データ保持に関するあらゆる議論には、法的な要素が常に絡んでくるため、ITの専門家が避けがちな話題となります。正直に言えば、誰もそれらを責めることはできません。なぜなら、どのデータを削除できるかという判断には、重大な法的な影響が伴うからです。一方で、データ保持の方針を定めないことは、ストレージコストの増加を招くだけでなく、法的な問題を引き起こす可能性もあります。このような背景を踏まえ、本記事ではデータ保持ポリシーを策定する際の考慮点を紹介します。
議論の目的上、この記事における「記録(record)」という用語は、すべてのデータではなく、ビジネス上有意義なコンピューターシステムデータを指します。紙の記録にも類似した特性がありますが、本議論はコンピューターシステムデータに焦点を当てています。
データ保持方針の重要性
電子データ保持戦略の主な目標は、以下の3つにまとめられます:
上記のリストをさらに分析すると、すぐに最初の項目がデータ保持の主な理由であることに気づきます。データは後で必要になるかもしれない(知識やリソースの宝庫であるため)ことや、法的な理由から保持されます。2番目の項目は、なぜ戦略が必要なのかを示しています。私たちが望まないのは、必要以上にすべてのデータを永久に保持することだからです。3番目の項目は、必要なときに記録を見つけたりアクセスしたりすることができなければ、単にそれらを保持することには意味がないということを強調しています。
データ保持方針の導入動機
データ保持方針の目的はすでに明確に述べられています。しかし、依然としてこれに影響を与えるビジネス上の要因があります:
コスト削減のためのデータ量の削減
低コストでデータ管理を簡素化
規制遵守(法令規制、プライバシー保護)
データ保存コストの削減は、多くのデータ保持ポリシー導入の動機となるかもしれません。単純な保存コストに加えて、複雑な保存およびバックアップ環境の管理に伴うコストや、データセンター拡張への影響もあります。重複排除技術は一定程度役立ちますが、主に影響を軽減するものであり、根本的な原因に対処するものではありません。つまり、データ圧縮は重要ですが、圧縮すべきデータ量そのものを減らすことがより重要です。
どのデータを保持し、どのデータを削除すべきか?
データ保持の最初の検討事項は法令遵守です。自社が法的に保持することが義務付けられているデータとその保持期間についてです。データ保持戦略を策定する際には、初期のデータ分類が必要です。分類における主なポイントは次のとおりです。
そのデータは一時記録ですか?ログファイルや下書き、作業用文書のコピーは一時記録とみなされる可能性があり、長期保存の候補にはなりにくいです。
データは主に知識的属性で構成されていますか? このようなデータは、有効である限り、時代遅れになるまで保持する必要があります。
そのデータは長期の記録ですか? 契約書、申告書、患者情報、または営業秘密などの文書は、一定の期間、場合によっては無期限に保存する必要があります。
当該データは情報公開及びプライバシー保護法の対象となりますか? このような場合、文書は必ず破棄される前に特定の期間保管しなければなりません。
それは正当な業務データですか? 従業員はよく、音声や動画ファイルなどの個人的・非業務的なデータを会社の記憶装置に保存することがあります。
法的活動において、当該データは法的開示の対象となりますか? 明確なデータ保持方針が存在しない場合、被告側にとって困難が伴い、訴訟に関連する文書をすべて見つける必要があるため、文書の開示コストが増加する場合があります。
最後に述べた点は、包括的かつ執行可能なデータ保持方針を策定する上での最も強い動機となるべきです。税務記録などのように、一定期間、法的に保持が義務付けられているデータもあれば、逆に削除が求められるデータもあります。例えば、2006年4月に米国最高裁判所が発表した電子証拠および電子発見に関する新たな規則では、企業が無期限にすべてのデータを保持する必要はないことが明記されています。この規則 は、企業がデータ削除を予測可能で繰り返し可能なビジネスプロセスとして実施した場合、その責任を免除されることを定めています。標準化され、日常的かつ自動化され、検証可能なメール削除が、その最たる例となるでしょう。データ保持方針は理解可能でなければならないと同時に、管理可能かつ執行可能でなければならないことも強調しておきます。これを実現するためには、データの分類は狭い範囲に限定されるべきです。
データ保持方針の管理
