【情シスの赤本】メール誤送信と取るべき対策
『そのワンクリックが命とり』 考えれば考えるほど怖い、メール誤送信。宛先のアドレスをさほど確認せず、ながら作業や入力支援で自動入力して送信。あとで「宛先が違う」と気づいても、時すでに遅し。明らかなセキュリティ事故です。そうならない為には、メール誤送信の概要と対策を理解することから始まります。
この記事の目次
【基本編】送信前の再確認で危機回避
最近は、親しい友人に送るフランクなメッセージはほとんどがSNSになったと思いますが、それでも送る相手を間違ってしまい、さほど仲のよくない知人に送ってしまうこともたまにあるのではないでしょうか。実際、LINEでも送信メッセージの取消ニーズは高かったのか、2017年12月より「送信取消」機能が提供されています。
一般的には、メールでもチャットでも誤送信をしてしまえば、なんともばつが悪い思いをするものの、訂正メールを送り、謝っておしまいとなります。
しかしながら、通常のメールでの会話やチャットに比べ、業務メールではことの重大さが異なることは容易に想像がつきます。
取引先などに送る業務メールの誤送信は一大事であり、その後に適切な対応を取らないと、会社の信用を失いかねず、ましてや誤送信したメールの中に顧客データが記載または添付されているなどあれば、深刻な情報漏えいとなります。
JNSAの「2017年 情報セキュリティインシデントに関する調査報告書」によれば、個人情報漏えいインシデントによる2017年の想定損害賠償総額は1,914億2,742万円、一件あたりの平均想定損害賠償額も5億4,850万円と、もし起こしてしまったらその企業の存続に大きく影響する可能性もあります。
参考:2017年の個人情報漏えいインシデントの分析結果(JNSA セキュリティ被害調査ワーキンググループ)
表 1:2017年 個人情報漏えいインシデント 概要データ【速報】
漏えい人数 | 519万8,142人 |
---|---|
インシデント件数 | 386件 |
想定損害賠償総額 | 1,914億2,742万円 |
一件あたりの漏えい人数 | 1万4,894人 |
一件あたり平均想定損害賠償額 | 5億4,850万円 |
一人あたり平均想定損害賠償額 | 2万3,601円 |
漏洩原因:2017年単年データ(件数)
図 1:漏えい原因比率(件数)
2017年には「個人情報保護法」も改正され、5000件要件が撤廃されるなど、適用条件は厳しくなり、たった1件でも個人情報を取り扱っている事業者は、すべて個人情報保護法が適用され、「最大6か月の懲役、または30万円の罰金」や「情報が流出してしまった被害者への損害賠償」を負うこともあります。
また、会社が損害を被るだけでは済まない場合もあります。自社の営業秘密*が外部に漏れた場合(故意の場合も)、「不正競争防止法」により、会社は当事者に損害賠償を請求することが可能です。訴えられれば、「10年以下の懲役または1,000万円以下の罰金」が科される可能性があります。
つまり、冒頭の日常会話のメールとは比べ物にならないぐらい、業務メールの価値は重たいと言え、”うっかりミス”では済みません。
メール送信がルーチンになってくると、宛先や内容をよく確認せずにクリックしてしまうことがありますが、クリックには細心の注意を払い、業務メールの価値は日常のメールと比べ物にならないほど重いことを意識し、「送信前に宛先メールアドレスを毎回確認する」ことで、リスクは大きく減らすことが可能です。
*営業秘密とは:「秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上または営業上の情報であって、公然と知られていないものをいう(不正競争防止法2条6項)」
*営業秘密を構成するキーワード:「秘密管理性」「有用性」「非公知性」
・「秘密管理性」とは、データであれば電子ファイルおよびフォルダ名に“マル秘”の入力。または文章/データ内の該当する部分のリスト化など、「秘密管理借置」が行われていること
・「有用性」は、その情報が自社のサービスや研究開発などに役立つものとして認められていること
・「非公知性」は、メディア(インターネット、雑誌、新聞など)に掲載されてなく、一般に知り得ない情報であること
<画像出典:https://business.bengo4.com/category5/practice289>
【対策編】誤送信後にやるべき行動を知る
取引先などに誤ったメールを送信してしまった場合に、まず行うべきことは速報性が高い「電話での連絡・謝罪」となります。
しかしながら、相手が必ず電話に出るとは限りません。そんな時は、迅速かつ正確にメールで連絡・謝罪をする必要があります。
例:宛先を間違えてメール送信してしまった場合−−
件名:誤送信のお詫び【××カンパニー/情報システム部・安全まもる】
株式会社○○ベンダ
△△部 □□□様
平素、たいへんお世話になっております。
××カンパニーの安全まもるでございます。
先ほどお送りしたメールにつきまして、当方の入力ミスにより、誤送信がございました。
ご多用の折、お手数をおかけし申し訳ございません。心よりお詫び申し上げます。誠に勝手なお願いではございますが、下記メールを削除していただけますよう、お願い申し上げます。
=====
送信日時:2018/10/1/09:30:27
差出人:安全まもる
件名:セキュリティソフトの見積もりについて=====
以後、このようなことがないよう重々注意して参ります。
何卒ご容赦いただけますよう重ねてお願い申し上げます。安全
上記は、宛先を間違え誤送信した場合の例となりますが、本文の一部を書き換えることで、他の理由にも対応可能となります。
文例にある、「誠に勝手なお願いではございますが、下記メールを〜」の“下記メール”の部分を理由に応じて、書き換えます。
添付ファイルミスの場合:「下記メールの添付ファイル」
文章内容のミスの場合:「下記メールの内容」
誤送信はいつ発生するか分かりません。いざというときに迅速に対応できるよう、さまざまな場合に対応できるテンプレートを作成しておくことが良いでしょう。
テンプレート作成の勘所としては以下に注意しましょう。
・ミスの内容をしっかりと記載!
