情報資産台帳

情報セキュリティ対策を「何を守るか」から始めようとすると、まず自分たちがどんな情報をどこに持っているのかを把握していないことに気づく。守るべき対象が分からなければ、どこにどの強度の対策を講じるべきかも決められない。情報資産台帳は、業務で扱うデータ・書類・システム・記録媒体などの情報資産を網羅的に洗い出し、それぞれについて重要度（機密性・完全性・可用性の観点での格付け）、管理責任者、保管場所や保存期間を記録したものである。台帳に基づいて資産の重要度を判定し、重要度の高い資産ほど手厚い安全管理措置を割り当てるという、情報セキュリティ管理の出発点になる。情報セキュリティポリシーや情報セキュリティマネジメントシステムの運用では、この台帳の作成と定期的な棚卸し（最新化）が基本動作として位置付けられる。

何を記録し、どう重要度を格付けするか

情報資産台帳には、紙の文書、電子ファイル、データベース、サーバや端末、記録媒体、さらにシステムそのものまで、業務で取り扱う情報資産を幅広く記載する。各資産については、名称、管理責任者、保管場所、保存期間に加えて、機密性・完全性・可用性という三つの軸で重要度を格付けする。機密性は漏えいしたときの影響、完全性は改ざん・誤りが生じたときの影響、可用性は使えなくなったときの影響で測り、要配慮個人情報を含む住民情報のように影響が大きい資産は高い格付けになる。この格付けが、暗号化・アクセス制御・バックアップといった安全管理措置をどの資産に重点配分するかの根拠になる。台帳がなければ対策は勘や前例に頼ることになり、重要な資産が手薄なまま放置される危険がある。

棚卸しと運用上の位置付け

情報資産台帳は一度作って終わりではなく、定期的な棚卸しで最新の状態に保つことが前提である。組織改編、システムの更改、業務の追加・廃止のたびに資産は増減し、管理責任者も変わるため、台帳が実態とずれると守るべき対象を取りこぼす。自治体の情報セキュリティポリシーは、年に一度など定期の棚卸しと、重要な変更が生じた際の随時更新を求めている。棚卸しでは、台帳に載っていない資産（私物端末で扱うデータや、担当者だけが把握している記録媒体など）を洗い出し、不要になった資産を確実に廃棄・消去することも含まれる。台帳は情報セキュリティ監査の際に、対策が資産の重要度に見合っているかを確認する基礎資料としても用いられる。