個人情報漏洩の7つの原因と根本的な対策とは
- 2020/8/20
- 法令コラム
2017年の5月30日に改正個人情報保護法が施行されました。2003年に公布・2005年に全面施行された個人情報保護法が約10年ぶりに改正されたのです。背景には、個人情報に該当するかどうかの判断が困難になりグレーゾーンが拡大したこと、パーソナルデータを含むビッグデータの適正な利活用が求められるようになったこと、事業活動がグローバル化して国境をこえて多くのデータが流通するようになったことがあります。
改正個人情報保護法では、個人情報取扱事業者の定義も拡大されました。従来は保有している個人情報の件数が5000件を超えていなければ個人情報保護法の規制対象となる個人情報取扱事業者から外されていました。しかし、2017年の個人情報保護法改正で、たった1件でも個人情報を取り扱っている事業者も個人情報取扱事業者となり、個人情報保護法の規制の対象になったのです。
昨今のスマートフォンの普及により、一人ひとりの行動や現在地などに応じたきめ細やかなサービスを受けられるようになりました。一方で、ユーザー側は個人情報を取得されることへの不安感が高まっています。事業者は、今後、個人情報を含む情報漏洩には一層気をつけなければいけないでしょう。では、情報漏洩を防ぐためには何に気をつければいいのでしょうか?まずは、個人情報の漏洩原因から考えてみたいと思います。
漏洩事故報告から判明した個人情報の漏洩原因
プライバシーマーク(Pマーク)を付与する一般社団法人日本情報経済社会推進協会(JIPDEC)は、毎年Pマーク取得事業者からの事故報告内容をまとめて「個人情報の取扱いにおける事故報告にみる傾向と注意点」として公表しています。
平成29年度「個人情報の取扱いにおける事故報告にみる傾向と注意点」によると、個人情報漏洩事故の原因は以下のとおりです。
- メール誤送信(26.5%)
- 紛失(19.1%)
- その他の漏洩等(15.1%)※「ウイルス感染」など
- 封入ミス(13.7%)
- 宛名間違い(12.5%)
- その他(7.8%)※「車上荒し」「置引き」など
- その他誤送付(5.2%)
平成28年度からの変動幅をみると、「メール誤送信」の増加幅がもっとも大きく、前年度から5.8ポイントアップしました。次に増加幅が大きかったのが「その他漏洩等」で、1.2ポイントアップしていたそうです。
メール誤送信による個人情報漏洩の事故事例
「メール誤送信」の事故報告件数全体に占める割合は、平成25年度以降増加にあるようです。平成29年度「個人情報の取扱いにおける事故報告にみる傾向と注意点」では、平成29年度に報告されたメール誤送信事故を3つのパターンに分けています。
事故事例1. メール宛名間違い
- アドレス帳から同性の別人のメールアドレスを選択した
- メーラーのオートコンプリート機能により別人のアドレスが表示されているにもかかわらず、そのまま送信先メールアドレスとして設定した
- 送信先メールアドレスをコピー&ペーストして利用する際、並行して作業していた別人のメールアドレスを誤ってコピー&ペーストした
- 送信先メールアドレスをコピー&ペーストして利用する際、並行して作業していた別人のメールアドレスを誤ってコピー&ペーストした
- メール送信先の対象として、誤って退会者のメールアドレスも抽出した
事故事例2. ファイルの添付ミス
- A社にメール添付でデータを送信する際。誤ってB社のファイルを添付してメールを送信した
- C社にExcelファイルをメール添付で送信したところ、D社の個人情報が記載されたシートが添付ファイルに含まれていた
事故事例3. BCCとTO/CCの誤り
- 応募者全員に案内メールを送信する際に、BCC送信すべきところを、TOやCCにて送信した
メール誤送信による情報漏洩を防止するには
メール誤送信の防止策としては、一般的には以下の対策が効果的と考えられています。
メール誤送信の対策1. メール送信前確認の徹底
メール送信前には、宛先、文面、添付ファイルを再度確認することを徹底する。ルール化し、関係者に教育する必要があります。
メール誤送信の対策2. メーラーの設定変更
メーラー(メールを送受信するアプリケーション)の設定を変更し、メールの送信ボタンを押したとき、メールが送信トレイに一定時間滞留し、すぐには送信されない仕組みにする方法などがあります。
メール誤送信の対策3. 添付ファイルの暗号化
万が一メール誤送信が発生した場合でも、添付ファイルに記載された個人情報が送信先に漏れないように、暗号化やパスワード設定による秘匿化することが推奨されています。
参考:平成29年度「個人情報の取扱いにおける事故報告にみる傾向と注意点」
個人情報漏洩の7つの原因と根本的な対策とは:まとめ
どんなに注意してメール送信作業を行っても、メールの誤送信をゼロにすることは容易ではありません。例えば、情報漏洩対策としてメーラーの設定変更を行って、一定時間送信トレイに滞留させても、その間に確認作業が適切に行われなければ依然として情報漏洩のリスクは残ります。また、添付ファイルにパスワードロックをかけても、間違えてパスワードを送ってしまえば、添付ファイル内の個人情報が相手に漏れてしまうのです。
つまり、メールで情報をやり取りしている限り、メール誤送信による情報漏洩のリスクはなくなることは難しいのです。