第28回 「続けてパスワード送付」欧米でまったく使われないワケ：テクノロジーエバンジェリスト 小川大地の「ここが変だよ!? 日本のITインフラ」（1/2 ページ）

「解凍パスワードは別メールで送ります」ってことありますよね。実はこれ、日本のみのガラパゴスルールなのだそうです。欧米ではどんな考え方で、どのように対策しているのでしょう。

[小川大地（日本ヒューレット・パッカード），ITmedia]

「解凍パスワードは続けてメールします」って場合、よくありますよね？

　「添付ファイルがパスワードロックされたメール」とそれに続けてやって来る「パスワードだけ書かれたメール」。

　多くの日本企業で当たり前のように採用されているメールセキュリティのガイドラインですが、前回取り上げた通り、これらは完全に日本だけのガラパゴスなルール／システムです。

　なぜ日本だけの独自文化なのか、また欧米はどのように対応しているのかを確認しましょう。

日本独自のガラパゴスルールが広がったワケ

　まずは、日本でこのようなガラパゴスルールが当たり前になってしまった背景から。実際に情シス担当者の方に導入理由を聞くと、おおむね次のような答えが返ってきます。

「情報漏えい事件の防止や、起きてしまった場合のリスクヘッジである」

　まず挙がるのがこちらです。この手のシステムの検討にあたり、稟議書の最初に書かれるであろう理由でもあります。

　未然に防げれば何よりですし、「万一、誤送信してしまっても、暗号化されていれば大事には至らない」。私は詳しくありませんが、訴訟対策にもなると聞いたこともあります。

「情報セキュリティの資格認定に必要だから」

　日本独自の認定制度である「プライバシーマーク（Pマーク）」では、2010年の書類審査改定で、添付ファイルの扱いが具体的に指示されるようになったそうです。

　また、国際基準であるISMS（情報セキュリティマネジメントシステム、ISO/IEC 27001）では、具体的ではないながらも情報保護が指示されているため、SIベンダーにとっては対策を講じる必要があります。

「既存システムはそのままで対応できるから」

　前回紹介したような対策製品やサービスの多くは、既存のメールシステムに手を加えずに後付けで導入できるようになっています。これは、運用はできるが再構築や再設計は難しい日本のエンドユーザーのニーズにピッタリです。

　ほかにもいくつかありますが、これだけでもう十分でしょう。

　特に、2つ目の「プライバシーマーク」や「ISMS」は、日本のSIベンダーが取得奨励されている認定資格です。実際のところは、認定を受けていないと入札資格を得られない案件もあり、企業として必須資格となっています。また、これはIT企業だけではありません。言わずもがな、インターネットを利用したビジネスが当たり前な現在、情報セキュリティ対策は業種に関係なく重要です。

　そして、これらの施策を“確実に遂行”できる製品・サービスは、既存システムに手を加えることなく“後付け”で導入できる――。

　「ファイルは暗号化して、パスワードは別メールで」は、“なぜ？”というより“必至”だったように思えます。