事故から学ぶ

長崎県信用保証協会 お客様情報の漏えい(誤送信)について

事故概要

業種 金融機関
発生時期 2020/10/7
漏えい人数 166
事故概要

令和2年10月7日、当協会職員が、お客様の下記の保証情報を含むデータファイルを、金融機関1社宛に電子メールにて誤送信する事案が発生いたしました。
本事案については、送信直後に誤送信に気付き、当該金融機関に対し直ちにメールの削除を依頼し、当該金融機関はメールを受信したノートパソコンを厳重に隔離・保管しました。翌日、当該金融機関を訪問し、お詫びと事情説明を行い、当該メールの削除を当協会職員立会いの下で確実に実行しました。当該金融機関においては、当該メール削除までの間は、メールを受信したノートパソコンを厳重に保管しており内部・外部含めて情報の取得及び漏洩はない旨の報告を頂いております。

1.誤送信したお客様情報の内容について
お客様の名称を含む保証データ166企業分(法人114企業、個人52企業)。
お客様の名称のほか、業種、保証金額、保証期間、金融機関母支店名、保証制度名等のお客様が受けている保証に関する情報は含みますが、住所や生年月日などの個人情報は含まれておりません。なお、メールにて送信されたデータは、当協会職員立会いの下で、確実に削除されたことを確認しており、二次的なデータ流出・拡散はないものと考えています。
2.再発防止策等
全職員に対して、以下の内容を周知し指導・徹底しました。
① 個人情報の取扱いについて、内部取扱い規定を順守することを改めて周知する。
② 添付ファイル付きで社外へのメールを送信する際は、当協会の内部規定を改正し、 個人情報を含まない場合でも暗号化の措置を必ず行うことを指導・徹底する。
③ 添付ファイル付きの社外へのメールを送信する際は、職員2名以上での内容確認のうえ送信するように徹底する。

引用元 長崎県信用保証協会

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-6(第20条)安全管理措置 パソコン利用教育(メール送信・添付ファイル送信ルール)

チェックリストにある要求ルール:

重要情報や個人情報をメールで送る時は,メール本文に記載せず、重要情報は添付ファイル形式にして、さらにパスワード保護するなどのように、重要情報の保護をしていますか?
メールに添付する場合、不要なファイルを添付していないか確認していますか?
電子メールの送信先に誤ったファイルが添付されていないか、ファイルを開いて確認してから送信していますか?
重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

メール誤送信は日常的に発生しているが、個人情報の漏えいは二次被害を伴うこともあり、強い決意で対策の実施を図らなければならない。
最近は、漏えいしたメールアドレスを使いマルウエアを送り込んだり、情報を吸い上げる、あるいは他人を錯誤させて重要情報を聞き出すなどの二次被害が多発している。メールを送るという行為自体に緊張感を持たなければ誤送信は防げない。送信する本人しか気づけない。

具体例:

たかがメール送信と考えず、認識を新たに教育の徹底をしつこく行うべきである。担当者も異動などで流動的であるはずなので、リスクを組織として認識しておかなければならない。組織の長も怠慢である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。