外部メールやクラウド上のデータも、情報資産台帳への記載が必要ですか?
外部メールサービス(GmailやOCNメール)のメールデータや、クラウドサービスに保存されているデータ等に関してですが、情報資産としての価値はあるのですが、それ自体は適用範囲内には存在しません。
こういったデータは、台帳への記載が必要でしょうか。
もし必要な場合、例えば契約した外部レンタルサーバーにてweb公開のためアップロードしているWebサイトのデータ等も記載対象になるという理解で宜しいでしょうか。
ご質問ありがとうございます。結論から申し上げますと、ご質問にあるメールデータやWebサイトのデータは、原則としてすべて「情報資産台帳」への記載が必要です。
「データが社外(クラウド上)にあるから適用範囲外」という解釈は、ISMSの審査において最も指摘を受けやすい誤解の一つですので、以下の3つのポイントで整理して解説いたします。
1. 「適用範囲」の正しい考え方
ISMSの適用範囲とは、物理的な場所(オフィス内)だけを指すのではありません。「組織が管理責任を持つ情報」がどこにあるかで判断します。
- 外部サービスの利用は「外部委託」と同じ:
JIS Q 27000の定義にある通り、サービスを提供している「外部組織(Googleやプロバイダ)」自体は貴社の適用範囲外ですが、そこで「処理・保存される貴社のデータ」は適用範囲内に含まれます。 - 管理責任の所在:
Gmailやクラウドストレージ上のデータに対して、「誰がアクセスできるか」「いつ削除するか」を決定する権限が貴社にある以上、それらは貴社の管理下にある情報資産となります。
2. なぜ台帳への記載が必要なのか
台帳に記載する目的は、単なるリストアップではなく、「そのデータにどのようなリスクがあるか」を把握することにあります。
- クラウド特有のリスク:
「サービス停止による業務中断(可用性の喪失)」や「アカウント乗っ取りによる情報漏洩(機密性の喪失)」などのリスクを評価し、二要素認証の導入やバックアップ対策を検討するために、台帳への登録が不可欠です。 - 外部レンタルサーバのデータ:
ご認識の通り、Webサイトのデータも対象です。例え公開情報であっても、改ざん(完全性の喪失)されれば企業の信頼を損なうため、資産として評価し、適切な対策を講じる必要があります。
3. 実務的な「台帳記載」のヒント
「すべてのメールを1通ずつ記載する」といった膨大な作業は必要ありません。実務では以下のように「グルーピング」して記載するのが一般的です。
- 記載例1: 「クラウドメール上の送受信データ一式(Gmail)」
- 記載例2: 「Webサイト公開用コンテンツデータ(〇〇レンタルサーバ)」
- 記載例3: 「クラウドストレージ保存の業務関連ファイル(Google ドライブ等)」
このようにサービス単位や用途単位で資産を定義することで、管理の漏れを防ぎつつ、運用負荷を抑えることができます。
まとめ
「社外にあるから範囲外」ではなく、「自社の業務で使っている大切なデータは、どこにあっても守る対象(適用範囲内)」と考えるのがISMSの本質です。
弊社の「ISMSサンプル文書集」では、こうしたクラウド資産を想定したリスク評価のテンプレートや、外部委託先の管理規程も収録しております。最新の規格に準拠した効率的な管理体制の構築に、ぜひお役立てください。
以下、ご参考まで。
3.51 外部委託する
- 注記 外部委託した機能又はプロセスは,マネジメントシステムの適用範囲内にあるが,外部の組織は,マネジメントシステム(3.41)の適用範囲の外にある。
※「JIS Q 27000:2019」より
