ESET/マルウェア情報局
うっかりミスでは済まされないメールの誤送信
本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載されたメールの誤送信を未然に防ぐ方法は?を再編集したものです
2000年代を代表する企業の主要なコミュニケーション手段として利用されていたメールは、企業間でのやりとりにおいてメッセンジャーやチャットツール、プロジェクト管理ツールなどに置き換わりつつある。しかし、そうしたツールの利用と並行して今なおメールが使われるシーンはまだまだ多い。また、そもそも新しいツール群の導入にすら至らず、メールと電話、面会のみでコミュニケーションをとっている企業もまだまだ多く見られる。
現在はまさに過渡期といえるが、このような状況は当分の間、続くものと思われる。そこでこの記事では、メール利用時に懸念される誤送信問題を取り上げる。メールの誤送信がなぜ起こるのか、その原因と発生時の影響、そしてそれらを踏まえた対策について解説をしていく。
メールの誤送信をしてしまう原因を紹介
至極当然のことではあるが、メールの誤送信はユーザーがメールを送信する際に起こす過ちだ。具体的には「メールアドレスの入力ミス」、「発信情報の入力ミス(添付ファイルにおけるミスなども含む)」、「送信動作時のミス」といった原因が挙げられる。その背景をひも解くと大きく「心理的・身体的」なものと「物理的」なものとに分けることができる。これらを整理し、理解しておくことで対策が取りやすくなる。以下、それぞれを見ていく。
心理的・身体的なことが原因で発生するケース
・緊張感が緩んでいる状態
例えば、日々のルーチンとして課される業務などは繰り返しの作業となるため、いくら重要なことであっても流れ作業になりがちだ。これは習慣化して効率化する際には抗えない側面でもある。しかし、流れ作業化してしまうことこそが誤送信のリスクを生む要因となる。効率的に進めるため、確認作業すら「流れ」でやってしまう。このような経緯から発生した誤送信では、担当者は必ず「いつも通り確認したつもりだった」と口にする。効率化しようと努力した結果のジレンマといえる。
・集中力が散漫になっている状態
人は膨大な業務に忙殺されている時や、その後の極度の疲労時などはどうしても集中力が続かなくなるものだ。また、多忙な状態が長期に亘った時などは精神が極度な疲弊状態に至り、その結果として自助努力では注意力が保てないこともある。こうした状況下で、送付すべきでないファイルを送信してしまう、テキストのコピー&ペーストのミスなどはよくありがちで、本人のみのチェックではまず防ぐことはできない。ギリギリのところで未遂に終わったケースも含めると多くの企業で発生していることだろう。
しかし、業務の関係上、疲労状態にあっても重要なメールを作成・送信しなければならないことは少なくない。重要なのはこうした状況を踏まえた対策を講じ、実行に移すことである。
物理的なことが原因で発生するケース
経費節減の一環として備品購入を絞り込むのはどこの企業でもやっていることだろう。しかし、不備がありながらも無理すれば使えるとそのまま利用することで誤送信が発生するケースもある。例えば、キーボードが一部壊れていて打ちづらい、画面が小さかったり汚れていたりで見づらい、あるいはパソコンのスペックが低く作業がもたつくといったことが利用者のストレスにつながり、その結果として不測の事態を生じさせることになる。過度のストレス状態にあると、人はミスを誘発しやすいことは心に留めておくべきだろう。
「うっかりミス」では済まされない情報漏えいの影響範囲
誤送信で漏えいする情報は大きく「個人情報」と「機密情報」に分けられる。それぞれ漏えい時に企業にどういった影響があるかを解説する。
個人情報漏えい時の影響
個人情報は主にメールアドレスの入力ミスや添付ファイルによる誤送信で生じる。例えば、社内のメンバー間で顧客リストをメール経由でやりとりしていた時に、社外のメールアドレスも気づかずに入れて発信してしまった、というケースだ。他にもメールマガジンの配信時に、本来はメールアドレスをBCCに入力するべきところをCCあるいはTOに入れてそのまま発信してしまうといったケースもある。前者の顧客リストの漏えいだと氏名情報だけでなく住所や年齢、電話番号、最悪だと決済情報まで含まれてしまうことがある。この場合、穏便に済まされることはなく、賠償問題につながりかねない。後者の場合だと、CCあるいはTOに入力されてしまったメールアドレスを所有するユーザー全員が対象となるため、配信数が大きければ大きいほど影響範囲は広がることになる。実損を伴わない限り、損害賠償請求の可能性は低いものの、ユーザーはメールアドレスを悪用されるリスクを負うことは注意しておきたい。
