【セキュリティ事件簿#2023-116】東京都 個人情報(メールアドレス)の漏えいについて 2023年03月17日


生活文化スポーツ局において、個人情報を漏えいする事故が発生しましたので、お知らせします。

関係者の方に多大なご迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1 事故の概要

(1)発生日
令和5年3月16日(木曜日)

(2)漏えいした個人情報
参加者及び登壇者103名のアドレス105件

(3)事故の概要
3月16日に開催した「ウクライナ避難民支援連携フォーラム」について、参加者及び登壇者に資料の事前配布のメールを送信するところ、誤ってメールアドレスをBCC欄ではなく宛先欄に入力して送信

2 経緯

  • 3月16日(木曜日) 13時50分
    • 「ウクライナ避難民支援連携フォーラム」参加者及び登壇者103名(アドレスは105件)に対し、職員がメールを宛先欄で一斉送信
      すぐに、メールの送信取消機能による処理を実施した結果、宛先欄にメールアドレスが入力された状態で、再度、メールが自動送信されてしまった。
  • 同日14時8分
    • メールの送信取消機能による処理を、再度実施。結果、宛先欄にメールアドレスが入力された状態で、3回目のメールが自動送信されてしまった。
  • 同日17時49分
    • 送信先に当該メールの削除依頼のメールを送信、電話での説明を開始
  • 同日18時29分
    • 取消処理のメールに対して、参加者の一人が全員宛に返信。その結果、宛先欄にメールアドレスが入力された状態でメールが送信された。
  • 同日19時41分
    • 「TO(宛先)」になっているものについては削除をお願いし、そのメールには返信しないようすることについて、再度、メールで依頼
  • 3月17日(金曜日)13時00分時点
    • 流出したメールアドレスの所有者に電話連絡。103名中98名へ謝罪・説明(5名不在)
    • 不在の5名の方には、引き続き連絡していく
    • 現在のところ二次被害等の連絡は受けていない
3 発生原因と再発防止策

(1)発生原因

本件は、外部の複数の相手先へ同時にメールを送る際、通常は複数の職員でBCC欄にメールアドレスが入力されていることを確認した上で送信しているところ、複数の職員での確認を行わなかったことが原因です。

また、フォーラム開催中であり、管理職をはじめ多くの職員が、事務室内におらず、送信を担当した職員がすぐに報告した上で対応することが困難だったため、適切な事後処理が行われなかったことによります。

(2)再発防止策

  • 局内の全部署に対し、事故の再発防止に確実に取り組むよう通知を発出するとともに、生活文化スポーツ局サイバーセキュリティ委員会を開催し、個人情報等の適正な取扱徹底について周知しました。
  • 今後は、外部の複数の相手先へメールを送付する際は、必ずメールアドレスをBCC欄に入力するとともに、他の職員による確認を行うというルールについて、全職員に再徹底し、再発防止を図ってまいります。
    また、局職員全員に改めて注意喚起を行い、事業執行体制も含め、全部署において再発防止に向けて万全を期してまいります。