メールによる個人情報漏えいはまだある?現状と対策、メールに変わるデータ共有手段まで
「メールによる個人情報漏えいってまだ起きている?」
「個人情報が漏えいしないために注意すべきことはある?」
ビジネスの場でよく使われるメールですが、メールによる個人情報漏えいは近年も起こっており、依然として大きな問題です。
しかし、特に対策をせずにメールで個人情報をやり取りしていたり、具体的にどのように対策すればいいのかを知らなかったりする方も多いのではないでしょうか。
本記事では、メールによる個人情報漏えいの現状やよくあるミス、対策などを解説します。
メールに変わるデータ共有ツールも紹介しているので、本記事を最後まで読めば新しい視点を得られるはずです。
「未だにメールが主な連絡手段である」「情報漏えいは怖いが何を対策すればいいかわからない」という場合は、ぜひ最後までご覧ください。
メールによる個人情報漏えいは今でも起きている?
「今どきメールで個人情報漏えいなど、それほど起きていないのでは?」
そう考える方もいるでしょう。しかし、令和のこの時代でもメールによる個人情報漏えいは起きています。
JIPDEC(日本情報経済社会推進協会)が2022年に発表した調査によると、2021年度の情報漏えいの原因は「誤送付」が1,938件で最も多く、「誤送付」の内訳では「メールの誤送信」が37.0%で最も多い結果となりました。
参考:2021年度「個人情報の取扱いにおける事故報告集計結果」
また、2023年4月、内閣府は140人余りの個人情報が漏えいしたと発表しました。これは統計調査のデータを外部にメールで送る際、担当者が誤って氏名や電話番号などが記入されたリストを添付したことが原因のようです。
参考:内閣府 統計調査で140人余の個人情報漏えい 氏名や電話番号等|NHK
このように、メールが関連した個人情報漏えいは今もなお、身近で起こっています。まだまだビジネスの場でメールを使う機会は多いでしょうから、注意しなければなりません。
メールで個人情報を漏えいしてしまう主な4つのミス
メールによる個人情報漏えいは未だに起こっていますが、どのような行動が原因になっているのでしょうか。
メールで個人情報を漏えいしてしまう主なミスは、以下の4つです。
・宛先のミス
・To・Cc・Bccのミス
・添付ファイルのミス
・本文のミス
それぞれ具体的にどのように個人情報が流出してしまうのか、詳しく見ていきましょう。
宛先のミス
宛先のミスによる個人情報の漏えいはよく起きています。具体的には、以下のようなケースです。
・同姓の違う人にメールを送ってしまった
・メールアドレスの入力をミスしてしまい、違う人に送ってしまった
・Ccで意図しない人を入れてしまった
チャットツールなどと違い、メールは送信するごとに宛先を入力する必要があります。また、一度送ると取り消しができません。
宛先を間違ってしまうと、ダイレクトに他の人へ情報が届いてしまいます。誤送信を防ぐためには、メールを送る前に、一度改めて宛先を確認する必要があるでしょう。
To・Cc・Bccのミス
送り先の指定方法であるTo・Cc・Bccを間違うことでも、個人情報が流出してしまうケースがあります。
ちなみに、To・Cc・Bccの違いは以下の通りです。
・To:宛先。メールを送りたい相手。
・Cc:カーボン・コピーの略。「確認のため」「念のため」メールの情報を伝えたい相手。
・Bcc:ブラインド・カーボン・コピーの略。基本的にCcと同じだが、ほかの人のメールアドレスは見えない。
最も多いのは、Bccで送るべきところをCcで送ってしまうミスです。Ccで送ると他の人のメールアドレスが見えてしまうため、個人情報が閲覧できる状態になってしまいます。
たとえば、A社とB社にメールを送るときにCcで送ってしまうと、A社がB社のメールアドレスを閲覧できてしまいます。逆もしかりで、普通は知られることがない情報を知られてしまうわけですから、個人情報が流出したことになってしまうのです。
To・Cc・Bccは、送信前に一度確認するようにしましょう。
添付ファイルのミス
添付ファイルのミスによる個人情報の漏えいもよく起きています。具体的には、以下のようなケースです。
