MailDoc（メールドック）

判断を止めない設計を、メール業務に実装した例

MailDoc は、危険の兆候と理由を提示し、最終判断を人に残します。

前提の設計は/approachにまとめています。

想定業務とスコープ

対象業務

メール受信時の確認判断
添付ファイル／リンクを含む業務メール

対象外（やらないこと）

自動遮断
メールの削除・隔離
送信制御

動作フロー

メールを受信（既存メール基盤は変更しません。自動遮断もしません）
MailDoc がメール内容・構造を解析（自動で止めません）
危険の兆候（Signals）を抽出（自動判定はしません）
兆候ごとに理由（Why）を付与（白黒は断定しません）
UI上に「兆候・理由・証跡」を並べて表示（強制指示はしません）
人が判断（開く／無視／エスカレーション）

表示する情報

必須表示項目

検知された兆候（箇条書き）
各兆候の理由
関連する証跡（ヘッダ要素、URL特性等）
参考観点（確認すべき点）

表示しない情報

危険／安全の断定ラベル
推奨アクションの強制表示

ログ設計

MailDoc は「判断結果」ではなく「判断材料」をログに残します。

timestamp
mail_id
signal_id 群
risk_score / severity
rule_id
policy_version
evidence_hash
user_action（viewed / acknowledged / escalated）
engine_version

後から判断経緯を再構成できます。

運用設計

誤検知はゼロにしません。前提として扱います。

誤検知コストを下げる設計を置きます。

止めない
確認時間を短縮

忙しい時の扱いも、全件精査を前提にしません。

エスカレーション設計で分担できます。

導入形態

既存メールセキュリティと共存します。

MailDoc は判断支援レイヤです。

遮断／隔離の置き換えではありません。

FAQ

自動で止めないのに意味はある？▾

意味は、兆候・理由・証跡を揃える点にあります。

判断は人が行い、経緯はログで再構成できます。

既存のメールセキュリティと何が違う？▾

置き換えではありません。判断支援レイヤです。

遮断・隔離は行わず、判断材料（兆候・理由・証跡）を提示します。

誤検知が多いと逆に大変では？▾

誤検知は前提として扱います。

止めない／確認時間短縮／エスカレーションで運用負荷を制御します。

ログはどこまで残る？▾

timestamp、mail_id、signal_id 群、risk_score、rule_id、policy_version、evidence_hash、user_action、engine_version を残します。

判断材料が残るため、後から経緯を再構成できます。

実運用で誰が見る前提？▾

全件精査は前提にしません。

役割分担とエスカレーションで、見る範囲を固定します。

PoCでは何を確認する？▾

一定期間の運用ログをもとに、誤検知コストと確認時間を確認します。

ログ要素が監査・説明に十分かを確認します。

この前提で、MailDocの導入可否を確認する