情報漏洩の3割を占めるメール誤送信!対策と事例、誤送信時の対処法を解説
プライバシーマーク審査機関の一つ日本情報経済社会推進協会(JIPDEC)の事故報告によるとメール誤送信は、情報漏洩の原因の約30%を占めています。しかしメール誤送信による情報漏洩事故はあとを絶ちません。
そこで、メール誤送信に関する【情報セキュリティクイズ】です。
「お客様各位」で年末のご挨拶メールを受信。受信後、CCの欄にほかのメールアドレスが10件程入っていることがわかりました。受信したあとの対処方法で正しい選択肢はどれでしょうか?すべて選択してください。
①メールを受信後、既にCCに入っている別の企業の担当者が全員返信でメールを送信していたので、自分も重ねて全員返信をした
②送信元のお客様へ電話で年末のご挨拶と共に、CCとBCCの誤りをお伝えし、受信したメールは削除することをお話し、その後、メールは削除した
③送信元のお客様だけにあて先を絞り、また、返信時の文面に記載してあるほかの企業のアドレスも削除した上で、お客様へご挨拶と共にCCとBCCの誤りをお伝えし、メールを削除する旨をお伝えした
いかがでしょうか。
・
・
・
正解は②③です。
あて先のアドレスをすべてTOに入れてしまったり、CCとBCCを間違って送信する事故は多々発生しており、日々漏洩事故のニュースとして報道されています。自身が気を付けることは勿論、受け取ってしまった場合も、全員に返信することで漏洩のリスクがあります。十分に気を付けましょう。
本記事では、誤送信メールの種類や要因・事故事例・誤送信を防ぐ対策・誤送信してしまったときの対処法をご紹介します。
メール誤送信について
誤送信メールの種類
メール誤送信の要因
メール誤送信の事故事例
メールを誤送信してしまったときの対処法
メール誤送信を防ぐ対策
メール誤送信対策に欠かせないセキュリティ教育
メール誤送信について
デジタル化が進み、個人情報や機密情報を電子メールで送受信する機会は一般的になってきました。
情報漏洩の原因の約30%がメール誤送信によるもので、従業員のおよそ4人に1人がメールの誤送信を経験しています。(参考:メール誤送信の実態調査 2023)
メール誤送信による情報漏洩が企業に与えるリスクは大きく、事故発生後の報告・対応・対策のほか・漏洩内容によっては業務の停止や企業のイメージダウン、業務停止に発展することも考えられます。
メールの誤送信による情報漏えいの種類
メールの誤送信による情報漏えいの原因には、大きく分けて次の4つの種類があります。
- あて先間違い
- 添付ファイルの間違い
- 本文の間違い
- BCCをTO・CCで送信
「自分にも心当たりがある」と思われる方もいらっしゃるかもしれません。この章で詳しく見ていきましょう。
あて先間違い
1つ目として、あて先を間違えて送ることがあります。
- メールアドレスを入力するときに、誤った文字や数字を手入力してしまった
- 本文のあて名を間違ってしまった
- 送信先の候補が表示される自動補完機能(オートコンプリート)で、誤った送信先を選択してしまった
- 同姓同名の人、メールアドレスが似ている人がいて、誤って別の人にメールを送信してしまった
- メーリングリストの設定を誤り、退職済みの人や第三者を含めてしまった
ヒューマンエラーといわれる操作ミスが原因で、メール誤送信が発生してしまいます。
添付ファイルの間違い
2つ目は、添付するファイルの間違いです。
- 見積書を間違えて競合先のものを送ってしまった
- 間違えたファイル内容が、顧客データなど個人情報を含むものだった
- ファイルのプロパティ情報を削除できておらず作成元の別会社が記載されていた
フォルダ整理をせずファイルが混在している場合や、慌てて焦ることで起こるケースが見受けられます。
本文の間違い
3つ目は、メールの本文の間違いです。
- 本文をコピペした際に他社のお客様名で送ってしまった
- 前の資料を引用して貼り付け、訂正せずに送ってしまった
- メール本文の添削前に記載していた機密情報を送ってしまった
作成後の確認をせず送信してしまったり、慌てて焦ったり、間違えて送信ボタンを押してしまったりすることが原因です。
BCCをTO・CCで送信
メールのあて先には、送信先(あて先)である「To」のほかに、メールのコピーを送信するあて先に「CC」と「BCC」があります。
- CC(カーボンコピー)…全員に公開される
- BCC(ブラインドカーボンコピー)…ほかの受信者には公開されない
