download.microsoft.comdownload.microsoft.com/.../LCSComplianceWhitePaper.doc · Web view著作権法による制限に関係 ... の使用を推奨し、企業のファイアウォールで

Microsoft® Office Live Communications Server 2005 : インスタントメッセージング (IM) コンプライアンスに向けた堅牢なソリューションMicrosoft Corporation発行日 : 2005 年 3 月バージョン : 1.0

概要

国際規定、米国の連邦および州規制の増大に伴い、ビジネスコミュニケーション (インスタントメッセージングを含む) を、定められた短い期限内にレビュー、アーカイブ、提出、監査することが必要になっています。セキュリティ面が脆弱なパブリックインスタントメッセージング (IM) ネットワークから、セキュリティ対策が組み込まれたエンタープライズ IM ネットワークの使用へと従業員を移行させることにより、企業は投資回収率を高め、厳しい規制に対応できる柔軟性を手に入れることができます。加えて、エンタープライズ IM ネットワークの使用は、連邦量刑ガイドラインに沿って "有効なコンプライアンスと倫理プログラム" を開発および実装する企業努力の支援にもつながります。Microsoft Office Live Communications Server 2005 は、こうした目標の達成を目指す企業に堅牢な IM ソリューションを提供します。

このドキュメントに記載されている情報は、このドキュメントの発行時点におけるマイクロソフトの見解を反映したものです。マイクロソフトは市場の変化に対応する必要があるため、このドキュメントの内容に関する責任をマイクロソフトは問われないものとします。また、発行日以降に発表される情報の正確性を保証できません。このドキュメントに記載された内容は情報提供のみを目的としており、明示または黙示に関わらず、このドキュメントに関してマイクロソフトはいかなる責任も負わないものとします。このドキュメントおよびソフトウェアを使用する場合は、適用されるすべての著作権関連の法律に従っていただくものとします。著作権法による制限に関係なく、このドキュメントのいかなる部分も、米国 Microsoft Corporation の書面による許諾を受けることなく、その目的を問わず、どのような形態であっても、複製または譲渡、検索システムへの格納および公開をすることは禁じられています。ここでいう形態とは、複写や記録など、電子的な、または物理的なすべての手段を含みます。マイクロソフトは、このドキュメントに記載されている内容に関し、特許、特許申請、商標、著作権、またはその他の知的所有権を有する場合があります。マイクロソフトから提供される使用許諾書に明記されていない限り、このドキュメントの配布によりこれらの特許、商標、著作権、またはその他の知的財産権がお客様に譲渡されることはありません。© 2005. Microsoft Corporation. All rights reserved.Microsoft、Active Directory、Office ロゴ、Outlook、PowerPoint、Excel、SharePoint、および Windows は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。その他、記載されている会社名および製品名は、一般に各社の商標です。

Microsoft® Office Live Communications Server 2005 :

インスタントメッセージング (IM) コンプライアンスに向けた堅牢なソリューション 2 / 21 ページ

目次目次................................................................................................................................................ 3

1. 重要性を増すインスタントメッセージング (IM)......................................................................4

1.1 インスタントメッセージングの概要...................................................................................4

1.2 インスタントメッセージングの未来...................................................................................4

2. IM コンプライアンスの展望.......................................................................................................6

2.1 業界ごとに異なる方向性......................................................................................................6

2.2 IM のログとアーカイブの重要性..........................................................................................6

2.3 パブリック vs. エンタープライズ IM...................................................................................7

2.4 報告書提出期限の短縮と IM..................................................................................................7

2.5 分散したデータや人材の管理...............................................................................................8

3. 全社的/包括的なコンプライアンスアプローチを支援する IM..................................................9

3.1 包括的コンプライアンスアプローチの意義........................................................................9

3.2 最高コンプライアンス責任者の任命..................................................................................10

3.3 "有効なコンプライアンスと倫理プログラム" の一部としての IM.....................................10

3.4 IM と法的開示..................................................................................................................... 11

4. Microsoft® Office Live Communications Server 2005.........................................................13

4.1 概要..................................................................................................................................... 13

4.2 ログ機能.............................................................................................................................. 14

4.3 アーカイブ機能................................................................................................................... 14

4.4 SQL Server からの IM データ取得......................................................................................16

4.5 パートナーによる追加機能.................................................................................................18

5. まとめ....................................................................................................................................... 20



1. 重要性を増すインスタントメッセージング (IM)1.1 インスタントメッセージングの概要文字メッセージをインターネットまたは社内ネットワーク経由でリアルタイムに送信するインスタントメッセージング ("IM") 機能は、コンシューマの世界からビジネスの世界へと広がってきました。現在では、企業内だけでなく、サプライヤ、顧客、外注業者、そして取引パートナーなどとの通信およびコラボレーションの手段として大きな役割を果たすようになっています。生産性の向上と経費の節減を実現する上でも、IM は、データ、プラットフォーム、プロセス、人々をつなぐ重要な要素です。

Pew Internet & American Life Project が実施した、IM の使用実態調査1 によると、5,000 万人以上のアメリカ人が IM を利用し、21% または 1,100 万の IM ユーザーグループが IM を仕事で使用しています。しかし、IT エグゼクティブのうち 76% が仕事で IM を使用しているにもかかわらず、エンタープライズ IM アプリケーションを標準として使用している人はわずか 37% でした2。連邦預金保険会社 (FDIC) は、FIL (Financial Institution Letter) の中で、エンタープライズ IM ではなくパブリック IM を使用すると、企業をセキュリティ、プライバシー、および法的責任の危険にさらすことになると警告しています。パブリック IM には弱点があり、中でも、ウイルス対策が不完全で、効果的な認証ツールを持たず、暗号化されていないデータを送信するといった重大な欠点があるというのがその理由です3。

