セキュリティの
学び場

今回の解説ニュース

メールの誤送信により、顧客の氏名などが流出してしまい、お詫びとして金券500円が進呈されたということです。メールの誤送信を防ぐ方法や、個人情報が漏洩した際の賠償金について説明します。

今回のインシデントは、ポイント付与事業者へ渡したリストに誤りがあり、誤った宛先のメールが別の顧客のメールアドレスに誤送信されたということです。メールアドレスの冒頭に宛先氏名が記載されており、顧客情報が誤送信先に漏洩したことが、SNSの投稿や同社のコンタクトセンターへの問い合わせで発覚しました。

流出した個人情報は、キャンペーン参加者の氏名、獲得ポイント情報、獲得ポイント分のAmazonギフト券で、対応として、誤送信先の顧客に当該メールの削除を依頼するメールを送信し、コンタクトセンターから電話での謝罪をしています。また、情報が流出した顧客に対し獲得したポイント分に加え、500円分のAmazonギフト券をお詫びとして進呈するということです。

誤った顧客リストを作成しないためのセキュリティ対策

誤った顧客リストを作成しないための対策の一つとして、複数の方法で作成したリストを照合する方法が考えられます。

顧客リストを作る際に、切り貼りや目視での転記などをしていると、どうしてもケアレスミスが発生しています。その結果、メールの誤送信に限らず、誤った情報に基づいて作成されたリストから様々なインシデントが発生してしまう可能性があります。

誤った顧客リストを作成しないために、まずは人の手ではなく、プログラムでリストを作成することを検討してください。属人的である以上はケアレスミスが発生することを完全に排除することは困難です。正しいプログラムによってリストの作成を自動化することで、人為的なミスが発生することを排除することが可能です。

ただし、プログラム自体が正しく書かれていなければ、作成されたリストも間違ったものになってしまいます。そこで、別の方法で同じ顧客リストを作成し、両者を照合することで確かに正しいリストが創られていることを確かめます。ダブルチェック自体も自動化することで、ここでも人為的なミスを可能な限り排除することを目指します。

2つの方法はいずれも「人はミスをするもの」という前提に立った対策となります。セキュリティ対策でも同様に、重要な考え方の一つです。

過去の賠償事例からみる留意すべき点とは？

個人情報漏洩のお詫びとして支払われた金券500円の妥当性や、過去の個人情報漏洩のインシデントで支払われた賠償金額を振り返り、留意すべきポイントについて説明します。

賠償事例は複数あるが金額自体に根拠はない

まず、今回のインシデントでもお詫びとして支払われた金券500円ですが、2004年2月にインターネット接続サービスを提供する企業の元関係者が、外部から顧客データベースにアクセスし、約1100万件の会員情報を流出させた際に、企業から会員に対して金券500円を配り謝罪したことが発端となっています。それ以降、個人情報の漏洩があった際に、お詫びとして500円相当の金券を送る企業が複数あったことを記憶しています。しかし、個人情報保護法では、個人情報を漏洩した際の救済措置について特別な規定はなく、500円という金額自体には何ら根拠がありませんので注意が必要です。

漏洩した個人情報の種別により賠償金額に変化も

また、インターネット接続サービスを提供する企業のインシデント事例には続きがあり、個人情報漏洩で精神的苦痛を受けたとして、会員ら5人が関連企業に対して、慰謝料など1人当たり10万円の損害賠償を求めた民事訴訟がありました。判決では、1人につき6000円の支払いが命じられたとのことですが、漏洩した個人情報の種別によって精神的苦痛などを理由に、さらに賠償金額が上がる可能性があるということが分かります。例えば、本人の人種、信条、社会的身分、病歴、犯罪の経歴などを個人情報保護法で「要配慮個人情報」と呼び、このような情報が含まれてる場合はさらに賠償金額が上がる可能性があります。

インシデントが発生しないことに越したことはありませんが、万が一、個人情報が漏洩した際にどれくらいの賠償金が発生しうるかは、投資するセキュリティ対策にかけるコストの参考になるかもしれませんね。