事故から学ぶ

テンプレメールのBCCに無関係メアド、顧客情報が流出 – ルクールプラス

事故概要

業種 オフィスソリューション
発生時期 2020/10/14
漏えい人数 10
事故概要

オフィスソリューションの提供などを手がけるルクールプラスは、顧客にメールを送信した際、無関係の複数メールアドレスに対してもメールを誤って送信するミスがあり、顧客情報が流出したことを明らかにした。
同社によれば、顧客10人に対して案内メールを送信する際、過去に一斉送信したメールをテンプレートとして利用したところ、BCCに関係ない930人分のメールアドレスを含んだ状態で送信してしまったという。メールには、氏名や会社名、メールアドレスなどが記載されていた。人為的なミスが原因であり、マルウェアの感染については否定している。
送信から15分後に受信者から指摘があり問題が判明。同社店舗に対しても電話が相次いだという。同社では翌日、誤送信先へ連絡を取り、経緯を説明して問題のメールについて削除を依頼。また個人情報が流出した顧客10人に対しては、メールと電話で謝罪を行っている。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-6(第20条)安全管理措置 パソコン利用教育(メール送信・添付ファイル送信ルール)

チェックリストにある要求ルール:

重要情報や個人情報をメールで送る時は,メール本文に記載せず、重要情報は添付ファイル形式にして、さらにパスワード保護するなどのように、重要情報の保護をしていますか?
メールに添付する場合、不要なファイルを添付していないか確認していますか?
電子メールの送信先に誤ったファイルが添付されていないか、ファイルを開いて確認してから送信していますか?
重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

表現が分かりにくいが、ある同送アドレスを選択すると、仕込まれていた970アドレスがBCCにセットされ送信したもの。

具体例:

アドレスを自動セットする仕組みはいくつか種類があるが、意図しないアドレスのセットが起こることは予測できるため、警告なり確認を促す仕組みが用意されている筈である。ただし、日常的に警告や確認が繰り返されると、無意識にOKを押して抑止効果にならないことも知られている。
操作者がどこまで真剣に注意を払うかがカギになる。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。