事故から学ぶ

TOP > 事故から学ぶ > ToとBcc, ダブルチェック欠如, メール誤送信抑止システムの運用間違い, 教育不足, 監視体制の不備 > ＮＴＴデータ東海が６８０人分の個人情報流出　

2020/01/17

ＮＴＴデータ東海が６８０人分の個人情報流出　

事故概要

業種	通信事業者
発生時期	2020/01/8
漏えい人数	680人
事故概要	情報システム開発を手がけるＮＴＴデータ東海（名古屋市中区）が、取引先など６８０人分の氏名やメールアドレスなどの個人情報を誤って流出させていたことが分かった。同社によると、法人担当部署の社員が８日夜、同社主催のセミナーを案内するメール８通を送信。一斉送信でも他の受信者の情報が非公開となる「ＢＣＣ」に設定しなかったため、最大９８人の企業名と氏名、メールアドレスが見られる状態になっていた。同社は該当者におわびするとともに、削除を依頼している。同社の担当者は取材に「このような事態を招いたことを真摯に受け止め、教育を徹底するなど再発防止に努める」と話した。
引用元	中日新聞

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード：
20-8 （第20条）安全管理措置パソコン利用教育(メール誤送信防止）

チェックリストにある要求ルール：

重要電子メールを送る前には、送信アドレスを再確認していますか？自分以外の人にも確認をしてもらっていますか？
複数の相手先への送信時はTOではなくBCCを使用していますか？

■ 推奨対策

対策：

作業手順書、マニュアル、管理体制、監査体制の強化が必要である。
メール作成送信手順書の徹底と、送信前のダブルチェックを徹底させること（2名以上の相手先に対し、Toでメールを送ると個人情報漏えいに結びつくことをしつこく徹底的に教え込むこと）
導入済みのメール誤送信抑止システム（送信先が本市以外である送信メールについて、その配信を一時保留し、Web画面操作により内容を再度確認し、その上で保留を解除する作業を行うことによりメールが改めて送信できる仕組み）で、何を確認するのか、どういう条件なら送信して良いのかを口頭試験も含めて徹底教育すること。

具体例：

個人情報の適正な取扱い及び電子メールの適切な利用に対する徹底教育を行うこと。まずは2名以上の相手先に対し、Toでメールを送ると個人情報漏えいに結びつくことをしつこく徹底的に教え込むことである。
さらにメール送信時等における個人情報の取扱い（本文に個人情報を書かない、個人情報が入ったファイルを添付するときは暗号化する等）に関する研修を行い、ダブルチェックによる送信先の確認をする運用体制を作ること。
ダブルチェックで見逃した場合は、ダブルチェックをした者も同罪になることを強く認識させること。
導入済みのメール誤送信抑止システムにおける再確認する意味を強く認識させること。