事故から学ぶ

当選者3人の個人情報漏えい 三重県観光連盟、メール送信ミスで

事故概要

業種 三重県観光連盟
発生時期 2020/03/10
漏えい人数 3人
事故概要

三重県観光連盟は21日、観光キャンペーンのプレゼント当選者に対する電子メールの送信方法を誤り、当選者のうち3人の個人情報が他の当選者に漏れたと発表した。「個人情報の悪用はない」としている。
連盟によると、送信ミスは、県から受託した「スマホでみえ得キャンペーン」の当選通知で発生。担当者が10日、「Wチャンス賞」に選ばれた91人に、当選を知らせる電子メールを一斉送信した。
このメールに対し、当選者のうち1人が返信したところ、氏名や住所が他の当選者らに一斉送信された。さらに、他の当選者2人も返信し、メールアドレスなどが他の当選者に送信されてしまった。担当者が設定を誤って一斉送信したことが漏えいの原因。返信を受け取ったことをきっかけに漏えいが発覚した。当選者に電話やメールで謝罪し、3人の個人情報が記されたメールの削除を依頼した。
連盟は「メールに返信があるとは想定していなかった」と説明。「一斉送信のメールに対する返信が情報漏えいにつながらない設定にするよう徹底するなど、再発防止に努める」としている。

引用元 伊勢新聞社

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-8(第20条)安全管理措置 パソコン利用教育(誤送信防止)

チェックリストにある要求ルール:

重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?
宛先の送信ミスを防ぐ仕組みを徹底していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?

■ 推奨対策

対策:

メール送信時のアドレス設定を誤り、2重に漏えい事故を引き起こした事故である。
一度目はBCCにアドレスをセットせず一斉送信したため、宛先全員のアドレスが漏えいしたこと。二度目は一斉メールを受信した人が、メール本文に従い自分の個人情報を記載して全員に返信操作をしたことにより、返信した人の個人情報が宛先全員に漏えいしたこと。
きっかけを作った1度目のメール誤送信が主因である。

具体例:

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。