2σ Guide

情報資産の分類と
取扱レベルの規程化

企業法務、情報セキュリティ、個人情報保護、営業秘密管理、内部統制をつなぎ、情報の価値とリスクに応じた管理を設計するための実務整理です。

5段階 分類モデル
22行為 取扱いの対象
7ステップ 導入手順
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

情報資産の分類と 取扱レベルの規程化

企業法務、情報セキュリティ、個人情報保護、営業秘密管理、内部統制をつなぎ、情報の価値とリスクに応じた管理を設計するための実務整理です。

動画を読み込み中…
2σ GUIDE ・ VIDEO
情報資産の分類と 取扱レベルの規程化
企業法務、情報セキュリティ、個人情報保護、営業秘密管理、内部統制をつなぎ、情報の価値とリスクに応じた管理を設計するための実務整理です。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 情報資産の分類と 取扱レベルの規程化
  • 企業法務、情報セキュリティ、個人情報保護、営業秘密管理、内部統制をつなぎ、情報の価値とリスクに応じた管理を設計するための実務整理です。

POINT 1

  • 情報資産の分類と取扱レベルの全体像
  • まず、単なる「社外秘」表示では足りない理由と、規程化でつなぐべき要素を整理します。
  • 情報の性質を見分けます
  • 行為ごとのルールに落とします
  • 後から説明できる状態にします

POINT 2

  • 情報資産の分類と取扱レベルを分けて考える理由
  • 1. 情報を特定します:契約書、個人データ、営業秘密候補、ログ、バックアップなど、対象を棚卸しします。
  • 2. 分類レベルを決めます:漏えい、改ざん、利用不能、法令違反、契約違反の影響を評価します。
  • 3. 補助タグを付けます:個人データ、営業秘密候補、契約秘密、輸出管理、生成AI入力禁止などを識別します。
  • 4. 取扱レベルへ反映します:閲覧、保存、送信、委託、AI入力、廃棄、ログなどの具体ルールに落とします。

POINT 3

  • 情報資産の分類と取扱レベルが企業法務で重要な理由
  • 個人情報保護法
  • 営業秘密

POINT 4

  • 情報資産の分類と取扱レベルを支える標準
  • ISMS、NIST、政府統一基準群の発想を、民間企業の規程設計へ応用します。
  • 標準やガイドラインは、分類を「機密性」だけで捉えない点で参考になります。
  • 完全性、可用性、利害関係者の要求事項、格付、取扱制限を合わせて見ることで、漏えいだけでなく改ざんや停止にも対応できます。
  • 自社規程へ移すときは、どの考え方を分類表、ラベル、取扱制限、台帳に反映するかを読み取ることが重要です。

POINT 5

  • 情報資産の分類体系を5段階で設計する
  • 機密性を中心に、補助タグと完全性・可用性の観点を重ねます。
  • 分類体系は、複雑すぎると使われず、簡単すぎるとリスクに対応できません。
  • 次の5段階モデルは、情報資産の重要度と取扱いの強さを対応させるための基本形です。
  • 分類名そのものよりも、定義、典型例、基本方針の違いを読み取り、自社の文化に合わせて名前を調整することが重要です。

POINT 6

  • 情報資産の取扱レベルを行為ごとに規程化する
  • 分類した情報について、何を許し、何を禁止し、どの条件を付けるかを具体化します。
  • ラベル付けと例外承認
  • 取扱レベルとは、分類された情報について、実際にどの行為を許可し、どの行為を禁止し、どの条件を付けるかを定める基準です。
  • 規程本文、別表、業務手順、システム設定、契約条項、教育資料に反映する必要があります。

POINT 7

  • 情報資産管理規程と別表の作り方
  • 肥大化を避け、基本方針、個別規程、手順、別表を役割別に配置します。
  • 情報資産の分類と取扱レベルの規程化では、1本の規程にすべてを書くと肥大化しやすくなります。
  • 次の規程体系は、各文書の役割と主な読者を整理しています。
  • 誰が何を読めばよいかを分けることで、現場向けの使いやすさと監査時の説明可能性を両立できます。

POINT 8

  • 情報資産の分類と取扱レベルを運用する役割分担
  • 法務、情報セキュリティ、個人情報、事業部門、内部監査、経営の責任を分けます。
  • 情報資産管理は単独部門では完結しません。
  • 次の役割一覧は、情報資産管理に関わる主要ロールを整理しています。
  • 誰が分類を決め、誰が権限を実装し、誰が監査するかを読み取ることで、責任の空白を減らせます。

まとめ

  • 情報資産の分類と 取扱レベルの規程化
  • 情報資産の分類と取扱レベルの全体像:まず、単なる「社外秘」表示では足りない理由と、規程化でつなぐべき要素を整理します。
  • 情報資産の分類と取扱レベルを分けて考える理由:情報の性質を判定することと、その情報に許す行為を決めることは別の設計です。
  • 情報資産の分類と取扱レベルが企業法務で重要な理由:分類と取扱レベルは、個人情報、営業秘密、契約、内部統制、サイバーリスクの説明基盤になります。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

情報資産の分類と取扱レベルの全体像

まず、単なる「社外秘」表示では足りない理由と、規程化でつなぐべき要素を整理します。

企業が保有する情報には、契約書、顧客情報、従業員情報、研究開発データ、ソースコード、価格表、営業資料、取締役会資料、財務情報、ログ、AI学習用データ、委託先へ預けるデータなどがあります。これらは業務資料にとどまらず、法的保護、契約上の秘密保持義務、個人情報保護、知的財産、内部統制、信用、事業継続に直結する経営資産です。

情報資産管理の本質は、大切そうな情報に一律の表示を付けることではありません。情報の価値、法令上の性質、漏えい時の影響、改ざん時の影響、停止時の影響、共有の必要性、保存期間、廃棄義務を評価し、分類結果に応じて閲覧、保存、複製、持出し、送信、印刷、委託、クラウド保存、AI入力、廃棄、監査証跡のルールを一貫して決めることです。

次の3つの項目は、情報資産の分類と取扱レベルを規程化するときの中心論点です。どの項目が弱いかを見ると、規程、契約、システム設定、教育、監査のどこを優先すべきか読み取れます。

