Outlookのプレビューで訓練メールを読んだかどうかはわかる?それとも、わからない?

訓練メールの「未クリック者」が内容を確認したかを知りたいときに考えるべきこと

標的型攻撃メール訓練を実施した際、訓練メール内のURLリンクをクリックした人の情報はログとして確認できる一方で、クリックしなかった人が「メールを見ていないからクリックしなかった」のか、それとも「見たうえで怪しいと判断してクリックしなかった」のかを区別したいという要望はよく聞かれます。

昔から多い質問のひとつが、

「Outlookのプレビュー画面でメールを読んだかどうか、調べる方法はありますか?」

というものです。

🔍結論:Outlookのプレビュー画面で読まれたかどうかは、基本的に分かりません

技術的な観点からいえば、「Outlookのプレビュー画面で表示された=メールを読んだ」かどうかを正確に判別する方法は存在しません。その理由は、以下の通りです。

● 開封通知の限界

一部のメール送信システムでは「開封トラッキング(開封通知)」の機能がありますが、これはHTMLメールに埋め込まれた画像の読み込みをトリガーとしており、以下のような制約があります。

  • Outlookのセキュリティ設定により画像の自動読み込みが無効になっている場合、トラッキングは発生しません
  • プレビュー画面で本文が一部表示されても、画像が読み込まれなければカウントされません
  • テキスト形式のメールでは開封トラッキング自体が機能しません

つまり、「プレビューで表示されたか」よりも、「トラッキング画像が読み込まれたか」しかわからないのが実情です。

昔はOutlookに画像の読み込みをデフォルトで無効にする機能が無かったので、メールに画像リンクを埋め込んでおくことで、メールが読まれたかどうかを把握することができました。

しかし、これがスパム業者などに悪用され、メールアドレスが有効かどうかを確かめる目的で使用されることが横行したため、そのようなことができないよう、セキュリティ対策として画像の読み込みをデフォルトで不可としたことにより、現在はメールを読んだかどうかを把握することはできなくなっています。

🚨プライバシー的な問題も孕んでいる事に注意する必要があります

法律の専門家ではないので正確なことは申し上げられませんが、受信したメールを社員が読んでいるかどうかを会社がチェックすることは、法律的には問題は無いようです。

しかし、自分がいつ、どのメールを読んでいるか会社からチェックされているというのは、社員本人からすれば、あまり気分の良いものではないでしょう。

訓練を実施した結果として、自分の行動が会社から監視されていると感じ、会社に対して反感を抱くようになれば、社員の士気に影響が出るなど、別の問題が発生してしまうことが想定されます。

人材不足が叫ばれる中、優秀な社員が会社の行動に疑問を感じ、転職してしまうなどの結果に繋がってしまうことは避けたいものです。

訓練を実施する際は、実施する側の都合だけで訓練を設計するのでは無く、訓練を受ける側の社員の感情も考慮に入れて設計することを忘れてはいけません。

🛠対策としてできること

「読んだかどうか」ではなく「見たうえで反応しなかった」ことの判断材料を得るには、次のような工夫が考えられます。

① メール本文の工夫で“見た人”をあぶり出す

  • メールに上長への報告を促す内容を記載してみる(例:「ご確認の上、ご連絡ください」)
  • 特定の画像を読み込ませて開封ログを取得する(ただし前述の通り、確実性は低い)

② 二次調査やアンケート

  • 訓練後のアンケートで「訓練メールを見ましたか?」という設問を入れることで確認
  • 実際に「読んだけれど怪しいと思って無視した」かを自己申告してもらう

③ 継続的な訓練と傾向分析

  • 数回の訓練を通じて特定の社員が一貫してクリックも報告もしない場合、別の形でフォローアップを検討する(例:面談や個別研修)

💡本当に知りたいのは「読んだか」ではなく「気づいたか」

Outlookのプレビュー機能での閲覧有無を正確に把握することは難しいものの、訓練の本質は「リンクをクリックしなかった」ことそのものではなく、「メールが怪しいと判断できたか」という“認知と判断”のプロセスにあります。

したがって、ログで把握できる行動だけでなく、定性的な評価や継続的な傾向把握を組み合わせることが、より効果的な訓練の評価に繋がります。

訓練実施後のアンケートや振り返り、理解度確認テスト、フォローアップ研修など、訓練メールを送信するだけでなく、他の方法と組み合わせて、様々な人に気づきを得てもらう工夫や仕掛けを設けることを考えることが、訓練設計者には求められます。

🛡読まれたかどうかを気にする訓練から、伝わったかどうかを気にする訓練に

訓練の目的は「クリック率をゼロにする」ことではなく、組織としてセキュリティ意識を高める文化を育てることです。見えている数字の奥にある、社員一人ひとりの気づきや変化にもぜひ目を向けてみてください。

これまで、訓練メールを読んだかどうか?リンクをクリックしたかどうか?しか気にしていなかった。ということでしたら、組織としてセキュリティ意識を高めることに繋がっているかどうかを確かめるには?という視点でも、訓練の設計を考えてみていただけたらと思います。

投稿者アバター
キットマスター 標的型攻撃メール対応訓練実施キット開発者
プログラマ、システムエンジニアであり、情報セキュリティの分野では現役の標的型攻撃メール訓練実施担当として10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。
自己紹介の全文を表示