防衛産業サイバーセキュリティ基準のポイント解説

eDiscoveryの基本:Information GovernanceとIdentification

杉山 一郎
杉山 一郎

EY Japan Forensics フォレンジック・テクノロジーリーダー/サイバー・アシュアランスリーダー EY新日本有限責任監査法人 プリンシパル

2025年8月5日
関連トピック
テクノロジーリスク
テクノロジー
リスク
法務
Forensics
サイバーセキュリティ
アシュアランス

事業活動の礎となる情報を適切に管理することは、リスクの最適化とデータ利活用の両立を可能にし、企業価値向上の重要な基盤となります。本稿では、情報管理の枠組みの1つである情報ガバナンス(Information Governance、以下IG)の基本概念と重要性に加え、訴訟対応などの場面で不可欠となる情報の特定(Identification)について解説します。

要点

  • IGは、企業が組織内の情報を適切に管理し、法的リスクを低減するための枠組みであり、情報が経営資源の1つである現代において、組織の持続可能な成長を支えます。
  • IGを適切に実践することによって、eDiscovery対応時の効率と精度が向上し、有事対応における法的リスクの軽減のみならず、コスト削減が期待できます。
  • Identificationは、訴訟や調査に関連する情報を迅速かつ正確に特定する重要なプロセスであり、eDiscoveryの成功に寄与する初期工程です。

1. はじめに

IGとは、企業をはじめとする組織が保有する情報をどのように管理しているかに焦点を当て、法的セキュリティ上のリスクを最小限に抑え、コンプライアンスを遵守するための方針や手順を定義する取り組みです。これはEDRMフレームワーク※1(以下、EDRMという)の第一段階とされ、適切かつ効率的なeDiscovery対応を遂行するために平時から取り組むべき重要なプロセスです。また、EDRMの第二段階であるIdentificationは、訴訟や調査に関連する情報を特定するための重要なプロセスであり、あらかじめIGを適切に実践しておくことでその作業効率と精度が向上します。

クラウドサービスの普及やデジタルトランスフォーメーション(以下、DXという)の推進により、企業が保有するデータ量とその活用機会が飛躍的に増加しています。一方で、2018年に施行されたEUの一般データ保護規則(GDPR)をはじめとするデータ保護規制の強化が世界的に進んでいる現状を踏まえると、IGはeDiscovery対策の観点からだけでなく、企業がコンプライアンスを遵守しながらデータを利活用し、成長を促進する点においても、その重要性が高まっていると考えられます。

本稿では、IGの基本的な概念とその重要性、IdentificationのプロセスとそのeDiscoveryにおける役割を解説します。

※1 EDRMは「Electronic Discovery Reference Model」の略で、電子情報開示制度を概念化したモデルです。法的な紛争や調査の際に、電子的な形式で保存されている情報(電子情報)を適切に管理し、開示するための一連のステップを定義しています。参考:eDiscoveryとEDRM ― 米国民事訴訟における証拠開示制度

2. IGの定義と目的

IGという言葉は多義的に使われていますが、一般的には、企業が保有する情報を適切に管理・運用し、法的リスクを低減するとともに、その情報を有効活用することで、企業の成長や戦略的な意思決定を支援するための枠組みや取り組みを指します。

企業が保有する情報資産は、顧客データ、業務データ、財務データなど多岐にわたり、戦略的な意思決定に不可欠です。しかし、これらの取り扱いを誤ると、プライバシー侵害、データ漏洩、法令違反など、企業にとって重大なリスクを引き起こす可能性があります。情報の分類や保存ポリシーの策定、アクセス権限の管理、データ可視化と共有に関するガイドラインの整備など、データやシステムに対して適切なポリシーとガバナンスを確立・運用することで、法的リスクの低減と効率的なデータ活用の両立が可能となり、持続可能な経営戦略の策定に役立ちます。

経済産業省が公表している“デジタルガバナンス・コード“においても、「データ活用やデジタル技術の進化による社会及び競争環境の変化が自社にもたらす影響(リスク・機会)も踏まえて、経営ビジョン及び経営ビジョンの実現に向けたビジネスモデルを策定する」ことが企業価値を向上させるための重要な考え方とされています。さらに2024年の改訂では、データが企業の成長に欠かせない要素になってきていることを踏まえ、経営におけるデータ活用やデータ連携の重要性が一層強調されると同時に、今後さらに増大し高度化・複雑化していくおそれがあるサイバーセキュリティリスクへの対応として、情報資産を適切に管理・運用する仕組みや体制の構築が重要視されています。

出典:経済産業省「デジタルガバナンス・コード3.0 ~DX経営による企業価値向上に向けて~」、www.meti.go.jp/policy/it_policy/investment/dgc/dgc3.0.pdf(2025年7月25日アクセス)


平時から適切なIGを実践している場合、eDiscoveryにおいても、必要な情報を迅速かつ正確に特定して収集することが可能になり、訴訟にかかるコストや法的リスクを低減できます。反対にIGが不十分な場合は、重要な情報を見落とす、あるいは期限内に証拠を提供できないリスクが生じ、コストの増大や訴訟における制裁の可能性が高まります。

これらの点を踏まえると、IGは企業の成長や戦略において中核的な役割を果たし、組織が直面するさまざまな課題に対処するために不可欠だと考えられます。

3. IGのフレームワーク

IGを実践する際に企業や組織が参考にすべきフレームワークの1つに、Information Governance Reference Model(以下、IGRMという)があります。このモデルは、組織が保有する情報資産の価値を最大化することに加え、保有に伴うリスクとコストとのバランスを図るべく、情報管理に関わる各ステークホルダー(法務部門、IT部門、記録管理部門、ビジネスユニットなど)間の協力を促進する目的があります。

