第2回 メールの適正利用をチェックできますか？：会社を強くする経営者のためのセキュリティ講座（1/2 ページ）

情報セキュリティのリスクが会社の事業に与える影響は深刻です。経営者が知っておくべき対策のポイントを専門家・萩原栄幸氏が解説する連載の2回目は、「電子メールの利用」がテーマです。

[萩原栄幸，ITmedia]

電子メールによる情報漏えい

　NPOの日本ネットワークセキュリティ協会（JNSA）が作成した「2009年情報セキュリティインシデントに関する調査報告書 第1.1版」によれば、2009年の情報漏えい事件では7％が電子メールを原因とするものでした。ここ数年、電子メールによる事件が一定の割合で発生している状況をみると、問題であると認識せざるを得ないでしょう。今回は、この電子メールの適正利用に関する注意点について述べたいと思います。

　数年前、わたしが携わったある情報漏えい事件の調査では、電子メールの監視が今ほど適確に行われていませんでした。従業員が会社の重要文書を電子メールに添付し、自分の個人アドレスへ定期的に送信していたことが大きな要因だったのです。

　ほとんどの上場企業は、既にこのような操作を許可していません。しかし、一部の中堅・中小企業では、会社での電子メール利用について就業規則で定めているだけで、有効な規制を講じていません。先進国の企業としては、極めて恥ずかしいことでもあります。

　それでは、電子メールの危険性について具体的に見ていきましょう。

上長が確認する仕組み

　某上場企業において、次のようなシステム変更が行われました。その結果、電子メールによる情報漏えいが実際に激減したとの報告がありました。そのシステム変更とは、次の通りです。

社内メールに関しては一切の制約はない。ただし社内からインターネットに向けてのメールにおいては必ず直属上長（2段階上以上でも構わない）を、CCもしくはBCCに指定する。万が一CCやBCCに指定がなかったり、指定していても規則に則った「上長以上」の権限を有する者を指定しなかった場合には、そのメールはシステム上、送信されない。

　当然ながら、運用当初はさまざまな混乱があったといいます。上長の権限区分に関して、人事情報システムから日々データの更改がされていましたが、それでも当初に入力したデータが誤ったままの状態の人や、仕事の関係で上長が存在しない特殊な人が存在し、システム側での混乱が生じました。

　それが沈静化すると、次は「プライバシーの侵害だ」と組合が騒ぎ立てる事態になりました。「同窓会の通知や誕生会、子供の父母会の案内など、すべてのインターネットメールについて上長をCCやBCCに指定することには抵抗がある」という批判が多数寄せられたとのことです。

　確かにプライバシーの侵害につながりかねない要素ではありますが、会社の電子メールを私用で使うこと自体に問題があるので、従業員から大きな声が上がることにはならなかったといいます。

　会社の規則で私用のメールを一切禁止すると記載していても、実際に1通の私用メールを送信しただけで、罰則を適用することはほとんどないでしょう。社会的常識の範囲で適切に利用している分には、会社が従業員に行為を正すよう迫ることは現実的ではありません。