Microsoft 365 のデータ不変性
規制コンプライアンス、内部ガバナンス要件、または訴訟リスクでは、組織は電子メールと関連するデータを検出可能な形式で保持する必要があります。 システム内のすべてのデータを検出可能にする必要があり、破棄または変更することはできません。 この業界標準の用語は"不変性" です。
不変性の従来の方法は、通常、電子メール メッセージを別の読み取り専用ストレージの場所に移動することで機能します。 このようなシステムは、検出のためにメールボックスアイテムを保持する目的を果たしますが、通常の毎日のワークフローから保存されたアイテムを削除することで、ユーザー エクスペリエンスに影響を与えることがよくあります。 IT プロフェッショナルにとって、この不変性のアプローチでは、個別のサーバーとストレージ インフラストラクチャのデプロイと継続的なメンテナンスが必要です。 検出は、メール システムの外部のツールで実行され、関連する展開とメンテナンスのコストが含まれます。
Microsoft 365 およびそのサービスでのアーカイブのインプレース保持と保持ポリシー機能を使用すると、受信、内部、および送信データの多くのクラスを保持および保持できます。 保持されるデータには以下が含まれます。
- 受信メールと送信メールの通信データ
- メール フォームまたはオンラインド共有キュメントに含まれている帳簿や記録
- 会議出席依頼
- FAX
- インスタント メッセージ
- オンライン会議中に共有されたドキュメント
- ボイスメール
さらに、Microsoft は、サードパーティ のデータ キャプチャおよび管理ソリューションとの統合を通じて、他のソースからのデータをアーカイブできるようにするアドオン機能を開発しました。 サード パーティのデータをインポートした後、次のような Microsoft Purview 機能をデータに適用できます。
たとえば、メールボックスが訴訟ホールドに配置されると、サード パーティのデータは保持されます。 電子情報開示またはコンプライアンス検索 In-Place 使用して、サード パーティのデータを検索できます。 または、Microsoft データの場合と同様に、アーカイブポリシーとアイテム保持ポリシーをサードパーティのデータに適用することもできます。 Microsoft 365 でサード パーティのデータをアーカイブすると、組織が政府や規制のポリシーに準拠し続けるのに役立ちます。
Microsoft 365 のアーカイブには、証券取引委員会 (SEC) 規則 17a-4 準拠のストレージが用意されています。 Microsoft 365 では、インプレースリテンション ポリシーと保持ポリシー (保持ロックを含む) を使用して、書き換え不可能な、元に戻さない形式で収集されたすべてのデータの永続的なファイルが保持されます。
特に次のような場合です。
- 上記のアイテム保持ポリシーを使用して保存されたすべてのレコードは、通常のユーザーの管理外の専用ストレージ領域に保持されます。 承認されたユーザーのみがこれらのレコードにアクセスして検索できますが、変更または消去することはできません。
- 各項目のメタデータには、保持期間の計算で使用されるタイムスタンプが含まれます。 タイムスタンプは、新しい項目が受信または作成されたときに適用され、メタデータを変更または削除することはできません。
- Microsoft 365 でのアーカイブを使用すると、ユーザーはさまざまなアイテム保持ポリシーを組み合わせ、アクションを保持して詳細なアイテム保持ポリシーを作成できます。 これらのポリシーは、保存される項目の種類または場所と保存期間を定義します。
- 保持ロック機能を使用すると、ユーザーはポリシーを制限付きポリシーにするかどうかを選択できます。 制限付きポリシーでは、アイテム保持ポリシーを削除、無効化、または変更する権限を誰も持つことが禁止されています。 つまり、保持ロックが有効になると無効にすることはできなくなり、保持ポリシーによって収集された既存のカストディアンのデータが保存期間中に上書き、変更、消去、または削除されるメカニズムは存在しません。 また、保持ロックによって設定された保留期間が短縮または減少しない場合があります。 ただし、前述のように、保存されたデータの保持を継続するための法的要件がある場合は、延長される可能性があります。 保持ロックを使用すると、管理者や特定の制御アクセス権を持つユーザーであっても、保存されているデータを変更したり上書きしたり消去したりできないようにし、2003 年の SEC 規則 17a-4 のリリースに記載されているガイダンスに沿って Microsoft 365 でアーカイブを行うことができます。
特に規則 17a-4 の要件に関連して、Microsoft 365 が規制上の義務を果たすのにどのように役立つかを理解するには、 情報ガバナンスとレコード管理に関する規制要件 に関する記事とリンクされた Cohasset Assessment に関する記事を参照してください。 また、Cohasset Assessment は、SEC 規則 17a-4 の各要件に対する Microsoft 365 アーカイブ機能の詳細な分析を提供し、Microsoft 365 アーカイブによってこれらの要件を満たす方法を規制対象のお客様に示します。