モデルの外周部分は、「(情報の)ビジネス上の必要性・価値」を理解し、「(情報保有に伴う)法的要件・規制」を確認・遵守し、「情報を適切に管理するため、プライバシーとセキュリティ」を確保する必要があることを示します。中心には情報のライフサイクルが配置され、情報の作成から廃棄に至る全ての段階において、外周に配置された各要素を考慮した情報管理が重要であることを示しています。ビジネス部門やIT部門、法務部門など、異なる役割を持つステークホルダー間でこのモデルを共有し、コミュニケーションをとることで、組織全体で情報の価値を理解し、統一された方針と手順を通じて情報を管理できます。最新のデータプライバシー規制やセキュリティリスクに常に配慮しながら、規定を定期的に見直し、保持しているデータの整備をするというサイクルを回し続けることが、IGの理想形です。

Information Governance Reference Model

出典:EDRM (EDRM.NET)「Information Governance Reference Model」、edrm.net/resources/frameworks-and-standards/information-governance-reference-model/(2025年7月25日アクセス)

IGに関するフレームワークや指針は、IGRM以外にもさまざまなものが存在しています。EYでは、あらゆる組織にとっての基礎となる、統合されたIGプログラム及びプライバシープログラムの基礎となる7つの原則を策定しており、情報管理の要件整理やリスク評価を行うことを推奨しています。

関連記事
プライバシーに関するインフォメーションガバナンスの重要性が増している理由とは

4. Identificationの重要性とプロセス

EDRMにおける第二段階であるIdentificationでは、訴訟や調査に関連する電子的に保存された情報(Electronically Stored Information、以下ESI)を特定します。この段階では、潜在的に関連するESIがどこに存在するかを特定し、eDiscoveryの後続段階であるPreservation/Collection、Processing、Review、Analysis、Productionに向けて準備します。

本段階で特定すべきESIには、電子メール、ドキュメント、データベース、ソーシャルメディア、クラウドストレージなど、企業が使用するあらゆる情報源が含まれます。適切なIdentificationが行われない場合、重要なESIが見落とされるリスクがあり、その結果、訴訟や調査において不利益を被る可能性があります。

Identificationには以下の内容が想定されます

  • 情報源の特定:組織内のESIがどこに保存されているかを把握します。これには、物理的な場所(オフィス、データセンターなど)とデジタルの場所(サーバー、クラウドサービスなど)の両方が含まれます。
  • カストディアンの特定:関連するESIを保持している可能性がある個人(カストディアン)や部門を特定します。これには、経営層、従業員、協力会社などが含まれる場合があります。
  • データマップの作成:情報源とカストディアンの関係を明確にするために、データマップを作成します。これにより、ESIの検索と収集が容易になります。

Identificationは、IGの枠組みの中で事前に計画された方針や手順と密接に関連しています。これらを適切に実践することにより、企業は法的リスクを最小限に抑えつつ、訴訟や当局対応などの有事に備えられます。

5. まとめ

本稿では、IGとIdentificationの基本的な概念とその重要性、及びeDiscoveryにおける役割について解説しました。IGは、企業が保有するESIを適切に管理し、リスクを低減しつつデータの価値を最大化するための重要な枠組みです。Identificationは、訴訟や調査に関連するESIを特定するための重要な工程であり、適切なIGの実践によってその効率と精度が向上します。

eDiscoveryは、IdentificationからPreservation/Collection、Processing、Review、Analysis、Productionに至るまで多くの時間と労力を要します。企業がeDiscoveryリスクに備えるためには、平時からのIGの実践が重要であり、必要に応じて専門家の支援を受けることが推奨されます。企業がこれらの取り組みを適切に実施することで、法令を遵守し、有事のリスク低減を図りながら、情報資産の戦略的かつ持続的な活用が可能になるのではないでしょうか。

【共同執筆者】

EY Japan Forensic & Integrity Services
布施 和弘、池上 弘樹、堀籠 恭平、木村 香穂

サマリー

IGは、企業が情報を適切に管理し、法的リスクを低減しつつデータの利活用を促進する枠組みで、eDiscovery対応の効率化にも寄与します。Identificationは訴訟等に関連する情報を特定するプロセスで、あらかじめ適切にIGを実践しておくことで、よりその作業効率と精度が向上します。

EYの関連サービス

EYの最新の見解

eDiscoveryとEDRM ― 米国民事訴訟における証拠開示制度

米国をはじめとした海外の民事訴訟や当局調査への備えがないと、意図しない証拠破棄等により制裁金を科されるリスクが増大します。またそうなった場合、レピュテーションの低下を招くなど、事業活動への重大なダメージにつながる恐れがあります。本稿ではeDiscoveryの概要とプロセスについて紹介するとともに、企業の訴訟戦略における平時対応の必要性と重要性についても解説いたします。

杉山 一郎

プライバシーに関するインフォメーションガバナンスの重要性が増している理由とは

IG原則はプログラムに不可欠な要素であり、法的要件やビジネス上の要件を満たす土台となって違反を最小限に抑え、ブランド認知の確立を促します。

EY Global

    この記事について

    杉山 一郎
    杉山 一郎
    EY Japan Forensics フォレンジック・テクノロジーリーダー/サイバー・アシュアランスリーダー EY新日本有限責任監査法人 プリンシパル
    日本におけるデジタルフォレンジックの黎明期から活躍するパイオニアの一人。
    関連トピック
    テクノロジーリスク
    テクノロジー
    リスク
    法務
    Forensics
    サイバーセキュリティ
    アシュアランス

    EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。