事故から学ぶ

インターンシップ参加予定者の個人情報を誤送信 – 新潟県

事故概要

業種 県 地方自治体
発生時期 2020/8/7
漏えい人数 14
事故概要

新潟県は、県内事業者における大学生の就業を促進するインターンシップ事業において、インターン参加予定者の個人情報を関係ない別の企業へメールで送信するミスがあったことを公表した。
同県によれば、支援事業「県内企業へのインターンシップ」の委託先事業者が、インターンシップ参加予定者14人の個人データをメールに添付し、受け入れ予定ではない別の企業へ誤ってメールで送信するミスがあったという。8月7日に判明した。
誤送信されたデータには、氏名や性別、学校、学部、学科、学年、インターンシップ参加予定日、エントリーシート提出の有無などが含まれる。受信した企業は、添付データの名称が異なっていたため、開封せず廃棄したという。
送信ミスを受けて、委託先の事業者では対象となる参加予定者に対し、個別に事情の説明や謝罪を行っている。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-6(第20条)安全管理措置 パソコン利用教育
(メール送信・添付ファイル送信ルール)

チェックリストにある要求ルール:

重要情報や個人情報をメールで送る時は,メール本文に記載せず、重要情報は添付ファイル形式にして、さらにパスワード保護するなどのように、重要情報の保護をしていますか?
メールに添付する場合、不要なファイルを添付していないか確認していますか?
電子メールの送信先に誤ったファイルが添付されていないか、ファイルを開いて確認してから送信していますか?
重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?

■ 推奨対策

対策:

メール誤送信で2つのミスが重なっている。
ひとつは相手先選択ミス、他方は添付したファイルが暗号化されていない点である。
メール送信の基本ができていないので、徹底した指導教育を早急に実施すべきである。

具体例:

個人情報を含むファイルを暗号化せずに送る事例がまだ見受けられる。
もしミスをしたら、ではなく、必ずミスをするから面倒でも暗号化する、という対応が必要。
個人情報を含むファイルを暗号化せずに送ってくる企業を信頼できますか?

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。