IGRM概論 – eディスカバリーにおけるデータ参照フレームワーク

私はeディスカバリーを専門とはしていませんが、現在の米国における法務分野の状況を見ていると、間違いなく日本の中小企業が巻き込まれていくことになると思います。
そうなると、十分な情報システム投資が行えない(もしくは情報システム投資を軽視している)企業の場合は、「戦う前から負ける」ことすらあり得ます。
またこのような状況に対応するためには、電子情報の適切な保存だけではなく「防御的廃棄」と言われる概念も必要となります。

このように、eディスカバリーへの対応は非常に新しい概念で厄介なようにも見えるのですが、実はこの対応、内部統制の枠組みを利用して構築が可能なのです(システム投資は若干必要ですが)。
今回はその入り口として、情報ガバナンスのための参照モデル(IGRM)についての解説を取り上げてみました。 以下の記述は、基本的にEDRMのWEBページにある解説を翻訳し、手を加えたものです。

1.情報ガバナンスのための参照モデル(IGRM)とは

IGRM_v3.0[1]

情報ガバナンス参照モデル(IGRM)プロジェクトのミッションは、組織が開発を支援し、効果的かつ実用的な情報管理プログラムを実装するための、一般的かつ実用的で、柔軟なフレームワークを提供することです。
IGRMプロジェクトは、法務、IT、データ管理、基幹業務のリーダー層や組織内の他の事業の利害関係者へのガイダンスを提供することを目指しています。
プロジェクトは、組織のニーズに基づき、議論と意思決定のための共通言語と参照方法を提供することにより、これらの利害関係者間における情報交換の促進を目的としています。

2.EDRMフレームワークとの関係

IGRMはまったく新しい参照モデルであり、EDRM(電子情報開示参照モデル)とは別の、対になる概念です。
*EDRM:The Electronic Discovery Reference Model(電子情報開示参照モデル)の略称。eDiscovery(eディスカバリー、電子情報開示)を行う際の「ワークフロー」として、2005年に発足したEDRMプロジェクトによって策定されました。現在、ほぼ世界標準の作業指標として、法律事務所、サービスベンダーなどに採用されています。EDRMやeDiscoveryについては、こちらが分かりやすいですね。

IGRMプロジェクトは、単にEDRMフレームワークの情報管理のための関連性情報を構築することだけを目的としている訳ではありません。データ管理、コンプライアンス、ITインフラなどのような、多数の分野に拡張可能な概念です。

IGRMは単独で成り立つ概念ですが、他から孤立したものでもありません。RM(Records Manager)、コンプライアンス、ECM(Enterprise Content Management)、電子情報開示など、IM(Information Management)関連活動やプロセスと、概念的な相関関係を持ちます。

3.必要性

現在、利用する業種(エンドユーザー、ベンダー、影響力、および他の市場参加者)にとらわれない、汎用目的で広い範囲に適用可能なリファレンスのためのフレームワークが必要とされています。しかし現在、そのようなフレームワークは存在しません。
一方、多くのIM関連のフレームワークがありますが、これらは典型的には、RM構造化情報を取り扱う、または組織固有の、「汎用ではない」、または複数の業界で広く適用されない機能等に過ぎません。

4.コミュニケーションツール

IGRMは、組織内においてIT、法務、コンプライアンス、RM、そして他の利害関係者グループ間の情報交換ギャップの接続を助けます。IGRMは、本来、規範的なモデルの生成を目的としておらず、むしろ横断的な対話とコラボレーションを促進する参照を提供することを目的としています。

5.Q&A

①IGRMはどのように使われるのでしょうか?
IGRMは法務、IT、RIM(Records and Information Management)とビジネス全体における、トップレベルのコミュニケーションを取るためのツールです。IGRMが提供する図は、あなたの会社や組織のより良いコラボレーションや部門横断的プロセス、そしてより良い情報ガバナンスを促進します。

②IGRMとEDRMの関係は?
IGRMはEDRMにおける8つのプロジェクトの一つです。EDRMのよく知られた図は、eDiscoveryのためのモデル(フローなど)を示していますが、IGRMのそれは、情報管理のためのモデルを示しています。

