昨今の各社の情報セキュリティの意識も高まってか、情報漏洩リスクを低減するための対策を実施する企業が増えています。メールの誤送信対策もそのうちの一つですが、今回は「なぜメールの誤送信対策を実施するのか」を考えてみます。
そもそもメール誤送信対策とは?
誰でも一度はメールを誤送信して冷や汗をかいたことがあるのではないでしょうか。体験談として下記のような話は実際によく聞くところです。
- 同じ名前(名字)の別の会社の人に間違って送信してしまった
- 書きかけのメールを送ってしまった
- 別の会社向けのファイルを送ってしまった
- BCCで複数人で送るメールをTO/CCで送ってしまった
- 機密情報を関係ない人に送信してしまった
実際にこれらの事故が発生したことで急遽メール誤送信対策を検討する例は多数あります。その他、昨今ではPマークやISMSの取得を検討する企業も多く、それらの取得の際にメール誤送信対策は必須となってきます。
メールの誤送信リスクや、その対策を実施する理由はここに書ききれないほど沢山あります。その対策を実施するうえでは「性善説」で考えるか「性悪説」の視点を持つことが重要です。
「性善説」で考えれば幸せになれる
どのようなプロジェクトにも当てはまることだと思いますが、セキュリティ対策でも手段よりも目的を明確にして本質を忘れないことが大切です。
「メール誤送信を減らしたいからメール誤送信対策サービスを入れよう!」と安易に考えるのではなく、メールの誤送信を減らすために何が課題なのか、そのうえで何を対策すべきなのかを考えます。
多忙な情報システム担当者にとっては重たい課題となりますが、ここが曖昧だと、目的がぶれてしまい「エンドユーザーの理解が得られず不満の声が・・・」といったことにもつながります。
例えば、メール誤送信事故をきっかけに対策しなくてはいけない状況になった場合でも、対策はツールを導入しなくても可能です。
- メール送信前に自分自身や第三者によるチェックをする(宛先、本文、添付ファイル)
- 業務内容によってはメールテンプレートを使う
- 添付ファイルを手で修正する運用をやめる(自動出力など)
実際にこのように運用でメール誤送信対策が実施できている企業はたくさんあります。そのような企業は「人はみんな正しくメールを使える能力がある」「ただ知らないだけ」という、いわゆる性善説のもとに「セキュリティ教育」を実施、成功させています。ただ、人は誰でも「間違う」可能性があり、それを補うためにはツールの利用が有用です。
- これらを踏まえたうえで、メール誤送信対策に重要なことは以下ではないでしょうか。
- 従業員自身が自分ごととして、当事者意識を持つコト
- そのために、リスクや影響など正しい情報を伝え続けるコト
- 「間違い」をリカバリーできる環境が必要なコト
- その役割が情報システム部門であることを、従業員に認識してもらうコト
(情報システム部門は従業員の業務を邪魔しているのではなく、むしろ無駄な工数を使わないように助けてくれている)
再度になりますが、大切なのはメール誤送信を防ぐ一番の特効薬は従業員の意識であること、そして、メール誤送信対策ツールは、あくまで補助あると認識することです。
これができていれば、エンドユーザーからの反発もほとんど無いのではないでしょうか。「セキュリティ教育」は非常に重要ですが、従業員の意識を変えるのは長く大変な道のりですがツール導入よりも、ずっとずっと工数をかけて推進すべき案件ではないかと考えています。
ツールを利用したセキュリティ対策=生産性向上
セキュリティ対策は見方を変えれば、生産性向上の側面もあると思っています。よくあるセキュリティ対策として「送信メールの添付ファイルは暗号化する」というものがありますが、前述の性善説に則って考えればエンドユーザーが手動で送信メールの添付ファイルをZIP暗号化すればツール導入の必要性はありません。
ただ、一方で暗号化の作業が発生するためユーザーにとっては手間が発生します。そのような場合に、「送信メールの添付ファイルは自動的に暗号化させる」ような仕組みがあったら、その人の生産性は向上するかもしれません。
もちろん、「送信メールの添付ファイルの自動暗号化」は手段の一つですので、「セキュリティの高いオンラインストレージを使う」のような解決策もあります。大切なのは、課題は何か、目指すべき状態は何なのかを意識することだと思います。
このように視点を変えればツールの活用は「セキュリティ」ばかりが強調されず、エンドユーザーにとっても有用なソリューションになるかもしれません。
今一度、いま直面している課題の本質は何なのか考えてみるのはいかがでしょうか?
