ではなく「レンジ(範囲)」で管理する
「1,245件」と数えるのではなく、「1,000件〜5,000件」や「S:1万件以上、A:1,000件以上、B:1,000件未満」といった区分(クラス)で管理する方法です。これならば、おおよそのボリューム感で記入でき、工数を大幅に削減できます。 - 動的なデータは「最大収容数」や「平均数」で記載する
日々増減するデータベースなどは、特定の時点の件数ではなく「約〇万件規模」といった記載で十分ISMSの管理目的を果たせます。
4. サンプル文書集の活用
「ISMSサンプル文書集」に含まれる資産管理台帳のテンプレートでは、こうした実務的な負担を軽減しつつ、審査の要求事項を満たすための評価基準をあらかじめ設計しております。
「時間をかけて数えること」が目的ではなく、「リスクを適切に見積もるための材料を揃えること」が目的です。この視点を共有することで、社内の合意形成がスムーズに進むことを願っております。
