日本版SOX法・徹底解析

保管するデータを取捨選択するポイントを考える

（2009年05月22日）

http://www.computerworld.jp/topics/storage/146749.html

今日のIT部門にとって、ストレージに関する業務は悪夢のようだ。法規制による要求は拡大し、電子記録が訴訟で重視されるようになった。そのため、あらゆるデータを保管しなければならないという強迫観念にとらわれている企業もあるほどだ。だが、実際に全データを保管するのは不毛であり、必要に応じて保管データを特定することが必要である。では、そのためには何をすべきなのだろうか。

Stephen Lawson

IDG News Serviceサンフランシスコ支局

過剰なデータ保管は

訴訟時のリスクになる

　現在、消費されるストレージ容量はさらに増加しており、IDCによると2008年のディスク・ストレージ出荷容量は2007年から40.5％増加したという。一方、ストレージ・メディアの価格は確実に下がっており、IDCによるとギガバイト当たりのディスク・ストレージの価格は2007年から2008年にかけて27％以上安くなっている。

　それでも、全データを恒久的に保持することは長期にわたる管理の問題となり、データを探し出す必要が生じた際には頭の痛い問題となりかねない。アナリストや弁護士、ベンダーらは、一部のデータを削除することで、その状況が改善される――しかし、慎重に行わなければならないと語る。IT部門としては、計画を立て注意深く実行し、そして単独では行わないようにするべきでである。

　「神経質になりすぎて、データを捨てられない企業が増えている」と、IDCのアナリスト、リック・ビラース（Rick Villars）氏は語る。データが蓄積されていくのを何年も放っておけば、事業の継続も覚束なくなる。「保管すべきデータと捨てるべきデータを区別できていないから、全データを保管することになるのだ」と同氏。

　保管データを過剰に抱えることの問題は、ディスクおよびテープのコストや管理の手間が増えるということだけではない。訴訟の際に、莫大なコストが発生する可能性があるのだ。e-Discovery（電子情報開示）のために必要となるデータを探し出し、集計するには100万ドルはかかるだろうと、EMCのe-Discovery／コンプライアンス担当バイスプレジデント、アンドリュー・コーエン（Andrew Cohen）氏は語る。

　研究者らは、過剰なデータ保管や、不適切に情報を削除して自社を危険にさらすことを避けるために、さまざまなステップを踏んで確認作業を行うことを勧めており、そうした作業を支援するテクノロジーも存在する。だが、最終的には人手による作業が必要になると研究者らは述べている。

保管すべきデータの

特定がIT部門の役目

　企業は、さまざまな目的でデータを保管する。特に近年は、SOX法（Sarbanes-Oxley Act：米国企業改革法）やHIPAA（Health Insurance Portability and Accountability Act：医療保険の相互運用性と説明責任に関する法律）といった法的規制が強まり、特定のデータをを所定の期間保管することが求められるようになった。

　しかし、データの保管自体がリスクにつながるおそれもある。訴訟の際にはe-Discoveryの要求に基づき、企業のデータとデータ管理が厳密に精査される。保管データが多くなるほど要求事項も増え、不利な事実認定がされる可能性が高くなるのだ。

　また、データの保管と削除のポリシーが厳密で一貫性のあるものでない場合には、裁判において、あるデータが入手不可能なことを理由に、「疑わしきは罰せず」の恩恵が受けられない可能性も出てくる。

　しかも、多くの場合、法律にはデータ保管について最低限のことしか規定されていない。連邦民事訴訟規則（Federal Rules for Civil Procedures：FRCP）においては、ストレージに関する意思決定方法のガイドラインが定められているが、何をすべきかが記されているわけではない。

　何年にもわたってデータ関連の法規に従ってきた企業には、記録管理に特化した部門がある場合もある。だが、法律は複雑化していく傾向があり、国によっても異なるため、その種の部門では、データへの要求事項に関する分厚いマニュアルを所持している。それはIT部門によって簡単に書き換えることのできるものではない。

　では、IT部門には何ができるのか。「まずは保管すべきデータを特定し、そのデータを保管する意味を明確にする。そのために、データ分析ソフトウェアの活用というITに果たせる重要な役割がある」と、Enterprise Strategy Groupのアナリスト、ブライアン・バビノー（Brian Babineau）氏は語る。

　Exterro、Vivisimo、Autonomy、Digital Reefなどは、企業がどのようなデータを保有し、従業員がそのデータをどのように使用しているかを特定するのに役立つソフトウェアを提供している。これは、法律への準拠や企業自身の目的のために、どのデータを収集し保持すべきかを決めるのに役立つはずだ。

　また、「保管すべきデータ量を最小限にするためにIT部門は、データ保持ポリシーを微調整することができるし、また、すべきである」と、Forrester Researchのアナリスト、アンドリュー・ライヒマン（Andrew Reichman）氏は語る。ただし、法廷で主張できるように、厳密で一貫したポリシーが必要になる。テクノロジーがポリシーを作成してくれるわけではないのだ。

