SOX法対応の難関「VoIPデータ管理」――法律専門家が指南するアプローチとは:Interview
SOX法ではさまざまな情報の保存が義務付けられている。電子記録の中でもかなり厄介なVoIP電話のメッセージについては、どこまで管理すればいいのだろうか?
SOX法では電子データの保存も義務付けられているが、保存方法、保存範囲などはまだ明確に規定されていない。
企業への導入が進みつつあるVoIPメッセージの記録管理は従来の電話メッセージの場合とどう違うのか、保存すべきデータをどう判断すればいいのか、企業が電子記録を扱う際に犯しがちな過ちは何かなどを、電子情報の権威であるアダム・I・コーエン氏に聞いた。同氏の共著書は、既に米連邦地方裁判所の電子開示に関する4件の画期的な判決で引用されている。
アダム・I・コーエン氏は、ウェイル・ゴットシャル&マンジェス法律事務所のニューヨーク事務所訴訟部門のパートナーを務めている。電子情報に関連する開示と文書保存の問題に関する活動により全米で評価を得ており、『Electronic Discovery: Law and Practice』(電子開示:法と実践)の共著者でもある。2003年に刊行されたこの権威ある入門書は、既に米連邦地方裁判所の電子開示に関する4件の画期的な判決で引用されている。コーエン氏に、電子記録の中でも最も厄介なVoIPデータを、CIOはどのように扱うべきかについて話を聞いた。秘訣(ひけつ)を一言で言えば、会社の弁護士の指示どおりにすることだ。
―― VoIPメッセージの記録管理は従来の電話メッセージの場合とどう違うのですか。
コーエン デジタル方式の電話では、いろいろな種類の通話記録が残ります。昔ながらの方法ではなくデジタルな方法を使うと、記録の保存に関して新たな難問が生じるのです。例えば、アナログ方式の従来のボイスメールでは、保存方法について考えるべきことは、あまりありませんでした。
しかし、デジタルなボイスメールシステムと、ボイスメールをWAVEファイルに変換して電子メールで送るシステムの組み合わせでは、まったく新しい使い勝手が得られるとともに、まったく新しい貴重な証拠と情報が作成されることになります。こうした情報は、ほかの形式の情報と同じように保存義務の対象になる可能性があります。覚えておくべき重要なことは、ある記録が保存義務の対象かどうかを判断する際、記録が保存されるメディアの種類はほとんど関係がないということです。また、VoIPなど、デジタル情報のさまざまな記録を残す通信システムの種類が増える中、企業にとっては、情報管理のポリシーと手続きを強力に推進することが、ますます重要になっています。
―― 企業は保存すべき記録をどう判断するのですか。
コーエン 保存しなければならない記録は、メディアや通信技術の種類ではなく、内容によって決まります。例えば、VoIPシステムで作成された年次報告書関連の記録がある場合、その記録がVoIPシステムで作成されたことは、保存義務とはまったく無関係です。年次報告書とどう関連しているかを見極めなければなりません。「これはこのメディアに収められているし、この記録はこのアプリケーションで作成したものだから、保存のことを心配する必要はない」というようなわけにはいかないのです。
―― 企業と接していて、「電話の通話であれば記録を保存する必要はない」と考えているところは多いと思いますか。
コーエン 確かにそう思います。保存義務の範囲が厳密にはどこまで及ぶのかは、特定の種類のメディアに関してははっきりしない部分が多々あります。いまだにそうした議論の中心になっている大きな問題は、バックアップテープです。裁判所が結局は、「これこれの種類の情報の保存が義務付けられていたのは、妥当ではなかった」という判断を下す可能性は十分にありますが、保存義務の一般的な解釈の仕方は、もっとメディアから独立しています。場合によっては、「負担やコストという点から、これこれの情報の保存は義務付けられるべきではない」という議論もあり得るかもしれません。しかし、例えば、「VoIPシステムで作成される情報は、保存する必要がある種類の情報ではない」という判決事例はないのですから、そうした情報のうち、何らかの保存義務が適用される事項に関連するものについては、保存すべきです。
―― 企業が電子記録を扱う際に犯しがちな最大の誤りは何ですか。
コーエン まず、保存する必要がない情報も保存してしまうことです。その場合、規制調査や訴訟への対応に必要な情報を用意するために保存情報を調べ、その結果を点検しなければならなくなったときには、莫大なコストが掛かってしまいます。そこでやっと、ビジネスの役に立たず、法的な保存義務もない情報を保存して、余計な負担を増やしていたことに気が付くことになります。
2つ目は、情報管理のポリシーと手続きの検討、実施を徹底していないことです。大企業のネットワークが無秩序に拡大し、機密性の高い情報を多く含む膨大な情報がそうしたネットワークで生み出されていることには驚かされます。そうした企業では、適切な管理対策を行い、保持する情報の取捨選択をきちんとした根拠に基づいて行うためのポリシーと手続きの実施は、あまり進んでいません。
3つ目は、デファクトの情報ポリシー、つまり社内で実際に実施されているポリシーを把握していないことです。そうしたポリシーの多くはIT部門の主導で決定、実施されています。例えば、IT部門の誰かがストレージ容量の問題から、運用中のサーバ上の電子メールを90日ごとに削除すると決めます。その後訴訟を起こされたり、調査が入っても、誰もその削除のことを知らなかったり、削除を中止する必要がありそうなことをIT部門に伝えようとしない、といったことが起こってしまいます。
―― それはわれわれの読者にとって肝心な点です。全社的なコンプライアンスのプロセスにCIOが関与しなければならないということですね。
コーエン そのとおりです。CIOと弁護士の連携がポイントになります。企業が電子情報の紛失で処分を受けたケースの99%は、弁護士とIT担当者の何らかのコミュニケーション不足に原因があると考えられます。IT部門を法的問題への対応体制に組み込んでいないことは、よくある重大な誤りです。米モルガン・スタンレーはその最たる例でしょう。また、数年前に判決が出た大手保険会社ユナム・プロビデントの訴訟事件も興味深い事例です。判決書は、社外弁護士と社内弁護士の間で、そして同社の技術担当者と同社のバックアップシステムを担当したIBMの間で、どのような連絡の不備があったかをまざまざと浮き彫りにしています。
―― VoIPメッセージで非常に悩ましいのは、ボイスメールがデジタル送信・保存されるため、その記録を作成する際には、書き取っておかなければならないことです。
コーエン 確かに。将来的には、その負担が考慮され、そうする必要がなくなる可能性もあります。しかし、そうはならないかもしれません。当局の人々と接していると分かりますが、彼らは負担の議論になかなか耳を貸しません。
今のところ、もともと記録が存在しない領域については、記録を作成しなくてもかまわないということになっています。口頭のコミュニケーションの記録を残すことが通常の慣行ではないのであれば、保存義務のためだけにわざわざそれを録音して、記録を作成する必要はありません。テープレコーダを持ち歩いて、訴訟や調査に関連することを誰かに話すたびに、録音しなければならないというわけではないのです。
(この記事は2005年7月21日に掲載されたものを翻訳しました。)
Copyright © ITmedia, Inc. All Rights Reserved.