メールの安全な使い方

(1) なぜ「メール」か情報漏えいの防止を考えた場合、まず注目するべきは電子メールである。現在、インターネットを利用した業務上の連絡ツールとしては、メールの他、SlackやChatworkなどのサービスを利用することが多い。これらのサービスは、あらかじめ絞ったメンバーとチャットやファイルの送受信をするサービスであり、部外者に誤送信をするということは少ない。社内やそれに準じる組織あるいは継続的に取引がある相手方であれば、Slackなどのツールで連絡を取り合うこともあろう。そうすれば、基本的に情報漏えいの可能性はかなり下げることができる。しかし、1〜2回しか取引をしない相手方、あるいは、BtoC企業において個人の消費者に「これから〇〇というアプリにインストールして、会員登録をしてください」というのは、なかなか難しい。したがって、外部への連絡、つまり誤送信すると情報漏えいにつながりかねない連絡についてはメールにより行う、ということが通常となる。メールであれば、今や誰でも持っており、相手が事業者であれば、各従業員に電子メールアドレスが割り振られているのが通常である。消費者であっても、同様に電子メールアドレスを持っている。Slack等が普及した今日においても、電子メールはいまだに現役で、誰でも使っている、使える連絡システムとして、企業が用いる連絡手段としてはまだまだ主流である。そのため、メールはまだまだ連絡に用いることが多い。一方で、情報漏えいのための特段の対策がなされていない（上記のサービスのように招待制であるなどの仕組みがない）ため、その観点からは、最も対策を要するべき分野である。筆者の経験上、弁護士業務においても、電子メールは活用されており、弁護士と依頼者とのやりとりだけではなく、弁護士同士の情報交換にも活用されている。その中で、定期的に、依頼者とのやりとりをメールソフト等に誤送信するという事故が起きている。それを見て、もし自分が同じ事故を起こしたらどうなるのかと、肝を冷やすことは多々ある。(2) アドレスはすべて登録するメールの安全な使い方の一丁目一番地は、送信先アドレスは全部登録しておく、ということである。もちろん、1回限りのやりとりについては、すべて登録するのはあまりに手間である。このことは、上記(2)の簡単に実行できるものであるべきというルール設定の原則にも反する。そこで、せめて継続的にやりとりする連絡先や重要な連絡先だけでも、アドレス帳に登録することを義務づけるべきである。ほとんどのメールソフト（メールの受信や閲覧を行うソフトウェア）には、アドレス帳の機能がついている。そして、メールアドレスを入力するときには、アドレス帳に登録されているアドレスを照合して、候補として表示してくれる。これで、打ち間違いを防ぐことも可能である。たとえば、「yamada.taro@atlaw.jp」に対してメールを送信する場合、「yama」あたりまで入力した時点で、候補として表示され、それを選択することで、「yamadataro@atlaw.jp」まで一気に入力できる、というような仕組みである。具体的なルールとしては、「継続的にやりとりをする相手の電子メールアドレスは、すべてアドレス帳に登録をしなければならない。送信」ではなくて新規作成して電子メールを送信するときは、アドレス帳に登録されていない電子メールアドレスに送信をしてはいけない」という定めが考えられる。なお、「返信」については、本節(4)で詳しく解説する。(3)「手打ち」メールアドレスに秘密情報送信は厳禁名刺に記載されたメールアドレスや、申込用紙等に記載されているメールアドレスにメールを送信する場合、当然であるが、そのアドレスを入力して送信をする、ということになる。このような場合、いきなりそのアドレスに秘密の情報を含む内容のメールを送信してはならない。メールアドレスの打ち込みは、打ち間違いをするものである。メールアドレスに限らず、自分が書いた文章の誤字脱字は、自分自身では気づくことは難しく、筆者も経験している。たとえば裁判所に提出する書面については、誤字脱字を入念にチェックした上で提出している弁護士に見てもらっても「誤字があった」とわかることがしばしばある。書籍の執筆も同様で、校閲段階で「誰が書いたんだ？」