事故から学ぶ

TOP > 事故から学ぶ > ToとBcc, ダブルチェック欠如, メール誤送信抑止システムの運用間違い, 教育不足, 監視体制の不備 > セミナー案内メール誤送信 – エフティグループ

2019/03/15

セミナー案内メール誤送信 – エフティグループ

事故概要

業種	エフティグループ　セミナー主催
発生時期	2019/1/15
漏えい人数	296人
事故概要	エフティグループは、セミナーを案内するメールにおいて誤送信が発生し、顧客のメールアドレスが流出したことを明らかにした。同社によれば、1月15日15時ごろに送信したセミナー「公的支援制度活用勉強会」について案内するメールにおいて誤送信が発生したもの。担当者のミスにより、氏名やメールアドレス、会社名など個人情報296人分が受信者間で閲覧できる状態で送信された。同社では、同月16日に対象となる顧客へ謝罪。あわせて誤送信したメールの削除を依頼している。
引用元	Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード：
20-8 （第20条）安全管理措置パソコン利用教育(メール誤送信防止）

チェックリストにある要求ルール：

電子メールを送る前に目視にて送信アドレスを確認する、自分以外の人に確認をしてもらう。複数の相手先への送信時はTOではなくBCCを使用していますか？

■ 推奨対策

対策：

メール作成送信手順書の徹底と、送信前のダブルチェックを徹底させること（2名以上の相手先に対し、Toでメールを送ると個人情報漏えいに結びつくことをしつこく徹底的に教え込むこと）
導入済みのメール誤送信抑止システム（送信先が本市以外である送信メールについて、その配信を一時保留し、Web画面操作により内容を再度確認し、その上で保留を解除する作業を行うことによりメールが改めて送信できる仕組み）で、何を確認するのか、どういう条件なら送信して良いのかを口頭試験も含めて徹底教育すること。

具体例：

個人情報の適正な取扱い及び電子メールの適切な利用に対する徹底教育を行うこと。まずは2名以上の相手先に対し、Toでメールを送ると個人情報漏えいに結びつくことをしつこく徹底的に教え込むことである。
さらにメール送信時等における個人情報の取扱い（本文に個人情報を書かない、個人情報が入ったファイルを添付するときは暗号化する等）に関する研修を行い、ダブルチェックによる送信先の確認をする運用体制を作ること。
ダブルチェックで見逃した場合は、ダブルチェックをした者も同罪になることを強く認識させること。
導入済みのメール誤送信抑止システムにおける再確認する意味を強く認識させること。