アーカイブすべきデータを見極めよ
保管するデータを取捨選択するポイントを考える今日のIT部門にとって、ストレージに関する業務は悪夢のようだ。法規制による要求は拡大し、電子記録が訴訟で重視されるようになった。そのため、あらゆるデータを保管しなければならないという強迫観念にとらわれている企業もあるほどだ。だが、実際に全データを保管するのは不毛であり、必要に応じて保管データを特定することが必要である。では、そのためには何をすべきなのだろうか。
過剰なデータ保管は
訴訟時のリスクになる
現在、消費されるストレージ容量はさらに増加しており、IDCによると2008年のディスク・ストレージ出荷容量は2007年から40.5%増加したという。一方、ストレージ・メディアの価格は確実に下がっており、IDCによるとギガバイト当たりのディスク・ストレージの価格は2007年から2008年にかけて27%以上安くなっている。
それでも、全データを恒久的に保持することは長期にわたる管理の問題となり、データを探し出す必要が生じた際には頭の痛い問題となりかねない。アナリストや弁護士、ベンダーらは、一部のデータを削除することで、その状況が改善される――しかし、慎重に行わなければならないと語る。IT部門としては、計画を立て注意深く実行し、そして単独では行わないようにするべきでである。
「神経質になりすぎて、データを捨てられない企業が増えている」と、IDCのアナリスト、リック・ビラース(Rick Villars)氏は語る。データが蓄積されていくのを何年も放っておけば、事業の継続も覚束なくなる。「保管すべきデータと捨てるべきデータを区別できていないから、全データを保管することになるのだ」と同氏。
保管データを過剰に抱えることの問題は、ディスクおよびテープのコストや管理の手間が増えるということだけではない。訴訟の際に、莫大なコストが発生する可能性があるのだ。e-Discovery(電子情報開示)のために必要となるデータを探し出し、集計するには100万ドルはかかるだろうと、EMCのe-Discovery/コンプライアンス担当バイスプレジデント、アンドリュー・コーエン(Andrew Cohen)氏は語る。
研究者らは、過剰なデータ保管や、不適切に情報を削除して自社を危険にさらすことを避けるために、さまざまなステップを踏んで確認作業を行うことを勧めており、そうした作業を支援するテクノロジーも存在する。だが、最終的には人手による作業が必要になると研究者らは述べている。
保管すべきデータの
特定がIT部門の役目
企業は、さまざまな目的でデータを保管する。特に近年は、SOX法(Sarbanes-Oxley Act:米国企業改革法)やHIPAA(Health Insurance Portability and Accountability Act:医療保険の相互運用性と説明責任に関する法律)といった法的規制が強まり、特定のデータを所定の期間保管することが求められるようになった。
しかし、データの保管自体がリスクにつながるおそれもある。訴訟の際にはe-Discoveryの要求に基づき、企業のデータとデータ管理が厳密に精査される。保管データが多くなるほど要求事項も増え、不利な事実認定がされる可能性が高くなるのだ。
また、データの保管と削除のポリシーが厳密で一貫性のあるものでない場合には、裁判において、あるデータが入手不可能なことを理由に、「疑わしきは罰せず」の恩恵が受けられない可能性も出てくる。
しかも、多くの場合、法律にはデータ保管について最低限のことしか規定されていない。連邦民事訴訟規則(Federal Rules for Civil Procedures:FRCP)においては、ストレージに関する意思決定方法のガイドラインが定められているが、何をすべきかが記されているわけではない。
何年にもわたってデータ関連の法規に従ってきた企業には、記録管理に特化した部門がある場合もある。だが、法律は複雑化していく傾向があり、国によっても異なるため、その種の部門では、データへの要求事項に関する分厚いマニュアルを所持している。それはIT部門によって簡単に書き換えることのできるものではない。
では、IT部門には何ができるのか。「まずは保管すべきデータを特定し、そのデータを保管する意味を明確にする。そのために、データ分析ソフトウェアの活用というITに果たせる重要な役割がある」と、Enterprise Strategy Groupのアナリスト、ブライアン・バビノー(Brian Babineau)氏は語る。
Exterro、Vivisimo、Autonomy、Digital Reefなどは、企業がどのようなデータを保有し、従業員がそのデータをどのように使用しているかを特定するのに役立つソフトウェアを提供している。これは、法律への準拠や企業自身の目的のために、どのデータを収集し保持すべきかを決めるのに役立つはずだ。
また、「保管すべきデータ量を最小限にするためにIT部門は、データ保持ポリシーを微調整することができるし、また、すべきである」と、Forrester Researchのアナリスト、アンドリュー・ライヒマン(Andrew Reichman)氏は語る。ただし、法廷で主張できるように、厳密で一貫したポリシーが必要になる。テクノロジーがポリシーを作成してくれるわけではないのだ。
バビノー氏によれば、そうしたことを実践するために「IT部門とコンプライアンス部門の意見を一致させる必要がある」という。このプロセスは困難なものだろう。2つの部門の考え方が根本的に異なるからだ。データについて、IT部門はアプリケーションや部門との関連に着眼し、コンプライアンス部門は知的財産などの観点から考察する傾向がある。
彼らを共働させることは企業にとっての課題である。「部門をまとめることで解決してきた企業もあれば、コンプライアンスの専門家がIT部門にアドバイスを行うだけという企業もある」(ビラース氏)
- 1
- 2
