事故から学ぶ

個人情報の漏えいについて 東京都レクリエーション協会

事故概要

業種 民間企業
発生時期 2022/4/1
漏えい人数 56
事故概要

このたび、一般社団法人東京都レクリエーション協会において、個人情報を漏えいさせる事故が発生しましたので、お知らせします。
関係者の皆様に多大なご迷惑をおかけしましたことを、深くお詫び申し上げます。
今後、再発防止に向け、職員の意識を高め、より一層の情報管理を徹底してまいります。なお、現時点で、漏えいによる二次被害の発生は、報告されておりません。
1 概要
一般社団法人東京都レクリエーション協会(以下「協会」という。)加盟団体(以下「加盟団体」という。)のうち15団体に対し「令和4年度加盟団体登録代表者報告」のエクセルデータのシートをメール送信する際、担当者が誤って個人情報の記載されたエクセルデータシートを送信したため、加盟団体(令和4年3月31日時点、56団体)の代表者名、役職名、生年月日、年齢、電話、FAX、携帯番号及びメールアドレスの個人56名分を漏えいしました。
2 経緯
・4月1日(金)午後
加盟団体(令和4年4月1日時点、55団体)に対し、「令和4年度加盟団体現況調査
の実施について」の依頼書を郵送しました。
・4月5日(火)以降
15の加盟団体から、「令和4年度加盟団体登録代表者報告」データ送信の希望があり、同団体に送信しました。
・4月25日(月) 9:00
協会の担当者が、同15団体に対し、誤って個人情報の記載されたエクセルデータシー
トを送信したことに気付き、本件が発覚しました。
3今後の対応
4月25日(月)より、56団体へ電話連絡し経緯の説明とお詫びをするとともに、15団体に対しては、あわせてデータの削除を依頼いたしました。
協会において、今回の事故の経緯及び原因を確認するとともに、個人情報等の取扱及び情報管理の徹底について、職員に研修を実施するなど、再発防止に努めてまいります。

引用元 東京都レクリエーション協会

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

‘(第20条)安全管理措置 パソコン利用教育(メール送信・添付ファイル送信ルール)

チェックリストにある要求ルール:

送信の相手先にあやまりはありませんか?
重要情報や個人情報をメールで送る時は,メール本文に記載せず、重要情報は添付ファイル形式にして、さらにパスワード保護するなどのように、重要情報の保護をしていますか?
メールに添付する場合、不要なファイルを添付していないか確認していますか?
電子メールの送信先に誤ったファイルが添付されていないか、ファイルを開いて確認してから送信していますか??
重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?。
複数の相手先への送信時はTOではなくBCCを使用していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

メール誤送信は日常的に発生しているが、個人情報の漏えいは二次被害を伴うこともあり、強い決意で対策の実施を図らなければならない。
最近は、漏えいしたメールアドレスを使いマルウエアを送り込んだり、情報を吸い上げる、あるいは他人を錯誤させて重要情報を聞き出すなどの二次被害が多発している。メールを送るという行為自体に緊張感を持たなければ誤送信は防げない。送信する本人しか気づけない。
メール送信事故には、宛先間違い、添付間違い、BCC不作為、気づかずマルウエア拡散メール送信などリスクが複数あるので、本文を書いたら即送信、という態度を改めることが教育の最初に来るべき事項である

具体例:

たかがメール送信と考えず、認識を新たに教育の徹底をしつこく行うべきである。担当者も異動などで流動的であるはずなので、リスクを組織として認識しておかなければならない。
メール誤送信は組織の怠慢であるととらえて、組織のリスクマネージメント力を試されていると考えてた方がよい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。