会員にお知らせメールを送る際、BCCで非公開にするべきアドレスを、誤ってCCに入力してしまい、会員全員のアドレスが公開されてしまった事例があります。単なる入力ミスの場合と、CCとBCCの違いを知らなかった場合が考えられます。
メール誤送信の要因
メール誤送信による情報漏洩の要因の大部分は、操作する人間のミス(ヒューマンエラー)です。そのほかに環境の要因があります。
- 人的要因
- 環境要因
この章では、メール誤送信の要因を解説します。
人的要因
メール誤送信をしてしまう人的要因の背景には、人間の意識や心理が影響しています。
- 「大丈夫だろう」と、従業員が情報漏洩のリスクを軽視している
- 「業務が忙しくて、細かくチェックしている時間がない」と、焦りからチェックを怠っている
- 「誰もしていないから自分も守りたくない」と、組織風土や危機管理意識の低さからルールがあっても形骸化している
そのほかにも、長時間労働や体調不良などの注意力低下から、「うっかり」や「焦り」などの感情がミスを引き起こしています。
環境要因
人的要因のほかには環境による要因も考えられます。
- メールソフトの新しい機能を適切に使えない
- 組織におけるメール利用ルールの徹底
- メール誤送信防止機能の導入・有効化
環境の要因は本来送信者が意図していない行動を環境が作り出してしまいます。
その結果、「メールのツールが複雑で使いにくい」、「スムーズな操作ができない」などの焦りや苛立ちの感情が人的要因を作り出してしまいます。
メール誤送信の事故事例
この章では、メール誤送信の事故事例を4つご紹介します。
- あて名間違い
- 添付ファイル間違い
- 本文間違い
- BCCとCCの間違い
これらは、身近に起こりうる事例です。他人事にせず自分に置き換えてセキュリティ意識を高めましょう。
メールアドレスの入力ミス
2024年1月、厚生労働省が職員と一般人合わせて675名分の個人情報を漏洩する事故が起きました。
同省では、緊急連絡先として休日・夜間の業務連絡に私用のメールアドレスを使用していました。職員の一人が自身のメールアドレスを誤って登録。2023年9月以降、誤って登録されていたメールアドレスに、個人情報を含む緊急連絡のメールが送られていました。送信後にエラーが返ってこなかったために誤ったメールアドレスに届いている模様です。
同省は今後の対策として、業務で私用メールアドレスの使用は禁止し、「私用のスマートフォンから仮想デスクトップにアクセスしてメール確認する」と説明しました。
元データを削除せず添付
2024年5月、上智大学が在籍学生13,949名分の個人情報を漏洩する事故が起きました。
同大学では、海外提携校3校の担当者宛てに留学プログラムの参加者リストを送信。リスト作成時に、元データとして学生情報を含むデータを使用していましたが、作成後に元データのシートを削除せずそのまま送信していました。1カ月後、別のリスト作成時に元データが残っているファイルを発見したことから誤送信が発覚したのです。
同大学では、対処として送信先に対して元データの削除を依頼し、誤送信された個人情報を含む添付ファイルは削除されていることを確認しました。また、全学生に対して、個別にメールで謝罪と説明を行いました。
引用元情報の確認不足による誤送信
メール本文の内容に関して公になる具体例は見当たりませんでしたが、以下のような事例を見たり聞いたり体験したことはありませんか。
- メールを送信する際、新規作成をせず、それまでにやり取りしていたメールを引用。その際、古い内容を訂正したり削除したりせずそのまま送信してしまった。
- 同時に2件の異なる業務を進めていたところ、1件の納品時間が迫ってきたので、慌てて書きかけの文書を確認せず送信。あるいは、もう1件の納品文書を誤送信した。
メール誤送信で約1割の方が、別の情報を送ったり受け取ったりしています。
参考:【メール誤送信の実態調査2023】
BCCで送付すべきところをCCで送信
2024年4月、いばらき量子線利活用協議会では、239件のメールアドレスが漏洩するという事故が発生しました。そのうち、個人名が特定できるメールアドレスは205件でした。
同事務局ではメールマガジンを会員企業に送信する際、BCCで送信するところをCCで送信。20分後、事務局が誤送信を認知し、会員企業に対しメールおよび電話での謝罪と誤送信メールの削除依頼を行いました。
今後の対策として、送信前の複数人によるチェックの徹底と定期的な情報セキュリティ研修と訓練の実施を行うということです。
メールを誤送信してしまったときの対処法
