ここから本文です

CMS Watch : 記録管理 /仕様、認定、コンプライアンス：この3者には違いがある

2006年4月 1日掲載

プリシラ・エメリー

［編集部より：読者の方々から編集部に対して、記録管理認定とコンプライアンス要件、および具体的なプロジェクト仕様との間にはどのような関係があるのか、といったご質問が、時折、寄せられます。そこで、今回の記事では、23種類の記録管理製品を評価した記録管理レポートからの抜粋によって、ご質問にお答えすることにしました。］

認定は仕様を超えるもの

仕様と認定をごた混ぜにする人がいるが、実際のところ、認定とは、標準規格や一連の仕様を定義する以上の役割を果たす。認定機関は、ベンダーやその他の組織が規定の仕様に準拠しているかどうかを検査し、資格を与える際の基準として、仕様書を用いる。認定という言葉には、厳格な検査の手続きを伴った一連の厳格な仕様、さらに、製品が認定に値するものであることを実証するプロセスの意味が含まれている。

買い手の多くは、すでに認定された製品を買うことを選ぶ。というのも、認定品であるということは、そのソフトウェアが、基本的な仕様についてはすでにテストされていて、さらなる評価に値するものだということを意味するからだ。どちらの政党にも偏らない信頼の置ける機関や当局から「お墨付き」をもらうにあたって、ソフトウェアの評価を受けるプロセスで、認定品であることが往々にして役立つ。

電子記録管理の市場は、２、３の主要な認定機関の要件に準拠することを最優先課題にしているようだ。

認定機関

米国防総省（DoD）が定める「電子記録管理ソフトウェアの設計基準標準（Design Criteria Standard for Electronic Records Management Software Applications）」、いわゆる DoD 5015.2標準は、1997年に誕生し、電子記録管理ソフトの認定レースにおける「黄金」基準とも言えるものになった。米国立公文書館（NARA）にも承認されており、DoD 内で使われる記録管理アプリケーション（RMA）に必要な機能を定めている。

2002年6月の改訂バージョンでは、オリジナル版の仕様に第4章が足され、非公開（機密）の記録をサポートしている RMA に対する追加要件が定めされた。さらに、監査要件の拡大、ユーザ定義のメタデータフィールドに関する具体的要件の追加、Eメール記録のサポートについてのガイダンス指定、といった変更が加えられた。

さらに第3版として、現在、以下のような点で仕様修正案が検討されている。

記録管理システム間の相互運用性、データのエクスポート・インポート機能、NARA へのデータ・エクスポートについての要件
プライバシー保護法と情報公開法に関係した検討項目
第2章、および安全保障上の機密記録に言及した章に対するマイナーな改正

DoD による認定プロセスの運営とテスティングは、連合相互運用試験コマンド（JITC、DoD 防衛情報システム局内の一組織）の下で管理されており、現在、ソフトウェア製品の仕様基準準拠について認定を得ようとするベンダーは、約１年待ちの状態となっている。認定の有効期間はわずか２年で、しかもこのプロセスでは、テストを受けた製品の特定バージョンに対してしか認定を下さない。さらに、別個のパートナーシップや製品の統合は、それ自体に対して別に認定を取得しなければならない。Microsoft の SharePoint Server に記録管理ソフトウェア製品を統合すれば、この対象になるということだ。

例えば、DoD の認定を受けた TOWER Software の TRIM Context という製品がある。TOWER Software では、1年以上前に、この製品を Microsoft の SharePoint Services 2003と統合した。しかし、この統合が DoD の認定を受けたのは、つい最近のことだ。認定手続きが完了するのに、約1年を要したからである。一方、この間に、Microsoft の SharePoint Services 2003と MDY の FileSurf v. 7.5という記録管理ソフトの統合も、認定を受けた。しかし、機密記録の部分については認定を得ていないという具合だ。さて、これで、お分かりいただけただろうか。

