- 牧瀬 平次
- ID&COM 代表
- ISOコンサルタント
対象:ISO・規格認証
- 人見 隆之
- (ISOコンサルタント)
- 人見 隆之
- (ISOコンサルタント)
某協会では、このほど誤って送付先のメールアドレスを流してしまう事態が生じている。
同協会のホームページで掲載した内容の要点は以下のようである。
・会員企業へ関連講座のご案内を約150件送付した。
・送信先のメールアドレスをBCCにすべきところ、Toとしてそのまま送信した。
・受信者全員にメールアドレスが公開されてしまった。
・メールアドレス以外の個人情報の公開はなかったことを確認した。
・受信者からの指摘により判明し、対象者に連絡・謝罪した。
【専門家としてのコメントと対策案】
某協会のホームページでの個人情報保護方針のなかで、安全対策として以下のように記述している。
---------------------------------------------------------
お客様の個人情報を安全に管理・運営するよう鋭意努力しており、個人情報への外部からの不正なアクセス、個人情報の紛失・破壊・改ざん・漏えいなどへの危険防止に対する合理的かつ適切な安全対策を行っています。また情報管理責任者を置き、個人情報の適切な管理に努めるとともに、情報セキュリティに関する規程を設けて社員への周知徹底を実施しています。
---------------------------------------------------------
当該社の個人情報保護方針では上記のように個人情報の流失への対策を規程を設け行うとしている。因みにJIPDECのリストにはなく、プライバシーマーク認定業者ではないようだ。
メール送信での規程もあるとのことだが、それが有効に機能しなかったということになる。 その結果、協会の他の会員企業へ関連会員の情報が流れてしまった。
このようなメールが問題になる場合として、まず信用失墜がある。それ以外として考えられるのは企業行動を始めとするビジネス情報の漏えいである。これは実害につながる。
今回誤送信メールの結果、当該協会のメール送信のやり方に対して会員に不信の芽が生まれたに違いない。
協会は同業者が多く集まっている場所である。その意味で自社の企業活動が同業他社に漏洩する恐れがあるということになる。
例えば、会員がビジネスを展開するなかで、売り買いの行動と情報が他の企業・関連業者に漏れるかもしれないということになる。
誤送信対策としては、やはり規程の順守のための教育が取り組みやすいものであるが、多人数の場合限界がある。組織的チェックシステム等の仕組みとしてのリスクマネジメントが必要である。
しかし、単純にチェックを厳密にやりすぎると業務の効率上支障が出てくる恐れもああり、情報の重要性に応じたチェックシステムを検討すべきである。
直ぐ実行できる仕組みとして、メール送信時は別の担当者、上司等のチェックの上送信実行するなどの組織的取り組みが望まれる。
できれば、市販のメール誤送信防止ソフトウェアの導入等が理想的であろう。
このコラムに類似したコラム
個人情報の取扱い、マネジメントシステム、情報セキュリティ 小林 和樹 - ISOコンサルタント(2012/02/14 19:47)
ISO27001(ISMS)、プライバシーマークの具体策 人見 隆之 - ISOコンサルタント(2010/12/21 10:52)
情報セキュリティは、業務改善とも大いに関係してくる 人見 隆之 - ISOコンサルタント(2013/05/15 10:11)
プライバシーマーク取得の流れ(詳細な作業項目) 小林 和樹 - ISOコンサルタント(2012/03/19 18:46)
いやな感じ?でも必要?-デジタルフォレンジックとファイル消去 小林 和樹 - ISOコンサルタント(2012/02/25 20:33)