・添付する予定のファイルではなく、関係ない個人情報のファイルを添付してしまった
・ひな形のつもりで添付したファイルに情報が書き込まれていた
・添付したファイルの別タブに他の企業の情報が書き込まれていた
個人情報のファイルを添付して送ってしまうと、相手がファイルを開き、悪用されてしまう危険性があります。
また、別企業の情報を送ってしまうと、自社のみの損害にとどまらず、他社の損害も負う必要が出てきます。
たとえば、A社の売上情報を誤ってB社に送ってしまったら、情報を活用され、最悪の場合A社の売上を下げてしまうことになりかねません。
自社が保有する個人情報の扱いももちろんですが、他社の情報の取り扱いには十分注意する必要があります。
本文のミス
メール本文を間違うことによるミスも存在します。具体的には、以下のようなケースです。
・ひな形を使ったため、本文中の名前と送信先が異なる
・受付完了メールなど、個人情報が載っている本文を使いまわして他の人に送ってしまった
たとえば、Aさんのクレジットカード情報の記載がある文章を他の顧客へのメールに載せてしまうと、立派な個人情報流出になってしまいます。
そのため、特に個人情報が載っている文面を使いまわすのはリスクが大きいのです。同じ構成でメールを送信する場合は、ひな形を使うのがいいでしょう。
また、ひな形を使う場合も、送信先ごとに変える部分については細心の注意を払う必要があります。太字や記号などを使い、誰でも変える部分を分かるようにしておくなどの対策が必要です。
メールでの個人情報漏えいによる3つの懸念
メールで個人情報を漏えいしてしまうと、企業への悪影響が懸念されます。主な懸念として挙げられるのは、以下の3つです。
・企業の信用が低下する可能性
・取引中止・売上減少の可能性
・損害賠償請求される可能性
それぞれ具体的にどのような影響があるのか、詳しく見ていきましょう。
企業の信用が低下する可能性
メールで個人情報を漏えいしてしまうと、企業として信用を失ってしまいます。なぜなら、個人情報の漏えいはいいことではなく、「個人情報の管理も適切にできない企業」というイメージがついてしまうためです。
企業としての信用を失うと、取引先の企業からも信用されなくなるため、仕事の減少は避けられません。
また、消費者もマイナスのイメージを抱き、該当企業の商品を買わなくなったり使わなくなったりする可能性も考えられます。
一度企業として信用を失うと回復には時間がかかり、最悪の場合そのまま倒産してしまうこともあります。
信用は目に見えづらいですが、企業が存続するための重要な要素の一つなのです。
取引中止・売上減少の可能性
メールで個人情報を漏えいしてしまうと、経済的な損失を受けるケースがあります。たとえば、取引先の企業から取引を中止されたり規模を縮小されたりするパターンです。
消費者をメインターゲットにサービスを展開している企業の場合、消費者が該当企業の商品を避け、直接的に売上が減少する可能性もあります。
一度失くした信頼を回復させたり、減少した売上を元に戻したりするのは簡単ではありません。一度の個人情報漏えいで、企業にとって致命的な経済的損失を与える可能性があることは知っておきましょう。
損害賠償請求される可能性
個人情報を漏えいしてしまうと、損害賠償請求される可能性があります。実際に、個人情報の漏えいにより、損害賠償を請求された例はいくつも存在します。
2004年、Yahoo! BBは不正アクセスにより、約450万人分ものYahoo! BB登録者の個人情報が漏えいしていることを発表しました。これは後に裁判になり、一人当たり6,000円の慰謝料の支払いを命じられたのです。
参考:主文|裁判所
また、2018年にはベネッセの情報漏えい事件もありました。ベネッセが個人情報の分析を依頼したベネッセの関連企業が個人情報を流失させ、一人当たり慰謝料3000円、弁護士費用300円の支払いを命じられています。
参照:判決文全文|裁判所
損害賠償を請求されると、経済的な損失を受け、企業としてのイメージも低下してしまいます。損害賠償の額以上に大きな損失が出ることは把握しておきましょう。
メールによる個人情報漏えいへの5つの対策
