職場における電子メールとプライバシー：電子メールに潜むリスク(2)

今回は電子メールとプライバシーの問題を、企業のリスク管理という視点から取り上げたい。

日常的に行われている電子メールの盗聴および個人情報の収集

　米国のプライバシー保護団体としてよく知られている「The Privacy Foundation」は、今年の2月に「E-mail Wiretapping（電子メール盗聴）」の問題を彼らのWeb上に公開した。

　これは、受信者が受け取ったメールを転送するたびに、転送された内容と転送先を、元の送信者に送り返すプログラムのことで、通常、受信者はこのようなプログラムが実行されていることに気付いていない。

　この技術により、例えばビジネス上の交渉を、電子メールを使用して行う場合、一方の会社が、他方の会社内で交わされたメールによる議論を盗み見ることが可能となる。

　「盗聴」というと、何やら犯罪の匂いがするが、この手法の一部は、電子メールマーケティングの一環として、日常的に利用されている。

　この「E-mail Wiretapping（電子メール盗聴）」にも使用されることがある手法の1つに「Webバグ」がある。これは、メールの本文や添付文書に埋め込まれた特殊なHTMLコードが、受信者の情報を送信者に送り返すものだ。

　この手法により、マーケティング業者は、効率的に有効なメールアドレスや、Cookieに含まれる情報を集めることが可能なため、多くの業者が使用しているという。

　繰り返しになるが、これらの手法は、受信者に気付かれることはまずない。

　E-mail Wiretappingは、各自のメールソフトのJava Script 機能をオフにすることで防ぐことができる。しかし、転送されていく間に、1人でもJava Script 機能をオンにしている人がいれば、そこから盗聴されてしまう。一方、Webバグに関しては完璧な対応策はない。

電子メール盗聴および従業員の個人情報流出を防止しなければならない企業側の理由

　このように悪意のあるしかけに対する備えも必要だが、社内の情報流出はそれ以外にも、不注意によるものなどいろいろな可能性がある。会社のメールサーバ経由で従業員の個人情報および電子メールを利用したやりとりの内容が流出した場合、企業は次の問題にさらされることになる。

• 機密情報が外部に漏れる（研究開発の内容のような知的財産、顧客情報、機密保持契約に含まれる取引先の企業秘密など）
• 従業員の、業務には関係ない不適切な内容のやりとりが外部に漏れ、報道されることにより、企業イメージの低下を招く
• 人事情報が社内外の第三者に漏れる（会社が保管する従業員の情報が外部に流出することにより、その従業員が何らかの不利益を被った場合、会社が訴訟の対象になる可能性もある）
• メールアドレスの流出により、スパムメールの対象となる

個人情報の収集と企業の法的責任

　さらに自社が被害にあう場合だけでなく、あなたの会社が加害者となることに対しても配慮が必要である。企業のマーケティング部門は、あらゆる機会をとらえて個人情報を収集しようとする。プレゼントキャンペーンで、展示会のブースで、そして、Webやメールマガジンを利用して。

　中でもWebやメールは、最も手軽でお金もかからないため、手軽に実行している会社も少なくないだろう。しかし企業は、自社で行われている個人情報の収集および利用について消費者の不信感を買うような手法を取っていないか、注意する必要がある。

　加害者となるケースでもう1つ。

　最近、メールマガジンを発行したり、Web上でプレゼント希望者を募集する企業が、誤って読者のメールアドレスや応募者の情報などを外部に流出させてしまうという事件が相次いでいる。こうした場合、企業側ではWebページ上で経緯を説明し、謝罪し、出回った情報を悪用しないように呼びかけるなどの対応が必要となるが、個人情報の取り扱われ方に神経質な個人が急増している現状では、事件を起こしたというだけで、かなりの企業イメージダウンになることは避けられない。

　それだけではない。今国会での提出は見送られたものの、2年後に施行される可能性が高い個人情報保護法では、企業に対して、業務で集めた個人情報の厳格な管理を義務付けている。うっかりミスが法律違反になる可能性が出てくるのだ。

　こうして考えてみると、必要以上の個人情報の収集は、企業にとってそれなりにリスクのあるものであり、コストを生むものであるということを意識する必要があるだろう。

電子メールコンテンツの管理と社員のプライバシー

　上記のようなリスクを軽減するために、従業員の電子メールコンテンツの管理は避けて通れない。実際、企業側の意識は高まっていて、弊社の調査によると約60％の企業が、従業員の電子メールをチェックしている。

図1　電子メール管理状況
Source:日本ボルチモアテクノロジーズ(2001年6月）

　ところが同じ調査で興味深い結果が出ている。電子メールについてのポリシー（社内規定）を設けている企業は約25％程度なのだ。

図2　電子メールセキュリティ対策
Source:日本ボルチモアテクノロジーズ(2001年6月）

　電子メールポリシーは作ったが、チェックは行っていないという場合（約3％）を考慮すると、40％近くの会社が、明確なルールを持たずにメールのチェックしているのだ。これでは、効率的なチェックは行えないばかりでなく、新たな問題が浮上する。社員のプライバシー問題である。

　会社の電子メールシステムは、業務効率化のために会社がお金を出して導入し、管理しているので、そこで行われているやりとりを会社が監視することに問題はないようにも思えるが、法的には、社員が監視されていることを知らずに、プライバシーが守られていることを前提としている場合においては、会社側のプライバシー侵害と判断される場合があるのだ。

　そのためには、きちんとしたポリシーを作成し、社内（場合によっては社外）に通達し、それに沿ったメールシステムの運用が必要となる。メール管理者だけでなく、ユーザーも含めなければ、正しいメールの運用は不可能といえる。

　プライバシーの問題にはさまざまな側面があるが、今回は、電子メールを通して行われるプライバシーの侵害が、企業にもたらすリスクについて述べた。電子メールセキュリティの問題に取り組まれている方、今後取り組もうとお考えの方はぜひ、一度よく考えてみてほしい。