事故から学ぶ
店舗閉店の案内メールで誤送信 – クリーニングチェーン、スパークル
事故概要
| 業種 | クリーニングチェーン |
| 発生時期 | 2021/1/14 |
| 漏えい人数 | 697 |
| 事故概要 | ロッカーを使ったクリーニングサービス「ラボックス」において、店舗の閉店についてメールで案内したところ、メールアドレスが流出する事故が発生した。同サービスを運営するスパークルによれば、1月14日10時ごろ、閉店予定である4店舗の会員に対し、メールで案内を送信。その際に送信先を誤って「CC」に設定したため、受信者間にメールアドレスが表示される状態となった。 |
| 引用元 | Security NEXT |
■ 事故原因
事故の原因はチェックリストの下記項目が該当すると推察します。
20-6(第20条)安全管理措置 パソコン利用教育(メール送信・添付ファイル送信ルール)
チェックリストにある要求ルール:
重要情報や個人情報をメールで送る時は,メール本文に記載せず、重要情報は添付ファイル形式にして、さらにパスワード保護するなどのように、重要情報の保護をしていますか?
メールに添付する場合、不要なファイルを添付していないか確認していますか?
電子メールの送信先に誤ったファイルが添付されていないか、ファイルを開いて確認してから送信していますか?
重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?
■ 推奨対策
対策:
他人のアドレスが見える形でメールの一斉送信を行ったという、操作ミスによる個人情報漏えい事故である。メールアドレスを知られることで、詐欺に利用されるなど2次被害が生じるので十分な配慮が必要である。
具体例:
原因として、担当者の情報セキュリティポリシー(外部へのメール一斉送信には「BCC」を利用する など)の確認徹底である。本人は自分の操作が正しいと信じ切っているので、本人に誤りを見つけさせるのには限界がある。確認書の読み合わせが有効である。
ご入会のお手続きはこちら
会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。
