　最近、企業からの個人情報の流出事件が相次いだことから、企業における情報管理の体制が厳しく問われている。また、情報漏洩の防止対策を適切に行っていたかどうかについての立証責任も、企業に求められるようになった。顧客からのクレームへの対応や、企業が遭遇した事件・事故への対応の際に誰がどのように行動したのか、そのプロセスが適切であったのかどうかを、証拠となる文書とともに示せないと、組織としての管理責任を問われることになる。

　このような背景のもとで、企業内で日常的に作成・利用されるオフィス文書や電子メールなどのテキストを中心としたコンテンツをも、重要な企業資産として保護・管理するための施策が求められてきている。

コンテンツのライフサイクル管理

　従来から、個人情報など重要な機密情報は厳重なセキュリティ対策によって保護されてきた。機密情報はファイルサーバーやデータベースに格納され、アクセス権限によって厳重に管理されているのが一般的である。

　しかし、それにもかかわらず情報漏洩が起こっているという現実は、従来の方法だけでは不十分であることを示唆している。アクセス権限により厳重に管理しているデータベースに顧客の個人情報を格納したとしても、アクセス権限をもつ人が表計算ソフトにデータをコピーできたり、印刷して持ち出しできるようになっていれば、情報漏洩を防げないばかりか、どのようなルートで情報が漏洩したのかを追跡することも不可能である。

　このような問題を解決するためには、個々のコンテンツについて、「この情報は誰が見ることができるのか」「どのような利用が許可されているのか」「これまで誰が利用し、どのように改変されたのか」を一貫して管理する仕組みが必要である。個々のコンテンツが作成され、利用され、最終的に廃棄されるまで、ライフサイクル全般にわたってそのコンテンツの所在を把握し、利用状況を追跡する仕組みがないと、情報漏洩の危険をなくすことはできないのである。

注目される企業内コンテンツの保護・管理

　昨今、上記のような一貫した保護・管理を実現するための仕組みとして、コンテンツマネジメントシステムが注目されている。コンテンツマネジメントシステムとは、管理対象のあらゆるコンテンツを1 つのデータベースに格納して所在をつねに把握し、コンテンツの作成者や文書のバージョン、アクセス履歴など、コンテンツに関する付加的な情報（メタデータ）を加えた上で保管する仕組みである。このように付加的な情報をコンテンツに加えて保管するところが、ファイルサーバーや通常のデータベースとは異なる点である。

　コンテンツの所在の一貫した管理に加え、過去にさかのぼって利用状況を追跡できることから、法的な問題が発生した際に、そのコンテンツに権限のない人間がアクセスしていないか、またコンテンツが改ざんされていないかどうかを監査できる。

　コンテンツマネジメントシステムは、従来は製薬業や通関業など、大量の申請書類の保管が法令で義務づけられている業種を中心に利用されてきたが、情報漏洩問題への関心の高まりによって、他の業種でも広く利用が検討されはじめている。米国では、不正会計事件への反省から2002年に制定されたサーベンス・オクスリー法（いわゆる企業改革法）によって、企業が内部文書を改ざんできない形で保管し、監査時に速やかに提出しなければならないようになったことから、それを実現する仕組みとしてコンテンツマネジメントシステムが大企業を中心に認知されはじめてきている。

企業への信頼をより高めるために

　コンテンツマネジメントシステムが実現するトレーサビリティ（追跡可能性）は、法的な問題が発生した際にその原因を確実に把握することを目的としており、パッシブセーフティ（事後の安全性）を追求したものと言える。このような機能は、情報を利用する社員に対し、情報の適正な利用への意識を高め、悪意ある利用者に対しては心理的障壁となることが期待できる。

　一方、顧客の個人情報や研究開発に関する情報など、その漏洩が重大な損失を招くコンテンツに対しては、より積極的な保護を行う必要があろう。最近では、DRM（デジタル著作権管理）技術を社内文書へ適用したり、不適切な内容を含む電子メールなどを送信前にストップするソリューションが登場したりしている。機密情報などの重要なコンテンツに対しては、コンテンツマネジメントシステムに加え、このようなアクティブセーフティ（事前の安全性）を追求する仕組みを組み合わせることを検討すべきである。

　企業内のコンテンツは数が膨大で、日々増加する一途である。そのため、最初からすべてのコンテンツを管理対象とするのではなく、まずはコンテンツのパッシブセーフティを実現し、情報の適正利用の仕組みと意識を社内に広げていくことから始めるのが現実的な方法であろう。