昨今のビジネス環境の変化により、従業員を取り巻く環境や働き方はここ数年で大きく変化しています。特に新型コロナ禍以降はテレワークの増加により企業でのクラウドサービス利用が増えており、従業員は場所や時間、端末に囚われることなくいつでも業務が行えるようになっています。その中でもクラウド導入が著しいのが電子メールです。電子メールは社内外のコミュニケーションの多くの場面で利用されるため、どこからでも利用できるクラウドメールは働きやすい環境を実現する鍵となっています。しかし、便利になるとともに、メールを起因とした情報漏洩も増加しています。これは「スマホからメールを送っているため入力ミスが増えた」「電子化された資料が増え誤った資料をメールで外部に共有してしまった」「テレワークのためメールでのコミュニケーションが増え社内宛と社外宛を誤ってしまった」等の理由が挙げられます。
このような状況を背景に、多くの省庁、業界団体ではメールを含むさまざまなIT資源に対してのセキュリティ指針を取りまとめた「セキュリティガイドライン」を公表しています。ただ、情報システム担当者は日頃の業務に忙殺され自身の業界・団体のセキュリティガイドラインをどこまで満たすべきかを検討できていないケースがほとんどです。
「メールの誤送信対策」についても、セキュリティガイドラインに明記されているもののガイドラインに沿った対策ができている企業はまだまだ多くありません。今回は取引先とのやり取りでも今後要求される可能性がある「メールの誤送信対策」について、ガイドライン上でどういった対策が必要なのかをご紹介します。
そもそも誤送信とは
ビジネスにおけるメールは、日々の業務で当たり前に行われていますが、ちょっとした気の緩みで起こってしまううっかりミスで訴訟まで発展するケースもあります。誤送信と呼ばれる中には「情報漏洩につながるケース」と「マナーに反し相手の気分を害するようなケース」の2つに大別できます。
(1)情報漏洩につながる誤送信例
- 宛先間違い
- To, CC, Bcc の設定間違い
- 添付ファイルの付け間違い
(2)マナーに反し相手の気分を害するような誤送信例
- 誤字脱字
- 添付ファイルの付け忘れ
誤送信において特に(1)については、たった一度のミスが企業の社会的信用を著しく低下させ、場合によっては賠償金を請求される訴訟問題につながるリスクもあります。
実際に多くの企業では誤送信が発生しています。東京商工リサーチによると2021年に上場企業とその子会社で発生した個人情報の漏洩・紛失事故は120社・137件に達したというデータがあります。さらに、誤表示・誤送信が原因とされているのが、43件で全体の約31%を占めるとあります。メールの送信間違いなどの人為的なミスで発生してしまう誤送信ですが、利用者個人の注意だけでは限界があるため、会社全体で誤送信のリスク軽減のための投資を進める必要があります。
誤送信について言及されているガイドラインとその内容について
団体、サプライチェーンによっては、企業が保有する情報資産をあらゆる脅威から守るために、情報資産の取り扱いに対しての共通の指針となるセキュリティガイドラインを取り決めています。各業界、各団体に所属するもしくは関連する企業は、必要なガイドラインに準拠する形でセキュリティ対策を行い、業界全体で企業価値を高め経営の健全化に努めています。
【誤送信対策に対して言及しているガイドライン例】
- 厚生労働省
医療情報システムの安全管理に関するガイドライン
医療機関のサイバーセキュリティ対策チェックリスト - 経産省
テレワークセキュリティガイドライン 第 5 版 - 国土交通省
第 5 章 情報セキュリティガイドライン - 一般社団法人 日本建設業連合会
協力会社における情報セキュリティガイドライン - 一般社団法人日本自動車部品工業会 / 一般社団法人日本自動車工業会
自工会/部工会・サイバーセキュリティガイドライン
【ガイドラインに掲載されているポイント】
- 利用者に対して注意喚起を行い利用方法および利用制限に関する具体的な指導を行う。
- メールは送信前後で内容を確認し、送信を取り消すことができる環境を用意する。
- 添付ファイル等を送信する際には暗号化や二重チェックを実施する。
- 内部不正対策として社外送付メールの監査を実施する。
