ในยามนี้ถ้าหากจะถามใครต่อใครหลายๆคนว่ากิจกรรมตอนเช้าที่ที่ทำงานคืออะไรผมเชื่อว่าการเปิด และเช็ค Email เป็นกิจกรรมของใครหลายๆคน จึงปฏิเสธไม่ได้ว่า Email เข้ามามีส่วนร่วมในวิถีการทำงานของเราๆท่านๆ ในมุมมองขององค์กร หรือบริษัทต่างๆ Email ถูกนำมาใช้เป็นเครื่องมือมาตรฐานสำหรับติดต่อสื่อสาร แลกเปลี่ยนข้อมูลในการดำเนินธุรกิจ ด้วยเหตุผลที่ว่า Email มีการใช้งานที่ง่าย, เพิ่มศักยภาพในการติดต่อสื่อสารได้อย่างเหลือเชื่อโดยไม่มีข้อจำกัดด้านระยะทาง IDC เคยประเมินว่าภายในปี 2006 ที่จะถึงนี้จะมีการรับส่ง Email กันถึง 35 ล้านล้านฉบับต่อวัน !!!!
แล้วเคยคิดไหมครับว่าสักวันหนึ่งองค์กรของเราอาจจะได้รับความเสียหาย โดยมีต้นเหตุมาจาก Email ที่เราใช้ๆกันอยู่ ลองคิดดูนะครับถ้ามีใครสักคนในองค์กรกับบุคคลภายนอกลักลอบติดต่อ หรือรับส่งข้อมูลที่เกี่ยวข้องกับผลประโยชน์, ความมั่นคง, ข้อมูลภายใน หรือข้อมูลในทางลับต่างๆขององค์กร และหลังจากได้รับข้อมูลแล้วเค้าเหล่านั้นก็ทำการลบจดหมายที่อาจจะเป็นหลักฐานสำคัญออกจากระบบไป สุดท้ายเมื่อความเสียหายบังเกิดขึ้นเราจะย้อนกลับไปค้นหาหลักฐานเหล่านั้นกลับมาได้อย่างไรในเมื่อจดหมายเหล่านั้นถูกทำลายทิ้งเสียแล้ว
เหตุการณ์ที่ยกตัวอย่างมาไม่ใช้เรื่องที่แต่งขึ้น แต่อยากจะบอกว่าเป็นเรื่องที่เกิดขึ้นจริงในต่างประเทศ และอาจจะเกิดขึ้นกับองค์กรของคุณแล้วโดยที่คุณไม่รู้ตัว เหตุการณ์เหล่านี้กดดันให้องค์กรทางภาครัฐ และเอกชน โดยเฉพาะในสหรัฐอเมริกาต้องออกกฏเกณฑ์ และกฏหมายต่างๆเพื่อควบคุมระบบ Email ขององค์กรต่างๆภายในสหรัฐฯ รวมถึงองค์กรต่างประเทศที่ต้องทำธุรกิจกับสหรัฐฯ ยกตัวอย่างเช่น
• SEC 17a-4 ซึ่งเป็นข้อกำหนดหนึ่งของตลาดหลักทรัพย์สหรัฐฯที่กำหนดให้บริษัทโบรคเกอร์ต่างๆจัดเก็บข้อมูลที่เกี่ยวข้องกับการสื่อสารทั้งภายใน และภายนอกรวมถึงข้อมูลบนระบบ Email เป็นระยะเวลา 3 ปี โดยข้อมูลที่เก็บไว้จะต้องอยู่บนสื่อ หรือมีเดียที่ไม่อนุญาติให้ทำการแก้ไขเปลี่ยนแปลงใดๆทั้งสิ้น
• NASD 3110 ของ National Association of Securities Dealers (NASD) ที่อ้างถึง SEC 17a-4 เพื่อนำมาใช้กับองค์กรที่เป็นสมาชิกของ NASD
• Sarbanes-Oxley Act (SOX) ซึ่งกำหนดให้บริษัทมหาชนที่มีหุ้นกระจายอยู่ในตลาดหลักทรัพย์จะต้องจัดเก็บข้อมูลที่เกี่ยวข้องกับกิจกรรมอันก่อให้เกิดรายรับ และรายจ่ายซึ่งจำเป็นกับการตรวจสอบ โดยรวมถึงข้อมูลของระบบ Email ไว้ไม่น้อยกว่า 7 ปี
• HIPAA (Health Insurance Portability and Accountability Act of 1996) มีกฏหมายข้อหนึ่งที่เกี่ยวข้องกับการจัดเก็บ Email ที่มีข้อมูลทางการแพทย์ต่างๆเอาไว้ไม่น้อยกว่า 6 ปี ซึ่งบังคับใช้กับองค์กรต่างๆที่ข้องเกี่ยวกับกิจกรรมทางการแพทย์ไม่ว่าจะเป็น โรงพยาบาล, คลินิก, บริษัทผลิตจัดจำหน่ายยา และบริษัทประกันชีวิต เป็นต้น
• Telecommunications CFR Title 47, Part 42 ซึ่งเป็นกฏหมายที่ครอบคลุม และใช้กับองค์กรที่ให้บริการด้านการสื่อสาร โดยให้จัดเก็บ Email ที่เกี่ยวข้องกับหลักฐานค่าใช้จ่าย และการชำระเงินของลูกค้า รวมถึงข้อมูลการดำเนินธุรกิจเพื่อประโยชน์ในการตรวจสอบโดยผู้ตรวจสอบ (Auditor)ในภายหลัง
