同報メール送信での個人情報漏えいの事例に学ぶ、身近なセキュリティ対策 | 中小企業サイバーセキュリティフォローアップ事業

2024.07.22

同報メール送信での個人情報漏えいの事例に学ぶ、身近なセキュリティ対策

皆さんはメールを送信するとき、送信先をどのように指定していますか。
宛先(TO)、CC、BCCを使い分けていますか。
また使い分けるよう社内に徹底、確認していますか。

ニュースの報道でご覧になった方もいらっしゃると思いますが、2024年6月3日に最高裁判所が、送信先の指定方法を誤り、個人情報を漏えいさせる事故(修習資金の被貸与者に対する不要な個人情報の送信について)を起こしました。
この事故の原因は、送信先のメールアドレスをBCCに入力すべきところを誤って宛先(TO)欄に入力してメールを送信してしまったことです。

事故を防ぐには、宛先、CC、BCCの違いを確認することです。

宛先(TO):メールを読んでほしい相手のメールアドレスを指定する欄です。
CC:Carbon Copyの略で、書類では「ご参考」として配布する先を指定します。
BCC:Black Carbon Copyの略で、Blackは見えないことを意味します。

BCCに指定したメールアドレスは、受信者側からは見えません。逆に宛先やCCに指定したメールアドレスは、全てのメール受信者に公開されます。

独立行政法人情報処理推進機構(IPA)が発行している「中小企業の情報セキュリティ対策ガイドライン 第3.1版」「付録5:情報セキュリティ関連規程(サンプル)」によれば、<メールアドレス漏えい防止>として次のように記されています。

同報メール(外部の多数相手に同時に送信するとき)を送信する場合は、宛先(TO)に自分自身のアドレスを入力し、BCCで複数相手のアドレスを指定する。
上記、最高裁判所の事例では、同報メールを送信する場合は相手のメールアドレスをBCCに指定するルールがあったにも関わらず守られていなかったようです。

メールアドレスの漏えいを防ぐためのステップは、以下のとおりです。
1.同報メールを送信する場合は、宛先に自分自身のアドレスを入力し、BCCで複数の送信先アドレスを指定する。このルールを定めて、社内に徹底することが同報メールでメールアドレスの漏えいを起こさない第一歩です。また、ルールを繰り返し周知することと、それが守られているか現場の状況を普段から確認することが大切です。

2.周知する際には、なぜBCCに指定するのか、指定しなかった場合メールアドレスが知られたくない相手に知られてしまうリスクや、メールの内容によっては事故や事件になることを伝えてください。


3.状況を確認する際は、同報メールの送信先をBCCに指定しているかだけでなく、誤って宛先やCCに指定しそうになったヒヤリハットが無いか聞き出し、改善策を検討してください。

ヒヤリハットが繰り返し発生している場合は、ルールの周知徹底だけでは防げず、人手に頼らない仕掛けが必要かもしれません。例えば、同報メールを手作業で送信するのをやめて、送信先を登録した一覧とあらかじめ用意した本文の情報を使って自動的にメールを送信するといった仕掛けなども検討してみてください。

なお、メールアドレスについて個人情報保護委員会は次の見解を出しています。

メールアドレスのユーザー名及びドメイン名から特定の個人を識別することができる場合(例:kojin_ichiro@example.com)、当該メールアドレスは、それ自体が単独で、個人情報に該当します。 これ以外の場合、個別の事例ごとに判断することになりますが、他の情報と容易に照合することにより特定の個人を識別することができる場合、当該情報とあわせて全体として個人情報に該当することがあります。
同報メールで送信先アドレスが1,000件を超えることは稀だと思いますが、送信内容によっては、要配慮個人情報(本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報)と関連づけられる、または不正に利用されることにより財産的被害が生じるおそれがある場合は、個人情報保護委員会への報告が必要となります。


日常的に行なっている同報メールによる情報漏えいの危険性は、身近なセキュリティ対策と意識で低減させることが可能です。皆さんの会社で同報メールに起因した個人情報漏えいの事故が起きないことを願っています。

メルマガ
登録はこちら
アーカイブ
動画はこちら
ページトップへ戻る