FC東京で発生！メール誤送信で個人情報漏えい！？

最近、FC東京において重大なデータ保護に関する事象が発生しました。2024年11月22日、クラブはSOCIO・OFFICIAL MEMBERSHIPの自動継続会員に対して送信したメールにおいて、操作ミスにより異なる購買者の個人情報が含まれる事案が発生しました。この事象は、スポーツクラブや企業としてのデータ保護の重要性を再び強調するものです。

この事象は、2025シーズンのOFFICIAL MEMBERSHIPの先行受付期間中に発生しました。11月21日、自動継続を選択した会員の決済処理が実施され、翌22日の17時頃に決済結果に関するメールが送信されました。
しかし、送信作業時のミスにより、送付対象者と購買者情報が一致しない状態でメールが送信されました。このミスは、複数の会員から「購買者情報が異なっている」との連絡を受けたことで発覚しました。クラブは即座にメール送信履歴を調査し、142件の影響が確認されました。
クラブは迅速に対応し、影響を受けた会員に対して事象の報告とお詫びのメールを送信し、誤ったメールの削除を依頼しました。
^{同社公式サイト：https://www.fctokyo.co.jp/news/16682}

誤って送信されたメールには、以下の個人情報が含まれていました。

• 受付番号
• 氏名
• 2025年間チケットに関する購買内容（SOCIO番号、購買席種、購買席番）
• 2025 OFFICIAL MEMBERSHIPに関する購買内容（会員番号、お申込みコース、オフィシャルホームページへの氏名記載可否、特典辞退可否、ユニフォームサイズ、My Favorite Player）
• お支払い金額

幸いなことに、クレジットカード情報や会員マイページ等の個人情報が閲覧できるページへのアクセスが可能な情報は含まれていませんでした。

この事象の原因は、配信対象者へ案内する内容設定の操作における人為的ミスです。
クラブは、このようなミスが再発しないように以下の再発防止策を講じることを発表しました。

• メール配信作業を行う担当者とは別に、配信内容の整合性確認を行う担当者を設定し、チェック機能を強化します。
• 手動でのメール配信設定ではなく、自動配信ツールの導入を検討します。
• 個人情報の取り扱いに関する従業員への再教育を実施します。

データ保護における最大のリスクの一つは、内部からの流出です。FC東京の事例のように、人為的ミスが原因で個人情報が流出することがありますが、意図的な内部からの流出も重大な問題です。以下の点に注意することが重要です。

個人情報を取り扱う従業員は、信頼性が高く、データ保護に関する教育を受けた者に限るべきです。背景調査や定期的な評価を通じて、従業員の信頼性を確認することが重要です。

個人情報にアクセスできる範囲を最小限に抑えることが重要です。必要な情報にのみアクセスを許可し、不必要なアクセスを制限することで、内部からの流出リスクを減らすことができます。

個人情報の取り扱いを定期的に監視し、監査を行うことが必要です。異常なアクセスや操作が発生した場合、迅速に検知し、対応するためのシステムを整えることが重要です。

従業員に対して、データ保護に関する教育とトレーニングを継続的に行うことが重要です。最新のガイドラインやベストプラクティスを理解しているかどうかを定期的に確認し、必要に応じて再教育を行うことが求められます。

おすすめウェビナーのご紹介！

昨今のサイバー攻撃と言えばランサムウェア攻撃が代表的ですが、ランサムウェアアクターは個人情報や設計情報、営業情報といった秘密情報を窃取し、その情報を公表しないことを条件に身代金を要求します。
情報漏洩を防止するには、まずは外部からのサイバー攻撃を検知し防御することが重要ですが、情報漏洩を引き起こすのは外部の攻撃者だけではありません。
権限を持った組織内のユーザーであれば、サイバー攻撃対策ソリューションがあったとしても、秘密情報に容易にアクセスし漏洩させることができます。

本セミナーの第一部では、EDRとSOCを使った外部からのサイバー攻撃の検知・防御手法につきご説明いたします。
本手法はEDRのログにより内部不正活動を記録し、場合によっては防止することも可能です。そして、これに加えて更なるセキュリティ対策としてご提案するのが、第二部でご紹介するファイル暗号化・IRMソリューションです。
IRMで秘密ファイルを暗号化すれば、権限を持ったユーザーが認証を経たときのみ復号化されますので、万一のファイル漏洩時にも情報自体は公開されません。 

アジェンダ

1. ご挨拶
2. アクト 横井より EDR + SOCについて
3. 株式会社データクレシス　津村様より 暗号化について

1. 開催形式
   オンライン/録画配信
2. 登壇者

株式会社データクレシス
マーケティング本部
津村 遼

株式会社アクト
サイバーセキュリティサービス事業部
事業部長 ビジネスプロデューサー
横井 宏治

内部からの流出が発生した場合、迅速に対応することが重要です。以下のステップを踏むことが求められます。

内部からの流出が発生した場合、すぐに上層部や関連部署に報告することが重要です。事実を明確にし、影響範囲を特定するための調査を迅速に開始します。

流出した情報の種類と範囲を特定し、影響を受けた個人や組織に対して迅速に通知します。影響を受けた個人に対して、事象の報告とお詫びを迅速に行い、必要な対策を講じることが求められます。

流出を防止するための対策を実施します。アクセス権の変更、パスワードの更新、またはシステムのセキュリティ強化など、必要な措置を講じることが重要です。

この事象は、データ保護の重要性を強調するものです。個人情報の取り扱いは、非常に慎重な管理が必要です。特に、自動化されたシステムを使用する場合でも、人為的ミスが発生する可能性があるため、複数のチェックポイントを設けることが重要です。

メールやデータの送信前に、複数のチェックポイントを設けて、誤った情報が送信されないようにすることが重要です。特に、自動化されたシステムを使用する場合でも、手動での確認が必要です。

手動での操作ミスを減らすために、自動配信ツールの導入を検討することが有効です。ただし、自動化ツール自体も適切にテストされ、運用される必要があります。

個人情報の取り扱いに関する従業員への教育は、継続的に行う必要があります。データ保護に関する最新のガイドラインやベストプラクティスを従業員が理解しているかどうかを定期的に確認することが重要です。

データ漏洩が発生した場合、迅速に対応することが重要です。影響を受けた個人に対して、事象の報告とお詫びを迅速に行い、必要な対策を講じることが求められます。

FC東京のメール誤送信事象は、データ保護の重要性を再び強調するものです。企業や組織として、個人情報の取り扱いに対して常に警戒し、再発防止策を講じることが求められます。
複数のチェックポイントの設置、自動化ツールの導入、従業員教育、以及即時の対応が、データ保護を確保するための重要な要素です。
内部からの流出リスクにも注意し、信頼性の高い従業員の選定、アクセス制限、監視と監査、教育とトレーニングを通じて、データ保護を強化することが必要です。

将来的にも、データ保護に関する取り組みを継続的に強化することが必要です。