事故から学ぶ

個人情報の誤送信について(お詫び) | 愛媛大学

事故概要

業種 地方自治体
発生時期 2021/7/5
漏えい人数 9166
事故概要

愛媛大学で、全学生約9100人の個人情報が入ったファイルを一部の学生に誤って送信していたことがわかりました。
愛媛大学によりますと、7月5日・6日に奨学金受給に関するメールなどを20人の学生に送った際、17人に誤って個人情報が入ったファイルを添付したということです。
ファイルには、236人分の奨学金情報や全学生9166人分の名前や住所などの個人情報が含まれていたということです。
原因は送る予定だったファイルと名前が似ていたため、誤って添付してしまったということで、愛媛大学は受け取った学生に連絡し、ファイルは全て削除したということです。
大学では今後、ファイルのパスワード設定や複数人による確認など、再発防止を徹底するとしています。

引用元 Fnn

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-6(第20条)安全管理措置 パソコン利用教育(メール送信・添付ファイル送信ルール)

チェックリストにある要求ルール:

重要情報や個人情報をメールで送る時は,メール本文に記載せず、重要情報は添付ファイル形式にして、さらにパスワード保護するなどのように、重要情報の保護をしていますか?
メールに添付する場合、不要なファイルを添付していないか確認していますか?
電子メールの送信先に誤ったファイルが添付されていないか、ファイルを開いて確認してから送信していますか?
重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

メールへの誤添付は「ありがち」な事例で、注意すれば防げる事例に整理される。しかし、実態は事故が頻発している。今回のようにファイル名が似ていたので勘違いした、という事故もよく見かけるが、ネーミングルールを作っても守られないので、個々の意識の問題という解決策に整理されてしまう。厄介な問題である。

具体例:

ファイルの類似性を避けるネーミングルール実施は意外に難しい。いまはファイル名を長く付けられるので内容説明を含めたネーミングにして、作成者も自分で探せるようにすることを推奨する。ファイル(1)ファイル(2)、あるいはファイル(更新版)のようなネーミングは禁止する、というルールを設けるだけでも避けられることはある。ルールとすると守られないが日常の工夫次第ではある。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。