グローバルにビジネスを展開する日本企業にとって、訴訟リスクへの対策は重要課題です。
なかでも、米国などにおける「eDiscovery」は、対策を怠れば甚大な被害にもつながりかねません。(実際の訴訟事例については、こちらの「アップルとサムスンの訴訟事例から学ぶeDiscoveryの課題と対応コスト」の記事も参照ください。)
しかし、具体的な対応策となると、どうすればよいのかわからない部分もあるでしょう。
そこで本記事では、eDiscoveryの脅威とはどのようなもので、どのような対策が有効なのかについて解説します。
目次
日本企業も巻き込まれる米国訴訟のリスクとは
米国などの民事訴訟には、「Discovery(証拠開示手続き)」と呼ばれる制度があります。この制度では、当事者のうちの一方が、相手方に対して証拠開示を求めることが可能です。開示を求められた側は、裁判の内容に関連するあらゆる書類や情報をそろえて公判前に提出しなければなりません。
このDiscovery制度をデジタルデータに当てはめたものが、「eDiscovery(電子証拠開示手続き)」です。
eDiscoveryでは、電子メールや各種ファイルなどのような、コンピューターの中に保存された情報が開示の対象になります。デジタルデータは簡単にコピーできるため、どれが原本でどれが複製なのかを判別することは容易ではありません。また、編集や削除も簡単にできてしまうため、情報が改ざんされていないかどうかについても慎重な確認が必要です。
企業にとってITを活用することが当たり前となった現代では、書面よりもデジタルデータのほうが証拠として重要になるケースが多いでしょう。実際に米国の訴訟では、デジタルデータが決定的な証拠として採用されることも少なくありません。これは、デジタルデータの証拠能力について慎重な姿勢をとることの多い日本の訴訟とは異なる点です。
日本と米国とでは、訴訟における情報開示の考え方にも違いがあります。日本における訴訟では、相手方に渡すことで自らが不利になるような証拠の提出は、必ずしも求められません。これに対し、米国訴訟におけるeDiscoveryには極めて強い力があり、たとえ自らが不利になるような情報だったとしても、削除や修正を行わずに開示する必要があります。この違いを軽くみていると、いざeDiscoveryによる証拠開示を求められたときに対応することが難しくなってしまいます。
訴訟というと、日本では交渉決裂後の戦いの場というイメージが強いかもしれません。しかし、米国における訴訟は、むしろ「交渉の一環」のようなところがあります。そのため、グローバルなビジネスを行う日本企業にとって、米国で訴訟を起こされるというケースは十分にあり得ることなのです。
eDiscoveryへの対応策について事前に考えておくことは、海外進出を行う日本企業にとって必要なリスクマネジメントのひとつだといえるでしょう。
eDiscoveryへの対策は情報ガバナンスが基本
企業が保有しているデジタルデータは膨大です。業務プロセスに関する書類や製品開発における設計図などの各種資料、顧客リストやカスタマーサポートの対応履歴、会議の議事録や従業員の日報メールなど、数え上げればきりがありません。
それらが社内のあらゆる場所に格納され、しかも、その数は日増しに増えていきます。コピーと編集が繰り返されることによって、同じような内容のデジタルデータがファイルサーバーや従業員のパソコンの中にいくつも存在するということも珍しくないでしょう。
膨大なデータを抱えているという状況は、eDiscoveryへの対応を困難にする要因です。証拠の開示を求められた際には、訴訟内容に関連するデータをすべて集めなければならないからです。
社内に散らばる大量のデジタルデータの中から関連性のあるものだけを選り分ける作業には、莫大なコストがかかります。(具体的な試算コストについては、こちらの「アップルとサムスンの訴訟事例から学ぶeDiscoveryの課題と対応コスト」の記事も参照ください。)
どの情報がどこに格納されているのかが不明な状況になっているということは、当たり前ですが探し出すための時間もかかってしまいます。しかも、eDiscoveryは公判前の準備段階であるため、この作業は短期間のうちに行わなければなりません。コストや期間の面で対応が難しい場合は、不本意ながら和解に応じざるを得ないケースも出てきてしまいます。
