電子メールコンプライアンスガイド：中小企業が安全を維持するために実行できる5つのステップ

電子メールは、組織の内外で機密性の高い機密情報を送信するために多くの中小企業が依存している重要なコミュニケーションリソースです。

しかし、ビジネスツールとしての電子メールの普及は、悪用やデータ損失の影響を受けやすくしています。事実、サイバーセキュリティ会社のAppRiverのホワイトペーパーによると、電子メールが企業間のデータ損失事件全体の35％を占めています。

$config[code] not found

データ侵害は、必ずしもハッキングの試みなどの悪意のある活動の結果ではありません。ほとんどの場合、これらは単純な従業員の過失または監視によって発生します。（Wells Fargoのホワイトペーパーによると、従業員がセキュリティ関連のインシデントの主な原因です。）

2014年、保険仲介会社Willis North Americaの従業員が、会社の医療プランの健康報酬プログラムに登録されている従業員のグループに、機密情報を含むスプレッドシートを誤って電子メールで送信しました。結果として、Willisは、この侵害の影響を受けた5,000人近くの人々に対して、2年間の個人情報盗難防止のための費用を支払わなければなりませんでした。

別の例では、同じく2014年から、サンディエゴのRady Children's Hospitalの従業員が誤って2万人を超える患者の保護された健康情報を含む電子メールを求職者に送信しました。（従業員は、彼女が申請者を評価するためのトレーニングファイルを送信していると思いました。）

病院は感染した個人に通知レターを送り、データが削除されたことを確認するために外部のセキュリティ会社と協力しました。

これらおよび他の多くのそのような事件は、電子メールの脆弱性を指摘し、メッセージをどこに送信しても、自分のメッセージや添付ファイルを保護、制御、追跡するための大小の企業の必要性を強調しています。

ここにAppRiverからの5つのステップがあります、それは中小企業が機密情報を保護するために電子メールコンプライアンス標準を開発するタスクを単純化するために従うことができるということです。

電子メールコンプライアンスガイド

1.どの規則が適用され、何をする必要があるのかを決定する

質問から始める：私の会社にはどのような規制が適用されますか？ Eメールのコンプライアンスを実証するための要件は何ですか？これらは重複していますか、それとも矛盾していますか？

どのような規制が適用されるのかを理解したら、それらをカバーするために異なるポリシーが必要か、それとも1つの包括的なポリシーが必要かを判断します。

中小企業が遭遇する規制の例は次のとおりです。

健康保険の携帯性と説明責任に関する法律（HIPAA） - 個人を特定できる患者の健康情報の送信を管理します。
サーベンスオクスリー法（S-OX） - 企業が財務情報を正確に収集し、処理し、報告するための内部統制を確立することを要求する。

グラムリーチブリリー法（GLBA） - 送信時および保管時に顧客記録のセキュリティと機密性を確保するために、企業がポリシーとテクノロジを実装することを要求する。
ペイメントカード情報セキュリティ基準（PCI） - カード会員データの安全な送信を義務付けます。

2.保護する必要があるものを特定し、プロトコルを設定する

あなたの会社が適用される規制に応じて、電子メールで送信されている、機密とみなされるデータ（クレジットカード番号、電子カルテ、個人を特定できる情報）を特定します。

また、誰がそのような情報を送受信するためのアクセス権を持つべきかを決定します。次に、ユーザー、ユーザーグループ、キーワード、および送信データを機密情報として識別するその他の手段に基づいて、電子メールコンテンツの送信を暗号化、アーカイブ、またはブロックするためのテクノロジを使用して適用できるポリシーを設定します。