事故から学ぶ

原子力規制庁でメール誤送信 – 在宅勤務職員の個人メアド誤り第三者へ

事故概要

業種 原子力規制庁
発生時期 2020/4/10-2020/6/1
漏えい人数 21
事故概要

原子力規制庁の職員間におけるメールのやり取りで、送信先のメールアドレスを誤り、行政文書や個人情報が外部へ流出したことがわかった。
在宅勤務中である職員の個人用メールアドレス宛に職員がメールを送信したが、4月10日以降、誤ったメールアドレスへ48件のメールを送信していたことが判明したもの。
同庁によれば、放射線防護企画課の職員が5月28日にメールアドレスを誤り、関係ないメールアドレスへ送信。6月1日にメールが届いていないことに気が付き、調べたところ2カ月近く誤ったメールアドレスへ送信していたことが判明した。
これらメールでは、概算要求資料案、委託事業契約書案、政策評価資料案など、行政文書32件を送信しており、11件はパスワードで保護されていたものの、21件はパスワードが設定されていなかった。また連絡先として外部21人分のメールアドレスのほか、1人については電話番号や住所も含まれる。
今回の問題を受けて同庁では、文書の暗号化や、在宅勤務中に業務用メールアドレスが使用できない場合など個人用メールアドレスの利用を必要最小限とし、送信先メールアドレスの確認や受信確認メールの返信を依頼するなど、再発防止に取り組むとしている。

引用元 Yahoo News

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-6(第20条)安全管理措置 パソコン利用教育(メール送信・添付ファイル送信ルール)

チェックリストにある要求ルール:

重要情報や個人情報をメールで送る時は,メール本文に記載せず、重要情報は添付ファイル形式にして、さらにパスワード保護するなどのように、重要情報の保護をしていますか?
メールに添付する場合、不要なファイルを添付していないか確認していますか?
電子メールの送信先に誤ったファイルが添付されていないか、ファイルを開いて確認してから送信していますか?
重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?

■ 推奨対策

対策:

テレワーク中に起きた事故であるが、そもそも個人のメールアドレスに公文書をパスワード無しで送る感覚が異常である。
在宅勤務中に業務用メールアドレスが使用できない場合など個人用メールアドレスの利用を必要最小限とし、送信先メールアドレスの確認や受信確認メールの返信を依頼する、文書の暗号化をするなどの再発防止に取り組むとしているが、何かずれている感覚が否めない。

具体例:

テレワーク中に業務用メールアドレスが使える人と使えない人がいる、という差は何だろう。公文書の送付は業務アドレス専用にすべきである。さらに公文書をメール添付する際に暗号化していない、という組織風土に問題がある。
再発防止策はもっともらしいことが挙げられるが、組織風土、組織の意識改革を徹底的に行う必要がある。まずはメール添付時の暗号化から取り組み、暗号化徹底率を計測し100%になるまでの期間を見てみると良い。その時間がながいほど組織改革の難易度が認識できる。100%にならないことも念頭に置く必要がある。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。