TOP情報セキュリティ> 損害賠償以外の観点からの予算取り
メールコンプライアンスの実現
メールコンプライアンスの実現に向けて

第3回:メール監査システム導入予算取りのコツと、製品選定のポイント
著者:ホライズン・デジタル・エンタープライズ  宮本 和明
2006/9/21
前のページ  1  2  3  次のページ
損害賠償以外の観点からの予算取り

   損害賠償額から算定するのはよくある方法ですが、これは企業がどのくらいリスクを見積もるかによって大きく変わってきます。したがって、違う観点からのアプローチも検討するにこしたことはありません。

   以降では、システム部門によるサービス向上という観点と、IT保険という観点から考えてみました。
IT部門のサービス向上としての「メール復元機能」

   メールのアーカイブは、セキュリティ目的だけに限定されたものではありません。システム部門が社内にサービスとして提供できる機能があれば、社内業務の効率化という観点から予算取りができるかもしれません。

   「メールのアーカイブ」というのは見方を変えるとメールの複製を残していることになります。これはバックアップ的な目的でデータを捉えることもできます。そうすると、例えば、退職者が発生し新任の担当者に業務の引継ぎをする際に、メール内容を引き継ぐことができます。また、うっかり消してしまったメールや、クライアントのディスククラッシュ時などに、メールを再度本人に送信することが可能です。

   HDE Mail Filterの設定例をあげると図1のようになります。

HDE Mail Filterにあるメールの再送画面
図1:HDE Mail Filterにあるメールの再送画面
(画像をクリックすると別ウィンドウに拡大図を表示します)

   リスクの回避だけではなく、システム部門が他部門に対してサービス向上できるという観点があれば、比較的予算が取りがしやすい可能性もあります。
IT保険との今後の絡みが注目される「非改竄保証」

   もっと違う観点から予算にアプローチすることもできます。それはIT保険です。個人情報保護法で損害賠償の話がクローズアップされるにつれて、各保険会社はIT保険/個人情報漏洩保険を模索しはじめました。現在では、大手の保険会社は軒並みこの手の保険を持っています。

AIU「個人情報漏洩保険」
http://www.aiu.co.jp/business/product/liability/kojin_joho/tokucyo.htm
東京海上日動火災「e-リスク保険」
http://www.tokiomarine-nichido.co.jp/hojin/zaisan.html
損害保険ジャパン「個人情報取扱事業者保険」
http://www.sompo-japan.co.jp/hinsurance/hins/infomation001.html
三井住友海上「個人情報プロテクター」
http://rmnavi.ms-ins.com/product/pd-protector/index.html
ニッセイ同和損保「情報漏えい補償保険」
http://www.nissaydowa.co.jp/corporation/cc0070.html

表1:IT保険/個人情報漏洩保険の例

   保険会社はリスク度合いを考慮しながら保険料の算定を行います。メールをアーカイブ・フィルタリングすることでリスク度合いが減っているということはいえるので、それだけでも保険料算定への影響は考えられます。

   また、訴訟リスクを考慮した場合、「メールの改竄」をしていないことが今後注目される可能性が高いと思われます。ライブドア事件では、メールデータの改竄を行ったという報道がありました。

   メールをすべてアーカイブしているということが保障されていれば、情報漏洩の疑いを晴らす効果も考えられますし、あるいはメール監査体制ができているという点から、リスクが低いと算定されることも考えられます。しかし、メールをいくらアーカイブしていたとしてもそれを改竄していたとなると、データの価値はゼロです。それをより確からしくするのが「非改竄保証」となります。

   「非改竄保障」とは、メールをアーカイブする時点で、ハッシュ値(原文から固定長の擬似乱数を生成して得られた値。原文が改竄されていると違う値が取れる)を記録しておき、改竄されていないことを保障する機能です。

   これからのメールアーカイブ・フィルタリングのソリューションでは、非改竄保障は必須の機能となってくるでしょう。

   HDE Mail Filterの設定例をあげると図2のようになります。この機能をONにしておくと、改竄されていないメールはメール確認画面に非改竄アイコンが表示されます(図1の左上の「メールの内容」の右にある赤いマークが非改竄アイコンです)。

非改竄証明機能の設定画面
図2:非改竄証明機能の設定画面
(画像をクリックすると別ウィンドウに拡大図を表示します)
前のページ  1  2  3  次のページ

株式会社ホライズン・デジタル・エンタープライズ 宮本 和明
 著者プロフィール
株式会社ホライズン・デジタル・エンタープライズ  宮本 和明
代表取締役副社長。1997年からLinuxに関するビジネスに取り組み、サーバ管理ソフトウェアHDE Controller、電子メールエンジンHDE Customers Careなどのパッケージソフトウェアの開発に携わる。金融・流通・自治体など様々な業種の電子メール関連システムにも携わり、今後のメールシステムの行く末を見守り続けている。


INDEX
第3回:メール監査システム導入予算取りのコツと、製品選定のポイント
  メール監査システム導入予算取りのコツ
損害賠償以外の観点からの予算取り
  製品選定のポイント