情報分類をまとめてみよう
なぜ作成したのか
- 企業が扱う情報の分類について、現場では分類に困ってたり何にも考えてなかったりするから、まずは自分の中の整理を進めておこうという気持ち
情報の分類とその取り扱い
- 企業の情報資産は重要度に応じて適切に分類し、それに応じた管理が求められます。
- この分類の基礎を知ることは情報漏えいリスクを防ぐために重要です。
- ここでは 「個人情報」「関係者外秘」「社外秘」「社内秘」「公開情報」 について説明します。
1. 個人情報
-
特性: 生存する個人に関する情報であり、特定の個人を識別できるもの。
- 氏名、住所、電話番号、メールアドレス、マイナンバーなど。
- 顧客情報や社員情報がこれに該当します。
-
取り扱いルール:
- 社内外問わず厳重に保護し、無許可での閲覧、コピー、持ち出しは禁止。
- 暗号化、パスワード保護、アクセス制限の徹底。
- 個人情報保護法やGDPRなどの法令遵守が必須。
-
具体例:
- 顧客リスト、採用活動で収集した履歴書、健康診断の結果など。
2. 関係者外秘
-
特性: 自社と特定の外部関係者(取引先、委託業者など)の間でのみ共有される情報。
- 提携先の契約情報や共同開発中のプロジェクト情報が該当。
-
取り扱いルール:
- 必要な範囲でのみ関係者に共有し、契約上の機密保持義務を確認。
- 情報共有時は暗号化や認証機能付きシステムを利用すること。
-
具体例:
- 業務委託先と共有する設計図、外部のソフトウェア開発業者に渡す仕様書、提携先企業の機密情報。
3. 社外秘
-
特性: 自社内で管理され、外部には一切公開しない情報。
- 競合に知られた場合に不利益を被る可能性が高い情報。
- ビジネスモデルやマーケティング戦略、未発表の製品情報などが該当。
-
取り扱いルール:
- 社内でもアクセス権限を明確に設定し、権限のない社員には閲覧させない。
- 持ち出しは原則禁止し、必要に応じて記録を残す。
-
具体例:
- 新製品の開発計画、特許取得前の技術情報、取引先との価格交渉資料。
4. 社内秘
-
特性: 社内での業務遂行に必要な情報であり、社外には公開しないが、特段の機密性が高いわけではない情報。
- 社員全体が業務で利用する情報などが該当。
-
取り扱いルール:
- 原則として社外持ち出しを禁止し、保管場所はロック可能な場所に限定する。
- 不要になった場合は適切に廃棄処理(シュレッダー、デジタルデータ削除)。
-
具体例:
- 会議資料、人事部の内部通知、給与体系、社内報。
5. 公開情報
-
特性: 誰でも自由にアクセスできる情報であり、公開しても機密上の問題がないもの。
- 一般公開されている情報資産。
-
取り扱いルール:
- 特別な制限は不要だが、情報が最新か、正確かを適切に管理する。
- 誤った公開情報が企業の信頼に影響するリスクもあるため、定期的な確認が必要。
-
具体例:
- 公式ウェブサイト、プレスリリース、製品カタログ、IR資料。
想定QA
Q.Webサービスの開発を行っている企業において、開発で使用したコードや規約、書式、フォーマットなどについて分類するとどこに該当しますか?
