日本郵政、メール誤送信で個人情報を含む事業者情報7,500件を漏洩！

個人情報漏洩の概要

日本郵政は6月10日、自社が提供する「建設工事発注情報メールサービス」に登録する事業者情報7,500件を漏洩したことを発表しました。
漏洩した情報は、登録者名、電話番号、メールアドレス、住所などの個人情報を含んでいたということです。

漏洩の原因は、職員によるメールの誤送信。当該情報を記載したエクセルファイルを誤って添付し、全登録事業者に一斉送信してしまったということです。

2時間後、誤送信が明らかになり、送信先7,500件に対して、当該データの削除要請をしたとのことです。

事件前後の郵政の動き

個人情報漏洩前後の経緯と、郵政の対応をまとめると以下のようになります。

郵政の対応と再発防止策は？

6月19日の発表で、郵政は二次被害防止のため、メールを誤送信した登録者に当該データの削除を引き続き要請するとともに、メールサービスを当面中止するとしました。
また、この時点では二次被害についての報告は受けていないことを明らかにしました。

また、再発防止策として、個人情報を含むデータを添付する際は、データにパスワード認証をかけるなど、リスク低減のためのルールを策定し、また、従業員への周知・教育も充実させていきたいとしました。

ヒューマンエラーへの対策をどう考えるか？

今回の郵政の事故で注目したいのが、漏洩の原因がヒューマンエラーであるということです。

NPO日本ネットワークセキュリティ協会（JNSA） の調査によると、個人情報漏洩事件の原因の大半が、メール誤送信をはじめとするヒューマンエラーであることが報告されています。

ヒューマンエラーは、一定の確率で必ず起ります。
仮に、情報セキュリティにおいて、テクニカルな面を強化し、大規模な対策を行ったとしても、今回のようなヒューマンエラーを根本的に防ぐのは非常に難しいと言えます。

では今回の事故の場合、どのような対策を行えば良いのでしょうか？

前述のように郵政は、再発防止策として、送信データにパスワード認証をかけるなど、安全管理のルールを策定するとし、従業員教育も充実し、体制強化を行うとしました。この取り組みをしっかりと行えば、ある程度メール誤送信のリスクを減らすことはできると思います。

しかしながら、この対策だけでは「人まかせ」になってしまい、定期的に従業員教育を行ったとしても、事故から時間が経過するとともに危機意識が薄くなり、効果が低くなることが予想されます。

そこで考えられる対策として、メールソフトの設定を利用してセキュリティ強化を図る方法があります。
具体的に言うと、メール送信者に強制的に送信内容を再チェックさせるよう、メールソフト側で設定しておくということです。

メールソフトの設定方法については、以下ページに分かりやすく書かれています。クラウドメール以外で一般的にシェアが高いメールソフト、Microsoft OutlookとThunderbirdの設定方法です。

Thunderbirdについては、アドオンをインストールする必要がありますのでご注意ください。

その他のメールソフトでも、同様の設定があることが多いので、必要に応じて調べていただければと思います。

最後に

前述のように、個人情報漏洩事故の多くはヒューマンエラーによるものです。
また、ヒューマンエラーを防止することは非常に難しいため、リスク低減のためには社内でセキュリティ意識を高めるだけでなく、人の裁量に頼らない合理的な対策を実施することが重要である、とここまでで述べてきました。

しかしながら、このことはヒューマンエラーに対して適切なリスク対策を行えれば、情報セキュリティ事故の大半は防げる可能性があるということでもあります。

個人情報を取り扱う事業者は、これらを踏まえ、前向きな対策を実施していく必要があると思います。