ビジネス+IT

ビジネス課題別で探す

ITジャンル別で探す

会員限定

2014年11月17日

e-Discoveryとは何か? 日本企業が備えるべきデータマネジメントの基本と留意点

昨今、価格カルテル(独禁法違反)の摘発や製造物責任訴訟などによって、日本企業が莫大な賠償金額を支払ったり、取り締まりの対象となることが増えている。各種メディアによる報道では、賠償金額や制裁金額の大きさばかり目立つが、直面した企業はそれ以外の対応にも多額のコストと時間を費やしている。特にe-Discovery(電子証拠開示制度)対応は、その中でも大きな割合を占める重要な手続きの1つである。そこで本稿ではe-Discoveryを紹介するとともに、日本企業において備えておくべきポイントについて解説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。

執筆:デロイト トーマツ サイバーセキュリティ先端研究所 村上 尚矢

e-Discoveryとは何なのか

 米国民事訴訟の手続きの一つとしてDiscovery(証拠開示制度)がある。これは陪審審理、裁判官審理の前に訴訟当事者同士が訴訟に関連するすべての資料を自ら収集し、開示する制度のことである。現在、企業に存在する資料のほとんどが電子データで作成されているため、電子データの開示手続をe-Discoveryという。

photo

米国の民事訴訟手続きの流れ


 数年前まで日本企業が把握していたe-Discoveryリスクは、NPE(Non Practicing Entity:特許不実施主体)からの知的財産侵害訴訟か製品の欠陥などによる製造物責任訴訟(PL)であったが、ほとんどが早期和解となるため、大規模なe-Discoveryを経験した企業は極めて少なかった。

 しかし、ここ数年で頻発した自動車部品メーカーによる価格カルテルの摘発によって、多くの日本企業が日本本社や米国だけでなく欧州なども対象となる広範囲なe-Discovery対応を経験することになった。

 訴訟対応で弁護士や証拠保管者(Custodian)に対応する時間、e-Discovery対応に費やすコスト、制裁金のダメージなどが明らかになるにつれて、企業経営における大きなリスクであると認知され、カルテル対策と同時にe-Discovery対策も重要課題であると認知されはじめている。

e-Discovery対応のEDRMとデータマネジメント

 e-Discoveryでは、企業に存在するすべての電子データから訴訟に関係する電子データを収集し提出しなくてはならない。しかし、企業内に存在する電子データ量は膨大であり、訴訟に関連するものだけを漏れなく把握し収集することは簡単ではない。

 また、電子データは容易に情報を更新できるため、誤った扱いをした場合、証拠として認められず、最悪な場合、削除、隠蔽の疑いによりペナルティを課され、訴訟に不利に働くことがある。

 また、e-DiscoveryにはEDRM(Electrical Discovery Reference Model:電子情報開示参考モデル)という基本的なワークフローがあり、基本的にはこれに沿ったプロセスを踏んで電子データを収集し分析、提出しなければならない。e-Discoveryに備える企業にとっては、このプロセスにしたがって対応することが非常に重要となる。

photo
(クリックで拡大)

e-Discoveryの流れ(EDRMの概略)


 訴状を受け取る、もしくは召喚状が届くところからe-Discovery対応が始まる。対応開始後、速やかに実施しなければならないのが「データマッピング(Data Mapping:情報収集)」と「リティゲーションホールド(Litigation Hold:文書消去防止)」である。

 証拠となるデータを誰が持っているか、どこにどんな形式で保管されているかを把握し、それが削除されないように通知し維持しなくてはならない。

 証拠データは個人が使用しているパソコン、部署のファイルサーバ、電子メール、スマートフォン、クラウドシステム、基幹システム、バックアップテープなど、さまざまな方法で、さまざまな場所に存在している。

 保存している媒体の確認は資産台帳やシステム担当者へのヒアリングによって確認できるが、どんな情報が保存されているかまで把握するのは難しい。資産登録されていないUSBメモリや外付けHDDがもし存在した場合、それは訴訟担当者から見えず、開示対象から漏れてしまうリスクにつながる。

 拠点や部署が違うことにより管理ルールが複数必要になる場合もあり、e-Discovery担当としては電子データの存在を正確に把握するために、どの部門の誰と連携し、必要に応じて外部の専門家を使うなどの判断をしなくてはならず、必要以上にデータマッピングとリティゲーションホールドに時間を要してしまうことで生じるリスクもある。

 そのため、e-Discoveryに備えためのポイントの一つとして、現状の「データマネジメント」をきちんと把握しなくてはならない。開示すべきデータは訴訟により異なるので、提訴ごとに情報収集の範囲とどこに何が保存されているかを把握するところからはじめる必要がある。

 全社員がe-Discoveryについて熟知する必要はないが、国際訴訟リスクがある企業のリスクマネジメントとして、e-Discovery対応時の体制とフローは準備しておいたほうがよいだろう。

【次ページ】電子データの保存期間は何年に設定するべきか?

内部統制 ジャンルのトピックス

一覧へ

内部統制 ジャンルのIT導入支援情報

一覧へ

PR

注目のIT導入支援情報

一覧へ

注目のイベント・セミナー情報

一覧へ

イベント・セミナー情報の登録(無料)

記事アクセスランキング

イベント・セミナー情報アクセスランキング