CLASSIFY

情報の性質を見分けます

公開情報、社内情報、機密情報、厳秘情報、特別管理情報などに分け、個人データ、営業秘密候補、契約秘密、生成AI入力禁止などの補助タグも付けます。

CONTROL

行為ごとのルールに落とします

保存場所、アクセス権限、外部送信、印刷、委託、クラウド、生成AI、ログ、廃棄などを分類に連動させます。

EVIDENCE

後から説明できる状態にします

営業秘密の秘密管理性、個人データの安全管理措置、契約上の秘密保持義務、内部統制、事故時の説明責任を支える証跡を残します。

要点規程化は社内文書を増やす作業ではなく、リスク認識、権限設計、契約条項、システム制御、教育、監査、インシデント対応を結びつけるガバナンス設計です。
Section 01

情報資産の分類と取扱レベルを分けて考える理由

情報の性質を判定することと、その情報に許す行為を決めることは別の設計です。

情報資産の定義

情報資産とは、企業活動において価値を持ち、管理責任を伴う情報と、その情報を取り扱う仕組みを指します。電子ファイルだけでなく、紙文書、口頭で共有される情報、ホワイトボードの内容、チャット、メール、バックアップ、ログ、録音、録画、ソースコード、機械学習用データ、図面、契約交渉メモ、M&A検討資料、デューデリジェンス資料、取締役会資料、監査調書、規制当局対応資料も含まれます。

情報資産管理は情報システム部門だけの業務ではありません。法務、経理、人事、営業、開発、経営企画、知財、監査、広報、購買、委託先管理が共同で扱う課題です。

分類がない組織で起きやすい問題

分類がないと、守るべき情報と共有すべき情報の線引きが現場ごとにずれます。特に事故時には影響範囲の特定が遅れ、報告、本人通知、取引先説明、証拠保全にも影響します。

  • 現場ごとに判断が分かれ、過剰共有又は過剰秘匿が起きます。
  • 秘密情報であることを従業員や委託先が認識しにくくなります。
  • 個人データや要配慮個人情報が一般資料と混在し、漏えい時の範囲特定が難しくなります。
  • 契約上の秘密保持義務やデータ処理条件が、アクセス権限や保存先に反映されません。
  • 退職者、派遣社員、委託先、共同研究先、グループ会社の権限が放置されやすくなります。
  • 当局報告、本人通知、取引先通知、公表、証拠保全の判断が遅れます。
  • 内部監査で、ルールと実務、システム設定が一致していないと評価されることがあります。

次の判断の流れは、分類と取扱レベルを別の段階として扱う考え方を示しています。順番を分けることで、情報の価値評価、法令・契約タグ、実際の制限、証跡の関係を読み取りやすくなります。

分類から取扱いまでの判断の流れ

情報を特定します

契約書、個人データ、営業秘密候補、ログ、バックアップなど、対象を棚卸しします。

分類レベルを決めます

漏えい、改ざん、利用不能、法令違反、契約違反の影響を評価します。

補助タグを付けます

個人データ、営業秘密候補、契約秘密、輸出管理、生成AI入力禁止などを識別します。

取扱レベルへ反映します

閲覧、保存、送信、委託、AI入力、廃棄、ログなどの具体ルールに落とします。

例えば顧客の本人確認書類画像は、個人データであり、本人確認、犯罪収益移転防止、金融規制、契約、本人通知、保存期間の観点が関係する場合があります。「機密情報」と分類するだけでは足りず、保存先、閲覧部署、ダウンロード可否、外部委託、暗号化、ログ、海外クラウド、生成AI入力、廃棄証跡まで決めることが取扱レベルの規程化です。

Section 03

情報資産の分類と取扱レベルを支える標準

ISMS、NIST、政府統一基準群の発想を、民間企業の規程設計へ応用します。

標準やガイドラインは、分類を「機密性」だけで捉えない点で参考になります。完全性、可用性、利害関係者の要求事項、格付、取扱制限を合わせて見ることで、漏えいだけでなく改ざんや停止にも対応できます。

次の比較表は、代表的な標準・ガイドラインが情報資産の分類にどの視点を与えるかを整理しています。自社規程へ移すときは、どの考え方を分類表、ラベル、取扱制限、台帳に反映するかを読み取ることが重要です。

標準・ガイドライン分類で重視する視点規程化への示唆
ISO/IEC 27001、JIS Q 27001、ISO/IEC 27002、JIS Q 27002リスクアセスメント、管理策、運用、評価、改善を通じたISMSの管理です。情報の分類、ラベル付け、転送を資産管理の一部として位置付けます。
経済産業省 情報セキュリティ管理基準機密性、完全性、可用性、利害関係者の要求事項に基づく分類です。ラベル付け手順、物理的ラベル、ヘッダ、フッタ、メタデータ、透かしなどを検討します。
NIST FIPS 199、SP 800-60機密性、完全性、可用性への侵害時の潜在的影響です。グローバル企業、公共調達、重要インフラ、金融、医療、クラウド委託で影響度評価に使えます。
政府機関等のサイバーセキュリティ対策のための統一基準群情報作成又は入手時の格付と取扱制限の明示です。複製禁止、持出禁止、暗号化必須、配布禁止、保存場所限定、要承認などを分類と別に明示します。

ここから分かる重要点は、分類は秘密保持だけではないということです。給与計算データ、決算データ、医療記録、製造指図、物流指示、アクセス権限マスタなどは、漏えいだけでなく改ざんや消失の影響も大きい情報です。

注意民間企業に政府統一基準がそのまま適用されるわけではありません。ただし、格付と取扱制限を分ける発想は、企業の規程設計でも有用です。
Section 04

情報資産の分類体系を5段階で設計する

機密性を中心に、補助タグと完全性・可用性の観点を重ねます。

分類体系は、複雑すぎると使われず、簡単すぎるとリスクに対応できません。実務上は、機密性を中心に4段階又は5段階で設計し、完全性、可用性、法令タグ、契約タグを補助軸として付ける方法が扱いやすいです。

次の5段階モデルは、情報資産の重要度と取扱いの強さを対応させるための基本形です。分類名そのものよりも、定義、典型例、基本方針の違いを読み取り、自社の文化に合わせて名前を調整することが重要です。

