Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る

ビジネスにおけるメールコンプライアンス要件

ホーム 用語集 ビジネスのためのメールコンプライアンス要件

メールコンプライアンスは、マーケティングメールがコンプライアンスを遵守していることを確認するだけではありません。メールコンプライアンスには、日常のコミュニケーションも含まれます。

メールコンプライアンスとは何ですか? メールコンプライアンスとは、データプライバシー法や規制基準における特定のプロトコルに従うことです。これらの基準は、HIPAAやPCIのような業界特有のものや、GDPRのような地域特有のものがあります。

なぜメールコンプライアンスが重要なのか?

コンプライアンス基準には必ず何らかの形でデータプライバシーが含まれています。デジタル技術の進化により、情報セキュリティはさらに重要になっています。そのため、ほとんどの規制は、個人識別情報(PII)をあらゆるチャネルで送信する際に何らかのデータ保護を要求しています。

多くの場合、セキュリティコントロールは比較的小さな範囲で機能します。ファイル転送やデータサーバーの暗号化は、特定の技術やクラウド環境に限定され、内部セキュリティがこのデータを保護します。

/wp-content/uploads/2022/01/Email-compliance-glossary.webp

個人識別情報の役割

メールPIIに関する懸念が増えています。まず、メールは暗号化されたサーバーを通じて送信されない限り、デフォルトで暗号化されていません。ファイル転送システムとは異なり、メールの暗号化には送信者と受信者の両方が同じ暗号化方法を使用する必要があります。メールは非常に広く普及しているため、多くのメールプロバイダー、公共およびプライベートの両方が暗号化を整えるのが非常に難しいと感じています。

さらに、メールはインターネット上で最も使用されているコミュニケーション手段の一つであるため、規制された組織が一般の人々とコミュニケーションを取るために使用することがよくあります。これらの組織は、自分たちの範囲外のメールシステムを制御することができないため、その情報のセキュリティやプライバシーを保証することができません。

最後に、多くの規制にはデータ保持と記録保持の要件が含まれており、公共または第三者のプロバイダーはそのような機能を提供しないか、少なくともデフォルトでは提供せず、追加料金がかかることがあります。

メールコンプライアンスは非常に重要です。なぜなら、多くの人々がメールに依存しているからです。結局のところ、通常は安全ではなく、多くの組織にとって潜在的に脆弱な領域を表しています。

どのプライバシー法がメール通信に影響を与えるのか?

コンプライアンス要件は業界やアプリケーションによって標準化されていません。組織は、特定の業界の義務と要件を理解し、組織のコンプライアンスを構築する必要があります。

一部の規制要件には以下が含まれます:

医療保険の相互運用性と説明責任に関する法律

HIPAA規制の下では、医療提供者は患者の健康情報を無許可の開示から保護しなければならず、暗号化されていないメールの使用は排除されます。これらの組織の多くは、暗号化されたサーバー、プライベートデータセンター、インタラクティブポータルに患者を誘導する安全なリンクを使用するHIPAA準拠のメールプランを採用しています。これらのリンクを使用することで、提供者は開示のリスクや規制違反を避けながら、患者を安全なシステムに誘導できます。

支払いカード業界データセキュリティ基準

ほとんどの場合、組織は顧客に支払い情報を送信することはありません。しかし、内部的には、準拠した組織は支払い情報を含む安全なカードホルダーデータ環境を展開しています。これらの環境内のメールは、支払いカード業界データセキュリティ基準(PCI DSS)の暗号化要件を満たす必要があります。

一般データ保護規則

一般データ保護規則(GDPR)は、厳格な情報管理で知られる欧州連合ベースのコンプライアンスフレームワークです。GDPRの下でのコンプライアンスは、2つの異なるコンテキストで運用されます: 

  • セキュリティと暗号化:消費者データは、送信および処理中に企業によって保護される必要があり、これには通信も含まれます。そのため、メールは暗号化され、サーバーおよび転送中に重要なプライベート情報が隠される必要があります。
  • マーケティングと同意:GDPRは、企業が消費者の明示的な同意なしにマーケティング目的でメールを使用できない「オプトイン」アプローチを求めています。これは、企業がユーザーのアドレスをマーケティングデータベースに追加し、オプトアウトオプションのみを提供する米国の法律とは大きく異なります。

同様の法律である2003年のプライバシーおよび電子通信規則は、欧州連合の存在前にイギリスで同様のことを行い、マーケティング目的での直接の同意を要求しました。

もう一つの類似した法律であるカリフォルニア消費者保護法は、GDPRのようにマーケティングのためのより厳格なメール管理を要求しています。ただし、CCPAはカリフォルニア州で事業を行う企業にのみ適用されます。

