メール内容監視の専門スタッフも登場

あなたのメールはのぞかれている

2007/07/26

 あなたは自分の電子メールが誰に読まれているかを知っているだろうか?

 あなたが社外に送信した電子メールは、個人的なWebメールアカウントから送信したものであっても、会社に読まれている可能性が高いという事実を知って、あなたは行動を変えただろうか?

 この1年間で米国企業の4分の1以上が、電子メールに関するポリシーに違反したという理由で従業員を解雇したことを、あなたは知っていただろうか?

 これら3つの質問に対する答えがすべて「ノー」だとすれば、あなたは米国企業の従業員の多数派の1人だ。それを聞いて、あなたは安堵のため息をついているかもしれない。しかしこれらの答えがどういう意味を持つのかを知れば、安心などしていられないだろう。あなたが今この記事を読んでいることも、社内の誰かに知られている可能性があるのだ。

 米国企業の3分の1近く(32%)が、社外向けの電子メールを読んだり分析したりするスタッフを雇っており、従業員数が2万人以上の企業では、この数字が39%となっている。

 これは、「2007 Outbound E-Mail and Content Security in Today's Enterprise」(今日の企業における社外向け電子メールとコンテンツのセキュリティ――2007年)と題された調査結果の一部である。調査を実施したのはForrester Consultingで、カリフォルニア州クパティーノにある電子メールセキュリティ企業のProofpointが7月23日に公表した。

 企業は社外向けの電子メールを読んでいるだけでなく、従業員のコンピュータの中身をチェックすることだけを目的としたスタッフも雇っている。調査に回答した企業の6社に1社以上が、電子メールの内容の監視を主要業務あるいは専門業務とするスタッフを雇っていた。従業員数が2万人以上の企業では、この数字は約5分の1(19.4%)と高くなっている。

 大企業で給料をもらってノゾキをしているのは誰なのだろうか? 「電子メールの盗み見」という新たな職種が生まれたのだろうか?

 Proofpointで市場開発を担当するディレクター、キース・クロズリー氏は米eWEEKの取材に対し、「企業の中にはそういった任務を持っている可能性のある人はたくさんいる。例えば、電子メール管理者や、電子メールが社内ポリシーに違反していないかチェックする責任があるコンプライアンス担当者などがそうだ」と話している。

 こんなにまでして従業員を監視するというのは、行き過ぎのように思えるかもしれないが、当の企業はそうは考えていないようだ。これらの企業は、社外向け電子メールの5分の1近く(18.9%)に法的リスクや金銭的リスクをもたらす内容が含まれていると推定している。法令違反のコンテンツとして最も一般的なのが、機密情報や知的財産情報が含まれる電子メールである。

 企業が情報流出の可能性があることを知った場合、それを黙って見過ごすわけではない。調査対象企業の3社に1社以上(33.8%)が過去12カ月の間に、電子メールを通じた機密情報または知的財産情報の流出を疑ったことがあると答えた。同期間中にプライバシーあるいはデータ保護に関するポリシー違反の疑いで調査を実施したという企業は、3分の1近く(31.8%)に上る。

 さらに、4分の1以上(27.6%)の企業がこの1年間で、電子メールポリシー違反で従業員を解雇したことがあり、半数近く(45.5%)の企業が従業員を罰したとしている。

 企業の監視対象となったすべての違反の中で最も懸念が小さかったのは、不快ではあっても組織のセキュリティを脅かすことがないコンテンツだった。

 「企業はこういった違反すべてに対して懸念を抱いているものの、不快なコンテンツに対する関心は最も低い。不快な内容の電子メールを監視する必要性を感じている企業は全体の57%だった」とクロズリー氏は話す。

 機密情報をリスクにさらす従業員に対して厳しい処置を取っているにもかかわらず、何の電子メールポリシーも発行していない企業の数は驚くほど多い。ただし、その数は第1回目の調査が行われた2004年以来、減少してきたという。

 「今回はこの調査を開始して以来数年間で、電子メールの利用規定の採用が最も多かったのは喜ばしいことだ。しかし、11%の企業がまだ正式なメール利用規定を策定していないのには驚いた」(クロズリー氏)

 また、Web 2.0やソーシャルメディアソフトウェアなど多岐にわたる情報共有機会は、電子メールポリシーに加え、より広範囲をカバーするポリシーの必要性を示しているという。

 「YouTubeやブログ、電子メール、掲示板といったメディアや情報共有機会に対しては、綿密に練り上げられ、明確に記述されたポリシーを用意する必要がある」とクロズリー氏は指摘する。

 調査対象企業の過半数(59.4%)は過去12カ月の間に、電子メールセキュリティポリシーに関する正式な研修を実施したが、研修を行っていない企業も多い。

 「ポリシーは従業員が理解していなければ何の役にも立たない。明確にポリシーを記述し、従業員を教育する必要がある」とクロズリー氏は話す。

 「こういった対策を一貫して適用すること、そして何が許されて何が許されないのか、何を保護したいのか、何が公であるのかを明確に示す必要がある。その目的は、人々をトラブルに巻き込むことではなく、デジタルデータを保護し、法令を順守することである」(同氏)

原文へのリンク

(eWEEK Deborah Perelman)

関連リンク

関連記事

情報をお寄せください:



最新記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
@IT