メール誤送信をしてしまったときには、気づいた時点でできる限り早く対処することが重要です。
もし誤って個人情報や機密情報が漏洩してしまった場合は、相手に連絡する前にまず上司に相談や報告をし、今後の対策についての指示を仰ぎます。
誤送信してしまった相手先に対して、できるだけ早く謝罪の連絡をします。メールは開封する時間がかかる可能性があるので、情報漏洩などの誤送信の内容によっては電話を先に入れましょう。
謝罪内容は以下のとおりです。
- 誤送信したことへの謝罪
- 誤送信の原因
- メール削除の依頼
- 反省と今後の対策
言い訳の印象を与えないように、事実を簡潔に伝えます。
メール誤送信を防ぐ対策
メール誤送信を防ぐ対策は、主に以下のとおりです。
・運用ルールを決めておく
・送信前にチェックリストで確認する
・ダブルチェックをする
・メール誤送信防止ツールを導入する
・従業員のセキュリティ意識を高める
メール誤送信を防ぐには、1つだけの対策をするのではなく、複数の対策を組み合わせて防ぐのがいいでしょう。
では、一つずつ解説します。
運用ルールを決めておく
一つ目の対策は、運用ルールを決めておくことです。
≪運用ルールの一例≫
- メールアドレスのオートコンプリート(予測入力機能)をオフにする
- アドレス帳・メーリングリストから退職者や不要な連絡先を削除しておく
- 添付ファイルは暗号化し、パスワードは別メールで知らせる
- 送信メール作成後・あて先・添付ファイル・本文・BCCを確認してから送信する
- CCに社内関係者を入れる
運用ルールは、業務や環境など自社の状況に合わせて作成します。
送信前にチェックリストで確認する
二つ目の対策は、チェックリストを作成し、送信前に確認することです。
≪チェックリストの一例≫
- 送信先に誤りはないか
- 件名は記載されているか
- CC・BCCは適切に設定しているか
- 添付データに誤りはないか、添付忘れはないか
- 送信相手の社名や名前に誤りはないか
- メールの内容の誤りや誤字・脱字はないか
- 送信は正常に行われたか
送信前のチェックリストを作ることで、確認する部分を明確にできます。
ダブルチェックをする
三つ目の対策として、第三者によるダブルチェックを行うことがあげられます。
第三者がチェックすることで、メールを作成した本人では気が付かなかったミスを発見できる場合があります。しかし、すべてのメールを第三者が目視でチェックするのは、業務に負担がかかり効率も良くありません。
重要な情報が含まれるメールについて、上長など第三者の確認後に送信する、またはCCに上長を必ず入れる、などのルール作りが必要です。
メール誤送信防止ツールを導入する
四つ目の対策として、メール誤送信防止ツールの導入があります。メールの送信前に、ツールによる自動チェックを行うことでメールを網羅的にチェックできます。
メール誤送信防止ツールの主な特徴は以下の3つです。
- 送信をしても別の人がチェックし、承認をしないと送信されない仕組みを実装する
- 添付ファイルを自動的に暗号化することで情報漏洩を防ぐ
- CCやBCCのあて先に必ず、指定の社内メンバーやメーリングリストを入れることで送信ができる設定にする
メール誤送信防止ツールにはこのほかにも、確認ダイアログ・遅延送信・ポリシーチェックなど、さまざまな機能があります。
従業員のセキュリティ意識を高める
メール誤送信を防ぐ五つ目の対策として、従業員のセキュリティ意識を高める必要があります。
メール誤送信の原因の多くは送信者の操作ミス(ヒューマンエラー)と考えられます。個人のちょっとした不注意で起こるメール誤送信が、場合によっては、企業に大きなリスクを与える可能性があるのです。
メール誤送信の対策の一つとして、従業員一人一人がルールを守る必要性があることを認識し、運用ルールの周知とセキュリティポリシーへの理解を教育する必要があります。
メール誤送信対策に欠かせないセキュリティ教育
ここまで、メールの誤送信について、その原因や対策をご紹介してきました。誤送信による情報漏洩を防止するためには、運用ルールの順守や技術的な対策だけでなく、従業員のセキュリティ意識を向上させるための教育が必要不可欠です。
日本パープルが提供するコーチマモルの「情報セキュリティ教育」は、300社以上の教育コンサルティング実績を持った経験豊富な講師が担当いたします。
参加者のセキュリティレベルに応じた実践的な研修を行っており、企業の要望や課題に応じたカスタマイズも可能です。
自社にあった情報セキュリティ対策に興味を持たれましたら、お気軽にご相談ください。
