はじめに
ほぼすべての会社で、社外にメールを送ることがあるかと思います。最近ではチャットツールによるコミュニケーションも増えてきていますが、まだまだメールが根強いことも事実です。メールを送る際に個人情報が漏えいするリスクはいくつかありますが、プライバシーマーク(以下、Pマーク)を取得している場合、何か対策をする必要はあるのでしょうか。
少し前に話題にもなった「PPAP問題」も絡めて解説していきます。
送信時のセキュリティリスク
そもそもメール送信する際にはどのようなリスクがあるのでしょうか。対策と合わせていくつかご紹介していきます。
1.誤送信
間違った宛名に送ってしまうことや、本来ならBCCとしなければならないところをTOで複数人に送ってしまうことです。漏えい事故としてニュースで取り上げられることも多い、典型的な人為的ミスです。
考えられる対策としては以下のようなことが挙げられます。
- 宛名のダブルチェック
- メールの作成者と別に承認者を設けて、承認したら送信されるというフローにする
- 送信保留設定をする(送信ボタンをクリックしても一定時間は送信されず、取り消すこともできる)
2.添付ファイルの誤り
正しい宛名にメールを送っているものの、誤ったファイルを添付することで漏えいにつながるリスクもあります。A社に送るメールに添付されているファイルがB社の情報だった、という漏えい事故も多く発生しています。
添付ファイルの誤りの対策としては「ファイルの暗号化」が一般的となっています。PPAPも添付ファイルをZip化して送り、パスワードを後送する手段を指しています。(こちらについては後述します。)
また、近年では「ファイルではなくファイルにアクセスするURLのリンクをメール文面に貼り付ける」ことも有効な手段と言われています。万が一誤ったリンクを貼ってしまったとしても、アクセス権の設定をしていれば決められた人以外はアクセスすることができず、情報が漏えいすることはありません。
※PPAPとは具体的に、「P」assword付きZip暗号化ファイルを送信。「P」asswordを送信、「A」ん号化(暗号化)、「P」rotocol(プロトコル=手順)からなる、添付ファイルを送る手段の略語のこと。
3.盗聴
メール送信をして受信者に届くまでの間に第三者に盗み見られる、盗聴されるといったリスクもメールを送信する際には発生する可能性があります。
盗聴のリスクを回避する方法として、SSL通信による暗号化を施すことが有効な手段の一つですが、送信側が暗号化していても、受信者側のメールサーバが暗号化されていなければ、受信者側のサーバーから漏えいするリスクもありますので、どちらの方も暗号化しておく方がいいでしょう。
他にも前述したファイルの暗号化は盗聴対策にもなりえますし、また個人情報はメール本文には記載しないというのも対策の一つです。
Pマーク上何をしないといけないの?
それでは、Pマークを取得している会社はどういったことをしなければいけないのでしょうか。
結論を言うと、Pマークではこうしないといけないというのはありません。
Pマークの規格、JIS Q 15001には「メール送信する際には○○をしなさい」という記載はありませんので、自社の状況と照らし合わせて、上記でご紹介したような対策を取り入れていただけたらと思います。
また前述したPPAPですが、これも必須ではありません。Pマークを取得していると「Zip化が必須」という認識をお持ちの会社さんもいらっしゃいますが、決してそんなことはなく、Pマーク認証機関のJIPDECも「PPAPは推奨していない」という見解を出しています。
ただし、PPAPには「同じ通信経路でパスワードを送るから意味がない」ことや「Zipファイルはウイルス対策ソフトでのチェックができない」という脆弱性があること(これらが「PPAP問題」と呼ばれる所以)、Zipファイルの受信はしないようにしている企業も出てきていることから、対策として最善とは言えないことは事実です。
ですが、何も対策をしていないと流石に審査で指摘される可能性は大きくなりますし、情報セキュリティの観点からも、前述したように何かしらの対策をしていただくことをお奨めします。
さいごに
対策を考えたり運用をすることは少し手間かもしれませんが、そこから漏えい事故が発生してしまうことにより、時間や人のコストがかかること、社会的信頼を取り戻す方が余程の手間となります。
本記事を読んで自社にあった最適な対策を立てていただけたらと思います。
