セキュリティ
ISMSとPマークは未取得
「メールのウイルス・スキャンをしているか」,「情報漏えいを起こさない運用体制を敷いているか」など,Gmailが提供するセキュリティ機能やセキュリティ体制も,企業がメール・システムを移行する際の重要なポイントになる。
NRIセキュアテクノロジーズの大貫秀明コンサルティング事業部上級研究員は,企業がメール・システムを外部のサービスに任せる際にチェックすべき着眼点を三つ挙げる(図6)。「サービス自体がどのようなセキュリティ機能を提供しているか」,「サービス側のセキュリティ体制を確認できるか」,「サービス事業者が個人情報保護のための規格・認証を取得しているか」である。C.I.A(機密性,完全性,可用性)を保つことが重要であるメールは,アーカイビングやウイルス対策,スパム対策ができるか,サーバーは他の利用企業と共有か専有かなどを確認する必要がある。
図6●企業がサービス側のセキュリティ体制とコンプライアンス体制をチェックするポイントの例 |
企業向けGmailは,ウイルス対策とスパム対策,フィルタリング,アーカイビングなど機密性と完全性を確保するための基本的なセキュリティ対策を実施できる。可用性を確保する対策としては,データ・センターのほかサーバー,ディスクのいずれのレベルでも複数にデータを書き込む「GFS」(google file system)と呼ぶ仕組みを備えている。サーバーは他社との共有が一般的である。
その一方で,Google Appsのセキュリティ体制を判断するのは難しい。現時点でグーグルが公表している取得済みのセキュリティ体制に関する規格は,「米国のセーフ・ハーバー(Safe Harbour)・プログラムに参加している」(グーグル)だけ。セーフ・ハーバーは,米国とEU諸国との間で取り決めた個人情報の扱いに関するプログラムである。
ユーザー企業は,システムのアウトソーシング・サービスなどを利用する際に,サービス提供企業とNDA契約を結び,データ・センターなどの設備を検証することがある。ユーザー企業がセキュリティ体制を確認できない場合は,「サービス事業者が個人情報保護のための規格を取得しているかを確認するとよい。具体的にはISMSやPマークだ」(NRIセキュアの大貫上級研究員)。
グーグルの場合,設備の確認が難しく,日本の規格であるISMSやPマークはどちらも取得していない。
プライバシー保護
メール本文の自動解析に懸念
プライバシーや機密情報の保護という観点で見ると,Gmailは根本的な課題を抱えている。Gmailはメール本文を解析して,その中のテキストに関連した広告を表示するからだ。
グーグルは,「主なメール・サービスと同様にスパムやウイルスを検出するためにメール本文を解析して,テキストの内容に関連性のある広告や他の関連情報を配信する」という。そのプロセスは全て自動化され,人間はチェックしない機械的な自動解析であると強調する。同社はWebでも「メールの内容やその他の個人を特定できる情報を広告主に提供することはない」旨を説明している。
Standard Editionを使っている場合は企業向けGmailでも,本文に関連したテキスト広告が表示される。Premier EditionとEducation Editionは,広告を非表示に設定できる。ただメールのアウトソーシング先がメールの内容を解析できる(もしくはでき得る)という事実は,個人利用以上に企業が気にする点だろう。
メール本文の解析について今回取材したユーザー企業からは,「企業利用の観点からすると,こうした広告の出方は気持ちが良いものではない」との見方も示された。Premier Editionで広告を非表示にした際にもメール本文を解析しているかもしれないという懸念から,広告が出た分の値引きがあるなら許容できるとするまで,受け止め方には企業によって差異がある。もし企業がメール本文が解析される,あるいはされるかもしれないという不安を払拭(ふっしょく)できないのであれば,企業向けGmailの採用は見送るべきだろう。
|