実際、ベンダーが抱える各製品に多数存在するバージョンの認定状況は、常に変化している。だから、認定が大きな意味を持つとお考えの方は、JITC のウェブサイトで常に最新情報をチェックし、製品のステータスを把握しておく必要があるだろう。また、認定を待っている企業がどれだけたくさんあるかも、ここで見ることができる。

民間企業は政府の認定を気にすべきか？

みなさんの組織が政府機関ではなくて、認定が絶対的に必要というわけではないとしたら、それでも DoD 認定のソフトを使うことが重要なのだろうか。それは、場合によって異なる。DoD の仕様は膨大な基本要件を課しているため、組織によっては、不必要なほどの内容になっていることもあり得る。仕様書を検討したうえで、自社の業務にあまり重要でないかもしれない要件に基づいてソフト選びの選択肢を狭めていないかどうかを確認するといいだろう。同時に、民間企業が望む機能のなかには、DoD 5015.2標準でカバーされていないものもある。つまり、DoD 認定は、すべての企業で必要とされるすべての機能を備えた製品だということを示す証明では必ずしもないということだ。

しかも、認定を受けていないという理由だけで、その製品が DoD の要件を満たしていないということにはならない。認定待ちのリストに名を連ね、順番を待っている最中かもしれないからだ。また、ベンダーのなかには、行政セクター市場にさほど重きを置いていないため、初期認定テスト料の2万ドルから2万2000ドルを JITC に払って（再認定や製品統合の場合は１万ドルから１万5000ドルのみ）、さらにテストを行うための出張費までかける必要はないと考えるベンダーもいる。

米国外の認定

由緒あるイギリスの国立公文書館（旧 UK Pro、現 TNA）でも、電子記録管理システム用の基本機能とメタデータ仕様を認定するプロセスを設けている。認定プロセスにかかる費用は約8000ポンド（約１万4600米ドル）、プラス付加価値税がかかり、DoD 5015.2と同様、イギリスの政府機関に導入してもらいたいと思うベンダーには取得が義務付けられている。認定を受けたソフトウェア製品は、DoD よりもはるかに少なく、実際、両方の認定を受けた製品となると、ごく少数だ。

実のところ、TNA は、認定自体を取りやめる方向性を打ち出している。ヨーロッパとしての標準規格か、他の国際的な標準規格を策定する可能性が出ていることから、TNA は、代わりとなる仕様や認定を開発するこれらのプロジェクトに協力し、最終的に他の機関に管理運営を任せる計画だ。例えば、TNA は現在、欧州連合（EU）のドキュメントライフサイクル管理（DLM）フォーラムに参加しているが、そこでは、EUのデファクト・スタンダード（MoReq 2=電子記録管理のためのモデル要件2）を策定し、関連するコンプライアンス検査も開発する可能性がある。これは、TNA が実施しているテスティングや認定制度に取って代わる可能性もある。

同様に、他の国でも、政府が使うアプリケーションに適用する最低限の記録管理標準を規定している。オーストラリアの VERS （ビクトリア電子記録戦略）、ドイツの DOMEA （ドキュメント管理および電子アーカイブ）、カナダの RDIMS （記録、ドキュメント、および情報管理システム）などだ。

これらの各標準は、政府という枠組みを超えて、数多くの様々な業界で使用され、電子レポジトリの中で記録がどのように保存されるかについて、最低限の標準を打ち立てていくだろう。読者のみなさんが、行政セクターのユーザではないとしても、最低限、これらの仕様に目を通し、自分と自分の会社にとってどの要件が最も適切かを判断することを、私はお勧めしたい。

コンプライアンスと認定

認定と同じように、コンプライアンスも多面性を持った問題だ。一般的に言って、内部的なコンテンツマネージャは、記録保存と記録破棄に関する規定のポリシーに従っていることが重要だ。より迅速でより生産的な記録とのかかわり方について、電子記録管理システムは、ある程度は役に立つうえ、同時に、記録管理プログラムの能動的なコンプライアンスを判断し、その結果として必要になるかもしれない監査活動でも、助けになり得るからだ。

