「コラボレーションツール」の“あの機能”こそが法務部門にとっての問題児：コラボレーションツールの利用とGRC【第2回】

コラボレーションツールの利用にはコンプライアンスの問題が常に付随する。たとえ導入時に慎重に検討したとしても、導入後に予期しない問題が生じる可能性がある。何がリスク要因なのか。

[Katherine Finnell，TechTarget]

　コラボレーションツールを安全に使用する上で注意すべきポイントは、GRC（ガバナンス、リスク管理、コンプライアンス）の保持だ。内部監査のために証跡の確保や法令順守を支援するソフトウェアは存在するものの、近年のコラボレーションツールの機能を想定した仕組みを備えるものは希少だ。そのコラボレーションツールのある機能や進化が、問題になる場合がある。

コラボレーションツールを「正しく使う」ことの難しさ

併せて読みたいお薦め記事

連載：コラボレーションツールの利用とGRC

• 第1回：その発言はコンプラ違反？　コラボツールのデータ保存時に決めるべきルール

金融機関の法令順守とAIの活用

• 金融機関が「AI」を生かすべき用途は「コンプライアンス」だった　その根拠とは
• “AIで法令順守”が金融機関にもたらす「スピード」「セキュリティ」の正体

　ユニファイドコミュニケーション（UC）システム向けのガバナンスおよびセキュリティツールを提供するベンダーTheta Lakeで、レギュラトリーインテリジェンス担当ディレクターを務めるステイシー・イングリッシュ氏によると、既存のコンプライアンス管理ツールはメールや音声通話の記録と保存機能を備えているものの、Web会議の録画やデジタルホワイトボードツールの記録はできない場合がある。

　コラボレーションツールそのものがガバナンスやコンプライアンス上の問題を引き起こす可能性もある。コラボレーションツールのほとんどがSaaS（Software as a Service）であり、新しい機能を随時追加することを前提にしているためだ。

　セキュリティベンダーNullable（Awareの名称で事業展開）の最高法務責任者（CLO）を務めるブライアン・マンニオン氏は、コラボレーションツールの導入を承認した法務部門が、導入後にどのような新機能を搭載したか、その内容やリリースのタイミングまでは把握していない可能性があると指摘する。

　例えば、さまざまなコラボレーションツールベンダーがAI（人工知能）技術を活用した機能を追加しているが、ユーザーデータをどのように機械学習モデルに学習させたのか、そのデータをどのように保存しているのかを公開していない場合がある。

　コラボレーションツールの導入を承認した後、AI機能が生成したデータがガバナンスやコンプライアンスの基準を満たしているかどうかまでを法務部門がレビューする機会を設けるのは難しい、とマンニオン氏は考察する。「コラボレーションツールの機能は日々更新され、しかもそのシステムは自社のデータセンターにない。新しく搭載された機能や日々発生する動画データの存在は、法務部門にとって悩みの種だ」（同氏）

　米TechTargetの調査部門であるEnterprise Strategy Group（ESG）でデータ保護、データ管理、アナリティクスのプラクティスディレクターを務めるクリストフ・バートランド氏は、パブリッククラウドにおける個人識別情報（PII）の取り扱いも課題だと指摘する。ESGの調査によると「パブリッククラウドを使うことでデータガバナンスの管理が難しくなった」と考える企業は一定数存在する。パブリッククラウドに保存しているPIIの検索ができなくなったり、ガバナンス管理が不可能になったりしたケースもあるという。バートランド氏は「これは大きな問題だ」と話す。コンプライアンス戦略の目的は、データの保存場所がオンプレミスかクラウドサービスかにかかわらず、あらゆるPIIを検索、発見、管理できるようにすることだからだ。

---

　第3回は、従業員のコラボレーションツール利用に潜むリスクについて解説する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。