豊田市でライセンス更新忘れによるメールアドレス漏洩が発生

informationleakage

humanerror

今月上旬の話ですが、豊田市でライセンス更新忘れ^*1によるメールアドレス漏洩が発生していたようなのでメモ。

このメールアドレスの漏洩はファイルをばらまいてしまったというようなインシデントではなく、メール送信時の To: にメールアドレスを列挙してしまったので、他のユーザーにメールアドレスが見えてしまったというもの。
これ自体はそれほど珍しくないですが、理由のライセンス更新忘れというのはちょっと珍しいですね。

メール系の誤送信防止ソリューションは正直しょうもないものが多いと思っていますが、「強制 BCC システム」というのは初めて聞きました。おそらくですが To に複数のアドレスが列挙されていた場合にこれを BCC に強制的に書き換えて送信する仕組みだと思います。漏洩したメールアドレス 652 件に対して、メールは 24 通なので、システムに頼って日常的に BCC を使っていなかったことが窺えます。安全のためのシステムが、基本的な IT リテラシーを低下させていたのはなんとも皮肉な話です。

以下に再発防止策が書いてありますが、これ完全に現場猫のパロディに使えそうな感じになっています。正直、メールというシステム上、こういうのは情報漏洩の対象から外すべきだと思っているんですよね。

報道発表資料　個人情報（電子メールアドレス）の流出について（最終報）｜豊田市

市からシステム提供元の事業者に、ライセンス有効期限の管理及び更新手続きを徹底するよう指導（4月5日実施済み）
同事業者において、「強制BCCシステム」のソフトウェアライセンスの有効期限が近づいたことを社内メール上で知らせるアラート機能を導入予定
情報システム課及び事業者において日々の業務開始前に「強制BCCシステム」の稼働状況を双方で確認する
市の職員に対し、「強制BCCシステム」の稼働状況にかかわらず、複数人宛に同時にメールを送信する際は「宛先（To）」や「CC」にアドレスを入力せず、「BCC」に入力するよう、研修等を実施し、徹底させる