1.2 インスタントメッセージングの未来社内環境での IM 使用が増え、社員にパブリック IM の使用を許可するリスクがすでにわかっていることから、安全で規制に準拠した堅牢なエンタープライズソリューションの存在が非常に重要になっています。事実、Radicati Group の予想では、2008 年までに IM ユーザーはおよそ

6 億 7,000 万人になり、そのうち 7,800 万人がエンタープライズ IM ソリューションを使用することになります4。IM を使用すると、インフォメーションワーカーは必要に応じてリアルタイムに連絡を取り合うことができます。特に注目すべきは、メールや電話とは違い、会話を始める前に相手の都合を確認

1 Pew Internet & American Life Project、"How Americans Use Instant Messaging"、http://www.pewinternet.org 参照2 Nemertes Research の Melanie Turek のレポートが http://www.nemertes.com/node/view/195 にあります。3 FDIC FIL 84-2004、"Guidance on Instant Messaging"、http://www.fdic.gov/news/news/financial/2004/fil8404.html 参照。4 Radicati Group の報告書は、http://www.radicati.com/pubs/news/Enterprise%20IM%20PR.pdf でご覧ください。



図 1 : プレゼンス情報の把握

できる IM の "プレゼンス" 機能です。この機能は、第 3 世代のワイヤレスネットワークでは不可欠な要素になり、携帯電話、PDA、ポケットベルといった各種コミュニケーションデバイスに組み込まれると予想されています。

データも人も地理的に広く分散するようになってきた現在、IM は人と人とが企業の内外を問わずリアルタイムに通信し共同作業をするための重要なツールになっています。また、業務プロセスを加速するために、人とアプリケーション、あるいはアプリケーション同士をつなぐインターフェイスとしても IM を使用できます。IM が扱う貴重なビジネス情報の量が増えるにつれ、監査機能や合法的な開示プロセスといった、企業の規制遵守をサポートする IM ソリューションの機能がいっそう重要になってきています。

Radicati Group の CEO、Sara Radicati 博士は次のように述べています。「私たちは、IM を使用することで、1 日 1 人当たり平均 40 分も企業が節約できるという調査結果を得ました。5,000 人の従業員がいる組織であれば、年間 3,750 万ドルを節約できることになります5」

5 Sean Kerner、『Enterprise IM Could Reap ROI in Days』 http://www.instantmessagingplanet.com/enterprise/article.php/3448631



2. IM コンプライアンスの展望

2.1 業界ごとに異なる方向性連邦預金保険会社 (FDIC) の "インスタントメッセージングに関するガイダンス" は、企業コンプライアンスの一部として IM の重要性が拡大していることを示すほんの一例です。IM はメールや紙のメモよりも略式なコミュニケーション形態ですが、米国の連邦および州の監査機関は監督すべき情報が IM の記録に多く含まれているという事実を認識しています。そのため、監査機関が、IM を正式な文書と同等のものとみなし、保存のためにログ記録とアーカイブを要求するケースが増えています。たとえば、SEC 規則 17a-4 は証券会社に対し、仲買人と顧客の間で交わされたすべての電子メールのコピーを保存することを求めています。仲買人と顧客間のメールや伝言など、証券会社のビジネスに関わる情報がこれに該当します。社内で IM を使用できる社員を制限するために、規制対象の企業がメッセージのレビューを要求され、"倫理の壁" を築くよう指導される場合があります。直接的または間接的に企業に IM のレビュー、IM のアーカイブ、そして、機密性、完全性、および入手可能性の保護を要求する法令や政府機関の規制は、業界によって異なります。

健康管理 : 医療保険の相互運用性と説明責任に関する法律 (HIPAA)。

銀行業 : FDIC の IM ガイドライン、1988 年の金融サービス近代化法 (GLBA)。2001 年の米国愛国者法。証券 : SEC Recordkeeping 規則 - 17 CFR Parts 240 と 242。SEC 規則 17a-4、NASD

Internet Guide for Registered Representatives。NASD Conduct 規則 3010。NASD Notice to Members 03-33。NASD Notice to Members 99-03。NASD 規則 2211。NASD Conduct 規則 2210。NYSE 規則 440 (Books and Records)。

保険業 : HIAPP、GLBA。2001 年の米国愛国者法。公開企業 (証券取引法のもとで株式を公開している会社) : 2002 年の米国企業改革法 (SO

X)。

カリフォルニア州でビジネスを営む企業 : California Security Breach Information Act (SB 1386)

2.2 IM のログとアーカイブの重要性"ログ" とは、使用状況の分析やその他の IT 分析の目的で、IM トラフィックを記録することです。一方、"アーカイブ" は、IM のビジネス会話に適用される会社の方針と規制へのコンプライアンスの要件を満たす目的で IM の内容のログをとることです。社内でのコンプライアンスという視点から、企業は従業員が企業秘密を漏洩することや、セクシャルハラスメントなど訴訟のもとになりかねない会話を交わすことがないよう確実を期したいはずです。一般的に、こうした対象物を監視する場合の標準としては、企業のインスタントメッセージングポリシーが使われますが、これがメールポリシーと同一の場合もあります。

