// シス担のミカタ
コンプライアンス

データ分類 でーたぶんるい

情報セキュリティ機密レベルアクセス制御個人情報情報資産管理データガバナンス
データ分類について教えて

簡単に言うとこんな感じ!

会社の書類を「極秘」「社外秘」「一般」みたいに仕分けするのと同じで、データにも「どれくらい大事か」のラベルを貼る作業だよ。ラベルに合わせてアクセスできる人を制限したり、保管方法を変えたりするんだ!

データ分類とは

データ分類(Data Classification)とは、組織が保有するデータを「重要度」「機密性」「法的リスク」などの観点からグループ分けし、それぞれのグループに応じた適切な取り扱いルールを定めるプロセスです。情報セキュリティ管理の根幹をなす活動であり、何をどう守るべきかを明確にするための第一歩といえます。

たとえば「顧客の氏名・クレジットカード番号」と「社内の飲み会の案内メール」では、漏洩したときのリスクがまったく異なります。データ分類を行うことで、リスクに見合った保護コストをかけられるようになり、過剰な保護によるコスト増大過小な保護による情報漏洩も防ぐことができます。

近年はGDPR個人情報保護法PCI DSSなどの法規制が厳格化するなか、「どのデータが規制対象か」を把握するうえでもデータ分類は不可欠です。システムを発注・導入する立場でも、「このシステムで扱うデータはどの分類か」を理解しておくことで、適切なセキュリティ要件を盛り込めるようになります。

データ分類の基本構造

多くの組織では、機密性の高さに応じて3〜4段階のレベルを設けます。以下は代表的な4段階モデルです。

分類レベル別名の例対象データの例漏洩リスク
レベル4:極秘Confidential / Top SecretM&A情報・未公開の財務データ・個人番号会社の存続に関わる
レベル3:社外秘Internal / Restricted顧客情報・人事評価・契約書信頼失墜・法的制裁
レベル2:社内限定Internal Use Only業務マニュアル・社内会議資料競合優位性の喪失
レベル1:公開Publicプレスリリース・採用情報・製品カタログほぼなし

覚え方のポイント:「外に出たらどうなる?」で考える

分類に迷ったときは「このデータが外に出たら自分はどう感じるか?」を基準にするとシンプルです。

  • ゾッとする → レベル4(極秘)
  • 困る・謝罪が必要 → レベル3(社外秘)
  • バレると気まずい → レベル2(社内限定)
  • 別に構わない → レベル1(公開)

分類に使う3つの軸

説明
機密性(Confidentiality)誰が見てよいか人事情報は人事部のみ
完全性(Integrity)改ざんされたらどうなるか財務データの書き換えは致命的
可用性(Availability)いつでも使えなければならないか障害時に業務が止まるか

歴史と背景

  • 1960年代〜 米軍・政府機関が「Top Secret / Secret / Confidential / Unclassified」の4段階分類を採用。軍事情報の管理が起源
  • 1980年代 民間企業へのコンピューター普及とともに、企業内でも情報資産管理の必要性が高まる
  • 1995年 EU「データ保護指令」施行。個人データの取り扱いに法的義務が課され、民間企業のデータ分類が加速
  • 2002年 NIST SP 800-60(米国政府の情報分類ガイドライン)公開。データ分類の標準化が進む
  • 2018年 GDPR(EU一般データ保護規則)施行。「特別カテゴリの個人データ(センシティブデータ)」を明示的に定義し、企業に分類・管理の義務を課す
  • 2022年 日本の改正個人情報保護法施行。要配慮個人情報の取り扱い強化により、日本企業でもデータ分類への関心が急上昇

分類ラベルと保護手段の対応関係

データ分類は「ラベルを貼って終わり」ではなく、分類レベルに応じた保護手段のセットを定義することが重要です。

データ分類レベルと保護手段の対応 レベル4:極秘 Confidential レベル3:社外秘 Restricted レベル2:社内限定 Internal レベル1:公開 Public ・強制暗号化(保存・転送) ・多要素認証 ・アクセスログ必須 ・暗号化(原則) ・権限ベースアクセス制御 ・パスワード認証 ・社内ネットワーク限定 ・制限なし ・Webサイト公開可 ・GDPR / 個人情報保護法 ・PCI DSS / マイナンバー法 ・個人情報保護法 ・不正競争防止法 ・社内規定 ・就業規則 ・特になし   ▲ 保護手段(技術的対策) ▲ 主な関連法規・規定 ▲ 分類レベル レベルが上がるほど保護コストと法的義務が増大する

分類作業の実施ステップ

Step 1: データの棚卸し
  └─ 社内にどんなデータがあるかリストアップ

Step 2: 分類基準の策定
  └─ 機密性・法的義務・業務影響度でレベルを定義

Step 3: ラベル付け
  └─ データオーナー(担当部門)が各データに分類ラベルを付与

Step 4: 保護手段の適用
  └─ レベルに応じたアクセス制御・暗号化・保存場所を設定

Step 5: 定期的な見直し
  └─ データの中身や法律の変化に合わせて再分類

関連する規格・RFC

規格・番号内容
NIST SP 800-60 Vol.1連邦情報システムにおける情報・情報システムのセキュリティカテゴリへのマッピングガイド
ISO/IEC 27001情報セキュリティマネジメントシステム(ISMS)の国際規格。情報分類を要求事項として明示
ISO/IEC 27002:2022ISMSの実践規範。5.12条「情報の分類」でラベル付けと取り扱いを規定

関連用語

  • 情報セキュリティポリシー — 組織全体のセキュリティルールを定めた基本方針文書
  • アクセス制御 — 誰がどのデータにアクセスできるかを制限する仕組み
  • 個人情報保護法 — 個人情報の取り扱いを規定する日本の法律
  • GDPR — EU一般データ保護規則。個人データの厳格な管理を企業に義務付ける
  • 暗号化 — データを第三者が読めない形式に変換してデータを保護する技術
  • DLP(データ損失防止) — 機密データが外部に流出しないよう監視・制御するセキュリティ技術
  • 情報資産管理 — 組織が保有する情報資産を体系的に管理するプロセス
  • ISMS — 情報セキュリティマネジメントシステム。ISO 27001に基づく組織的な管理体制