事故から学ぶ

個人情報含むメールを誤って別の事業者に送信 – 東京都

事故概要

業種 東京都 地方自治体
発生時期 2021/3/3
漏えい人数 8
事故概要

東京都は、新型コロナウイルス感染症緊急包括支援事業において、申請事業者に関連する個人情報含むメールを、異なる事業者へ送信するミスがあったことを公表した。
都によれば、3月3日に福祉保健局において、新型コロナウイルス感染症緊急包括支援事業の申請事業者に対し、申請関係のデータをメールで送信した際、誤って別の申請事業者へ送信するミスがあったという。
誤送信したデータには、申請事業者の職員など、慰労金の対象者7人に関する氏名、住所、生年月日のほか、報告書を作成した担当者の氏名とメールアドレスが含まれていた。翌4日に担当者が誤送信に気づき、連絡が取れた5日に誤送信先を直接訪問してメールの削除を確認した。個人情報が漏洩した事業者には、謝罪を行っている。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-8 (第20条)安全管理措置 パソコン利用教育(メール誤送信防止)

チェックリストにある要求ルール:

重要電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?

■ 推奨対策

対策:

作業手順書、マニュアル、管理体制、監査体制の強化が必要である。
メール作成送信手順書の徹底と、送信前のダブルチェックを徹底させること(2名以上の相手先に対し、Toでメールを送ると個人情報漏えいに結びつくことをしつこく徹底的に教え込むこと)
導入済みのメール誤送信抑止システム(送信先が本市以外である送信メールについて、その配信を一時保留し、Web画面操作により内容を再度確認し、その上で保留を解除する作業を行うことによりメールが改めて送信できる仕組み)で、何を確認するのか、どういう条件なら送信して良いのかを口頭試験も含めて徹底教育すること。

具体例:

個人情報の適正な取扱い及び電子メールの適切な利用に対する徹底教育を行うこと。まずは2名以上の相手先に対し、Toでメールを送ると個人情報漏えいに結びつくことをしつこく徹底的に教え込むことである。
さらにメール送信時等における個人情報の取扱い(本文に個人情報を書かない、個人情報が入ったファイルを添付するときは暗号化する等)に関する研修を行い、ダブルチェックによる送信先の確認をする運用体制を作ること。
ダブルチェックで見逃した場合は、ダブルチェックをした者も同罪になることを強く認識させること。
導入済みのメール誤送信抑止システムにおける再確認する意味を強く認識させること。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。