このような状況に陥らないためには、eDiscoveryを踏まえた事前の情報管理の対策が必要です。その基本となるのが、全ての社内データのコントロールを可能にする「情報ガバナンス」への取り組みです。(ITガバナンスとの違いについては、こちらの「混同しやすい「ITガバナンス」と「情報ガバナンス」の違いとは?」の記事も参照ください。)
まず、保有するデータの量を減らすために、本当に残しておくべきデータと捨てても問題のないデータを選別することからはじめます。そのためには、データの選別基準をガイダンスとして定義しなければなりません。そのうえで、捨てるデータについては、機密情報が漏れないように配慮した適切な方法によって破棄します。
残しておくべきデータについては、集中管理を基本とすべきです。あらゆるデータの保管場所を明確に規定し、日々の業務プロセスと関連させて正しく保管します。有効期限がある情報については、期限がきたら破棄やアーカイブするような管理も必要でしょう。
また、データのコピーや改変が自由に行われて管理不能になっては意味がないため、コピーや改変可能な範囲についても明確に規定する事が重要です。
このようにして、社内のすべてのデジタルデータの所在を日頃から明確にしておくことができれば、eDiscoveryへの対応コストはある程度おさえられることが期待できるでしょう。
さらなるコスト削減にはデジタルフォレンジックの活用が有効
セキュリティ上の観点から、企業にはより厳重な情報管理が求められるようになってきています。
ファイルにパスワードをかけたり、ハードディスクや通信を暗号化したりというような努力を行なっている企業も多いでしょう。これらはサイバー攻撃による情報漏洩などを防ぐために必要な対策ですが、eDiscoveryを難しくしている面もあります。セキュリティが高いほど、大量のデジタルデータを選り分けて短期間で必要な情報を集めることが難しくなり、その分だけコストが増してしまうのです。かといって、eDiscoveryを容易にするためにセキュリティを弱めるわけにはいきません。
そこで役に立つのが、「デジタルフォレンジック技術」です。デジタルフォレンジックとは、ハードディスクやメモリーなどのようなコンピューターの各種記憶媒体を解析し、証拠となるようなデータを素早く抽出する技術のことです。このとき、OSの「カーネル層」から情報にアクセスできることが、通常の情報収集とは異なります。
カーネル層とは、コンピューターのハードウェアとソフトウェアの橋渡しをする部分のことです。そのため、たとえハードディスクや通信が暗号化されていても、デジタルフォレンジックを用いれば、直接、生の情報を読み取ることができます。さらに、ファイルが削除されたり改ざんされたりしていたとしても、元の情報を復元することが可能です。
デジタルフォレンジック技術があれば、企業が保有する膨大なデジタルデータを横断的に高速に解析して、必要な情報を迅速にみつけ出すことができます。
この技術は、もともとは事件などの証拠を収集するための特別な技術でした。例えば、コンプライアンス違反のような問題が発生した際に、その経緯を社内で調査するというのが本来の使い方です。
しかし、現在ではサイバー攻撃による脅威を被害が広がる前に検出したり、機密情報の漏洩を未然に防いだりなど、より広範囲な活用も行われるようになってきています。このソリューションをeDiscoveryに活用すれば、訴訟に関連する情報をより素早く集めることができるため、大幅なコストダウンが見込めるでしょう。
デジタルフォレンジックでグローバルなビジネスへの備えを
いかがでしょうか。デジタルフォレンジックは、セキュリティ事故や訴訟対応など、さまざまな脅威から企業を守るために欠かせない技術です。コンプライアンス違反やサイバー攻撃、機密情報の漏洩などだけでなく、米国における訴訟へのリスクマネジメントにも有効です。
デジタルトランスフォーメーションの実践でITを業務に積極的に利用している企業はもちろん、ビジネスをグローバルに展開する企業にとっては、より有効な技術といえるでしょう。