連邦リスク承認管理プログラムとサイバーセキュリティ成熟度モデル認証

FedRAMPとCMMCはどちらも政府の規制です。前者は連邦機関が使用するクラウド製品とサービスを管理し、後者は国防総省のサプライチェーンでデジタルサービスを提供する請負業者を規制します。

どちらの場合も、これらのフレームワークは、米国国立標準技術研究所(NIST)が発行した文書から規制基準を引き出しています:NIST 800-53NIST 800-171。どちらの文書も、メールの暗号化を指定し、保護されたデータの未暗号化メールでの送信を内部および外部で禁止しています。

さらに、どちらのフレームワークにもメールと脆弱性スキャンに関する規制があります。

非要請ポルノグラフィーおよびマーケティングの攻撃を制御する法律(CAN-SPAM)

2003年に議会で可決されたこの一般的なマーケティング法は、米国のマーケターがメールを送信する方法を規制しています。これには、オプトアウトリストの要求、正確なメール内容(件名や「送信元」情報を含む)、ヘッダー情報のマスキングや収集されたアカウントへの送信の制限などの基準を含むマーケティングの制御が含まれます。

メールとデータ保持

規制にはしばしば保持ポリシーが含まれています。組織は、法的手続きや調査のために証拠が必要な場合に備えて、一定期間すべてのメール通信の記録を保持することが期待されています。

メール保持を要求するフレームワークには以下が含まれます:

規制

適用対象

必要なメール保持期間

情報公開法(FOIA)

連邦および州の機関

3年

サーベンス・オックスリー法(SOX)

すべての上場企業

7年

連邦預金保険公社規制(FDIC)

金融機関

5年

医療保険の相互運用性と説明責任に関する法律(HIPAA )

医療提供者、保険会社、患者情報を管理するベンダー

7年

支払いカード業界データセキュリティ基準(PCI DSS)

クレジット支払い情報を処理または保存するすべての企業

1年

IRS報告規制

米国のすべての企業

7年

CMMCおよびその他の防衛規制

国防総省の請負業者

3年

他の管轄区域では保持が異なる場合があります。たとえば、GDPRには、企業が消費者情報を保持および処理する方法を制限する特定の法律が含まれています。つまり、企業は明示されたビジネス目的に合理的な範囲を超えて情報を保持することはできません。そのため、GDPRにはメール保持の最低または最大の義務はありません。

メールコンプライアンスの課題とベストプラクティス

多くの組織は、誰がコンプライアンスの責任を負うべきかを必ずしも知っているわけではなく、そのため、コンプライアンスのいくつかの側面で苦労することがあります。

一般的に、メールコンプライアンスにはいくつかの課題があります:

  1. トレーニングと教育:従業員は、メールで共有できる情報とできない情報、および暗号化やセキュリティ基準を維持するためにメール技術を正しく使用する方法についてトレーニングを受ける必要があります。
  2. 自動化と保持:ユーザーがすべてのメールを保持することは期待できず、年間数十万通のメールの中には、いくつかが失われることがあります。自動化と安全なストレージを設定することで、従業員や管理者に負担をかけずに保持コンプライアンス要件を軽減できます。
  3. 同意の証拠の維持:欧州連合のような管轄区域では、企業はマーケティングメールの同意の証拠を持っている必要があります。これをCRMやその他のコンプライアンスシステムに組み込むことで、監査や消費者からの挑戦が発生した場合にすべての記録が整っているようにします。

メールコンプライアンスはコンプライアンスツールから始まる

コンプライアンスを遵守したメールを送信することは、困難な作業のように思えるかもしれません。しかし、最初からコンプライアンス技術と自動化を使用することで、コンプライアンスを維持しながら、顧客や従業員とコミュニケーションを取るためにメール通信を活用することができます。

Kiteworksプラットフォームは、防衛や政府製造、技術、医療、ライフサイエンスおよび製薬、法律などの業界で、メールコンプライアンスを維持することを可能にします。Kiteworksプラットフォームは、安全なメールリンク、保護されたサーバー、データモニタリング、分析のシステムを使用して、機密情報がメールで公開されないようにし、同意とオプトインの文書が不変の監査ログに安全に保管されることを保証します。

Kiteworksについて詳しく知りたい方は、パーソナライズされたデモをリクエストしてください。

 

リスクとコンプライアンス用語集に戻る

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約
Share
Tweet
Share
Explore Kiteworks