サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 エリアメール大量送信からみる誤送信対策と委託先の管理

エリアメール大量送信からみる誤送信対策と委託先の管理

エリアメール大量送信からみる誤送信対策と委託先の管理
目次
  • 今回の解説ニュース
  • 個人情報取扱いの事故、原因の多くはメールの誤送信
  • 個人情報の取り扱いを委託、発生する責務

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

神奈川県で緊急速報メールを何度も配信、委託業者のプログラム設定ミスが原因

神奈川県は1月16日、同県内沿岸部の市町を中心に緊急速報メールを何度も配信したことが判明したと発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

設定ミスが原因で、緊急速報メールが何度も配信されてしまったということです。メールの誤送信や委託先の管理で気を付けるべきポイントについて説明します。

今回のインシデントは、緊急速報メールを配信するシステムである災害情報管理システムの委託業者によるプログラム設定ミスが原因で、自動的に緊急速報メールを何度も配信してしまったということです。

神奈川県知事は、委託業者の設定作業ミスが原因でも、同県の責任であると認めています。今回は情報漏えいなどではありませんが、命を守るために必要な連絡手段であるため、重大なインシデントであると考えられます。

個人情報取扱いの事故、原因の多くはメールの誤送信

メールを送信する際のセキュリティ対策は、主に誤送信のチェックを行う必要があります。今回のメールは携帯電話事業者の基地局から配信されていますが、一般的なEメールのセキュリティ対策について説明します。

JIPDECのプライバシーマーク推進センターが発表した2020年度「個人情報の取扱いにおける事故報告集計結果」によると、事故の原因を件数が多い順に見てみると「誤送付」が62.3%の1648件と最も多く、そのうち、メール誤送信が764件です。2019年度と比較しても、メール誤送信が大きく増加しています。

メールの誤送信を防ぐ対策は宛先をチェックすると、いたってシンプルですが、作業の形骸化や属人化を防ぐために、仕組化することが求められます。具体的には、GmailやOutlookなどの設定で、送信ボタンを押した後にカウントダウンを発生させて、メールの送信を一定時間保留することができます。時間内であれば送信を止めることができますので、その間に今一度考え直すことができるかもしれません。

また、メールアドレスの誤入力は、宛先の自動入力機能が原因で発生することがあります。設定からオートコンプリートにかかわる機能をオフにすることで、アドレス帳からメールアドレスの候補を誤って選択することを防ぐことができます。

個人情報の取り扱いを委託、発生する責務

委託先の管理について、個人情報保護法とプライバシーマークの規格で、それぞれ明記されていますので、内容についてみていきましょう。

委託先に適切な管理を行う責務がある
個人情報保護法の第22条では、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」との記載があります。また、プライバシーマークの規格であるJIS Q15001:2017の3.4.3.4「委託先の監督」にも、「必要かつ適切な委託先の監督を行うとともに、委託先の監督には再委託先の監督が含まれる」とされています。これらを一つずつひも解いてみましょう。
「個人情報」と「委託先」と「監督」
個人データとは、特定の個人情報を検索できるよう体系的にまとめたものを構成する個人情報です。例えば、営業マンが受け取った名刺を会社でまとめて検索できるようにすれば、名刺は個人データに該当する個人情報となります。委託先とは業務を依頼した相手のことです。名刺の情報をデータベース化してクラウド上で検索できるサービスを利用していれば、そのクラウド事業者は委託先に該当します。委託先の監督とは、個人情報の取り扱いについて委託先を評価し、契約を締結することです。
委託先を管理するという事は
評価軸としては主に、物理、人、組織、技術に対して行います。具体的には、鍵付きキャビネットで保管しているか、従業員に対する教育を行っているか、委託先もプライバシーマークを取得しているか、一般的なセキュリティ対策を導入しているかなどです。そして、これらの個人情報保護について、責任や報告、再委託先に関する取り決めなどを契約書で合意することで、委託先の管理がなされていると考えられます。長くなりましたが、まとめると、委託先の管理は、委託元の責任で評価して契約する必要があるとされています。

今回は、メールの誤送信対策と委託先の管理についてお届けしました。個人情報保護法は個人情報取扱事業者を対象としていますが、一般的な委託先の管理で必要とされるセキュリティの考え方として参考にしてみてください。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