【 ここから本文 】
- TOP
- > Topics : コンプライアンス
- >
コンプライアンス
ソーシャルブックマークに登録 :
印刷用ページの表示
コンプライアンスを重視したメール運用管理の実際
ECM/CMSではカバーしきれない最重要コンテンツ
(2006年10月24日)
対策2:アウトバウンド・メールのフィルタリングと暗号化
シーダーズサイナイでは、インバウンド・メールに加えて、病院から外部に送信されるアウトバウンド・メールも制御している。というのも、米国の医療機関は、HIPAA(医療保険の相互運用性と説明責任に関する法律)という法規制によって、患者のデータの安全性と秘匿性を維持することが義務づけられているからだ。
ブレーディ氏はこの法規制に対応するため、米国ジックスのメール暗号化システム「ZixVPM」を導入している。ZixVPMは、外部に送信されるメールに対して、HIPAAで守秘することが定められている情報「PHI(Protected Health Information)」が含まれていないかどうかをチェックして、PHIが含まれているメールの暗号化を自動的に行う。これより、プライバシー・ポリシーの順守と情報漏洩のリスク低減が実現されている。
ZixVPMによって暗号化されたメールは専用サーバに保存され、受信者にはそのメールへのリンクを示したメールが送信されるため、受信者はリンクからメールの内容を閲覧するという仕組みになっている。そのため、同製品を利用していないユーザーにも暗号化されたメールを送信することができる。
専門家は、こうしたアウトバウンド・メールのセキュリティ対策は、従業員が企業の知的財産や顧客の個人情報の漏洩につながるコンテンツを外部に送信してしまうのを防ぐ点で、医療機関にかぎらず、あらゆる企業にとって有効だと指摘している。シーダーズサイナイでは、暗号化するキーワードをPHIに絞っているが、これを機密情報や個人情報などに拡大することで、他の業種の企業でも、アウトバウンド・メールのセキュリティ対策として利用可能になる。
とはいえ、アウトバウンド・メールのフィルタリングはさほど普及していないのが現実だ。米国の市場調査会社ラディカティ・グループが2005年に企業のユーザーを対象に実施した調査によると、アウトバウンド・メールのフィルタリングを行っていると答えたユーザーは22%にすぎなかった。さらに、42%がメールのフィルタリングを行っていない、36%がわからないと回答したという。
なお、アウトバウンド・メールのフィルタリングは、インバウンド・メールのフィルタリングと技術的に類似しているため、多数のスパム対策製品ベンダーがこの分野に進出している。
例えば、米国のユニバーシティ・ホスピタルでは、サイファートラストのメール・セキュリティ・アプライアンス「IronMail」によって、4,200人の従業員が送信するメールのフィルタリングを行っている。同製品はスパム対策機能に定評があるが、外部に送信されるメールについて、ポリシーに従って送信を許可しないコンテンツを含んでいるメールの送信を禁止したり、暗号化したりする機能も備えている。
アウトバウンド・メールの暗号化も、フィルタリング同様、普及が進んでいない。米国の市場調査会社IDCの調査によると、現在、販売されているメール関連製品の多くは暗号化機能を備えているが、ユーザー企業側で利用されていないのだという。ただし、プライバシー保護関連の法規制が増えるのに伴い、アウトバウンド・メールの暗号化への関心は高まっている。
なお、既存のメール・フィルタリング/暗号化製品には、企業のメール・サーバを経由しないメールの遮断や暗号化ができないという問題がある。
米国の医薬品調査会社であるカリプシスでは、ウェブセンスのフィルタリング・ソフトウェア「Websense Enterprise Web Protect」と個別ポート遮断技術を併用して、従業員が個人で契約するISPなどのアカウント経由でメールを送信するのを防いでいる。同社のIT担当副ディレクターを務めるジョン・グラフ氏によると、個人アカウント・メールの利用を禁じている最大の理由は、自社の知的財産を保護するためだという。
さらに、グラフ氏は、社内システム経由で外部に送信されるメールについても、「当社の知的財産が無断で外部に送信されてしまったとしても、記録が残るようにしている。そうすれば、当社の特許を防衛する必要が生じた際、その情報の流出経路を追跡することで対処できるからだ」と語っている。
対策3:メール・アーカイブ
米国では、IT/IS部門がその価値について考慮することなく、メールをサーバから自由に削除できた時代は遠い昔のこととなっている。というのも、バイオテロ法(2002年市民の健康安全保障及びバイオテロリズムへの準備・対応法)やSOX法(Sarbanes-Oxley Act:米国企業改革法)などの法規制によって、企業、政府機関は電子記録を保管することが義務づけられるようになって久しいからだ。
米国の市場調査会社エンタープライズ・ストラテジー・グループが2005年に実施した調査「Digital Archiving End-User Survey & Market Forecast 2006-2010(デジタル・アーカイビングに関するエンド・ユーザー調査および2006〜2010年の市場予測)」では、裁判所や規制当局が提出を要求する業務記録の種類として最も多いのはメールであるという結果が出ている。また、電子記録の証拠開示請求を受けた企業の77%が、法的手続きの一環としてメールの提出を求められたという。
企業では、契約書、取り引き先との折衝や開発予定の新製品戦略に関する記録など、機密性の高いビジネス文書がメールとして保管されているケースが少なくない。その場合、メールやその添付ファイルが一元的にアーカイブされていなければ、社内に分散している何百台ものデスクトップPCのどこかから機密文書が流出・紛失してしまう危険が高まる。
「IT/IS部門がメールを消去してしまったら、責任問題やリスクが生じるだけでなく、実際の業務にも大いに支障を来す」と、米国のコンサルティング企業、カーン・コンサルティングの創業者であるランドルフ・カーン氏は指摘する。同氏によると、この2年間で、メールのアーカイブ・システムの導入に踏み切る企業が急増しているという。
| 画面1:クエスト・ソフトウェアのメール・アーカイブ・ソフト「Quest Archive Manager」の管理画面 |
 |
メール・アーカイブは、企業の「ナレッジ・リポジトリ」として利用できる可能性も秘めている。前出のカリプシスでは、すべてのインバウンド/アウトバウンド・メールをクエスト・ソフトウェアのメール・アーカイブ・ソフト「Quest Archive Manager」によってアーカイブしているが、同製品はナレッジ管理ツールとしても利用されている(画面1)。
「Archive Managerはもともと、コンプライアンスに対処するために導入したのだが、利用していくうちにナレッジ管理に活用できることがわかった」とグラフ氏は話す。
例えば、同製品は、仮想メールボックスを作成して、特定の従業員だけにそのアクセス権を与えることができる。この機能を活用して、同社のIT/IS部門では、取り引きがあるベンダーとの連絡用に仮想メールボックスを共有し、IT/IS部門のだれもが同部門からベンダーに出されたすべての注文を把握できるようにしている。
さらに、顧客に関連する情報が含まれるメールがアーカイブされるため、ある顧客の担当者が退社しても、その顧客に関する情報が失われて取り引きの状況がわからなくなるという業務の属人性を排除することが可能になったという。
今後、国内でも、上場企業における内部統制の強化が法によって義務づけられることが決まっており、その一環として、メールの確実な保管が必須となる。コンプライアンス、セキュリティといった重要な課題をクリアするために、今回紹介したような製品を自社のメールの運用管理に取り入れることを検討してみてはいかがだろうか。
