- 情報インフラ構築支援 Tech Community HOME
- キーマンが語る
- 何がためのコンプライアンス対策?
EMCが考える「これからの情報管理」の未来予想図を、さまざまな分野や立場、視点からご紹介します
何がためのコンプライアンス対策?
カテゴリー : キーマンが語る
インタビュー記事
2008/06/30
著者 : デニス・ホフマン
はじめに
コンプライアンスへの取り組みでは、先行した米国においても、いまだ多くの企業が対策に追われています。
今回は、そうしたコンプライアンス対策における米国企業の現状と、企業がまず取り組むべきことを紹介します。
コンプライアンス違反の"発覚"を恐れる米国企業
「どのようにコンプライアンスを確立させていくべきか」──というテーマに対して、日本の皆様が高い興味を示しているそうですね。実は米国の企業も同様です。
なぜ、コンプライアンスに対する関心が高まったのか。理由は明確です。
規制が出来上がったからです。
この規制に対し、当初はIT系の技術者が高い関心を示しました。自分達の業務に影響するからです。最近では経営者など、エグゼクティブ層にまで関心は広がっています。自分達に影響を及ぼすことを理解したからでしょう。
しかし、この"興味"の中には"恐れ"も含まれます。「自分の会社が問題を起こして、それが明るみに出たらどうしよう?」──そんな恐れを抱く企業が増えているのです。
コンプライアンス違反が明るみに出ることで、法律的な罰則を受けることも起こりうるし、法律的には違反とされなくても企業のブランドに傷が付きます。企業が恐れを抱くのも無理はないと言えるでしょう。
米国のカンファレンスで、企業の皆様とお話する機会があったのですが、そのときにはずいぶんと率直な意見が出ました。「自分達が新聞沙汰になるような事件を起こさないためには、どうしたらいいのでしょう?」というものまでありました。米国企業はいまだ、コンプライアンス対応において、多くの悩みを抱えているのです。
日本企業の方からは、「米国企業は完璧にコンプライアンス対策をしているのではないですか?」といった質問を受けますが、そんなことはありません。まだまだ対応不足な企業だってたくさんあるのです。
コンプライアンスにおける対応方法は1つではない
ところで、一口にコンプライアンス確立と言っても、その対応方法は1つではありません。
まず、法規制に対応する必要があるでしょう。これはどの企業にとっても共通する規制です。しかし、法規制対応だけでは不十分な場合があります。
例えば米国では先日、クレジットカード業界のセキュリティ基準「PCIデータセキュリティ基準(Payment Card Industry Data Security Standard:以下、PCIDSS)」が策定されました。
V I S A 、M a s t e r C a r d 、J C B 、American Express、Discoverというグローバルに利用されているクレジットカードを提供する5社が、共同で策定したものです。
この基準は、カード会員のカード情報や取引情報などを保護し、カードの不正利用や情報漏洩などを軽減することを目的としています。クレジットカード会社は、法規制に加え、PCIDSSにも遵守しなければならないのです。
この例が示すように、法律とともに自分が属する業界の対応を理解することも必要になるでしょう。
データ管理をもう一度きちんと見直すべき
コンプライアンス対策において、ITが果たす役割は重要です。万が一、データ漏洩事件が起こってしまったら、それがたとえ技術的な問題が原因であったとしても、その企業に対する印象は悪くなってしまいます。法律違反を問われるだけでなく、「この会社は、どのようにデータ管理をしてきたのか?」と疑問を持たれてしまいますから。
では、ITはどうあるべきか? 私は「データ管理」というものをもう一度、考え直すべきだと思います。
「まず、データ管理を見直しましょう」と申し上げると、「そんな基本的なことでいいのですか?」と驚かれるお客様もいらっしゃいます。しかし、案外、基礎的な部分がきちんと整備されていない企業が多いのです。
一口に「データ管理」と言っても、そこには3つの側面があります。第1にデータをアクセスする人。第2にデータそのもの。そして第3としてデータインフラ。「データ管理」というのは、この3つの点をそれぞれで考えるべきものです。しかし、残念なことに「データ管理」といっても、3つのうち1つしか想定されていないことが多いのです。
データをうまく管理するコツ「卵は1つのカゴに集めよ」
データをうまく管理するコツをいくつか、ご紹介しましょう。まず、物理的にデータを統合すること!アメリカのことわざに、「卵は1つのカゴに集めよ!」というものがあります。これは、卵が割れないように、きちんと守っていこうとするなら、バラバラの場所に置くのではなく、目の届きやすい場所に、それも1か所に集中させなさいという意味です。
このことわざを「データ」に置き換えて考えてみてはいかがでしょう。データセンターをあちこちに置けば、すべての場所に目を届かせるのも一苦労です。データを管理するデータセンターは1か所に集約した方が、目が届きやすく、管理が行き届くと思いませんか?
特にデータは卵と違って、じっとしていてはくれません。新しいものが入り、古いものを消去しなければならない場合もあります。そうやって動きがあるものを管理するためには、できるだけ少ないロケーションに集めて管理するのが得策だと思います。
そしてもちろん、データそのものも、きちんと管理するべきです。あなたの会社のデータはきちんと分類されていますか? どこにどんなデータが収められているのか、把握していますか?
「データは重要です」と言いながら、どこにどんなデータが収められているのか、把握さえできてないというのでは困ります。
このように、コンプライアンス対策として最初にやるべきことは、データを物理的に集合させ、中身をきちんと整理して管理する「情報管理」なのです。
著者プロフィール
デニス・ホフマン
米EMC RSA, The Security Division
エンタープライズ・ソリューション事業部
バイス・プレジデント兼GM
注目セミナー
おすすめコンテンツ
おすすめコンテンツ
- ITの全体最適化はインフラから
- 社内インフラにプライベートクラウドを導入したEMC
- 今こそ社内にあるファイルサーバの統合にチャレンジ
- EMC Avamarにしかできない ものすごいバックアップの仕方
- 仮想化環境(インターナル・クラウド)における運用最適
- プライベートクラウドの運用最適
- 理想のITインフラを実現するVMware vSphere 4
- 企業向けストレージでのHDD/SSDの現状と今後の展開
- データ重複除外技術が巻き起こすバックアップ革命
おすすめセミナー
おすすめセミナー
- 【30日お試し利用】Documentum IRM とeRoom 無償トライアルサイト
- 「重複除外バックアップ EMC Avamar」Webセミナー
- 「コスト削減と次世代データセンターを実現する Symmetrix V-Max」Webセミナー
- 大塚商会主催「実践ソリューションフェア2010」
- ITpro主催「エンタープライズ・クラウド フォーラム」
- CTC主催「情報共有基盤の革新 ~ Exchange Server 2010と最新仮想化技術の活用 ~」
- EMCジャパン主催「【金融業界向けセミナー】エンタープライズコンテンツマネージメントは金融業界に必要か?」
- EMCジャパン主催「【EMC Documentum IRM】次世代の情報配信と情報漏えい対策」
- EMCジャパン主催(シスコ、ヴイエムウェア共催)【仮想化ならEMCセミナー】
- EMCジャパン主催「【EMC Documentum IRM】次世代の情報配信と情報漏えい対策」(大阪会場)
メールニュースのお申し込み
© 2010 EMC Corporation. All rights reserved.
RSSフィード