BCCのつもりが……うっかり誤送信はなぜ起きる?

<「BCCのつもりが」誤送信の実態を調査>

企業リスク関連ニュースに取り上げられる誤送信記事は大きく2つに分けられます。

一つが添付ファイルの添付ミス、もう一つが宛先ミスです。
「宛先をBCCで送るべきところを誤ってTOやCCにして送ってしまった。」
こういった誤送信は個人情報が漏えいし、企業の信頼が損なわれてしまいかねません。

「個人情報の取り扱いにおける事故報告にみる傾向と注意点」(調査団体:一般財団法人日本情報経済社会推進協会)によると
企業による情報漏えい事故のうち2割は、メール誤送信によって起きていると報告されています。
また、「ビジネスメール実態調査 2020」(調査団体:一般社団法人日本ビジネスメール協会)によると
仕事で使用しているメールソフトはOutlook(Office365を含む)が50.52%と最も多く、次に多いのはGmail(G Suite を含む)の38.40%です。
過去、誤送信が発生した時も上記のメールソフトが使われたことも考えられます。
どんな状況で誤送信は起きるのでしょうか。

BCCのつもりが、TO、CCで送信してしまった。
その宛先や経緯、挙げられている対策について2020年に起きたインシデントレポート29件を対象に調査しました。
(調査対象期間:2020年1月~2020年9月 調査対象サイト:各社HP、サイバーセキュリティHP)
AIR公式Twitterでは、「#BCCのつもりが」のハッシュタグをつけて情報発信していますので、ぜひご活用ください。

◆「BCCのつもりが」の誤送信が報告された企業や団体


パターン① 民間企業…10/29件
最も多く見られたのが民間企業による誤送信です。顧客アドレスが流出したという報告が多く見られます。

パターン② 地方自治体…7/29件
地方自治体による誤送信も見られました。宛先には個人のアドレスよりも、民間企業や団体のアドレスが含まれていることが多いです。

パターン③ 教育機関…3/29件
宛先に含まれていたのは在校生ではなく、新入生や受験生、オープンキャンパスに参加する高校生です。

パターン④ 地方自治体に業務委託された民間企業…3/29件
感染症拡大に伴い、事業内容に関する連絡事項を一斉送信しようとしたところ誤送信が起きたようです。

パターン⑤ 公益財団法人…1/29件

パターン⑥ 一般社団法人…1/29件

パターン⑦ 地方自治体に業務委託された独立行政法人…1/29件

パターン⑧ 地方自治体に業務委託された公益財団法人…1/29件

パターン⑨ 地方自治体に業務委託されたその他団体…1/29件

パターン⑩ 研究機関…1/29件

パターン⑤~⑩では、宛先は個人アドレスよりも、何かしらのサービスに会員登録している企業や団体が目立ちます。

差出人に着目して分類すると、企業形態に関わらず誤送信は起きていることが分かります。
メールを使って業務を行うどなたでも誤送信に気を付けなくてはなりません。
※業務委託先が誤送信を起こしたケースが数件見られたことから、業務委託関係があればそれを明記しています。(経緯参照)

◆経緯


パターン① 通常業務の範囲内と考えられるが、一斉送信方法を誤った…14/29件
業務遂行にあたって予め送信することが想定されていたはずのメールで誤送信が起きた場合を指します。

パターン② 緊急の連絡をするために一斉送信を行った…7/29件
宛先は法人から個人まで幅広いことが、このパターンの特徴です。
感染症拡大に伴い、緊急の連絡事項を一斉送信しようとしたところ誤送信が起きた、というインシデントレポートがいくつか見られました。

パターン③ 業務委託先がミスをした…6/29件
自治体の民間委託先が誤送信を起こしたインシデントも見られます。誤送信先はサービス利用対象者の施設や個人です。

パターン④ 一斉送信ツールを保有しているにも関わらず、ある事情のもと一斉送信ツールを使わずに送信してしまった…2/29件
導入されている一斉送信ツールが業務の実情とマッチしておらず、ツールを利用できなかったことが原因で誤送信が起きたパターンです。
とある自治体で見られました。

