EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
Select your location
Local sites
調査および訴訟の過程において、エフェメラルメッセージを含むメッセージングアプリがeDiscovery(電子証拠開示手続)対応に及ぼすさまざまな影響について考察します。
要点
- エフェメラルメッセージを含むメッセージングアプリを巡る最新のガイダンスは、この新しいテクノロジーに対応するプロトコルの作成の重要性を示している。
- 法務部門のプロフェッショナルは、データ保全のニーズを支える事前対策を導入し、法的な証拠開示手続をサポートする事後対応プロセスを改善したいと考えている。
- 貴社は、メッセージの自動消去に伴うリスクを軽減する戦略を十分に立てていますか?
EY Japanの視点
今回の声明は米国の連邦取引委員会(FTC)と司法省(DOJ)によるものですが、米国でビジネスを展開している日本企業にとっても取り組むべき内容が含まれています。
米国での訴訟や調査を念頭においた情報管理の取り組みができている日本企業は決して多くないと考えます。
十分な情報管理が行えていない場合でも、今回の声明を受け、「自社がどのようなコミュニケーションアプリを使用していて、どのような規定で運用をしているか」、「訴訟や調査が合理的に予見された際にすぐに適用できるリティゲーションホールドの仕組みが存在するか」、この2点については最低限確認が必要であると考えます。
仮にデータ保全の義務に反し、訴訟や調査に必要なデータが消去されてしまうと、文書毀棄(Spoliation:以下、スポリエーション)と判断される場合があります。
スポリエーションは、証拠の改ざんや証拠隠滅などの意図的で悪質なものから、不注意による証拠の破棄や提出漏れなどが含まれる場合があります。スポリエーションと判断された場合、訴訟が不利になるリスクや懲罰的罰金が科されるリスクがあり、eDiscovery対応の中で最も避けなければならない状況と言えます。この点からも、今回の記事で言及されている既読後の自動メッセージ消去機能が備わっているエフェメラルメッセージアプリの利用に対しては十分注意を払う必要があります。また、実際の現場においては、ITの責任者でさえ、メッセージアプリのデータの保持規定や抽出機能について詳細に把握していないケースも少なくありません。
今回の記事で紹介している規制に限らず、企業内で導入が進む新しいシステムなどリティゲーションホールドの対象となるデータの増加へ適切に対応するには、情報管理やシステム利用などの規程を含めて組織の情報管理体制の見直しと、外部イベント(訴訟・調査)への対応策を早急に再考することが重要と言えます。
EYでは豊富な有事対応の知見を活用し、訴訟・調査への事前対策をサポートする、インフォメーションガバナンス・サービスを通して皆様を支援致します。
EY Japanの窓口
EY新日本有限責任監査法人
Forensics事業部
シニアマネージャー 池上 弘樹
※所属・役職は記事公開当時のものです
全3回シリーズの2回目である今回は、Forensic&Integrity Servicesチームが、エフェメラルメッセージ(既読後、一定時間を経過すると自動消去されるメッセージ)を含むメッセージングアプリがeDiscovery対応に及ぼすさまざまな影響(規制調査や訴訟の過程におけるデータ保全など)について掘り下げていきます。
「Updated DOJ and FTC guidance shows continued focus on third-party and ephemeral messaging」の記事全文をダウンロードする
エフェメラルメッセージを含むメッセージングアプリについてのデータ保全義務の概要
2024年1月、米国の連邦取引委員会(Federal Trade Commission、以下FTC)と司法省(Department of Justice、以下DOJ)は、エフェメラルメッセージを含むメッセージングアプリに対する企業のデータ保全義務を明示し、その順守を強調する共同声明を発表しました。この発表は、DOJが「企業のコンプライアンス・プログラムの評価(Evaluation of Corporate Compliance Programs、以下ECCP)」のガイドラインを改訂してからほぼ1年後に行われました。また、ECCPは、エフェメラルメッセージを含むメッセージングアプリに対する管理の強化も求めています。全3回シリーズの第1回目では、広範な情報ガバナンスプログラムの基盤を構築する一方で、ECCPに効果的に対応するために、現在、そして将来にわたって実行すべきステップをご紹介しています。
従業員の働き方は変化している
外部の顧客とのやり取りや、社内の同僚同士の連絡においてリアルタイムでの意思疎通がますます期待されている現在、メッセージングとコラボレーションをサポートするアプリケーションの急増に拍車がかかっています。エフェメラルメッセージを含むメッセージングアプリや従来のテキストメッセージは、eDiscoveryの要件を満たす上で大きな課題となる可能性があります。
