事故から学ぶ

所属長の許可なく持ち出した個人情報を含む資料の誤送信について 福岡県

事故概要

業種 行政の職員
発生時期 2022/2/16
漏えい人数 37
事故概要

1概要
飯塚農林事務所の職員が、所属長の許可を得ず、帰宅後自宅で業務を行なおうとした。その際、個人情報を含む資料を誤ったメールアドレスに送信した結果、個人情報が流出。

2誤送信した個人情報を含む資料
・商品企画コンペ資料(37件)
※うち4件に個人情報(学校名、氏名、メールアドレス及び電話番号)を含む。

3経緯
2月16日(水曜日)
・帰宅後自宅で業務を行うため、私用メールアドレスにメールを送信。(15時09分)
・スマートフォンから私用メールアドレスへの到着が確認できなかったことから、送信事績を確認し、誤送信(※)が判明。(16時30分頃)
※「gmail.com」と入力すべきところを「gmai.com(「l(エル)」の入力漏れ)」と誤入力。
・職員が当該事案について、上司に報告。(16時30分頃)

4対応状況
・応募者全員(37名)に謝罪、了解済。

5誤送信による影響
・現在のところ、誤送信による影響は確認されていない。

6再発防止策
次の取組みを徹底
・原則、職員個人の私用メールアドレスに電子メールの送信を行わないこと。
・システムを改修し、県からの(gmai.com)あてのメール送信を停止(実施済)
・外部へのメール送信時には、複数職員による送信先及び添付資料のチェックをすること。
・個人情報を含む電子データについては、パスワード設定をすること。
・在宅勤務で承認を受けた場合を除き、自宅で業務を行わないこと。

引用元 福岡県

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置 パソコン利用教育(メール送信・添付ファイル送信ルール)

チェックリストにある要求ルール:

重要情報や個人情報をメールで送る時は,メール本文に記載せず、重要情報は添付ファイル形式にして、さらにパスワード保護するなどのように、重要情報の保護をしていますか?
メールに添付する場合、不要なファイルを添付していないか確認していますか?
電子メールの送信先に誤ったファイルが添付されていないか、ファイルを開いて確認してから送信していますか?
重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

メール誤送信は日常的に発生しているが、個人情報の漏えいは二次被害を伴うこともあり、強い決意で対策の実施を図らなければならない。
最近は、漏えいしたメールアドレスを使いマルウエアを送り込んだり、情報を吸い上げる、あるいは他人を錯誤させて重要情報を聞き出すなどの二次被害が多発している。メールを送るという行為自体に緊張感を持たなければ誤送信は防げない。送信する本人しか気づけない。
メール送信事故には、宛先間違い、添付間違い、BCC不作為、気づかずマルウエア拡散メール送信などリスクが複数あるので、本文を書いたら即送信、という態度を改めることが教育の最初に来るべき事項である

具体例:

たかがメール送信と考えず、認識を新たに教育の徹底をしつこく行うべきである。担当者も異動などで流動的であるはずなので、リスクを組織として認識しておかなければならない。
メール誤送信は組織の怠慢であるととらえて、組織のリスクマネージメント力を試されていると考えてた方がよい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。