第1回　利便性に潜む運用上の意外な「リスク」とは？会社の電子メールが危ない

取り戻せない返信済みメール

電子メールは便利なコミュニケーション・ツールだ。しかしその反面、さまざまなリスクをはらんでいる。

例えば、メール・アカウントを社員1人1人に付与すれば、利便性の大幅な向上につながるが、それを実際に管理するとなると非常に困難な問題が出てくる。個々の社員が送受信するメール1件1件をすべてチェックするのはほとんど不可能に近い。誰かがビジネス上、不適切な表現、あるいは問題を含む内容のメールを書き、あまり考えずに送信してしまったり、場合によっては送信先のアドレスを間違えて意図しない相手に送信してしまったりする可能性もあるだろう。メールは「送信」ボタンのワンクリックで簡単に送れるが、いったん送信してしまうとそれを取り戻すことはできない。さらに、メールはコピーや転送も容易だ。メールとして流出した情報がどこでどのように取り扱われ、広がっていくかは予想もできない。こうした情報が企業の信頼を損なったり、ビジネス上の損害をもたらしたりする危険性があるのだ。

あるメーカーでは、調達先選定のためのプロジェクト・チームを設置し、メンバー相互の連絡をメールで行っていた。配付リストを作成し関連するメールは自動的にカーボンコピー（CC）でメンバー全員に送信されるので、交渉経緯をメンバー全員が知ることができる。ところが、ちょっとした操作のミスで交渉対象会社のアドレスが配付リストに登録されてしまい、交渉の経緯がその会社に筒抜けになってしまった。

また、ある会社のサポート部門では、顧客からのメールでの苦情に対して、新人担当者が不用意に感情的な内容のメールで回答した。そのメールがその会社の不誠実なサポートの証拠としてインターネットの掲示板に掲載され、公開されてしまった。

これらはほんの一例にすぎない。メールが広く利用されるにつれて、それがもたらす問題がさまざまな形で表に出ている。

最近、あらためて電子メールのリスクを世に知らしめたのが、裁判の証拠としてメールが提出された事例であろう。係争中の独禁法訴訟でマイクロソフト社員の書いたメールが司法省側の主張を裏付ける証拠として提出されたのだ。過去に書かれた1通のメールが、裁判で自社に不利な証拠として用いられる可能性もあるという証明である。

ルール作りとその徹底が先決

例にも挙げたように、電子メールのリスクについて十分に認識している企業は少ない。「便利だから」というプラス面のみに注目し、ビジネス上のリスクといったマイナス面には思いが至らず、メールのセキュリティに対して十分な配慮を行わないまま導入、活用しているのが現状だろう。

例えば、「ウイルス対策ソフトを入れているから万全」というわけではない。定期的に最新のウイルス定義を取り込んで更新しなくては役には立たないのだ。

また、送受信したメールのすべてのコピーがサーバに残され、過去の不要なメール・データであふれかえっているケースも少なくない。

さらに理論上、サーバ管理者はすべてのメールを読むことが可能だ。会社の重要機密に属する内容でも、管理者に読まれる可能性がないとは言えない。それに関する対策を確立している企業はそう多くない。

こうしたシステム面での課題のほかにも、例えば退職者のメール・アカウントを無効にしていない、あるいは社員が企業名のメール・アカウントをプライベートで使用しているという例も少なくない。企業名のアカウントで個人が発言した場合、それは会社の見解と受け取られかねないのである。

先に述べたように、メールでビジネスにふさわしくない表現や、誤解を受けやすい表現を使ってしまうというケースは実に多いようだ。電話応対の社員教育をする企業はあるが、電子メールの書き方を教えている企業はあまりない。

メール・システムを導入して活用するのは確かに便利ではあるが、その運用にはこのように課題が多い。これはメール・システムが他の業務系のシステムと大きく異なる点であり、システムを安全かつ有効に機能させるか否かは利用者1人1人の使い方に大きく依存しているという現状を表している。しかし、メール利用のルールをしっかりと確立し、組織的に周知徹底することによって、ビジネス上のリスクを抑制することは可能である。

CIOに求められる基本的な任務

メールセキュリティを確保するためには、まずメールがもたらすビジネス上のリスクをきちんと認識することが必要である。そのうえでメール運用のルールを作ることが重要になってくる。

例えば、ある企業では、社員1人1人のメールのやり取りをチェックできないという理由でメール・システムを導入していない。また、従来のペーパー・ベースの処理と同様に部門長が各部員の送受信メールをいちいちチェックしている企業もあるが、これではメールを有効に活用しているとは言えない。

メールを導入すると決めたのであれば、まず、運用ルールを策定し、適切な利用方法を文書化して利用者全員に徹底すべきである。具体的に、「不要なメールはすばやくサーバから削除する」「ウイルス定義は毎週更新する」「会社名のアカウントはビジネス以外では使用しない」といった利用ガイドラインを細かく策定するのである。また、メールの管理規定も必要となろう。

さらには、トレーニングによってその運用ルールを全社に周知徹底するとともに、ビジネス・メールの書き方についても教育することが必要だ。最近ではメール内容をチェックするフィルタリング・ソフトも登場しているので、それを利用してチェックする方法もある。

こうした運用ルールの徹底を図ったとしても、回避できない危険性は残る。例えば、個人が企業になりすましてその企業の信用を失墜させるようなメールを不特定多数に送信するといったケースである。こうしたリスクに対しては事前に対策を講ずることは不可能である。このような場合には、すばやく的確に事後処理する以外に有効な対処法はない。こうした事案も含めて、メールのリスクに対処するための体制を確立しておくことが必要になる。

以上のような一連のメールセキュリティに対応する体制作り、特に運用ルールの確立や全社的な周知徹底には、とりわけCIOの役割が大きい。メール運用はシステムのルールというよりもビジネスのルールに多く依存しており、システム部門の領域を超えている。メール運用の課題を理解したうえで実効力のあるメールセキュリティの確立を推進できる人間は、CIOをおいていないだろう。電子メールがビジネスに必須のツールとして浸透する中、CIOの最も重要で基本的な任務の1つが新たに生まれたと言えるかもしれない。