« 女子7種競技の果たす役割 | トップページ | 弁護士人材紹介と弁護士法72条 »

2007年8月28日 (火)

IT統制とメール管理(その3)

「あっ!、この本おもしろそう~♪」と思って衝動買いしましたのが「株式会社はどこへいくのか」(日本経済新聞出版社)。上村教授と金児昭氏との「掛け合い」を一冊の本にまとめたものであります。金児氏の「財務会計」モノはほとんど拝読させていただいておりますので、今回も新会社法に関する金児氏のご意見に興味を抱いておりましたところ、お読みいただいた方はおわかりのとおり、そのほとんどが上村教授のご意見で占められておりまして、それはそれでたいへん読みゴタエのある本であります。(ただし、まだ半分ほどしか読み終えておりませんので、前半部分までの感想であります。しかしここまで上村教授がご自身の意見を述べられるのも、ある意味でスゴイなぁ・・・と。(^^;; )またどこかのブログで、この本に関するご意見などが開陳されることを期待しております。。。

さて、以前「IT統制とメール管理」というシリーズをエントリーしまして、かなり多方面の方々よりご意見を頂戴いたしました。当時は「財務報告に係る内部統制報告制度におけるIT統制にはメールの管理は重要な要点となるのか」といった問題の立て方だったと思うのでありますが、少し趣旨は異なりますが、本日(8月27日)日経朝刊の「法務インサイド」にて「メール消去は命取り?」といった企業におけるメール管理に関係する話題が採り上げられておりました。基本的には米国民事訴訟法上のディスカバリー制度(2006年12月から施行されているE-ディスカバリー規則)の紹介と、日本企業としての対応方法に焦点をあてたものですので、海外子会社のある企業や、海外親会社の日本法人を対象としたものであります。したがいまして、日本の全ての事業会社向けのメール管理ということではありませんが、E-ディスカバリー規則には「善意による電子保存情報紛失に関する制裁条項の適用制限」がありますので、会社の正当な理由によってメールを消去した場合には、民事上、刑事上の制裁を受けない、といったことが規則化されました。こういった規則内容から、企業としては電子保存情報管理規則を速やかに作成して、これを施行することが勧められております。そして、そのひとつの具体例として、企業としてはメールは3ヶ月ごとにサーバーから消去すること・・・といった規則を作り、すみやかにデータ消去をはかるべきことが述べられております。(なお、Eディスカバリー規則に関する内容は、雑誌「ビジネス法務」の10月号より連載されておりますので、詳しくお知りになりたい方はそちらをご参考にされてはいかがでしょうか)

以前「IT統制とメール管理」をエントリーしたときに、知り合いのSEさんにお聞きしたところ、社内メールを長期間にわたって保存するということは「非現実的」とのことで、「もし、本気で数年分の社内メールを(メール内容まで特定できる形で)保存したいのであれば、おそらく何億もの費用を要するでしょう」とのことでありました。記録用テープが大量に必要ですし、どこに何が書いてあるのか(あるいはどんな添付ファイルが存在するのか)、特定するのであればそのための人員も確保しなければならない、ということであります。私自身としては、企業内で発生した不祥事の事実認定の有力な証拠になることや、外部からの捜査等への協力体制としては最低限度、メールの管理は不可欠であって、内部統制報告制度の一貫としても重要なIT統制の一部ではないか・・・とも思ったのでありますが、どうも「費用対効果」といった面からしますと、かなり「非現実的」な考え方だったのかもしれません。

しかし、法律上保存義務が課せられている文書や電子保存情報は別として、一般の事業会社としては「電子保存情報は3ヶ月程度でサーバーから消去する」といった情報管理規定は、米国民事訴訟法対応といった特別の理由でもないかぎりは、ちょっと保存期間としては短すぎるのではないでしょうか。メール自体、内部統制の評価の場面においては「情報と伝達」といった構成要素をなしているものでしょうし、また統制システムの運用状況を内部監査人がチェックしていること自体を「文書化」したものとして、事業年度の期末日までは確保されるべきものでしょうから、最低限度1年間は保存すべきものだと思われます。もちろん、メールの種別を区別して、内部統制システムの評価に関わるものとか、経営者不正の証拠となりうるような情報伝達に関わるものなどを別途保存する、といった運用も考えられるかもしれませんが、その区別自体に多額の費用を要するようにも思いますので、一括してメールを保存しておくほうが現実的ではないでしょうか。会社法上の内部統制システムの構築ということになりますと、経営判断の原則が妥当するところではありますが、取締役や従業員の職務の適正を確保するための体制ということには、その職務の適正を担保するものとして、意思伝達の記録化も重要な要素であろうと思われます。そうであるならば、メール管理に関する一般原則を議論したうえで、個別に除外すべき合理的な理由を検討していくほうが妥当ではないかと思います。(システム監査などに携わっていらっしゃる方へお聞きしたいのでありますが、実際1年分のメールを管理する・・・ということも、やはり多額のシステム費用を要することなのでしょうかね?またお時間のあるときにでも、メールかコメントにてチョロっとお教えいただけますと助かります)

|

« 女子7種競技の果たす役割 | トップページ | 弁護士人材紹介と弁護士法72条 »

コメント

本日のエントリーで、「社内メールを長期間にわたって保存するということは「非現実的」とのことで、「もし、本気で数年分の社内メールを(メール内容まで特定できる形で)保存したいのであれば、おそらく何億もの費用を要するでしょう」と記されていますが、最近のASPサービスを用いれば、コストは驚くほど安くなります。

