情報資産台帳の作成について

ISMSを構築する場合、情報資産台帳作成に苦労される会社が多いと思います。まず、勘違いしてはならないのは、情報資産台帳作成が「目的ではない」ということです。要求事項を見てみますと、

A.8.1.1 資産目録
管理策
情報、情報に関連するその他の資産及び情報処理施設を特定しなければならない。また、これらの資産の目録を、作成し、維持しなければならない。

あくまで、情報資産の特定が目的で、「情報資産台帳を作成しなければならない。」と書いているわけではありません。現実的には、情報資産台帳を作成することになることが多いのですが、情報資産台帳が肥大化した場合は原点に立ち返る必要があります。

情報資産台帳の作成方法については、様々な書籍やWebサイトで解説がなされていますので、ここでは私の経験した内容をお伝えしようと思います。

① 各部署共通の情報資産は予め台帳に記入しておく

例えば、貸与するPCや携帯電話（スマートフォン）、USBメモリ等は各部署でルールは統一しておくべきです。また、契約書等の書類を部門単位で保管する場合も同様にルールは統一しておくべきです。
仮に、特定の部署のルールが機密性や管理効率性の観点で優れているのならば、全社ルールとして採用してもよいでしょう。ローカルルールを安易に認めてしまうと、当該部署のユーザが別の部署に異動した場合に混乱してしまいます。結局は統一したルールの順守を徹底できないことになりますので、ISMS事務局権限で統一を図るべきです。

② 職務分掌表・業務分掌表（分担表）をベースにインタビューする

実地調査で情報資産を特定することも有効な手段ですが、職務分掌表・業務分掌表（分担表）ベースにインタビューすることも情報資産の洗い出しには有効な手段となり得ます。
業務の属人化で、重要な情報資産が個人の机上やキャビネット、PC（個人フォルダ）に存在している場合もありますので、これらを洗い出すにも有効な手段となります。

③ 情報のライフサイクルを意識して洗い出す。

情報資産の取得・複製・保管・提供・廃棄のライフサイクルに着眼してインタビューします（ただし、これらを管理項目として表に追加すると台帳が膨大となるので、管理項目に追加は不要です）。まず、「保管」の観点で言いますと、一例として、経理関連の書類については、過年度資料は倉庫（または外部倉庫）に移動することがあります。当然、当年度の書類は部門キャビネットで保管、過年度の書類は倉庫で保存することになりますので、管理区分は分けるべきですので、「経理書類（当年度）」と「経理書類（過年度）」の2つの情報資産として認識して管理するのがよいかもしれません。次に、「複製」の観点で言いますと、一例として転職候補者の履歴書を面談部門にコピーして配布している場合があります。このとき、複製した履歴書を各部門で管理するのではなく、面談終了後に人事部門が回収した方がよさそうです。必要な対応策、無駄な業務のそぎ落としのためにも、情報資産のライフサイクルで情報の「質や量」がどのように変化するかに着眼して整理するのをお勧めします。

④ リスク・管理策が同じレベルの情報は1行にする。

出来上がった情報資産台帳をレビューし、リスク・管理策が同じレベルのものは1行にまとめます。ここで原点に立ち返り、「情報資産の特定が目的」であったことを思い出してください。また、情報資産台帳を見れば、ルールが容易に理解できるレベルになっているとよいでしょう。あまりに詳細なレベルまで書いていると、読む気をなくします（結局は形骸化してしまいます）ので注意が必要です。

いかがでしょうか。情報資産台帳の作成方法はいろいろな手法があると思いますが参考になれば幸いです。