~メール誤送信が引き起こす情報漏えいと
隠れた内部統制リスク~
最も多い個人情報漏洩の原因は「誤操作」
特別非営利活動法人日本ネットワークセキュリティ協会は、2017年に報道された、個人情報漏洩インシデントの情報を集計し、分析結果を公開しました。
報告書によると、2017年に発生した個人情報漏えいインシデントの件数は386件で、個人情報の漏えい人数は520万人にものぼることがわかります。
個人情報漏えいインシデントが発生した原因は、「誤操作」が25%を占めており、続いて「紛失・置き忘れ」、「不正アクセス」、「管理ミス」と続いています。
【速報版】2017年情報セキュリティインシデントに関する調査報告書 より引用
https://www.jnsa.org/result/incident/
最も多い発生原因となった「誤操作」は、FAX番号の入力ミスや、郵便物の宛先ラベルの貼り付けミス、メールのアドレス指定ミスによる誤送信など、人間のオペレーションミスによって、情報漏えいが発生したケースを指しています。
なかでも、メール誤送信による情報漏えいは、1度のミスで引き起こされる漏洩の規模が大きくなりやすいという性質があります。
誤送信したメールに、大量の個人情報を含んだデータが添付されていた場合、たった1度のミスで大きな事故につながってしまいます。
メール誤送信が、情報漏えい原因の上位になっている現状を踏まえると、企業にとって、メール誤送信の防止は必要不可欠なものであるといえるでしょう。
メールの運用ルールを徹底するだけでは根本的対策にならない
電子メールは社内社外との日常的なコミュニケーションツールとして、ビジネスの現場に定着しています。
ところが、一般社団法人日本ビジネスメール協会が行っている、「ビジネスメール実態調査2018」によると、9割以上が「ビジネスメールの利用法に関する研修をうけたことがない」とされています。
ビジネスメール実態調査2018
http://businessmail.or.jp/archives/2018/06/05/8777
電子メールは広く活用されているものの、多くの人は自己流で不安をかかえながら電子メールを使っているのが現実なのです。
相次ぐメール誤送信による情報漏えいの発生をうけて、対策の第一歩として、電子メールの運用ルールを定める企業が増えています。
【運用ルールの一例】
◇メール宛先は必ずアドレス帳に登録し手入力をしない
◇メーラーのオートコンプリート(自動補完)機能をOFFにする
◇送信前にメールの宛先が正しいかをチェックする
◇添付ファイルを暗号化する
◇同報送信する場合はTOやCCは使わずBCCを使う
これらの運用ルールを定め、徹底することは、メール誤送信防止の基本であり、一定の効果が期待できます。
しかし、運用ルールの徹底はあくまでも人的な対策であり、送信者まかせにならざるを得ないため、ヒューマンエラーによるメール誤送信をゼロにすることはできません。
また、運用ルールが複雑になるほど、1通のメールを送信するための確認項目が増加し、あらたなミスを誘発する可能性もあります。
電子メールを安全に利用するための運用ルールの策定は、メール誤送信の発生件数を減らすことはできても、依然としてメール誤送信が発生するリスクは残ったままであり、万全な対策であるとはいえません。
ヒューマンエラーの許容は内部不正の隠れ蓑になる
「今まで何の対策も行っていなかった状態でも、大きな事故は発生していなかったのだから、社内教育と運用ルールを徹底すれば対策として十分である」という考え方もあります。
ヒューマンエラーはゼロにできないため、発生件数を限りなくゼロに近づけるという考え方で、社内教育の実施や、運用ルールの徹底をメール誤送信防止対策としている企業も多いでしょう。
確かに、メールの運用ルールを徹底し、メール誤送信の発生件数を自体を減らすことができれば、情報漏えい事故の発生する確率も下がる計算になるため、防止対策として一定の効果が期待できます。
ヒューマンエラーによるメール誤送信には、情報漏えいの発生リスクがあることは言うまでもありませんが、見落とされているリスクがもう一つあります。
それは、内部不正の隠れ蓑として利用されるリスクです。
ヒューマンエラーによるメール誤送信はゼロにならないという考え方を逆手に取って、個人情報を外部に持ち出される可能性があります。
たとえば、「宛先の指定ミスを装ったメールで、社内の個人情報データを故意に外部へ送信し、発覚したらメールを誤送信したと説明する」という手法が想定されます。
このケースの場合、メールソフトやメールサーバーに残った送信履歴を調査しても、宛先ミスによるものなのか、漏洩させる意図をもって送信したものなのかを表面上判別することはできません。
原因調査は、本人の申告内容によることになるため、不正なデータの持ち出しを許すだけではなく、確かな証拠に基づいて不正を行った当事者を処分することもできないでしょう。
メールの誤送信が日常的に発生し、発生したミスも許容される職場環境であれば、不正の隠れ蓑にされるリスクはより大きいといえます。
メール誤送信防止対策を、人的な対策だけに頼ることは、事故による情報漏えいのリスクだけではなく、内部犯行による情報持ち出しのリスクも許容していることになるのです。
ゼロにならないメール誤送信をシステムで防止する
メールは人が送信する以上、ヒューマンエラーをゼロにすることは不可能です。
そのため、メール誤送信は必ず発生するという前提にたった対策が必要です。
メール誤送信を起こさない対策と同時に、メール誤送信による事故と内部不正をシステムで防ぐ対策が効果的です。
通常、電子メールは送信してしまうと取り消すことができないため、送信直後にミスに気づいても対応することができません。
メール誤送信対策システムの送信遅延機能は、エンドユーザーから送信されたメールを自動で一定時間保留できる機能です。
送信直後にうっかりミスに気づいた場合でも、送信メールが相手に届く前に取り消すことができます。
また、エンドユーザーから送信されたメールを自動で一旦保留し、決裁者が承認した後にメールが送信される、決裁機能もメール誤送信対策として有効に働きます。
また、メール誤送信で最も注意すべき個人情報の流出を防ぐために、メールの本文や添付ファイル内を自動検索して、個人情報が含まれている場合にはメールを遮断することも可能です。
これらの機能を実現できるソリューションは多数ありますが、集中管理と導入がしやすいゲートウェイ型のメール誤送信対策ソリューションをおすすめします。
ゲートウェイ型のメール誤送信対策ソリューションなら、エンドユーザーの使い勝手を損なわずに、情報漏えい対策と内部不正対策の強化を両立させることができます。