機密情報の分類におけるベストプラクティスと避けるべき落とし穴

これまで多くの企業様に対してDataClasysを設計、導入をしてきました。その中、設計フェーズにおいて「組織内の多くの機密情報をどのように分類しカテゴライズするか」について、お客様のご担当者様が頭を悩まれるケースがございます。
本コラムでは、多くの導入事例から代表的な機密情報の分類手法を二つ、分類後に運用が回らなくなるなどの問題が出てしまった失敗例を一つご紹介します。

機密情報の分類の目的と効果

組織内の機密情報を分類することは、情報の重要性やリスクを把握し管理する上でとても重要です。適切な機密情報の分類は、情報漏洩対策などのセキュリティ強化、インシデント発生時の対応の迅速化などの様々な効果が期待できます。

機密情報を適切に分類することができれば、情報漏洩対策などのセキュリティ強化やリスク管理、業務効率などの生産性の向上に繋がります。しかし分類に失敗してしまうと、機密情報の管理が複雑になるため、情報漏洩対策や業務効率、リスク管理などの運用が困難になるなど、組織に様々な支障をきたす場合があります。

機密文書の分類の方法と注意点

機密情報の分類には、大きく以下の二つの方法が考えられます。目的に応じて適切な手法を選び、またはそれぞれの手法を組み合わせることで、組織に適した機密情報の分類を行います。

手法1 機密レベルによる分類

一つ目の手法は、機密レベルに応じて「極秘」「機密」「社外秘」「公開」などに分類する方法です。
具体的な例として、以下のような分類が考えられます。

分類名分類される情報具体例
極秘漏洩すると組織全体に重大な損害をもたらす情報企業の戦略計画 新製品の開発・設計情報 特許出願前の技術情報
機密漏洩すると特定部門などに重大な損害をもたらす情報顧客の個人情報 従業員の人事データ 製造プロセス、実験データ 財務データ
社外秘社内での共有は許容されるが、外部への持ち出しを禁止するべき情報部門別の業務報告書 部門別KPIレポート プロジェクト進捗状況 業務手順書
公開公開されている情報、漏洩しても損害がない情報カタログ プレスリリース ウェブサイトのコンテンツ

機密情報が漏洩した場合を想定して、組織全体への影響度や情報の重要度に応じて情報を分類する手法です。運用例として、「極秘」「機密」レベル共に暗号化などのセキュリティ対策を行い、「極秘」レベルはDRサイトやメディアなどの二重のバックアップを保持し、「機密」レベルはメディアのみの一重のバックアップとするなど、レベルに応じてセキュリティ対策やリスク管理を行うのに適しています。

手法2 機密情報の種類による分類

二つ目の分類方法は、「個人情報」「設計情報」「技術情報」「プロジェクト情報」など、機密情報の用途や特性など応じた分類です。
具体的な例として、以下のような分類が考えられます。

分類名漏洩時の影響具体例
個人情報法的規制やプライバシー保護の観点から厳密な管理が要求される顧客情報、従業員データ
財務情報顧客や投資家からの信頼喪失が発生し、株価の暴落や顧客の離反の恐れ財務報告書、銀行取引明細
知的財産技術が他社に渡ることで市場の競争力の低下の恐れ特許申請、著作権資料
製品情報競合他社が製品を模倣することで、価格競争や市場シェア喪失による利益低下の恐れ製品仕様書、設計情報、ロードマップ
プロジェクト情報顧客からの契約違反などによって法的措置や控訴が発生する恐れWBS、課題管理表、提案書

情報の特性や用途を基準によって情報を分類する手法です。この手法は、情報がどのように使用されるか、利用する部門や管理する部門はどこなのか、法的規制の対象となるかなどを明確化するのに適しています。

非推奨な手法 部署や部門による分類

「○○部 △△課外秘」など、組織の部署や部門によって機密情報を分類するケースも考えられます。この分類方法は、情報の責任者や関係者が明確になりやすく、権限の割り当てやなどのシステム設定が非常にやりやすいメリットがあります。しかしその一方で、部署や部門の統廃合などの組織改編などで組織構造が変化すると、これまで分類していた機密情報の再分類が必要になるなど、大きな手間が発生します。

部署や部門などの組織構造を軸に機密情報の分類を考えている場合は、部署や部門で扱っている情報の種類で分類するなど一段階細分化するなどで、組織構造を想定した設計に変更することを推奨します。

細かすぎる機密情報の分類は注意が必要

情報セキュリティにおけるリスクアセスメントなどの設計段階では、機密情報をより細かく分類しがちになってしまいます。
細かく分類すると、より厳密なセキュリティ対策を講じやすくなる点や情報漏洩が発生した際に迅速に対応しやすくなる点などのメリットがあります。その一方で、機密情報の分類や管理が複雑になることで柔軟性が失われ、必要な情報へ迅速にアクセスできずに意思決定が遅れてしまうケース、従業員による適切な機密情報の取り扱いが困難になるケースなどが考えられます。

最初はより厳密に、より細かく分類しようとするケースが見受けられますが、運用面や利用者への負担を考慮して、設計当初よりも粗い分類に落ち着くことがほとんどです。
このことから機密情報の分類は細かすぎる分類を避けて、少々粗く分類した方が運用負荷は軽くなります。そして運用を振り返るタイミングを定期的に設け、必要に応じて分類を調整した方が好ましいと思われます。

まとめ

機密情報の分類は、情報の重要度や機密性に応じて適切な管理や保護を行う上で必要です。

目的に合った手法を選び、適切に分類することで、アクセス権制御などのセキュリティの強化、リスク管理の効率化や情報漏洩発生時の迅速な対応、コンプライアンスの遵守などの多くの目的を達成することができます。しかし間違った手法や細かすぎる分類を行ってしまうと、機密情報の管理の柔軟性が無くなり、業務効率や生産性にも悪影響が及んでしまうことも考えられます。

機密情報を分類する上で、最初に目的や期待する効果などを明確化し、適切な手法と粒度で設計することを心がけてください。