メール専門情報サイト
J-SOX法との関わり
米国のSOX法は、エンロンやワールドコムの不正会計問題を契機として、2002年7月に可決された法案です。主旨は、「企業経営者は財務報告の内容が正しいことを証明できるように、疑問点が生じたときは、これを追跡できる企業環境を整備しておかなくてはいけない」というものです。
日本でも2008年4月から施行されるJ-SOX法が何かと話題になっていますが、米国のSOX法には罰則規定があり、罰金もしくは5~20年の禁固刑が科せられるのに対し、J-SOX法には罰則規定がなく、どのような対策が必要であるのか不明瞭な点がありました。
一時J-SOX法という言葉だけが独り歩きしてしまい、対策への取り組みを躊躇させる要因となりましたが、実際にアーカイブ製品を導入する理由としては、J-SOX法に対応するための準備というよりも、メールデータのバックアップを目的として導入する企業も多い。そもそも、J-SOX法にはメールアーカイブに関する要件が明確に記載されていないため、導入促進には決め手に欠いているというのが現状です。
図1 : メールアーカイブに対するSOX法とJ-SOX法の影響力の違い
ニーズ高まるメールコンプライアンス
メッセージングテクノロジー社の植村氏の定義によると、メールコンプライアンスとは、「メールの利活用に関連する法律を実務で運用するために、ネットワークコミュニケーションにおけるメールのリスクを把握し、メールリスクマネジメントと情報セキュリティ対策が効率的に統合され、規定化されたメールの内部統制活動」のことをいいます。
これまで、企業でも個人でもメール環境を構築するにあたり、最もウェイトが大きかったのは、ウイルスやスパム、フィッシング詐欺などの被害に遭わないようにするセキュリティ対策でした。
しかし、最近では、特に企業においては、事業継続性という観点から、バックアップやアーカイブ製品のニーズが高まっています。さらに今後、メール業務の改善やトラブル防止といった企業活動を保護する内部統制対策のために、こうした製品の導入が進んでいくと推測できます。
内部統制対策から見たメールに関するリスクには、主に次のようなものが挙げられます。企業にとっては、これらのリスクを軽減することなしに、業務効率を向上させていくことはできない。それほどまでに、現在の企業はメールに依存しているのだが、意外と個人任せにしている場合が多いのではないでしょうか。
図2 : 内部統制対策から見たメールに関するリスク
メールアーカイブと法律の関係
商法やPL法(製造物責任法)、あるいは、個人情報保護法などに基づき、企業情報や企業が管理する個人情報の開示請求があった場合には、企業は必要な文書を申出人に提出する義務があります。
また、裁判時には、電子メールも文書として提出を要求される場合があります。この場合、日記や手帳、業務連絡など自社内のみで使うメールに対しては開示の義務はありませんが、顧客や代理店からのクレームなど取引に関するメールは提出することになります。
そして、こうした不測の事態に備えるためのシステムを企業は整備しなくてはなりません。
法律で定められた文書の保存期間は表1のとおりです。また、表1以外にも、雇用保険法や健康保険法などに基づく文書の書類に関して、それぞれ保存期間が定められています。
最近では、こうした書類も電子化されているケースが増えています。そのため、何気なくメール本文や添付ファイルとしてやりとりしてしまうこともありますが、送信後に気づいて手おくれとならないよう、紙同様に扱いは厳重に処する必要が出てきています。
表1 : 法律で定められた文書の保存期間
電子メール送受信記録保存規定を!
メッセージングポリシーとは、情報漏えいなどのトラブルを回避するために、送受信や保存などの処理プロセスやセキュリティに関する対策基準を文書化した「メールの運用管理基準」のことです。
現在、統一的な規約は存在しませんが、Eジャパン協議会(現・財団法人マルチメディア振興センター技術調査部)がとりまとめた「メッセージングポリシーモデル規定集2004改訂版」というものの中に、今回取り上げた「アーカイブ」にも関連の深い、「電子メール送受信保存規定」という項目があります。
これからのエンジニアやビジネスパーソンは法律にも知悉していく必要があると思われますので、これらの規約を参考にしていただき、企業イメージを損なうようなトラブルが発生しないように予防していきましょう。
|
【第7章】電子メール送受信記録保存規定 趣旨 送受信した電子メールを通信記録として保存することにより、送信先及び送信元とのトラブルを回避するため、本章では、「対象者」が遵守すべき電子メールの保存について定める。 7.1 「対象者」に関わる規定 7.1.1 電子メールの保存 (1)「対象者」は、送受信した下記の電子メールを「情報セキュリティ管理部門」が指定した保存期間を経るまで「情報セキュリティ管理部門」が指定した方法で保存しなければならない。 註)保存期間 註)保存
(2)「対象者」は、送受信した電子メールの内容を改竄してはならない。 (3)「対象者」は、送受信履歴を改竄してはならない。 7.1.2 電子メールの整理 (1)「対象者」は、保存した電子メールの整理(最適化,削除等)を「情報セキュリティ管理部門」が指定した方法で適宜実施しなければならない。 7.2 付帯規定 7.2.1 電子メールの保存 (1)「情報セキュリティ管理部門」は、「対象者」に対して送受信した電子メールの保存期間及び保存方法を指定しなければならない。 (2)「情報セキュリティ管理部門」は、「対象者」に対して定期的に電子メールの整理(最適化,削除等)を実施するよう催促をしなければならない。 7.2.2 電子メールシステムの管理 (1)「情報セキュリティ管理部門」は、セキュリティ対策を施した電子メールシステム内に、適正空き容量を確保し、電子メールの送受信記録を保存しなければならない。また その保存処理のために「対象者」の電子メール送受信が停滞・停止することのないようにしなければならない。 (2)「情報セキュリティ管理部門」は、一時的に保存された電子メールと送受信記録について定期的にバックアップを行ない、セキュリティ対策が施された環境上に保存期間を経るまで適切に管理しなければならない。 註)期間 (3)「情報セキュリティ管理部門」は、必要に応じて電子メールの内容と送受信記録の改竄を防止するため、その保存の方法において記録原本性を保全する措置をとらなければならない。 註)記録原本性 メッセージングポリシーモデル規定集2004年改訂版(発行:Eジャパン協議会)より抜粋 |