対外的なコンプライアンスという面では、株式公開している企業は、記録、プライバシーとセキュリティ要件について SOX に従い、健康保険を提供する企業は HIPAA に従い、仲買を行う証券会社を子会社に持つ企業は SEC 規則 17a-4 に従う、ということなります。一般的には、企



業の弁護士が、その企業のビジネスに関連しそうな国際規定や米国の連邦および州法や規制を考慮しながら、企業の基幹業務を書き出して、企業の IM 運用方法に影響を与える可能性がある法的義務を見極めるというやり方がとられています。

今日のビジネスに影響する主な法律は、それぞれ目指すところが大きく異なります。たとえば、Basel II は銀行の運用、資本、および取引上のリスク評価に重点を置いています。米国愛国者法は、テロリストが金融機関を通じてマネーロンダリングを行うリスクを軽減するために、"顧客を知る" ことを主眼にしています。HIPAA では、保護された保健情報のプライバシーとセキュリティを守る必要性が明確に打ち出されています。

目指すところに違いはあっても、これらの全法令は、監視機関によるレビューと監査のために実データの記録を保持することを義務づけています。実際、監査のために文書を保守するという要件は、主な法的規制に含まれるコンプライアンス項目の最たるものです。このため、企業にとっては、監督されていないパブリック IM ネットワークを使っている従業員を、制御されたエンタープライズ IM インフラストラクチャに移行させることがぜひとも必要になってきています。

2.3 パブリック vs. エンタープライズ IMFDIC の "インスタントメッセージングに関するガイダンス" は、従業員がパブリック IM を使い続けることのリスクを明文化し、以下のように述べています。

「内蔵のセキュリティ機能がなく、ファイルをダウンロードする機能を備え、受信側に友だちリストが内蔵されている環境では、ウイルスやワームが瞬く間に広がるおそれがあります」

「暗号化されていない情報を送信するため、パブリック IM では、デリケートな情報や機密データのやり取りは絶対に避けるべきです」

「IM が受け取る情報は認証されていません」

FDIC は、侵入探知システムとウイルス対策プログラムの使用を推奨し、企業のファイアウォールで IM ベンダーをブロックするように指導していますが、根本的な解決方法はパブリック IM に保護インターフェイスを付け足すというような対処療法を用いることではなく、パブリック IM から、セキュリティ、暗号化、および認証機能を内蔵しているエンタープライズ IM サーバーに従業員を移行させることにあります。

2.4 報告書提出期限の短縮と IMIM がビジネスに使用される機会が爆発的に増え、その価値が急騰している現状は、堅牢なエンタープライズ IM ソリューションへ移行する 1 つの大きな動機になります。他にも移行の理由として挙げられるのは、短縮されつつある報告書提出期限に対応しようとする動きです。期限を守るためには、地理的に離れていてもすべての従業員を結びつける、全社的なリアルタイムの通信環境が必要になります。たとえば、SOX の 409 条では、SOX に従うすべての証券発行者は企業の "財務状態または経営面での重大な変更 (マテリアルチェンジ) に関する新情報" について "リアルタイム" に開示することを要求されています。



SOX 履行の一部として、米証券取引委員会 (SEC)は、いくつかの報告書フォームに関して報告書提出期限を早めました6。通牒番号 33-8400 で、SEC は、フォーム 8 K によるマテリアルイベントの報告書提出期限を短縮し、従来は原因となったイベントから 5 営業日または 15 日の暦日 (事例の性質による) でしたが、8 K 提出の要因となったイベントから 4 営業日以内にしました。

加えて、SEC は、フォーム 8 K の提出要件に該当しマテリアルイベント報告書を要する新しい原因イベントをいくつか追加しています。たとえば、重大な契約、大手顧客からの収益の縮小、直接的または不慮の財政的債務、重大な欠損や機能障害などがこの例です7。報告書提出の要件に該当するこれらの新しいイベントは、かなり主観的な傾向があるため、公開企業は、社内外の弁護士とリアルタイムに話し合えるようにコンプライアンスの担当者を決め、報告書提出の原因となるイベントを正しくみきわめ、適時に必要なフォーム 8 K を提出できるようにする必要があります。

2.5 分散したデータや人材の管理IM は、その "プレゼンス" 機能を通じて、地理的に分散している作業チームを密接にむすびつける点で高い評価を受けています。SOX への準拠が急務とされ、一方で貴重な財務データを第三者の外注先に出して処理を任せなければならないという状況では、この機能がコンプライアンスの面からきわめて重要になっています。Gartner Group は、2000 年に 1,010 億ドルだった海外の外注市場が、2005 年には 1,600 億ドルに成長すると予想しました8。SOX に準じる公開企業向けに、公開会社監視委員会 (PCAOB) の監査標準 No 2 の B19 条9 は以下を規定しています。

「サービス会社の提供するサービスが、会計報告書に対するその会社の社内統制の一部を担っている場合、経営者は、会計報告書に対する社内統制を評価する際にサービス会社のビジネス活動を考慮すべきです。そして、監査役は、彼または彼女の意見を裏付ける証拠を決定する際にサービス会社のビジネス活動を考慮すべきです」注意 : サービス会社を使っても、会計報告書に対する有効な社内制御を維持するという経営側の責任が減るわけではありません」

