その指示メールは記録として保管されているか?:法令遵守・CSRの基本、電子メールの記録管理

記録保管は、企業の法令遵守やCSR(企業の社会的責任)におけるアカウンタビリティ(説明責任)の視点から重要性を増している。特に、企業で使われる電子メールは、情報伝達や意思決定のプロセスの中に組み込まれていることから、そのデータは重要な位置づけになってきている。


 2002年7月に米国で企業改革法(SOX法)が施行されて以後、電子メールの位置づけが大きく変化した。電子メールは企業活動にかかわる重要かつ公式な「文書」とされ、特に厳しい規制を受ける金融・証券業界などでは、その保存が義務づけられ、当局の要求があれば迅速に提出することが求められるようになった。

 日本では電子メールの保管が法的に義務づけられるまでには至っていないが、その重要性は確実に認められつつあり、電子メールのアーカイブ(記録保管)は企業のリスク管理やCSRにおける説明責任の点からも重要性を増している。

意思決定が伝えられる電子メールの意味

 日本においても2008年度4月以降の会計年度から適用が始まる日本版SOX法に基づく内部統制の本番運用を前に、ガイドラインを基に文書化に積極的に取り組んだ企業は多い。内部統制のためには業務を記録しておくことが重要とされ、業務フロー図などの再整備に取り組んだ企業は、電子メールがあらゆる場面で中核的なコミュニケーション手段として利用されていることを気がついたはずだ。「企業内で日々何が行なわれたのか」を外部に示すには、電子メールを適切に保管しておかなければならないだろう。

 電子メールを「記録」とする発想は、日本ではまだ一般化したとまではいえないが、特にコンプライアンスや内部統制という観点からその重要性の理解は進んでいる。企業が法規制を遵守した上で活動していることを証明することを求められた場合、その証拠として電子メールの記録を利用できるからだ。

phptp 日本HP HPソフトウェア事業本部BIOビジネス事業部シニアコンサルタントの小出泰久氏

 コーポレートガバナンスにおいて先を行く米国の事情に詳しい、日本ヒューレット・パッカード(日本HP)HPソフトウェア事業本部BIOビジネス事業部シニアコンサルタントの小出泰久氏は「コーポレートガバナンスの取り組みにおいて、記録を残すことが欠かせない。内部統制やリスク管理への取り組みを外に説明するには活動を記録として残し、必要であれば速やかに開示できる必要がある」と話す。

 グローバルに事業を展開している企業では、国際的な価格カルテルの疑惑が持ち上がり、国内メーカーにも公正取引委員会が調査に乗り出すなど、企業を運営していく上でさまざまな疑いをかけられるケースが増えてきている。経営者にとっては、あらぬ疑いから痛くもない腹を探られたくないというのが本音だろうが、抱かれた疑惑を払拭し信用を取り戻すには、記録から正当性を証明していくしかない。

 「万が一、自社が不正や反社会的な活動をしていたのではないかとの疑念を招いた際に、日々の活動の記録が残されており、これを速やかに公表できるかどうかで、企業の信用が左右されるようになってきている」(小出氏)

 米国では、電子証拠の検索に高額な費用と時間を要したケースや、金融サービスの投資銀行がある訴訟に対して適時に電子メールの記録を提出できなかったために巨額の制裁を受けたケースもあるという。期限通りに開示できなかったイコール、不都合な情報を隠したと判断されたためだ。いかに適切な事業運営を行っていたとしても、正当性を説明できなければ身を守ることは難しく、電子メールなどの記録を保管することの重要性が分かる。

説明責任を果たすための記録管理

 このようなケースに対応するための考えで基本になるのが「記録管理」という概念だ。2001年にISO 15489が制定され、日本でも2005年7月にJIS X 0902-1「情報及びドキュメンテーション −記録管理−」として規定されている。

phptp 記録に関するフレームワーク ※画像をクリックすると拡大表示します

 記録管理は、業務活動の証拠となる「記録」を中核に、それを組織的に適切に保存・管理する「記録システム」などで構成される。記録文書のファイリングだけでなく、デジタル化して保存することも法的に許されるようになった今では、ITシステムを利用することも大切だ。もちろんITを利用することで、効率的かつ確実な記録の保管と廃棄を自動化できるようになる。

 「どのような情報を記録として保管するのか、どのくらいの期間を保管するのか、といったポリシーは各企業が定めなければなりませんが、各アプリケーションでデータが管理されていても、企業の意思決定や情報伝達のためのツールとして使われる電子メールは、適切な形でアーカイブされているケースが少なく、また、データの増加が著しいため、電子メールのユーザー規模によって管理が困難になる」と、小出氏は指摘する。

 電子メールデータをただアーカイブするなら、市場にはさまざまなソリューションが登場しているものの、データの増加が著しい電子メールの性質や、情報の適切な開示・活用を前提としたソリューションが少ないのが現状だ。

