メール誤送信の法的リスク
——改正個人情報保護法で何が変わったか
「宛先を間違えてしまった」「CCとBCCを逆にした」——誰もが一度は経験しそなヒヤリハット。しかし2022年の個人情報保護法改正以降、こうしたうっかりミスが法的義務を発生させる「事故」として扱われるようになりました。罰金は法人で最大1億円。「不正アクセスではないから大丈夫」は通用しません。
2022年改正で何が変わったのか
2022年4月に全面施行された改正個人情報保護法には、企業にとって見落としやすい重要な変更が含まれていました。それが「漏洩報告の義務化」です。
それまでは、個人情報が漏洩した場合の行政への報告は「努力義務」にとどまっていました。しかし改正後は、一定の条件を満たす漏洩が発生した場合、個人情報保護委員会への報告と、被害を受けた本人への通知が義務となりました。
・速報:漏洩を知った時点からおおむね72時間以内に個人情報保護委員会へ報告
・確報:30日以内(不正目的が疑われる場合は60日以内)に詳細を報告
・本人通知:原則として漏洩した本人にも通知が必要
・対象:要配慮個人情報の漏洩、財産的被害が生じるおそれがある漏洩、不正目的による漏洩、1,000件以上の漏洩など
ポイントは、これが「不正アクセス」に限った話ではないということです。内部の人間による誤操作、つまりメールの誤送信であっても、個人情報が外部に渡った時点で「漏洩」として同様に扱われます。
「うっかりミス」でも漏洩は漏洩——たとえ話で理解する
近所の田中さんに「先日の件、ご請求書を同封します(氏名・住所・取引金額記載)」と書いたハガキを送ろうとして、誤って隣の鈴木さんの郵便受けに投函してしまったとします。
悪意はまったくありません。しかし田中さんの個人情報(氏名・住所・金額)が、本来見るべきでない鈴木さんの手に渡ってしまった——これは立派な「個人情報の漏洩」です。
メールの誤送信は、これと同じことがデジタルの世界で起きています。しかも、メールは1クリックで数十人に送れるため、被害の規模がはるかに大きくなる可能性があります。
「故意ではないのに?」と思う方もいるかもしれません。しかし個人情報保護法は、漏洩の原因が不正アクセスであるか内部ミスであるかを区別しません。「個人情報が本来の受信者以外に渡った」という事実が問われるのです。
罰則はどのくらい重いのか
改正前の個人情報保護法は「勧告・命令」が主な行政処分であり、刑事罰もせいぜい30万円以下の罰金でした。しかし2022年改正では罰則が大幅に強化されています。
金銭的な罰則だけでなく、個人情報保護委員会による行政指導・勧告・命令の公表も行われます。「○○社が個人情報を漏洩し、行政から命令を受けた」という情報が公になれば、取引先や顧客からの信頼失墜は金銭的損害をはるかに超える打撃となります。
漏洩が発生したにもかかわらず個人情報保護委員会への報告を行わなかった場合、その「不報告」自体が命令違反として罰則の対象になります。「ばれなければいい」という判断は、発覚した際にリスクを二重にする行為です。
誤送信が起きやすい3つのパターン
「自分はそんなミスをしない」と思いたいところですが、メール誤送信は実務上もっともよく発生する情報漏洩の原因のひとつです。特に多いのは次の3パターンです。
-
1
Toに複数アドレスを並べてしまう(BCC忘れ)
複数の顧客に同一内容を一斉送信する際、BCCではなくToやCCに全アドレスを並べてしまうパターン。受信者全員が他の受信者のメールアドレスを閲覧できる状態になります。顧客リストの規模が大きいほど被害件数も拡大します。
-
2
オートコンプリートによる宛先の取り違え
メールソフトが過去の履歴から宛先を自動補完する際、似た名前・似たドメインのアドレスを誤って選んでしまうパターン。「鈴木部長」に送るつもりが「鈴木様(取引先)」に送ってしまうケースが典型です。送信後に気づいても手遅れです。
-
3
添付ファイルの取り違え・暗号化なし
顧客Aに送るべき見積書を、顧客Bへのメールに添付してしまうパターン。または顧客リスト・契約書などの機密ファイルをパスワードなしで添付してしまうパターン。添付ファイルは本文よりも格段に多くの情報を含むため、漏洩インパクトが大きくなります。
今日から始める4つの対策
大きなシステム投資をしなくても、運用ルールの整備と簡単なツール設定で誤送信リスクを大幅に下げることができます。
-
1
送信前の「二重確認」をルール化する
「宛先・件名・添付ファイルの3点を送信ボタンを押す前に声に出して確認する」——シンプルですが効果絶大です。特に複数の顧客への一斉送信時は、ToではなくBCCを使うことを社内ルールとして明文化しましょう。
-
2
添付ファイルは必ずパスワード付きZIPで送る
誤送信を完全に防ぐことは困難です。しかしファイルを暗号化しておけば、万一誤送信した場合でも受信者が内容を読むことを防げます。パスワードは別のメールやSMSで送ることを徹底し、「パスワードも同じメールに書く」という本末転倒を避けましょう。
-
3
メールの「送信保留」機能を活用する
GmailやOutlookには、送信ボタンを押してから一定時間(数秒〜数十秒)経過後に実際の送信が行われる「取り消し送信」「送信の遅延」機能があります。この数秒が誤送信に気づいてキャンセルする猶予になります。全員の設定を確認しましょう。
-
4
なりすましメール対策でSPF/DMARCを設定する
誤送信とは別の問題ですが、自社ドメインを悪用した「なりすましメール」を取引先や顧客に送りつけられると、受信した相手の被害はもちろん、自社の信用も傷つきます。SPF・DMARCの設定はDNSレベルで行うもので、適切に設定されているかを確認することが重要です。
・事実確認:いつ・誰が・どのメールを・誰に送ったかを記録する
・漏洩範囲の特定:含まれていた個人情報の種類と件数を洗い出す
・72時間以内に速報:個人情報保護委員会の報告フォームから速報を提出する
・本人への通知:漏洩した個人情報の本人に事実と経緯を通知する
・再発防止策の整備:確報(30日以内)には再発防止策の記載が必要
まとめ——「ミス」が「事故」になる時代
- 2022年改正個人情報保護法により、メール誤送信でも72時間以内の報告義務が発生する
- 「不正アクセスではなく内部ミスだから」は免責の理由にならない
- 法人への罰金上限は1億円、加えて行政処分の公表による信用毀損リスクがある
- BCC一斉送信・オートコンプリート・添付ファイルの3パターンが特に多い
- 送信前の二重確認・暗号化ZIP・送信保留設定でリスクを大幅に下げられる
- SPF/DMARCの設定でなりすましメールによる二次被害も防止できる
SPF・DMARC、正しく設定されていますか?
自社ドメインのなりすましメール対策が機能しているか、Leapsecの無料診断で5分・登録不要・無料で確認できます。
メール誤送信対策と合わせて、送受信の安全を点検しましょう。
結果はメールで届きます。営業電話は一切ありません。
出典・参考
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(2022年改正)/個人情報保護委員会「個人データの漏えい等の報告等について」
執筆:株式会社リープリック(ITインフラ設計・構築・保守 14年)