総務省が発行している「地方公共団体における情報セキュリティポリシーに関するガイドライン」において、情報資産の分類は機密性・完全性・可用性によって分けられ、取り扱いや表記についても運用が義務付けられています。
【関連コンテンツ】 地方公共団体における情報セキュリティポリシーに関するガイドライン
データ分類の実情
公共団体では取り扱うデータに重要なものが多いことから、厳重かつ厳格な管理運用をすることがガイドラインにて定められています。しかし、その手法についてはガイドラインに定めがなく、各自治体の判断に委ねられているのが現状です。
【当社アンケート結果】情報資産の分類は実施されていますか?
当社が地方公共団体に対して調査※したところによると、「情報資産の分類について実施している」とする担当者が79%に上る一方で、その手法については担当者毎に判断が分かれており、またそのことについて心配する声も挙がっていました。
※調査の実施要項
- アンケート実施期間:2022年2月1日~2022年3月31日
- 実施企業:株式会社ラネクシー
- 実施方法:電話および Web フォーム
- 対象自治体:首都圏を含む地方公共団体
- 対象件数:約 500 件
- アンケート回答件数:77 件(15.4%)
中でも、「フォルダによってデータ分類を実施している」「ファイル名によってデータ分類を実施している」という運用に二分されている傾向があり、更にその中でも運用法則や命名法則は団体毎に異なっている場合や、現場に一任しているような状況であることが分かりました。
それでは、このようなデータの重要度分類と運用は本当に「正しい」のでしょうか?
得られるリターンと考えられるリスクから合理性を判断してみましょう。
フォルダやファイル名によるデータ分類のリターンとリスクについて
〇:リターン
- 特別なソフトや技術が不要のため、低コストで開始できる
- 現場レベルのルールとして運用に合わせた調整が容易
×:リスク
- 重要度が変わった際、ショートカットやマクロなどの動作に影響があり、一度作成してしまうと変更が難しい
- ファイル作成者に依存し、表記揺れの恐れがある
- 不正アクセスや外部からの攻撃者の目印になりやすい
- 重要度について全員が正しく理解している必要がある
これらのことから、スモールスタートが可能な反面、運用が長期化するほどリスクが増大し、既存ファイルへの修正も困難になっていく方法であると考えられます。
他方、以下のような意見も散見されました。
- データの重要度が流動的で階層やタイトルによる分類が難しい
- 職員のデータ分類に対する関心や意識が足りない
- 対象のデータが多すぎて過去データの分類にかける工数が足りない/見通せない
では長期的な運用でもリスクがなく、それでいて「正しい」データの重要度分類とはなんでしょうか?
それが、メタデータでの重要度分類ができる「Janusseal」です。
メタデータでの重要度分類ができる「Janusseal」とは?
- メールやドキュメントを作成または保存時にデータ分類。メタデータによる管理も実現。
- 使用者自らデータ分類を実施するため、効果的な意識の向上が可能。
- 既存のドキュメントや複数のドキュメントにもコンテキストメニューからすばやく簡単にデータ分類を実施。
- また、データを分類するだけでなく、メタデータの分類情報を活かした運用の効率化やデータの利活用にも繋げることが可能。
誰にでもできる簡単な操作で、保存場所やファイル名に依存しないデータの重要度分類を実施することができます。
更に、ファイルの作成/保存時に“選択肢”から重要度を選ぶため表記揺れもなく、意識の向上にも繋げることができます。
従業員からセキュリティを強化!
日本ではまだデータ重要度の分類について手法の指定はありませんが、諸外国では既にメタデータによる重要度分類が義務付けられている国もあり、今後日本でも同様の法案やガイドラインが制定されることが予想できます。
長期的なリスクを抱えたまま義務化を待つのではなく、いま「正しい」データ分類を検討してみてはいかがでしょうか。
製品に関する詳しい情報はこちら
【 関連情報 】地方公共団体における情報セキュリティポリシーに関するガイドライン
総務省が発行している「地方公共団体における情報セキュリティポリシーに関するガイドライン」において、情報資産の分類は機密性・完全性・可用性によってそれぞれ異なる取り扱いが示され、必要とされています。[…]
