事故から学ぶ

「MyPost」の配信における個人情報を含むデータの誤送信について

事故概要

業種 地方自治体
発生時期 2021/6/26
漏えい人数 832
事故概要

市秘書広聴課において、「MyPost」上で会津若松市から情報の受け取りを登録(登録者のデータ)されている方に対して、個人情報が含まれるデータを添付し、配信してしまう事案が発生いたしました。なお、今回の事案については、「MyPost」のシステム上の問題ではなく、人為的な誤りによって発生したものです。
※「MyPost」とは、日本郵便(株)が行っているサービスで、インターネット上で受け取りを行うことができる郵便サービスです。
事案の概要
「MyPost」において、毎月、市政だよりを登録者向けにレターを作成、配信しており、今回、市政だより2021年7月1日号を添付して送信するべきところ、(不注意により)誤って宛先のリストを添付したものを対象者全員にデータで配信しました。(不正開示)
なお、誤送信した当該レターは、すでに削除し、現在は閲覧できなくなっております。
また、今回の情報流出に伴う二次被害は発生しないものと判断しております。
発生日時
令和3年6月26日(土)午後2時37分発信
流出した個人情報
宛名リストに登録されている832名の方の漢字氏名とカナ氏名、仮名ID(匿名化している「MyPost」のアドレス)
※宛名リストの中に、郵便番号、住所、性別、生年月日、電話番号、メールアドレスは含まれておりません。
※仮名ID(匿名化している「MyPost」のアドレス)は本市からの配信以外には使用できないアドレスであることが確認できたため、二次被害は発生しないと判断いたしました。
対応の経過
6月26日(土)
午後2時37分……「MyPost」にて、宛先リストが誤って添付された状態で送信。
午後7時38分……「MyPost」上のレターに添付の誤りがあったことを確認し対応開始。
午後7時50分……「MyPost」を運営する日本郵便株式会社様に、データの削除を依頼・作業開始。
6月27日(日)
午前11時00分……事故対策本部会議を開催。現状の把握と今後の対応について検討。
午後5時32分……「MyPost」を運営する日本郵便株式会社様により、完全に削除処理完了。
6月28日(月)
午前9時30分……情報セキュリティ委員会を開催。現状の把握と今後の対応について検討。
6月29日(火)
午後1時15分……事故対策本部会議を開催し、再発防止策を取りまとめ。
今回の事案にかかる再発防止策について
電子データファイルを取り扱う場合の対応
個人情報を含む複数の属性情報が含まれているファイルを取り扱う場合は、当該事務に不必要な個人情報は削除し、必要な情報だけを残したファイルを作成し、元のデータとは異なる場所に保存したうえで作業することとする。
職場内のチェック体制の強化
電子データファイルを外部へ送付する際には、課内で多重チェックを行うこととし、チェック体制の強化を図る。具体的には、メール送信前にメール送信画面(本文の確認)及び添付ファイルを開いた画面(添付ファイルの確認)を担当者以外の職員が確認する。なお、確認作業に先立ち、課内で情報を共有することにより、職員の意識向上を図るとともに職場内での注意喚起を徹底する。
再発防止にむけ、全職員に対し情報セキュリティの重要性の認識、個人情報の適切な取り扱いを改めて徹底し、市民の財産、プライバシーの保護に万全を期してまいります。

引用元 会津若松市

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-6(第20条)安全管理措置 パソコン利用教育(メール送信・添付ファイル送信ルール)

チェックリストにある要求ルール:

重要情報や個人情報をメールで送る時は,メール本文に記載せず、重要情報は添付ファイル形式にして、さらにパスワード保護するなどのように、重要情報の保護をしていますか?
メールに添付する場合、不要なファイルを添付していないか確認していますか?
電子メールの送信先に誤ったファイルが添付されていないか、ファイルを開いて確認してから送信していますか?
重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

不注意によりシステム操作の誤りで832名の個人情報が漏えいしてしまった。システムを使って業務を行う際、一歩間違えれば大量の個人情報漏えいに結びつく。であるからダブルチェックをすることが求められている。面倒だといって手抜きは許されない。

具体例:

システムを利用することで得られる省力化に対し、ダブルチェックなどの新しい負担が増える、という意見が聞かれるが、システムであるか否かの違いはなく、ダブルチェックは存在していたはずである。それを行わないのは。単なる手抜きと整理される。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。