ISMSのラベリング(ラベル付け)はどこまで必要?ファイルや手順書の管理方法を教えてください。
現在、二次審査に向けて準備中ですが、ラベリングにおいて、一般的にはどうかということを教えてください。
手順書と管理マニュアルにて、情報資産をラベルにより識別することになっていますが。
例えば、その手順書、様式の綴じたファイルは、どうすべきでしょうか?
ラベリングは、ISMS(ISO 27001)における「資産の管理」の有効性を示す重要なポイントです。ご質問いただいた手順書や様式のファイル管理について、実務的な観点から解説いたします。
結論から申し上げますと、「自社で決めた格付け(秘密区分)に基づき、その格付けに相応しいラベルを付与し、定められたルールで保管すること」が基本となります。
以下の3つのステップで整理すると、審査時にも自信を持って説明できます。
1. 文書の「格付け(秘密区分)」を再確認する
まず、その「手順書」や「様式」が、貴社の規定(資産管理規程など)においてどのレベルに分類されているかを確認してください。
多くの企業では、これらは「社外秘」や「内部限」として扱われます。ISMSの構築ノウハウや自社の運用ルールが詰まった文書は、他社に流出すると競争力の低下や悪用のリスクがあるため、資産価値(機密性)が高いと判断されるのが一般的です。
2. 具体的なラベリング(識別)の方法
格付けが決まったら、それに応じた識別を行います。
- 紙媒体(綴じたファイル)の場合:
- – 背表紙・表紙:
「社外秘」等のスタンプやラベルを貼付します。これにより、一目で「慎重に扱うべき文書」だと誰でも認識できるようになります。 - – ファイル内:
文書自体のヘッダーやフッターに「社外秘」と印字されていることが望ましいです。
- – 背表紙・表紙:
- 電子データの場合:
- – ファイル名・フォルダ名:
識別子([社外秘]など)を付ける、あるいは専用のアクセス制限フォルダに格納することで識別とします。
- – ファイル名・フォルダ名:
3. リスクに応じた保管・管理(ここが重要!)
ラベリングは「識別」であって「保護」そのものではありません。識別したラベルに応じた「保護策」がセットで求められます。
- 物理的な保管:
「社外秘」ラベルを貼ったファイルが、誰でも出入りできる受付横の棚に置かれていては、ISMSが機能しているとは言えません。リスクアセスメントの結果、機密性が高いと判断されたものは、「施錠できるキャビネット」への保管が必要です。 - 既存ルール(ISO 9001等)との整合性:
もし貴社で既にISO 9001等の管理ルールがある場合は、それと矛盾しないようにしてください。ISMSだからといって特別なことをするのではなく、「自社が守ると決めたルール(手順書)通りに、一貫性を持って運用されているか」を審査員は確認します。
4. 審査に向けたアドバイス
審査員は「なぜそのラベルを貼っているのですか?」と質問することがあります。その際、
「この文書は機密性ランク〇に該当するため、規定に基づき『社外秘』ラベルを貼り、施錠管理しています
と、資産評価(リスクアセスメント)の結果と紐付けて回答できると、非常に高い評価(満足度)につながります。
もし現在のルールに不安がある場合は、弊社の「サンプル文書集」に含まれる「文書管理規程」や「リスクマネジメント管理規程」の記述例を再度ご参照ください。最新のJIS Q 27001:2023(ISO 27001:2022)の要求事項に即した管理基準を提示しております。