また、影響範囲が大きい場合はメディアによりニュースとなることもある。その場合、実損はなくても信頼の低下で企業ブランドが大きく失墜することも考えられる。
機密情報漏えい時の影響
顧客リストなどの個人情報についてはPマークやISMS取得などにあたって社内でも教育や研修が実施されることもあり、注意してやりとりされる傾向にある。しかし、機密情報は定義や対象が曖昧なため、ユーザーの意識も緩くなりがちだ。例えば、メールアドレスが「Y」から始まるA氏にメールを送ろうとしてメールツールの入力補助機能で最初に表示された同じくアドレスが「Y」からはじまるB氏に送ってしまった、というケース。普段は「Y」を入力するとA氏のメールアドレスが自動入力されていたから確認せず送ってしまった、というのは「誤送信あるある」だろう。
しかし、送付した情報が別の会社で開発中の新サービス・製品の情報だったらどうなるだろうか。その情報を入手したユーザーが競合会社にその情報を渡してしまうといった最悪のケースも考えられる。また、そもそも競合の会社向けに誤送信してしまうこともありうる。こういった場合、実損を伴うので取引停止や返金要求、最悪の場合は損害賠償請求などのような対応が取られるケースもある。当然ながら誤送信をしてしまった当人の処分も検討されることになるだろう。入力内容を確認せず生じた誤送信が自身の立場すら追いこむことになる。それほど起こしてしまった時の影響が大きくなる可能性については強く意識したいところだ。
メールの誤送信を防止するための対策
誤送信で漏えいする情報が「個人情報」であっても「機密情報」でもその影響範囲は大きくなる可能性があるのは先述のとおりだ。そのため、防止するための対策はしっかりとおこなっておきたい。以下、その対策を紹介していこう。
誤送信対策システムを導入する
さまざまな漏えい事件などを受けて対策を進める企業が増加するのに伴い、多くのソフトウェアやサービスなどのシステムが提供されるようになってきている。例えばマイクロソフト社のOffice365のクラウドメールでは、遅延送信や社外送信における権限設定などのルール設定が可能となっている。他にも、添付ファイルを自動的にパスワード付きのZipファイルへと変換し、誤送信が生じてもファイルの中身を閲覧されないような予防機能もある。また、Gmailなどのウェブメール、Thunderbirdなどのメールソフトでも送信後に一定時間が経過するまでは送信取り消しできる機能があるので、有効にしておくとよいだろう。
ファイル送付についても従来のようにメールに添付するという方法だけでなく、クラウドストレージに保存してそのURLを共有して共同編集するという方法も浸透してきている。編集・閲覧権限の設定が容易なので、こうした機能を日常的に利用することでも安全性は増すことになる。これら機能を自社の状況に合わせて導入することが、誤送信の予防につながることになる。
誤送信防止に関する社内ルールを設定する
社内ルールを設定することで、ルールに基づいて作業を進めることになるため、安全性は高まる。例えば、重要な情報を送信する際は別のユーザーのチェック後に送付することを義務付ける、慌ただしい時は送信しない、というルールを設けて運用することが大きな予防策となりうるのだ。また、先に述べたように心理的・身体的な不調からミスが発生することもありうるので、そういった観点からのルールも設定しておきたい。
誤送信を防ぐために最も重要な対策は社内教育
システムを導入しても、社内ルールを設定しても、最終的に送信ボタンを押すのは人であるため、ヒューマンエラーの可能性は少なからず残る。システムもルールも導入・設定された背景と目的を理解させなければ時を追うにつれ形骸化の一途を辿ることになる。
そのために必要なのが情報セキュリティに関する社内教育である。ここまで述べたような、誤送信が万一発生した時の影響や損失を十分に学習させ、対策の重要性を説き、自分事化してもらうことだ。システムやルールはあくまで手段に過ぎず、高いリテラシーのもとで運用することが誤送信防止の一番の重要なポイントであり、近道となる。
まとめ
コーポレートガバナンスの観点から、かつてなくコンプライアンスが重視される現代において、誤送信は「うっかりミス」で済まされなくなっている。重要なデータだけでなく、単なるテキスト文面ですらも誤送信が生じることで大きな事態につながりかねない。「たかが誤送信」が最悪の場合、企業のビジネス継続に大きなダメージを与えかねないことを経営層はもちろんのこと、現場のスタッフも強く意識する必要があるだろう。その上で、今回紹介した対策を複合的に運用していくことで「誤送信をしない・させない企業文化」を一体となって醸成していくことを進めていってもらいたい。