情報分類とは

データ分類で最善の結果を得るためには、個々の単位にラベルを付け、膨大な情報の中でも分かりやすくし、複雑さを抑えて追跡できるようにします。これにより、情報の重複が防がれ、保存やバックアップのコストが削減され、検索速度も向上します。情報の分類は一見複雑に思えるかもしれませんが、どの企業もその仕組みを取り入れるべき基本的な考え方です。

21世紀のサイバー脅威から企業を守るため、情報をどう分類するかを理解することは必須です。2019年には約5,000件の情報流出が発生し、80億件の情報が失われました。この数字が、情報を整理しておくことの重要性を物語っています。情報を正しく評価し守るためには、データを単位に分類する必要があります。

情報の分類は、単にどのような情報があるかを把握するだけでなく、その取り扱い方にも関わります。例えば、一般的な金融機関では、住宅ローン申請に伴う給与情報、職業、現住所、その他基本的なクレジット情報など、さまざまな個人情報（NPPI）を扱います。これらの情報が不適切な手に渡ることは許されません。情報に施す保護の方法は、採用する分類方式によって決まります。

各企業は、どの情報を認識し分類しているかを明確に伝える必要があります。保護が必要な情報は、一般的に機密性の高い、個人用、公共用、または安全な情報といった段階に分けられます。採用する分類は企業ごとに異なりますが、従来から使われている一般的なものもあります。これらの分類が何を意味し、どのような情報が含まれているかを理解することは、情報の管理方針を決定する上で極めて重要です。

分類された情報は、定められたポリシーと管理基準に従って扱う必要があります。たとえば、NPPIを含む情報が確認された場合、送信時に暗号化するなど、情報漏洩を防止する対策が求められる場合があります。

‍

情報の機密レベル

情報は、定められたポリシーに基づき、その機密性や脆弱性に応じて分類されます。高・中・低のレベルに分けられるのです。

高機密情報: この情報は、不正な行為や操作で消去・漏洩した場合、企業や担当者に深刻な影響を及ぼす可能性があります。内部運営に関する情報が含まれていることもあります。

中機密情報: この情報は機密とされますが、企業内部のみで利用されることが前提です。外部に流出しても、企業内の関係者に大きな影響を及ぼすことは少ないとされています。たとえば、個人情報を含まないメールや報告書などが該当します。

低機密情報: これは非機密の情報で、一般公開が想定されています。たとえば、公開サイトでダウンロード可能な資料などです。

‍

企業における情報分類の要件とは

どの企業にも、情報の取り扱いや管理方法に関するポリシーや要件が存在します。これらの要件は、対象となる情報の種類によって異なる場合があります。たとえば、情報は常に暗号化して保管するべきか、通信時のみ暗号化するか、または全社員に全面的に公開するべきではなく、一部の情報だけを隠すべきかといった判断が求められます。

また、特定の政府や州の法律により、保存できる情報の種類やその取り扱い方法が規定されていることがあります。これらの法律とその意味を正しく理解し、準拠することが重要です。不適切な情報分類や管理により情報流出が発生した場合、企業は制裁を受けるリスクがあります。たとえば、法的に保護された情報が漏洩した場合などです。

情報分類は、コンプライアンスやセキュリティを確保する上でも不可欠です。セキュリティ要件は、現状の情報そのものではなく、収集された情報の利用方法に焦点を当てています。たとえば、顧客リストから次の住宅購入が予測される場合、その情報の利用方法や処理方法を工夫することで、顧客の利益を守ることが可能です。

新たな情報分類方式を検討する際には、運用とセキュリティの両面を考慮する必要があります。

情報分類が必要な理由

情報分類は時代とともに進化してきました。様々な方法や技術が開発され、情報分類の運用がより効果的になっています。進化した対策が導入されたことで、情報分類の活用範囲も広がり、今日では多くの目的やアプリで、特に情報セキュリティの向上に寄与しています。

しかし、情報分類には以下のようなさまざまな理由があります。

• 情報への簡単なアクセス
• 情報規制への準拠
• その他のビジネスや個人の目標の達成

場合によっては、情報が一定期間内にアクセス・検索できる必要があるため、プロセス遵守の一環として情報分類を行う企業もあります。セキュリティ目的での情報分類は、情報の取得、送信、複製に対して迅速に対応するための効果的な手段です。

適切な情報分類は、社員が情報をどのように扱うかに一定の管理を導入する上で有効です。厳密な階層管理にはいくつかの欠点があるため、無駄なリソースを避けるために、どのような管理方法を採用するか検討する必要があります。