アウトソーシングサービス事業者に対する統制を維持するために、企業は自社の利益を守るために、企業はサービス事業者に依頼して、外注事業に関する SAS 70 Type II 監査を受けてもらうことができます。標準の SAS 70 Type II 監査にもとづく報告書と一定の資料提出のタイミングが、SOX に従う企業が求めるものとぴったり一致しない場合があるので、公開企業は、その会社に適用される特別な報告書作成スケジュールに関してアウトソーシングサービス事業者に助言する必要があるかもしれません。また、SAS 70 Type II 監査のもとでは必須または適切とされる一般的な統制、アプリケーションの統制、ならびに外部検査に関する資料に関して業者に指示しなければならない場合もあります。公開企業が SOX 関連の必要資料に合わせて監査報告書を準備するには、こうした手順が必要になります。公開企業は、内部で補償的な統制を実

6 通牒番号 33-8128 と 34-46464 で、SEC は年次と四半期報告書の提出期限も早めました。年次報告書は年度末から 60 日 (以前は 90 日）、四半期報告書は会計四半期の最終日から 35 日 (以前は 45 日）が提出期限になります (http://www.sec.gov/rules/final/33-8128.htm 参照)。7 John Bostelman、The Sarbanes-Oxley Deskbook (Practicing Law Institute 2004)』ページ 8 ～ 4。8 Techweb News (2004 年 1 月) http://www.techweb.com。9 PCAOB、"Auditing Standard No. 2: An Audit of Internal Control Over Financial Reporting Performed in Conjunction With an Audit of Financial

Statements" (2004 年 3 月 9 日)、http://www.pcaobus.org 参照。



施して、アウトソーシングサービス事業者へのインプットと、事業者から公開企業へ戻されるアウトプットを調整することもできます。IM は、地理的な距離にかかわらず関係スタッフに "連帯感" を実感させる "プレゼンス" 機能を使って、アウトソーシングサービス事業者に関する統制と監視の要件を支援する有用なツールになるはずです。



3. 全社的/包括的なコンプライアンスアプローチを支援する IM3.1 包括的コンプライアンスアプローチの意義新しい規制の波 (YK2 問題のように 1 度限りではなく連続する動き) により呼び起こされる財政および人的な要求が増していることから、コンプライアンス専門家の多くが規制準拠のために "包括的な" アプローチを採るべきだと忠告しています。ある専門家は次のように述べています。

「コンプライアンスに関して InformationWeek Media Network が実施した最近の調査によると、調査に応じた 36 社の証券/投資会社のうち 81% が、メールとインスタントメッセージの保存と監督に関して SEC 規則 17a-4 に準拠する意向を示しました。72% は米国愛国者法、62% は米国企業改革法の準拠を決めています。米国企業改革法では、決算報告に影響をおよぼすデータの完全性と財務面での統制を示す証明書が必要です。(中略) Lati [of TowerGroup] などの専門家は、それぞれの法令に合わせてばらばらの技術ソリューションを開発したり購入したりするのではなく、すべてのデータ、ワークフロー、プロセス、コントロールを包含する包括的なコンプライアンスアーキテクチャを開発することのメリットを証券会社に訴えています10」

Gartner Group の推定では、コンプライアンスソリューションの開発のためにサイロ式の 1 度限りのアプローチを採る会社は、将来を見越して全社的/包括的なコンプライアンスアプローチを選ぶライバル会社に比べて 10 倍もの支出を強いられる結果になります11。Gartner Research の社員は、この件について次のように話しています。

「今回の発表によれば、銀行および金融業の大手である HSBC は、同行が世界各国でコンプライアンスに関して異なるアプローチ採っているためにそのコストが膨大になっている顕著な例を示してくれました。ここに興味深い数字があります。それは、HSBC が"規制税" として計上している、 EBITDA (金利、租税、償却負担を差し引いた利益) の 3.125 パーセントという数字です。米国企業改革法について、当社はおよそ 0.2 パーセントから 0.4 パーセントの費用を見越しています。仮に証券取引委員会が、国際銀行の 370 の監査役の 1 つであれば、それぞれの規制プログラムに個別のアプローチを図ると、利益はゼロになってしまうわけです12」

IM は、積極的に全社的/包括的なコンプライアンスアプローチに取り組もうとする企業に、大きな目的を提供することができます。TowerGroup の Virginia Garcia は次のように語っています。

「企業や組織が業務を簡略化して、全社的な IT アーキテクチャを採用すると、履行時の負担が減り、同時にプロセスの堅牢さと運用の能率が向上します。これによって、FSI は相乗効果理論を実践することができます。すなわち、IT の能率面で 1 ドル節約するごとに FSI はプロセスの段階で最大 7 ドルを節約できるということです。価値重視

10 Ivy Schmerken、"Holistic Compliance"、Wall Street & Technology Online ( 2003 年 11 月 17 日)

11 Logan, Mogull and Leskala、"Sarbanes-Oxley Vendor Evaluation Framework" (Gartner Group Research Note: 2003 年 9 月 8 日)

12 French Caldwell、"Regulations: Cheaper by the Dozen"、http://sox.weblog.gartner.com/weblog/index.php?blogid=11&archive=2004-03 参照



