TOP情報セキュリティ> 住所データを添付したメールで流出した事故例と対策例
メールコンプライアンスの実現
メールコンプライアンスの実現に向けて

第2回:メール事故の傾向と、今取りうる対策
著者:ホライズン・デジタル・エンタープライズ  宮本 和明
2006/9/11
前のページ  1  2  3  次のページ
住所データを添付したメールで流出した事故例と対策例

   先に取り上げた2件の流出データは、「メールアドレスのリスト」のみとなっています。しかし、もう少し深刻な流出事件の例もあります。以下で、その例を紹介します。
事故例2-1

   まずは、NHK広島放送局からも7月25日に流出しています。

NHK広島放送局の地域情報番組「お好みワイドひろしま」(広島県域放送 月〜金・午後6時10分〜7時)の夏休み企画「夏休み子ども探検隊」の出演希望者に事前取材をするため、7月25日夜、アンケート調査票を同番組制作スタッフが電子メールで11人の方々に送付したところ、添付ファイル内にアンケート以外の文書があり、過去の応募者の個人情報が記入されていました。

添付ファイルに記入されていた個人情報は、平成16年と平成17年の同企画に応募した小学生97人分の氏名、住所、電話番号、FAX番号、Eメールアドレス、保護者の氏名、緊急連絡先、保護者に行ったアンケート回答の一部です。

「個人情報を含んだ文書ファイルの誤送信について」NHK広島放送局(2006/09/01記録)
http://www.nhk.or.jp/privacy/oshirase060727.html

   「添付ファイル内にアンケート以外の文書があり」とあり、これがWordなのかExcelなのかPDFかまではわかりません。

   想像力を働かせると、例えば「Excelの1シート目にアンケートがあり、2シート目にはお客様リストを記録して保管をしていた。そして、次回のアンケートの時には担当者が変わり、1シート目のアンケートを作り直したが、2シート目(sheet2)に気づかずに送ってしまう」といったケースが考えられます。
事故例2-2

   典型的な会員情報の流出の例です。8月11日に発生しています。

1.個人情報流出の経緯
 弊社のXEX会員名簿にご登録いただいている会員様のうち、電子メールアドレスをご登録いただいている321名の会員様に対し弊社直営店にて開催予定のイベントに関するお知らせをご連絡させていただく準備の過程で、個人情報の一部が記載された電子メールの誤送信が生じました。

(中略)

 2.流出した個人情報
 流出した個人情報は、以下のとおりであります。
総件数:XEX会員様のうち会員名簿にご登録いただいている会員様2,486名の個人情報の一部
流出先:XEX会員様のうち会員名簿に電子メールアドレスをご登録いただいている会員様251名に対して、個人情報の一部が記載された電子メールの誤送信が行われました。他70件につきましては宛先不明として送信されておりません。
内容:
1. XEX会員様のうち会員名簿に登録されている会員様2,165名の郵便番号と住所
2. XEX会員様のうち会員名簿に登録されている会員様321名の電子メールアドレス、郵便番号及び住所
なお、XEX会員名簿にご登録いただいている会員様のうち、電子メールアドレスから推測される方を除き、個人名につきましては流出した事実はございません。

「XEX会員に関する個人情報の一部流出に関するお詫び」ワイズテーブルコーポレーション(2006/09/01記録)
http://www.ystable.co.jp/corporate/ir/pdf/060811_pressrelease.pdf

   これらの例は、住所を含むデータを含んでいる点で、被害としてはより大きいといえます。メールアドレスであれば変更することも容易ですが、住所となると引越しをしない限り変更することはできません。
対策例2

   住所リストというのは多くの会社も持っており、これが流出すると被害は膨大になります。

   この対策としては、添付ファイルをそもそも禁止するといった方法も考えられますし、あるいは特定のファイル名のものをチェックするといった方法も考えられます。

   しかしもっと「住所」という点にフォーカスをして考えると以下のような例が考えられます。

パターンマッチによる大量送信の防止
図2:パターンマッチによる大量送信の防止
(画像をクリックすると別ウィンドウに拡大図を表示します)

   これは、「本文(添付を含む)に、「都・道・府・県・市・町・村・郡・区」のいずれかが50回以上存在する」という条件をチェックするものです。

通知
管理者に通知
アクション
削除
ルール条件
以下の条件に一致

  • 検索対象:本文(添付を含む)
  • 検索文字列:都|道|府|県|市|町|村|郡|区
  • 条件:一致する
  • 頻度:50回以上

表2:パターンマッチによる大量送信の防止の設定

   「頻度」は扱う可能性のあるデータに応じて決定することになります。
前のページ  1  2  3  次のページ
本記事で、事故例として引用したものはいずれも各社のホームページ上に2006年9月1日時点で記載されていたものです。各社とも今後漏洩をしないための対策についても、同じホームページ上に発表されております。
株式会社ホライズン・デジタル・エンタープライズ 宮本 和明
 著者プロフィール
株式会社ホライズン・デジタル・エンタープライズ  宮本 和明
代表取締役副社長。1997年からLinuxに関するビジネスに取り組み、サーバ管理ソフトウェアHDE Controller、電子メールエンジンHDE Customers Careなどのパッケージソフトウェアの開発に携わる。金融・流通・自治体など様々な業種の電子メール関連システムにも携わり、今後のメールシステムの行く末を見守り続けている。


INDEX
第2回:メール事故の傾向と、今取りうる対策
  To:、Cc:に多数のアドレスを入力してしまう事故例と対策例
住所データを添付したメールで流出した事故例と対策例
  その他の想定事故例と対策例