レベル分類名定義典型例基本方針
L0公開情報公表済み又は公表予定として承認済みの情報です。公開済み会社案内、公開プレスリリース、公開IR資料改ざん防止と正確性を重視します。
L1社内情報社外公開を予定しませんが、漏えい時の影響が限定的な社内情報です。一般社内通知、通常の会議資料、社内手順書社内利用に限定し、外部共有は承認制にします。
L2機密情報漏えい、改ざん、消失により事業、契約、信用に相当の影響がある情報です。取引条件、未公表営業資料、通常の契約書、社内見積資料関係者限定、保存場所制限、外部送信管理を行います。
L3厳秘情報重大な法的、財務的、競争上、信用上の損害が生じ得る情報です。M&A資料、未公表決算、重要人事、営業秘密、重要個人データ、大規模顧客データ必要最小限のアクセス、強い制御、暗号化、ログ、持出制限を行います。
L4特別管理情報法令、規制、契約、生命身体、安全保障、通報者保護等により特別管理が求められる情報です。要配慮個人情報、特定個人情報、通報者情報、認証秘密、暗号鍵、規制当局対応資料、輸出管理該当情報個別法令又は契約に基づく追加統制を行います。

L4は、単にL3より強い機密分類として扱うだけでなく、法令又は契約による特別な取扱いが必要なタグとして扱うことが重要です。特定個人情報のように、利用目的、保存、廃棄、委託先監督、アクセス権限に固有の制約がある情報では、この考え方が役立ちます。

次の補助タグ一覧は、分類レベルだけでは表しきれない法令・契約上の注意点を示します。タグを見ることで、同じL3でも個人データ、営業秘密、インサイダー情報の取扱いが異なることを読み取れます。

タグ意味取扱い上の効果
個人データ個人情報データベース等を構成する個人情報です。安全管理措置、委託先監督、漏えい等対応の対象になります。
要配慮個人情報人種、信条、病歴等、本人への不当な差別等につながり得る情報です。原則同意取得、漏えい時の報告判断に影響します。
特定個人情報マイナンバーを含む個人情報です。利用目的限定、厳格な管理、保存期間管理が求められます。
営業秘密候補秘密管理性、有用性、非公知性を満たし得る情報です。秘密表示、アクセス制限、持出制限、退職時確認が重要です。
契約秘密契約上、秘密保持義務の対象となる情報です。開示範囲、目的外利用、再開示、返還削除を契約に従わせます。
知財関連発明、ノウハウ、設計、ソースコード、研究データです。出願前管理、共同研究契約、ライセンス管理に接続します。
開示規制金融商品取引法、上場規則、インサイダー情報等に関係する情報です。アクセス限定、情報隔壁、開示統制が必要になります。
労務機微懲戒、ハラスメント、メンタルヘルス、人事評価などです。閲覧者限定、保存期間、本人対応、労務紛争対応を意識します。
輸出管理外為法、安全保障貿易管理に関係し得る技術情報です。海外提供、外国人アクセス、クラウド所在国を確認します。
生成AI入力禁止外部AIサービスへの入力を禁止する情報です。利用規程、DLP、教育、ログ確認に反映します。

機密性、完全性、可用性は、それぞれ異なる事故の形を見ます。次の3つの項目を分けると、漏えい対策だけに偏らず、改ざんや業務停止も含めた分類判断ができます。

CONFIDENTIALITY

機密性

社外に漏れると、本人、取引先、株主、従業員、事業に損害が出る情報を見ます。

INTEGRITY

完全性

決算データ、請求データ、製造指示、品質検査記録、アクセス権限マスタなど、改ざん時の影響を見ます。

AVAILABILITY

可用性

受発注データ、在庫データ、復旧用バックアップ、BCP連絡先など、利用不能時の停止影響を見ます。

Section 05

情報資産の取扱レベルを行為ごとに規程化する

分類した情報について、何を許し、何を禁止し、どの条件を付けるかを具体化します。

取扱レベルとは、分類された情報について、実際にどの行為を許可し、どの行為を禁止し、どの条件を付けるかを定める基準です。規程本文、別表、業務手順、システム設定、契約条項、教育資料に反映する必要があります。

次の一覧は、取扱レベルで定める主な行為を実務単位でまとめたものです。どの行為にルールがないかを見ることで、現場の抜け道や事故時の説明不足を読み取れます。

作成・取得・分類

作成及び取得、分類及びラベル付け、保存場所、アクセス権限、閲覧を定めます。

入口管理

共有・複製・持出し

複製、印刷、ダウンロード、持出し、メール送信、チャット投稿、外部共有を定めます。

流通管理

委託・クラウド・海外

委託、再委託、共同利用、海外移転、国外閲覧、クラウド保存を定めます。

外部管理
AI

生成AI・証跡・廃棄

生成AIへの入力、バックアップ、ログ、監査証跡、保存期間、返還、削除、廃棄、事故報告を定めます。

終点管理

次の取扱マトリクスは、分類ごとに代表的な行為の強さを比較したものです。列が高いレベルへ進むほど、承認、限定、暗号化、ログ、廃棄証跡が強まることを読み取ってください。

行為L0 公開L1 社内L2 機密L3 厳秘L4 特別管理
保存場所公開承認済み場所社内承認済み場所指定共有領域限定領域個別承認領域
アクセス権原則制限なし社内関係者業務上必要な者個別指定者法令、契約、職務で限定
外部送信承認制承認制、誤送信対策原則禁止、例外承認原則禁止又は個別要件に従います
印刷必要範囲管理下で可原則禁止又は承認制原則禁止又は記録必須
ローカル保存制限付き原則指定端末原則禁止原則禁止
暗号化任意推奨外部送信時必須保存、送信時必須個別基準に従い必須
ログ必要に応じて重要システムのみアクセスログ推奨アクセスログ必須アクセスログ及び定期点検
委託通常手続通常手続契約管理必須事前審査必須法令又は契約要件審査必須
生成AI入力注意喚起原則禁止又は承認制禁止禁止又は個別承認
廃棄通常廃棄通常廃棄復元困難化証跡付き廃棄法定保存後、証跡付き廃棄

ラベル付けと例外承認

ラベル付けは、分類を人とシステムに伝えるための手段です。紙文書では表紙、ヘッダ、フッタ、透かし、押印が考えられます。電子文書ではファイル名、文書プロパティ、ヘッダ、フッタ、透かし、メタデータ、ドキュメント管理システムの分類属性が考えられます。