と思いたくなるほど未熟な文章があることに気づくのも日常茶飯事である。特にメールアドレスは、同じアドレスを取得できない、同姓同名の衝突などの問題から、記号や数字が入っていることが珍しくない。「i（アイ）」とか「1（イチ）」や「l（エル）」を混同した経験のある方も少なくないだろう。したがって、登録していない、あるいは「送信」機能以外で、つまり電子メールアドレスを手入力することがある場合、絶対に秘密情報を送ってはいけない。テスト送信を実施するべきである。特に、個人の顧客相手にはその人の秘密情報である場合には、事故が起こりやすい。たとえば、顧客が会社のメールであれば、その専用のドメインのメールアドレス（例にyamada.taro@chuokeizai.co.jp）があることが多く、この場合は、アドレスを多少間違えても、エラーメッセージが送信され、情報漏えいにつながらないことが多いが期待できる。一方、個人の顧客の場合、自分のドメインを取得している場合が珍しく、GmailやiCloudなどのメールサービスのデフォルトのドメインを利用しているケースがほとんどである。このようなメールサービスでは、同じドメインを無数のユーザーで使うため、ユーザー名（＠の左側の部分）が重複することが多い。そこで、数字などを加えることで、衝突を回避することがたびたびある。たとえば、「yamada.taro」などは、先に登録されているので、「yamada.taro12」とか「yamada.taro1990」などである。顧客が会社（組織）の場合、「yamadataro」さんはいても「yamadataro12」さんはいないので誤送信にならないが、個人の場合はそうではない。また、仮に似たアドレスが存在した場合、A社の山田太郎さんと間違えて、同じ会社の山田二郎さんに届いたという問題にとどまることがある。しかし、個人の場合は、同じドメインを無数の他人が利用している。会社の場合は、「yamada.taro」さんも「yamanaka.taro」さんも同じ会社にいるのであまり大きな問題になりにくいが、個人の利用するメールサービスであると、この両者は全くの他人になるため、大事故につながり得る。したがって、上記の重複を避けるために入れた数字を1つ間違える、打ち飛ばしてしまうなどで、たちまちの他人に秘密情報の入ったメールが届くことにつながりかねない。メールアドレスの手入力は、特に個人の顧客に対してメールを送信するときは、かなり危険な行為なのである。そのため、手入力したアドレスは必ずテスト送信を経てから秘密情報の送信に使うべきである。なお、テスト送信の具体的な方法であるが、筆者は次のような方法を用いている。まず、相手先の名前を一部（法人名や姓を除いた苗字）だけ入れて、テスト送信であるとの旨を記載してメール送信する。その後、送信メールが届いたら、その署名でフルネーム、法人名を確認するという方法をとっている。個人の場合、最近はLINEなどのメッセージアプリの普及で、メールを送信する習慣がない、署名を作成しない、ということもある。さほど多くはないが、署名がなかった場合は、改めてフルネームを尋ねるということになる。具体的なメールとしては、「手入力したメールアドレスについては、必ず、テスト送信をしてからメールを送信しなければいけない。テスト送信においては、相手先の苗字のみを入れて送信し、それへの返信でフルネームを確認する方法による」という定めが考えられる。コラム5 もうやめよう PPAPPPAPという言葉をご存じだろうか。あの有名な流行語のほうではない。セキュリティに関する用語である。実は筆者も最近知った言葉であるが、知らなくても、経験したことはいくらでもあると思う。これは、一般財団法人日本情報経済社会推進協会の太専司が提唱した言葉である。その意味は、P：パスワード付きのZIPファイルを送信します。P：パスワードを送信します。A：暗号化P：プロトコルの略である。なお、プロトコル（protocol）とは、本来は外交儀礼という意味であるが、コンピュータの世界では、通信のやりとりにおいて用いられる方式、作法をいう。読者も一度は経験したことがあると思うが、ZIPファイルの送信を受け、その後に、そのパスワードを別メールでもらう、というものである。