事故から学ぶ

メールによる個人情報流出、原因はDB編集ミス – 阪神タイガース

事故概要

業種 プロ野球
発生時期 2019/02/14
漏えい人数 1,369人
事故概要

プロ野球球団の阪神タイガースは、メール経由で個人情報が流出した問題で、調査結果を公表した。
2月12日14時頃、業務委託先が発送したメールのうち、1,369アドレスにおいて、ご本人以外の個人情報が表示される誤送信が発生した。2月12日14時ごろ、同球団の業務委託先がチケットを案内する1369件のメールを送信したが、受信者とは関係ない個人情報が記載される問題が発生。翌13日に公表し、詳細について調査を進めていた。
同球団によれば、委託先が送信先のデータを編集した際、操作ミスがあったことが判明。氏名や電話番号などの個人情報とメールアドレスでずれが生じ、本来とは異なる個人情報が記載された状態でメールが送信されたという。
今回の問題を受け、同球団では対象となる顧客に対し、電話などで連絡を取り、謝罪を行っている。

引用元 阪神タイガース他

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
22-24 (第22条)委託先の監督 社内規則の整備(外部サービス利用)

チェックリストにある要求ルール:

クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?

■ 推奨対策

対策:

安全標語
外部システムサービスの安全確認よし!

一担当者としてできることは、まずは自分にメールを送信させるなど、テスト者として参加するべきであった。

具体例:

コンピュータシステム会は専門性が高いので「業務担当者は門外漢」という風潮があるが、業務を進めるためのシステムなので、テストの結果が正しいかを見極めることは、実は業務担当者しかできないものである。
システム担当者やシステム会社にまかせっきりにせず、ユーザテストと言われるものにも積極的に参加しなければならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。