文書と記録の切り分けで頭を悩ませております。

Q: 文書と記録の切り分けで頭を悩ませております。

はい、情報資産台帳は一般的に「記録」として扱われます。ただし、審査員から改定履歴を残すべきとの指摘を受けた場合は、実務上の混乱を避けるため、現時点ではその指示に従い「文書」として改定履歴を管理する運用を検討するのが現実的な対応と言えます。

公開日：2011/06/14

ISMSサンプル文書集. 14,753 views

※本記事は、ISM Web store が作成・検証したものです。

この記事は、内容が古い可能性がありますのでご注意ください。

文書と記録の切り分けで頭を悩ませております。「情報資産台帳」を例に挙げてご相談させて下さい。

昨年の維持審査にて「情報資産台帳は改定履歴を残すべき」との指摘を受け、弊社では現状「文書」扱いとしております。

しかし「文書管理規定」COM-B01-1.00を読んでおりますと、情報資産台帳は「記録」に分類される（従って、改定管理を行わない文書）となっています。

文書を、方針／マニュアル、規定書、手順書／フロー、記録類と分類するならば、情報資産台帳は「記録」に分類されることが理解できるのですが、改定に関してどのように対応すべきか悩んでおります。

アドバイスをお願い致します。

ISMS（ISO/IEC 27001）の運用において、「文書」と「記録」の切り分けは多くの管理責任者様が直面する難所です。特に「情報資産台帳」はその性質上、両方の側面を持つため解釈が分かれがちです。

審査員の指摘意図を汲み取りつつ、貴社の規定（COM-B01）との整合性を保ち、かつ実務的な負担を軽減するアドバイスを申し上げます。

1. 「文書」と「記録」の本来の違い（規格の視点）

まず、混乱を避けるためにISO/IEC 27001における「文書化した情報」の定義を再整理します。

文書（保持すべきもの）：
「どうあるべきか（ルール）」を定めたもの。ルールが変われば「改定」され、常に最新版を参照する必要があります。
記録（保持すべきもの）：
「何をしたか（事実）」を記したもの。一度作成された事実は変わらないため、通常「改定」という概念はありません。

記録とは、文書の状態を指しているものであり、方針、マニュアル、規定書、手順書、フローなども、すべて旧版となって使用しなくなった場合は、記録として保管（管理）することになります。

記録管理とは、改訂が行われなくなったものの管理ととらえて良いかと思います。

たとえば、申請書のようなものは、申請後、承認されるまでは、厳密にいうと「文書」として管理し、承認後は改訂されることはないので、記録として管理されます。

文書管理を行う際、その区分を明確にした状態で、管理することが効果的であるため、一般に、改訂を行わうことがない文書を「記録類」として、文書管理します。

2. なぜ「情報資産台帳」は悩ましいのか

情報資産台帳は、本来「現在の資産状況」という事実を記した「記録」の性質が強いものです。しかし、組織の状況変化に合わせて頻繁に更新される「動的な記録（マスターリスト）」であるため、審査員は「いつ、誰が、なぜ資産を増やしたのか（または評価を変えたのか）」という変更の経緯（トレーサビリティ）を重視します。

審査員が「改定履歴を残すべき」と指摘したのは、台帳そのものを「規定書（文書）」にしたいわけではなく、「リスクアセスメントのプロセスが適切に繰り返されている証跡（履歴）」を確認したいという意図があったと推測されます。

「情報資産台帳」を記録類として取り扱うということは、承認後は、記録として管理し、新たな情報資産を追加する場合は、新たに「情報資産台帳」をつくるということを意味します。

もし、記録類として取り扱わない場合（内容の改訂が行われる）は、どこをどのように改訂したのかがわかるようにする必要（改訂履歴）があります。
規定書などと同じような管理が必要になるということです。

3. 解決のための2つの実務的アプローチ

規定書（COM-B01）の「記録」という分類を維持しつつ、審査員の要望を満たすには、以下のいずれかの方法が現実的です。

記録として「版番管理」を行う：
「記録」という分類のまま、台帳（Excel等）の中に「改定履歴」シートを作成します。
規定書のような厳格な「文書管理台帳」への登録は不要ですが、ファイル内に「2024/04/01：新システム導入に伴う資産追加」といった履歴を残します。これにより、COM-B01の分類を壊すことなく、審査員が求める「変更のプロセス」を証明できます。
スナップショット（時点管理）方式：
台帳を更新する際、古いファイルを消さずに「2023年度版」「2024年度版」として別ファイルで保存します。
「最新版が常に現在の事実（記録）である」という立場を貫く方法です。変更点を確認したいと言われた際は、新旧のファイルを比較して説明します。

今回、ご質問いただいたケースに関しては、弊社がご支援させていただいているお客様では、御社と同様な指摘を審査員から受けたことがなく、また、今回、審査員がどのような観点から言われているのかは分かりませんが、一般的には、記録として取り扱われるケースが多いかと思います。

今後の更新審査等のことも踏まえ、自社でどのように解釈を確立するかが重要になるかと思います。

4. 審査員への対応方法

次回の審査では、以下のように説明されることをお勧めします。

「弊社の規定では、台帳は『時点の事実』を示す記録として管理しています。ただし、資産の変更プロセスを明確にするため、台帳ファイル内に更新ログ（履歴）を設ける運用に改善しました。これにより、規定上の整合性と変更の追跡可能性を両立させています。」

規格の解釈は審査員によって揺れがありますが、重要なのは「自社がなぜその管理方法を選んだのか」という論理（ロジック）を確立していることです。

サンプル文書「COM-B01 文書管理規定」の思想としては、実務負担を減らすために台帳を「記録」としていますが、上記のようにファイル内での履歴管理を併用することで、より強固なISMS運用が可能になります。

文書 vs 記録の管理ポイント

区分	主な対象	管理の要点
文書 (Maintain)	方針、規定書、マニュアル	承認、改定履歴、最新版管理が必須。
記録 (Retain)	議事録、申請書、ログ、台帳	改定は不要だが、作成後の保護と検索性が重要。

※情報資産台帳は「記録」でありながら、「更新される事実」を追うために履歴を持つのが実務上のベストプラクティスです。