QUNIE

2020.04.30

インシデントリスクと向き合い有事に備えよ

【第2回】電子データに潜むインシデントリスク

eDiscoveryに備えるために

芝 啓真 

Summary

  • 企業内には活用されていない無駄なデータ=「ダークデータ」が多く存在し、インシデント発生時には企業ダメージ増大の原因のひとつに
  • eDiscovery対応ではデータ量がコストに直結。ダークデータをいかに減らすかが、コスト削減へのカギ
  • 平時よりデータ整備を行って検索性を高めておくことで、データの調査効率が向上し、さらなるコスト削減が可能

電子データの危うい現状

連載第1回では、俯瞰的リスクマネジメントについて解説し、有事を知らずに平時のリスクマネジメントはできないことを述べた。第2回では、前回述べた意識外のリスク(潜在リスク)の中から、特に電子データの持つインシデントリスクについて詳しく解説する。

電子データを保存するためのストレージコストはここ30年間で約100万分の1になっており、現在は低コストで大量のデータを持ちやすい状況である。そのため、企業内には何十年と保管されたメールアーカイブ、無秩序なファイルサーバー、複数のシステムに散在する重複したデータ、退職者が使用していたドキュメントなど、さまざまなデータが大量に存在している。

一方で、その大量の電子データに対して、統一化された文書管理ルールを持つ企業は少ない。フォルダやファイルの命名規則や階層構造については、個人や部署に一任された状態であり、全くの他人が必要なデータを探し出すことは困難な状況である。

企業内のIT部門や管理部門を対象としたSplunk社の調査結果[1]によれば、回答者の約3割が、企業内に存在するデータのうち75%はただ蓄積されているだけのデータであり、活用できていない不明なデータ(ダークデータ)であると感じている。つまり、ストレージコストの低下によって企業の持つデータ量は増加したが、文書管理ルールの不備などにより、どんな情報が含まれているのか分からないダークデータの量も増加してしまっている。

この状態でインシデント(不正・不祥事など)が起こるとどのようなことになるか。インシデントの原因究明に必要なデータを探し出す対象データの量が増えることは、調査にかかる時間とコストの増加につながる。原因特定に時間がかかることで、対外発表も遅れ、想定外のコストがかかったうえに企業の評判も下がり続けていくことになってしまう。

インシデントはどんな企業でも必ず起こるものであり、発生を100%防ぐことはできない。

そのため、インシデントが起こることを想定した準備や被害を抑制する取り組みの整備など、いわゆるインシデントリスクマネジメントを企業は行うべきである。しかし、第1回でも述べたように日本企業におけるインシデントリスクに対する取り組み優先度は低く、対応は不十分であるのが現状だ。ゆえに、実際にインシデントが発生した際には、電子データを多く持ちすぎていることが企業へのダメージを深刻化させることにつながってしまう。

eDiscoveryというインシデントリスク

本項では、企業におけるインシデントリスクの一つとしてeDiscoveryを取り上げたい。eDiscoveryとは、アメリカやイギリスなど共通法を採用する諸外国の電子証拠開示制度であり、訴訟に関連する情報をお互いに開示し合う制度のことをいう。訴訟に関連する情報を相手に開示するためには、必要な情報を探し出す必要がある。では、どこから探し出すのか。メールサーバーやファイルサーバー、関係者のパソコン、スマートフォンだけでなく、過去のアーカイブされた(バックアップテープに保存された)データも対象となることがある。もちろん前述のダークデータも対象として探し出さなければならない。そのため、情報の探索を外部の専門業者に依頼することになるが、そこでかかるコストや要する時間は、保有するデータ量に比例してリニアに増加する。

eDiscoveryは海外展開しているグローバル企業にとっていつかは発生し得るインシデントリスクであるが、発生を事前に予測することは難しい。一般的に、企業は発生時期が不明なリスクに対する予算を持たない。しかし、突発的に発生するeDiscoveryには多額のコストがかかり、会社経営にダメージを与えるため、十分な備えをしておかなければ適切に対処することはできない。一つのeDiscovery対応にかかる平均コストは約1億円以上とも言われ、大規模な事例では数年間で100億円以上の費用が発生する場合もある。

