何が機密情報なのかの定義は簡単ではない。

はい、情シス課長です。

今回のテーマは、情シスにあるあるですが、機密情報の定義についてです。

情報セキュリティ対策のイロハとして、真っ先に来るのが、守るべき、守りたい情報の特定ですが、じつは、この何が機密情報であり、守るべき情報なのかを定義することは、意外と大変なのです。

何が機密情報なのかの定義は簡単ではない。

何が機密情報なのかの定義は簡単ではない。なぜなら、企業において、守りたい、守るべき情報には、次の特徴があるからです

１．時間によって、情報の重要度が変わる。
→ 例えば、発表前の情報です。発表前は機密でも発表後はそうではない。

２.実際に情報を扱っている人でないと、情報の価値がわからない。
→ 難しい研究情報は勿論、営業上、大切な情報など、他部門の人ではその価値が分かりにくい。

３.そもそもそんな情報があること自体を認めたくない。
→ 合併等、社内でもその情報の存在自体、知られたくない。

そのため、仮に情報システム部が、社内情報の整理を初めても、整理を完全に完了することは非常に困難なのです。というか、現実的かには無理ですね。

では、どうするか？

情報の分類方法を決めて、その分類毎にファイルサーバー等の電子的な保管場所を提供し、情報の持ち主自体が分類にあった保管場所に保存すればいいのです。

分類方法は、一般的に会社にある文書規定等を使うのが適切です。

そこでクローズアップされるのが、情報システム部門の信頼度です。

人によっては、情報システム部門の人間は情報を見れるのでは？と疑う人がいます。
実際、システムの特権ID（管理者ID）を使えば、そのシステムに保存されている情報は全て見ることが可能です。みようと思えば、当然、見れます。
ですから、機密情報の扱いを決めて、電子的に保管場所を決める際には、他部門のこうした疑問に対し、安心してもらえるよう、情報システム部門は、監査の強化などにより、絶対に保存されている情報を参照しない、万が一参照する管理者が居た場合には、過ぎにそれを発見・対応できる体制の整備が必要なのです。