***** 前回(中)を読む***** 

難しい保留メールの扱い

図5●ルールにより保留されたメールの一覧。
管理者が許可しない限り,メールは受信者に送信されない。キヤノンシステムソリューションズのGUARDIAN WALL

 ルールでひっかかったメールをどのように処理するのかも運用上の急所といえる。ログだけとってそのまま送信してしまうのか,管理者の手元で保留するのかといったことである。

 情報漏えい対策として設定したルールにひっかかったのであれば,そのメールをインターネットに出さずに保留するべきだろう。ただし保留されたメールを誰がチェックするのだろうか(図5[拡大表示])。

 例えば,システム部門がチェックするとなると,各部署の業務をある程度細かいところまで把握する必要があるだろう。また,職場の上司にチェックしてもらう場合も運用上の問題はありそうだ。「保留したメールの送信を承認する上司が不在の場合にどうするのかという点が問題となるだろう。上司がいないと重要なメールを送信できなくなるからだ。代理人を設定するなどの方法もあるだろうが,誰かが承認すればいいと思うようになれば責任が明確でなくなる」(第一生命の中西課長補佐)といったことがあるからだ。

 従業員数が多い企業や団体ではルールの設定によっては,保留したメールのチェックだけでも大変な作業となりかねない。

チェック対象をどう考えるか

図6●全社のポリシのほか,ユーザが自分の受信メールに対して個別にポリシを設定できる。
インフォサイエンスのSpamghetti

 どのようなユーザの単位でメールをフィルタリングするのかも考慮すべき点だ。

 例えば,ある大手総合商社は「部署によって仕事の進め方が異なるので,部署ごとにメールの内容をフィルタリングするかどうか,どのようなルールを設定するのかを決めている」という。会社によっては全社共通のルールだけでなく,部署ごとにポリシとルールを定めて運用する必要がありそうだ。

 インフォサイエンスのSpamghettiは全社のポリシのほか,各ユーザが個人の単位でポリシを設定できる機能を持つ(図6[拡大表示])。例えば,ユーザごとに携帯電話へ転送したり,スパム対策を設定したりできる。

告知は抑止力になり得る

 メールの内容をフィルタリングしていることを社員に通知するのか,社内規定などに明記するのか。また,反した場合に罰則を設けるのか。こういった社内制度も考慮したい。

 一般にパソコンや電子メールのシステムは会社の所有物である。よってそれらを利用して作成したり受け取った文書やメールは会社のものと見なされている。(別掲記事「社内メールは監視されていても当然と考えるべき」を参照)。

 フィルタリングを導入しているのであればメールを監視していることを社員に告知すべきだろう。やっていると告知することが,社員に私用メールの中止を促すからだ。

 例えば,外資系の大手製薬会社では社員がパソコンを起動するごとに「パソコン上で作成したデータは電子メールも含めて会社のものである」,「パソコンや電子メールは監視されており,疑わしい行為がある場合は法務部門に通報する」といった内容を書いた警告画面が表示される。

 このようにしておけば少なくとも,「メールが普及して以来,軽い気持ちで相手にファイルを送ってしまうようになった」(インフォサイエンス システム開発チーム/プロダクト開発チーム ジェネラルマネージャーの椿宏太郎取締役)といった罪の意識の薄さから生まれる情報漏えいに対する抑止力になる。

ウイルス対策も必須に

図7●メールを送りつけるウイルスが引き起こす情報漏えい。
社内メールのウイルス対策と社外用ルータのポート設定が重要

 ほとんどの企業ではメール・サーバなどでウイルスへの対策をしているだろうが,いま一度確認する必要がある。

 メール経由で入ってきたウイルスが情報漏えいを引き起こすことが十分にあり得るからだ(図7[拡大表示])。ウイルスが発生してから間もない時は対策ベンダからウイルス定義ファイルが提供されていない。この期間は危険である。

 例えば,2001年に発生した「SIRCAM」は感染したパソコンにあるアドレス帳からメール・アドレスと,感染したパソコンからアクセスできる「XLS」,「DOC」,「ZIP」の拡張子を持つファイルを収集する。そして,感染ファイルを添付して取得したアドレスに向けて無作為にメールを送信する。