バックアップはアーカイブ要件を満たさない

 電子メールの保管という観点では、既にバックアップがあると考える企業も多いだろう。しかし、テープを使って行われるバックアップは「ある時点でのシステム・イメージを保存する」ことを目的としており、残念ながら、情報開示要求に対応する記録保管の方法としては要求を満たせない。テープメディア保管など、人的な運用がさまざまな場面に介在するため、内容を変更したり、都合の悪い部分を消去したりといった人為的な操作の可能性が否定できないからだ。記録として有効なものにするには、改ざん防止や変更履歴の保存ができなければ、記録としての真正性を保証することはできないのだ。

 社内でノウハウを共有するための手段としてのみ使うのであればともかく、監査や訴訟などの対応として、第三者に開示する可能性も考慮に入れるのであれば、改ざん防止や変更履歴の保存機能を備えることは必須の要件といえる。

 さらに、長期保存のためのバックアップをテープに行っていることが日本でも多く見られるが、何巻もあるテープの中から目的の情報を見つけ出すには手間が掛かる。バックアップテープを読み出すためには対応するハードウェアを維持する必要があり、バックアップ時のアプリケーション環境を再現できないと、保管した記録を取り出すことが難しい。メディア不良によってリカバリに失敗したとなれば、記録を提出できないという事態にさえ陥りかねない。

アーカイブのための専用プラットフォーム

 こうしたアーカイブに求められる独特な要件をクリアするためにつくられたのが、統合アーカイブソリューション「HP Integrated Archive Platform」(IAP)だ。SEC(米国証券取引委員会)や、NASD(全米証券業協会)の法規制強化に対応し、電子メールの記録対象とした監査を受けていたNASDAQの要求に対応するために設計・開発されたアーカイブ専用のプラットフォーム製品として知られる。

phptp 日本HP HPソフトウェア事業本部BIOビジネス事業部プロダクト・マーケティングの平田伸一氏

 HPソフトウェア事業本部BIOビジネス事業部プロダクト・マーケティングの平田伸一氏は「コンプライアンスや監査等の情報開示要求に対応するソリューション」と表現する。それだけに、高いセキュリティでメールを安全に保管できるほか、大量のメールを高速に検索し取り出し迅速な監査対応を行えるのが特徴となっている。

 一般的なメールアーカイブシステムは、アプリケーションからデータベース、サーバ、ハードウェアと、さまざまな機能モジュールを組み合わせて設計されている。そのため、それぞれの整合性を保ちながら記録保管が求められる年数を運用していくのは難しいという問題があった。また、電子メール環境の場合、増加するデータの予測が困難なため、記録保管に対応するための拡張性や、どこかでボトルネックが発生してしまうなど性能を維持して、システムを有効に機能させるには困難が付きまとう。

 しかし、HP IAPはアーカイブに特化した機能をすべてオールインワンで提供する統一プラットフォームとして最初から開発されたため、同様のアーキテクチャを機能モジュールごとにスケールアウトすることで順次拡張でき、年数が経過しても運用が複雑化しない。

phptp 一般的なアーカイブシステムで長期保管は難しい ※画像をクリックすると拡大表示します

 もちろん情報が保存されるストレージの管理もインテリジェントに行なわれ、階層ストレージを自動的に管理し、保管期間を終了したデータや検索インデックスの消去まで、情報ライフサイクル管理(ILM)も管理者は、ポリシーの設定によって自動的に実行できる。

情報活用にもメリットがあるオールインワンアーキテクチャ

 このオールインワンのアーキテクチャは、情報活用においてもメリットがある。

 インターネットの検索エンジンで情報を検索した場合、検索結果として表示されたサイトにアクセスできないという状況を誰もが経験しているだろうが、これは、検索のためのインデックスを作成した時点と、検索を実行した時点とでサイトの状況が変化しているために起こる。同様に、記録として残した電子メールを検索した場合に、インデックスと実際のデータが食い違うことは避けたい。

 一般的なアーカイブシステムでは、データのアーカイブ作成と検索システムとが独立に存在するため、これと同様に両者の整合性がとれなくなるということが起こりかねない。データが消去されたにも関わらずインデックスだけが残っていたり、逆にデータが新たに追加されたのにインデックスが作成されていなかったりすると、必要な情報にアクセスできない状態が起こる。IAPではアーキテクチャが統一されているため、常に整合性が保たれる仕組みだ。

 つまり、IAPはデータを確実に保存して、e-Discovery (電子証拠開示)に対応した記録として迅速に取り出すことを目指した製品であるといえる。ユーザーが任意にカスタマイズしてあれこれ手間を掛けて運用するのではなく、とにかくデータをIAPに入れ、長期データを保管するためのIT運用の負担を軽減させ、最適な状態でデータを保管できるという考え方だ。

 企業内で記録管理を実践するには、記録データの種別や管理ポリシーを決める必要があるが、電子メールデータをすべてアーカイブして迅速に取り出すことができれば、内部統制やコンプライアンスなどの情報開示要求に対応することは格段に容易になる。IAPは、さまざまな場面で求められる説明責任を果たすための最も効率のよいソリューションになると期待できそうだ。



提供:日本ヒューレット・パッカード株式会社
企画:アイティメディア営業本部/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2008年2月21日