のコンプライアンスを通じて達成できる節約が技術コストを超えるという、このスイートスポットを FSI はねらい打ちすべきです13」

3.2 最高コンプライアンス責任者の任命規制コンプライアンスの分野ではいくつかの新しい規範ができています。時には重複し時には矛盾する多数の国際規定、米国連邦法、州法に企業が確実に準拠するためには、これまでのようにコンプライアンスの責任を部門 (たとえば、IT 部門) 全体に負わせるのではなく、"最高コンプライアンス責任者" を任命するか専任の責任者を立てる必要があります。たとえば、SEC 規則 38a-114 と SEC 規則 206(4)-7 では、登録されている投資会社や投資顧問会社に "最高コンプライアンス責任者" の任命を命じて、1940 年の Investment Company Act (投資会社法) と 1940 年の Investment Advisor’s Act (投資顧問法) に定められた重要項目への準拠を監督させるように要求しています。グループではなく 1 人の個人に責任を持たせるという方法は、HIPAA (医療保険の相互運用性と説明責任に関する法律) の要件にも定められており、保険でカバーされる当事者 (健康保険の提供者、ヘルスプラン/ヘルスケアクリアリングハウス) はそれぞれ "最高プライバシー責任者" と "最高セキュリティ責任者" を任命することが求められます。一般に、全社的なコンプライアンスの責任者として個人を指名することにより、規制を受ける企業がコンプライアンスに関して包括的で全社的なアプローチを積極的に採用するようになる傾向があります。

3.3 "有効なコンプライアンスと倫理プログラム" の一部としての IM短期的な "サイロ式" ソリューションではなく、戦略的なコンプライアンスアプローチを採用することの必要性をさらに強調する事実があります。それは、一部の業界や特定の状況だけに適用されていた法的義務が、より普遍的な基準で適用されるように徐々に変化しているということです。このトレンドの好例は、SOX コーポレートガバナンスの基本方針の一部が、連邦量刑ガイダンスの対象になったすべての公開企業および私企業という広い範囲にあてはまるという事実です。連邦量刑委員会が採択した 2004 年の連邦量刑ガイドライン改正案のもとでは、2004 年の改正案の 8B2.1(B) 条に記載された 7 つの基準により、企業が "有効なコンプライアンスと倫理プログラム" を持っているかどうかを判断され、持っていればその企業が連邦法に違反していたことが判明した場合に、刑罰軽減の資格を与えられます。15

企業が "有効なコンプライアンスと倫理プログラム" を持っているかどうかをみきわめる、2004 年改正案の 8B2.1(B) 条に記載された 7 つの基準の 1 つは、企業のコンプライアンス標準と手続き、および企業のコンプライアンスプログラムのその他の側面について、従業員全員が知らされていることです。コンプライアンストレーニングは、スタッフだけでなく、上層部に対しても義務づけられています。さらに、企業の取締役会も、自社のコンプライアンスプログラムの内容と活動について十分な知識を持っている必要があり、そのコンプライアンスプログラムの実施と有効性に関して監督する妥当な努力をしなければなりません。データと文書の扱いに関し、安全なエンタープライズ IM ソリューションを使った全社的なアプローチが必要であることは明白です。

13 Virginia Garcia、"Seven Points You Should Know About IT Compliance Spending" (TowerGroup、2003 年 9 月)14 http://www.sec.gov/rules/final/ia-2204.htm。

15 http://www.ussc.gov/2004guid/2004cong.pdf。



最後に、量刑ガイドラインについて、もう 1 つ重要なポイントを説明します。それは、企業が米国連邦法の違反で有罪を宣告され、判決の前に "有効なコンプライアンスと倫理プログラム" がないと判断された場合、量刑ガイドラインは、保護観察の一部として、裁判所の監督下で適切なコンプライアンスプログラムを作成することを企業に要求することができる点です16。煩わしい裁判所の監督を避けるためにも、それぞれの法に個別に対応するアプローチではなく、積極的に包括的プランでコンプライアンスを実行すべきです。IM は、企業による "有効なコンプライアンスと倫理プログラム" の実装を支援することにより、きわめて重要な役割を果たすことができます。

3.4 IM と法的開示エンタープライズ IM ソリューションを採用することで、企業は法的開示の目的で IM をより厳密に統制できるようになります。FRCP (米国連邦民事訴訟規則) 26(b)(1) は次のように規定しています。

「各当事者は、任意の当事者の要求または弁護に関するあらゆる事項につき例外なく開示を求めることができます。ここには、書物、文書、またはその他の有形物の存在、記述、性質、管理、状態、および場所、ならびに開示可能なあらゆる事項の知識を持つ人物の身元と所在地が含まれます。しかるべき理由があれば、裁判所は法的措置の対象に関するあらゆる事項の開示を命ずることができます。開示により適格な証拠の発見につながると考えられる場合、裁判で関連情報が証拠として認められる必要はありません」

FRCP 26 で認定された広範な開示の権限を考慮すると、従業員がパブリック IM ネットワークを使用せずに、厳格に統制されたエンタープライズ IM ソリューションを使用することで、企業は法的リスクを減らせます。なお、特定の状況下では、法的開示に従って IM の記録を作ることを求められた企業は、要求側の当事者に開示コストの一部を肩代わりさせることができます。たとえば、Zubulake 対 UBS Warburg17の訴訟では、裁判所が 3 要因のコストシフティングアプローチの概略を以下のように示しました。

裁判所は、要求を受けた当事者のコンピュータシステムについて、アクティブデータと保存データの両方を完全に理解している必要があります。アクセス可能な形式で保存されたデータについては、通常の開示規則が適用され、要求を受けた当事者は提出にかかる費用の支払いを求められます。裁判所は、アクセスできないデータ (データがバックアップテープに保存されている場合など) が問題になった場合に限り、コストシフティングを考慮する必要があります。