ただし、ラベルと実際の権限設定が一致しなければ形骸化します。厳秘と表示されたファイルが全社員共有フォルダに保存されていれば、分類の信用は失われます。

厳秘情報を外部専門家、監査法人、税理士、司法書士、弁理士、社労士、M&Aアドバイザー、フォレンジック業者、クラウド事業者、翻訳者、印刷業者、物流業者に提供せざるを得ない場面もあります。例外承認では、対象情報の分類及びタグ、提供先、提供目的、提供範囲、提供方法、契約又は秘密保持義務、再提供の可否、保存期間、返還又は削除方法、承認者、事故時の通知先、代替手段の検討記録を残します。

Section 06

情報資産管理規程と別表の作り方

肥大化を避け、基本方針、個別規程、手順、別表を役割別に配置します。

情報資産の分類と取扱レベルの規程化では、1本の規程にすべてを書くと肥大化しやすくなります。基本方針、情報資産管理規程、個人情報、営業秘密、文書管理、委託先管理、クラウド、生成AI、事故対応、監査手順を階層化すると運用しやすくなります。

次の規程体系は、各文書の役割と主な読者を整理しています。誰が何を読めばよいかを分けることで、現場向けの使いやすさと監査時の説明可能性を両立できます。

文書役割主な読者
情報セキュリティ基本方針経営方針、基本原則、責任者を示します。経営層、全従業員、取引先
情報資産管理規程分類、取扱レベル、責任、台帳を定めます。全従業員、管理者
個人情報取扱規程個人データ固有の取得、利用、保存、提供、廃棄を定めます。個人情報取扱部署
営業秘密管理規程営業秘密候補の管理、表示、アクセス、退職時対応を定めます。開発、営業、知財、法務
文書管理規程保存期間、版管理、廃棄、証跡を定めます。全社、総務、法務
委託先管理規程委託先審査、契約、監督、再委託を定めます。購買、法務、事業部門
クラウド利用規程SaaS、IaaS、PaaS、保存国、認証、ログを定めます。情シス、事業部門
生成AI利用規程入力禁止情報、利用承認、出力確認を定めます。全従業員
インシデント対応規程報告、初動、調査、当局対応、本人通知を定めます。CSIRT、法務、広報、経営
監査手順点検項目、証跡、是正を定めます。内部監査、管理部門

情報資産管理規程には、最低限の条項を置く必要があります。次の一覧は条項を機能別にまとめたものです。抜けている項目があると、分類はあっても保存、委託、生成AI、監査に接続しない状態を読み取れます。

基本条項

目的、適用範囲、用語定義、情報資産の所有者及び管理責任者、分類レベル、補助タグを置きます。

1から6

分類判断

分類の決定者、分類の時期、分類の見直し、ラベル付け、取扱マトリクス、アクセス権限、保存場所を置きます。

7から13

外部・技術利用

外部提供及び委託、クラウド利用、海外移転及び国外閲覧、生成AI利用、持出し及び印刷、バックアップを置きます。

14から19

終了・統制

保存期間及び廃棄、インシデント報告、教育及び誓約、監査及び是正、違反時の措置、規程改廃を置きます。

20から25

次の条文例は、規程本文に置く代表的な条項を実務向けに言い換えたものです。条文名、対象行為、承認の要否を読み分けると、本文と別表の役割分担が見えます。

条項規定する内容実務上の読み方
目的情報資産の機密性、完全性、可用性を確保するため、重要度と法令・契約・事業上の要求に応じた分類と取扱レベルを定めます。分類だけでなく、取扱レベルまで対象に含めます。
適用範囲役員、従業員、派遣社員、出向者、業務委託先その他業務上情報資産を扱う者に適用します。電子データ、紙文書、口頭情報、画像、音声、動画、ログ、バックアップ、クラウド上の情報も含めます。
分類公開情報、社内情報、機密情報、厳秘情報、特別管理情報に分類します。漏えい、改ざん、滅失、利用不能、目的外利用、契約違反、法令違反の影響を見ます。
分類の決定及び見直し作成時又は取得時に分類し、管理責任者が事業目的、契約、法令、保存期間、公開予定、CIAの変化に応じて見直します。作成者任せにせず、管理責任者の見直しを入れます。
ラベル付け機密情報、厳秘情報、特別管理情報には分類を認識できる表示又はメタデータを付します。表示が難しい場合は保存場所、アクセス権限、台帳で識別します。
取扱レベル閲覧、保存、複製、印刷、持出し、送信、外部提供、委託、クラウド保存、生成AI入力、バックアップ、廃棄を別表に従わせます。別表にない事項は管理責任者と情報セキュリティ責任者の承認へ回します。
外部提供機密情報、厳秘情報、特別管理情報を社外提供する場合は、目的、範囲、提供先、方法、契約上の保護措置、再提供、返還削除を確認します。契約審査と情報管理を接続します。
生成AI利用機密情報、厳秘情報、特別管理情報、個人データ、営業秘密候補、契約秘密、未公表経営情報、認証情報などは、承認環境を除き外部生成AIサービスへ入力しない運用にします。入力禁止情報を分類表と連動させます。
インシデント報告漏えい、滅失、毀損、誤送信、紛失、盗難、不正アクセス、目的外利用、無権限閲覧、分類違反のおそれを認識した場合は所定窓口へ報告します。事故の手前の兆候も報告対象に含めます。

別表は現場が参照する資料です。次の列を置くと、抽象的な原則ではなく、分類レベルごとの具体的な行動へつなげやすくなります。

記載する内容確認する意味
分類レベル、対象例、表示方法分類名、代表例、ラベルやメタデータの表示方法です。現場が分類を識別できるかを確認します。
保存場所、アクセス権限、社外送信保存先、閲覧者、外部送信の条件です。実際の権限設定と一致しているかを確認します。
印刷、持出し、外部委託、クラウド利用社外へ出る場面の条件です。契約、端末制御、クラウド審査に反映します。
生成AI利用、ログ、保存期間、廃棄方法AI入力可否、証跡、保存・削除の条件です。新しいツール利用と終了時処理を管理します。
事故時の報告期限、例外承認者初動報告の期限と承認権限です。緊急時に迷わないようにします。
Section 07

情報資産の分類と取扱レベルを運用する役割分担

法務、情報セキュリティ、個人情報、事業部門、内部監査、経営の責任を分けます。

情報資産管理は単独部門では完結しません。取締役会、経営会議、CISO、法務、個人情報保護責任者、情報資産オーナー、システムオーナー、事業部門、人事、購買、内部監査、監査役が、それぞれの責任を持ちます。

