第5章:データ分類と取り扱い(公開/社外秘/個人情報)
この章で学ぶこと
- データ分類(公開/社外秘/個人情報)を定義する
- 保存場所とアクセス制御、保持期間を揃える
- 扱い判断を表に落とす
成果物(または判断基準)
本文
データは保管場所と権限設定の不整合で事故につながりやすい。分類→保存場所→アクセス制御→保持/削除まで一貫させる。
分類は厳密さより、運用で迷わない定義にすることが重要である。判断に迷う場合は上位(厳しい側)に寄せる。
具体例(悪い例→良い例)
悪い例
個人情報を共有ドライブに置く
アクセス権限は全員
良い例
データ分類表で個人情報を定義
保存場所を限定し、最小権限でアクセス制御
保持期間と削除手順を定義
チェックリスト
- 分類が定義されている
- 保存場所とアクセス制御が一致している
- 保持期間/削除手順がある
まとめ
- データ分類を定義し、保存場所/アクセス制御/保持期間を分類と整合させる
- 迷う場合は上位(厳しい側)に寄せ、判断基準を表(データ分類表)に落とし込む
次章への接続
- 次章: 第6章