企業における電子メールの保管と検閲
電子メール意外にもWEBアプリケーションを利用した外部との情報交換は容易に可能。社員が外部と電子的な情報の交換を行う場合に、これを捕捉し必要な検閲を行うとともに、必要な期間保管することが重要である。その他、メディアを経由した情報交換も外部と看做して同様に検閲と保管が求められる。
これを徹底してやっている企業はまだ少ない。一部でも取り込んでいる企業は既に相当数あるようだ。これも、専用のツールの導入することになりコストの壁が立ちはだかる。
保管期限は当該社員の在籍期間、及び退職後10年。アメリカ国防総省の話みたいだね。
いずれにしても、ISMSではこのような管理策が必要か、どのレベルで必要かを(リスクアセスメントとの関連において)明確にすることになるが、費用対効果の視点が入ると消えてしまうのが大半。
.*.
トレーサビリティの確保はどの程度のレベルで必要か。これはリスクアセスメントからは導き出せない場合でも組織として決定しておくことが重要でしょう。
.*.