情報漏えいの防止のための方法であるとのことであるが、そもそも、同じメールアドレス（宛先）に同じメールアドレスに（送信元）にパスワードが記載されているのである。誤送信であれば、同じところに誤送信を2回繰り返すだけであり、ほとんど意味がない。もっとも、ZIPファイルそのものはパスワードを付けて暗号化されている。したがって、このZIPファイルが何らかの原因で漏えいした場合、パスワードがないと閲覧ができないのだから、そのような意味（ZIPファイルだけ漏えいした場合）では、情報漏えい対策について一定の効果はあるかもしれない。ただ、「大事なものだから金庫に入れて送ります、鍵については、別便で同じ住所に送ります」というものに近い。送り先が間違っていた場合、その間違った送信先に最も届くので、暗号化したZIPファイルは、ウイルス対策ソフトが読み取ることができないので、ウイルスチェックをすり抜けてしまう、という問題もある。なにより、受信者にとっては手間である。セキュリティ対策に手間がかかるのはやむを得ないことであるが、上記のとおり、あまり意味がないことに手間をかけるのはもったいない。仮に、PPAPをセキュリティ対策として有効なものとするのであれば、別ルート、FAX、手紙、電話、SNSでパスワードを送るなどの工夫が必要であろう。それにかなりの手間になる。また、PPAPは、非常に弱いパスワードを設定することもしばしばある。そして、暗号化ZIPファイルについては、パスワードを解読するソフトウェアが配布されている。暗号化ZIPファイルに限らないが、パスワードの解読にあたっては、「ブルートフォース」という手法が用いられる。これは、総当たり攻撃という意味であり、「あらゆる文字列の組み合わせをパスワードに叩き当たるまで入力する」という解読方法である。自転車などの鍵について、4桁の数字を組み合わせるものであれば、0000〜9999まで、当たるまで全部、回していく、というのデジタル版である。この場合、弱いパスワードを入れることの手間を避けるためか、通常、数字や、数文字に設定されることが多い。そして、暗号化ZIPファイルも、上記のブルートフォースで解読を試みるソフトウェアが一般に配布されている。ブルートフォースで解読を突破するのに要する時間であるが、パスワードの長さ、複雑さに比例する。PPAPで一般に用いられるような弱いパスワードであれば、さほど時間をかけずに解読されてしまうことが想定される。したがって、本当に解読されてしまうような場合、PPAPのZIPファイルは、ほとんど無力であるといえる。PPAPは効果がないだけでなくて、手間もかかる。手間は有限であるから、その時間を他の業務か、あるいは情報漏えい対策の時間に充てたほうが合理的である。(4) とにかく「返信」メールを送信するときは、とにかく「返信」機能を使うことが重要である。メーラーには、メールを読む画面に「返信」というボタンを用意してあることが通常である。これは、メールを送ってきた人（送信元）を宛先に入力するなどの定型であるので、これであれば、誤送信をすることがない。また、送られてきたメール（送信元）を宛先に入力するなどであるので、これであれば、誤送信ではないが、誤って別人を宛先として、返信するメールを作成する、という機能である。また、メールは、宛先に、「To」といって、本来の宛先だけではなく、「CC」といって、同報する（同じ内容を同時に送る）機能もある。CCとは、カーボンコピーの略である。昔、タイプライターで書類を作っていた時代に、紙との間に炭素を塗ったカーボン紙というものを挟んで、同時に2通同じ書類を作ることがあった。それにちなんだものである。さて、メールの送信者が、CCで他の人も指定している場合、そのメールについては、CCで指定された人にも知らせたい、ということである。この場合、通常は「返信」すると、送信者としか送信されないので、CC欄の宛先を含めて返信をする場合には、「全員に返信」という機能も用意されていることが多い。それでは、なぜ「全員に返信」機能を使うべきなのか、話が戻ると、事故防止にとても有効であるからである。「返信」機能を利用した場合、原理的に、①そもそも受け取ったメールが誤送信であるか、②送信者がCC先を間違えている、のどちらかでないと、誤送信は基本的に起き得ない。