セキュリティ
ISMSとPマークは未取得

 「メールのウイルス・スキャンをしているか」,「情報漏えいを起こさない運用体制を敷いているか」など,Gmailが提供するセキュリティ機能やセキュリティ体制も,企業がメール・システムを移行する際の重要なポイントになる。

 NRIセキュアテクノロジーズの大貫秀明コンサルティング事業部上級研究員は,企業がメール・システムを外部のサービスに任せる際にチェックすべき着眼点を三つ挙げる(図6)。「サービス自体がどのようなセキュリティ機能を提供しているか」,「サービス側のセキュリティ体制を確認できるか」,「サービス事業者が個人情報保護のための規格・認証を取得しているか」である。C.I.A(機密性,完全性,可用性)を保つことが重要であるメールは,アーカイビングやウイルス対策,スパム対策ができるか,サーバーは他の利用企業と共有か専有かなどを確認する必要がある。

図6●企業がサービス側のセキュリティ体制とコンプライアンス体制をチェックするポイントの例
図6●企業がサービス側のセキュリティ体制とコンプライアンス体制をチェックするポイントの例

 企業向けGmailは,ウイルス対策とスパム対策,フィルタリング,アーカイビングなど機密性と完全性を確保するための基本的なセキュリティ対策を実施できる。可用性を確保する対策としては,データ・センターのほかサーバー,ディスクのいずれのレベルでも複数にデータを書き込む「GFS」(google file system)と呼ぶ仕組みを備えている。サーバーは他社との共有が一般的である。

 その一方で,Google Appsのセキュリティ体制を判断するのは難しい。現時点でグーグルが公表している取得済みのセキュリティ体制に関する規格は,「米国のセーフ・ハーバー(Safe Harbour)・プログラムに参加している」(グーグル)だけ。セーフ・ハーバーは,米国とEU諸国との間で取り決めた個人情報の扱いに関するプログラムである。

 ユーザー企業は,システムのアウトソーシング・サービスなどを利用する際に,サービス提供企業とNDA契約を結び,データ・センターなどの設備を検証することがある。ユーザー企業がセキュリティ体制を確認できない場合は,「サービス事業者が個人情報保護のための規格を取得しているかを確認するとよい。具体的にはISMSPマークだ」(NRIセキュアの大貫上級研究員)。

 グーグルの場合,設備の確認が難しく,日本の規格であるISMSやPマークはどちらも取得していない。

プライバシー保護
メール本文の自動解析に懸念

 プライバシーや機密情報の保護という観点で見ると,Gmailは根本的な課題を抱えている。Gmailはメール本文を解析して,その中のテキストに関連した広告を表示するからだ。

 グーグルは,「主なメール・サービスと同様にスパムやウイルスを検出するためにメール本文を解析して,テキストの内容に関連性のある広告や他の関連情報を配信する」という。そのプロセスは全て自動化され,人間はチェックしない機械的な自動解析であると強調する。同社はWebでも「メールの内容やその他の個人を特定できる情報を広告主に提供することはない」旨を説明している。

 Standard Editionを使っている場合は企業向けGmailでも,本文に関連したテキスト広告が表示される。Premier EditionとEducation Editionは,広告を非表示に設定できる。ただメールのアウトソーシング先がメールの内容を解析できる(もしくはでき得る)という事実は,個人利用以上に企業が気にする点だろう。

 メール本文の解析について今回取材したユーザー企業からは,「企業利用の観点からすると,こうした広告の出方は気持ちが良いものではない」との見方も示された。Premier Editionで広告を非表示にした際にもメール本文を解析しているかもしれないという懸念から,広告が出た分の値引きがあるなら許容できるとするまで,受け止め方には企業によって差異がある。もし企業がメール本文が解析される,あるいはされるかもしれないという不安を払拭(ふっしょく)できないのであれば,企業向けGmailの採用は見送るべきだろう。

Gmailの競合サービス
メール・ホスティング・サービス
J-SOX対応アーカイビングも用意

 企業向けのGmailが登場する前からISPなどがメールのホスティング・サービスを提供してきた。こうした“先発”のサービスは一般的に有料だが,サービス内容とサポート体制が充実していると言える。

 その一例としてNECビッグローブのサービスを見てみよう。同社は,中小企業向けで複数の企業がサーバーを共有する「BIGLOBEオフィスサービス」と大企業向けで1社でサーバーを占有する「BIGLOBEメールアウトソーシングサービス」を提供している。

 どちらもウイルス対策やスパム対策機能を備え,アウトソーシングサービスではJ-SOX法を考慮したアーカイビング機能をオプションで提供する。ただしSLAはなく,外部システムと連携するためのAPIも提供していない。

 サポート体制はオフィスサービスがメールによるサポートが常時,電話が平日の9~21時である。アウトソーシングサービスは電話対応が平日の9~17時だが,障害時は個別に対応するという。

 セキュリティ面では,ISMSとPマークを取得。個人情報の流出事故はなく,10年にわたりメール・サーバーを運用してきた実績を前面に打ち出している。「機械的にとはいえ,メールの内容を読まれることをユーザー企業はどう思うだろうか。当社は伝統的なメール・サービスを提供する」(ビジネス事業部第四営業部の小山泰和マネージャー)。


出典:日経コミュニケーション 2007年10月1日号 74ページより
記事は執筆時の情報に基づいており、現在では異なる場合があります。