次の役割一覧は、情報資産管理に関わる主要ロールを整理しています。誰が分類を決め、誰が権限を実装し、誰が監査するかを読み取ることで、責任の空白を減らせます。

役割主な責任
取締役会基本方針、重要リスク、投資、重大事故対応を監督します。
経営会議全社方針、優先順位、部門横断課題を決定します。
CISO又は情報セキュリティ責任者情報セキュリティ統制、技術基準、インシデント対応を統括します。
法務部契約、法令、紛争、営業秘密、事故時の法的判断を担当します。
個人情報保護責任者個人データの安全管理、本人対応、当局報告を統括します。
情報資産オーナー分類、利用目的、アクセス範囲、保存期間に責任を持ちます。
システムオーナーシステム上のアクセス制御、ログ、バックアップを管理します。
事業部門実際の分類、利用、外部共有、委託先管理を実施します。
人事部入退社、教育、誓約、懲戒、労務情報管理を担当します。
購買部委託先審査、契約プロセス、再委託管理を担当します。
内部監査規程遵守、証跡、是正状況を独立評価します。
監査役又は監査等委員内部統制の整備運用を監査します。

次のRACI例は、活動ごとに実行責任、最終責任、協議先、報告先を分けています。R、A、C、Iの配置を見ることで、「誰かがやっているはず」という空白を減らせます。

活動事業部門法務情報セキュリティ個人情報担当内部監査経営
分類基準の策定CRRCCA
個別情報の分類RCCCII
取扱マトリクス策定CRRCCA
契約条項反映CRCCII
アクセス権限設定CIRCII
教育RCRCIA
監査ICCCRA
重大事故対応RRRRCA

Rは実行責任、Aは最終責任、Cは協議先、Iは報告先です。役割分担を明文化すると、契約審査、委託先審査、クラウド利用申請、情報資産台帳、事故対応をつなぎやすくなります。

Section 08

契約・個人情報・営業秘密へ取扱レベルを接続する

NDA、業務委託、共同研究、個人データ、営業秘密、退職者対応を同じ分類体系で扱います。

NDAと業務委託契約への反映

NDAでは、秘密情報の定義、開示時の表示、口頭開示情報、複製、目的外利用、第三者開示、返還削除、残存情報、強制開示、差止め、損害賠償、秘密保持期間を確認します。分類と連動させるには、開示資料のラベル、データルームのアクセス権限、提供情報一覧、L3以上のダウンロード制限又は透かし、NDA上の秘密保持期間と社内保存期間の整合、返還又は削除証明を検討します。

委託先が情報資産を扱う場合は、取扱レベルを契約条項に落とすことが重要です。次の一覧は、業務委託契約に入れる主な事項を整理しています。委託データの分類、再委託、国外保存、事故通知、終了時処理を読み取ることで、委託先任せを避けられます。

契約項目確認する内容分類との関係
委託データ分類及び取扱レベル、利用目的、アクセス権限の限定です。L2以上では契約上の保護措置を明記します。
秘密保持・安全管理秘密保持義務、個人データを扱う場合の安全管理措置です。個人データタグ、契約秘密タグに接続します。
再委託・保存場所再委託条件、保存場所、国外移転、クラウド利用です。L3又はL4では事前審査を強めます。
技術対策暗号化、ログ、バックアップ、監査権又は報告義務です。取扱マトリクスのログ、暗号化と一致させます。
事故・終了時インシデント通知期限、返還、削除、証明、違反時責任です。事故時の報告期限と廃棄方法に接続します。

共同研究、共同開発、ライセンス

共同研究や共同開発では、背景知財、成果知財、ノウハウ、研究データ、失敗データ、発明届、出願前情報、共同発表、学会発表、秘密保持、輸出管理が絡みます。営業秘密候補や出願前発明は、研究者間のチャット、共有ドライブ、外部ストレージ、学会資料に混在しやすい情報です。

この領域では、契約別紙に共同研究データ区分表を置き、提供元、分類、利用目的、閲覧者、発表可否、持出し可否、保存期間、終了時処理を明確にすると実務に落ちやすくなります。

個人データ台帳との連携

個人データを扱う企業では、情報資産台帳と個人データ台帳を分ける場合でも、相互参照できるようにします。漏えい等発覚時に、対象人数、項目、本人通知の要否、委託先との役割分担、再発防止策を迅速に検討するためです。

次の項目一覧は、個人データ台帳に置く内容を整理しています。利用目的から漏えい時の影響までを一連で見ることで、安全管理措置と事故対応を分類体系へ接続できます。

項目群記載する内容実務上の意味
基本情報データ名称、利用目的、本人の属性、データ項目です。何のために誰の情報を扱うかを明確にします。
取得・保存要配慮個人情報の有無、取得方法、保存場所、管理責任者です。安全管理措置の前提を確認します。
利用・提供アクセス権限、委託先、第三者提供、共同利用、国外移転です。外部提供と委託先監督を整理します。
終了・事故保存期間、廃棄方法、漏えい時の影響です。本人通知、当局報告、再発防止を支えます。

営業秘密と退職者対応

営業秘密として保護したい情報は、営業秘密候補として指定し、秘密管理性を支える運用を整えます。製造条件、研究開発データ、失敗実験データ、ソースコード、アルゴリズム、顧客別価格条件、仕入条件、営業戦略、原価情報、非公開の品質データ、設計図面、技術ノウハウが典型例です。

次の証拠項目は、日常運用を後から説明するためのものです。どの記録が残っているかを見ることで、秘密として管理されている状態を客観化できているかを読み取れます。

証拠項目確認する内容期待される効果
秘密表示、アクセス権限一覧、権限付与承認記録秘密として扱う意思と閲覧者の限定です。従業員に秘密性を認識させます。
閲覧ログ、ダウンロードログ、持出し承認記録誰がいつ利用したか、社外持出しが承認されたかです。後日の調査と説明に使えます。
秘密保持誓約書、教育記録、退職時返還確認義務の周知と退職時の回収です。退職前後の持出しリスクを下げます。
委託先との秘密保持契約、監査記録、違反時対応記録外部提供先と是正状況です。委託先を含めた秘密管理を説明できます。

退職予定者への対応では、アクセス権限見直し、貸与端末返却、クラウド同期確認、私物端末利用確認、秘密保持義務の再確認、競合転職時の注意喚起、退職後の問い合わせ窓口を定めます。ただし、労働法、個人情報、プライバシー、職業選択の自由への配慮も必要です。過度な監視や不当な転職妨害を避け、就業規則、誓約書、アクセスログ、調査手続の適法性を確認します。