- お互いにメールアドレスを知らない複数人にメールを送信する際は「Bcc」を利用する。
上記のように各省庁、各団体が公表しているガイドラインには誤送信対策に関する内容が明記されていますが、記載されている内容に対応するためには、教育や個人の意識だけでは難しいことが分かります。
ガイドラインで要求されている内容への対応例
先述にあるようなガイドラインに記載された誤送信対策を実施する場合、教育など人の力だけでは限界があるため新たにシステムを導入し解決する手法が考えられます。システムを活用することで、属人化せずコーポレートガバナンスに取り組むことができます。では、実際に誤送信対策のシステムを導入することで対策できる内容をガイドラインと照らし合わせて考えてみます。
【要件】
メールは送信前後で内容を確認し、送信を取り消すことができる環境を用意する。
【対策例】
外部の宛先に対して10分間の保留設定をする。
【効果】
誤送信の多くが送信ボタンを押した後に宛先間違いや内容の誤りに気づくケースがほとんどです。送信後に一定時間、送信者がメール内容を確認できる時間を設け、内容を確認し誤りがあった場合は自身でメールを削除することができます。
【要件】
添付ファイル等を送信する際には暗号化や二重チェックを実施する。
【対策案】
- 添付ファイルの自動暗号化
- 保留時間の設定を行い、保留期間中は Cc に入っている社内のチームメンバーであればメールを確認し送信の取り消しができる設定を行う。
【効果】
- ファイルの暗号化は業務効率を低下させる原因にもなります。暗号化を自動化することで、利用者の負担を軽減するだけでなくシステムで自動化する場合、暗号化の対象が社外宛のメールみになるため「Cc」に入っている社内のメンバーはすぐにメールを確認することができます。
- 一時保留の設定をしていた場合でも、休憩等で離席し送信したメールの内容を確認できないケースもあります。送信したメールをチームのメンバーも確認でき不備があった場合は送信を取り消すことができる環境を用意することで、誤送信のリスクをより軽減することが可能になります。
【要件】
内部不正対策として社外送付メールの監査を実施する。
【対策案】
会社全体のメールをアーカイブし集中管理する。
【効果】
誤送信にはうっかりミスだけでなく利用者が意図的に行うケースもあります。実際に従業員が退職する際に内部の機密情報を個人のメールアドレスに送信し転職先に流出させてしまうといったケースもあります。この場合、個人のメールボックスのアーカイブやパソコンのローカル領域の保存だけでは従業員により改ざんされるリスクもあるため、全社的にメールをアーカイブし集中管理することで万が一にも備えることができます。
【要件】
メールアドレスを知らない複数人にメールを送信する場合は「 Bcc」を利用する。
【対策案】
「To, Cc」に閾値以上のメールアドレスがあった場合は、宛先毎に別々にメールが配送されるように設定を行う。
【効果】
送信先の数が多いと、本来「Bcc」に入れて送信しないといけないメールアドレスを誤って「To, Cc」に入れてしまうリスクが高くなります。本ケースは、うっかりミスの代表例の1つですが、システムを用いることでそのリスクを軽減することができます。
まとめ
誤送信による情報漏洩は個人のちょっとしたミスで発生する最も身近なセキュリティリスクと言えるのではないでしょうか。会社全体で誤送信を発生させないように取り組むと同時に、従業員が安心して業務を行えるよう環境を整えるのも企業の責任だと言えます。そんな中で、システムによる誤送信対策は、教育にかかる工数削減とセキュリティ対策を同時に実現できるため、費用対効果の面でもメリットがある方法と言えます。
また、セキュリティと合わせて長期的に運用するためには管理者の工数も考慮することが重要になりますが、HENNGE One では導入時だけでなく運用が始まった後のサポートもセットになっており、誤送信対策のポリシー設定の作業代行を無償で依頼することも可能です。メールの利用者だけでなく管理者にも負担をかけずに誤送信対策を実現できる製品となっています。サプライチェーンにおける企業間のセキュリティの要求やコーポレートガバナンスが問われる機会が多くなった昨今、HENNGE One を活用して会社全体で誤送信対策に取り組むのはいかがでしょうか。
