いっしー@Webエンジニア
トップページポートフォリオITニュースIT用語辞典ブログ

【ITニュース解説】個人メアドに業務ファイル送信、入力ミスで第三者に - 佐伯市

作成日: 更新日:

ITニュース概要

大分県佐伯市職員が個人情報を含む業務用ファイルを私用メールへ送る際、アドレスの入力ミスで第三者に誤送信した。このような人為的ミスは情報漏洩の大きな原因であり、システムによる送信先の制限や監視などの対策が重要となる。

出典: 個人メアドに業務ファイル送信、入力ミスで第三者に - 佐伯市 | セキュリティNEXT公開日:

ITニュース解説

大分県佐伯市で発生した、職員による個人情報を含む業務用ファイルのメール誤送信事案について解説する。この事案は、システムエンジニアを目指す上で理解しておくべき、情報セキュリティの基本的な課題を多く含んでいる。 まず、事案の概要は、市の職員が業務用ファイルを私用のメールアドレス宛に送信しようとした際、宛先メールアドレスの入力を誤り、結果として無関係の第三者にファイルが送信されてしまったというものである。ファイルには個人情報が含まれていたため、これは情報漏洩インシデントに該当する。この一連の出来事は、単なる個人の不注意として片付けられる問題ではない。背景には、組織のセキュリティ体制やシステムの在り方に関する複数の課題が潜んでいる。 このインシデントの根本的な原因の一つに「シャドーIT」の存在が挙げられる。シャドーITとは、企業や組織のIT管理部門が関知・許可していないデバイスやクラウドサービス、アプリケーションなどを従業員が業務に利用することを指す。今回のケースでは、職員が私用のメールアドレスを業務に利用したことがこれに該当する。なぜシャドーITが発生するのか。多くの場合、組織が提供する正規のIT環境よりも、個人で使い慣れたツールの方が利便性が高い、あるいは正規の手段では業務遂行に手間がかかるといった理由から、従業員が自己判断で利用してしまうのである。しかし、組織の管理外にあるシャドーITの利用は、今回のような情報漏洩をはじめ、ウイルス感染や不正アクセスの温床となり、極めて高いセキュリティリスクを伴う。 このようなヒューマンエラー、つまり人間の間違いを起因とする情報漏洩を防ぐためには、技術的な対策と組織的な対策の両輪でアプローチすることが不可欠である。システムエンジニアは、特に技術的対策において中心的な役割を担う。 技術的対策の代表例として「DLP(Data Loss Prevention)」、すなわち情報漏洩対策システムの導入が考えられる。DLPは、組織内のネットワークやコンピュータを監視し、機密情報や個人情報といった重要データが外部に不正に送信されたり、許可なく持ち出されたりするのを検知し、ブロックする仕組みである。例えば、ファイルの内容を解析し、「マイナンバー」や「住所」といった特定のキーワードやパターンを含むデータが外部のメールアドレスに送信されようとした際に、自動的に送信を中止させるといった制御が可能になる。 また、メールの誤送信そのものを防ぐためのソリューションも存在する。代表的な機能として、送信ボタンを押してから一定時間、実際の送信を保留する「送信ディレイ」機能がある。この数分間の保留時間内に、送信者は宛先や添付ファイルに間違いがないかを再確認できる。さらに、添付ファイルを自動的にZIP形式で暗号化し、解凍用のパスワードを別のメールで自動送信する仕組みも有効である。これにより、万が一宛先を間違えても、第三者がファイルを開くことを困難にし、被害を最小限に抑えることができる。 さらに踏み込んだ対策としては、業務用データを個人のコンピュータに保存させない仕組みの導入が挙げられる。「VDI(Virtual Desktop Infrastructure)」や「DaaS(Desktop as a Service)」と呼ばれる仮想デスクトップ技術がこれにあたる。これらの技術を利用すると、ユーザーは自分の端末からサーバー上にある仮想的なデスクトップ環境に接続して作業を行う。データは全てサーバー側で一元管理されるため、個人のコンピュータにファイルが保存されることはない。結果として、ファイルを私用メールに添付して送信するといった行為そのものを物理的に困難にすることができる。 一方で、どれだけ高度な技術を導入しても、それを利用する人間の意識が低ければ、セキュリティは担保できない。そこで重要になるのが組織的な対策である。まず、明確な情報セキュリティポリシーを策定し、全職員に周知徹底することが基本となる。業務用データを私用メールで扱うことの禁止や、個人情報の取り扱いに関する具体的なルールを定め、なぜそのルールが必要なのかという背景まで含めて理解させることが重要である。定期的なセキュリティ研修や、実際に起こりうるインシデントを想定した訓練を繰り返し実施することで、職員一人ひとりのセキュリティ意識を向上させ、ルール遵守の文化を醸成していく必要がある。 今回の佐伯市の事案は、ヒューマンエラーがいかに容易に情報漏洩につながるか、そしてその背景にはシャドーITという現代的な課題が存在することを示している。システムエンジニアは、単にシステムを構築・運用するだけでなく、このような人間の弱さや行動特性を理解し、それを技術で補う「フェイルセーフ」や「フールプルーフ」といった考え方を取り入れたシステム設計を行うことが求められる。技術とルールの両面から組織の情報を守る仕組みを構築し、運用していくことこそが、現代のシステムエンジニアに課せられた重要な責務なのである。

【ITニュース解説】個人メアドに業務ファイル送信、入力ミスで第三者に - 佐伯市