「情報資産管理台帳を整備してください」と言われたものの、何から手をつければいいか迷っていませんか?
ISMSやPマークの審査対応で台帳の整備を求められたり、「とりあえずExcelで作ったけど、気づいたら内容が古くなっていた…」という経験をお持ちの方も多いと思います。
この記事では、情報資産管理台帳の基本的な意味から、記載すべき15の項目、実際の作成ステップまでをわかりやすく解説します。
ExcelでのIT資産管理が限界を迎えやすい理由と、その解決策もあわせて紹介しますので、ぜひ最後まで読んでみてください。
目次
情報資産管理台帳とは?定義と作成目的をわかりやすく解説
そもそも「情報資産」とは何か?
「情報資産」と聞くと、パソコンの中のデータをイメージする方が多いかもしれません。
でも実際には、もっと広い範囲を指しています。
たとえば、以下のものがすべて「情報資産」に含まれます。
- デジタルデータ:顧客データベース、財務情報、人事情報、設計図、議事録など
- 紙の書類:契約書、申請書、印刷した顧客リストなど
- 機器・ハードウェア:PC、スマートフォン、USBメモリ、サーバーなど
- ソフトウェア・クラウドサービス:業務アプリ、SaaS、ライセンス類
- 人的資産:特定業務のノウハウや技術を持つ人材(※実務上は、それらのノウハウが明文化された「業務マニュアル」などのドキュメントを資産として台帳に登録・管理するのが一般的です)
機密情報が印刷された一枚の紙も、デジタルファイルと同じくらい大切に守るべき資産です。「デジタルかどうか」ではなく、「会社にとって価値があるかどうか」で判断するのがポイントです。
情報資産管理台帳の定義と果たす役割
情報資産管理台帳とは、会社が持つすべての情報資産を一覧化し、「どこに何があって、誰が管理していて、どのくらい重要か」をまとめた文書(またはシステム)のことです。
わかりやすくいえば、自社の情報資産を把握するための「地図」のようなものです。
地図がないと、どこに何があるか・どのルートにリスクがあるかが見えませんよね。
台帳がないと、情報漏えいや紛失のリスクがどこに潜んでいるかが把握できません。
台帳を整備することで、こんなことができるようになります。
- 散在する情報資産を一元管理して、「何がどこにあるか」を組織全体で共有できる
- リスクの高い資産を特定して、優先的にセキュリティ対策を打てる
- 管理されていないツールや機器(セキュリティホールになりやすい脆弱性の温床)を発見できる
- インシデントが起きたとき、影響範囲をすぐに把握して迅速に動ける
【関連記事】:IT資産管理とは?必要性やよくある問題、効率的な管理方法を解説
ISMS(ISO27001)やPマークの取得・運用で必須とされる理由
情報資産管理台帳の整備は、代表的な情報セキュリティ規格で明確に求められています。
ISMS(ISO27001)の場合
ISO27001では、リスクアセスメントの実施(箇条6.1.2)や、管理策(附属書A.5.9 資産の目録)において、自社の情報資産を特定し、目録(台帳)として維持することが明確に求められています。
つまり台帳はISMSのリスク管理における土台であり、認証取得・維持の審査でも、審査員が必ずチェックする書類のひとつです。
Pマーク(JIS Q 15001)の場合
Pマークでは、取り扱う個人情報の種類・取得方法・利用目的・保管場所などを一覧化した「個人情報管理台帳」の整備が要件として定められています。
これは情報資産管理台帳の一部として管理されることが多く、顧客情報や人事情報を扱う企業にとっては特に重要です。
個人情報保護法・IPAのガイドラインでも推奨
個人情報保護法や情報処理推進機構(IPA)のガイドラインでも、情報資産の特定と管理は情報セキュリティ対策の基本として位置づけられています。
認証取得を目指していない企業でも、法令遵守の観点から台帳整備は避けて通れない取り組みです。
情報資産管理台帳に必ず記載すべき15の項目一覧【Excel例】
台帳に含める項目は企業によって異なりますが、ISMSやPマークに対応するなら最低限押さえておきたい15項目があります。「資産の特定」「重要度・リスク評価」「ライフサイクル・運用ルール」の3グループに分けて見ていきましょう。
資産の特定に関する基本項目(5項目)
台帳の土台となる5項目です。
「どの資産を、誰が、どこで管理しているか」を明確にするために欠かせません。
| 項目名 | 記載例 |
