TOP情報セキュリティ> 記録の保持に関する考慮事項
シマンテックイエローブック
電子メール環境を効果的に管理するための総合的アプローチ

第16回:コンプライアンスにおけるITの役割
著者:シマンテック   2007/4/9
1   2  次のページ
記録の保持に関する考慮事項

   どのようなビジネスメールをアーカイブに保存するかの判断は個人の主観に左右されます。今日の企業は、規制要件のみでなく、ポリシーを策定することの実用的意味についても考慮する必要があります。

   レギュラトリーコンプライアンスや法的開示の要件に加え、記録となる電子メールとそれ以外の電子メールを区別する基準や、保存する必要がある電子メールの種類を明確にする必要があります。通常、記録となる電子メールとそれ以外の電子メールを区別する基準は、経営陣、法務部門、外部の弁護士の協議によって決定されます。

   また、保存する必要がある電子メールの種類を決定するには、現行の規制を調査して、それらの規制がそれぞれの企業や業界に対してどのように適用されるかを理解しておく必要があります。記録となる電子メールとそれ以外の電子メールを区別する基準の策定は、明らかにIT管理者の職務範囲を超えています。規制要件を遵守するうえでIT部門が果たす役割は、コンプライアンスとリスク管理に対する企業全体の計画の一部と考える必要があります。

   ただし、ITは、レギュラトリーコンプライアンス計画を成功に導くうえで重要な役割を果たします。米国の判例では、電子メールを保持する取り組みにおいてIT管理が重要な役割を果たすことが認められ、期待されています。場合によっては、IT担当者が出廷を命じられ、電子メール保持の取り組みやポリシーについて証言し、相応な注意義務が果たされていることを証明するように求められることもあります。

   コンプライアンス計画を策定するときには、内部と外部の法律専門家を交えて協議することを強く推奨します。
企業全体にポリシーを適用する方法の決定

   ポリシーを策定した後は、それらのポリシーをどのように実装するかを決定する必要があります。現行の規制がどのように適用されるかを調査し、社内の各部門や各個人に適用する必要があるポリシー、スケジュール、手順などを明確にすることを推奨します。または、IT部門を通じて企業全体に同一のポリシー、スケジュール、手順を実装するという選択肢もあります。

   コンプライアンスと電子メールの保持に関しては、部署ごとに内部の記録管理要件が異なる場合もあります。保持要件の対象になる電子メールを送受信している部署やグループを特定すると、その部署のニーズに適した固有のポリシーを適用することができます。コンプライアンスの要件は、部署だけではなく個人によっても異なる場合があります。特定の肩書きや権限を持つ個人に対しては、電子メールのアーカイブ化に関して特別な要件が必要になる場合もあります。

   個人のレベルで見ると、各人の「事後的な」対応に任せることなく、個人の電子メールを適法に保管することの重要性は検討に値します。また、法律とITの観点から見ても、自動保管機構を実装することは、重要な情報を取り扱う可能性がある個人に対してすべての電子メールを保持するように指示するよりはるかに効果的です。

   また、企業全体に同一のポリシーと手順を適用して、すべての電子メールユーザーに対し一律のアプローチを取るという選択肢もあります。その場合は、送信元や送信先に関係なく、送受信されたすべての電子メールがアーカイブに保存されます。ただし、企業によっては、このアプローチが現実的でない場合や最適な方法ではない場合もあります。

   企業全体に同一のポリシーと手順を適用するアプローチには次のような欠点があります。

  • 電子メールが必要以上に長い期間保持される可能性がある。
  • 不要な電子メールが保持される可能性がある。
  • その結果、開示要求に関係する可能性があるすべての電子メールを、すばやく効率的に復元できなくなる可能性がある。

表1:企業ポリシーを全体に適用した際の欠点
アーカイブ化のポリシーに影響するその他の要因

   必要なデータを長期にわたって保持するには、システム、ストレージ、ネットワークのリソースを十分に確保する必要があります。どのような電子メールをどこにどのようにアーカイブ化するかについての決定は、ハードウェアの必要条件に直接影響します。

   適用される可能性がある開示要件を検討することが重要です。電子メールアーカイブが大きすぎると、検索が困難になる可能性があります。検索条件をいくら絞り込んでも関連性のない電子メールが検索結果に含まれるような場合、検索にかかる時間とコストだけでなく、正確性にも影響します。

   電子メール保持のスケジュールと手順は、それぞれの業界や業種に合わせて調整する必要があります。電子メール保持システムの実装方法を決める前に、これらの考慮事項を集中的に検討してください。
1   2  次のページ
シマンテックイエローブック

 本連載は、シマンテックイエローブック「Symantec Email Security and Availability for Microsoft Exchange」からの転載記事です。シマンテックイエローブックとは、ITプロフェッショナルの方や一般の技術者に対して、技術的なノウハウを提供する本です。これらの本はシマンテックのソリューションを使って実際のビジネスや技術上の問題を「どのように解決するのか」について書かれています。またベストプラクティスに基づく推奨事項に加え、インストール、設定、製品の統合についても詳しく解説されております。詳しくは、下記のURLを参考にしてください。

 http://www.symantec.com/ja/jp/enterprise/yellowbooks/index.jsp

株式会社シマンテック
 著者プロフィール
株式会社シマンテック
シマンテックは、情報のセキュリティ、アベイラビリティ、整合性の確保に役立つソリューションを個人や企業のお客様に提供する世界的なリーダーです。米国カリフォルニア州クパティーノに本社を置くシマンテック コーポレーションは、現在、世界40ヶ国以上で事業を展開しています。
http://www.symantec.com/jp
INDEX
第16回:コンプライアンスにおけるITの役割
記録の保持に関する考慮事項
  開示に関する考慮事項