 この点について、2ヶ月ほど前に投稿した内容を再現しますと、「最近、私どものところに導入したメール管理システムは、従業員300人程度の我々の規模の場合、月間コストは10万円程度です。これで、スパンメールの防止、機密情報漏洩の防止のほか、過去のメールがDVDに保存され、必要なときには瞬時に再現してくれます。こうしたビジネスは、もっと拡大してもいいのではないかと思います」。
 
 エントリーで、最低1年は保存すべきとされていますが、私の体験では、5年間は保存すべきと思います。前に記しましたとおり、「メール管理システムは、不正防止の抑止力になり、いざ不祥事が発生すると社内捜査に絶大な力を発揮し、裁判沙汰になれば強力な証拠能力が認定されるという八面六ぴの大活躍が期待されます」ので、裁判における証拠能力の必要性まで考えれば、最低5年間は必要ではないでしょうか。

 それでも、コストは、5年間で6百万円です。この程度のコストですむのであれば、とお考えの方も多いのではないかと思います。いずれにせよ、少なくとも「ビジネス法務の部屋」は、世間をミスリードすることがないよう、先生、よろしくお願いします。

投稿: unknown | 2007年8月28日 (火) 07時48分

どうもでございます。
システム管理の担当者ではありませんが(笑)。

容量のことだけを考えるのであれば、
メールに頻繁に動画を添付でもしない限り
毎日数十通以上のメールを送受信してもたいした量にはなりません。
ということを前提としてG-mail(グーグル・メール)などは
事実上上限なしということでやっていってるわけです。
安全上の問題はクリアしなければなりませんが、
どちらにせよシステム管理を完全に自社内で完結させている企業は
少なく、外部に委託していることがほとんどであるわけですから、
「物理的に独立したメール・サーバ」を持っていなくてもいいと
割り切れるのであれば、また「記録テープ」方式で持ってなくてもいい、
と割り切れるのであれば、いくらでもやりようがあるとは思います。
そこまで割り切れれば、数年間分の保管をかなり安価で行える、はず。

また、メールの種別を自動的に行うソフトはおそらくあるでしょう。
むろん完璧なものは無理でしょうけど、宛先やメールの大きさ、
タイトルなどでおおよその区別はつけられるでしょうし、
スパムメールを弾くソフトのようにメールの体裁から識別させることも
可能でしょう。

問題は「手元に、有形のものとして持ってないとダメ」とする感覚と
そうさせてしまう法律にあるように思います。
事件があれば現状ではサーバやハード・ディスクを証拠として
差し押さえたりしてますが、
それが外国にある場合はどうするのか。

だいたい、電子メールってどこに「存在」するものなのでしょうか?

それと…スパムメール、あれも残さないといけないのでしょうか?(爆)
識別してはいけないとすればそういうことになります。

. . .


 重要でかつ危ういことは証跡の残るメールではなくて電話で。
 電話もそのうち保管義務化されるかもしれないから
 (だいたい社内外で盗聴されてるかも?)、手紙をバイク便で。
 バイク便の配達人の身元は確かか?心配だ…。
 ということで、わが社では伝書鳩を使うことになりました。
 何せ鳩は買収されないから…

 …てなことも冗談ではなくなるかもしれません(笑)。

投稿: 機野 | 2007年8月28日 (火) 10時22分

ご指摘ありがとうございます。

了解いたしました。
このブログが世間をミスリードするほどの影響力があるとは思えませんが、エントリー内容には責任を持つべきですので、明日までにもうすこし正確なところを調査のうえ、ご報告したいと思います。

投稿: toshi | 2007年8月28日 (火) 10時27分

えっと、補足いたしますと、
私の真意はunknownさまとは逆で、
「たとえやりようがあったとしても、そんなことまでせなあかへんの?」
ですので(笑)。

. . .

昨日、話題の『シッコ』という映画を観まして、
そこに描かれていることだけが、或いはその全てが正しいわけではない
(マイケル・ムーアの主観ですから)
としても、アメリカ合衆国の耐え難く悲惨な歪みに震撼させられました。
あんな国の作る制度がマトモであるはずがない(爆)。
もちろんこれは冗談ですが、資本家が政治家を買収してしまえると
民主主義は機能不全になるんだなあ…合衆国の内部統制はボロボロだなあと
これはもう確信せざるを得ませんでした。

余談ですみません。

投稿: 機野 | 2007年8月28日 (火) 11時26分

たいへんおもしろいテーマですので、ちょっとSEさんともお話して回答を出そうと思ったのですが、本日SEさんが体調を崩されましたので、もうすこし回答をお待ちくださいませ。

いつもながら機野さんのご意見も考えさせられるところですね。
これ、弁護士からみるとおもしろいです。

「ここまですればいい」という判断も要求されますし、内部統制を証拠開示と結びつけて、有利な証拠化をはかろうとする立場を思い浮かべると「もっとしなければならない」という判断も要求されるでしょうし。外部第三者委員会の委員の立場からみると違った意見が出るかもしれませんし。

投稿: toshi | 2007年8月29日 (水) 14時38分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック


この記事へのトラックバック一覧です: IT統制とメール管理(その3):

» 内部監査人の責任と役割とは [なるほど新会社法~これならわかる新会社法~]
内部監査人とは、内部統制の目的をより効果的に達成するために、内部統制の基本的要素の一つであるモニタリングの一環として、内部統制の整備及び運用状況を検討・評価し、必要に応じて、その改善を促す職務を担っています。内部監査人が業務を遂行するには、内部監査の対象となる組織内の他の部署等からの制約を受けることなく、客観性を維持できる状況になければなりません。内部監査の有効性を高めるため、経営者は、内部監査人から適時・適切に報告を受けることができる体制を確保することが重要です。... [続きを読む]

受信: 2007年8月31日 (金) 00時49分

« 女子7種競技の果たす役割 | トップページ | 弁護士人材紹介と弁護士法72条 »