事故から学ぶ

システムエラーでメール誤送信、個人情報流出 京都大学生総合支援センター

事故概要

業種 行政機関
発生時期 2021/4/1
漏えい人数 658
事故概要

京都大学生総合支援センターは29日、就職活動のための合同企業説明会の案内を各企業担当者にメールする際、誤ってほかの企業担当者の氏名やアドレスなどを送り、個人情報を流出させたと発表した。各企業の担当者計16人に対して、117~658人分のほかの企業担当者に関する情報を送ったという。
同センターによると、4月に説明会の案内を各企業担当者へ個別にメールで知らせる際、システムエラーのため、一部の担当者にほかの企業担当者宛てのメールが届いた。その結果、担当者1人に対して、最大658社分のほかの企業担当者の氏名やアドレスが伝わってしまったという。誤送信された担当者からの問い合わせで発覚。同センターは各企業に謝罪した。

引用元 yahoo

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-6(第20条)安全管理措置 パソコン利用教育(メール送信・添付ファイル送信ルール)

チェックリストにある要求ルール:

重要情報や個人情報をメールで送る時は,メール本文に記載せず、重要情報は添付ファイル形式にして、さらにパスワード保護するなどのように、重要情報の保護をしていますか?
メールに添付する場合、不要なファイルを添付していないか確認していますか?
電子メールの送信先に誤ったファイルが添付されていないか、ファイルを開いて確認してから送信していますか?
重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

システムエラーである、と片付けているが背後にあるであろうヒューマンエラーを追求しないと、根本原因の解決に結びつかない。

具体例:

システムエラーは際限できる筈なので、システムエラーだけが原因なら原因の改修と確認ポイントの設定で再発防止策が完了させることはできる。
やっかいなのはシステムエラーを誘引してしまう、ヒューマンエラーの存在である。人間の誤りをシステムが事前に弾いてエラーがおきないように工夫されているはずだが、想定外の動作にはエラーチェック反応ができずエラーをおこしてしまう。
安易な対応は事故を再発させるので、人間が関わる部分を含めて再発防止策を講じて頂きたい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。