有事を想定したインフォメーションガバナンスの要諦

I. 経営リスクとして捉えられ始めた「インフォメーションガバナンス」の欠如

機密情報の漏えいや開示すべき情報の隠蔽、あるいは談合や品質不正などのインシデントに適切に対処するうえで、大きな鍵を握るのがインフォメーションガバナンスである。端的に言えば、インフォメーションガバナンスとは保有している情報を内容まで含めて把握し、 コントロールできる状態を維持することだと言える。文書が各所に散在し、関連する書類やデータがすぐに見つからない、どれが最新であるか判断できないなどといった状況が放置されてしまうと 、不正を未然に防止するための書類のチェックやモニタリング、さらにはトラブル発生時の調査や対外説明においても大きな支障が生じることとなるためである。

その分かりやすい例として、何らかの不正が発覚したとき、マスコミなどに対して事件の経緯や不正の詳細など対外的な説明を必要とされるケースを挙げることができる。これらの説明を適切に行うためには、社内に残された文書や履歴を精査し、不正の実態を明らかにすることが欠かせないだろう。 自ら不正の全貌を明らかにすることが、信頼回復に向けた第一歩となるためである。しかし、調査に必要な文書の所在が分からない、社内外のメール送受信履歴が適切に保存されていないといった状況では、不正がどのように行われたのかを明確化できず、失われた信頼を取り戻すのは困難になってしまう。

このような文書情報管理／インフォメーションガバナンスの欠如は、経営リスクになりかねない。そのため、昨今では中期経営計画にインフォメーションガバナンスの確立を項目として含める企業も少なくない。

また多くの企業で重要なテーマとなっている、デジタルトランスフォーメーション（DX）を推進するうえでもインフォメーションガバナンスは重要である。このDXの具体的な取り組みとして、ビッグデータやAIのテクノロジーを用いた分析による将来予測や制御の自動化などが挙げられる。 これらを行うために必要となるのはデータだが、その出所が不明で内容を信頼できるかどうかの判断もできないなど、インフォメーションガバナンスが欠如している状態では、分析結果を信頼することはできず、制御の自動化にも踏み込めないだろう。

特にDXではデータが重要な位置を占めることから、「データインテグリティ」に注目が集まっている。インテグリティとは誠実や真摯などの概念を指す用語であり、データインテグリティではデータが完全性や一貫性を持ち、正確であることを保証するといった意味になる。 このデータインテグリティを実現するために求められるのが、ALCOA原則やCCEA原則と呼ばれる要件を満たすことだ。
 

ALCOA原則

• Attribute：帰属性。データの帰属が明確であること
• Legible：判読性。データを読み、理解できること
• Contemporaneous：同時性。発生と同時に記録されること
• Original：原本性。データがコピーではないこと
• Accurate：正確性。正確であること

CCEA原則

• Complete：完全性。データが完全であること
• Consistent：一貫性。データに矛盾がないこと
• Enduring：耐久性。データが消失しないこと。また消失に備えた対策を講じること
• Available when needed：必要な時に閲覧できること

データインテグリティを達成するためには、これらの要件をドキュメントライフサイクル全般に渡って満たす必要があり、インフォメーションガバナンスが確立されていなければ実現することは極めて困難である。

II. インフォメーションガバナンスの確立に向けたプロセス

このインフォメーションガバナンスを確立するための第一歩として、まず取り組みたいのは社内に存在する文書の洗い出しなどを行うアセスメントである。対象となるのは紙文書だけではない。社内のファイルサーバーやクラウドストレージ、あるいは各従業員が利用するPCに保存されたデータも対象となる。

これと同時に進めたいのが文書管理規定の見直しである。文書管理規定は多くの企業で整備されているが、見直されることは少ない。一方、現在は多くの文書がデジタルデータで生成・保管されているため、文書管理規定が現状に即さない状況となっているわけだ。

