セキュリティの基本概念

データ分類でーたぶんるい

情報セキュリティ機密レベルアクセス制御情報資産管理データガバナンス個人情報保護

データ分類について教えて

簡単に言うとこんな感じ！

会社にある情報を「極秘」「社外秘」「社内限定」「公開OK」みたいにランク分けすることだよ！どの情報をどこまで守るか決めるための大前提で、セキュリティ対策の設計図みたいなものなんだ！

データ分類（Data Classification）とは、組織が保有するデータや情報資産を、その機密性・重要性・リスクの高さに応じていくつかのグループに分類・ラベル付けする管理手法です。どの情報を誰が見てよいか、どう保管・転送・廃棄すべきかを決めるための出発点となります。

会社の情報には、誰でも見てよい資料もあれば、流出すると経営に致命的なダメージを与える情報もあります。これらを「全部同じように守る」のは非効率ですし、「ざっくり管理する」のは危険です。データ分類はその中間として、情報の重要度に見合ったコストで適切な対策を取るための仕組みです。

個人情報保護法（日本）やGDPR（EU）などの法令対応、あるいはISO 27001などの情報セキュリティマネジメント規格においても、データ分類は基本的な管理策として要求されており、現代の企業経営において避けて通れないテーマになっています。

分類の「ラベル（レベル）」は組織によって異なりますが、典型的には以下のように設計されます。

分類レベル	別名の例	対象となる情報の例	漏洩した場合のリスク
最高機密	Top Secret / 極秘	M&A計画、未公開の財務情報、研究開発の核心技術	経営上の壊滅的損害・刑事責任
機密	Confidential / 社外秘	顧客情報、契約書、人事評価データ	法的責任・信頼失墜・競争優位の喪失
社内限定	Internal / 部外秘	社内マニュアル、組織図、会議資料	業務上の不利益・混乱
公開	Public	Webサイト掲載情報、プレスリリース	ほぼなし

      ／ 最高機密 ／   ← 少量・最も厳重に守る
    ／＿＿機密＿＿／
  ／＿社内限定＿／
／＿＿＿公開＿＿＿／  ← 大量・ほぼ対策不要

量は下に行くほど多いが、守る労力は上に集中させる、という「選択と集中」の発想です。

データ分類は機密性（Confidentiality）だけでなく、情報セキュリティの3要素「CIA」に沿って考えると実務に役立ちます。

1960〜70年代：米国政府・軍がTop Secret / Secret / Confidential などの情報格付け制度を整備。軍事機密を守るための仕組みが原型。
1990年代：インターネットの普及に伴い、企業でもデータの外部流出リスクが顕在化。情報セキュリティポリシーの策定が始まる。
2000年代：ISO/IEC 27001（情報セキュリティマネジメント規格）が整備され、データ分類が国際標準として企業に求められるようになる。
2003年：日本で個人情報保護法成立（2005年施行）。個人情報という特定カテゴリのデータを特別に管理する義務が企業に課される。
2018年：EUGDPR（一般データ保護規則）施行。「特別カテゴリデータ（センシティブデータ）」という概念が広まり、データ分類の精度向上が世界的に加速。
2020年代〜：クラウド移行・テレワーク普及により、データがどこにあるかが見えにくくなり、自動分類ツール（DLP・CASB）の活用が主流に。

データ分類は単体で完結するものではなく、様々なセキュリティ対策の「基準」として活用されます。

用語・ツール	役割	使われ方の例
DLP（Data Loss Prevention）	分類ラベルに基づき外部送信を検知・遮断	「機密」ラベルのファイルをメール添付しようとすると警告
CASB（Cloud Access Security Broker）	クラウドサービス上のデータを分類・監視	Google DriveやBoxに置かれた機密データを自動検出
IRM/RMS	ファイル自体に暗号と権限を埋め込む	「最高機密」ファイルは社外PCでは開けない
情報資産台帳	どこに何のデータがあるかを一覧管理	定期的な棚卸しの基準表として活用

規格番号	内容
ISO/IEC 27001	情報セキュリティマネジメントシステム（ISMS）の国際規格。附属書AのA.8.2でデータ分類が管理策として明記されている
ISO/IEC 27002	ISO 27001の実践規範。データ分類の具体的な実装ガイドラインを提供
NIST SP 800-60	米国政府が定める情報とシステムのカテゴリ分類ガイドライン（連邦機関向け）