情報セキュリティと知財管理シリーズ第5回:社内での情報の見える化と棚卸が鍵!
aya-office―情報資産台帳の作り方・分類・ルールづくり
こんにちは!
「どこに、どんな情報が、どれだけあるのか」。ここが見えていないと、守りようがありません。
この記事では、情報の見える化=棚卸のやり方と、情報資産台帳(テンプレ付き)、シンプルな分類ルール、そして毎日続けられる運用ポイントを、やさしくご紹介します。
なぜ「見える化」と棚卸が必要なの?
情報漏洩の多くは、じつは所在不明・責任者不明が原因です。どこに何があるか、誰が決めるのかが曖昧だと、対策の優先順位も決められません。
見える化が進むと、守る順番が決まり、むやみに“全部ガチガチ”にする必要もなくなります。
💡ワンポイント: 防犯カメラがなくても、在庫表と見取り図があれば倉庫はグッと安全になります。情報も同じで「地図(台帳)」があるだけで、守るのが楽になります。
まずはここから――情報資産の洗い出し5ステップ
- スコープを決める: まずは1部署・直近1年・主要媒体(クラウド/社内サーバ/紙)に絞りましょう。
- 観点メモを作る: どこに/誰の/何のための情報か。フォルダパスやサービス名も添えます。
- 現物確認と証跡: ファイル名・URL・保管棚の写真、スクショを残すと後の棚卸がラク。
- 重複・古いデータ整理: 重複は統合、保存不要は削除候補、法定保存は区別。
- 一次ドラフト台帳: まずは荒く広く。完璧主義は禁物です。
💡ワンポイント: 大掃除も最初は“床を見えるように”から。100点を狙わず、まずは全体像を出すのがコツです。
情報資産台帳の作り方(テンプレ付き)
最低限のカラムはこのくらいで十分に機能します。
- 名称/内容要約/所在(フォルダ・URL・キャビネット)
- 機密区分(公開/社内/取引先限定/機微)
- 情報オーナー(責任者名・部署)
- 取扱者(閲覧可能な人/グループ)
- 利用目的(業務名)/保存期間(いつまで)
- 委託先・共有先(ある場合)
- 作成日・最終更新日/備考
記入例:
- 顧客名簿|Googleドライブ/…/sales|機微(個人情報)|営業部長|営業課全員|見込管理|5年|—|2025/08/01更新|外部共有禁止
- 見積書一式|社内サーバ\\sales\\2024|社外秘|営業部長|営業課|案件管理|7年(取引完了後)|—|2025/07/10|PDF化後紙破棄
- 契約書フォルダ|Box/Legal/Main|取引先限定|法務責任者|法務・担当PM|契約管理|10年|弁護士法人△△|2025/06/30|共有は“閲覧のみ”リンク
更新ルール: 変更があった人がその場で更新(申請式より即時更新+週次確認が回ります)。週1でオーナーが新規・変更行をチェック、四半期に棚卸ミーティング。
💡ワンポイント: 台帳は“名簿”と同じ。更新されないと、呼びたい人(守るべき情報)に連絡が届きません。
情報の“分類ルール”を決める(シンプル3~4段階)
迷う分類は長続きしません。まずはシンプルに。
- 公開: 社外公開OK(HPや広報資料)
- 社外秘: 社外提供不可(社内想定の文書・議事録)
- 取引先限定: 特定の取引先とは共有OK(契約に基づく範囲)
- 機微情報: 個人情報・営業秘密・価格表の原価内訳など厳格管理
取り扱い例: 共有リンク=公開:可/社外秘:不可/取引先限定:期限+PW/機微:原則禁止(承認制)
💡ワンポイント: 分類は“交通信号”。赤=止、青=進、黄=注意。瞬時に判断できるシンプルさが命です。
実務で効く「社内ルール」セット
- 共有リンク標準: 期限7~14日、パスワード必須、デフォルト“閲覧のみ”。
- 端末・アカウント: 私物利用はMDM等の条件付き/二段階認証は必須。
- 保存と廃棄: 保存期間を台帳に記載。満了は削除orアーカイブ。紙は溶解箱。
- 役割分担: 情報オーナー=公開範囲の決定/管理者=権限設定・ログ/利用者=運用順守。
💡ワンポイント: 「守れ!」より「守りやすく!」。リンク発行画面の初期値を“期限あり・閲覧のみ”にするだけで、現場はぐっと楽になります。
運用でつまずかないためのチェックリスト
- 月次ミニ棚卸: 新規作成・共有開始・外部委託の増減を台帳反映。
- 四半期レビュー: 権限棚卸(入退社/異動を反映)、古いフォルダの整理。
- 年次総点検: 保存期間満了の廃棄、重要資産のバックアップ検証。
- 変更管理: 新SaaS導入・部署改編・委託先追加は台帳更新が完了条件。
💡ワンポイント: 定期点検は“歯の健診”。痛くなる前にチェックすれば、手間もコストも最小で済みます。
台帳テンプレ(公式のExcelがおすすめ)
コピペより、公式のExcelテンプレを使う方が早くて安全です。まずは下記の公式資料から着手しましょう。
- IPA「付録7:リスク分析シート(Excel)」― 情報資産管理台帳シート付き
- IPA「中小企業の情報セキュリティ対策ガイドライン」概要ページ
- ガイドライン付録:リスク分析の手順(PDF)※台帳の記入例あり
使い方のコツ: まずは「情報資産管理台帳」シートだけ埋めて、四半期ごとに項目を増やすのがおすすめです。
よくある質問(FAQ)
Q1. まず何から始めればいい?人手が足りません。
A. 1部署・直近1年・主要媒体に絞った小さな棚卸から。30~60分の「片付けタイム」を週1で回すのがコツです。
Q2. 台帳の更新が続きません。良い仕組みは?
A. 申請フローよりその場更新+週次確認が続きます。更新者に「最終更新日」自動入力、週報で未更新リストを配信すると定着しやすいです。
Q3. 分類は3段階と4段階どちらが良い?
A. 迷うなら3段階(公開/社外秘/機微)でOK。取引先共有が多い会社は「取引先限定」を追加して4段階に。
Q4. 保存期間はどう決めますか?
A. 取引・会計・税務・労務などの法定保存年限をベースに、業務上の必要期間を加味。迷うものは「年次総点検で再評価」にします。
Q5. クラウドのリンク共有はどこまでOK?
A. 標準は期限付き+パスワード+閲覧のみ。機微情報は原則禁止(承認制)に。
まとめ・ご相談のご案内
台帳づくりは「完璧に」より「回ること」。まずは小さく始めて、続けながら整えていきましょう。
当事務所では、洗い出しワークの進行役、テンプレのカスタマイズ、保存期間や分類ルールの策定まで、実務に沿って伴走します。お気軽にご相談ください。
📚過去記事はこちら
▶第1回:技術流出で書類送検!営業秘密の持ち出し事件から学ぶ、企業が取るべき情報管理対策とは?
▶ 第2回:NDA(秘密保持契約)で本当に情報は守れる? 基本条項と見落としがちな落とし穴を解説!
▶第3回:裁判で「営業秘密と認められなかった」――【コラム①】実例に学ぶ!契約や制度だけでは守れない理由
▶第4回:クラウド時代の情報漏洩防止術
投稿者プロフィール
- 皆様のお役に立てる情報をお届けしたいと思っております。
