高槻市で発生！自治体のメール誤送信から考える課題と対策とは？

近年、デジタル化の進展に伴い、業務におけるメールの利用は当たり前のものとなっています。しかし、その便利さの裏で、メール誤送信による個人情報の流出や人為的なミスが増加しており、深刻な問題となっています。2024年11月27日、大阪府高槻市の子育て総合支援センターで発生した事例も、その一つです。

本記事では、メール誤送信の現状と原因、そして効果的な対策について解説します。

2024年11月27日、大阪府高槻市の”子育て総合支援センター”において、障がい福祉サービス利用に関する案内メールが誤って送信される事態が発生しました。本来提供しないはずの対象者23名の氏名、生年月日、住所、電話番号、療育手帳の区分などを含む一覧表が、市内13の事業所に送信されてしまったのです。この誤送信は、送信先の事業所からの連絡により発覚しました。

市は、直ちに対象者の保護者へ謝罪を行い、受信先の事業所にも情報の削除依頼を実施しましたが、確認不足や業務フローの不備が原因で発生した今回の事例は、個人情報管理の脆弱性を浮き彫りにしています。こうした誤送信が引き起こす影響は深刻であり、対象者やその家族に対する精神的・経済的な負担が懸念される状況となりました。
^{同施設サイトより：https://www.city.takatsuki.osaka.jp/uploaded/attachment/47987.pdf}

メール誤送信は、企業や自治体を問わず、多くの組織で発生しています。
その主な原因としては以下の点が挙げられます。

• ヒューマンエラー
  宛先の入力ミス、添付ファイルの選択ミスなど、操作上の人為的ミスが大半を占めます。
• 確認不足
  送信前に内容や添付ファイルを十分に確認しないままメールを送ってしまうケース。
• 業務の多忙化
  多忙な業務の中で、急いでメールを送信することが誤送信の要因となることが多いです。
• メールツールの操作ミス
  複数の宛先への送信時に”To”と”CC”を誤って使用するなど、ツール操作におけるミスも頻出しています。

こうした原因により、一度情報が流出してしまうと、その回収や影響の抑え込みには大変な労力が必要となります。

メール誤送信による個人情報流出は、次のようなリスクや影響を引き起こします。

• 対象者への精神的・経済的な影響
  個人情報が第三者に漏れることで、プライバシー侵害や悪用の危険性が生じます。
• 組織の信用失墜
  誤送信が発覚すると、組織の管理体制や信用に大きな打撃を与えます。
• 法的責任の発生
  個人情報保護法に違反した場合、行政指導や罰金が科せられる可能性があります。
• 追加対応の負担
  流出後の謝罪や対応、再発防止策の実施に時間やコストがかかります。

このように、メール誤送信は組織全体の信頼を揺るがす重大な問題です。

メール誤送信を完全にゼロにすることは難しいですが、以下の対策を講じることでリスクを大幅に軽減できます。

(1) 複数人での確認体制

メール送信前に、内容や添付ファイルを複数の職員で確認する仕組みを整えましょう。1人で作業すると見落としが発生しやすいため、ダブルチェックや三重チェックが効果的です。

(2) メール誤送信防止ツールの導入

自動で宛先や添付ファイルの確認を行うシステムを導入することで、人為的ミスを防げます。具体的には、以下の機能を持つツールが有効です。

• 宛先や件名の再確認ポップアップ表示
• 添付ファイルの暗号化
• 誤送信時のメール取り消し機能

(3) 個人情報の暗号化で流出リスクを軽減

重要な個人情報を含むメールを送信する際は、暗号化を施すことで情報漏洩リスクを大幅に軽減できます。具体的な暗号化の手法としては、以下が挙げられます。

• パスワード付きZIPファイル
  添付ファイルをパスワードで保護し、別メールや電話でパスワードを通知する方法です。
• メール暗号化ソフトの導入
  送信内容を暗号化し、受信者のみが復号できるシステムを利用することで、不正アクセスを防ぎます。
• クラウドストレージの活用
  重要データはメール添付ではなく、アクセス制限付きのクラウドストレージに保存し、リンクを共有する形が安全です。

これらの手法により、万が一メールが誤送信された場合でも、第三者が内容を確認することは難しくなります。

おすすめウェビナーのご紹介！

昨今のサイバー攻撃と言えばランサムウェア攻撃が代表的ですが、ランサムウェアアクターは個人情報や設計情報、営業情報といった秘密情報を窃取し、その情報を公表しないことを条件に身代金を要求します。
情報漏洩を防止するには、まずは外部からのサイバー攻撃を検知し防御することが重要ですが、情報漏洩を引き起こすのは外部の攻撃者だけではありません。
権限を持った組織内のユーザーであれば、サイバー攻撃対策ソリューションがあったとしても、秘密情報に容易にアクセスし漏洩させることができます。

本セミナーの第一部では、EDRとSOCを使った外部からのサイバー攻撃の検知・防御手法につきご説明いたします。
本手法はEDRのログにより内部不正活動を記録し、場合によっては防止することも可能です。そして、これに加えて更なるセキュリティ対策としてご提案するのが、第二部でご紹介するファイル暗号化・IRMソリューションです。
IRMで秘密ファイルを暗号化すれば、権限を持ったユーザーが認証を経たときのみ復号化されますので、万一のファイル漏洩時にも情報自体は公開されません。 

アジェンダ

1. ご挨拶
2. アクト 横井より EDR + SOCについて
3. 株式会社データクレシス　津村様より 暗号化について

1. 開催形式
   オンライン/録画配信
2. 登壇者

株式会社データクレシス
マーケティング本部
津村 遼

株式会社アクト
サイバーセキュリティサービス事業部
事業部長 ビジネスプロデューサー
横井 宏治

(4) 個人情報の管理体制の強化

個人情報の送付は最小限にし、必要な場合でも暗号化やパスワード付きファイルを利用しましょう。情報漏洩リスクを抑える工夫が必要です。

(5) 定期的な教育と意識向上

職員に対して定期的な研修や注意喚起を行い、個人情報の取り扱いに関する意識を高めることが大切です。

メール誤送信による情報流出は、決して他人事ではありません。今回の高槻市の事例のように、ちょっとした確認不足や操作ミスが大きな問題に発展する可能性があります。そのため、個人情報を取り扱う組織では、日頃から以下の対策を徹底する必要があります。

1. 複数人での確認体制を整える
2. 誤送信防止ツールを導入する
3. 個人情報の暗号化を徹底する
4. 個人情報の送付方法に注意する
5. 職員への教育・啓発を行う

デジタル化が進む現代だからこそ、人のミスを最小限に抑えるシステムと体制の整備が求められています。情報管理を徹底し、組織全体で誤送信を防ぐ取り組みを行いましょう。