目次
メールの監視が情報漏えい対策として有効な理由
テレワークが推進されるようになって久しい今般、メールを経由した情報漏えい事故の件数が増加しています※1。
メールによって情報漏えいが発生する主な原因は、誤送信または不正なメール送信です。誤送信とは宛先やTo・Cc・Bccの設定を誤って送信することや、秘密情報を含むファイルを不注意により送信してしまうことです。一方、不正なメール送信は故意に秘密情報やファイルをメールで外部に送信した場合を指します。
一般的に、誤送信や不正なメールの送信を防ぐために「メールの送信前に宛先や件名、添付ファイルを確認する」「社内で秘密情報の送信に関するルールを徹底する」といった対策が講じられますが、これらはあくまで社員一人ひとりの意識や取組み状況に依存します。
一方、プライバシー保護の観点で課題は残るものの、誤送信や不正なメールの送信を防ぐためには社員のメールを監視することで、個人の取組み状況に依存することなく情報漏えいリスクが低減できます。
具体的には、内部不正対策ソリューション等を活用してメールを監視することで、次のような対策が可能です。
誤送信を防ぐ
- 規制されているファイルの添付検知や制御
- 管理者や全社共通等のCcやBcc設定が必要なアドレスの入力漏れを検知し送信を制御
不正なメール送信を制御する
- 規定外の宛先に対するメール送信の検知や制御
- メールの件名や本文、添付ファイルに秘密情報が含まれる場合の検知や制御
- 秘密情報の送信が発生した場合の送信ログの把握
メールの監視が情報漏えい対策において有効であることは以上に示したとおりですが、メールの誤送信や不正な送信を防止することによって防ぐことができるインシデントは、起こりうる情報漏えい事故のうち何%の割合でしょうか。
情報漏えいの原因のうち37%がメールの誤送信
出典:2021年度「個人情報の取扱いにおける事故報告集計結果」
一般社団法人日本情報経済社会推進協会(JIPDEC)が行った調査によれば、個人情報の漏えい事故のうち37%がメールの誤送信によって引き起こされています※1。
また、2017年から2021年の中でメール誤送信による個人情報漏えい事故の件数が最も多いことも、着目すべき点です。なお、同レポートにおいてメール誤送信が増加した要因は、テレワーク導入等による通信や連絡手段の変化によるものであると結論付けられています。
出典:2021年度「個人情報の取扱いにおける事故報告集計結果」
あくまで一例ではあるものの、ここで取り上げたレポートを参考にすると、社内のメールを適切に監視することによって37%もの情報漏えいリスクを回避できるといえます。
メール監視のメリット
他にも、メールの誤送信を防ぐためにメール監視をすることにより、企業と社員に複数のメリットをもたらします。
企業の競争力低下を防ぐ
企業秘密をはじめとする経営情報や知的財産などの保護は、企業の競争力を強化するために必要不可欠です。ひとたび秘密情報の漏えいが発生してしまうと、研究開発投資の回収機会や顧客、社会的な信用を失う等、甚大な損失に繋がり、企業価値の低下を招きます※2。
社員が本来の職務に専念できる環境を作る
生産性は投入した工数のうち生み出した成果の割合で表されます※3。
ミスの対応やミスによる損害賠償は、企業の生産性低下を招くだけでなく、社員の本来の業務進行にも悪影響を及ぼします。よって、メール記載ミスの検知を自動化することによって、ミスによる影響を未然に防ぐことができるため、社員が本来の職務に専念しやすい環境を実現できます。
メールを監視する際の注意点
以上に述べたように、メールの監視は情報漏えい対策として有効ではありますが、適切に行うためにはプライバシーに関する法律に沿った方法を選択することが重要です。
違法であると判断されるケースも
責任者の立場にない者がメールをチェックする、閲覧者が個人的な興味や関心を満たすために過剰な監視を行うなどのケースはプライバシーの侵害に繋がり、違法とみなされるおそれがあります。
メールの監視にはルールが重要
メールを監視するための内部不正対策ソリューションを導入する場合には、事前に通知することや、システムの設定や運用に関するポリシーやルールを明確にする必要があります。また、これらのポリシーやルールは、セキュリティと生産性のバランスが取れる内容に設定することが求められます※4。
一例ではありますが、内部不正対策システムを導入するにあたり、設定が必要なポリシーには次のようなものがあります。
- ファイル操作ポリシー
- メールポリシー
- キーボード操作ポリシー
メール監視に使用するキーワードも、業務の進行に悪影響を及ぼすことのないよう適切な設定をして、すべてを止めるのではなく不正や誤送信にいち早く気付けるようにすることも重要です。
内部不正を阻止する「CWATクラウド」
内部情報漏洩対策に特化したソリューションである「CWAT クラウド」はユーザ・端末毎に設定されたセキュリティポリシーのもとメールを監視し、誤送信や不正なメールの送信を、キーワードチェック機能やファイル暗号化機能によって制御することができます。
CWATクラウドで防止できる誤送信や不正なメールの例
- 添付ファイルや本文内に特定の文字列(キーワード)が含まれているメール(「キーワードを含む添付ファイル」「非暗号化ファイル」が「禁止」とルール付けされている場合)
- 添付ファイルがCWATで暗号化されていないメール
- 宛先(To・Cc・Bcc)に設定が必要なメールアドレス(上司など)が含まれていないメール
また、管理者はCWAT管理サーバから、社員がメールを一斉送信した履歴や宛先を入力したキーボードログといった監査ログを確認できるため、情報漏えいの原因となったメールを早期に発見することも可能です。
2003年から提供を開始した「CWAT」の豊富な知見に基づき開発された「CWAT クラウド」(2023年5月リリース)。当ソリューションは、業務の進行に影響を与えることなくメールをはじめとする様々な操作を監視・制御できます。業務に応じた柔軟なルール設定ができるため、適切な方法で社員と企業を情報漏洩のリスクから守ることができます。
出典(参考文献一覧)
※1 一般社団法人日本情報経済社会推進協会(JIPDEC)|2021年度「個人情報の取扱いにおける事故報告集計結果」(参照日:2023-06-09)
※2 経済産業省|秘密情報の保護ハンドブック ~企業価値向上に向けて~(参照日:2023-06-09)
※3 公益財団法人日本生産本部|生産性とは (参照日:2023-06-09)
※4 一般社団法人 日本知的財産協会|米国の活動の紹介: ~The CERT Guide to Insider Threats を中心として~(参照日:2023-06-09)