Webサービスの開発に関わる 「コード」「規約」「書式」「フォーマット」 などの情報資産は、その性質に応じて以下のように分類できます:
1. ソースコード
-
分類: 一般的には「社外秘」に該当しますが、特に重要な部分(独自アルゴリズムや特許技術を含む部分)は「関係者外秘」や「社内秘」として扱うこともあります。
-
理由:
- ソースコードは企業の競争優位性に直結するため、外部への漏洩は致命的なリスクを伴います。
- 外部ベンダーとの連携がある場合、共有部分については「関係者外秘」に設定し契約で機密を保護します。
-
具体例:
- WebサービスのバックエンドAPI、フロントエンドの設計、ライブラリ、独自の暗号化アルゴリズムなど。
2. コーディング規約
-
分類: 通常は「社内秘」に該当します。
-
理由:
- コーディング規約は開発プロセスの標準化に必要ですが、機密性の高い情報ではありません。
- 他社に知られると直接的な損害が発生することは少ないため、内部の開発者や関係者間で共有するレベルが適切です。
-
具体例:
- コーディングスタイル(インデントの使用方法、関数命名規則)、バージョン管理の運用ルール、セキュリティ上のベストプラクティス。
3. 書式やフォーマット(開発関連文書、設計書など)
-
分類: 「社外秘」または「社内秘」に該当する場合が多いです。
- 外部パートナーが関与する場合は「関係者外秘」とすることもあります。
-
理由:
- 書式やフォーマット自体は機密度が高いものではありませんが、それに記載される内容(設計図、仕様書など)によっては慎重な取り扱いが必要です。
-
具体例:
- API設計書、画面遷移図、データベース設計書、仕様書テンプレート。
4. テストデータやテストケース
-
分類: 通常は「社外秘」ですが、個人情報やセンシティブデータを含む場合は「社内秘」や「関係者外秘」として厳重に管理する必要があります。
-
理由:
- 実サービスで使用されるデータが含まれる場合、セキュリティリスクが高まるため厳重な管理が必要です。
-
具体例:
- システムテスト用のデータ、負荷試験のシナリオ、セキュリティテストの脆弱性診断結果。
ポイントまとめ
情報資産の種類 | 分類 | 特記事項 |
---|---|---|
ソースコード | 社外秘(重要部分は関係者外秘) | 特許技術や独自アルゴリズムを含む場合は特別な注意が必要 |
コーディング規約 | 社内秘 | 内部の開発効率に関わる情報で、他社に漏れても致命的な損害は少ない |
書式・フォーマット | 社外秘または社内秘 | 外部パートナーと共有する場合は関係者外秘も検討 |
テストデータ・テストケース | 社外秘または社内秘 | 個人情報を含む場合はさらに厳格な管理を |
このように、情報の分類は 情報が企業にとってどの程度重要か、外部に漏れた場合の影響 に応じて柔軟に判断することが求められます。
Web会議の録画データ、議事録について分類すると、どこに該当しますが?
Web会議の録画データや議事録の分類は、会議で扱った内容の 重要度や機密性 によって異なりますが、一般的な分類とその理由を以下に示します:
1. Web会議の録画データ
分類: 一般的には「社内秘」または「社外秘」に該当することが多いですが、以下の内容次第で「関係者外秘」や「個人情報」にもなります。
分類のポイント:
- 社内秘:会議での内容が社内業務に限定され、外部への影響がない場合。
- 社外秘:会議で機密情報や事業計画、重要な技術情報が話し合われた場合。
- 関係者外秘:外部パートナーや取引先との共同会議の録画データであり、契約に基づき共有される場合。
- 個人情報を含む場合:社員の評価や健康情報が含まれると「個人情報」としても特別な管理が必要。
具体例:
- 社内秘:日常的なチームミーティングや定例会議の録画。
- 社外秘:製品の開発進捗会議、事業計画の検討会議。
- 関係者外秘:取引先と共同プロジェクトに関する会議の録画。
- 個人情報含む場合:採用面接の録画、社員の健康や評価に関する会議。
取り扱いルール:
- 録画データの保存場所にはアクセス権限を設定し、不要になれば適切に削除する。
- 機密度が高い場合は暗号化や保存ポリシーを明確にする。
2. 議事録
分類: 通常は「社内秘」または「社外秘」ですが、内容次第で「関係者外秘」や「公開情報」にもなり得ます。
分類のポイント:
- 社内秘:日常業務や特別な機密性が求められない内容。
- 社外秘:経営戦略、事業計画、新製品の仕様などの重要情報が含まれる場合。
- 関係者外秘:外部取引先やパートナーとの打ち合わせに基づいた議事録。
- 公開情報:すでに公式発表されている内容が含まれる場合。
具体例:
- 社内秘:プロジェクト進捗会議、社内方針の確認などの議事録。
- 社外秘:新サービスの企画に関する重要な議事録。
- 関係者外秘:共同開発プロジェクトでの設計仕様確認会議の議事録。
- 公開情報:プレスリリースに関連した会議の議事録(後日一部公開)。
取り扱いルール:
- 機密度に応じて保存場所、アクセス権限、閲覧者を制限。
- 会議内容に個人情報が含まれる場合、必要に応じて特定部分のマスキングなどを行う。
まとめ表
情報資産の種類 | 分類 | 取り扱い上の注意点 |
---|---|---|
Web会議の録画データ | 社内秘、社外秘、関係者外秘、個人情報 | 録画データには様々な情報が含まれるため、保存場所、暗号化、アクセス権限に注意 |
議事録 | 社内秘、社外秘、関係者外秘、公開情報 | 情報の内容に応じて適切に分類し、重要情報や個人情報は不要時に適切に廃棄する |
Web会議や議事録のデータは、情報の種類が多岐にわたるため、 定期的な見直しや不要な情報の削除 が重要です。
# 所感
状況や内容で判断はいろいろわかれそうなので、社内では実環境を鑑みて分類パターンを定義しておいたほうがよさそう
Discussion