SDGs関連事業メール誤送信で299人の個人情報漏えい
近年、名前やメールアドレスなどの個人を特定できる情報(以下、個人情報)漏洩事故が多発しており、大きな社会問題になっています。漏洩事故として挙げられる事例は送るべき相手とは異なる人に情報を誤って送信してしまう「誤送信」、従業員が組織内の情報を不正に持ち出す「盗難」であり、組織の情報セキュリティ意識の欠如およびITリテラシーの不足が主な発生原因となっています。
仮に個人情報が流出してしまった場合、組織は賠償金を支払うだけでなく、失った信頼やイメージの回復に努めなければなりません。今月の情報漏洩事故を通して、同様の状況に直面した際に適切な対応ができるようにわかりやすく説明します。
https://www.tochigi-iin.or.jp/content/files/shinsangyou/houkokuo.pdf
概要
栃木県産業振興センターは2024年12月2日、県から受託している法人向け案内メールを誤送信し、登録者である299人のメールアドレスを漏洩したと発表しました。
説明によると、栃木県産業振興センターでは2024年11月27日、県から受託した「とちぎSDGs推進企業登録制度」SDGs勉強会(第2回)の募集案内メールを登録企業のうち299人宛に外部送信を行いました。ところが担当者がメールアドレスを入力する際、本来宛先を非表示にする「BCC」に入力すべきところを、宛先を「TO」に入力し、送信していたとのことです。
同日、県に対してインシデント事案として報告するとともに、該当者全員に謝罪と誤送信したメールの削除を依頼したメールを送られたようです。
なぜ発生したのか
栃木県産業振興センターの見解はメールを送信する際の確認作業が不十分であったとして、誤って送ってしまったとのことでした。
確認作業が不十分であったと言うことですが、おそらく目視等の確認ができていなかった、送信後の対応としてシステム的にチェックする機能など色々と足りていなかったと推測できます。
今後の対応
公式文章では、「職員の個人情報保護及び情報セキュリティに関する意識を高めるとともに、メール送信に際しては内容等のダブルチェックを徹底する」との記載です。
上記の内容をより噛み砕いて説明すると、社員の意識を高めるためにメール送信時のチェックを欠かさないようにしますと読み取れます。
間違ってはいない対応だと思いますが、より具体的な改善方法やその施策等についての記載が足りないのではないかと思っています。
感想
上記は簡単な事故概要と原因・対策ですが、今回の事象について思うことを書いていきたいと思います。
発生原因について
「メールを送信する際の確認作業が不十分」はその組織でも発生する事象であるものの、個人情報を扱う意識の低さが根底にあると思います。また定常的な業務として実施しており、慣れが原因で誤って送ってしまった可能性もあります。
また、個人情報を漏洩することでの費用対効果も考慮されていなかったことも大きな原因です。実際に299人の情報が漏洩したことによる損害はどれぐらい発生したのか・どれぐらいの人の時間を奪うことになったのかなど、経営層だけでなく一人一人意識を持って業務に取り組んでほしいと思います。
対応方法について
対応方法についてですが、より具体的な対応を記載してほしいと思いました。社員の意識を上げるために何をするのか・どれぐらいの期間で取り組んでいくのかをより納得感のある改善策を提示していただけると世間にも納得いただけるのではないかと思います。
資料の対応方法はあくまでも暫定的、かつ一般論で記載されています。
意識改革を実施しているにも関わらずミスを犯してしまうのが人間であり、その前提に立ってより、恒久的な改善策を挙げていただければと読んで思いました。
まとめ
栃木県産業振興センターは案内メールを誤送信し、登録者である299人のメールアドレスを漏洩した
即日対応として、県に対してインシデント事案として報告するとともに、該当者全員に謝罪と誤送信したメールの削除を依頼したメールを送る。
原因はメールを送信する際の確認作業が不十分であり、対策として、情報セキュリティに関する意識を高め、メール送信時に内容のダブルチェックを徹底
感想として、経営層だけでなく一人一人意識を持って業務に取り組み、より具体的な改善策を提示することで、今後、同様の事故が発生する可能性をなくす