セキュリティの
学び場

今回の解説ニュース

設定ミスが原因で、緊急速報メールが何度も配信されてしまったということです。メールの誤送信や委託先の管理で気を付けるべきポイントについて説明します。

今回のインシデントは、緊急速報メールを配信するシステムである災害情報管理システムの委託業者によるプログラム設定ミスが原因で、自動的に緊急速報メールを何度も配信してしまったということです。

神奈川県知事は、委託業者の設定作業ミスが原因でも、同県の責任であると認めています。今回は情報漏えいなどではありませんが、命を守るために必要な連絡手段であるため、重大なインシデントであると考えられます。

個人情報取扱いの事故、原因の多くはメールの誤送信

メールを送信する際のセキュリティ対策は、主に誤送信のチェックを行う必要があります。今回のメールは携帯電話事業者の基地局から配信されていますが、一般的なEメールのセキュリティ対策について説明します。

JIPDECのプライバシーマーク推進センターが発表した2020年度「個人情報の取扱いにおける事故報告集計結果」によると、事故の原因を件数が多い順に見てみると「誤送付」が62.3%の1648件と最も多く、そのうち、メール誤送信が764件です。2019年度と比較しても、メール誤送信が大きく増加しています。

メールの誤送信を防ぐ対策は宛先をチェックすると、いたってシンプルですが、作業の形骸化や属人化を防ぐために、仕組化することが求められます。具体的には、GmailやOutlookなどの設定で、送信ボタンを押した後にカウントダウンを発生させて、メールの送信を一定時間保留することができます。時間内であれば送信を止めることができますので、その間に今一度考え直すことができるかもしれません。

また、メールアドレスの誤入力は、宛先の自動入力機能が原因で発生することがあります。設定からオートコンプリートにかかわる機能をオフにすることで、アドレス帳からメールアドレスの候補を誤って選択することを防ぐことができます。

個人情報の取り扱いを委託、発生する責務

委託先の管理について、個人情報保護法とプライバシーマークの規格で、それぞれ明記されていますので、内容についてみていきましょう。

委託先に適切な管理を行う責務がある

個人情報保護法の第22条では、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」との記載があります。また、プライバシーマークの規格であるJIS Q15001:2017の3.4.3.4「委託先の監督」にも、「必要かつ適切な委託先の監督を行うとともに、委託先の監督には再委託先の監督が含まれる」とされています。これらを一つずつひも解いてみましょう。

「個人情報」と「委託先」と「監督」

個人データとは、特定の個人情報を検索できるよう体系的にまとめたものを構成する個人情報です。例えば、営業マンが受け取った名刺を会社でまとめて検索できるようにすれば、名刺は個人データに該当する個人情報となります。委託先とは業務を依頼した相手のことです。名刺の情報をデータベース化してクラウド上で検索できるサービスを利用していれば、そのクラウド事業者は委託先に該当します。委託先の監督とは、個人情報の取り扱いについて委託先を評価し、契約を締結することです。

委託先を管理するという事は

評価軸としては主に、物理、人、組織、技術に対して行います。具体的には、鍵付きキャビネットで保管しているか、従業員に対する教育を行っているか、委託先もプライバシーマークを取得しているか、一般的なセキュリティ対策を導入しているかなどです。そして、これらの個人情報保護について、責任や報告、再委託先に関する取り決めなどを契約書で合意することで、委託先の管理がなされていると考えられます。長くなりましたが、まとめると、委託先の管理は、委託元の責任で評価して契約する必要があるとされています。

今回は、メールの誤送信対策と委託先の管理についてお届けしました。個人情報保護法は個人情報取扱事業者を対象としていますが、一般的な委託先の管理で必要とされるセキュリティの考え方として参考にしてみてください。