問題については、全然知らない、関係のないメールが届くというもので、①については、送信前に気がつく、というより誤送信しないと「間違っていますよ」と教える程度）の問題になる。問題は、②についてであるが、メールのやりとりの最初の段階で、仮にCC先に知らないメールアドレスが入っていないか、確認しておくことが望ましい。ただし、CCは、先方がどの範囲で情報共有を希望するかといった、相手先の事情の問題なので、こちらで確認することには限度があるだろう。また、そもそも、CCの指定は、相手方の責任で行っているものでもある。いずれにせよ、責任問題ではなく、「返信」機能を使った場合、ミスが起きにくいというだけでなくて、受信側に基本的に一切責任が生じない、というメリットもある。なお、ほとんどのメーラーには、相手方のメールの本文を全部引用して末尾に付ける、という機能がある。この機能を利用すると、メールのやりとりを何度も続けて長文になり、見づらい、コンピュータの動作が重くなる、ということもあるかもしれない。それでも、新たなメールを作成し直したくなる気持ちもわかるが、これも不適切である。なぜなら、新しくメールを作成すると、新たに「To」や「CC」を入力することになる。そうすると、その過程でまた打ち間違いが発生する可能性があるからである。もし、メール文が長くなりすぎて、これを短く（削除）したいのであれば、「返信」機能を使って、送信メールの作成画面に遷移したら、末尾の引用部分を手動で削除するべきである。また、相手のメールに返信するのではなくて、過去にメールのやりとりをしていた人に対して、別件（新作）でメールを送信したい、というケースでも、返信機能を使うべきである。具体的には、メーラーには、過去に送受信したメールの検索機能があるので、これを利用する。送りたい人の名前で検索して、過去のメールのやりとりを見つけ出し、そのメールへの「返信」機能でメールを作成する。そのときにメールのタイトルと本文は削除して作り直す、という手順である。「返信」は、原理的にメールアドレスを打ち間違えるリスクがない。また、その送信元のメールを見ることで、送信先として間違いないかを確認することができる。たとえば、同姓同名の山田太郎さんが2人いたとしても、鋼材の発注元の会社の山田さんと、銀行の山田さんとでは、メールの内容が全く異なるので、混同して誤送信することもない。すでに施行されている方からすれば、「何を当たり前のことを語っているのか？」と思われるかもしれない。実際に情報漏えい事件の相談等を受けている立場からすると、事件は、このような基本すらできていない、怠っている場合に発生するものである。通常、情報漏えいをはじめとするネットトラブルを防止すべき立場にある（つまり、本書を手に取っている方々）は、ネットリテラシーが平均よりはるかに高い。しかし、職場の他の人は必ずしもそうではない。自分を基準にして「これくらいは言わなくても……」は禁物である。2(2)で述べたように、誰でもわかる、使える、実践できるルールが重要である。さて、本件について、具体的なルールとしては、次のようなものが考えられる。すなわち、「電子メールの送信においては、可能な限り『返信』もしくは『全員に返信』機能を使って送信をしなければならない。過去にやりとりをした相手方への送信についても、可能な限り検索機能を使って過去の電子メールへの『返信』を行う形式で行わなければならない。」という内容が考えられる。なお、「可能な限り」という表現は不明確なように思える。もっとも、過去にやりとりをしたものをそもそも検索で見つけられないことはあるし、あまり難しいことを強いるべきではない。もっとも、「返信」機能を使いメールを作成することは、アドレス帳から選ぶ、メールアドレスを手入力するよりはるかに簡単なので、従業員も励行しやすいはずである。(5) タイトルにも一工夫をいくらメールの送信において「返信」機能の利用を励行していたとしても、そもそも、送信先を間違えてしまえば、元も子もない。また、似たような複数の案件（取引）を並行して取り扱うことはしばしばあり、たとえば、A社との取引、B社との取引がそれぞれ並行して動いている場合、Aからのメールについて、Bからのメールと勘違いして、B向けの返信を送ってしまう、ということも十分にあり得ることである（筆者も、そのような情報漏えいの相談を受けたことがあるが、メールを見比べると、これは混同しても仕方がないな、と思うほど似たような内容であった）。