Section 09

クラウド・SaaS・生成AIで取扱レベルを守る

外部サービス利用では、分類、契約、技術設定、ログ、削除条件を合わせて確認します。

クラウド利用では、情報の分類に応じて利用可能なサービスを決めます。L1資料は一般的な社内クラウドで足りる場合がありますが、L3又はL4情報では、認証方式、暗号化、ログ、データ所在地、管理者権限、バックアップ、サポートアクセス、サブプロセッサ、契約終了時削除、監査報告書を確認します。

次のクラウド利用申請項目は、サービス選定時に取扱レベルを確認するためのものです。利用目的、保存国、ログ、削除方法まで見ることで、分類に合わないサービスを選ぶリスクを読み取れます。

項目群確認する内容分類との関係
サービス概要サービス名称、利用目的、契約主体です。何の業務に使うかを特定します。
扱う情報情報の分類、個人データの有無、営業秘密候補の有無です。L3又はL4では追加審査を検討します。
処理環境保存国又は処理国、アクセス者、認証方式、ログ取得です。国外閲覧、管理者権限、証跡の確認に使います。
終了・外部管理データ削除方法、再委託先、セキュリティ認証又は監査報告書、事故時の通知条件です。契約終了時と事故時の説明を支えます。

委託先と自社の分類体系が一致するとは限りません。次の対応表は、自社分類ごとに委託先へ求める最低取扱いを示します。分類名ではなく、実際に求める制限と証跡を読み合わせることが重要です。

自社分類委託先で求める最低取扱い
L1 社内情報委託業務関係者のみ閲覧し、外部再開示を禁止します。
L2 機密情報アクセス制御、秘密保持、承認なき再委託禁止を求めます。
L3 厳秘情報個別アクセス権、暗号化、ログ、事故時即時通知、削除証明を求めます。
L4 特別管理情報法令又は契約別紙に定める追加措置、国外処理制限、監査対応を求めます。

生成AI利用と入力禁止情報

生成AIは、文書要約、契約レビュー、議事録作成、コード生成、FAQ作成などで有用です。一方で、外部サービスに入力した情報が、サービス提供者のログ、学習、分析、保守、国外処理の対象となる可能性があります。分類と生成AI利用可否を明確に連動させることが重要です。

次の一覧は、承認された安全な環境を除き、外部生成AIへの入力を禁止又は厳格に制限する情報を整理しています。分類レベルだけでなく、補助タグや顧客指定も読み取ることが重要です。

L3・L4情報

L3厳秘情報、L4特別管理情報は、外部生成AIへの入力を禁止又は個別承認にします。

個人情報

個人データ、要配慮個人情報、特定個人情報は、入力禁止情報として明示します。

秘密・未公表情報

営業秘密候補、契約秘密、未公表決算、M&A、人事、訴訟、不祥事情報を含めます。

認証・技術情報

認証情報、APIキー、秘密鍵、非公開ソースコードを含めます。

顧客指定情報

顧客から入力禁止を求められた情報は、分類レベルにかかわらず禁止対象にします。

生成AI利用規程には、情報資産分類表を参照する条項を置きます。従業員向けには、入力してよい情報、入力してはいけない情報、判断に迷う場合の相談窓口を明示します。技術面では、ブラウザ制御、CASB、DLP、プロキシログ、承認済みAI環境の提供を検討します。

Section 10

情報資産の分類と取扱レベルを導入する手順

現状調査から監査改善まで、段階的に定着させます。

導入では、最初から完璧な台帳を作ろうとすると失敗しやすくなります。重要業務と重要情報から始め、法令・契約要求、分類体系、取扱マトリクス、システム反映、教育、監査へ進めます。

次の時系列は、導入の7ステップを示しています。上から順に進めることで、抽象的な規程作成にとどまらず、現場の保存先、権限、教育、監査まで接続する流れを読み取れます。

STEP 1

現状調査

顧客情報、従業員情報、契約書、財務情報、知財情報、研究開発情報、取締役会資料、M&A資料、重要システムのログ及びバックアップ、委託先に預けている情報を棚卸しします。

STEP 2

法令・契約要求の整理

個人情報、営業秘密、金融規制、医療規制、輸出管理、労務、税務、会計、知財、上場規則、契約上の削除義務を確認します。

STEP 3

分類体系の決定

自社の業務に合う分類レベルを決めます。名称は分かりやすく、数は多すぎない設計にします。

STEP 4

取扱マトリクスの作成

保存、閲覧、送信、印刷、持出し、クラウド、委託、生成AI、廃棄、ログを具体的に定めます。

STEP 5

システム反映

文書管理、ID管理、アクセス権限、メールセキュリティ、DLP、EDR、CASB、クラウド設定、ログ管理、バックアップ、チケット管理に反映します。

STEP 6

教育と定着

保存場所、メール送信、外部共有、印刷、生成AI、委託先提供、誤送信時の連絡先など、日常行動に直結する説明を行います。

STEP 7

監査と改善

台帳、アクセス権限、ログ、契約、教育、例外承認、廃棄記録を確認し、是正計画へつなげます。

中小企業での始め方

中小企業では、最初から大企業並みの制度を作る必要はありません。次の順序は、小さく始めて重要情報から統制を強化するためのものです。限られた人員でも、事故時の影響が大きい情報から優先することを読み取ってください。

順序取り組む内容狙い
1守るべき重要情報を10個程度に絞ります。対象を広げすぎず、着手しやすくします。
2個人情報、契約書、営業秘密候補、経理情報、システム認証情報を優先します。漏えい時の影響が大きい情報から守ります。
3共有フォルダを整理し、アクセス権限を限定します。現場の保存場所と権限を合わせます。
4外部送信と生成AI入力の禁止ルールを先に作ります。社外流出しやすい経路を抑えます。
5委託先に渡している情報を一覧化します。外部管理の範囲を把握します。
6退職時チェックリストを作ります。クラウド権限やローカル同期の残存を防ぎます。
7漏えい時の連絡先を明確にします。初動対応の遅れを減らします。

専門職の関与ポイント

専門職の関与は、分類体系を実務に合わせるために重要です。次の一覧は、各専門職がどの論点を確認するかを示しています。自社だけで判断しにくい領域を読み取り、必要に応じて専門家へ相談する設計にします。

