Microsoft 365 のバックアップに関する詳細については、本シリーズの最初の投稿「Microsoft 365 の標準バックアップ機能がデータ保持には不十分な理由」をご確認ください。
パックアップはデータ保持ではなく、データ保持はバックアップではない理由
簡単に言えば、「データ保持」と「バックアップ」の意味をどう解釈するかは、職務によって異なります。IT 部門の社員にとって「バックアップ」とは、必要性が生じた場合に、コンテンツを復元し、ユーザーが利用できるようにするための手段です。また、IT 部門の社員に言わせれば、「データ保持」とは「バックアップしたコンテンツが削除されるまでの期間」です。
一方、弁護士やレコード マネージャー、法令遵守監査役にとって「データ保持」とは、「データの出所、書類受け渡し記録の管理、データの削除や破壊の正当性を主張することが可能な状態で、開示手続きや法的文書作成のためにコンテンツを利用できる状態に維持しておくこと」を意味します。この解釈は、IT 部門の解釈とは異なります。したがって、IT 部門、弁護士やレコード マネージャー、法令遵守監査役が同じ単語を使用していても、それぞれが日常的に使用している単語に含まれるニュアンスを互いに理解していない可能性がある点に注意する必要があります。
IT システムに導入する社内システムを検討している場合、プロセスやポリシーの目標が何であるのかを常に心に留めておくことが重要となります。「データ保持」は、必要に応じてコンテンツを復元できるようにするために導入するものではありません。必要に応じて復元を可能にするのは、最後の手段として利用できるコピーである「バックアップ」の仕事です。
※この記事は、米国 AvePoint で 2020 年 8 月 23 日付で公開された記事 “The Differences Between Microsoft 365 Backup and Retention” を日本語編訳したものです。
ストレージ スペースやディザスター リカバリーの管理が職務の一部ではない場合、「データ保持」の目標は、要請に応じて法務部門が文書を開示し、文書の出所の正当性を主張できるようにすることです。事実、データ保持に関する規制を遵守する主な手段として Microsoft 365 のコンテンツの「バックアップ」を使用すると、電子情報開示とデータ作成の効率が下がります。Microsoft 365 のコンテンツの「バックアップ」を使用した場合、電子情報開示のプロセスで、2 つのシステムのデータベースから情報の検索を行わなければならなくなります。これにより、開示情報にばらつきが生じ、例えばデータ作成に必要なコンテンツの重要な部分がバックアップ システム内の開示情報に含まれていない場合、企業がリスクにさらされる可能性があります。
さらに、ディザスター リカバリーとデータの可用性はもはや、IT 部門の主な責任ではなくなっているという現状があります。企業がクラウドに移行する前に IT 部門が担当していた業務は、今や IT 部門以外の社員が遂行することがあります。そのため、かつて「管理者」システムだったシステムへのアクセス権が IT 部門以外の職務の社員に付与され始めています。
この種のアクセスの例として Microsoft 365 の管理者ポータルの「コンプライアンス センター」が挙げられます。電子情報開示の役割を企業の法務部門に割り当てることで、法務部門は企業の Microsoft 365 テナント内のすべてのコンテンツをくまなく検索することができるだけでなく、データ検出と訴訟のためのデータ作成を管理することもできるようになります。さらに、対象の訴訟で明らかとなったデータの検出と、データに関するレポート作成のためにどの社員がどのデータにアクセスできるかを管理することもできるようになります。これらはすべて、データ保持の「バックエンド」の重要な側面です。
文書作成効率を向上する Microsoft 365 バックアップ
Microsoft 365 のテナントをパックアップすることは、データ保持に関連する規制要件の遵守と無関係ではありませんが、データ保持を行うためのソリューションではありません。優れたクラウド バックアップ ソリューションが実現することとは、復元のために簡単に (望ましい方法で) データのコピーにアクセスできることを保証することです。
優れたクラウド バックアップ ソリューションには、速やかかつ簡単にデータ保持 (および法的文書の作成) を実現する多数の機能が装備されています。いくつか装備されている機能をご紹介します。
- バックアップに含める新しいコンテンツ コンテナーの自動検出
- 個別のデータ ユニット レベル (文書、リスト項目、メールなど) の詳細な復元
- 完全または段階的なバックアップ & 復元
- インプレース & アウトオブプレース復元
- ファイルのエクスポート
- ストレージでのバックアップの暗号化
- デフォルトの最長保持期間終了後のバックアップの自動パージ
- 必要に応じて項目レベルのバックアップ データを検索 & 削除できる機能
- 管理者権限なく文書作成できる権限の付与
- エンド ユーザーがセルフサービスで復元することを可能にする機能
- テナント全体 (Microsoft 365 のワークロードすべておよびすべての情報) の包括的なバックアップ
これらすべての機能によりデータ保持とデータ作成を簡単に行うことができます。ただし「バックアップ」だけでは、データ保持に関する規制のあらゆる側面や、文書の作成を義務付ける法的要件、情報リスク管理を遵守するには十分ではありません。Microsoft 365 は、データ保持に関する各種規制の遵守を徹底するため、単なる「バックアップ」にすぎないツールよりも優れたツール、すなわち「保持ポリシー」をデータ管理者に提供しています。
