情報漏えいは企業にとってどのような影響を及ぼすものでしょうか。
NPO 日本ネットワークセキュリティ協会の調査結果 (*1) によると、公的機関、金融機関をはじめとする様々な業種にて発生しており、結果として企業の負担となった賠償額は、一件あたりの平均が5000万円超、年間総額で350億円超とあります。

情報漏えい事故はあらゆる企業に起こり得ることであり、一度起こってしまうと企業価値を大きく損ねてしまう重大な事件になってしまうのです。

では、これらの重大な事件はどのようなきっかけで発生しているのでしょうか。下図が情報漏えいの原因をグラフにしたものです。誤操作などの故意以外を原因とした、うっかりミスによる漏えいが大半を占めていることが示されています。

次に、各動作における情報漏えいの発生しやすさを見てみます。 特に高い発生確率となっているのが、うっかりミスなどによるメール誤送信になります。実際、ビジネスでメールを利用してきた人で、間違ってメールを送ったことが一度もない人は、ほぼ皆無に等しいのではないでしょうか。にもかかわらず、これまであまり注目されることがなかったのが、メール誤送信による情報漏えいなのです。

個人情報保護法の出現までは、メールを誤送信しても誤送信先に連絡をして、該当メールの削除を依頼する程度で済ませてしまう文化が根付いていましたが、2005年に当該法案が施行されてからは、誤送信による情報漏えい問題が表面化してきています。現在の情報漏えい対策においては、メールの誤送信を防止することが非常に高い効果をあげることになるのです。

【用語解説】

*1： NPO 日本ネットワークセキュリティ協会の調査結果

NPO 日本ネットワークセキュリティ協会
情報セキュリティインシデントに関する調査報告書～発生確率編～より引用
http://www.jnsa.org/result/incident/2010_probability.html

メールは、業務の情報伝達を効率化し、いまや企業間のコミュニケーションツールとして欠かせない手段です。しかし、メール利用量が増加することにより、メールからの情報漏えい発生の機会が増えています。 さらにメールの特性にも問題があります。

上記のように 自己完結的な作業 であることに起因するミスの起こりやすさも、メールからの情報漏えいの発生確率の高さにつながっているのです。

では、対策はどのようにすればよいのでしょうか。
メールは既に不可欠なツールであり、「メールを利用しない」、「利用頻度を減らす」ことは、業務効率に対する影響度から現実的ではありません。メール誤送信の件数を減らすためには、自己完結的な作業に起因する問題点への対策が求められます。具体的には上記の2、3への対策が、メール業務における情報漏えい、誤送信を防止するための重点になると考えられます。

メールからの情報漏えいリスクへの対策を行うべきポイントは抽出されました。これから、メール送信と企業内の他業務とを比較することで、メール特有の問題点に対して、具体的にどのような対策を行うべきかをお話します。

【問題】内容確認（正確性の確認）のための時間があまり取られない

メールは多くの情報を一瞬で相手に届けることができるため、誤った送信を行うと全ての情報が伝わってしまいます。電話であれば、発信段階では相手に情報が伝わらず、発信者と着信者の確認が行われた上で、情報のやり取りがなされます。誤った情報を伝えようとしていた場合にもこの確認の段階で自ら間違いに気づき、発信を中止することができます。

メールにおいても、 実際に送付される前に再確認を行うことを徹底する仕組み を用意することで、送信者本人が誤りに気づき、未然に間違いを正すことができます。

【問題】メール作成から送信まで、個人の作業のみで完結してしまう

メールの作成に際して、送信前に他者に内容確認を依頼する事は一般的ではなく、送信者自身による確認のみで送信されることがほとんどでしょう。しかし、本来企業における対外的な業務では、個人の作業のみで完結することは少ないものです。例えば見積の作成や対価の支払いなどは、複数の人間による確認、承認がなされた上で実施されます。これは、他者の目に触れることで本人だけでは気づかないような失敗-思い込みや誤認識などに気づくことができるためです。


メール送信時に定められたルールの下で確認を行う仕組み を用意することで、送信者だけでは発見できないようなミスに気づき、誤送信をなくしていくことができます。

これら対策を行うにあたり、一つ注意して欲しいことは、「システムによる制御のみでは、効果的な運用は実現しない」ということです。例えば、メール送信の際に必ず他者に確認するような仕組みを用意した場合、メール誤送信事故はなくなるかもしれませんが、人的な負担は増大しメールの利便性も損なわれてしまいます。これでは、何の意味もありません。

重要なメールだけをチェックする、といった限定的な対応を行うのであれば効果的ですが、日常的なメール送信に際しては送信者自身が注意し、再確認を徹底することが必要になってきます。つまり、メール誤送信対策においては、システムによる制御だけでなく、送信者への意識付け行うことも行い、双方のバランスを保つことが重要な課題となってくるのです。

それでは、システムでのメール誤送信対策の概要と、システムによる制御と送信者への意識付けをいかにして行うかについて、弊社 メール誤送信防止ソリューション「CipherCraft/Mail」 を例にご紹介します。

１．誤送信防止画面 ～送信前の指差し確認～

前述のとおり、メール誤送信を防止するには、送信前の「確認」がカギになります。


CipherCraft/Mailでは、メーラからメールが送出されるタイミングで下図のような誤送信防止画面がポップアップします。メールの送信者は画面上で宛先、本文、添付ファイルの有無やメールに含まれるキーワードをチェックした上で、メールの送信を実行します。この段階で送信者が自身のミスに気づいた場合には、メールの送信を中止することにより、メールの作成や宛先の設定をやり直せます。更に、自動で添付ファイル/メール本文を暗号化できるので、万一誤ってメールを送信してしまった場合にも、パスワードを通知しなければ情報漏えいを防ぐことができます。

２．自由度の高いルール設定

業務で利用されているメールはさまざまな情報レベルがあります。これらを考慮せずに、画一的なルールで運用するとセキュリティと効率性のバランスが取れなくなります。


CipherCraft/Mailでは、宛先や添付ファイルの有無などの確認項目に対して、点数を設定することができ、送信メールの累計点を閾値に、動作を変更することができます。例えば、社外に対してメールを送付する場合や添付ファイルの有るメールを送信する場合のみ、誤送信防止画面をポップアップするようなルール設定にもできます。さらに、管理者が設定したルールをユーザに強制させる機能もあり、送信者の主観に任されやすいメールについて、企業として統一した送信ルール・基準を設けることを実現します。

３．さまざまな環境に導入できる

メール誤送信対策をするために、現行のメールシステムを変更するのでは本末転倒です。


CipherCraft/Mailはsmtp通信に準拠した製品であり、メーラには依存しません。そのため、現在のメール環境をそのままにして導入できます。Becky!やOutlookExpressなどのメーラを利用する一般的なメール環境に対しては、クライアント端末にインストールするだけで手軽に利用開始できるクライアントタイプ、ExchangeやLotusNotesなどのグループウェア環境の場合には、メール送信経路のsmtp環境にサーバを設置するサーバタイプがあります。また、Exchangeユーザでもクライアント端末のOutlookにアドインするだけで、お手軽にご利用可能なOutlookアドインタイプも用意しています。

なお、本コラムではご紹介しきれなかった、誤送信防止のための更なる機能や実際の製品動作が分かる説明動画もご用意しておりますので、以下URLよりご覧ください。

メール誤送信防止ソフトウェア「CipherCraft/Mail」 >>