コストシフティング分析は事実重視なので、裁判所はどんなデータがアクセス不可のメディア上にあるのかを判断しなければなりません。ほとんどの場合、 "サンプリング" アプローチが妥当です。

コストシフティング分析を行う場合、7 要因テストを適用し、上述の方法で加重値を与えます。裁判所により引用される 7 要因テストは、データへのアクセスができない場合に適用されます。

明確に関連情報の発見を目的とする要求範囲。

他のソースからその情報を入手できるか。

16 U.S. Sentencing Guidelines、Sections 8D1.1 (Imposition of Probation)、8D1.2 (Term of Probation)、8D1.3 (Conditions of Probation)、および

8D1.4 (Recommended Conditions of Probation)。17 Zubulake 対 UBS Warburg LLC、2003 年 U.S. Dist. LEXIS 1077 (S.D.N.Y. 2003 年 5 月 13 日)



論争の費用と比較した場合の、提出の総費用。

各当事者が利用できるリソースと比較した場合の提出の総費用。

これを行うためにかかる費用と動機をコントロールする、各当事者の相対的能力。

訴訟で問題になっている案件の重要性。

情報を得ることについて、両当事者の相対的なメリット。

FRCP 26 で規定された広義の開示義務、要求側の当事者に提出コストを肩代わりさせる難しさ、また開示要求に対して IM 文書にすばやくアクセスし分析する必要性を考慮すると、従業員にパブリック IM ネットワークの使用を許してしまうことに比べ、エンタープライズ IM ソリューションを採用する方がどう考えても賢明です。加えて、エンタープライズ IM ソリューションの使用することで、企業はより簡単に当該文書の保存義務に従うことができます。同時に、法的な保存期間として、あるいは法的な開示要求のために必要とされる期限を過ぎた後は IM の記録を保存を中止することができます。



4. Microsoft® Office Live Communications Server 20054.1 概要Microsoft® Office Live Communications Server 2005 は、拡張性に富み安定したエンタープライズ向け IM と "プレゼンス" エンジンを提供します。本製品には、Standard Edition と Enterprise Edition という 2 つのエディションがあります。Live Communications Server 2005 は、SIP (Session Initiation Protocol) および SIMPLE (SIP IM and Presence Leveraging Extensions) 標準に基づいて構築されており、マイクロソフトパートナーの共同開発を広くサポートしています。Live Communications Server 2005 は、ピアツーピアのデータコラボレーション、音声/ビデオ交換、およびアプリケーション共有をサポートします。

Live Communications Server を利用することにより、企業は暗号化と認証機能が装備された環境で通信する数十万人のユーザーのプレゼンス情報と IM を追跡および管理できます。加えて、Live Communications Server の "フェデレーション" オプションを利用して、IM とプレゼンス情報をリモートユーザーや信頼できる顧客、サプライヤ、パートナーに提供できます (MSN®、MSN®、AOL® のようなパブリック IM ネットワークサービスを使用するユーザーもここに含まれます)。在宅またはオフサイト勤務の従業員は、高価な VPN (仮想プライベートネットワーク) を利用せずに、同僚とリアルタイムに共同作業することができます。Live Communications Server は、Microsort® Windows Server™ 2003 上で稼動し、以下に示す、使い慣れた Windows ツールおよびテクノロジを利用できます。

Active Directory® のディレクトリサービスによる認証およびグループポリシー。

Microsort SQL Server™ によるユーザーデータの管理、ログ、およびアーカイブ。

管理ツールとして MOM (Microsoft Operations Manager) と MMC (Microsoft Management Console) を利用可。

Live Communications Server 2005 は特別な設定をしないでもすぐに他の Microsoft Office System と統合されます。このため、Microsoft Outlook、Microsoft Excel、Microsoft Word などのプログラム (および、Windows® SharePoint Servicesのようなチームサイトやポータルサイト) のユーザーは、これらのアプリケーションの中から IM を利用し、プレゼンス状態を確認することができます。また、(a) クラスタリング、ファイルオーバー、SAN サポートなどの新機能と (b) 新しいトポロジのおかげで、ダウンタイムが減り、管理がしやすくなっています。ニューヨークに本部を置く FIMA (Financial Instant Messaging Association) の会長で、ニューヨークの Deutsche Bank AG で IM のプログラムマネージャを務める Graham Lawlor は、LCS 2005が提供する新しい相互運用性について次のように述べています。

「業界を根本的に変える大きな変化が起こっています (中略) やがて、無償の IM クライアントに比べ、充実したセキュリティと可用性向上のための機能を持つエンタープライズ IM の価値を、無償 IM コミュニティのユーザーベースに融合させることができるでしょう (中略) [Microsoft Live Communications Server 2005は] 両方の世界の良いところをユーザーが利用することを可能にするものです」



4.2 ログ機能Microsoft SQL Server との統合を通じて、Live Communications Server 2005 は、すぐに利用できるフラットファイルに書き出されたテキスト形式のログを提供します。ログは、管理者が制御できます。ログには次の情報が含まれます。

セキュリティの目的で記録される、ユーザー動作の監査証跡

ルーティングおよびセキュリティの問題のトラブルシューティングに役立つ情報

システムの利用に関する未加工の情報

ログは 4 段階の定義済み情報レベルから構成され、その精度も上がります。管理者は、必要な情報レベルに基づいて、ユーザーごとにログのレベルを指定できます。記録される情報は、次の 3 種類です。