例えば、デジタルフライヤーの場合、誰でも閲覧できる一方で改ざんは認められません。このような文書は、限られた人だけが閲覧できる財務資料とは異なり、異なる管理レベルが求められます。情報分類に合致した適切な管理を実施することが重要です。

収集した情報を分類することで、業務プロセスが迅速かつ効率的になります。社員は不要な管理作業に煩わされず、重要な点に集中できるのです。

‍

情報分類の種類

情報分類は、データを個々の単位にまとめることに重点を置きます。業界標準とされる情報分類の方法は、大きく3種類あります。

内容ベースの分類: 各情報単位が持つ内容に応じて分類する方法です。一般的に、情報の内容によって保護が必要なものとそうでないものに分かれます。顧客や社員の個人情報を含むものは保護されるべきですが、公共調査の分析などは公開しても構いません。

環境ベースの分類: これは、情報の利用目的、用途、場所、または発信元に基づいて分類する方法です。異なる基準を用いて、機密情報と通常情報を区別します。

ユーザーベースの分類: ユーザーに応じたルールを用いて情報をグループ化する方法です。結果として、特定の社員には閲覧可能で、他の社員には制限される情報単位が生じます。

いずれの方法にもそれぞれメリットとデメリットがあり、最適な方法は一概には決められません。採用するフレームワークは、企業の規模、社員の能力、そして管理する情報の種類に依存します。

情報分類の事例

情報分類が企業を大きな被害から守った実例を見てみましょう。例えば、デジタルフライヤーは誰でも閲覧できるが改ざんを許さない文書です。一方、限られた人だけが閲覧できる信用資料では、求められる管理レベルが異なります。情報分類に従った適切な管理が必要です。

収集した情報をグループごとに整理することで、業務は迅速かつ効率的になります。社員は不要な管理に煩わされず、重要な点に専念できるのです。

‍

情報分類プロセスの解説

情報分類は有用ですが、そのプロセスは複雑で困難な作業となることもあります。多数の情報単位を管理しなければならない場合も考えられます。全体のプロセスを自動化するシステムを利用することも可能ですが、企業は各自で情報分類の基準やポリシーを設定します。目的を明確にし、担当範囲を定め、既存の基準を維持するための体制を整え、情報の分類やタグ付けに合わせたセキュリティポリシーを設定することが肝要です。情報分類プロセスが正確に完了すると、企業内で情報の保存、送信、検索が円滑に行えるようになります。

方針や手順は、現行のセキュリティ対策や各情報単位に合わせ、明確に定義されなければなりません。また、全員が理解しやすいよう具体的に示す必要があります。こうすることで、一貫性を維持し、違反があれば迅速に報告できる体制が整えられます。たとえば、各クラスにはその内容、セキュリティルール、情報の復旧、送信、保存、リスク対策に関するガイドラインが含まれるべきです。

情報分類ポリシーの作成手順

以下では、企業向けに最適な情報分類ポリシーを作成する手順を示します。

現状の調査

企業が現状どのように情報を管理しているかを調査してください。現在、情報はどこに保存されているのか？どのポリシーや手順が情報分類に影響を与えているのか？これらの回答は、改善すべき点を明確にする手助けとなります。また、管理されている情報の種類も把握できるでしょう。

情報分類戦略の策定

一般的な情報分類戦略は、以下の点に答える必要があります。

• 情報の発生源は何か、または誰か？
• 情報の取り扱いを担当する部署はどこか？
• 情報を守るのは誰か？
• 情報単位を維持するため、どのような役割が採用されているか？
• 情報は何らかの規約やコンプライアンスに基づいて保護されており、侵害があった場合の影響は何か？

情報分類は、情報の所有者、IT専門家、または情報管理担当者が行うことがあります。

情報戦略は、情報分類プロセス全体において極めて重要です。しっかりとした計画がなければ、これらのポリシーに準拠し続けることは困難です。まずは完璧な計画を策定することが第一歩です。

情報の分類及び整理

戦略が策定できたら、次は情報を適切に整理する段階です。選定した基準や要件に基づいて、最適なグループ分けの方法を検討してください。

情報を単に個別に分けるだけでなく、分類することで多くのメリットが得られます。企業が日々扱っている膨大な情報の整理に大いに役立ちます。

情報分類により、企業が保有する情報の全体像、利用目的、アクセス方法、そして適切な対策が明確になります。これにより、情報セキュリティとコンプライアンスの向上を支える基盤が整えられます。