FTCとDOJは改訂後のECCPに関する共同声明の中で、eDiscoveryにおいてのコラボレーションツールや情報共有ツールからのデータ保全に対する企業の義務を強調しました。最新のガイダンスでは、使用するプラットフォームにデータ消去機能が搭載されていても、「すべての応答メッセージ」を保全する必要性を強調しています。
多くの企業がECCPのガイドラインを満たすために、自社の規約やテクノロジーのニーズを継続的に精査しています。それに加えて、この2024年1月の共同声明によって企業は、従業員が希望するコミュニケーション方法の変化と、eDiscovery に関する要件の複雑化の両方にうまく対処しなければならないという、さらなる圧力にさらされています。
コンプライアンスとその結果:有効な社内規定が判決を左右する
企業が、新しいテクノロジーが開発されユーザーへリリースされるのと同じペースで、社内のシステム利用に関する規定を改訂し、規制に準拠していくのが理想ですが、残念ながら、実際には多くの企業がそれとはほど遠い状況にあります。リソースの制約や予算の縮小と、複雑な規制環境や新たなテクノロジーからもたらされるリスクとの間で、綱渡りの対応を迫られているためです。
エフェメラルメッセージを含むメッセージングアプリの台頭により、企業は eDiscovery対応において次のような大きな課題に直面しています。
- 証拠の欠如
既読後に消去される、または「見えなくなる」メッセージ、および保存期間が短く設定されたテキストメッセージは、調査や訴訟のための証拠開示の要件で求められるデータ保全や収集が多くの場合において不可能となります。
- 証拠隠滅のリスク
データが適切に保全されていない場合、多額の罰金、制裁、株主の信頼喪失、風評被害などの結果が生じる可能性があります。
- データの混在
エフェメラルメッセージを含むメッセージングアプリのデータを個人のデバイスから収集することは、特に米国以外の多くの地域で、データプライバシーの懸念を引き起こす可能性があります。
裁判所や規制当局からの要請に応えるために、企業のリーダーは、テクノロジーの進化とコンプライアンス要件の両方に対応できるよう、社内のシステム利用に関する規定や手続きをより頻繁に見直し、改善する必要があります。エフェメラルメッセージを含むメッセージングアプリの使用に関する有効な規約と手続き、またその基盤となるデータ管理を充実させることで、訴訟や調査の際に求められるデータの有効な保全を積極的に後押しすることができます。
その例を以下に示します。
- アプリ使用に関する明確な社内規定:企業は、エフェメラルメッセージを含むメッセージングアプリなどのテクノロジーおよびシステムについて、社内規定を明確に定義する必要があります。業務上のテキストメッセージの使用についても、社内規定に含めなければなりません。
- 会社支給のデバイスに関する社内規定:企業は、リスクの高い、または知名度の高い従業員に対して、また厳格なデータプライバシー法が適用されている法域において、会社支給のデバイスを採用するケースが増えています。これは、従業員のデータプライバシー維持に伴う複雑な問題を軽減しながら、証拠開示要件や規制当局の調査に応えてデータ記録の保持・保全義務を順守できるようデータ保持を実行するためです。
- 法的保持(リーガルホールド)ポリシー、研修、および執行:企業は、エフェメラルメッセージを含むメッセージングアプリの使用について従業員の理解を促し、法的要件の順守を支援するために、通知、保全、コンプライアンスモニタリングを重視するリーガルホールド・ポリシーを導入しています。
企業のリーダーは、訴訟および調査の観点から、事前対策の有効性および事後対応手続の効果を継続的に審査しなければなりません。 最近では、エフェメラルメッセージを含むメッセージングアプリのデータ保全のために、訴訟保持(リティゲーションホールド)プロセスの導入などの事前対策を講じた企業の例がいくつかあります。しかし、こうしたリティゲーションホールドの一貫した実施や、コンプライアンスのモニタリングを怠ったために、証拠隠滅の制裁を受けた企業もありました。このようなことから、エフェメラルメッセージを含むメッセージングアプリのデータの保全と、法的および規制基準の順守を後押しするために、社内利用規定の強化や、継続的なモニタリングの必要性が浮き彫りになっています。
ガイダンスへの戦略的対応:eDiscoveryへの効果的な取り組み
FTCとDOJの共同声明の観点から、エフェメラルメッセージを含むメッセージングアプリを使用する場合、eDiscoveryの要件を満たすために以下のような戦略の検討が必要です。
- 調査
メッセージが既読後に自動消去される「オフチャネル」のメッセージングアプリの使用実態を把握するために情報収集をします。貴社のeDiscovery戦略に必要な知識を得るため、従業員によるコミュニケーションの状況と範囲を理解します。
- 証拠開示対応計画の策定
