情報セキュリティ対策の考え方(2) 情報のオーナ

　こんにちは、丸山満彦です。セキュリティ対策を行う場合、機密性の観点から、極秘、丸秘、社外秘と格付けすることが多いですね。機密性の観点以外にも完全性の観点や可用性の観点から情報を格付けする必要がありますね。格付けは誰がするべきか・・・・

　
　「情報のことは情報システム部門の人に聞け・・・」とか「外部の専門家に格付けしてもらおう・・・」、というのは誤りですね。情報の格付けは、「ビジネスにおける意思決定のひとつ」です。自社で作成した情報であれば、情報のオーナが決めるべきです。情報のオーナとは、情報の所有権を持っている人・・・という意味ではありません。

　情報のオーナとは、
・誰をユーザと認めるか
・ユーザに対して、読込み、書込み、更新、複写といった処理のどこまでを認めるか
・その処理をどのような環境下で認めるか（例えば、通常の勤務時間帯のみ、指定されたソフトウェアのみなど）
・利用するための条件は何か（例えば、特定の部門に所属する人に限定する、書面による事前承認を求めるなど）
を決めることができる人のことです。

　例えば、販売部門の顧客データベースの情報について、情報システム部門の人や、外部の専門家の人は、情報について、このような決定をすることができないのは、当然ですよね・・・。

　情報のオーナという概念は、情報セキュリティ対策を考える場合、非常に重要となってきます。