|---|---|
| ①通番(ID) | A-001、B-002など、資産を一意に識別する番号 |
| ②資産名 | 「顧客マスタDB」「採用応募者リスト(Excel)」など具体的な名称 |
| ③管理部署 | 営業部、人事部、情報システム部など、資産を主管する部署名 |
| ④管理責任者 | 当該資産の保護に責任を持つ担当者名(役職も書いておくと◎) |
| ⑤保管場所 | ファイルサーバーのパス、クラウドサービス名(例:Google Drive、Salesforce)、物理的な保管場所など |
保管場所は「社内サーバー」「クラウド」などのざっくりした分類だけでは不十分です。具体的なサービス名やフォルダパスまで書いておかないと、インシデントが起きたときの対応がどうしても遅れてしまいます。
重要度・リスク評価に関する項目(4項目)
それぞれの資産がどれくらい重要で、どんなリスクにさらされているかを評価するための4項目です。
ISO27001でも採用されているCIA(機密性・完全性・可用性)の3軸を使って評価します。
| 項目名 | 記載例 |
|---|---|
| ⑥機密性(Confidentiality)スコア | 1(公開情報)〜3(極秘情報)などのスコア |
| ⑦完全性(Integrity)スコア | 1(改ざんされても影響小)〜3(改ざんで重大な損害)などのスコア |
| ⑧可用性(Availability)スコア | 1(使えなくても業務継続可)〜3(使えないと業務停止)などのスコア |
| ⑨資産の格付け(重要度) | 上記3スコアの合計をもとにした総合評価(例:高・中・低) |
CIAスコアは3段階(1〜3)か5段階(1〜5)で設定するのが一般的です。
担当者によって評価がバラつかないよう、社内で基準を統一しておくことが大切です。
ライフサイクル・運用ルールに関する項目(6項目)
情報資産には「作成→利用→保管→廃棄」というライフサイクルがあります。
各段階のルールを台帳に明記しておくと、担当者が変わっても適切な取り扱いを引き継げます。
| 項目名 | 記載例 |
|---|---|
| ⑩媒体種別 | 電子データ、紙、ハードウェアなど(複数あればすべて記載) |
| ⑪利用範囲 | 「社内限定」「特定部署のみ」「役員のみ」など具体的に |
| ⑫保管期間 | 「契約終了後5年」「退職後3年」など具体的な年数で(「当面の間」はNG) |
| ⑬廃棄方法 | 「シュレッダー処理」「専門業者による溶解」「データ消去ソフトで上書き削除」など |
| ⑭個人情報の有無 | 有(種別:氏名・連絡先・生年月日など)/無 |
| ⑮最終更新日 | 記載内容を最後に確認・更新した日付 |
特に「保管期間」と「廃棄方法」は曖昧な表現を避けましょう。「適宜削除」「不要になったら処分」といった書き方では、審査で「管理されていない」と判断されることがあります。個人情報保護法の観点からも、保管期間の明確化はマストです。
情報資産管理台帳の作り方・リスク評価の3ステップ
台帳作成は「思いつくものを全部書き出す」というやり方だと、必ず抜け漏れが出ます。業務プロセスを起点にした3つのステップで進めると、網羅性が高くて実用的な台帳が作れます。
STEP1:業務プロセス起点での情報資産の洗い出し
最もよくある失敗が「記憶を頼りに書き出す」アプローチです。これだと、各部門が独自に管理しているファイルや、現場が勝手に導入しているクラウドサービス(シャドーIT)が台帳から漏れてしまいます。
抜け漏れを防ぐいちばんの方法は、各部門の「業務フロー」に沿ったヒアリングです。
実践的な洗い出し手順
- 業務フロー図を用意する:対象部門の主な業務(例:営業部なら「リード獲得→商談→契約→契約管理」)をフローにまとめる
- フローの各ステップで扱う情報を洗い出す:「商談のときに使う資料はどこに保存している?」「顧客情報のやり取りはどうやってしている?」など、具体的な質問で掘り下げる
- 情報が保存されているすべての場所を確認する:PCのローカル、共有サーバー、クラウドストレージ、CRM、メール、紙の書類棚…など、使っているものを全部挙げてもらう
- 利用中のSaaSを網羅する:Slack、Google Workspace、Zoom、Dropboxなど、部門ごとに使っているサービスをリストアップする
ヒアリングは部門責任者だけでなく、実際の担当者にも行いましょう。