メールから個人情報が漏えいしないためには、まずヒューマンエラーによるミスを減らすのが先決です。とはいえ、注意するだけでは万全ではありません。
そのため、ヒューマンエラーが起きない仕組みを作ることが大事なのです。主な対策としては、以下5つが挙げられます。
・連絡先の登録方法を工夫する
・取引先別に担当者やPCを割り当てる
・一括送信時のファイル添付を禁止する
・過去に送信したメールの再利用を禁止する
・メール本文への個人情報の記載を禁止する
どのような効果があるのか、一つずつ見ていきましょう。
連絡先の登録方法を工夫する
連絡先の登録を工夫すると、個人情報漏えい対策につながります。具体的には、企業名や個人名を分かりやすく登録したり、部署ごとにグループ分けしたりすることなどです。
似たような企業名があると、ふとしたときに間違えてしまうかもしれません。また、苗字しか登録していなかった場合、別の取引先企業に所属する同じ姓の方へ送信してしまう危険性があります。
連絡先を分かりやすく登録するだけで、個人情報漏えいのリスクは下げられます。誰が見ても一目で分かるように、登録方法を工夫しましょう。
取引先別に担当者やPCを割り当てる
個人情報漏えいは同じPC、担当者が複数の取引先と連絡を取るため起こりやすくなります。そのため、取引先別に担当者やPCを割り当て、分けておくのも一つの手です。
PCを取引先別に分けると、ファイルやメールの文面はそのPCで取引したデータしか残りません。そのため、うっかり他の企業の情報を発信してしまう可能性を下げられます。
担当者を取引先別に分けると、話している内容や共有している情報は担当者しか把握していません。取引先別に担当者をつければ、他の取引先との情報を誤って伝えてしまう可能性は下がります。
「PCが動かなくなったら」「担当者が急に体調不良になったら」など他に考えることは出てきますが、個人情報漏えい対策としては有効な手段です。
一括送信時のファイル添付を禁止する
一括送信時のファイル添付を禁止してしまえば、他企業の情報などを多数の人に流す危険性は少なくなります。
個人情報の漏えいが大きな問題になってしまうときは、多数の人が個人情報を閲覧できる状態になっている場合です。個人情報漏えいのリスクを下げるには、手間がかかってもファイルの添付は個別に行うのがいいでしょう。
また、ファイルを送る場合は、パスワードを設定するとより安全です。その際、パスワードはメールではなく、他の伝達手段で伝えるようにしましょう。メールでの添付が不安な場合は、他の伝達手段を使う方法もあります。
しかし、ファイル共有に関しては、メールよりデータ共有ツールのほうがおすすめです。簡単に、かつ安全にデータを共有できるため、未導入の場合はぜひチェックしてみてください。
データ共有ツールのメリットに関しては、「データ共有ツールのメリットとは|注意点も合わせて解説」をご覧ください。
過去に送信したメールの再利用を禁止する
過去に送信したメールの再利用を禁止することも、個人情報漏えいの対策になります。メールを送るたびに文面は変わるのが普通ですが、宛先や日時だけ変えて送るケースもあるでしょう。
そのときに、過去のメールの文面をコピペし、変えるべき部分を変えずに送ると個人情報漏えいが起こります。
どれだけ注意していても、忘れてしまったり見落としてしまったりする可能性はあります。そのため、制度としてそもそもメールの再利用を禁止すれば、個人情報漏えいの可能性を下げられるでしょう。
もし業務効率の面で不安が残る場合は、ひな形(テンプレート)を作成しておくのがおすすめです。変えるべき部分は「●●」などにしておけば、万が一そのまま送ってしまったとしても個人情報漏えいにはなりません。
メール本文への個人情報の記載を禁止する
そもそも、外部に知られては困る個人情報は、メールに記載しないようにしましょう。メールに個人情報が記載されていなければ、万が一意図しない人にメールが届いても個人情報は漏えいしません。
個人情報をやり取りする際は、メール本文には記載せず、ファイルなどでやり取りするほうが漏えいの危険性は下がります。
ただ、メールにファイルを添付してやり取りする場合も、宛先間違いなどで情報漏えいの危険性はあります。
