eDiscoveryを知っていますか？

「eDiscovery」とは、米国や欧州における、訴訟上の証拠に関する必須の手続きです。日本では、訴訟での証拠に関する手続きは紙での運用が原則になっており、電子データでの証拠の開示は現時点では行われていないため、日本国内の企業等には関係がないように思われます。

しかし、米国の法律は、国外の訴訟当事者も対象となるため、米国でビジネスを展開している企業等については、無関係とは言い切れない訴訟上の手続きとも考えられます。

eDiscoveryとは？

「eDiscovery」は、米国等における訴訟時の電子的な証拠の取扱いに関する手続きになります。

物理的な証拠（つまり、紙の文書等）での裁判では、「Discovery」と言う手続きとして、証拠保全と検索、開示等の規定がありました。

コンピュータの発展、スマートフォンの浸透等により、証拠となる対象物が、電子的かつ大量に保存される様になりました。「eDiscovery」は、この大量の電子ファイルを合理的、経済的に証拠として開示することを意図した仕組みになります。

訴訟における法定の手続きになりますので、適切に手続きを行わないと、法的適合性を問われることになりかねません。

誰がやるの？

「eDiscovery」は訴訟時の証拠に関する手続きですので、訴訟の当事者が対象になります。
米国の制度は、米国外に存在する訴訟当事者についても対象とされるため、日本の企業や個人についても対象となる可能性があります。

例えば、米国で、ビジネスを行っていたり、製品等を販売していたり、また、資金調達をしていたりすると、訴訟の対象になる可能性があります。また、ソフトウエアライセンスや特許等の侵害の裁判の対象となることも想定されます。このような場合には、「eDiscovery」手続きが必要となる可能性があります。

何でやるの？

実施する理由としては、以下のようなものが考えられます。

• 訴訟の法的要件をクリアするため
• 電子データの適切な管理のため
• 訴訟により生ずるリスクを軽減するため

訴訟の法的要件をクリアするため

「eDiscovery」が求められる国での訴訟の当事者になった場合、法制度上の要求事項ですので当然に「eDiscovery」手続きが不可欠なものになります。

コンピュータの発展、浸透に伴い、重要な証拠となり得る電子データが存在する可能性が高まっていますので、「eDiscovery」手続きが重要であることが理解できるのではないでしょうか。

また、適切に「eDiscovery」手続きを実施していない場合には、法制度ですので制裁の対象になることは、想定されることと思います。

電子データの適切な管理のため

不正アクセスも、企業が気を付けるべき脅威の1つです。アクセスする権限を持たないはずの攻撃者がデバイスやシステムにアクセスし、データの盗取や改ざんをおこなうことを指します「eDiscovery」手続きに適切に対応するためには、大量に保存される可能性のある電子データを、一定のルールに従って管理することが必要になります。従って、電子データの効率的、効果的な管理を実現することが必要になります。また、この適切なデータの管理は、費用削減効果を生み出すかもしれません。

訴訟により生ずるリスクを軽減するため

「eDiscovery」の手続きに準拠して電子データを保全、開示することにより、訴訟に関する証拠隠滅等を認定されるなどの訴訟上の不利な取り扱いを受けるリスクを軽減できます。

どうやれば良いの？

「eDiscovery」手続きは、「EDRM」というフレームワークに沿って進めることが推奨されています。

「EDRM」というフレームワークの概要は、以下のとおりです。

1. 情報ガバナンス（Information Governance）
   電子データの取得、生成、処理、保管及び廃棄等に関するガバナンスを確立します。
2. 識別 (Identification)
   電子データの潜在的な発生源を識別し、その範囲、期間、深さを決定します。
3. 保全 (Preservation)
   電子データを不適切な改ざんや破壊から確実に保護されるようにします。
4. 収集 (Collection)
   電子情報開示プロセス (処理、査閲など) でさらに使用するため、識別した電子データを収集します。
5. 処理 (Processing)
   収集した電子データの量を減らし、必要に応じてレビューと分析により適した形式に変換します。
6. 査閲 (Review)
   電子データの相互の関連性と秘匿特権（不開示とできる機密情報）を評価します。
7. 分析 (Analysis)
   主なパターン、トピック、人物、議論など、コンテンツとコンテキストについて電子データを評価します。
8. 作成 (Production)
   電子データを、適切な形式で、適切な配信メカニズムを使用して、当事者に配信します。
9. 開示 (Presentation)
   訴訟当事者等に電子データを開示します。

なお、「EDRM」のフレームワークについては、ガイド等が公開(EDRM.net等)されていますので、必要に応じて参照することが出来ます。

何が対象なの？

米国の法令では、「電子的に保存された情報(electronically stored information)」が対象です。

この「電子的に保存された情報」には、文書、図面、グラフ、チャート、写真、録音、画像、およびその他のデータまたはデータの編集物が含まれるとされています。

また、「電子的に保存された情報」の保存されている場所としては、コンピュータ(サーバを含む)、タブレット、携帯電話、オンライン電子メールアカウント、クラウドベースのレポジトリ、メッセージングアプリケーション、またはソーシャルメディア・プラットフォームなどが含まれるようです。 つまり、ＰＣやサーバに保存された文書やデータはもちろん、携帯電話、スマホやタブレット内に保存された電子データ、また、ＳＮＳやチャットの情報も対象となると考えられます。



このように、「eDiscovery」の対象範囲は広く、また、訴訟時の証拠保全という重要な手続きです。従って、手続きに不備があったり、あるべき電子データが削除されていたりすると、訴訟の進行上において不利な取り扱いをされることになります。

具体的には、削除されていた電子データは削除した側に訴訟上不利なものであったと認定されたりすることなどがあります。

従って、訴訟が提起されたりした場合の、「eDiscovery」の手続きは慎重かつ適時に進める必要があります。手続きの各段階で弁護士に意見を求めたり、電子データの取り扱い時にはフォレンジックの専門家の関与を求めたり、専用のツールを使用したりすることを検討する必要があります。

まとめ

日本でも、ＳＮＳ等での誹謗中傷による訴訟が提起されるようになり、訴訟の提起後に対象の投稿を消したとか、消さないとか、ＳＮＳ上で賑やかになっている現状を考えると、「eDiscovery」を制度として整備を検討する時期なのかもしれません。

執筆：公認情報システム監査人
(サイバーソリューションズ株式会社 製品開発アドバイザー)

eDiscovery対応のメール監査システム「Enterprise Audit」

サイバーソリューションズの「Enterprise Audit」は、eDiscovery対応のメール監査・アーカイブシステムです。Microsoft 365やGoogle Workspaceをはじめとしたクラウドメールサービスや、Exchangeなどの各種メールサーバーに連携して利用できます。ご興味がある方は、お問い合せください。

【お役立ち資料】eDiscovery対応！
Microsoft 365ユーザ様向け「メール・Teams監査」強化のご提案