ChatGPTを使って「文書機密レベル」を判別する方法 自治体の情報セキュリティについて考える（2/3 ページ）

[川口弘行，ITmedia]

情報資産の「重要性レベル」をどう分類すべきか

　先ほど「情報資産の重要性」という言葉に触れました。

　自治体が保有している情報は、その全てが秘密情報というわけではありません。逆に住民に広く知らしめるべき情報もあります。

　そこで「地方公共団体における情報セキュリティポリシーに関するガイドライン」でも情報資産の重要性分類について解説されています。まず、話を理解しやすくするために、以前（令和4年改定版）のガイドラインでの重要性分類を見てみましょう。

図：情報資産の重要性分類（令和4年改定版）

　情報資産は「機密性」「完全性」「可用性」という観点からいくつかのレベルに分類されています。そして、これらに応じて取り扱いの内容を決めることが求められています。

　しかし、機密性が3段階、完全性と可用性がそれぞれ2段階のレベルとなっており、単純にこの組み合わせを考えると、3×2×2＝12とおりの取り扱いを決めなければなりません。

　いくら優秀な職員であっても、「この文書（情報資産）は、機密性が2、完全性が2、可用性が2なので、公開はできません。庁外に持ち出す場合は所属長の決裁が必要です」というような判断をし続けるのは無理があります。上述のとおり、セキュリティは弱い部分から破られ、その多くは人為的な要因によるため、複雑なルールは敬遠されるのです。

　したがって、重要性分類もなるべくシンプルに整理する必要があります。では、どの程度まで整理していくのかがポイントになりますが、ここで「自治体情報システム強靱性向上モデル」が役に立つのです。

　ネットワーク分離では、庁内のネットワークを3つに分離しています。そこで、私が関与する自治体では、自分たちが定めたルール（セキュリティポリシー）に基づき、情報資産の重要性レベルとネットワークのセキュリティレベルを一致させるという対策を進めています。

　具体的には、情報資産を「機密性＋完全性＋可用性＝重要性」として、3段階に整理します。

図：情報資産の重要性分類を整理

そして、

• 重要性１の情報資産は、レベル１ネットワーク（あるいはレベル１の空間）で管理
• 重要性２の情報資産は、レベル２ネットワーク（あるいはレベル２の空間）で管理
• 重要性３の情報資産は、レベル３ネットワーク（あるいはレベル３の空間）で管理

としています。

　ここまで考えることで、「自分がどこにいて、どの重要性の情報を取り扱っているか」を理解することができるようになるのです。