事故から学ぶ

TOP > 事故から学ぶ > ToとBcc, ダブルチェック欠如, メール誤送信抑止システムの運用間違い, 教育不足, 監視体制の不備 > 「天下一音ゲ祭」の出場者向けメールで誤送信

2019/03/27

「天下一音ゲ祭」の出場者向けメールで誤送信

事故概要

業種	イベント業者
発生時期	2019/1/22
漏えい人数	55人
事故概要	音楽を主体としたアーケードゲーム機の全国大会「第五回天下一音ゲ祭」の事務局においてメールの送信ミスが発生し、出場者の氏名やメールアドレスが流出したことがわかった。同大会を主催する日本アミューズメント産業協会によれば、1月22日16時20分ごろ、同大会の事務局を運営する事業者が全国決戦の全出場者へ送信したメールにおいて、送信先55件を宛先に入力したため、受信者間で氏名とメールアドレスが閲覧できる状態となった。事務局では対象となる出場者に対して電話により謝罪したほか、イベント開催当日にも事情を説明し、謝罪。受信したメールを削除するよう協力を求め、賛同を得たという。また個人情報保護委員会より報告を求められ、報告書を提出した。二次被害などの報告も受けていないとしている。
引用元	Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード：
20-8 （第20条）安全管理措置パソコン利用教育(メール誤送信防止）

チェックリストにある要求ルール：

電子メールを送る前に目視にて送信アドレスを確認する、自分以外の人に確認をしてもらう。複数の相手先への送信時はTOではなくBCCを使用していますか？

■ 推奨対策

対策：

作業手順書、マニュアル、管理体制、監査体制の強化が必要である。
メール作成送信手順書の徹底と、送信前のダブルチェックを徹底させること（2名以上の相手先に対し、Toでメールを送ると個人情報漏えいに結びつくことをしつこく徹底的に教え込むこと）
導入済みのメール誤送信抑止システム（送信先が本市以外である送信メールについて、その配信を一時保留し、Web画面操作により内容を再度確認し、その上で保留を解除する作業を行うことによりメールが改めて送信できる仕組み）で、何を確認するのか、どういう条件なら送信して良いのかを口頭試験も含めて徹底教育すること。

具体例：

個人情報の適正な取扱い及び電子メールの適切な利用に対する徹底教育を行うこと。まずは2名以上の相手先に対し、Toでメールを送ると個人情報漏えいに結びつくことをしつこく徹底的に教え込むことである。
さらにメール送信時等における個人情報の取扱い（本文に個人情報を書かない、個人情報が入ったファイルを添付するときは暗号化する等）に関する研修を行い、ダブルチェックによる送信先の確認をする運用体制を作ること。
ダブルチェックで見逃した場合は、ダブルチェックをした者も同罪になることを強く認識させること。
導入済みのメール誤送信抑止システムにおける再確認する意味を強く認識させること。