メール誤送信トラブルを防ぐには？ 対策ツールの機能と選び方

ビジネスチャットツールが定着した今も、メールを利用している企業は多く、情報漏えい事故の多くはメールの誤送信によって起きている。リスクを回避するために重要な「メール誤送信対策ツール」の機能や選び方を解説する。

[鈴木恭子，キーマンズネット]

　メール誤送信による情報流出が後を絶たない。2021年11月、デジタル庁がメディア向けリリースを送付する際、本来は第三者から確認できないBCCに設定すべき送信先メールアドレスをCCにしてしまい、メールを受け取ったメディア関係者は全てのメールアドレスが閲覧できる状態になっていた。また同年12月には、磯崎仁彦官房副長官の事務所スタッフが、事務所内で共有するはずの副長官就任祝いを贈った23人分のリストを多数の参議院議員や秘書が利用しているメールアドレスに送付してしまった。

　さらに、一般財団法人日本情報経済社会推進協会（JIPDEC）が2021年10月21日に公開したプライバシーマーク取得企業を対象とした情報漏えい事故統計（2020年度「個人情報の取扱いにおける事故報告集計結果」）によると、情報漏えい事故の発生原因（n=2644件）1位は「誤送付」（1648件／62.3％）で、その内の764件（28.9％）は「メールの誤送信」だったという。2016年度では同件数が424件（20.7％）だったことを見ても、メール誤送信による情報流出は増加傾向にある。

原因別に見た事故報告状況（出典：2020年度「個人情報の取扱いにおける事故報告集計結果」、JIPDEC）

　このような状況からか、メールアドレスが社内のものであるかどうかを確認する機能や送信前に上司などの特定ユーザーに承認を得る機能が評価され、メール誤送信防止市場は拡大している。IT専門の調査・コンサルティング会社であるITRが公開した「メール誤送信防止市場規模推移および予測」によると、2019年度の売上金額は37億8,000万円で前年度比18.5％増となった。ITRではこうした傾向は今後も続き、2024年度には同市場が53億円に達すると予測している。

　ITRでコンサルティング・フェローを務める藤 俊満氏は「電子メールの誤送信はヒューマンエラーであるため、必ず一定頻度で発生する。企業ビジネスにおいて電子メールが重要なインフラの1つとなっている状況では、いかにこの発生頻度を下げ、被害を最小限に食い止めるかが重要な課題となっている」と指摘する。いまだ対策に手付かずの企業は、後述の具体的な機能や導入メリット、ツールの選別方法を参考に導入を検討してほしい。

「CCを間違えただけ」では済まされない　漏えい事故発生の後処理とは

　メール誤送信の対策を怠ると漏えいしてしまったメールアドレス1件ごとに慰謝料の支払いが発生するなどの“後処理”の必要性も生じてしまう。

　企業がメール誤送信などで情報漏えいをしてしまった場合、その“後処理”にはどのくらいのコストが必要なのだろうか。

　藤氏は「基本的に損害賠償が発生した事例はない」としたうえで、「基本的にはおわびと送信メールの削除、口外禁止依頼で済ませている」と話す。

　先述した事例のように、本来はBCCで送信すべき相手先をCCにしてメールアドレスを漏えいさせてしまった場合、送信元が自主的に慰謝料を支払うケースもある。その金額は1アドレスあたり500円から1万円ぐらいの幅があるという。

　メール誤送信を防止するにはユーザーの心掛けが大切なのは言うまでもない。意図せぬ文言を送ってしまわないように「オートコンプリート機能」を停止したり、社外に対して顧客データといった個人情報を含むメールを送信する際には複数人で確認したりといった対策も一定の効果はあるだろう。

　しかし、属人的な対策は非効率であり抜け漏れの発生は防ぎきれない。企業で導入しているメールソフトやコラボレーションツールには、標準的な誤送信防止機能が備わっているが、標準機能だけで十分な対策ができるとは言いがたいだろう。そもそもそうした機能の設定をユーザーに委ねていては「万全なセキュリティ対策」とはいえない。メールを日常的なビジネスツールとして活用している以上、メール誤送信対策ツールの導入は重要だ。

メール誤送信対策ツールの主な機能と選択のポイント

　では、どのような視点でメール誤送信対策ツールを選択すべきなのか。

　現在、日本国内では11の主要ベンダーが製品をリリースしている。その機能を見ると、「誤送信対策」と「不正・漏えい対策」に大別できる。

国内市場におけるメール誤送信防止製品一覧（ベンダー名50音順）

ベンダー	製品・サービス名
NTTテクノクロス	CipherCraft/Mail
Winテクノロジ	PlayBackMail Online
アイマトリックス	マトリックスゲート
エアー	WISE Alert、WISE Attach
オーク情報システム	Maileyes
キヤノンマーケティングジャパン	GUARDIANWALL Mailセキュリティ・オンプレミス MailConvert、GUARDIANWALL Mailセキュリティ・クラウド MailConvert on Cloud
クオリティア	Active! Gate、Active! gateSS
デジタルアーツ	m-FILTER、m-FILTER MailAdviser
日立ソリューションズ	活文 メールゲートウェイ
富士通BSC	FENCE-Mail For Gateway、FENCEメール誤送信対策サービス
富士通SSL	FUJITSU Security Solution SHieldMailChecker 誤送信防止
出典：ITR（2020年11月〜2021年2月の調査時点における製品一覧）