ログの開始、終了、および変更に関するメタデータ情報

送受信 SIP メッセージに関するプロトコル情報

サーバー動作に関する重大なイベント情報

フラットファイルに記録される情報と、パフォーマンスカウンタと Windows アプリケーションのイベントログを通じて利用できる情報は、一部重複していることがあります。ログはオプションの機能なので、特定のコンピュータ上の全サービスに影響する重大なイベントは少なくともアプリケーションイベントログに記録されるのが普通ですが、システム管理者の設定により、フラットファイルのログにも重複して書き込まれることがあります。

4.3 アーカイブ機能Live Communications Server 2005 でインスタントメッセージをアーカイブする場合、IM アーカイブエージェントと IM アーカイブサービスという 2 つのコンポーネントを使用します。IM Archiving Agent は、全メッセージの内容をプライベートまたはパブリックの MSMQ (Message Queuing) のキューに書き込みます。次に IM アーカイブサービスは Message Queuing のキューからメッセージを抽出し、通常は別のサーバーにある SQL Server にそれを追加します。アーカイブサービスの構成は次のとおりです。

メッセージの内容を記録するアーカイブエージェント

アーカイブバックエンドサーバー (アーカイブバックエンドキューとアーカイブバックエンドデータベースという 2 つのコンポーネントから構成される論理エンティティ)

アーカイブ機能が有効になっている場合、既定では、すべての IM 会話がアーカイブされます。アーカイブ機能は無効にしたり、特定のユーザーにだけ有効にしたりできます。管理者は、フェデレーションパートナー間の会話をアーカイブするオプションも選択できます。ただし、IM アーカイブサービスはマルチメディアやファイル転送はアーカイブしません。また、ドメインをまたがるアーカイブは行いませんので注意してください。フェデレーションパートナーとの



http://www.ietf.org/rfc/rfc3261

会話は、送信元のサーバーでアーカイブされます。Live Communications Server 2005 では、高度なサーバーアプリケーション API がサポートされています。

アプリケーション通信。Live Communications Server 2005 には、複数のサーバーに展開された場合でも、同一アプリケーション間で通信を行えるメカニズムが用意されています。アプリケーションは受信した要求に "スタンプ" を付けます。つまり、メッセージパスのダウンストリームに存在するすべてのアプリケーションのインスタンスに、処理された要求であることを通知するヘッダーを追加します。

プレゼンス情報に基づくルーティング。MSPL スクリプトアプリケーションが、登録されたエンドポイントの XML プレゼンスドキュメントにアクセスして、受信した要求を各エンドユーザーの特定のデバイスにルーティングできるようになりました。

Microsoft SIP Processing Language からフラットファイルへのアクセス。カンマ、タブ、またはスペースで区切られた列形式のデータを含む UTF-8 テキストファイルを読み取る機能が MSPL スクリプトに追加されました。この機能によって、アプリケーションに名前と値のペアを読み込んで、電話番号や登録プールなどの情報のルックアップテーブルを作成することができます。

ハッシュとストリングの演算。MSPL に、ハッシュ化と追加ストリング演算を可能にする新しい機能が追加されました。

アプリケーションの互換性。MSPL およびマネージコードライブラリは、Live Communications Server 2003 と Live Communications Server 2005 のサーバーアプリケーションを識別できます。

IM



図 2 : Live Communications Server 2005 サーバーアーキテクチャ

アーカイブサービスは、多様なアーカイブシナリオをサポートします。シナリオは、(a) どのユーザーがアーカイブされるか、(b) いつユーザーがアーカイブされるか、(c) どんな情報がアーカイブされるか、に従って変わります。サポートされる主なアーカイブシナリオは次のとおりです。

完全アーカイブ : Live Communications Server によって、企業内の全ユーザーのすべての IM 会話がアーカイブされます。また、企業内のすべてのユーザーの使用状況データが保存されます。

部分アーカイブ : Live Communications Server によって、企業内の一部ユーザーのすべての IM 会話がアーカイブされます。

フェデレーションまたは社内アーカイブ : Live Communications Server によって、企業内ユーザーのフェデレーションまたは社内の IM 会話がアーカイブされます。また、これらのフェデレーションまたは社内会話に関する使用状況データ、またはすべての会話に関する使用状況データが保存されます。

例外アーカイブ : アーカイブ対象から特定のユーザーを除外します。この設定は、アーカイブを有効にしている他のユーザー設定またはグローバル設定より優先されるため、除外対象ユーザーとアーカイブが有効にされているユーザーとの会話もアーカイブされません。

4.4 SQL Server からの IM データ取得監査とコンプライアンスの目的のために、企業は SQL Server をクエリしてバックエンドデータベースからアーカイブされたインスタントメッセージングを取得することができます。クエリには以下のスキーマを用います。

表 1 : IM 取得のためのデータベーススキーマテーブル名列名内容users userid (ID として使用される列)

useruri インスタントメッセージを送信または受信したユーザーを表す URI。

computers id (ID として使用される列)

computer インスタントメッセージを処理したホームサーバーの NetBIOS 名。

Contenttypes id (ID として使用される列)

contenttype メッセージの MIME コンテンツの種類。

messages id (ID として使用される列)



