ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

外部メールサービス(GmailやOCNメール)のメールデータやクラウドサービスに保存されているデータ等の情報資産台帳への記載が必要?

09.04.2019 | ISMS全般.  55 views

外部メールサービス(GmailやOCNメール)のメールデータや、クラウドサービスに保存されているデータ等に関してですが、情報資産としての価値はあるのですが、それ自体は適用範囲内には存在しません。
こういったデータは、台帳への記載が必要でしょうか。

もし必要な場合、例えば契約した外部レンタルサーバーにてweb公開のためアップロードしているWebサイトのデータ等も記載対象になるという理解で宜しいでしょうか。

「外部メールサービスのメールデータやクラウドサービスに保存されているデータ等」に関してですが、ISMSの適用範囲外であれば、台帳への記載は不要です。
ただ、クラウドサービスを「適用範囲外」と認識されているのであれば、誤りとなります。

データセンターなどに預けると同じ、外部メールサービスクラウドサービスは外部委託となり、そこで取り扱っている情報資産は適用範囲内として取り扱うこと(台帳への記載)が必要となりますので、ご注意ください。

—–
2.58 外部委託する
注記 外部委託した機能又はプロセスはマネジメントシステム(2.46)の適用範囲内にあるが,外部の組織はマネジメントシステムの適用範囲の外にある。
※参考(JISQ27000より引用)

次に「外部レンタルサーバーにてweb公開のためアップロードしているWebサイトのデータ等」に関してですが、「情報資産」となるのであれば、対象となります。
なお、Web上で公開しているものであれば、「情報資産」として価値がどの程度かの問題だと思います。