筆者の弁護士としての経験でもあるが、メール（フォーム）で問い合わせを受けた場合、「お問い合わせについて」「お見積もりの件について」というようなメールタイトルにすると、長々と同タイトルにのメールが並ぶことになる。たとえば、筆者の場合、取扱案件の性質上当然ネットトラブルであるので、これこそ、似たような問い合わせがひたすら並ぶことになる。それらの違いは、当事者と投稿内容程度、ということになる。気をつけないと、非常にセンシティブな情報を第三者に伝えてしまう事故が起こりかねない。なお、もちろん、メールの一覧には、差出人の氏名が表示される。そのため、まさか間違うわけないだろうとも思える。しかし、意外と氏名、名称の違いというのは気付かないことが多い。そして、業務用上利用しているメールであれば、差出人の氏名が設定されていることがあるが、個人で使っているメールアドレスには、その設定がないことがある。そうなると、ニックネームであったり、特に意味のない英字の羅列が表示されたりして、区別が難しいことも多い。したがって、可能な限り、タイトルに当事者名を入れるとよい。また、タイトルが長くなってしまうという問題もあるが、こちらの名前も入れると親切である。たとえば、「【山田太郎様】ご依頼の件について（弁護士〇〇）」というようなタイトルである。これであれば、先の鋼材の件と混同してしまって送ってしまうリスクは低くなる。また、似たようなタイトル、似たような名前、アドレスについて、誤送信防止のために、何度も確認する手間を節約することにもできる。繰り返しになるが、面倒ではない、わかりやすいルールを作ることが何よりも大事である。簡単にできて、わかりやすくないと、遵守しにくくなり、それがルール無視、そしてそこからの事故につながるからである。メールタイトルに関して具体的なルールとしては、次のような定めが考えられる。「電子メールの表題の作成にあたっては送信先の氏名又は名称を含めなければならない。」(6) メールは保存しておこう情報漏えい防止というよりも、社内の情報共有、不祥事や顧客からのクレーム対策が主目的であるが、メールの保存は慣行するべきである。もちろん、すべてのメールを保存するのは手間であるので、ある程度大事なメールに限って、ということになる。なお、メールの受信には、POP3 (Post Office Protocol 3)と、IMAP4 (Internet Message Access Protocol 4)という2つのプロトコル（通信方式の規格）がある。前者は、古くから使われているものであり、メールサーバ（メールサービスを提供しているコンピュータ）から、受信したメールをダウンロードし、ユーザーの端末に保存する、そのメールは削除（一定期間を置く場合もある）するというものである。後者は、メールサーバ上に利用者の端末の状況を同期させる、メールをダウンロードするが、削除については明示的に操作しないと行われない、というものである。ウェブ上で提供されるメールサービスのように、いつでもどこでも、同じサービス提供元のメールボックスを閲覧・操作するものである。前者はついては端末にダウンロードされれば、いつかはメールは削除される運命である。端末から削除してしまえば、そのメールは完全に削除されたということになる。また、後者については、そのようなことはないが、メールボックスの容量は有限であるので、いつかは削除されることも想定しないといけない。加えて、いずれにせよ、過失などでメールアカウントが廃止された場合、そのメールは閲覧できなくなる、ということになる。したがって、メールの保存については依存しておく必要がある。また、メールの保存は連絡の記録のためだけではなく、取引（案件）の処理状況を明らかにして、情報共有をし、取引先・消費者との円滑な関係を築くためにも重要である。たとえば、クラウドで案件（顧客）ごとにフォルダを分けている場合、そのフォルダに日付を記載したファイル名でメールを保存しておけば、進捗を容易に把握することができる。以下のような形式で保存しておけば、第三者が見ても進捗を容易に把握することができるので便利である。