事故から学ぶ

TOP > 事故から学ぶ > システム動作確認, 外注管理, 委託管理 > メールによる個人情報流出、原因はDB編集ミス – 阪神タイガース

2019/04/07

メールによる個人情報流出、原因はDB編集ミス – 阪神タイガース

事故概要

業種	プロ野球
発生時期	2019/02/14
漏えい人数	1,369人
事故概要	プロ野球球団の阪神タイガースは、メール経由で個人情報が流出した問題で、調査結果を公表した。 2月12日14時頃、業務委託先が発送したメールのうち、1,369アドレスにおいて、ご本人以外の個人情報が表示される誤送信が発生した。2月12日14時ごろ、同球団の業務委託先がチケットを案内する1369件のメールを送信したが、受信者とは関係ない個人情報が記載される問題が発生。翌13日に公表し、詳細について調査を進めていた。同球団によれば、委託先が送信先のデータを編集した際、操作ミスがあったことが判明。氏名や電話番号などの個人情報とメールアドレスでずれが生じ、本来とは異なる個人情報が記載された状態でメールが送信されたという。今回の問題を受け、同球団では対象となる顧客に対し、電話などで連絡を取り、謝罪を行っている。
引用元	阪神タイガース他

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード：
22-24 （第22条）委託先の監督社内規則の整備（外部サービス利用）

チェックリストにある要求ルール：

クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか？
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか？

■ 推奨対策

対策：

安全標語
外部システムサービスの安全確認よし！

一担当者としてできることは、まずは自分にメールを送信させるなど、テスト者として参加するべきであった。

具体例：

コンピュータシステム会は専門性が高いので「業務担当者は門外漢」という風潮があるが、業務を進めるためのシステムなので、テストの結果が正しいかを見極めることは、実は業務担当者しかできないものである。
システム担当者やシステム会社にまかせっきりにせず、ユーザテストと言われるものにも積極的に参加しなければならない。