事故から学ぶ

報道発表資料 大阪歴史博物館における電子メール誤送信による個人情報の漏えいについて

事故概要

業種 行政の職員
発生時期 2022/6/27
漏えい人数 93
事故概要

大阪歴史博物館において、令和4年6月27日(月曜日)に、大阪歴史博物館のボランティアとして登録していただいている方々(以下「ボランティア」という。)に対して「ボランティアだより」を電子メールで送信する際、「BCC」(メールアドレス及び電子メールの表示名が他の送信相手に表示されない)で送信すべきところ、誤って「宛先」で送信したことから、個人情報が漏えいしたことが判明しました。
個人情報の漏えいという重大な事故を発生させましたことを、関係者並びに市民の皆さまに深くお詫び申し上げますとともに、今後このようなことがないよう再発防止に努めてまいります。

1 概要と経過
令和4年6月27日(月曜日)午後2時34分に、大阪歴史博物館の職員が、ボランティアに対して「ボランティアだより」を電子メールで送信しました。
同日午後2時37分頃、大阪歴史博物館の別の職員が、送信した電子メールを見直したところ、「BCC」欄ではなく、「宛先」欄にメールアドレスを入力し送信したことに気づき、誤送信が判明しました。

2 漏えいした個人情報
ボランティアのメールアドレス 93名分

3 判明後の対応
令和4年6月27日(月曜日)午後3時35分頃より、個人情報が漏えいした方々に、ご迷惑をおかけしたことのお詫びと、個人情報の漏えいに至った経過及び当該電子メールの削除の依頼を行っています。また、改めて「ボランティアだより」を郵送します。

4 原因
電子メールを一斉送信する際に、宛先の形式(宛先・CC・BCC)について、複数人による確認を行いましたが、確認が不十分であったことが原因です。

5 現在の被害状況
現在のところ、本件に関して被害等の連絡はありません。

6 再発防止策について
電子メールを一斉送信する際、複数人によるチェック手順を見直すとともに、職員に対し、再度、個人情報保護の重要性を周知し、再発防止に努めてまいります。

引用元 地方独立行政法人大阪市博物館機構

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置 パソコン利用教育(メール送信・添付ファイル送信ルール)

チェックリストにある要求ルール:

送信の相手先にあやまりはありませんか?
重要情報や個人情報をメールで送る時は,メール本文に記載せず、重要情報は添付ファイル形式にして、さらにパスワード保護するなどのように、重要情報の保護をしていますか?
メールに添付する場合、不要なファイルを添付していないか確認していますか?
電子メールの送信先に誤ったファイルが添付されていないか、ファイルを開いて確認してから送信していますか??
重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?。
複数の相手先への送信時はTOではなくBCCを使用していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?
メーリングリストを使用する際、受信者が全員向けに返信してしまうことの防止処置をしていますか?

■ 推奨対策

対策:

メール誤送信は日常的に発生しているが、個人情報の漏えいは二次被害を伴うこともあり、強い決意で対策の実施を図らなければならない。
最近は、漏えいしたメールアドレスを使いマルウエアを送り込んだり、情報を吸い上げる、あるいは他人を錯誤させて重要情報を聞き出すなどの二次被害が多発している。メールを送るという行為自体に緊張感を持たなければ誤送信は防げない。送信する本人しか気づけない。
メール送信事故には、宛先間違い、添付間違い、BCC不作為、気づかずマルウエア拡散メール送信などリスクが複数あるので、本文を書いたら即送信、という態度を改めることが教育の最初に来るべき事項である

具体例:

たかがメール送信と考えず、認識を新たに教育の徹底をしつこく行うべきである。担当者も異動などで流動的であるはずなので、リスクを組織として認識しておかなければならない。
メール誤送信は組織の怠慢であるととらえて、組織のリスクマネージメント力を試されていると考えてた方がよい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。