・ミス発生の経緯を的確かつ簡潔に記載!
・再発防止対策に努める意思及び可能な範囲でその対策の記載!
【応用編】誤送信リスクを抑えるツールの利用
これまでは、誤送信をしない各自での取り組み、起きてしまった誤送信の対処法を説明してきましたが、本編では誤送信リスクを軽減する対策として広く認知されている、「メール誤送信対策ソフト」について説明します。
OutlookやThunderbirdなどメーラーと呼ばれる電子メール送受信ソフトウェアでも誤送信対策に有効な機能はありますが、それ以外にもメール誤送信対策専門のソフトウェアやクラウドサービスなどが様々な会社から提供され、それぞれに特徴があります。以下の機能については、メール誤送信対策に有効と考えられ、選定の際の参考にしてはいかがでしょうか。
・「確認画面の強制表示機能」
メール送信前にメール送信者に対して確認画面を強制的に警告表示。「送信先(address)」「メール本文」「添付ファイルの内容」などを送信前に再度を確認することを促す。
・「保留・第三者チェック機能」
作成したメールを即時送信ではなく、保留(または時間差で送信)する機能。送信がリアルタイムでなくなることで、再確認の時間を送信者に与える。
また、業務負荷は増えるが上長や第三者のチェックを必要とする承認機能をメール送信フローに組み込むことで、ダブルチェックを可能とする。
・「添付ファイル暗号化機能」
自動で添付ファイルを暗号化して送信することで、添付ファイルからの情報漏洩は防ぐことができる。開封パスワードを別途通知とすることで、万が一誤送信が発生しても、添付ファイルを開かれることはない。しかしながら、パスワード送付の際の送信アドレス管理は的確に行う必要がある。
・「宛先(Bcc)強制変換機能」
複数の宛先に送信する場合、「TO」「CC」と使い分けることがある。その宛先の一つに誤ったメールアドレスが含まれていた場合、その他のメールアドレスが、誤送信先に知られてしまうことになる。これも個人情報の漏洩に該当する。本機能は、宛先アドレスが一定数を超えた場合(または全数など)、受信者側からそれらのアドレスが特定できない「BCC」に自動で変更する。
以下にメール誤送信対策ソリューションの一例を記載します。
<メール誤送信対策ソフトの一例>
・「m-FILTER MailFilter/ MailAdviser」(DigitalArts社)
MailFilterはメールゲートウェイサーバー上で動作するメール誤送信対策ソフト。つまり、送信者が誤送信対策を意識しない場合でも、「一定時間保留」「添付ファイルの自動パスワード付ファイル化」などの対策を自動で行います。
一方のMailAdviserは送信者のPCで動作するソフト。ポップアップ画面の強制起動から、誤送信のチェックを送信者に促します。
これらを組み合わせることで、誤送信リスクはより低減されます。
<画像出典:https://www.daj.jp/bs/mf/security/family/>
・「Active! gate SS」(QUALITA社)
クラウド型メール誤送信対策ソフト。さまざまなセキュリティ・運用ルールに対応するよう、細やかな条件設定機能を搭載。誤送信対策による負荷をユーザー/管理者に感じさせない扱いやすいUI設計も魅力。「Office365」、「G Suite」対応。
<画像出典:誤送信防止のための7つのアプローチ>
・safeAttach(クロス・ヘッド社)
メール誤送信対策アプライアンスサーバ及びクラウドサービス。メール誤送信を未然に防ぐ、メール保留、自動暗号化、自動BCC化、送信ブロック、第三者確認など必要十分な機能を備える。アプライアンス製品だけでなく、クラウドサービスも提供しており、企業ニーズに合わせた柔軟な運用を実現する。
<画像出典:safeAttachをお奨めするポイント>
【情シス+α】どんなに対策をしてもリスクはなくならない
メール誤送信対策ソフトの普及で、はじめから誤送信リスクが軽減された環境が整うようになりました。しかし、このような環境にあっても、メール誤送信を原因にした情報事故は一向になくならず、近年はむしろ増加傾向にあります。
<画像出典:「平成29年 度個人情報の取扱いにおける事故報告にみる傾向と注意点」>