ここまでは、保持方針におけるデータ選定の目的、動機、および要点について説明してきましたが、依然として次の疑問が残ります。それは、この方針の作成および管理は誰の責任であるか、ということです。かつて紙の文書管理が行われていた時代には、この責任はレコードマネージャーに負われていましたが、多くの企業では紙の記録とともにこの職務も消滅してしまいました。 方針の策定には、ストレージ管理者、アプリケーション担当リーダー、および幹部スタッフの協力が必要です。 実際には、IT部門がストレージの増加を抑制する手段として、データ保持の推進および管理を主導する必要がある場合があります。
ポリシー自体は複雑であってはならず、代わりに、ポリシーへの準拠を示す文書に要約し、データ保持に関する詳細を記載する必要があります。 先にも述べましたが、ポリシーは管理可能かつ執行可能な状態でなければなりません。初期段階では削除可能または削除しなければならないデータに焦点を当て、必要に応じて範囲を拡大します。ポリシードキュメントは企業の法務顧問によるレビューを受け、全管理部門からの支援が必要です。これはIT部門のベストプラクティス文書ではなく、企業全体のポリシーとして扱われるべきです。ポリシーの改訂は必要不可欠であるため、毎年見直しを行い、その継続的な有効性を保証する必要があります。データ検出およびアーカイブソフトウェアはこの段階で役立ちます。誰も手動でデータを探して削除したくはありません。自動化ソフトウェアは、データの特定、移行、最終的な削除(例:ストレージのアーカイブ)を行うことで準拠性を保証します。
データの保持、そしてより重要であるデータの削除は、軽く扱ってはならない複雑な作業です。保持する必要がないデータは、法的に保存が要求されていないことが確認され次第、削除する必要があります。改めて強調しておきますが、法的助言を受けることは非常に重要です。組織は、法律や規制に精通していないという理由だけで、この重要かつ単純な作業を避けるべきではありません。わかりやすいデータ保持方針を策定し実施することによる利益は、それにかかる労力よりはるかに大きいのです。
重要なデータは常にバックアップを取る
データ保持方針の策定および実施にあたって、適切なツールを活用することで管理プロセスを大幅に簡素化し、コンプライアンスを向上させることができます。Vinchin Backup & Recovery は、仮想化環境、クラウド、物理環境を保護するために設計された包括的なデータ保護ソリューションです。VMware、Hyper-V、Proxmox、XenServer、oVirt など、多様なプラットフォームをサポートしています。このソフトウェアは、データ重複排除、圧縮、柔軟なバックアップおよび回復オプションなどの機能を提供し、ストレージ使用効率の最適化と迅速な復元を確実にします。
柔軟なデータ保持方法も提供し、日数、バックアップポイント数、またはバックアップチェーンによってバックアップデータを保持できます。このメカニズムにより、さまざまなアプリケーションシナリオやRTO/RPOポリシーに応じた柔軟かつ利便性の高いデータ管理が実現されます。
バックアップとリカバリのVinchinを使用すると、VMのバックアップは非常に簡単です:
1. バックアップ対象を選択します。
2. バックアップ先を選択します。
3. バックアップ戦略を構成します。
4. 案件を確認して送信する。
以下にフル機能搭載の60日間トライアルをご用意しています! または、要件に応じてお問い合わせください。貴社のIT環境に合わせたソリューションをご提供いたします。
データ保持方針 よくある質問
1. Q: データはどのくらいの期間保持する必要がありますか?
保持期間は、データの種類、業界の規制、組織のニーズによって異なります。ポリシーは通常、法規制、業界標準、およびGDPR、CCPA、その他の規制などの内部要件に基づいて策定されます。
2. Q: データ保持とデータアーカイブの違いはなんですか?
データ保持はデータをどのくらいの期間保持するかを定義し、データアーカイブは、現在積極的に使用されていないデータを長期保存のためにストレージシステムに移動することを指します。
結論
データ保持ポリシーは、単なるコンプライアンスツール以上の戦略的資産です。これにより、データを保護し、リスクを軽減し、コストを最適化することができます。明確な保持方針を策定することで、複雑な規制環境に対応し、機密データを安全に保ち、運用効率を維持することが可能になります。データ保持ポリシーを積極的かつ戦略的に実施することは、リスクを最小限に抑えるだけでなく、より効率的で堅牢なデータ管理の基盤を築くことにもなります。