専門職・担当確認する主な論点
弁護士、企業内弁護士、外部弁護士個人情報保護法、不正競争防止法、契約、労務、会社法、訴訟、事故対応、証拠保全を確認します。
個人情報保護・プライバシー担当個人データ台帳、安全管理措置、委託先監督、本人通知、プライバシーポリシー、越境移転、漏えい等報告を接続します。
情報セキュリティ担当、CISOID管理、アクセス制御、暗号化、ログ、DLP、クラウド設定、エンドポイント管理、バックアップ、監視、インシデント対応に反映します。
内部監査、監査役、公認会計士規程運用、権限設定、証跡、例外承認、委託先管理、是正状況を確認します。
弁理士、知財法務担当発明、ノウハウ、営業秘密、共同研究、出願前情報、ライセンス、ソースコード、研究データの分類を支援します。
社会保険労務士、人事労務担当就業規則、秘密保持誓約、懲戒、退職時手続、教育、私物端末、監視の適法性、健康情報の管理を支援します。
税理士、公認会計士、M&Aアドバイザー税務情報、決算情報、組織再編資料、財務DD資料、企業価値評価資料、未公表情報の取扱いを支援します。
Section 11

監査と成熟度で情報資産管理を改善する

チェックリスト、失敗パターン、成熟度、判断基準、台帳項目で継続改善します。

監査では、規程の有無だけでなく、定義、台帳、ラベル、アクセス、契約、個人情報、営業秘密、ログ、生成AI、教育、例外、廃棄、是正まで確認します。分類体系が現場で使われているかを継続的に見直すことが重要です。

次の監査チェックリストは、成熟度を確認するための項目を整理しています。各行の確認事項を見れば、規程、システム、契約、教育、証跡のどこに弱点があるか読み取れます。

項目確認事項
規程情報資産分類と取扱レベルが明文化されているかを確認します。
定義分類名と判断基準が明確かを確認します。
台帳重要情報の所在、責任者、分類が記録されているかを確認します。
ラベル電子、紙、メールで分類が識別できるかを確認します。
アクセス分類に応じた権限設定があるかを確認します。
契約委託先、共同研究先、クラウド契約に反映されているかを確認します。
個人情報個人データ台帳、安全管理措置、漏えい対応と連動しているかを確認します。
営業秘密秘密表示、アクセス制限、教育、退職時確認があるかを確認します。
ログL3以上のアクセス、変更、外部共有のログが確認できるかを確認します。
生成AI入力禁止情報と承認済み環境が明確かを確認します。
教育従業員が分類と取扱いを理解しているかを確認します。
例外例外承認が記録されているかを確認します。
廃棄保存期間満了後の削除、廃棄、証跡があるかを確認します。
監査定期点検と是正が実施されているかを確認します。

よくある失敗は、分類の考え方そのものよりも、運用や接続の弱さから生じます。次の一覧は典型的な失敗と対策です。どの失敗に近いかを見ることで、次に直すべき箇所を読み取れます。

すべてを機密にする

表示の意味が薄れます。分類定義を明確にし、L3以上を重点管理します。

分類だけ作って取扱いがない

送信、印刷、クラウド、委託、生成AI、廃棄のルールがなければ実務は変わりません。

法務とITが別々に動く

契約審査、委託先審査、クラウド利用申請、情報資産台帳を連携させます。

委託先に丸投げする

分類、再委託、国外保存、事故通知、削除を契約又は仕様書で定めます。

退職者管理が弱い

クラウドアクセス、ローカル同期、外部共有リンク、私用メール転送を点検します。

紙文書を忘れる

取締役会資料、人事資料、契約書、研究ノート、監査資料にも分類表示、保管、施錠、廃棄を適用します。

バックアップとログを分類しない

本番データと同じ機密情報や認証情報が含まれることがあるため、分類対象に含めます。

次の成熟度モデルは、情報資産管理の現在地と次の一手を示します。状態、典型的な課題、次に行うことを横並びで見ることで、改善ロードマップを作りやすくなります。

成熟度状態典型的な課題次の一手
レベル0ルールなし重要情報の所在が不明です。重要情報を棚卸しします。
レベル1基本方針のみ現場の行動に落ちていません。分類表と取扱表を作成します。
レベル2規程ありシステム権限と一致していません。アクセス制御、保存場所、ログを整備します。
レベル3運用あり委託先、クラウド、AIが未対応です。契約、クラウド審査、AI規程に接続します。
レベル4監査あり例外管理や証跡が弱い状態です。例外承認、定期監査、是正管理を強めます。
レベル5継続改善事業変化への追随が課題です。M&A、新規事業、海外展開時に再評価します。

情報資産を分類する際は、次の質問に答えると判断しやすくなります。質問は漏えい、改ざん、停止、法令、契約、外部提供、生成AI、保存期間、事故報告を横断しており、判断の抜け漏れを確認するために重要です。

観点確認する質問
漏えい社外に漏れたら、誰にどのような損害が生じるかを確認します。
改ざん改ざんされたら、業務、財務、品質、法令遵守に影響するかを確認します。
停止使えなくなったら、どの業務が何時間又は何日止まるかを確認します。
個人情報個人データ、要配慮個人情報、特定個人情報を含むかを確認します。
営業秘密営業秘密として保護したい情報かを確認します。
契約義務契約上、秘密保持又は削除義務があるかを確認します。
説明責任規制当局、裁判所、監査法人、取引所、顧客に説明が必要な情報かを確認します。
外部提供取引先又は委託先に渡す必要があるかを確認します。
国外閲覧海外から閲覧される可能性があるかを確認します。
外部ツール生成AIや外部ツールに入力される可能性があるかを確認します。
保存期間保存期間又は廃棄期限があるかを確認します。
事故報告事故時に何時間以内に誰へ報告するかを確認します。

情報資産台帳は、分類と取扱レベルを実際に運用するための基礎資料です。次の項目を置くと、所在、責任者、分類、外部提供、保存期間、事故時連絡先を一体で確認できます。

項目説明
資産ID一意の管理番号です。
情報資産名顧客契約書、給与データ、研究データなどの名称です。
業務プロセスどの業務で利用するかを示します。
情報資産オーナー分類と利用目的の責任者です。
システム又は保存場所保存先、SaaS、共有フォルダ等です。
分類レベルL0からL4までの分類です。
補助タグ個人データ、営業秘密候補等です。
主な利用者部署、役職、委託先です。
外部提供先委託先、共同研究先等です。
法令、契約要求適用される義務です。
機密性影響低、中、高などで記録します。
完全性影響低、中、高などで記録します。
可用性影響低、中、高などで記録します。
保存期間法定又は業務上の期間です。
廃棄方法削除、溶解、証明取得等です。
事故時連絡先初動報告先です。
最終見直し日分類を見直した日付です。
FAQ