オフチャネルのメッセージの保全が必要となった場合の証拠開示要件に対応するための手順をまとめます。こうした手続きは、電子的に保存された情報(Electronically Stored Information、以下ESI)の保全および収集の要件に沿ったものであるのと同時に、従業員のプライバシーを考慮したものである必要もあります。また、エフェメラルメッセージを含むメッセージングアプリにおけるデータの保全と収集におけるニーズをサポートする、デジタルフォレンジックとeDiscoveryの両分野のプロフェッショナルを特定する必要があります。
- 個人所有デバイスの業務使用(Bring Your Own Device、以下BYOD)と会社支給デバイス使用の管理戦略の差別化
BYODと会社支給デバイスを区別した明確な社内利用規定と利用方法を確立します。これには、研修、モバイルデバイス管理(Mobile Device Management:MDM)の使用、そして業務上のやり取りのデータを保存することについて明確に周知することが含まれます。
- リティゲーションホールドのレビューと更新
リティゲーションホールドにおけるメモや指示書では、エフェメラルメッセージを含むメッセージングアプリのデータが、重要なESIとして保全される可能性が高いという点を特に強調する必要があります。もし可能であれば、メッセージの自動削除や自動消去の設定をオフにできるようなガイダンス、またはリソースを対象者に提供します。これは従業員がモバイルデバイスのデータ保持設定をすでに変更している場合においても、テキストメッセージの保持に役立ちます。これにより、ESIのインテグリティが維持され、証拠隠滅を疑われるリスクが軽減されます。
- アーカイブプラットフォームの導入
効果的なデータ保全と収集を実現するために、エフェメラルメッセージを含むメッセージングアプリやテキストメッセージからのデータ収集をサポートする、アーカイブプラットフォームの導入を検討します。これは、貴社の業種や規制要件、およびBYODまたは会社支給のデバイスのいずれを使用するかに応じて、記録保持要件の通りに情報を収集し、従業員のコミュニケーションを管理するために役立ちます。
- 継続的なモニタリング
自社の規約やリティゲーションホールドに対する対象者の順守に関しては、1回の確認では不十分なため、継続的にモニタリングします。定期的な監査と報告は、規約違反の発見と防止に役立ちます。
課題対応から効果的なeDiscovery管理とコンプライアンスへ
新しいガイドラインは、企業のリーダーがリスク管理の重要な要素として、エフェメラルメッセージを含むメッセージングアプリに取り組む必要があることを明らかにしています。戦略的な事前対策によるコンプライアンスと事後対応の準備は、エフェメラルメッセージを含むメッセージングアプリをeDiscoveryの観点から管理する上で極めて役に立ちます。
テクノロジーとその使用方法の継続的な進化に伴い、現代の企業が直面する課題も変わり続けています。エフェメラルメッセージを含むメッセージングアプリに関する最新のガイダンスは、コンプライアンス、法務、ITのプロフェッショナルといったさまざまなステークホルダーを有し、慎重に検討が必要な企業に複雑な問題提起をしています。企業が歩むべき変革の道の第一歩は、規約、プロセス、実践およびテクノロジーの使用を徹底的に評価することです。そこで得た実態の把握や知識によって、効果的なeDiscovery管理とコンプライアンスを実現することができるでしょう。
本記事の執筆に当たり、Sydney Sollの協力を得ました。
EYの関連サービス
-
組織で発生する不正・不祥事や訴訟において、事案の全容を解明するために活用する組織内の電子データがますます重要になっています。EYの日本チームでは、デジタルフォレンジック調査で豊富な経験を有する多数のメンバーが、各国のEYのメンバーと連携して高品質なサービスを提供します。
続きを読む -
インフォメーションガバナンスから事後のデータ消去まで、EYは、eDiscovery(電子証拠開示手続)のライフサイクル全体を通じたサービスを提供します。
続きを読む -
EYのインフォメーションとプライバシーのチームは、貴社の重要なデジタル資産の保護および複雑なプライバシー規制要件の順守を支援します。
続きを読む -
企業の不正行為に対する規制当局の法執行やそれを許さない世間の風潮が強まる今、EYのプロフェッショナルは、企業によるインテグリティやコンプライアンスのフレームワークの強化をサポートします。実際に違反行為があったり、不正や贈賄の疑いが生じたりした場合には、EYのForensicsチームが速やかに対応し、会社を守る支援をします。
続きを読む
サマリー
FTCとDOJが発表した最新のガイダンスでは、既読後に自動消去されるエフェメラルメッセージを含むメッセージングアプリのデータを保全することの重要性が強調されており、職場におけるコミュニケーション手段が進化している現在、コンプライアンス上の課題が提起されています。本記事では、エフェメラルメッセージを含むメッセージングアプリについて eDiscoveryへの対応をサポートするための事前対策と事後対応について掘り下げています。