前回は，メール・マーケティングに潜む個人情報漏えいの事業機会リスクについて，迷惑メール問題が及ぼす影響を取り上げた。今回はメールを受信する企業側の視点から，BtoB分野のメール・マーケティングと顧客企業のコンプライアンス対策の関わりを考えてみたい。

電子メールは日本版SOX法の重要なITツール

　特定の個人を識別できるメール・アドレス情報が個人情報に該当することになれば，企業のメール・システムでは，日々膨大な数の個人情報が交換・蓄積されていることになる。

　メール・システムは，個人情報保護法を対象としたコンプライアンス対策の要であり，送信側の視点に立った情報漏えい対策や，受信側の視点に立ったウイルス・迷惑メール対策が施されてきた。そこに，新たなコンプライアンス対策の対象法令として登場してきたのが，金融商品取引法（日本版SOX法）である。

　2006年11月21日に金融庁が公表した「財務報告に係る内部統制の評価及び監査に関する実施基準」公開草案（「企業会計審議会内部統制部会の公開草案の公表について」参照）では，内部統制の基本的要素の一つに「IT（情報技術）への対応」が位置付けられ，IT利用の具体例が示されている。そこでは，「電子メールといったITを利用することは，経営者の意向，組織の基本方針や決定事項等を組織の適切な者に適時に伝達することを可能にし，統制環境の整備及び運用を支援することになる」，「経営者や組織の重要な構成員等が電子メール等を用いることにより，容易に不正を共謀すること等も可能としかねず，これを防止すべく組織内の通信記録の保全など適切な統制活動が必要となる」と，電子メールのメリットとデメリットを説明している。日本版SOX法の内部統制において，電子メールは重要なITツールとして位置付けられているのだ。

電子メール経由の商取引プロセスも監視対象に

　もう一つ，日本版SOX法との関わりで重要なのは，電子メールが必要不可欠な企業間商取引ツールとなっている点だ。プッシュ型のメール・マーケティングは，AIDMAモデル（Attention（注意）→ Interest（関心）→ Desire（欲求）→ Memory（記憶）→ Action（行動））で注意や関心をひくことに焦点を当てている。BtoBの場合，さらにその後の見積り，価格交渉，受発注，物流，決済といった商取引プロセスでも電子メールが利用されるケースが増えている。

　売上や売掛金に直結する商取引プロセスは，日本版SOX法の重要な監視対象となっている。電子メールやEDI／EC（電子データ交換／電子商取引）ツールを利用して各プロセスの履歴を電子的に残していった方が，後から監査人などの第三者が検証する際に便利であることは言うまでもない。

　メール・システムは，個人情報保護法だけでなく，日本版SOX法を対象としたコンプライアンス対策ツールでもあるのだ。最近は，全送受信メールの複製を作成し，改ざん不可能な形でアーカイブ化してストレージに保存する，メール・アーカイブ・システムに対する関心も高まっている。

　実施基準の公開草案では，財務報告に係る内部統制記録の保存期間の目安を5年と例示している。だが，関連する証拠書類も合わせて保存する必要があるため，メール・アーカイブの保存期間は長くなり，容量も膨大なものになる。特に，企業のメール・サーバーに連日送信される迷惑メールの扱いは厄介な問題だ。アーカイブしたデータには個人情報も含まれているから，強固なアイデンティティ・アクセス管理を施さなければならない。

　通常，BtoB分野のメール・マーケティングのターゲット顧客には，上場企業及び子会社など，日本版SOX法の適用対象企業が多く含まれている。顧客企業でアーカイブされる受信メールには，販促キャンペーンのメルマガ，見積書を添付したメール，価格交渉のやりとりのメール，受注・配送確認のメールなどが含まれる。送信側企業のマーケティング／営業部門は，このことを認識すべきである。それらには，特定の個人を識別できるメール・アドレスが記録されている。誤送信により個人情報漏えいを起こしたメールも，受信した顧客企業で長期間保存されることになるから要注意だ。

　次回は，最近起きている個人情報漏えい事件について取り上げたい。