20230319 問い合わせ .pdf20230320 返信 .pdf20230322 要件の聞き取り .pdf20230323 見積りの提案 .pdf20230324 質問への対応 .pdf20230326 受注 .pdfなお、筆者も、弁護士業務において励行していることであるが、事件の進捗があると、細かいことでも、なるべくメールで依頼者に報告をし、かつ、その報告メールをファイルで保存しておくことにしている。こうすると、進捗状況に関するメモを依頼者への報告を兼用することができて合理的である。また、何より、上記のように進捗状況を一見して把握することができる。また、記録を残しておくことで、顧客とのトラブルを防止することもでき、不祥事防止、あるいは、不祥事が起きた場合の合理的な対応も行うことができる。顧客とのやりとりだけではなく、社内のやりとりについても、重要なものを保存しておけば、インターネット上においてデマによる中傷被害を受けた場合に発信者情報開示請求が認められやすくなる（前著『インターネット・SNSトラブルの法務対応』で触れたが、社内資料でも業務の過程で作成したものは、裁判上、有力な証拠になる）。さて、具体的な保存方法であるが、ほとんどのメーラーには、メールの「印刷」機能が備わっている。さらに、印刷といっても紙ではなく、PDFについて出力（PDF 出力）を、選べば、物理的にプリントアウトするのではなく、PDFファイルで保存することができる。このように保存したメールは、裁判でもたびたび証拠として提出されており、訴訟の帰趨を決めることもある。前述したように、ネットトラブルの裁判において、一定の情報共有、指導をしていた事実を証明することができれば、それは非常に有利な要素になるので、業務の円滑化、苦情防止の観点だけではなく、紛争対応の立場からも、励行するべきである。(7) 安全な通信方法電子メールは、インターネットでも初期に考案されたシステムである。たとえば、前述のPOP3の最初のバージョンであるPOPが策定されたのは、1984（昭和59）年のことである。当時は、今日ほどセキュリティや通信傍受について配慮されておらず、通信は、平文（暗号化されていないデータのこと）で行うことが通常であった。通常、インターネットの通信は有線であれば傍受のリスクは少ない。また、無線LANであっても、ほとんど暗号化されており、暗号化されていない無線LANは珍しい。もっとも、最近はテザリングが普及し、かつ、家庭の無線LANの中には、暗号化されていなかったり、あるいは、暗号化してあっても古い規格に解読されているものもあったりすることもある。無線LANの暗号化には、かつて、WEP (Wired Equivalent Privacy) という方式が用いられていた。これについては、脆弱性が見出され、簡単に解読されてしまうことが知られている。現在は、WPA (Wi-Fi Protected Access)ないし後継のWPA2が主流である。WEPは、不正アクセスの被害が相次いでいるので、仮にまだ使用しているのであれば、ただちにルーターの設定を変更するべきである。また、無線のLANサービスが普及しているところ、こうしたサービスは暗号化されていない場合もある。接続している無線LANについて、暗号化されている・されていないや解読された場合、傍受されるリスクが生じる。最近は、メールの送受信については、暗号化されたプロトコルが標準で、ウェブサイトについても同様であるが、用心に越したことはない。特に、筆者の経験上、WEPの解読の問題は深刻である。解読されると、偽って情報漏えいのリスクが生じるだけではなく、接続されて無断で自己の契約しているインターネット回線が利用されてしまうという問題が生じる。そして、誹謗中傷や脅迫などの投稿に利用された場合、投稿者として責任を追及されて犯罪に巻き込まれることもある。極端なことを言えば、自分の回線を無断で犯行予告に使われて、誤認逮捕されてしまうリスクもないではない。不正アクセスの被害に遭うというのは、全く別の世界の話題と思われているかもしれない。ただ、このWEPの問題はかなり深刻で、まだまだ現役で利用されているケースも多い。筆者の経験上も、身に覚えのない投稿について責任追及されているという相談の中で、このWEPの問題が相当割合を占める。そして、暗号が解読されたせいであり、責任はない、ということが認められた場合もあるが、基本的に裁判所にそのような理屈を認めてもらうのは相当に難しい。