 仮にメールのフィルタリングをしていたとしても,ファイルの内容がルールに合致しなければ外部に送信されてしまう。

 メール・サーバでウイルス対策をしていたとしても,社員が自分の加入するISPのメール・サーバを使っていたらそこからウイルスに感染したメールが流出してしまう。外部のメール・サーバにはアクセスできないように社外用ルータでポートをふさいでおくべきだ。これは,ユーザがISPのメール・サーバを使って,情報を漏えいしてしまうことを防ぐ点でも必要だろう。

抜け道となるWebメール

 メールのフィルタリング・サーバを導入したとしても,情報漏えいの抜け道は残される。Yahoo!メールやHotmailに代表されるWebメールのサービスである。HTTPプロトコルを使ってアクセスするため,SMTPプロトコルを扱うメールのフィルタリング・サーバの監視対象にはならない。

 こういったWebメールの利用を規制する方法は二つある(図8[拡大表示])。

 一つはURLによるフィルタリングである。製品としては米Websense社の「Websense Enterprise」やトレンドマイクロの「InterScan WebManager」などがある(図9[拡大表示])。各ベンダがWebメールのサイトのURLを収集しており,それを使って利用を制限することができる。これらの製品は,HTTPプロトコルのProxyサーバとして動作して制御する。アクセス許可リストにURLと許可するかしないかの情報を記述しておく。

 もう一つがHTTPプロトコルでやり取りするパケットを監視するタイプである。こちらもHTTPのProxyサーバとして動作する。製品としてはキヤノンシステムソリューションズの「WEB GUARDIAN」などがある。

 WEB GUARDIANの場合,ルールはメールのフィルタリング・サーバのときと同じように設定する。設定したキーワードを含むアクセスを監視し,ルールに合致した場合はHTTPのセッションを切断する。そして,ユーザのWebブラウザの画面にアクセスを中断した旨のメッセージを表示し,管理者に警告メールを送信する。

図8●Webメールを使った情報漏えいへの対策。
URL,HTTPプロトコルをフィルタリングする2種類の製品がある
 
図9●アクセス可能なURLを設定することでWebメールの利用を制限する。
URLのデータは各ベンダが提供する。トレンドマイクロの「InterScan WebManager」の画面


社内メールは監視されていても当然と考えるべき     紀藤正樹弁護士

写真A●紀藤正樹弁護士。
リンク総合法律事務所所長。インターネットに関する問題に詳しい。同氏のWebページはhttp://homepage1.nifty.
com/kito/

 会社のアドレスでやり取りする電子メールの内容は監視されていても当然と考えるべきだ。取引先とやり取りした手紙や書類,社員の机の備品はすべて例外なく会社の所有物である。会社の備品をどう扱うかは会社側が決めるもの。電子メールのシステムを運用しているのは会社であり,そこでやり取りしたメール自体も会社のものである。インターネットだけ特別なものであるという考え方は改めたほうがいい。従業員の備品を検査しても構わないという判決はいままでいくつか出ている。

 このように書類や電子メールを管理するのは会社の業務にとっては大事なことである。例えば,社員にもし万が一の事があった場合,新しい担当者が業務を引き継げるようにする必要がある。電子メールを使って顧客情報の漏えいなど犯罪を犯す危険性もある。

 また,私用の電子メールの送受信やWebページの閲覧によって職務がおろそかになることもある。これは職務専念義務への違反行為になり得る。

 ただし,特定の人物に対してのみメールの監視を行うのは問題である。例えば,労働組合に入って活動している人,会社側が辞めさせたい人を狙い撃ちで監視するといったことである。これは法の下での平等を定めている憲法14条に反する疑いがある。

 電子メールを監視することが,社員のプライバシを侵害すると感じる向きもあるだろう。しかしこれは会社の電話で取引先と話しているのを周りで聞いているのと変わりがない。

 これらの点から電子メールを監視することは,就業規則で明示的に定めなくても原則として合法であるといえる。

 法律的にはこのように解釈できる。しかし,電子メールの運用を一方的に厳しくすれば,社員同士や社員の外との自由なコミュニケーションを制限することになる。意見交換から生まれる新しい発想,製品開発の阻害要因となり,会社の活力を奪う面もある。経営者や管理者はこういったことも心すべきだ。(談)


(市嶋 洋平,堀内 かほり)