大阪市立大学で個人情報が流出！ 原因はメールの誤送信

個人情報漏洩の経緯と大学の対応

大阪市の発表によると、大阪市立大学が運営する学修支援推進室（OCUラーニングセンター）のウェブサイトを開設する際、同学の職員が関係者にメールで通知をしました。
この時、メール受信者が相互にメールアドレスなどの情報が分からないよう、Bcc欄に宛先を入力すべきところを、通常の宛先入力用のTo欄に入力してしまい、受信者が相互に個人情報が閲覧できる状態で一斉送信してしまったとのことです。

漏洩した個人情報の件数は、同学の卒業生38名、在校生20名合わせて58名分。個人情報の内容は、氏名とメールアドレスでした。

個人情報漏洩の経緯をまとめると以下のようになります。

大阪市立大学の体制に問題はなかったか？

大学職員がメールの送信ミスに早い段階で気づき、応急措置を行ったことから考えると、メール送信時のBCC設定については大学側にルールがあり、緊急時の対応についてもある程度の教育がされていたと考えられます。

ただし、事件発覚から公表までに数日時間がかかってしまっていることから、緊急時の連絡や事故公表までの手順が整備されていたのか、若干の疑問が残ります。

今回の事故は規模が小さく、対象者の範囲も狭いことから、二次被害の可能性は比較的低いと考えられます。
しかしながら、事故後の対応については可能な限り迅速に行う必要がありますので、緊急時の対応手順について改善の余地がないか、あらためて確認することが望ましいと思います。

大阪市立大学の再発防止策は？

大阪市立大学は再発防止策として、複数名へのメール送信時には第三者のチェックを必須とし、教員及び職員に個人情報保護の重要性について周知徹底するとしました。

しかしながら、第三者チェックについては継続性に疑問が残ります。
例えば、緊急性のあるメールを送信する際に自分以外の職員がいない場合など、第三者チェックが現実的にできないこともありえます。また、ルールを周知徹底したとしても、時間経過とともに対策がなしくずしになる可能性もあります。

では、よりリスクを低減でき、実効性が高い対策としては何が考えられるでしょうか？
ここで重要になるのが、可能な限り人間の裁量に頼った仕組みを避けるという考え方です。

例えば、メールソフトの設定で多重チェックが必ず行われるよう設定しておくことなどが有効な対策として挙げられます。
多くのメーラーでは送信時にアラートで再チェックを促したり、一旦送信ボックスにメールを移動し、送信をあらためて確定するまでは送信されないようにするなどの設定が可能です。
必要に応じてこれらの設定をしておけば、メール送信者は毎回再チェックを求められることになり、仮に第三者チェックが難しい場合でも、時間差で本人が再チェックする仕組みを作ることができます。

重要度が高いヒューマンエラー対策

情報セキュリティ事故と言えば、サイバー攻撃や不正アクセスなどをイメージする人も多いと思います。
しかしながら、実際には事業者が起こす情報セキュリティ事故の主な原因はヒューマンエラーであることが様々な調査で明らかにされています。

ヒューマンエラーを完全になくすことはまず不可能です。
しかし、セキュリティ事故の多くがヒューマンエラーであるということは、逆に言うと、適切な対策を行えばそれだけセキュリティアップの効果も高くなると考えることができます。

ヒューマンエラー対策については重要度が高いにもかかわらず、しっかりとしたリスク分析がなされず、従業員の裁量に任されている例が多く見られます。
個人情報取り扱い事業者は、特にこのことに注意し、実効性のある対策を継続的に検証していく必要があると思います。