#795 差し込みデータとなるCSVファイル作成時にミス ～ 小樽商科大学 メール誤送信

今回は、国立大学法人北海道国立大学機構小樽商科大学が発表した、メール誤送信による個人情報の漏えいについてのニュースを取り上げます。このインシデントは、学生支援課の職員が奨学給付金に関する案内メールを送信する際に発生しました。リスナーの皆さんは、今回の放送を通じて、メール誤送信のリスクやその対策について理解を深めることができるでしょう。それでは、早速内容に入っていきましょう。

今回のインシデントは、3月26日に発生しました。学生支援課の職員が奨学給付金に関する案内メールを送信する際、メールソフトの差し込み機能を使用しましたが、CSVファイル作成時にメールアドレスデータの作成ミスがあり、227件の誤送信が発生しました。具体的には、学生Aのプライベートメールアドレスに学生Bの大学が発行した公式メールアドレスが送信され、逆に学生Bの大学メールアドレスには学生Aのプライベートメールアドレスや奨学生番号、学生番号が送信されてしまったのです。
この誤送信が発覚した後、大学は対象の学生に謝罪し、誤送信したメールの破棄を要請しました。現時点では、学生からのクレームは寄せられていないとのことです。再発防止策として、大学は送信先メールアドレスを大学メールアドレスのみに限定し、個人のメールアドレスへの送信を行わないことを徹底すること、また、学務情報システムには大学メールアドレスを登録し、大学担当者が学生へメールを送信する際にはこの大学メールアドレスを使用することを徹底することを決定しました。

差し込み機能とは、メールソフトや文書作成ソフトにおいて、特定のデータを自動的に挿入する機能のことを指します。例えば、顧客リストや学生情報などのデータをCSVファイルとして用意し、そのデータを元に個別のメールを一斉に送信することができます。この機能を使うことで、手作業で一つ一つのメールを作成する手間を省くことができ、効率的に情報を伝えることが可能です。しかし、データの準備や確認を怠ると、今回のように誤送信が発生するリスクが高まります。

今回の誤送信は、CSVファイル作成時の参照ミスが原因です。具体的には、学生支援課の職員がメールを送信する際に、正しいメールアドレスを参照することができず、誤った情報を使用してしまいました。このようなミスは、特に大量のデータを扱う場合に発生しやすく、注意深い確認が必要です。また、職員の教育やシステムの使い方に関するトレーニングが不足していた可能性も考えられます。

今回のインシデントに対する具体的な対策として、大学は送信先メールアドレスを大学メールアドレスのみに限定することを決定しました。これにより、個人のメールアドレスへの送信を防ぎ、誤送信のリスクを低減します。また、学務情報システムに大学メールアドレスを登録し、大学担当者が学生へメールを送信する際にはこの大学メールアドレスを使用することを徹底することで、誤った情報の送信を防ぐことができます。さらに、職員に対する教育やトレーニングを強化することも重要です。

実際の状況で対処するためには、まずメールを送信する前に、送信先のアドレスや内容を慎重に確認することが重要です。特に差し込み機能を使用する場合は、データの正確性を確認するために、テストメールを自分自身や信頼できる同僚に送信してみることをお勧めします。（また、誤送信が発生した場合には、速やかに対象者に謝罪し、誤送信したメールの破棄を要請することが重要です。さらに、再発防止策を講じることで、同様の問題を未然に防ぐことができます。

インシデントがもたらす影響は、個人情報の漏えいによる信頼の損失や、法的な問題が発生する可能性があります。また、学生や関係者に対する影響も大きく、プライバシーの侵害が懸念されます。このようなインシデントから得られる教訓は、データ管理や情報の取り扱いに対する意識を高めることが重要であるということです。特に、個人情報を扱う際には、慎重な確認と適切な対策が必要です。

再発防止のためには、まず組織全体での情報セキュリティーに関する意識を高めることが重要です。定期的なトレーニングやワークショップを実施し、職員が最新のセキュリティー対策を理解し、実践できるようにすることが求められます。また、システムの改善や自動化を進めることで、人為的なミスを減らすことも効果的です。さらに、定期的な監査や評価を行い、問題点を早期に発見し、改善策を講じることが重要です。