管理職が知らないツールや保存場所が、担当者レベルでは普通に使われているケースはよくあります。
STEP2:機密性・完全性・可用性(CIA)によるリスク評価
洗い出した情報資産に対して、CIAの3軸でリスク評価を行います。
この評価がセキュリティ対策の優先順位を決める重要な作業です。
【関連記事】:情報セキュリティリスクとは?リスクの種類と発生原因、対策方法を紹介
【関連記事】:情報セキュリティとは?3大要素やリスク、実施すべき対策を紹介
CIA評価の基準例(3段階)
機密性(Confidentiality):情報が外部に漏れたときの影響の大きさ
| スコア | 基準の目安 |
|---|---|
| 3(高) | 漏えいで法的責任・重大な信用失墜が起きる(個人情報、機密情報、知的財産など) |
| 2(中) | 漏えいで業務上の不利益や社内混乱が起きる(社内規程、未公開の人事情報など) |
| 1(低) | 漏えいしても実害がほぼない(公開済みの商品資料、Webサイト掲載情報など) |
完全性(Integrity):情報が改ざん・破損したときの業務への影響
| スコア | 基準の目安 |
|---|---|
| 3(高) | 改ざん・誤りで重大な業務障害や法的問題が発生する(財務情報、契約書など) |
| 2(中) | 改ざん・誤りで業務効率が落ちたり再作業が発生する(社内マニュアル、設計書など) |
| 1(低) | 改ざん・誤りがあっても迅速に修正でき影響が小さい(社内連絡メモなど) |
可用性(Availability):情報・システムが使えなくなったときの業務への影響
| スコア | 基準の目安 |
|---|---|
| 3(高) | 使えないと業務が完全に止まる(基幹システム、受発注管理DBなど) |
| 2(中) | 使えないと業務の一部が滞るが代替手段がある(社内ポータルなど) |
| 1(低) | 使えなくても業務への影響がほぼない(過去のアーカイブデータなど) |
重要度(格付け)の計算方法
重要度スコア = 機密性 + 完全性 + 可用性
7〜9点 → 【高】最優先でセキュリティ対策が必要
4〜6点 → 【中】標準的な保護措置を実施
3点 → 【低】基本的な管理で対応可
評価は担当者だけで行わず、情報システム部門や経営層も交えたレビューの場を設けると、評価のブレを防げます。
STEP3:台帳への入力と初版のレビュー・承認
各部門から集めたデータとCIA評価の結果を、台帳フォーマットに統合していく最終ステップです。
台帳まとめの流れ
- データを一か所に集める:各部門から集めた情報を一つの台帳に統合します。
同じ資産が複数部門から挙がることもあるので、名寄せや重複整理を丁寧に - 漏れがないか追加確認する:ITインフラ担当やネットワーク担当にも確認して、見落としがある資産がないかチェック
- 表記を統一する:資産名の付け方・スコアの書き方・保管場所の表記など、誰が見ても同じ読み方ができるよう統一する
- セキュリティ責任者がレビューする:情報システム部門の責任者(またはCISO)が全体を確認し、評価のバラつきや大きな漏れがないかチェック
- 経営層・情報セキュリティ委員会が承認する:ISMSやPマークの審査では「経営層の関与」が必要です。
最終承認は経営層または情報セキュリティ委員会で行いましょう - 初版を確定して社内周知する:承認した台帳を「初版」として確定し、各部門に共有。あわせて「次回の棚卸し時期」と「更新のルール」も決めておきます
初版が完成したら終わり、ではありません。
台帳は常に最新の状態に保つことが大切です。
「年1回の定期棚卸し」に加えて、「新しいSaaSを導入したとき」「組織変更があったとき」など、更新すべきタイミングをあらかじめ決めておくと運用が長続きします。
エクセル管理は限界?情報資産管理台帳の運用が形骸化する原因と対策
台帳を作ったはいいものの、「数か月後には内容が古くなっていた」「審査前に慌てて更新している」という経験はありませんか?Excel管理の台帳が形骸化しやすい理由には、いくつかの共通パターンがあります。
台帳の更新が止まり「形骸化」してしまう3つの原因
原因①:年次棚卸しの作業量が多すぎる
全部門に対してヒアリングや確認作業を行う「棚卸し」は、準備から取りまとめまで膨大な時間がかかります。
日々の業務に追われる情シス担当者にとって、他の緊急タスクに押されてつい後回しになりがちです。
気づけば「去年と同じでいいか」という惰性になってしまうのはよくある話です。
