ISMSの取り組みを行う際に重要な活動の一つとして、「情報資産の洗い出し」を行います。自社が持つ情報資産には紙媒体で保管しているもの、電子データで保管しているもの、記憶媒体で保管しているものなど様々な媒体が特定されると思います。また、この媒体の割合に関しては、企業の紙媒体に対する方針(例えばペーパーレスか、紙が基本か)などにもよってくるでしょう。

今回は、紙媒体で情報を取り扱うことにより発生しうるリスク、そのリスクへの対策、紙媒体で持っている必要がある情報資産などについてみていきたいと思います。

紙媒体のリスク

今回は大きく分けて4つの紙媒体に関するリスクを考えたいと思います。

保存期間が長くなるほど保管コストが高くなる

紙媒体の保存にはキャビネットや棚といった設備が必要となります。機密情報の保管となると、鍵付きキャビネットの用意などより高いセキュリティ性を持った設備の検討も必要になり、より高いコストがかかることになります。

また、長期に渡って保存・蓄積する場合にはそれだけ保管スペースを拡張する必要が出てきます。このように、紙媒体の保管には保管する量が増えれば増えるだけ新たな設備やスペースを用意する必要があるといったコストのかかり方が発生するのです。

アクセス管理が難しい

紙媒体の場合、鍵のない棚であれば誰でも容易にアクセスできてしまいます。一方、鍵付きの場合には情報にアクセスできる人を制限するための鍵を管理しなければいけないので情報取得の前に鍵管理のフローが入るという形で可用性が失われることにもつながります。また、紙媒体の場合、鍵付きキャビネットの鍵を紛失した場合に情報そのものにアクセスができなくなってしまうリスクなども存在します。

さらに紙媒体へのアクセスの場合、誰がいつどのような取り扱いを行ったかという証跡の取得が難しく、取得するためには、鍵管理のフローに鍵の貸出記録を追加するなどさらに工数が積み重なることにもつながります。

バックアップが難しい

紙媒体の場合、「バックアップを用意する」ということはつまり、「もう一部印刷して用意をする」ということになります。つまり、紛失などのリスクに対応しようとバックアップをすると倍の容量を取ってしまい、前述したようにコストがよりかかってしまうという問題に拍車をかけることになります。また、わざわざ予備用にもう一部用意するという工数自体も積み重なると大きなコストになるのではないでしょうか。

保管場所まで取りに行く必要がある

最近ではリモートワークを主体とした働き方をしている人も多いのではないでしょうか。結果として、紙媒体として会社に保管されている情報資産を取り扱うためにわざわざ出社しないといけない、また、鍵の管理者が出社しておらず情報資産にアクセスしたくてもできないといった事態も発生しているのではないでしょうか。

このように、紙媒体で保管するということは、現代特有の社会状況下でさらにリスク・デメリットを生じさせているとみることができます。

電子データで保管するということ

ここまで、紙媒体のリスクについて考えてきました。今回はそのリスクへの対策としてBoxやGoogleDriveといったクラウドストレージで電子データとして管理するという方法について提案してみたいと思います。

クラウドストレージではサービスやプランによって、数GBから容量無制限まで非常に幅広く提供されています。そのため、自社にとってその時必要な容量を用意し、必要に応じて容量を増やすといったことも可能になってきます。もちろん月々の保管コストは発生してきますが、保管場所という点では拡張について検討する必要がなくなってきます。また、クラウドストレージであれば、リモートワークの場合でも、必要な資産を出社せずその場でアクセスすることも可能になります。

続いてアクセス管理について考えてみたいと思います。多くのクラウドストレージサービスでは、複数の段階に分けた権限管理やデータごとのアクセス管理を設定することが可能です。つまり、紙媒体の保管で発生しうる誰もが容易にアクセスできる状況の防止、そして機密情報を保管する場合に発生しうる鍵管理という工数についても削減することが可能です。鍵の紛失による情報資産へのアクセス不可リスクも回避することが可能です。
また、アクセス権に加え、アクセスログや操作ログなどが残るサービスも多くあるので、誰がいつどのような取り扱いを行ったかということも適宜確認することができます。

最後にバックアップについて考えてみたいと思います。こちらも多くのクラウドストレージサービスでは、サービス側で自動的に複数のバックアップを取得しています。また、バージョン管理が可能なサービスもあり、その点でも自動的に過去のデータがバックアップされているという安心感を得ることができるのではないでしょうか。

紙媒体が必要になる場合

ここまで、クラウドストレージなどで電子データ化して保存することで軽減・回避できる紙媒体を保有することのリスクについて見てきました。リスクだけを考えると、電子データ化することによるメリットが大きく見えます。
ただし、電子データ化を視野に入れた際に気を付けないといけないことがあります。それは、紙媒体で保有する必要がある情報資産、または、電子データ化するためには一定の基準に達していないといけない情報資産が存在しているということです。

例えば、法人税法や商法、会社法などで紙で原本を保存しなくてはならないと決められている情報資産に関しては、「e-文書法」という法律で規定された要件に従って電子データ化されていないと、正式な書類として認可してもらうことができません。
また、契約書や請求書をはじめとした経理関連書類についても「電子帳簿保存法」と呼ばれる法律で規定された要件に従って電子データ化されていないと、正式な書類として認可してもらうことができません。また、書類によっては税務署への申請及び承認が必要なものもあります。

上記のように、電子データ化することに一定の基準がある場合や紙媒体で保管する必要がある場合もあるので、注意が必要です。

まとめ

今回は、紙媒体で情報資産を持つことのリスクと電子データ化によって軽減・回避できるリスクについて、また、リスクが回避できるからといって、一概にすべてを電子データすることが好適ではない場合があるということについて考えてきました。

電子データ化して管理することによるメリットについて述べてきましたが、社内でサーバを持つことやクラウドストレージで管理するといったことにももちろんコストはかかります。クラウドストレージの場合は特に毎月単位で一定額かかり続けることもありますし、紙媒体を電子データ化するための工数やコストもかかってきます。一概に紙媒体がダメとは限らないので、自社に合った管理方法を適切に選択することが重要です。

今回の記事も参考にしていただいて、セキュリティ面や自社の社風、現状での紙媒体・電子データの割合、コストなど様々な観点から、紙媒体の電子データ化について検討してみてはいかがでしょうか。