そのため、文書管理規定と現場における文書情報管理の乖離を捕捉し、またデジタルデータも視野に入れて文書管理規定の見直しを図っていくことが不可欠である。場合によっては、既存の文書管理規定を手直しするのではなく、ゼロベースで新たなルールを整備するといったことも検討すべきだろう。

この文書管理規定の再整備において意識したいのは、文書を取り巻く様々なルールへの適応である。たとえば米国の民事訴訟においては、当事者に対して事件に関連する証拠の開示が求められる「Discovery」という制度があるが、このうちメールなどの電子データに関わるものが「eDiscovery(電子証拠開示)」として、 2006年12月の連邦民事訴訟規則（FRCP）改定によって義務付けられた。民事訴訟で訴えられ、eDiscoveryによって証拠開示が求められると、基本的に企業は訴訟の発生時または訴訟発生が予測可能になった時点以降、リティゲーションホールド(訴訟ホールド)をかける。このプロセスで関連データの変更や削除を停止・禁止し、関連データの保全・収集を行う。その後、情報を審査するプロセスであるレビューを経て、必要なデータを相手方に提示するという流れだ。 日本においても、こうした証拠開示請求を受ける事態が発生することを想定し、必要なルールを文書管理規定に盛り込む必要がある。

また、現在の文書情報管理においては、ITの活用が不可欠となるだろう。具体的には、総務部門や法務部門が制定した文書管理規定を効率よく運用するために、文書情報管理システムをIT基盤としてIT部門が整備するという形である。ここで気をつけたいのは、利用する基盤を想定してルールを作成することである。

言うまでもなく、文書管理規定は制定して終わりではない。その内容に従って運用することが重要である。この運用において、負担軽減などのメリットをもたらすのが文書情報管理システムであり、その機能を無視して文書管理規定を作成すれば、 運用フェーズにおいて無用な負担を現場に強いるなどといったことになりかねない。このため、ルールを作る総務部門や法務部門と、文書情報管理基盤を整備するIT部門が密に連携し、インフォメーションガバナンスの確立に向けた取り組みを進めていくべきであろう。

なお、現状ではアクセスコントロールやログの保存、あるいはバージョン履歴の管理など、文書情報管理基盤としての機能を備えたクラウドサービスも存在する。こうしたサービスを活用すれば、負担を抑えて文書情報管理基盤を整備することが可能である。

テレワークでの業務遂行を考えるうえでも、こうしたクラウドサービスの活用は有効だろう。在宅勤務であっても、適切に管理された環境で文書やデータを扱うことが可能となるためである。今後テレワークがさらに広まることを考えると、文書の扱いがより重要な課題になることは十分に考えられる。そうした課題の解決策として、クラウドを活用した文書情報管理基盤の整備をぜひ検討したい。

III. おわりに

デロイト トーマツ ファイナンシャル アドバイザリーでは、クライシスマネジメントの観点からインフォメーションガバナンスの確立に向けた支援を行っている。

不正の予防（Readiness）から対処（Response）、そして回復（Recovery）というクライシス・インシデント対応におけるプロセス全般において多くの経験や知見を有しており、それらの視点からインフォメーションガバナンスの確立に向けた取り組みを支援できることが我々の特長である。

冒頭で解説したとおり、インフォメーションガバナンスが確立されていなければ、インシデント発生時に適切に対処することができず、回復に向けた取り組みを迅速に進めることが困難になってしまう。また、インシデントの予防の観点においても、インフォメーションガバナンスの欠如は、リスクの放置や危機の増大につながりかねない。不正リスクを低減・最小化するためにも、インフォメーションガバナンスの確立に向けた取り組みを早急に進めるべきではないだろうか。

※本文中の意見や見解に関わる部分は私見であることをお断りする。

執筆者

デロイト トーマツ ファイナンシャルアドバイザリー合同会社
Product & Solution統括
フォレンジックテクノロジー統括
パートナー　齋藤 滋春