全体的なコンプライアンスに含まれる個別項目として問題になるのが、コンプライアンス活動の監視や監査を義務付ける、業界特有の規制や政府が定めた規制だ。記録管理という分野においては、政府対応や規制のコンプライアンスといった問題は、以前から存在していた。しかし、コンプライアンスを欠くことで招かれる結果は、かつてよりもずっと深刻で、高くつくものになっている。さらに、規制の数がここ数年間で急増していることから、これらの規制をフォローするのはフルタイムの仕事となり、新しい「C」レベルの肩書き、すなわちチーフ・コンプライアンス・オフィサー（最高コンプライアンス責任者）というポストまで作り出す結果になった。こうした状況に、電子記録の絶対量が急激に増えていることが相まって、定められた規制を取り入れて実現するソフトに対してニーズが高まっていることは、誰の目にも明らかだ。

ほとんどすべてのベンダーが、サーベンス・オクスリー法（米国企業改革法）から HIPPA 法（医療保険の携行性と責任に関する法律）に至るまで、すべてをサポートする能力を、いずれ売りものにするようになるだろう。だが、現時点では、これらのコンプライアンス活動には認定仕様書も手続きもないのが実情だ。

とすれば、ユーザは、自分の使っているソフトがこれらの規制に準拠しているかどうかを、どうやって確認するのか。それは、社内のコンプライアンス責任者や弁護士、ひいては内部ユーザの助けを借りて、個別のドキュメントや記録にとって、コンプライアンスとはいったい何を意味するのかを定義していくことによって、だ。これらの仕様は、記録管理の汎用システムに盛り込まれた基本仕様と重なるかもしれない。しかし、ファイルプランの定義段階や報告段階などで、標準的な記録管理システムの範疇を飛び出す特別な保存ニーズがあるかもしれない。

例えば、サーベンス・オクスリー法へのコンプライアンスでは、記録管理が重要な役割を果たす可能性があるが、このコンプライアンス活動のほとんどは、財務報告や財務プロセスの監視に関係していて、単なる記録保存よりも、ワークフロー活動やプロセス監視のほうが、フォーカスする機能として重要になっている。それゆえに、お使いの記録管理製品にこれらの機能が盛り込まれていないのであれば、プロセス監視ソフトとうまく機能するかどうかを確認したほうがいいだろう。

結局のところ、自分自身で宿題をして自分の組織に特有の要件を理解する努力を代行してくれるものは、存在しない。政府の認定が、多くのシステムにとって資格条件になりつつあるのは事実だが、製品選びのプロセスにおいて、これだけが唯一の要件ということでは決してないのだ。

プリシラ・エメリーは、e- Nterprise Advisors の社長兼設立者で、これまでフォーチュン1000企業やハイテク企業に対して、市場調査および分析サービスを提供してきた。30年以上にわたる技術経験を持った彼女の専門分野には、イメージング、ドキュメント、記録、およびEメールの管理、さらに ECM 分野の他の技術などがある。

この記事の原文「Specifications, Certifications, and Compliance: There is a Difference」は、2005年12月15日、「cmswatch.com」に掲載された。

本サイトに掲載している CMS Watch の記事は、CMSWatch.com より許可を得て、翻訳・転載しているものです。

CMSWatch.com は、ウェブ・コンテンツマネジメントおよびエンタープライズ・コンテンツマネジメント・ソリューションについて、ベンダーから完全に経済的独立をした形で、利用者の立場に立って、独自の情報やトレンド、意見、評価を提供しているサイトです。

CMS Watch はまた、最新の CMS 関連の製品分析やアドバイスが掲載されている The CMS Report の販売(無料サンプルあり)もしています。
・The CMS Report について

トラックバック

このページのトラックバックURL
http://www.designit.jp/mt/mt-tb.cgi/377