何か一つだけ対策を実施するのではなく、複数の対策を組み合わせることで効果を発揮することは覚えておきましょう。
メールによる個人情報漏えいが起きたときの対処法5ステップ
メールによる個人情報漏えいは、どれだけ対策していても起きてしまうことはあります。それでは、実際にメールによる個人情報漏えいが起きたときにどうすればいいのでしょうか。
メールによる個人情報漏えいが起きた場合の対処法は、以下の5ステップが基本になります。
1.状況把握
2.関係各社への連絡
3.公表・謝罪
4.社内での情報共有
5.再発防止策の検討
それぞれ具体的にどのような対応が必要なのか、詳しく見ていきましょう。
ステップ①:状況把握
まずは個人情報漏えいの状況を把握しましょう。個人情報漏えいの事実にパニックになってしまうかもしれませんが、冷静な判断が求められます。
どんな情報が漏えいしているのか、なぜ漏えいしたのかを把握し、上司に相談するのが先決です。社長として会社を動かす立場であるならば、現場からの報告を受け、今後の対処を決めましょう。
ステップ②:関係各社への連絡
状況を把握できたら、個人情報漏えいの原因と思われるメールの送り先や、個人情報を漏えいさせてしまった企業や顧客へ連絡しましょう。
情報漏えいの問題は、基本的に時間が経過すればするほど大きくなっていきます。そのため、この関係各社への連絡はできるだけ早く行いましょう。
相手がまだメールを開く前に連絡できれば、被害を最小限に食い止められます。メールや添付ファイルの削除を依頼しましょう。
個人情報を漏えいさせてしまった企業や顧客に対しても、素早く対応すればこちらの誠意が伝わりやすいでしょう。
ステップ③:公表・謝罪
関係各社すべてと連絡が取れなかったり、影響が広範囲に及んだりする場合もあるでしょう。そのようなときは、自社HPなどで情報漏えいの事実を公表し、謝罪します。
影響の大きさによっては、記者会見の場を用意する必要があるでしょう。
できるだけ「自ら不祥事を公表するのは避けたい」と思うのは自然なことです。しかし、後々週刊誌などで発覚すると、企業イメージが悪くなってしまいます。
公表・謝罪までは、兎にも角にもスピードが大事です。情報漏えいへの対処を一番位考えて行動しましょう。
ステップ④:社内での情報共有
事態がいったん収束したら、社内での情報共有を行いましょう。情報漏えいの原因や範囲、今回の対応など、一連の出来事を振り返ります。
社内で事例を共有することによって、今後同じような事態が起きたときに対処できるようになるほか、そもそも情報漏えいが起きないように仕組みや制度の見直しができます。
何度も情報漏えいを繰り返す企業は、取引先・顧客ともに信頼を得られません。二度と同じミスはしないように、社内で情報を共有しましょう。
ステップ⑤:再発防止策の検討
社内での情報共有を通して、再発防止策を検討しましょう。
具体的には、メール本文の使いまわしが原因であれば使いまわしを禁止してひな形を作成する、添付ファイルの間違いであればファイル名のルールを決めるなどです。
再発防止策を実施することにより、個人情報漏えいが起きる確率を下げられます。
ただ、徹底的にやらないとまた個人情報漏えいが起きてしまうため、実施状況は管理しておきましょう。
メールより安全で便利な3つのデータ共有手段
ここまでは「メールを使う際にいかにして個人情報を漏えいさせないようにするか」について考えてきました。
ただ、個人情報漏えいを防ぐためなら「そもそもメールを使わない」ことも選択肢に入ってくることを知っておいてください。
メールは「毎回宛先を入力する」「送信取消ができない」など、個人情報漏えいにつながるミスが発生しやすいシステムになっています。
そのため、内閣府でも令和2年11月、自動暗号化ZIPファイルの廃止を発表しました。
参考:平井内閣府特命担当大臣記者会見要旨 令和2年11月24日|内閣府
メールに変わるデータ共有手段としては、以下のようなツールが挙げられます。
・オンラインストレージ
・チャットツール
・ファイル転送サービス
それぞれどのような特徴があるのか、一つずつ見ていきましょう。
オンラインストレージ