データ保持ポリシーを使用する理由
データ保持ポリシーを使用することで、企業が得られるメリットは次の通りです。
- コンテンツを保持するか、削除するか、もしくは必要に応じて一定期間保持してから削除するかを主体的に決定できます。
- すべてのコンテンツまたは指定の条件を満たすコンテンツ (指定のキーワードを含む項目や指定した種類に該当する機密情報など) にポリシーを適用できます。
- 単一のポリシーを全社または指定の場所やユーザーに適用できます。
- コンテンツが他のユーザーによって変更またはアクセスされることを防ぎつつ、弁護士や監査役のためにコンテンツの見つけやすさを維持できます。
データが保持ポリシーの対象である場合、対象のコンテンツは本来の場所に保持されるため、データの編集やデータを使った作業を続けることができます。保持ポリシーにより、対応が必要な期限を迎えるまで、コンテンツはバックグラウンドで管理されます。例えば、「7 年後に破壊する」保持ポリシーを適用している場合、7 年経過するまで対象のコンテンツは本来の場所に保持され、アクセスできます。7 年経過した時点で、データが破壊されます。
「保持ポリシー」は「保持ラベル ポリシー」とは異なります。いずれも同じ機能を果たしますが、保持ポリシーは自動適用され、保持ラベル ポリシーは関連する保持ラベルがコンテンツにタグ付けられている場合のみ適用される点が異なります。Microsoft は、保持ポリシー ラベルについて、エンドユーザーとコンテンツ作成者自らが手動で適用する保持ラベルだと考えていますが、このタグ付けは、自動プロセスで行うことができます。(保持ポリシー ラベルの自動適用がどの程度うまく機能しているかについて、勤務先のレコード マネージャーにお尋ねください。)
保持ラベル ポリシーは、ユーザーまたはプロセスによってコンテンツにラベルが適用された場合のみ、効果を発揮します。保持ラベル ポリシーをコンテナーやワークスペースに公開しても、コンテンツに適用するポリシーをユーザーが利用できる状態にしているだけに過ぎません。保持ラベル ポリシーは、ポリシー対象のコンテンツが次回変更されるまで、コンテンツのコピーを「Preservation Holds」フォルダーに移動させない点について留意することも重要となります。
Microsoft 365 ワークスペースには、ワークスペースごとに独自の特性や挙動がありますが、保持ポリシーはすべてのワークスペースで利用できます。ここで、留意すべき一般的な事項をいくつかお伝えさせていただきます。
- ライセンス、ワークスペース、エンドユーザーへの表示/非表示を問わず、保持 (まはたその他の) ポリシーによって保持されているコンテンツはすべてコンプライアンス センターの電子情報開示コンソール経由で見つけることができます。
- 保持、ラベル、電子情報開示、またはその他の手段かを問わず、ポリシーベースのホールドはすべて、コンテンツがサイト コレクションのごみ箱に移動されることを防ぎます (すなわち、コンテンツが削除される前にすべてのホールドを削除する必要があります)。
- 保持対象のコンテンツは、保持期間が終了し、さらにデフォルトのサイト コレクションのごみ箱での保持期間が過ぎるまで、サイト コレクションのごみ箱から削除されません。
- コンテンツに保持ポリシーを適用するには、適切な Microsoft 365 ライセンスが付与されたユーザーがコンテンツを所有している必要があります。
Microsoft 365 の保持ポリシーを初めて利用する際は、理解しなければならないことがたくさんあるかもしれません。ワークスペースには、それぞれ微妙な差異があるだけでなく、保持ポリシーが適用されている保持データを対象としたデフォルトが設定されています。Microsoft 365 の一部のユーザーは、データの保持、情報開示、復元のためのライセンス コストが予期せず追加される事態が起きるのではないかという懸念を示しています。また、保持する必要があるが使用していないデータに費やしているスペースに対して料金が請求されるようになるのではないかと不安を抱いているユーザーもいます。さらには、Microsoft 365 の保持ポリシーではデータを復元できないため、Microsoft 365 の保持ポリシーが実際には機能せず、コンテンツが実際には保持されていないという苦情を耳にすることも珍しくありません。
しかし、Microsoft 365 の保持ポリシーについて理解し、適切に導入することができれば、これらの懸念はすべて軽減されます。
★Microsoft365のデータ保護に関して、AvePointでは実際に導入した企業の事例や、無料のオンデマンドセミナーなど役立つ情報を配信しております。
【無料オンデマンドセミナー】
・SharePoint や OneDrive に保管されたデータを守る、Microsoft 365 バックアップ
【導入事例】
・旭食品株式会社様
・BDO三優監査法人様
★AvePointが提供しているMicrosoft365のバックアップソリューションに関して、お問い合わせは下記からお気軽にお声がけくださいませ!
『AvePoint Cloud Backup』
ランサムウェア検知・セルフ復元機能を備えた Microsoft 365 / Office 365 の SaaS バックアップ ソリューション