1. 情報セキュリティブログ ホーム
  2. 月イチIT総括
  3. 電子メールの監視と従業員のプライバシー

電子メールの監視と従業員のプライバシー

今や業務に必須のツールとなった電子メール。このことは、会社にとって、業務のメールを通じて、個人情報や知的財産など機密情報が漏洩するリスクに常に直面していることを意味する。こうしたリスクに対処するために従業員のメールの内容を管理することは避けて通れない一方、メールの監視には従業員のプライバシー問題がつきまとう。

今回は、会社によるメールの監視と従業員のプライバシーの問題を取り上げたい。


メール監視の実態

米国における「2007 Outbound E-Mail and Content Security in Today's Enterprise」という電子メールとコンテンツのセキュリティに関する調査によると、米国企業の3割以上(32%)が、社外向けの電子メールを読んだり分析したりするスタッフを雇っており、この数字は、従業員数が2万人以上の企業では、39%に上っている。

あなたのメールはのぞかれている(ITmedia)

記事によれば、これらの企業は、社外向け電子メールの2割近く(18.9%)に法的リスクや金銭的リスクをもたらす内容が含まれていると推定しているという。

また、調査対象企業で、過去12ヵ月の間にプライバシーあるいはデータ保護に関するポリシー違反の疑いで調査を実施したと回答したのは、3割以上(31.8%)に上るという。

さらに、3割近く(27.6%)の企業が、この1年間で、電子メールポリシー違反で従業員を解雇したことがあると回答したという。

上記は米国の調査結果だが、会社側がここまで電子メールのリスクに敏感なのには訳がある。一般的に、会社は自社のメールサーバー経由でやり取りされる電子メールに関して、以下のようなリスクに直面する可能性がある。

(1)知的財産、顧客情報、人事情報、その他の企業秘密など機密情報の漏えい
(2)それに伴う訴訟リスクと、報道などによる企業イメージの低下
(3)メールアドレスの流出による、スパムメール等の攻撃対象となること


会社によるメール監視は合法

日本において、メールに関するプライバシーを直接定めた法律はないが、裁判の判例では会社による従業員のメール閲覧を合法とする判決が出ている。2001年12月と2002年2月に東京地裁が下した判決では、企業によるメールの監視を認めている。

一般的には、以下のような場合、会社が従業員のメールを監視することは正当化されると解釈されるようだ。

(1)会社側が業務を行うために必要である、または会社の所有物を保護するために必要な場合
(2)メールの監視が通常の業務の延長である場合
(3)メールの監視について事前に従業員側の同意がある場合

例えば、何らかの事件に巻き込まれたであるとか、企業秘密の漏えいなどの疑いがある場合は、メールを監視することが認められるし、従業員側に事前の告知がある場合は、メールのモニタリングは正当化されうると考えられる。


電子メールについてのポリシーは?

では、企業側はきちんとした電子メールについてのポリシー(社内規定)を設けているのだろうか。上記記事によると、11%の企業がまだ正式なメール利用規定を策定していないと回答したということである。

また、個人情報保護法施行前の古いデータで恐縮であるが、以下の記事では、日本の企業を対象とした調査で、電子メールについての社内規定を設けている企業は約25%程度という数字が紹介されている。

連載:電子メールに潜むリスク第2回 職場における電子メールとプライバシー(@IT)

電子メールに関するリスクを回避し、従業員のプライバシーという問題に対処するためには、電子メールに関するポリシーを策定し、従業員に通知し、ポリシーに沿った運用が必要となる。

また、ブログや動画投稿サイト「YouTube」、あるいはSNSなどの“Web 2.0的”な情報共有機会の普及により、今後、より広範囲をカバーするポリシーが必要性となってくることが考えられる。

いずれにせよ、企業は明確にポリシーを策定し、従業員に周知徹底していく必要があるだろう。

  • バッファロー社製の無線LANルーターにCSRFの脆弱性との報告
  • カテゴリートップへ
  • 子猫の写真でおびき寄せ?Storm Wormの新手口?