企業電子郵件與個資保護

企業建置電子郵件管理系統，需顧大容量及低成本的目標。DIGITIMES攝

電子郵件早已取代紙本郵件或傳真，成為許多企業傳送重要文件或資訊的通訊工具，不但可能讓不肖員工易利用電子郵件洩露公司機密，散播不實謠言來損害企業利益，許多重要客戶資料往往也隱含其中，尤其在個資法的規定下，如何一方面確保公司機密不會外洩，卻又不會侵犯客戶或員工重要個資，也成為企業電子郵件的管理重點。

事實上，不僅是國內已經實施的個資法，包括沙賓法案、日本個人情報保護法、BSI7799法規等，許多國家也都已針對企業電子郵件的資訊安全，訂定相關法規，對跨國企業而言，由於電子郵件的流通性極強，就算沒有違反本國的法規，一不小心仍有可能觸犯其他國家的法律規定，不可不慎。

電子郵件保護要做到全自動化

台灣微軟指出，企業對於電子郵件的內部管理稽核需求，主要是稽核管理，包括平常對郵件的稽核要求，或是企業面臨訴訟案件時，能夠在期限內迅速的搜尋調閱出相關的郵件等，對象通常是企業內部的稽核人員。

員工個人郵件管理搜尋，也是企業電子郵件管理的重點。企業可以透過郵件歸檔稽核方案的建置，將員工個人的信件予以儲存備份，除了可免去個人管理郵件的不便與風險外，藉由搜尋引擎更可協助員工迅速地找到需要的郵件。

由於電子郵件數量龐大，電子郵件的自動化管理機制非常重要。企業IT可以透過傳輸規則動作的設定，套用RMS(Rights Management Services)範本到到電子郵件中，如微軟就提出過Windows Rights Management Services，可讓重要的資訊不會因為誤用，或是刻意的偷竊造成企業莫大的損失，但這個方案只能保護微軟本家的產品檔案，像是Word或Excel。

因此，如何讓電子郵件在傳送之後，就能自動受到保護，包括針對電子郵件附件檔案的搜尋及保護，或是透過禁止轉寄的原則套用，讓機密訊息不會流向網際網路，也是電子郵件非常重要的權限規則管理重點。更重要的是，由於行動化趨勢使然，電子郵件的權限規則管理，一定要做到跨越PC、Web Mail及行動裝置等多平台環境。

事前及事後管理都很重要

如果依時間點區分，電子郵件的稽核管理則可分為事前(Pre-Audit)及事後(Post-Audit)兩種。前者主要是針對即時資料稽核，以確保內部資料的安全性與正確性，後者則是針對封存資料稽核，以發覺或追查可疑的事件及人員。

如事前管理方面，可透過郵件提示(MailTips)功能，針對用戶端可透過早期預警系統，提示用戶寄送對象可能有問題，或是提示不能執行的作為，如發送大量使用者或受限制的通訊群組，郵件過大或信箱已滿等問題。對系統而言，郵件提示功能可避免不必要的伺服器負載，還可避免違反行政規定。

而在事後的歸檔及封存方面，企業電子郵件的保留原則，應可做到自動和時間的基準方式，同時要將規則套用至文件夾或項目方式，並在郵件上呈現文件過期日期，以免讓電子郵件因為過期，而影響保留價值。至於合法保存方面，除了保存、刪除和編輯的基本功能外，管理系統也應提供警示功能，提醒使用者特定郵件不能刪除(如處於訴訟保留狀態)。

至於搜尋功能方面，除了應提供簡易的Web郵件搜尋介面，讓使用者可以在跨平台設備執行外，也應讓使用者可以在線上封存信件，或是復原刪除郵件項目，以強化搜尋後的管理功能。

需兼顧大容量及低成本的建置目標

由於依據個資法第30條規定，損害賠償請求權，自請求權人知有損害及賠償義務人時起，因二年間不行使而消滅；自損害發生時起，逾五年者，亦同。因此，電子郵件的保留年限，至少兩年，最多五年，也讓企業電子郵件系統的擴增需求不斷擴大，容易形成管理負擔。

因此，企業在建置電子郵件管理系統時，一方面要兼顧大容量需求，但同時也要考慮成本，更要考慮持續可用性，如讓管理人員可以在一般營運的時間下，進行信箱的移轉與維護作業，以免在信箱進行維護時，發生使用者存取中斷的現象，不但可能會影響電子郵件的使用，更可能錯失保留重要電子郵件的可能。