メールの誤送信事案が発生しました
くらしの安全安心課において、業務の受託事業者と連絡をする際に、一定期間、誤ったメールアドレス(1名)にメールを送信し続ける事案が発生しました。その中に個人情報が含まれている事案もありました。
また、当該誤送信メールを確認する過程で、こども未来課からの委託業務においても、当該受託事業者が誤ったメールアドレスに個人情報を送信する事案が発生していたことが判明しました。
このような事案が発生したことを重く受け止め、再発防止に努めてまいります。
記
1 事案の概要
【事案1(くらしの安全安心課)】
〇 昨年8月14日に、当課の業務の受託事業者(株式会社コミュニティジャーナル)とメールによる打ち合わせを行う際に、受託事業者役員A(以下、 「A」と表示)からの往信にCC(同報)設定されていた同社社員B(以下、「B」と表示)のフリーメールアドレスが誤っていた。
〇 このメールを受けた当課職員が、そのメールに対しAを含む同報者全員に返信するため「全員に返信」を選択した結果、誤ったフリーメールアドレスにも当課からの返信メールが送信された。
〇 以後、そのフォームをメール打ち合わせに繰り返し使用したため、令和2年1月30日までの間に、計39件のメールを誤送信したもの。
〇 そのうち個人情報が記載されていたものは4件。
【県が送信したもの】
・講師の旅行日・行程・旅費 1件
【受託事業者が送信したもの】
・講師の行程・宿泊先 1件
・受託事業者の従業員の氏名(姓のみ) 1件
・受託事業者の個人メールアドレス
1件
【事案2(こども未来課)】
○当課の委託事業(「SAGA未来デザイン事業」)で11月17日に開催するイベントの「参加者名簿(37名分)」を、11月15日に受託事業者Aが当課へ参加者名簿が添付されたメールを送信する際、CC(同報)に設定していたBのフリーメールアドレスが誤っていた。
○「参加者名簿」には、参加者の「氏名」・「年齢」・「性別」・「学校名」(大学、短大等の名称)が記載されていた。
2 発生原因
送信先メールアドレスの確認が不十分であったため
3 事案発覚の経緯及びその後の対応
【事案1(くらしの安全安心課)】
〇 1月30日(木曜日)、初めてBにメールを送ることになった別の本課職員がこれまでのやりとりで使用されていたBのフリーメールアドレスに送信。
〇 送信後、念のため、Bに確認の電話を入れたところ、未受信ということだったので、アドレスを確認してもらった結果、Bのアドレスが誤りであったことが判明。
〇 そこで当課に残っている受託事業者とのメールを調べたところ、誤ったアドレスへの送信が複数確認できたため、翌日、受託事業者に対し、当課と交わされたメールの写しの提出を求め、2月3日(月曜日)に提出されたものの内容を精査し、誤送信件数や記載された個人情報を確認した。
〇 県から個人情報を誤送信された当人(講師)へは、出向いて本人に状況を説明し謝罪。
〇 誤送信先は実態が不明のため、誤送信したフリーメールアドレスへ誤送信の謝罪とメール削除を依頼するメールを送信。
【事案2(こども未来課)】
○1月31日(金曜日)、くらしの安全安心課から、同様の事例がないかとの情報を受けた。
○2月5日(水曜日)、受託事業者から当課職員あてのメールの写しの提供があり、内容を確認したところ、「参加者名簿」が含まれた当該メールが、誤ったフリーメールアドレスに同報されていたことが判明した。
○2月6日(木曜日)、参加者37名に電話し、連絡がついた24名に状況を説明、謝罪を行うとともに、これまでに被害がなかったことを確認した。現時点で連絡がついていない13名にも引き続き連絡を取っていく。
4 再発防止策
職員及び受託事業者に対し、「佐賀県個人情報保護の基本方針」、「佐賀県情報セキュリティ基本方針」に基づき、個人情報を適切に取り扱うよう周知・徹底を行います。
なお今回の事案では、受託業者が自らCCにメールアドレスを設定していたために、正しいメールアドレスだと確信して、確認が不十分であったことも要因の一つと考えられます。
今後、特にGメールアドレスなどのフリーメールに送信する際には、その前に相手方へ電話で確認する、確認できなければ送信しないなど、通常のメールアドレスに送信する以上に慎重・適切に取り扱うよう、周知・徹底を行います。