事故から学ぶ

児童生徒の個人情報流出 携帯で文書を添付、メール誤送信 糸満市教育委員会

事故概要

業種 市 地方自治体
発生時期 2020/7/28
漏えい人数 3
事故概要

糸満市教育委員会は18日、市内の学校に通う児童生徒に関する個人情報について無関係の第三者に誤ってメール送信し、流出させたと発表した。
流出したのは、市教委を通して外部機関に提出する文書。児童生徒2人と保護者1人の氏名、学校名、学校長名などが記されていた。
本来は、保護者の相談により学校側が作成した文書を、市教委が当該機関へ郵送している。しかし、市教委職員は7月28日、「提出までの時間が迫っていた」として、学校から受け取った文書を個人の携帯電話で撮影し、メールに添付して誤送信した。
8月14日、同職員が返信がないため同機関に連絡し、無関係の第三者への誤送信に気付いた。
市教委によると、誤送信した相手にはデータの削除を14日に求めた。児童生徒と保護者らには18日までに謝罪した。流出した情報の拡散は確認されていないという。
市教委は「組織体制と相談手続きなどの見直しと管理、コンプライアンスの順守などを徹底して再発防止に取り組む」とした。

引用元 琉球新報

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-6(第20条)安全管理措置 パソコン利用教育(メール送信・添付ファイル送信ルール)

チェックリストにある要求ルール:

重要情報や個人情報をメールで送る時は,メール本文に記載せず、重要情報は添付ファイル形式にして、さらにパスワード保護するなどのように、重要情報の保護をしていますか?
メールに添付する場合、不要なファイルを添付していないか確認していますか?
電子メールの送信先に誤ったファイルが添付されていないか、ファイルを開いて確認してから送信していますか?
重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

メール誤送信は日常的に発生しているが、個人情報の漏えいは二次被害を伴うこともあり、強い決意で対策の実施を図らなければならない。
最近は、漏えいしたメールアドレスを使いマルウエアを送り込んだり、情報を吸い上げる、あるいは他人を錯誤させて重要情報を聞き出すなどの二次被害が多発している。メールを送るという行為自体に緊張感を持たなければ誤送信は防げない。送信する本人しか気づけない。

具体例:

市も委託先も認識を新たにし、教育の徹底をしつこく行うべきである。市の担当者も委託先の担当者も異動などで流動的であるはずなので、互いに相手任せにすることのリスクを組織として認識しておかなければならない。そこから見ると組織の長も怠慢である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。