原因②:兼務情シスのリソースが足りない
中小〜中堅企業では、情報システム担当者が1〜2名で全社のIT管理を担っているケースが珍しくありません。
ヘルプデスク対応・社内インフラ管理・ベンダー折衝などをこなしながら、台帳の維持管理まで手が回らないというのが実情です。
「やるべきとはわかっているけど、時間がない」という状況が常態化してしまいます。
原因③:シャドーITの把握が事実上できない
現場の社員が便利だからと個人判断で導入したクラウドサービス(シャドーIT)は、情シスが気づかないまま情報資産として蓄積されていきます。
部門ごとに使っているチャットツール・ファイル共有サービス・AIツールなどを完全に把握することは、Excel管理では非常に難しいのが現実です。
この「見えない資産」の存在が、台帳の正確性をじわじわと損なわせていきます。
エクセル管理から脱却して運用を継続させる対策
形骸化を防ぐには、「更新ルールの整備」と「仕組みの見直し」を同時に進めることが大切です。
対策①:更新タイミングをルールとして決めておく
「年1回の定期棚卸し」だけでなく、以下のようなトリガーベースの更新ルールを情報セキュリティポリシーに明記しておきましょう。
- 新しいクラウドサービス・SaaSを導入したとき(即時更新)
- 組織変更・担当者変更があったとき(変更後1週間以内)
- 業務プロセスが大きく変わったとき
- セキュリティインシデントが発生したとき
ルールを作るだけでなく、各部門の担当者が「台帳の更新は自分たちの仕事でもある」と認識できるよう、社内への周知や教育もあわせて行いましょう。
対策②:IT資産管理ツールで「手動運用の限界」を突破する
Excel管理の最大の問題は、情報収集から台帳更新まですべてが「人の手」に頼っている点です。
この限界を乗り越えるには、社内のIT資産やSaaSアカウントを自動で収集・管理できるIT資産管理ツールや自動収集システムの導入が効果的です。
こういった機能を持つツールが役に立ちます。
- エンドポイント管理:PC・スマートフォン・タブレットの棚卸しを自動化(MDM/UEM)
- SaaS利用状況の可視化:社内で使われているクラウドサービスを自動検出してシャドーITを把握
- アカウント管理の一元化:退職者や異動者のアカウントを台帳と連動して管理
- 定期レポートの自動生成:手動でExcelを更新しなくても、最新情報が自動で反映される
IT資産管理ツールを活用することで、情シス担当者の作業負荷を大幅に減らしながら、台帳の正確性と鮮度を保てるようになります。
ISMSやPマークの継続審査でも「台帳が常に最新であること」は評価ポイントなので、ツール導入の費用対効果は十分に高いといえます。
情報資産の自動収集から台帳作成まで効率化するなら「情シス君」
社内のIT資産やアカウントを自動で棚卸し・可視化
「情シス君」は、情報システム担当者の業務をまるごとサポートするITアウトソーシングサービスです。
Excel管理の一番の弱点である「手動での洗い出しと更新」を、大幅に効率化できます。
社内のPC・スマートフォンなどのエンドポイントや、利用中のクラウドサービス・SaaSアカウントを自動で棚卸しして可視化。
「何がどこにあるか」を手動で調べ回る手間がなくなるため、忙しい情シス担当者でも台帳を最新の状態に保ちやすくなります。
また、情シスが把握しきれていないシャドーITも自動検出機能で可視化できるので、台帳の網羅性を高めることができます。
自社のセキュリティ基準に合わせたスマートな台帳管理なら「情シス君」におまかせ
【関連記事】:情報セキュリティのアウトソーシングとは?委託するメリットを解説
ISMSやPマークを取得しているのに「台帳の内容が実態と合っていない」という状態は、審査リスクだけでなく実際のセキュリティリスクにもつながります。
「情シス君」では、台帳フォーマットの整備から運用ルールの策定、定期的な棚卸し支援まで、情報資産管理に関わる業務をトータルでサポートします。
- ISMSやPマークの認証維持に必要な台帳の要件を満たした運用設計
- リスク評価(CIAスコア)の基準策定と評価作業のサポート
- 情報資産の自動収集・可視化による工数削減
- 棚卸し作業の定期実施と台帳の鮮度維持
「台帳はあるけど形骸化している」「ISMS審査のたびに慌てている」「情シスが1人で手が回らない」という方は、ぜひ一度「情シス君」への無料相談をご検討ください。
