TOPプロジェクト管理> 管理部長の立場
メールセキュリティからメールコンプライアンスへ
メールセキュリティからメールコンプライアンスへ〜日本版SOX法の準備をしよう

第3回:メールコンプライアンスの必要性
 著者:ホライズン・デジタル・エンタープライズ   宮本 和明
2006/2/27
前のページ  1  2  3   4  次のページ
管理部長の立場

   管理部長としては、情報漏洩に際してどういう緊急体制を取るか決定する必要がある。

   前述のように、アーカイブログを調査することになったとき、単なる社内システム部員が経営者のログも含めて全員のメールログを操作しなければ調査できないという事態も考えられる。閲覧のための規定が必要であれば、あらかじめ整備が必要である。

   またアーカイブログを残すにあたっては、事前に社員向けに説明会を開く、あるいは掲示や入社時の説明資料に追加をしておくべきであろう。そうでないと「メールを覗き見るなんてプライバシーの侵害だ」という社員との軽い争いを招きかねない。

   ただし、社員のメールを雇用主が閲覧することに関しては、法律的に問題がないという見解が一般的である。詳しくは以下のURLを参照していただきたい。

判例
 独立行政法人 労働政策研究・研修機構/データベース(労働政策研究支援情報):労働問題Q&A > 会社による労働者の情報管理 実務編2
http://www.jil.go.jp/kikaku-qa/jirei/19-Q02B2.html


営業部長の立場

   次に営業部長の立場からの留意点を考えてみよう。

   1つには、顧客との間のNDA(機密保持契約)が、メールアーカイブの調査を阻むかもしれない。

   システム開発などの業務では、個人名を登録してその者以外への情報提供を禁止するケースも多い。契約時に制限事項がどこまで盛り込まれているかは、より意識をする必要がある。

   また今回のケースでは、自分の部下が起こした問題に客先からクレームが入るという形ではじまっているが、信頼できる客先かどうか、信頼できる部下かどうかによって受ける心証はずいぶん異なる。心証に惑わされて初動の取り方を誤らないように、エビデンス(証拠)を確認することを心がけよう。
内部監査室長の立場

   この手の事故、あるいは事故に準じる事態がいったん発生すると、内部監査の担当者には、これらの定常的な監視を求められるケースが考えられる。

   その際、内部監査の担当者がシステムの利用方法がわからない、あるいは閲覧にはシステム管理者の手をその都度借りなければならないという状況では、満足な監査はできないだろう。

   また一通のメールを監査するのに、何十分も待つようなシステムも避けたい。メールの流量や規模が大きい場合には、アーカイブしたメールの検索部分に商用エンジンを用いて高速化されたものを選択することを要求するのがよいだろう。

   とはいえ、この事故に対して最初に行うべきは、発生した事象に対して経営者がいわゆる「善管注意義務・忠実義務」に即して判断を下しているかについて目を光らせることである。
事件に発展した場合

   さらに事件に発展した場合を想定しながら、再度システム面に着目しよう。

   もし係争に発展し、「無実の証明」をしなければならなくなった場合、メールアーカイブには「完全性の保障」が求められる可能性がある。

   アーカイブにおいて完全性をどのように保障するかという課題については、主に2点ほど着目点がある。

   1つは件数の確認である。メールアーカイブシステムに入ってきた通数、アーカイブされた通数、そこから出て行った通数が合致しているかどうかを確認することで、漏れがなければ証明につながる。

   もう1つは非改ざん保障である。アーカイブされたものに後から意図的な改ざんがされていないことへの証明である。これについてはアーカイブファイルに対してハッシュ値を取って第三者機関に預けることが、代表的な解決策になっていくだろう。これについては、「タイムスタンプ」という技術を元にしたサービスがいくつか提供されている。

   また、タイムスタンプに相当する一風変わった手法としては、アーカイブのハッシュ値を新聞などのパブリックな媒体に掲載して公開するというのもある。定常的に新聞広告などを打っている場合は、ほとんど追加コストなく非改ざん保障を実現することができる。

  • メール件数のカウントによる網羅性の確認
  • ファイルのハッシュ値などによる非改ざん性の確認

表2:アーカイブの完全性のポイント
前のページ  1  2  3   4  次のページ

株式会社ホライズン・デジタル・エンタープライズ 宮本 和明
 著者プロフィール
株式会社ホライズン・デジタル・エンタープライズ  宮本 和明
代表取締役副社長。1997年からLinuxに関するビジネスに取り組み、サーバ管理ソフトウェアHDE Controller、電子メールエンジンHDE Customers Careなどのパッケージソフトウェアの開発に携わる。金融・流通・自治体など様々な業種の電子メール関連システムにも携わり、今後のメールシステムの行く末を見守り続けている。


INDEX
第3回:メールコンプライアンスの必要性
  シミュレーション
  メールのアーカイブをどこにおくのか
管理部長の立場
  その他メールコンプライアンスとともに生じる技術的トレンド