事故から学ぶ

分科会委員へのメールで送信ミス – 港区

事故概要

業種 東京都港区 地方自治体
発生時期 2019/07/3
漏えい人数 31人
事故概要

麻布地区総合支所協働推進課で、区民参画組織麻布を語る会「麻布地区政策分科会」(以下「分科会」という。)複数の委員に対し、電子メールを送信する際、BCCで送信するべきところTOで電子メール送信し、他の方にもメールアドレスが読み取れる形となり、個人情報を漏えいさせた。
送信前の職員間チェックをせずに送信し翌日の朝、他の職員の事後確認によりメール送信時の誤りが判明しましたもの。
メール送信人数は31名とのこと。
再発防止策として、区は、メール送信時には送信先及び送信方法を他の職員と確認し合うルールを徹底するとともに、改めて協働推進課の全職員を対象に、個人情報保護研修を行います。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-8 (第20条)安全管理措置 パソコン利用教育(誤送信防止)

チェックリストにある要求ルール:

重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?
FAX送信時には相手先電話番号を確認するなどのように、宛先の送信ミスを防ぐ仕組みを徹底していますか?

■ 推奨対策

対策:

安全標語
メール送信先アドレス確認よし!
BCC送信確認よし!

ルールはあるし後続処理では確認が入っているので、ルールに対する教育もルール順守も徹底しているように見える。
となると、この原因はヒューマンエラーが主因となる。
ヒューマンエラー防止策はいくつもあるが、最終的には作業者本人の注意意識に帰結してしまうため、意識の維持が問題となる。
今回の例は、ダブルチェックが為されなかったことが原因であるが、なぜダブルチェックが必要なのかまでが理解されていない。目で確認するだけだと脳への刺激が足りず不十分だからである。
他人とのダブルチェックを意識することにより、より多くの器官を活用し、意識を覚醒し、集中力や注意力を向上させるわけである。単独チェック時に、指さし確認、声出し確認などを行うのは、同じ理由で体を使った行動とセットにして確認しているのである。

加えて下記の対策も有効である。

作業手順書、マニュアル、管理体制、監査体制の強化が必要である。
メール作成送信手順書の徹底と、送信前のダブルチェックを徹底させること(2名以上の相手先に対し、Toでメールを送ると個人情報漏えいに結びつくことをしつこく徹底的に教え込むこと)
導入済みのメール誤送信抑止システム(送信先が本市以外である送信メールについて、その配信を一時保留し、Web画面操作により内容を再度確認し、その上で保留を解除する作業を行うことによりメールが改めて送信できる仕組み)で、何を確認するのか、どういう条件なら送信して良いのかを口頭試験も含めて徹底教育すること。

具体例:

この事案で特徴的なのは、翌朝のメール送信の事後チェックで誤送信が発覚した、という点である。
誤送信を防ぐルールはあるが、送信時にそれが守られず、それ以後のプロセスではきちんと運用されている点である。
誰かがルールを守らないと、組織は事故を防げない。一人の手抜きが惨事を招く典型例である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。