JIPDEC(一般大団法人日本情報経済社会推進協会)の「平成29年 度個人情報の取扱いにおける事故報告にみる傾向と注意点」によれば、平成29年度は対象とする911社全体で「2,399件」の事故報告があり、事故の最多原因は「メールの誤送信(26.5%)」でした。この誤送信の主な傾向は「BCCとTO/CCの選択ミス」、「メール宛名ミス」、「ファイル添付ミス」の3つです。
それぞれのインシデントが発生する要因とその対策を理解し、各自の環境に照らし合わせてみることで、セキュリティ事故削減につながることでしょう。
・「BCCとTO/CCの選択ミス」
問題点:メールヘッダに対するリテラシーが低く、安易に宛先をTO/CCにしてしまった
対策:「メールヘッダの種類と役割を把握する」
案内メールなど、社外宛を含んで一斉送信する際、BCCで送るべきところをTO/CCを選択してしまうと個人情報漏えいにつながります。以下のメールヘッダの種類と役割を覚えておきましょう。
「TO」
メールを読んで欲しい相手を記載するもの。
複数の宛先があっても良いが、その相手が誰であるかはキチンと把握し、不必要な人が含まれていないことには十分に注意する。
尚、TOに記載されたメールアドレスは、メール受信者全てが閲覧できることに留意する。
「CC」カーボンコピー
TO以外で知らせておきたい相手がいる場合に使用するもの。(例:TO取引先、CC上長、同僚など)。
複数の宛先があっても良いが、その相手が誰であるかはキチンと把握し、不必要な人が含まれていないことには十分に注意する。
尚、CCに記載されたメールアドレスは、メール受信者全てが閲覧できることに留意する。
「BCC」ブラインドカーボンコピー
メール受信者から送信先が見えないように送信するもの。
新製品のご案内、メールマガジンなど、送り先同士に関連性のない特定多数のアドレスに一斉送信を行う場合などに利用。
複数の宛先に送信するという点ではCCと同様であるが、CCのように受信者は他の送信先のアドレスを確認できない。
BCCで送るべき内容をCCで送信してしまうと、情報漏えいにつながる点に注意が必要である。
・「メール宛名ミス」
問題点:顧客リストからのコピペミスやアドレス抽出ミス、アドレス登録ミス、同性の別人のアドレスの未分類、メーラーオートコンプリート(自動入力)機能への過信
対策:「送信時間変更によるダブルチェック、オートコンプリート機能のOFF」
宛先入力には多くのヒューマンエラーが潜んでいます。それ故にリスクをゼロにするのはきわめて困難です。しかし、“ミスは起こり得るもの”として、慎重な行動を取ることでインシデントのほとんどは回避できます。
「作成と送信までに余裕を持つ」
急を要する内容は別にして、メール内容を作成したら一旦少し“寝かせておく”ことも効果的です。時間を空けて確認することで、宛先ミスだけでなく、内容のミスや誤字・脱字、添付ファイルミスなども防ぐことができます。
「オートコンプリート(自動入力)機能は使わない」
メールソフトの宛先入力において、過去の送受信履歴から宛先候補を表示してくれるオートコンプリート機能。非常に便利なものですが、「同性の別人」や「アドレスが似ている」場合、宛先ミスにつながる大きな要因になります。オートコンプリート機能はOFFを基本とすることで、宛先の間違いは減らすことができます。
・「ファイル添付ミス」
問題点:添付ファイル間違い、非暗号化
対策:「即時送信をしない、メール誤送信ソフトの機能の積極的な活用」
ファイル添付ミスも宛先ミス同様の環境で発生しやすいインシデントです。以下の点に気をつけましょう。
「作成と送信の時間を空ける」
宛先ミスでも解説していますが、確認工程を設けてダブルチェックを行いましょう。また、送信時には上長のアドレスをCCに追加しておくなど、送信後の確認が素早く行われる環境をつくっておくことも重要です。
「暗号化機能活用の習慣をつける」
先述のメール誤送信対策ソフトの「暗号化機能」を使えば、誤送信時の添付ファイルからの情報漏えいを高い確率で回避することができます。
このように、誰でも簡単に実行でき、深刻な情報セキュリティ事故を回避できる対策はたくさんあります。これらを参考に、「メール送信のルールやマニュアル」を策定し、万が一の事態が生じても、リスクを最小にとどめられる環境を構築しておきましょう。
【執筆:編集Gp 坂本 嶺】