誤送信が起きたときの経緯は、パターン①の「通常業務の範囲内と考えられるが、一斉送信方法を誤った」に半数近くが当てはまりました。
パターン②の「緊急の連絡をするために一斉送信を行った」に比べて対策を考えやすいと言えます。
今後の対策が重要なカギを握るでしょう。
パターン③の「一斉送信ツールを保有しているにも関わらず、ある事情のもと一斉送信ツールを使わずに送信してしまった」は、
導入されているツール自体や、その運用方法を改めて検討する必要があります。

「BCC欄が見当たらなくてうっかりTOやCCに入れてしまった、なんてことも…?」

◆あげられる対策


※対策はいくつか並列して挙げられていることが多く、合計数が29件以上になっています。

パターン① 情報管理教育の徹底…15/29件
誤送信の何が問題であり、どう対策すればいいのか教育をする、という基本的な対策の1つです。

パターン② 複数人でのチェックを行う(ダブルチェック)…11/29件
1人で送信確認していたことを踏まえ、チェック人数を増やすことを対策としています。

パターン③ 配信前のチェック項目の強化…6/29件
パターン②ではチェック人数を増やすことを目的としていましたが、パターン③はチェック項目を増やすことを目的としています。

パターン④ ツールの導入…3/29件
一斉送信ツールなどの導入を指します。

パターン⑤ 社内での水平展開…2/29件
社内の人間に誤送信が起きたことを周知させます。

◆誤送信とヒューマンエラー3H


1)調査結果より

以上が「BCCのつもりが」誤送信の調査結果です。
2020年に以降に発生した30件近くの「BCCのつもりが」を調査したところ、
誤送信を起こしてしまったのは民間企業や地方自治体、そして委託先の企業や団体と様々でした。
地方自治体の業務委託先が誤送信が目立ちます。
一方経緯としては、緊急時よりも平時の業務の中で起きたことが多いようです。

その中で、「誤送信対策のツールを導入する」という対策を明示したのは3件のみとなりました。
多くは人の目によるチェック作業を増やしたり、情報教育の徹底だったりに留まります。
誤送信が起きたときに最も大切なことは、どう対処するかです。[参考コラムはこちら]

2)ヒューマンエラー3H

「ヒューマンエラー3H」は人為的ミスが起きやすい状況を示す、「初めて」、「久しぶり」、「変更」の3つの頭文字をとっています。
メールを送信するときも、これを当てはめて考えることが出来ます。

「BCCのつもりが」誤送信が起きたとき、それは業務委託先にとって「初めて」の一斉送信だったのかもしれませんし、
企業や学校にとって「久しぶり」のイベント・行事の案内だったのかもしれません。
いつも通りの業務だけれども、メール送信の担当者が「変更」になったことも予想できます。
メールを送信するとき、「ヒューマンエラー3H」は様々な所に潜んでいます。

就業時刻を過ぎた後に誤送信が起きたケースも今回の調査ではいくつか確認出来ました。
自分自身も周囲も疲れているときに、誤送信が起きてしまうことは想像に難くありません。
(へとへと、を加えたヒューマンエラー4Hなんて言っていいかもしれません)

人の目によるチェックは、「いつもと違う」ときに効果や実用性が薄れやすくなります。
誤送信が起こった宛先や経緯を見てみると、ほとんどがヒューマンエラー3Hに該当しています。
人はミスをしてしまうものです。ヒューマンエラー3Hの条件に当てはまったとき、ミスをより起こしやすくなります。

しかも人の目によるダブルチェックは、チェックする人によって効果に大きな差が出てきます。
また、ダブルチェックはそのやり方によってはテレワーク中には不可能、若しくは大変非効率な場合もあるでしょう。
非効率さは業務が進まないばかりか、定着も難しくさせます。
人の「うっかり」を人でカバーするのではなく、人の「うっかり」はツールでカバーするという発想を1つ持つことも大切です。

3)誤送信対策ツールで出来ること

「BCCのつもりが」の誤送信を起こしたとき、「漏えいしたアドレスが悪用され、攻撃を受けた」、
「トラブルの元になった」などといった事は今回の調査からは見られませんでした。
誤送信による最も大きな損害とは信頼を損なってしまうことだと言えるでしょう。
信頼は人の力によって築かれます。人の力で築いた信頼は、誤送信対策ツールで補強することも出来ます。

タイトルとURLをコピーしました