企業電子郵件與個資保護 智慧應用 影音
新思
Event

企業電子郵件與個資保護

  • DIGITIMES企劃

企業建置電子郵件管理系統,需顧大容量及低成本的目標。DIGITIMES攝
企業建置電子郵件管理系統,需顧大容量及低成本的目標。DIGITIMES攝

電子郵件早已取代紙本郵件或傳真,成為許多企業傳送重要文件或資訊的通訊工具,不但可能讓不肖員工易利用電子郵件洩露公司機密,散播不實謠言來損害企業利益,許多重要客戶資料往往也隱含其中,尤其在個資法的規定下,如何一方面確保公司機密不會外洩,卻又不會侵犯客戶或員工重要個資,也成為企業電子郵件的管理重點。

事實上,不僅是國內已經實施的個資法,包括沙賓法案、日本個人情報保護法、BSI7799法規等,許多國家也都已針對企業電子郵件的資訊安全,訂定相關法規,對跨國企業而言,由於電子郵件的流通性極強,就算沒有違反本國的法規,一不小心仍有可能觸犯其他國家的法律規定,不可不慎。

電子郵件保護要做到全自動化

台灣微軟指出,企業對於電子郵件的內部管理稽核需求,主要是稽核管理,包括平常對郵件的稽核要求,或是企業面臨訴訟案件時,能夠在期限內迅速的搜尋調閱出相關的郵件等,對象通常是企業內部的稽核人員。

員工個人郵件管理搜尋,也是企業電子郵件管理的重點。企業可以透過郵件歸檔稽核方案的建置,將員工個人的信件予以儲存備份,除了可免去個人管理郵件的不便與風險外,藉由搜尋引擎更可協助員工迅速地找到需要的郵件。

由於電子郵件數量龐大,電子郵件的自動化管理機制非常重要。企業IT可以透過傳輸規則動作的設定,套用RMS(Rights Management Services)範本到到電子郵件中,如微軟就提出過Windows Rights Management Services,可讓重要的資訊不會因為誤用,或是刻意的偷竊造成企業莫大的損失,但這個方案只能保護微軟本家的產品檔案,像是Word或Excel。

因此,如何讓電子郵件在傳送之後,就能自動受到保護,包括針對電子郵件附件檔案的搜尋及保護,或是透過禁止轉寄的原則套用,讓機密訊息不會流向網際網路,也是電子郵件非常重要的權限規則管理重點。更重要的是,由於行動化趨勢使然,電子郵件的權限規則管理,一定要做到跨越PC、Web Mail及行動裝置等多平台環境。

事前及事後管理都很重要

如果依時間點區分,電子郵件的稽核管理則可分為事前(Pre-Audit)及事後(Post-Audit)兩種。前者主要是針對即時資料稽核,以確保內部資料的安全性與正確性,後者則是針對封存資料稽核,以發覺或追查可疑的事件及人員。

如事前管理方面,可透過郵件提示(MailTips)功能,針對用戶端可透過早期預警系統,提示用戶寄送對象可能有問題,或是提示不能執行的作為,如發送大量使用者或受限制的通訊群組,郵件過大或信箱已滿等問題。對系統而言,郵件提示功能可避免不必要的伺服器負載,還可避免違反行政規定。

而在事後的歸檔及封存方面,企業電子郵件的保留原則,應可做到自動和時間的基準方式,同時要將規則套用至文件夾或項目方式,並在郵件上呈現文件過期日期,以免讓電子郵件因為過期,而影響保留價值。至於合法保存方面,除了保存、刪除和編輯的基本功能外,管理系統也應提供警示功能,提醒使用者特定郵件不能刪除(如處於訴訟保留狀態)。

至於搜尋功能方面,除了應提供簡易的Web郵件搜尋介面,讓使用者可以在跨平台設備執行外,也應讓使用者可以在線上封存信件,或是復原刪除郵件項目,以強化搜尋後的管理功能。

需兼顧大容量及低成本的建置目標

由於依據個資法第30條規定,損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行使而消滅;自損害發生時起,逾五年者,亦同。因此,電子郵件的保留年限,至少兩年,最多五年,也讓企業電子郵件系統的擴增需求不斷擴大,容易形成管理負擔。

因此,企業在建置電子郵件管理系統時,一方面要兼顧大容量需求,但同時也要考慮成本,更要考慮持續可用性,如讓管理人員可以在一般營運的時間下,進行信箱的移轉與維護作業,以免在信箱進行維護時,發生使用者存取中斷的現象,不但可能會影響電子郵件的使用,更可能錯失保留重要電子郵件的可能。