事故から学ぶ

店舗閉店の案内メールで誤送信 – クリーニングチェーン、スパークル

事故概要

業種 クリーニングチェーン
発生時期 2021/1/14
漏えい人数 697
事故概要

ロッカーを使ったクリーニングサービス「ラボックス」において、店舗の閉店についてメールで案内したところ、メールアドレスが流出する事故が発生した。同サービスを運営するスパークルによれば、1月14日10時ごろ、閉店予定である4店舗の会員に対し、メールで案内を送信。その際に送信先を誤って「CC」に設定したため、受信者間にメールアドレスが表示される状態となった。
4店舗で合計697件のメールアドレスが流出。受信者から指摘があり、誤送信が判明した。同社では対象となる会員に対し、メールで謝罪するとともに、誤送信したメールの削除を依頼している。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-6(第20条)安全管理措置 パソコン利用教育(メール送信・添付ファイル送信ルール)

チェックリストにある要求ルール:

重要情報や個人情報をメールで送る時は,メール本文に記載せず、重要情報は添付ファイル形式にして、さらにパスワード保護するなどのように、重要情報の保護をしていますか?
メールに添付する場合、不要なファイルを添付していないか確認していますか?
電子メールの送信先に誤ったファイルが添付されていないか、ファイルを開いて確認してから送信していますか?
重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

他人のアドレスが見える形でメールの一斉送信を行ったという、操作ミスによる個人情報漏えい事故である。メールアドレスを知られることで、詐欺に利用されるなど2次被害が生じるので十分な配慮が必要である。

具体例:

原因として、担当者の情報セキュリティポリシー(外部へのメール一斉送信には「BCC」を利用する など)の確認徹底である。本人は自分の操作が正しいと信じ切っているので、本人に誤りを見つけさせるのには限界がある。確認書の読み合わせが有効である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。