事故から学ぶ

補助事業申請者の個人情報を漏えい 佐賀県、第三者に誤送信

事故概要

業種 県 地方自治体
発生時期 2021/2/17
漏えい人数 1
事故概要

佐賀県は2月17日、新型コロナウイルス対策の補助事業で、申請者1人の個人情報を第三者のメールアドレスに誤送信したと発表した。二次被害は確認されていないという。
県産業政策課によると誤送信があったのは、県内の事業者が換気設備やサーモカメラを導入する際の補助事業。受託業者のスタッフが17日、申請者と書類の修正に関して電話でやり取りし、提出済みの書類をメールで送り返すためにアドレスを聞き取った。メモにする段階でアドレスを間違い、スタッフから報告を受けた職員が申請者の氏名や住所などが記載されたファイルを添付して送信した。
県は申請者に電話で説明し、謝罪した。送信先には、削除を依頼するメールを送った。

引用元 佐賀新聞

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-6(第20条)安全管理措置 パソコン利用教育(メール送信・添付ファイル送信ルール)

チェックリストにある要求ルール:

重要情報や個人情報をメールで送る時は,メール本文に記載せず、重要情報は添付ファイル形式にして、さらにパスワード保護するなどのように、重要情報の保護をしていますか?
メールに添付する場合、不要なファイルを添付していないか確認していますか?
電子メールの送信先に誤ったファイルが添付されていないか、ファイルを開いて確認してから送信していますか?
重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

メールアドレスを口頭で聞き取り、そのアドレスに送信するのはアドレス違いを起こす確率が高いことは、もはや一般常識である。それを行ってしまうのは組織として情報セキュリティのリテラシーが低すぎる。禁止すべきである。

具体例:

初めての相手にメールを送る場合は、テストメールを送るのが常識である。原則として相手から自分に送らせて、それに返信する形にするのが望ましい。自分のメールアドレスはHPなどで公開しているアドレスを使うのが良い。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。