したがって、パソコンなどのデバイスを自宅に持ち帰り、仕事をする可能性に場合には、以下のようなルールを設定するべきである。「暗号化（ただし、WEP 形式を除く）されたWi-Fiでなければ、業務用の端末や、業務用のデータが格納された端末を接続してはならない。」(8) 標的型攻撃メールに注意コンピュータウィルスとは、悪意をもって作成されたソフトウェアの一種で、利用者の想定しない有害な、たとえばデータの削除や、漏えい等の動作をさせるものをいう。自身の所有するデータのコピーが添付されたメールを勝手に送信する、接続されているストレージに自身の所有するデータをコピーして格納するなど、自然界のウィルスのように感染してそれを広げる振る舞いをするので、「ウィルス」という名前が付けられている。ひと昔前は、様々なものが流行していたが、最近は全くなくなったということではなく、減少したといわれる。これは、ワクチンソフト（コンピュータウィルスを検出、除去するソフトウェア）の普及が、OSそのものにワクチンソフトの機能が備え付けられたことなどが要因かと思われる。しかしながら、それでも検出が大変なりながらのが、「標的型攻撃メール」である。これは、特定の組織を標的として、コンピュータウィルスを添付したメールを送信し、それを開封、実行させることで、デバイスに感染させ、主にデータを盗み取るために使われる。コンピュータウィルス付きのメールというのは古くからあるもので、読者も受け取ったことがあるだろう。昔のだが、英語だったり、やけに怪しい内容だったり、「見てください！」「助けてください！」などの、あからさまに怪しいものがほとんどである。そうなると、添付ファイルを開くことは想定しがたい。しかしながら、標的型攻撃メールは、特定の組織を標的としているので、その組織に「あったこと」メールを送信してくる。「見てください！」だったら無視することもできるが、たとえば、「弊社製品〇〇について」などというタイトルで、欠陥情報のような内容で、添付ファイルが「詳細内容」であったら、思わず開封してしまうこともあろう。見ず知らずの他人が作ったメールであったり、あるいは、自分への人事評価であったり、とにかく見ずにはいられないようなタイトル、文面にすることが通常である。また、その標的に合わせたオリジナルのコンピュータウィルスを作成することが通常であるので、市販の対策ソフトが検出できないこともあるのも、厄介である。基本的に、メールを開いただけでは、コンピュータウィルスに感染させられているかを知ることは難しい。ただ、添付ファイルを開いた場合、それが悪意のあるソフトウェアであると、ウィルスに感染し、データ破壊や漏えいにつながることになる。もっとも、標的型攻撃メールが特定組織を狙ったものであるといっても、自身のメールのやりとりをのぞき見ているわけではない。あくまでも、業種等から興味を引きそうなメール文面を作成して送っているだけである。したがって、よく知らない送信者であったり、あるいは、送信者の所属組織は知っていても、知らない名前の人であったり、前後の脈絡がつながらなかったりなど、そのような不審点には気がつくことができる。標的型攻撃メールについて何かルールを定めることは難しいが、留意点として、次のようなものが挙げられる。① 突如として大事な話題に関するメールが送られてきている。② 見知らぬ組織、あるいは、所属名は知っていても、その個人名は知らない人である。③ メールの署名（メール末尾に記載する所属と氏名を記載した部分）がない、あるいは、普段、その組織・人が使っているものと違うものである。④ 添付ファイルがあるが、メール本文に詳しい説明がない。⑤ 誤送信メールである（間違って秘密情報を送ったように見せかけて、興味を引こうとする手口は多い）。法的な対策として、標的型攻撃メールを完全に防御することは難しい。したがって、これが原因で情報漏えいをした場合、法的な責任が求められるも要件である故意（わざと）か、過失（落ち度）かを認定することは難しいという指摘もあるだろう。ただ、それでも標的型攻撃メールについては、総務省も注意喚起をしており、防ごうと思えば防げたわけであるため、結局は情報漏えい者の責任が認められる可能性が高いと思われる。