　バビノー氏によれば、そうしたことを実践するために「IT部門とコンプライアンス部門の意見を一致させる必要がある」という。このプロセスは困難なものだろう。2つの部門の考え方が根本的に異なるからだ。データについて、IT部門はアプリケーションや部門との関連に着眼し、コンプライアンス部門は知的財産などの観点から考察する傾向がある。

　彼らを共働させることは企業にとっての課題である。「部門をまとめることで解決してきた企業もあれば、コンプライアンスの専門家がIT部門にアドバイスを行うだけという企業もある」（ビラース氏）

バックアップとアーカイブを

明確に区別すべし

　ポリシー策定に向け各部門の協力体制が整ったら、バックアップとアーカイブを区別する作業に入る。バックアップの目的はすべてのコピーを作成することであり、予期せずデータを損失した場合でも業務を復旧することだ。「それが“データ保管に最適な方法”と考えられてしまっている」とバビノー氏は苦言を呈す。

　バックアップ・システムでは、あるデータは短期間、他のデータは長期間保管するといった細かい管理は難しい。例えば、特定の業務記録について7年間の保管が必要な場合、そのデータをほかのデータといっしょにテープに保管するのは不適切だ。「例えば、業務記録以外に5万を超えるファイルがあったら、それらもまとめて7年間保管しなければならなくなる」（バビノー氏）

　このようなデータ保管は、アーカイブ・システムの仕事だ。アーカイブに際しては、「専用のツールを利用すれば、そのプロセスがよりスムースになり、保管するデータが多くなりすぎることを避けられる」とバビノー氏は語る。

　IBMやSymantecなどは、バックアップのためのデータ分析と、ポリシーに基づくアーカイブのために、別々のソフトウェアを用意している。また、CommVaultのツールは、1つのツールでバックアップとアーカイブという2つの用途に利用することができる。

e-Discoveryへの対応では

厳格なポリシー策定が必須

　e-Discoveryでは、訴訟に関連すると思われる電子記録の開示が要求される。一般的に、開示要求の大部分は電子メールだが、ワープロ文書やソースコード、その他の種類のデータも含まれる場合がある。

　「訴訟の可能性が出てきたら、企業には訴訟の申し立てに関連する従業員やプロジェクトについてのあらゆる記録を保持する義務が生じる」と、Orrick Harrington & Sutcliffeの特別弁護士、ウェンディ・カーティス（Wendy Curtis）氏は語る。

　もし、ある情報を入手しようとした原告が、その情報を消去されるべきでないときに消去されたことを突き止めた場合には、やっかいな事態に陥ることになる。「不必要に訴訟の費用が増加し、訴訟において企業が悪影響を受けることもある」とカーティス氏。

　だからと言って、社内の全データを保管するのは賢明なことではない。すべてのデータを保管すれば、関連するデータを見つけ出すことがより困難になり、費用もさらにかかってしまうからだ。

　一般的に裁判所は、しっかりしたポリシーやスケジュールに従ってデータが消去されていれば、難色を示すことはない。その記録に関連する訴訟が起こると考える理由が企業側にない場合も同様だ。「法律も裁判所も、企業が訴訟に関連しているか、訴訟が予期される場合でないかぎり、ポリシーに基づく記録破棄についてセーフ・ハーバーを認めている」（カーティス氏）

　しかし、そのためのポリシーは厳密なものであり、忠実に守られている必要があると同氏は語る。例えば、電子メールを消去するスケジュールについて問われた際には、「一般的に適切だと見なされている頻度で消去している」と答えるだけでは十分ではない。特に、金融業のように訴訟が頻繁に起こる可能性がある業種では、IT部門は弁護士と協力してデータ保持ポリシーを厳格化しなければならない。

　また、コーエン氏は、e-Discoveryによって、策定したデータ消去ポリシーが無効化されてしまう可能性を指摘する。例えば、3年間のデータ保持を求める法律に従うために企業は、データ消去のサイクルを3年間とする。だが、訴訟が起こり、一部の記録について無期限の保持が必要になれば、その記録を他の記録と区別することが必要となり、3年間という消去ポリシーは実践できなくなる。

　こうした事態に対処するために、主要なアーカイブ・ベンダーは、そのような区別を可能とするツールを提供している。それらのツールを使っても絶対に確実だとは言えないが、たいていのデータはチェックできるはずだとバビノー氏は語る。

価格下落を見越して

製品選定を進めるべし

　戦略とポリシーの策定とともに、それらを実践するための製品の選定も重要だ。選定に際しては、まず自社のストレージ要求がどのくらいのスピードで増えているのかを明らかにする。ストレージの価格は今後も下落すると予想されるため、今必要としているよりも多くのものを購入するのは避けたほうがいいだろう。

　Ovumのアナリスト、ティム・スタマーズ（Tim Stammers）氏は、データ・デデュープ（重複排除）は注目に値するテクノロジーだと指摘する。これは、ストレージ内データの重複部分を削除することで消費容量を削減する機能である。

　また、社内ストレージの代わりに、より経済的なクラウド・ストレージなども考慮に入れるべきである。「ディスクの価格は下がるが、それを管理する社内スタッフの人件費が下がるわけではない」（スタマーズ氏）