テーブル名列名内容date ホームサーバーがメッセージ

を処理した日付と時刻。

fromid インスタントメッセージの送信者を識別します (users テーブル内の userid に対応します)。

toid インスタントメッセージの受信者を識別します (users テーブル内の userid に対応します)。

contenttypeid メッセージのコンテンツの種類を識別します。

cs_call_id IM セッションに関する一意の識別子です。call_id から計算されたチェックサムです (Live Communications Server のみが使用します)。

computerid インスタントメッセージを処理したホームサーバーを識別します (computers テーブル内の id に対応します)。

body インスタントメッセージの本文です。

reserved1 レコードのエクスポート追跡などで使用するために予約されている列。

reserved2 予約されている列。usagesummary id (ID として使用される列)

date ホームサーバーがメッセージを処理した日付と時刻。

fromid インスタントメッセージの送信者を識別します (users テーブル内の userid に対応します)。

toid インスタントメッセージの受信者を識別します (users テーブル内の userid に対応します)。



テーブル名列名内容cs_call_id IM セッションに関する一意の

識別子です。call_id から計算されたチェックサムです (Live Communications Server のみが使用します)。

Messages 送信されたメッセージの数。

reserved1 予約されている列。reserved2 予約されている列。

監査、報告書、およびコンプライアンスアプローチの一部として Live Communications Server を適切に使いこなすための詳しい説明とガイダンスとして、以下のような資料を参照できます。

Live Communications Server 2005 プラニングガイド (特に 70-71 ページ参照)18

Live Communications Server Resource Kit19、(特に "ArchivingDatabaseQueries-Readme.htm"を参照)

Live Communications Server 2005 Document : Deploying Archiving Service20

Additional Live Communications Server 2005 Deployment Resources21

4.5 パートナーによる追加機能マイクロソフトのパートナーが Microsoft Office Live Communications Server 2005 を用いて作成したソリューションにより、企業は、ログ、アーカイブ、ファイル転送、音声/ビデオ会議、およびアプリケーション共有といった機能を備えた、管理されたインスタントメッセージングを展開することができます。マイクロソフトパートナーは、Live Communications Server 2005 のネイティブ機能を拡張して、以下のような追加機能を提供します。これらは、SEC 規則 17a-4、米国企業改革法、HIPAA、およびその他の法規制に含まれる IM 要件に準拠しようとするユーザーにとって特に重要な機能です。

IM 会話の再構成顧客キーワード検索リアルタイムのコンテンツフィルタ機能

校閲者の通知メッセージの注釈と監査追跡

18 http://www.microsoft.com/downloads/details.aspx?FamilyId=F7BC430F-3CAC-4DBD-8EC3-B93186F343FA&displaylang=en (英語)19 http://office.microsoft.com/en-us/FX011526591033.aspx (英語)20 http://www.microsoft.com/downloads/details.aspx?FamilyId=626B41AD-2AF8-4746-8EFA-38F3E570BBFC&displaylang=en (英語)21 http://office.microsoft.com/en-us/FX011526591033.aspx#Live%20Communications%20Server%202005%20Planning%20Guide (英語)



マイクロソフトのパートナーは、以下のような場面でも企業を支援します。(1) Live Communications Server 2005 およびそれに関連するパートナーソリューションの展開準備のために、現在の IM 使用状況と主要な IM 要件を示します。(2) コンプライアンス (IM 会話のログ、アーカイブ、および報告書作成など)、セキュリティ (ファイル転送の AV スキャン、ファイル名/ファイルの種類/ファイルサイズによるファイル転送の制御、スパムとワームのブロックなど)、および管理 (パブリック IM ユーザー向けの適切な棄権と通知、社内ユーザーと社外ユーザー間での "チャイニーズウォール" の使用、IM 会話の取得と保持のためのワークフローツールの使用など) のために適切なツールを特定して実装します。(3) 企業のユーザーによる新しいエンタープライズ IM ソリューションの採用モニター (メッセージ評価のためのWeb ベースのワークフロー、など)。

Live Communications Server 2005 をベースにカスタマイズした機能を開発中のマイクロソフトパートナーのリスト (一部) は、http://www.microsoft.com/livecomm をご覧ください。



5. まとめ

写真家であり作家である Eric Hoffer 氏は、以前、学ぶことと理解することの違いを次のように説明しています。

「変化のさなかにいるとき、学習者は地球を引き継ぎますが、理解者は、もはや存在しない世界に対峙するために装備を固めます」

今日の企業は "理解者" ではなく "学習者" になる必要があります。つぎはぎのセキュリティ、認証、暗号化ソリューションを使って従業員にパブリック IM ネットワークを使い続けさせるのではなく、彼らをエンタープライズ IM ソリューションに移行させるべきです。この移行の結果投資回収率 (ROI) を上げ、総所有コスト (TCO) を抑えられるだけでなく、企業は、エンタープライズ IM ソリューションで全社的/包括的なコンプライアンスプログラムをより有効に採用することができます。

インスタントメッセージングを含むビジネスレコードのレビュー、アーカイブ、提出、監査を要求する多数の規制が生まれた結果、このように将来を見越したアプローチが必要とされています。さらに、(a) 規制準拠の報告書提出期限が短縮されるトレンド、(b) 全社的なコミュニケーションとコラボレーションの役割拡大、(c) 企業における "有効なコンプライアンスと倫理プログラム" 確立の必要性、などからも、移行をお勧めします。Microsoft Office Live Communications Server 2005 は、"学習者" である企業が規制へのコンプライアンス曲線を先取りするようにデザインされた堅牢な IM ソリューションを提供します。



Documents

download.microsoft.comdownload.microsoft.com/.../LCSComplianceWhitePaper.doc · Web view著作権法による制限に関係 ... の使用を推奨し、企業のファイアウォールで