事故から学ぶ

男女共同参画センター”あいとぴあ”における個人情報の誤送信について 長野県

事故概要

業種 行政の職員
発生時期 2021/12/4
漏えい人数 36
事故概要

男女共同参画センター“あいとぴあ”において、主催講座への参加申込者の氏名及びメールアドレスを、申込者がお互いに閲覧できる状態で送信する事案が発生しました。
今後、このような事態が起きないよう、再発防止に取り組んでまいります。
1 概要
男女共同参画センター“あいとぴあ”が、令和3年12月4日(土)に開催した主催講座「フィンランド人はなぜ午後4時に仕事が終わるのか」において、当日、オンライン参加申込者に対して配信用アドレスの変更を連絡する際に、申込者の送信先アドレスをBCC欄に入力すべきところ、TO欄に入力したため、申込者の氏名及びメールアドレスがお互いに閲覧できる状態で送信してしまった。
2 経緯
12月4日(土)午前9時16分、参加申込者36名に対し、オンライン配信用アドレスの変更について電子メールで送信し、直後に職員が誤りに気づく。
講座の開会(10時)及び閉会(11時30分)の際、男女共同参画センター所長からオンライン参加者30名に対し、当該事案の発生の報告及び謝罪をし、メールの削除を依頼。
10時38分、申込者全員(不参加の6名を含む)に対し、当該事案の発生の報告及び謝罪とメールの削除を依頼するメールを送信。
当日午後から、申込者全員に個別に連絡し、メール削除の依頼と確認を順次実施。
3 原因
講座当日、事前にお知らせしていた講座参加方法の案内に誤りがあることが確認され、急遽、参加申込者に対してオンライン配信用アドレスの変更を連絡する必要が生じた際に、確認が不十分な状態でメールを送信してしまった。
4 対応
12月6日(月)までに、参加申込者36名全員に対して、事案発生の経緯を謝罪するとともに、メールの削除を確認した。
5 再発防止策
職員一人一人が、個人情報の取扱いの重要性を再認識するよう徹底し、個人情報を取り扱う際には、複数の職員で確認を行うなど、再発防止に取り組みます。

引用元 長野県

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置 パソコン利用教育(メール送信・添付ファイル送信ルール)

チェックリストにある要求ルール:

重要情報や個人情報をメールで送る時は,メール本文に記載せず、重要情報は添付ファイル形式にして、さらにパスワード保護するなどのように、重要情報の保護をしていますか?
メールに添付する場合、不要なファイルを添付していないか確認していますか?
電子メールの送信先に誤ったファイルが添付されていないか、ファイルを開いて確認してから送信していますか?
重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

メール誤送信は日常的に発生しているが、個人情報の漏えいは二次被害を伴うこともあり、強い決意で対策の実施を図らなければならない。
最近は、漏えいしたメールアドレスを使いマルウエアを送り込んだり、情報を吸い上げる、あるいは他人を錯誤させて重要情報を聞き出すなどの二次被害が多発している。メールを送るという行為自体に緊張感を持たなければ誤送信は防げない。送信する本人しか気づけない。
メール送信事故には、宛先間違い、添付間違い、BCC不作為、気づかずマルウエア拡散メール送信などリスクが複数あるので、本文を書いたら即送信、という態度を改めることが教育の最初に来るべき事項である

具体例:

たかがメール送信と考えず、認識を新たに教育の徹底をしつこく行うべきである。担当者も異動などで流動的であるはずなので、リスクを組織として認識しておかなければならない。
メール誤送信は組織の怠慢であるととらえて、組織のリスクマネージメント力を試されていると考えてた方がよい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。