情報漏えい等のリスク回避に向けた、ドキュメントや記録の扱い・管理に関するルールの策定方法

IT・情報セキュリティ

 情報漏えいをはじめとしたリスクを回避するため、ドキュメントや記録の扱い・管理についてのルールを設けたいと考えています。リスクの洗い出しやプロセスの精査の方法、およびルール策定時に念頭に置くべき考えについて教えてください。

 文書管理の過程で、文書の生成・取扱・保管・発見保全・廃棄のプロセスにわたって作成されるルールに、記録情報管理プログラム(RIM)があります。このプログラムは、ビジネス活用の価値、法的社会的要求事項、資産性の観点などから検討がなされたうえで、作成されます。またこのプログラムは、個人情報の保護をはじめとした論点に対応するように作成されなければなりません。

解説

目次

  1. 文書管理ポリシー
  2. 情報ガバナンスの応用としての記録情報管理(RIM)
  3. 記録情報管理(RIM)プログラムについて考えるべきこと
    1. 透明性の原則について
    2. 法的社会的要求事項
    3. 考慮に入れるべき新しい論点

文書管理ポリシー

 企業活動において、文書(ドキュメント)に関して起こりうるリスクとしては、情報漏えいをはじめ、以下のような事象が発生した場合の対応リスクがあります。

  • 情報漏えい
  • 海外訴訟
  • 独占禁止法への抵触
  • 腐敗行為
  • 不正行為

 これらの問題について、具体的に問題が起きた場合には、フォレンジック、その中でも特にドキュメントレビューという作業がなされることもあり、対応のために大きなコストがかかることは、いうまでもありません(フォレンジック、その中のレビューについては、「デジタルデータに対する調査(フォレンジック)の概要と実施例」を参照ください)。しかしながら、普段のビジネスの過程において、効率的な対応を可能とする工夫や問題発生時の影響を最小限とする手法などをとっていれば、万が一の際にも、合理的に対応することが可能となります。
 「備えあれば憂いなし」といわれますが、上記の法的リスクに備えるためには、平時からの体制構築が不可欠です。この文書管理ポリシーは、「情報ガバナンスの体制構築方法と各要素」で「ポリシーの構築」として紹介したプロセスの、文書管理に対応するものです。

情報ガバナンスの応用としての記録情報管理(RIM)

 情報ガバナンスの基本的な考え方とそれに基づく枠組みの構築については、「情報ガバナンスの体制構築方法と各要素」で触れました。また、その枠組みのなかで、ドキュメント管理や営業秘密管理のポリシーといった記録情報管理プログラム(Records Information Management、RIM)が、重要な役割を示していることも図示したところです。ここでいう「記録」とは、法的な義務の履行または業務処理の証拠として作成・保存されるものをいい、記録情報管理プログラムは、その生成/利用、取扱(保管/アーカイブ)、保存/セキュリティ、保全/発見、廃棄のプロセスにわたって作成されることになります。

EDRMの情報ガバナンス参照モデルをもとに著者が作成

EDRMの情報ガバナンス参照モデルをもとに著者が作成

 具体的なガイドラインにおいては、個々の情報について、ビジネス活用の価値、法的社会的要求事項、資産性の観点から洗い出しがなされます。
 上記のプロセスのもとで、それぞれについて以下の点などが明らかにされる必要があります。

  • 情報がどのような責任者のもとにあるか
  • 情報がどこに存在するか
  • 情報に対し、どのようなアクセス等がなされるか

 特に、法的社会的要求事項という観点からは、海外訴訟対応・独占禁止法対応・不正調査対応・腐敗防止対応の観点を踏まえた枠組みの構築が考えられるべきです。

記録情報管理(RIM)プログラムについて考えるべきこと

透明性の原則について

 現代社会において、一般消費者との接点を持つ組織等においては、特に説明責任を果たすことが、会社、ひいては経営者の義務の1つであると認識すべきでしょう。また適切な対応がなされれば、ブランドの評判を維持できるばかりか、場合によってはその評価を高めることができるともいわれます。

法的社会的要求事項

 法的社会的要求事項について検討すべきものとしては、まず、保存についての書面の求めがあります 1。また要式性の問題もあります 2。さらに、記録期間についての法的な定めについても配慮が必要です。具体的な法的要求事項としては、たとえば当該情報が個人情報に該当する場合においては、個人情報保護法に定める個々の要求事項があげられます。この場合は、個人情報保護プログラムとして定めを設けることも考えられます。

 これらの事項に関する具体的なプログラムとしては、要求事項を順守する仕組みを構築したうえで、上記の海外訴訟対応等のリスクへの対応を考えていくことになります。現在においては、電子メールやデジタルドキュメントに関する保存のルールを定めて一定の期間経過をした場合に完全に消去してしまう仕組みに加え、一定の問題が起きた場合には関連するドキュメントをできるだけ迅速に識別し、それを保全する仕組みを構築するプログラムの必要性が高まっています。

考慮に入れるべき新しい論点

 上記の法的社会的要求事項を満たすために留意すべき事項として、スマートフォンなどの個人が所有するハードウェアの業務使用(BYOD)への対応、データの証跡性の確保の困難さがあるクラウドコンピューティング対応、SNS(ソーシャル・ネットワーク・サービス)利用に対する考え方 3、監査の変容 4 などを検討する必要があります。


  1. 例 カルテは5年保存(医師法24条2項)など ↩︎

  2. 例 定期借地・定期建物賃貸借契約も書面によってなすことが成立要件(借地借家法22条、38条1項) ↩︎

  3. SNSなどを企業の公式な意思公表システムとして利用している場合には、その活動の記録を保全する仕組みが必要になります。 ↩︎

  4. CAAT(コンピュータ利用監査技法)ツールを使用した取引件数・金額の分析や、異常項目の抽出等の手法を前提とする会計の仕組みを構築しておく必要があります。 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する