保有する情報資産の重要度に応じた格付想定水準

2021.03.16 現在

image
  • 「想定業種」「想定水準」「情報資産の例」は、あくまでも参考であり、企業・組織の固有事情により異なります。
  • 格付結果は、格付受審企業が格付スコープ内で実施している情報セキュリティ対策について、日本セキュリティ格付機構の意見を表明するものであり、提供するサービスや製品自体に対する格付を表明するものではありません。

グループ 情報に関する定義※1 想定水準 想定業種※3 情報の例※1 (想定業種でのコア業務の例)
AAA AA
A BBB BB B C
I 不当な事象※2が社会全体に重大な影響を及ぼし、国内・外までに及ぶ大混乱を起こし得る情報 image
  • 防衛関連
  • 重要インフラ
    基幹業種
  • 金融、等
  • 国防、国家機密情報等
  • 人命に関わる重大な情報
  • 重要インフラの維持安全に係る重大な情報
  • 災害対応のための情報
  • プライバシー(機微)情報
II 不当な事象※2が一組織の範囲を超えて社会インフラに重大な被害を及ぼし、社会の一部に混乱を引き起こし得る情報 image
  • 金融
  • 医療
  • 情報/通信
  • 製造業
  • 商業
  • サービス業、等
  • 重要インフラの運用に関わる重大な情報
  • 金融・証券情報
  • プライバシー(機微)/個人情報
  • レセプト情報
III 不当な事象※2が、組織又は個人に重大な被害を及ぼすと想定される情報 image
  • 情報/通信
  • 製造業
  • 商業
  • サービス業、等
  • プライバシー(機微)/個人情報
  • 重要度の極めて高い営業秘密情報
  • 膨大量の顧客リスト
  • インサイダ情報/公開前の財務情報
IV 不当な事象※2が、組織又は個人に相当程度の被害を及ぼすと想定される情報 image
  • 製造業
  • 商業
  • サービス業、等
  • 重要な営業秘密情報(公開前の特許情報、ノウハウ情報、一部の顧客リスト、etc.)
  • 組織内個人情報(機微情報)
  • 取引先法人・個人情報
V 不当な事象※2が、組織又は人に限定的な被害を及ぼすと想定される情報 image
  • 多くの一般的業種
  • 営業秘密性がそれほど高くない情報(社員の会社電話番号、会社メールアドレス、法人コンタクト情報、etc.)
  • 通常の社内業務情報
※1
参考文献:情報に関する定義、情報の例については、「アウトソーシングに関する情報セキュリティ対策ガイダンス」P16-P17 表3(平成21年6月30日 経済産業省)を参照。
※2
「情報に関する定義」における「不当な事象」については、本表では「情報漏えい」を想定。
※3
想定業種については、日本セキュリティ格付機構にて推定。