情報資産の分類と取扱レベルのFAQ

よくある疑問を、一般的な制度・実務上の考え方として整理します。

Q1. 「社外秘」と「機密」はどう違いますか。

一般的には、名称自体に普遍的な定義はなく、社内規程で違いを明確にすることが重要とされています。社外秘は社内利用に限定される情報、機密は漏えい時の影響がより大きくアクセス制限が必要な情報として使われることがあります。ただし、企業ごとの規程、契約、情報の性質によって結論は変わる可能性があります。具体的な定義は、社内規程と実際の運用を確認したうえで専門家へ相談する必要があります。

Q2. 分類は誰が決めるべきですか。

一般的には、作成者又は取得者が初期分類を行い、情報資産オーナーが責任を負う設計が現実的とされています。法令、契約、個人情報、営業秘密に関わる場合は、法務、個人情報担当、知財、情報セキュリティが助言する体制が考えられます。ただし、組織規模、業種、システム環境、委託先利用状況で設計は変わります。具体的な権限設計は、社内体制を整理したうえで専門家へ相談する必要があります。

Q3. 既存ファイルすべてを分類し直す必要がありますか。

一般的には、すべてを一度に分類し直すより、重要情報から段階的に行う方法が採られます。個人データ、営業秘密候補、契約書、財務情報、M&A資料、認証情報、重要システムのバックアップが優先対象になりやすいです。ただし、保有情報の量、漏えいリスク、契約上の義務、規制の有無によって優先順位は変わります。具体的な進め方は、棚卸し結果を確認したうえで専門家へ相談する必要があります。

Q4. 分類ラベルを付ければ営業秘密になりますか。

一般的には、ラベルは秘密管理性を支える有力な要素ですが、それだけでは足りないとされています。アクセス制限、秘密保持義務、教育、持出し管理、退職時対応、ログ、監査などを組み合わせ、秘密として管理されている状態を客観化する必要があります。ただし、情報の内容、利用実態、社内外への共有状況、証拠関係によって評価は変わります。具体的な見通しは、資料と運用状況を整理したうえで専門家へ相談する必要があります。

Q5. クラウドに保存している情報も分類対象ですか。

一般的には、クラウド上の情報、バックアップ、ログ、メタデータ、共有リンク、外部ユーザー権限も分類と取扱レベルの対象に含める運用が望まれます。クラウドでは保存国、サブプロセッサ、管理者権限、削除方法、ログ取得可否も問題になります。ただし、サービスの契約条件、技術仕様、扱う情報の分類によって確認事項は変わります。具体的な利用可否は、契約とセキュリティ資料を確認したうえで専門家へ相談する必要があります。

Q6. 生成AIへの入力可否はどこで決めるべきですか。

一般的には、情報資産分類規程又は生成AI利用規程で、分類レベル及び補助タグに応じて決める方法が考えられます。外部AIサービスへの入力は、情報の外部提供又は外部処理に近いリスクを持つため、L3以上、個人データ、営業秘密候補、契約秘密は原則禁止又は承認制とする設計が多く見られます。ただし、利用するAI環境、契約条件、学習利用の有無、ログ保存、国外処理によって判断は変わります。具体的なルールは、技術条件と契約条件を確認したうえで専門家へ相談する必要があります。

Q7. 分類が業務効率を下げませんか。

一般的には、過剰な分類は業務効率を下げる可能性があります。そのため、分類レベルは多くしすぎず、L3以上を重点管理し、L1やL2では業務に必要な共有を妨げない設計が重要とされています。ただし、規制業種、顧客要求、海外移転、委託先利用、事故経験によって必要な統制の強さは変わります。具体的なバランスは、業務プロセスとリスクを整理したうえで専門家へ相談する必要があります。

Conclusion

情報資産の分類と取扱レベルのまとめ

情報管理を人の注意だけに依存させず、説明可能な統制へ移行します。

情報資産の分類と取扱レベルの規程化は、企業の情報管理を「人の注意」に依存する状態から、「定義、権限、契約、システム、教育、監査、証跡」によって説明可能な状態へ移行させる取り組みです。

企業法務の観点では、個人情報保護法上の安全管理措置、営業秘密の秘密管理性、契約上の秘密保持義務、取締役の内部統制、委託先管理、事故時の説明責任を支えます。情報セキュリティの観点では、機密性、完全性、可用性に基づくリスク対応を可能にします。内部監査の観点では、規程、運用、証跡、是正を確認できるようにします。経営の観点では、守るべき情報と投資すべき対策の優先順位を明確にします。

次の重要ポイントは、規程化を形式で終わらせないための確認事項です。台帳、分類、取扱マトリクス、契約、システム、教育、監査、事故対応のつながりを読み取ってください。

成功条件は、分類を運用へ接続することです

情報資産台帳を整備し、分類基準を定義し、取扱マトリクスを作り、契約とシステムに反映し、教育し、監査し、事故時に機能するよう改善することが、現代企業の基盤的ガバナンスになります。

Reference

参考情報源

公的機関、標準化機関、制度解説を中心に整理しています。

日本語の公的・制度資料

  • IPA「中小企業の情報セキュリティ対策ガイドライン 第4.0版」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン 通則編」安全管理措置
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン 通則編」漏えい等事案が発覚した場合に講ずべき措置
  • 経済産業省「営業秘密管理指針」
  • e-Gov法令検索「会社法施行規則」
  • 金融庁「財務報告に係る内部統制の評価及び監査の基準並びに実施基準の改訂について」
  • 経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」
  • 情報マネジメントシステム認定センター「情報セキュリティマネジメントシステム ISMS 適合性評価制度の概要」
  • 経済産業省「情報セキュリティ管理基準」
  • 国家サイバー統括室「政府機関等のサイバーセキュリティ対策のための統一基準群」

国際標準・海外資料

  • NIST FIPS 199「Standards for Security Categorization of Federal Information and Information Systems」
  • NIST SP 800-60 Vol. 1 Rev. 1「Guide for Mapping Types of Information and Information Systems to Security Categories」