　誤送信対策ではメールアドレスが外部か否かをチェックする「メールアドレス（宛先）チェック機能」や、件名／添付ファイルの有無などを確認する「送信前確認機能」、送信後一定時間は保留となり、送信を取り消せる「送信保留機能」などがある。

　不正やCCによる漏えい対策としては、送信前に上司などの特定ユーザーに承認を得る「上司承認機能」や、一定数以上のメールアドレスに一斉配信する際にはアドレスを強制的にBCCに変換する「自動BCC変換機能」、特定のドメインにしか送信できない「宛先制限機能」などがある。

　藤氏は「単純なメールアドレス間違いの場合は誤送信対策機能で対応できる。一方で、意図的な情報漏えい防止に効果があるのは、NGワード機能と上司承認機能だ。特に最近、ベンダーは人工知能（AI）を用いたNGワード機能の開発に注力している」と説明する。

AIを活用した機能の開発も進んでいる

　NGワード機能とは、あらかじめ登録した「送信禁止ワード」がメールの件名や内容、添付ファイル名などに含まれていた場合、送信前に警告メッセージや注意喚起のポップアップ画面を表示する機能だ。これまでは「社外秘」「関係者のみ」「取扱注意」といった単語を手動でNGワードとして登録する必要があったが、最近はAI（人工知能）が単語やコンテキスト（文脈）を学習し、メールの宛先や内容に応じてNGワードを自動で推測し、警告メッセージを表示する機能の開発が進んでいるという。

　ツールの選び方については、導入数が多い製品の特徴として「Microsoft365（旧 Office365）」や「Gmail」といったクラウドメールに対応していることが挙げられる。製品選びの際には、自社で利用しているメールサービスに容易に導入できるかどうかが1つの鍵になるだろう。

　藤氏は「自社が利用しているメールに標準機能として必要な誤送信防止機能が備わっているかどうかを確認し、サポートされていない場合には別途対策ツールを導入すればよい」と説く。なお、一般の従業員（ユーザー）が重宝している機能は「メールアドレスチェック機能」で、管理者からは「上司承認機能」の評価が高いとのことだ。こういった機能の有無もツール選定の際は確認しておきたい。

AIで進化するクラウドメール

　SaaS（Software as a Service）メールにもAIを活用した機能は多数備わっている。例えば「Gmail」には、受信メールの内容に応じてAIが返信文案を自動作成する「スマートリプライ（Smart Reply）」がある。また、メール文の作成でもユーザーが入力する文章をAIが予測し、次に入力する可能性の高い文章を提示する「Smart Compose（スマート コンポーズ）」も搭載されている（※日本語未対応）。

コラボツールやSNSの活用も“メール事故”防止手段の一つ

　メール誤送信防止市場が拡大する一方、「Box」「Dropbox」「Slack」などのコラボレーションツールや「LINE」「Messenger」などのSNSが台頭し、メール自体の利用率は停滞傾向にあるようだ。2020年11月、平井卓也デジタル改革担当大臣（当時）はメールでパスワード付きファイルを送り、パスワードを同じルートで別送する方法「PPAP」を内閣府及び内閣官房で廃止すると宣言した。

　藤氏は「PPAP廃止通達の影響が出ているのは官公庁、公共事業関連で、他の民間企業では影響は出ていない」としながらも、「添付ファイルの誤送信防止という意味で、ファイルの送付にメールを利用しない流れはある」と指摘する。

　コラボレーションツールを提供するベンダーは、「メール添付によるファイルの送付は、情報セキュリティの観点からも限界がある。PPAPで暗号化をしていたとしても送付後のファイルに対するガバナンスは効かない」とPPAPの課題を指摘し、その解決策としてクラウドによるファイル共有やDLPシステムの有用性を強調している。

　例えばBoxでファイルを送る場合はクラウド上にファイルを保存し、その保存先URLを共有する仕組みだ。ファイルを直接メールに添付して送付しないので、間違った相手にURLを送信してしまっても、クラウド上のファイルを消去すれば情報漏えいのリスクは最小限に抑えられる。また、ファイル自体に詳細なアクセス制限を設定できるので、ガバナンスの観点からもメール添付によるファイル共有よりは有用だ。

　とはいえ、メールがビジネスシーンから一掃されるとは考えにくい。今後、企業はコラボレーションツールやSNSといった、新たなサービスをうまく取り入れながらメール誤送信対策も万全にし、情報漏えい防止やデータガバナンスを徹底することが重要になるだろう。