オンラインストレージはインターネット上に存在する、データを保管できる領域のことです。具体的には、Googleの「Google Drive」やMicrosoftの「OneDrive」、後述するAOSデータの「DataShare」などがあります。
オンラインストレージは場所を問わずにアクセスでき、管理や運用は不要です。取引先とオンラインストレージを共有すれば、意図しない相手にデータが送られてしまう事態を防げます。
また、メールとは違い、一度オンラインストレージに上げたデータでも修正や削除が可能です。間違えたデータを上げた場合でもすぐに削除できるため、メールより個人情報漏えいの危険性は少ないと言えるでしょう。
チャットツール
チャットツールとは、リアルタイムでコミュニケーションが取れるメッセージサービスです。ビジネス用のチャットツールもあり、具体的には「Chatwork(チャットワーク)」や「Slack(スラック)」、「LINE WORKS(ラインワークス)」などがあります。
チャットツールはメールのような一方的なコミュニケーションではなく、実際に会話するようにチャット形式でコミュニケーションを取れるのが特徴です。
チャットツールで送信したメッセージは、送信後でも修正・削除できます。そのため、万が一個人情報などを送信してしまった場合でも、すぐに削除できるため安心です。
ファイル転送サービス
ファイル転送サービスとは、メールでは送れないような大容量のデータでも簡単に送受信できるサービスです。具体的には「GigaFile(ギガファイル)便」や「データ便」、「おくりん坊」などがあります。
ファイル転送サービスを使えば、今までUSBなどでしか送れなかった大容量のデータをインターネット上で相手に送信できます。USBなどの物理的なストレージは紛失の危険があるため、ファイル転送サービスのほうが安全です。
また、ファイルを送信する際には、パスワードをかけられます。パスワードをかければ、万が一意図しない相手にデータを送ってしまっても、情報は漏えいしません。
取引先にパスワードを伝えておけば、安全にデータを共有できます。
脱メール化を実現し安全にデータを共有できる「DataShare」
AOSデータ株式会社が提供する「DataShare」は、総務省が働き方改革で提示している「脱PPAP・脱サイロ化の課題」をキーコンセプトとして開発されたデータ共有ツールです。
脱PPAPとは、今までファイル共有の基本とされていた以下の方法を使わずに、より安全にデータを共有しようという取り組みです。
「P」パスワード付きのファイルを送信
「P」パスワードを送信
「A」暗号化
「P」プロトコル
つまり、脱PPAPはデータ共有においては「脱メール化」とも言えます。
「DataShare」はファイルごとに権限を設定できるため、取締役のみダウンロード権限を与え、ほかの社員には閲覧権限だけを与えるような使い方ができます。
そうすると、重要なファイルをダウンロードできるのは承認した人のみになるため、情報が漏えいする確率を減らせるのです。
また、2段階認証や監査機能でセキュリティ対策は万全なほか、バージョン管理やコールドドライブ機能など、利便性も兼ね備えています。
社内はもちろん、社外とのデータ共有もより安全・便利になりますので、まずは「DataShare」のサイトを覗いて、その機能を確かめてみてください。
まとめ:メールによる個人情報漏えいには対策が必須
メールによる個人情報の漏えいは未だに起こっています。個人情報が漏えいしてしまうと、企業としての信頼を失ったり経済的な損失を受けたりします。
そのため、メールによる個人情報漏えいは、企業として対策すべき課題です。
メールから個人情報が漏えいしてしまう原因になるミスは、いくつか存在します。パターンを把握すれば対策が見えてくるため、確認しておきましょう。
一括送信時のファイル添付の禁止、メール本文の使いまわしの禁止など、個人情報漏えいへの対策としてできることはあります。
とはいえ、万が一個人情報が漏えいしてしまったら、とにかく迅速な対応を心がけましょう。
また、個人情報漏えい対策として、そもそもメールを使わないというのも一つの手です。「DataShare」など、メールよりも安全にデータをやり取りできるツールも存在するため、導入を検討してみてはいかがでしょうか。