顧客に関する情報としての価値あるいは財務上の価値がなくなった機密情報は、企業に多大な損失をもたらす危険があります。小売業者、銀行、政府機関などが不要になった情報を保持し、後にそれを紛失したことで非難を受けた、というニュースを誰でも耳にしたことがあるでしょう。

不要な情報を保持しているということは、過大なリスクや損失につながる状況を作り出していることになります。また、有益な顧客情報が余計なデータの山に埋もれてしまうため、その情報へのアクセスが非常に難しくなってしまいます。データセンターでは、大半のバックエンド・システムに不要なデータが多すぎるのです。

情報をいつ、どのように破棄するかは、法律的な面からのみ判断してはいけません。ビジネス戦略も考慮されるべきです。情報は資産であると考えれば、その資産が最も役立つのはいつどのような場合か、また自社の従業員、テクノロジー、時間の面で障害となるのはどの時点からか、ということが分かります。

役立つ情報の保持と不要なデータの破棄との境界線は、企業によって異なります。企業のITシステムや人事システムの構成によっては、単に情報の保持期間に関する法的制限が7年と決められているからという理由で、情報を7年と1日以上保持するのは賢明ではないということもあります。一方で、法的制限を越えて長期にわたって保持するための正当な理由がある、という場合もあります。これは戦略の問題であり、企業にとって適切な方針、選択したリスク・プロファイル、及び顧客や従業員に有益な情報の種類を見極める必要があります。

その問題を取り上げた博士論文もあります。しかし私は博士ではありませんし、この問題についてはごく実用的に「情報はデータのサブセットである」と考えています。さほど意味のないデータが複数集まると、意思決定、計画立案、法的要件の遵守、状況の把握に役立つ情報となります。

ここでいう情報とは、人、場所、物事、時点、プロセス、その他の意味のあるものについてのデータの集合体です。企業のシステムにはデータが保存されており、そのデータはアプリケーションまたは人、あるいはその両方によって情報へと変化します。

今日のビジネスの場にいる私たちは、ほとんど誰もが様々なリスクに取り囲まれています。未知の脆弱性や予測できない法規に対する遵守、リスク、恐れに常に悩まされています。私たちがデータを保護する理由は、そのデータを失ったり使い方を誤ったりすると、罰金を科されたり不満を招いたりすることがあると分かっているからです。

しかし、そうしたリスク方程式がある一方で、利点もあります。何かを保護することに時間やリソースを割く唯一の理由は、保護しようとするものに価値があるからです。情報の利点は、意思決定を促し、それが収益向上やコスト削減などの利益をもたらすという点です。

私は年頭に、例えばX、Y、Zのことを行うための予算と戦略の計画を立てます。そして年末にはその年を振り返り、会社の目標に沿ってどのような成果を、どのくらいのコストを費やして達成したかを考えます。情報は、そのような場合のさらに強力なステップです。自社のバランス・シートに記載された情報について、企業が説明責任を負わなければならない時代が近づきつつある、と私は考えています。1960年代に海軍少将Grace Hopper（グレース・ホッパー）は、情報は結局のところ企業のバランス・シートの1項目に過ぎないということを理論化しています。

ビジネス・インテリジェンスは、情報がもたらす利点です。そして、そのビジネス・インテリジェンスを効率的で合法的かつ倫理的に活用すれば、収益という利点が得られます。

あります。それはデータの種類とタイミングの問題です。小売業者にとって危険な時期は、注文が殺到する休暇シーズンの前でしょう。アメリカでは感謝祭から新年までの期間は、データ侵害が急増することがあります。また、戦略的な計画や機密性の高い知的財産の侵害によって、業界全体が壊滅的な打撃を受けることもあります。統廃合する銀行では貴重な口座データが失われる可能性があり、その結果、まさに銀行の回復や成長を助けてくれるはずの顧客を失うことにもなりかねません。通貨と情報に関しては、タイミングが全てです。

米国ではほとんどの州でブリーチ・ノティフィケーション法（Breach Notification Law）が定められており、この法律について、ヨーロッパやその他の国々でも活発な議論が行われています。クレジット・カード番号、PIN、社会保障番号などのデータは、極めて高いリスクをもたらすことがあります。そしてそのリスクによる被害額は甚大なものとなります。

例えば、そのようなデータが格納されたノートパソコンを紛失した場合を考えてみましょう。または、あるデータセンターのディスク・アレイが故障して、データの保護対策を行わないまま修理に出したとしたらどうでしょう。数十万、あるいは数百万規模のアカウントを失うことになりかねません。そのような事態を引き起こした企業は、データを提供した各顧客に対し、法律上の義務として、また文化的な期待によって、信用保護のための支払いを2年間にわたって実施しなければなりません。その金額は顧客1人当たり約90ドルと聞くとさほど多額とは思われないかもしれませんが、顧客100,000人分となればどうでしょうか。さらに顧客100万人分となれば、恐ろしい金額になります。

