個人のメールアカウントを使用するビジネス上のリスク【メールセキュリティ】
最近、お客様がビジネス関連の電子メールに Hotmail や Yahoo! などの個人アカウントを使用するときに興味深い点を挙げている質問を尋ねました 。
「ビジネス目的で個人の電子メールを使用するのはいつですか?」
簡単な答えは決してありませんが、個人の所有者であるコンサルタントは、しばしば「個人的な」メールアカウントに戻ることができます。スマートなものは、ビジネスやビジネス名を反映するセカンダリアカウントを設定します(実質的にすべてのサービスプロバイダー、つまりVerizon、Comcastなどの人々は追加料金なしで複数のメールアカウントを作成する機能を含みます)。
大企業の場合、モバイルメールの一般的な可用性に伴う固有のリスクは、ビジネス目的で個人用メールアカウントを使用することを妨げるのに十分なはずです。たとえば、そのユーザーが不在の場合、スマートフォンやコンピューターからオフィスのメールにアクセスできる必要があります。これは、単に個人のメールアカウントに頼るよりもはるかに良い方法です。
個人のメールアカウントは、IT部門の管理外にあります。バックアップ、アーカイブ、セキュリティ、またはガバナンスの対象ではないため、ビジネス目的で使用すると、コンプライアンス規制に明らかに違反します。
また、個人の電子メールは会社のサーバーに保存されないため、発見とFOIAの要求は深刻に危険にさらされ、組織に法的リスクが生じます。
個人アカウントをビジネスに使用することの法的リスクは何ですか?
従業員が個人の電子メールアカウントを使用してビジネスを行うことを許可すると、会社のビジネス情報が世界中のどこからでも制御できないメールサーバーに保存されます。会社のデータが保存されている場所、または送信された場所をすべて知る方法はありません。
また、個人のメールアカウントは会社のセキュリティポリシーの対象ではありません。従業員は Gmailの利用規約(メールコンテンツの検索を許可する)に同意しているかもしれませんが、会社は同意していません。適切なデータプライバシーポリシーが用意されている場合がありますが、個人のメールアカウントは「送信」ボタンを1回クリックするだけでポリシーをバイパスできます。
個人アカウントをビジネスに使用することのリスクと影響を理解することは、情報の自由の要求、内部調査、または電子情報開示が行われるまで、必ずしも明らかではありません。これらすべての場合において、それらの個人アカウントには関連情報が含まれている可能性があるため、検索および取得のために提供する必要があります。
発見の行為でさえ困難です。個人の電子メールは、標準の法的発見手順では発見できません。たとえば、Googleはユーザーのメールの外部スキャンを禁止しています(現在、いくつかのケースが進行中です)。つまり、会社はユーザーに自分のメールをスキャンするよう指示する必要があり、盗難制裁の大きなリスクがあります。問題が規制上のものである場合、会社はコンプライアンスに違反している可能性があります。
従業員が会社のデバイスを使用してビジネス関連の電子メールを送信するために個人の電子メールアカウントを使用している場合、組織がそれらの電子メールを検索する権利を必ずしも持っているとは限りません。「Stengart vs. Loving Care」の場合、ニュージャージー州最高裁判所は、従業員は「自分のパスワードで保護されたウェブベースの電子メールアカウントを通じて弁護士との電子メール通信を合理的に期待できる」と判決を下しました。プライベートなままであり、会社のラップトップを使用してそれらを送受信しても、それらを保護した弁護士とクライアントの特権は排除されませんでした。」
検索や取得のために個人のメールボックス全体を会社のサーバーにコピーするなどの勇敢な(そして高価な)対策が講じられたとしても、関連するすべての情報が発見され作成されたことを要求者または裁判所に納得させることは非常に困難です。また、会社のサーバーに保持されている個人用メールの完全なコピーに同意するユーザーはほとんどいません。
考慮すべき企業リスクもあります
ビジネス目的で個人アカウントを使用すると、企業リスクが発生する他の多くの方法があります。従業員が個人的な電子メールを仕事に使用できるようにすると、IP盗難、企業のプライバシーの損失または顧客のプライバシーの侵害、および社内ポリシーで保護されていないコンピューターに実装できるエクスプロイトによるネットワーク運用の中断という深刻なリスクが生じます。
個人的な電子メールを使用すると、企業の秘密が侵害され、企業の通信が制御されないマイニングや検索にさらされる可能性があります。事実上、すべての個人アカウントは、さまざまなセキュリティ機関による合法的な(場合によっては疑わしい)収集および検索の対象になる可能性があります。
現在のFISAの法律によると、NSAは、エンドポイントの1つがNSA手順に協力している場合、両方のエンドポイントからのデータを電子メールで記録する権利を持っています。Google、Microsoft、AOL、Yahoo!などの大手個人メールプロバイダーから すべてがNSAに協力し、NSAのサーバーに好きな電子メールをスキャンして保存できるようにします。つまり、アカウントから電子メールを受信すると、プロバイダーの規約に同意しなくても、監視のリスクにさらされます。すべての条件。したがって、従業員が個人の電子メールを使用してプロジェクトの青写真を顧客の仕事用電子メールに送信すると、その顧客は意図せずにNSAのプライバシーを失います!