การที่จะให้ระบบ Email ภายในองค์กรปฏิบัติตามกฏเกณฑ์ต่างๆที่กล่าวมานั้นเป็นความรับผิดชอบของเจ้าหน้าที่ด้านกฏหมาย และผู้บริหารในระดับต่างๆที่ต้องกำหนดนโยบายออกมาเพื่อให้สอดรับกับกฏเกณฑ์ที่กล่าวมา แต่หน่วยงานที่จะทำให้ระบบตรวจสอบเหล่านี้เกิดขึ้น และนำมาปฏิบัติได้อย่างจริงจังคงหนีไม่พ้นหน่วยงาน IT (Information Technology) ซึ่งเทคนิคที่นำมาใช้มักจะเกี่ยวข้องกับการทำ Email Archiving ซึ่งจะถูกนำมาใช้ในการทำสำเนาจดหมายที่มีการรับส่งกันในระบบไว้อีกชุด โดยการ Archive ควรจะเป็นแบบ Real Time เพื่อสร้างความมั่นใจว่าจดหมายทุกฉบับที่รับส่งมีการทำสำเนาไว้ และจะต้องไม่อนุญาติให้มีการแก้ไขจดหมายที่ Archive ไว้เพื่อประโยชน์ในการตรวจสอบภายหลัง
คุณสมบัติของระบบ Email Archiving ที่พึงจะต้องมีเพื่อรองรับกฏเกณฑ์ควรจะมีดังนี้
• Email Record Capture จะทำหน้าที่ในการตรวจสอบ และทำสำเนาจดหมายที่มีการรับส่งบนระบบ Email ไปยัง Email Archiving Server แบบ Real Time ทำให้มั่นใจได้ว่าจดหมายทุกฉบับจะมีการส่งไปยังระบบ Archive ก่อนเสมอ
• Email record archiving and retention หลังจากได้รับจดหมายที่ถูกส่งมายัง Email Archiving Server แล้วระบบ Archive จะทำการกลั่นกรอง และเลือกเฉพาะจดหมายฉบับที่ต้องการจะจัดเก็บไว้เท่านั้นเช่นจดหมายที่ถูกส่งออกโดยผู้บริหาร หรือส่งมาให้ผู้บริหาร, จดหมายของผู้ใช้ในแผนกด้านการเงิน หรือจดหมายที่มีข้อความเกี่ยวข้องกับข้อมูลทางด้านสถานะการเงินเป็นต้น หลังจากนั้นระบบ Archive จะถูกจัดเก็บไว้ในช่วงเวลา (Retention Period) ที่ต้องการเช่น 3 ปี, 7ปี เป็นต้น ตามแต่กฏเกณฑ์ที่ถูกบังคับใช้
• Record Storage จดหมายที่ถูก Archive เก็บไว้จะต้องมั่นใจได้ว่าไม่สามารถทำการเปลี่ยนแปลงแก้ไขโดยบุคคลหนึ่งบุคคลใดได้ไม่ว่าจะเป็นการเปลี่ยนแปลงผ่านทางตัวโปรแกรมระบบ Archive หรือจะเป็นการทำลายทิ้งโดยเข้าไปลบจากสื่อที่จัดเก็บระบบจดหมายที่ Archive ไว้โดยตรง ดังนั้นระบบ Archive ที่ใช้จะต้องรองรับการป้องกันเหตุการณ์เหล่านี้ และจะต้องไม่ละเลยถึงสื่อที่นำมาใช้จัดเก็บ และบันทึกจดหมายเหล่านี้ด้วยที่จะต้องรองรับการบันทึกข้อมูลโดยไม่อนุญาติให้ทำการเปลี่ยนแปลงข้อมูลที่บันทึกไปแล้วได้ซึ่งสื่อเหล่านี้มักจะใช้เทคโนโลยีแบบ Write Once Read Many (WORM) หรือ Non-Rewriteable เป็นต้น
• Access and retrieval ระบบ Archive ที่ดีจะต้องตระเตรียมเครื่องมือที่จะช่วยในการสืบค้นจดหมาย และนำจดหมายฉบับที่ต้องการคืนกลับมาได้อย่างสะดวก ซึ่งระบบการสืบค้นควรจะทำได้ทั้งกับข้อความที่อยู่ในจดหมาย และเอกสารแนบ (Attachment) รวมถึงควรจะมีระบบรักษาความปลอดภัย และกำหนดการเข้าถึงระบบ Archive ให้เหมาะสม
• Auditing ระบบ Archive จะต้องมีกลไกในการเก็บประวัติ และเหตุการณ์ต่างๆที่เกิดขึ้นเมื่อมีการเปลี่ยนแปลงแก้ไขค่าต่างๆ
• Supervision สำหรับองค์กรบางองค์กรการ Archive Email เพื่อตรวจสอบภายหลังอาจจะไม่เพียงพอ ยกตัวอย่างเช่นบริษัทโบรคเกอร์ที่อาจต้องการตรวจสอบ และตรวจจับจดหมายที่มีการรับส่ง และมีข้อความ หรือข้อมูลเกี่ยวข้องกับการลงทุน, การเงิน และช้อมูลวงในของบริษัทต่างๆ และถูกส่งออกไปให้กับบุคคลภายนอก ซึ่งต้องการระบบ Archive ที่สามารถแจ้งเตือนให้ผู้ดูแลระบบทำการตรวจสอบจดหมายฉบับนั้นๆทันทีก่อนที่จะเกิดปัญหา หรือความเสียหาย
ทั้งหมดนี้คงพอทำให้เรามองเห็นถึงแนวโน้มการใช้งาน Email ที่เราจะต้องเตรียมองค์กรของเราเพื่อมุ่งไปสู่การเป็นองค์กรที่มีธรรมาภิบาล (Good Governance) โปร่งใส, ตรวจสอบได้กับทั้งคู่ค้า, ลูกค้า และสังคมของเรา