③IGRMの図はどのようにして作られましたか?
IGRMの図は、下記の通り開発されました:
・RIM、証拠開示、および情報管理の専門家の召集
・コミュニティによる議論
・12カ月以上にわたる隔週でのセッション
・いくつかのCGOC(Compliance, Governance and Oversight Council)会議において
CGOCの法人会員の実務家とともにソーシャライズされ、750以上のCGOCメンバーに
広く配布された。
・企業における実務家における調査結果は以下の通り:
全ての回答者が、防御的情報廃棄(不要な情報を定期的に廃棄することによって、
訴訟およびコンプライアンス上のリスクを低減すること)は情報ガバナンスの実践が
目的であったと主張している
・IT部門の2/3、そしてRIMの半数の回答者は、現在の情報ガバナンスに係る責任
モデルは機能していないと答えた。
・横断的法分野、ITそしてRIM担当の80%は、情報と記録マネジメント及びデータ
マネジメントに対するそれぞれの法的義務間における連携がほとんどないか、非常に
弱いと答えた。
・調査の原始データはこちら

④なぜ新たな情報マネジメント図が必要なのですか?
情報のためのライフサイクルモデルや法的事件のためのライフサイクルモデルは多くありますが、ほとんどの企業は法務、RIM、そしてIT組織間の透明性欠如や、それらの組織間におけるシステマチックな連携の欠如によって情報の防御的廃棄ができていません。
IDCは、今後10年間でデータ量は44倍に増加すると予想しています。それと同時に、訴訟費用や保存義務は継続的に上昇し、対応不能な状況が多くの企業にとって発生するものと見込まれます。

多くの場合、詳細なのディスカバリーや記録マネジメントのような単一の原則に縛られたライフサイクルモデルは、ライフサイクルの終了時点で防御的破棄を可能にする正しい変革やプログラムや実践の憲章化(定着?)を可能にするシニアマネジメントレベルの注意やサポートを集めることができません。
IGRMはシニアマネジメントレベルに対する触媒となり得ますし、その点においてARMA、AIIM、Sedonaのような組織によって提供される詳細な規律ツールを補完することができます。

⑤IGRMが私の会社における情報の取扱いに合わない場合は?
ほとんどの企業は、法的義務とIT管理下における情報資産の価値とがシステマチックに統合されたプロセスを持っていないので、その問題はおそらく当たりません。
ステークホルダー間にまたがる関係についてのIGRMの単一な表現によって、IGRMはそれらの関係の重要性を確立し、防御的廃棄に必須の基盤となる。統合的なプロセスを創造することが可能になります。

⑥ダイヤグラムがどのようなツール、技術や活動が必要とされているかについてより規範的となっていないのはなぜですか?
IGRMは、未だ不足しているツールや技術の導入を先導する経営者層の利害関係者が必要な、複雑な情報環境に置かれた企業にとって、必須の初期段階です。
ダイヤグラムは、今日においては稀にしか関連しない、人やプロセスがキーであることを示すツールです。
私たちは、今後数カ月から数年に渡ってこのダイヤグラムを作り上げ、ツールが企業にとって利用可能となるようにします。
CGOCのプロセス成熟度モデルは、こんにち利用可能なリソースですあり、どの点が改善されるべきか、またガイドとしてどのようなギャップが存在するかといった点を企業が評価するのを助けます。

⑦これらのツールは、防御的廃棄や内部関係者間のシステマチックな連携が構築途上にある私たちの今のプロセスを評価するのに役立ちますか?
IGRMには「次のレベル」の詳細を提供するツールがあります。 例えば、eディスカバリーと情報マネジメントにおける13のキープロセスのを概説するCGRCのプロセス成熟モデルがその一つです。
各プロセスは、成熟度に応じ1から4に分けて記載されています - すなわち完全に自動で共通化されていないマニュアレベルから、大きな割合で機能とオートメーション間でのプロセス統合がなされています。

 

以上