これらのコレクションの背後にあるセキュリティの欠如(WikiLeaksを考えてください)が政府全体を危険にさらしているため、企業は自分自身や顧客に対する本当の保護を期待すべきではありません!
継続性は大きな問題になる可能性があります。この従業員が退職した場合はどうなりますか?これらの電子メールは、その個人に関連情報とともに送信されるため、将来の検索がより困難になります。
問題はメールだけではありません。従業員は、個人の電子メールアドレスを使用して、Webホスティングアカウントやドメインの購入など、会社の日常業務に不可欠な機能をいくつでも設定できます。従業員の個人用メールアドレスがアカウントの所有者になるため、その従業員が退職した場合、会社のためにセットアップした資産の所有権を取得するのが困難になる可能性があります。これはビジネスを行う能力にどのような影響を与えますか?
信頼性はどうですか?従業員が theirname@gmail.com から電子メールアドレスを送信できるようにすることは、組織のプロフェッショナルなイメージを示します。
ソリューションは明らかかもしれませんが、企業はまだそれを強化する必要があります
何よりもまず、ビジネス用の個人用電子メールの使用に対して厳格なポリシーを設定することが唯一の措置ですが、企業のビジネスを企業の電子メールのみで行う必要があるすべての理由にもかかわらず、ユーザーは抵抗が最も少ない経路を取り、どんな電子メールも使用します彼らにとって最も簡単です。その場合、「最小の抵抗の経路」が正しい経路であることを確認するために、会社に負担がかかります。
企業は積極的に活動し、リモートまたは現場の従業員が自分のデバイスを使用して企業の電子メールシステムに簡単にアクセスできるようにします。ウェブメールインターフェースは簡単に設定でき、コンプライアンスキャプチャは、自宅のPC、ラップトップ、スマートフォン、タブレットから送信された場合でも、これらのメールを表示して保持します。特にモバイルで新しいメールを作成する場合、従業員は個人のアドレスではなく、会社のメールアドレスを常に選択するように注意する必要があります。請負業者やコンサルタントなどの非従業員についても、問題は同じです。請負業者またはコンサルタントが会社に代わってビジネスを行っている場合、会社のメールアドレスを提供し、これを使用する際の厳格なガイドラインを実施することは取り決めの一部です。
IT部門は、個人の電子メールアカウントから実行されるビジネスに起因する問題を回避するために、会社に代わって送受信されるすべての電子メールの集中管理と可視性を常に維持できる必要がありますが、いくつかの簡単なポリシーとIT組織が必要です積極的かつ永続的です。問題は完全になくなるわけではありませんが、大きな問題ではなく名目上の問題になります。
バラクーダネットワークスは、組織がビジネスデータを一元化および管理し、企業および法的リスクを最小限に抑えるのに役立つ多数の電子メールおよび情報管理ソリューションを提供しています。バラクーダのセキュリティおよびデータ保護ソリューションの詳細については、こちらの企業サイトをご覧ください。
製品のご紹介:Barracuda E-mail Security Gateway, Barracuda Total E-mail Protection, Barracuda E-mail Threat Scanner
原文はこちら:
The business risks of using personal email accounts
August 2, 2019 Dave Hunt
https://blog.barracuda.com/2019/08/02/the-business-risks-of-using-personal-email-accounts/
No comments yet.