現在、実際にこのようなことが起きているのです。しかもこの金額には、そのようなデータ侵害が発生した際に多くの時間とコストを費やすことになる弁護士、監査役、コンサルタント、広報会社、及びブランド回復のための専門家に支払う費用は含まれていません。データの損失が過失または悪意によるものであったと裁定されれば、懲役を科されることもあります。

なりうる、と私は考えます。データ保持ポリシーを持ち、かつ自社の成功とコンプライアンスに必要な情報の割り出しを行なっている企業の場合、データ破棄ポリシーを設定して準拠することによって日々のデータに集中でき、過去のデータについて心配する必要がなくなります。これは極めて大きな強みです。前四半期のことを心配する必要がなくなれば、顧客関係、従業員の定着率向上、公共政策、各種イベントなどへの注力が可能になるということは、ほとんどの人が認めるところです。あまりに多くの「がらくたデータ」を抱えていると、脆弱性につながる抜け穴が生じるだけでなく、本来のビジネスに専念することができなくなります。物事が明確で効率的、かつ先進的な状態に維持されていれば、競争上の優位性となるはずです。

データのプライバシーはセキュリティと密接に関連しているため、顧客はどのようなセキュリティ・レベルが適切なのかを各自で判断しなければなりません。先ごろサンが発表したData Protection Service, Data Erasure（SDPS-DE）（サン・データ・プロテクションサービス、データ消去）は、サンが提供する最新のサービスです。これはオンサイトでデータを消去するサービスであり、物理的な資産の制御はユーザに任されます。グローバルな経済環境においては、1社のプロバイダによって一貫したかたちでサービスが提供され、世界各地の全ての拠点が企業のポリシーに準拠できるようにすることが重要です。SDPS-DEは、企業のセキュリティ部門が規定する厳重なデータ破棄ポリシーと、それを監査する監督官庁のガイドラインに対応します。

また、SDPS-DEは資産を破棄するのではなくデータを破棄するサービスであるため、資産管理にも役立ちます。既存の資産を再度展開することができ、機器を破棄することに対する環境保護のジレンマも解消します。SDPS-DEは、データ資産を管理して情報プロファイルを向上させるための総合的な戦略計画の需要な部分となる、もう1つのツールです。

私が使うのは、極めて非科学的な計算式です。データには価値があります。一方、データにはリスクもあります。成功を収めるためには、データの価値（DV）はデータのリスク（DR）より大きくなければなりません。DVがDRより大きいと判断できるかどうかは、データの量、データの性質、企業の設立からの年数、ITインフラストラクチャの構成、現在の時期、経営陣は誰か、グローバル企業かどうか、という要素の総和で決定されます。

DV、DRに関する自身の決断について自問すべき事項としては、次の項目が含まれます。その情報にリスク抑制をするだけの価値があるかどうかを考えずに、リスクを抑制しているか。X情報の収集を中止して、価値があることが分かっているY情報を収集すべきか。「万一に備えて」ではなく、意識的にデータの保持に取り掛かるべきか。

データ破棄要件で問題なのは、世界の多くの地域にそのような要件がないということです。データ保持、及びデータ廃棄の正当性の立証についての基準は、国によって様々です。EUでは、データは収集時点で明示される使用目的を超える期間にわたって保存されてはならないとしています。これは一見、特定の要件のように思われます。例えば、いくつかのEU諸国では、不要になったデータを破棄することが義務づけられています。

しかし、これらの国々の人事関連法規では、従業員に関するデータは極めて長期にわたって保持しなければならないと定められています。これは、データをできるだけ早急に廃棄するという要件と真っ向から矛盾します。一方、データ破棄に関して極めて厳しい法規を定めている国々では、データは収集後速やかに破棄されています。そのため、企業のシステム及びIT周辺機器にとっての課題は、文化的あるいは人権に関する概念を技術的な2進法へ変換することです。

同様に、正規の基準に対し、データを破棄するということが何を意味するのかという基準は国によって異なります。サンのData Erasureは世界の主要な基準のほとんどに準拠しており、多くの機関から、データがアクセス不能とみなされるための基準を満たしていると認定されています。サンのData Erasureサービスの賢い利用は、法令遵守、及びデータ資産の適切な保持を確実にするためにグローバルに考えて対処するための新しい方法となります。