コストの内訳を見てみると、その約70%をドキュメントレビューと呼ばれる工程が占めている。これは、キーワード検索などで機械的に絞り込んだデータを人が見て(レビューして)、訴訟における証拠としての要・不要を判断する作業だ。しかし、一般的なケースにおいては、レビューしたドキュメントの90%程度は不要と判断される。これはキーワード検索の対象となるデータの全体量が多いことや、さまざまな場所から集められたデータに対してキーワード検索をかけるため、訴訟に関連のないデータも多数検索にヒットしてしまうことが原因と考えられる。

つまり、eDiscovery対応にかかるコストを削減するためには、企業内のデータ量を減らすことが必要となる。しかしeDiscoveryには期限があり、一度対応が始まるとコスト削減まで十分に考慮する余裕はなく、火事場となるケースを筆者は数多く見てきた。無駄なコストをかけたくないのであれば、日頃から意識して事前に準備しておくことが重要だ。

eDiscovery対応型電子データマネジメントとは

eDiscovery対応のコストを減らすためには、企業内のデータ量を減らすことが重要であると前項で述べた。そのためには次の2点を考慮すべきであると筆者は考える。

  1. 無駄なデータを持たないこと
  2. データの絞り込みが容易にできること

1の「無駄なデータ」の例としては、長年持っているだけのメールアーカイブや、さまざまな箇所に散在した重複データなどが考えられる。すなわち、先述のダークデータと呼ばれる、蓄積されているだけで活用されていないデータである。これらの無駄なデータを削減することによって、eDiscovery対応の対象となるデータの全体量を減らすことができる。

2の「データの絞り込みが容易にできること」とは、eDiscovery対応に必要なデータの対象範囲を特定しやすくする取り組みのことである。例えば、eDiscovery対応の対象となったある人物が複数の部署を異動していた場合、現在だけでなく過去に在籍していた部署のデータもeDiscovery対応の対象となる可能性がある。その際、部署内の一部のデータにのみアクセス権があるのであれば、その一部のアクセス可能データのみを対象と特定することができる。さらに、現在の部署だけでなく過去の部署のアクセス権の履歴も追うことができれば、各部署内のフォルダすべてをeDiscovery対応の対象とすることなく、当該人物がアクセスできたフォルダのみを対象とすることができる。

この2点を考慮しながらデータのマッピングや取捨選択、各種取り組みの整備を行っていくことになるが、第1回でも述べたように、インシデント対応の経験則や知見なくしてこれら平時のリスクマネジメントを行うことは不可能だ。調査対象とするデータを限定するための合理的な動機付けや、それを実現できる手法の事前導入など、eDiscoveryが実際に起きたときに何が起こるのかを踏まえた専門的な視点が必要である。

本稿ではインシデントリスクの一つであるeDiscovery対応という観点で、電子データに関する取り組みについて述べたが、無駄なデータが減り、必要なデータを見つけやすくするこれらの対応は、業務効率化につながる対応でもある。インシデントへの対応を考えることは、効果の高い業務効率化を実現することとも言えるのだ。

  1. [1] 「ダークデータ(未活用データ)の現状」, Splunk, https://www.splunk.com/ja_jp/form/the-state-of-dark-data.html, (参照 2020年4月29日)

芝 啓真

インシデントリスクマネジメント担当

マネージャー

デジタル・フォレンジックの専門家。数多くの企業不正や海外訴訟対応の経験を持つ。QUNIEではインシデント対応だけでなく、平時のインシデントリスクマネジメントについてのコンサルティングを主に技術面で担当する。

  • facebook

ページ先頭へ戻る

CLOSE