メール誤送信による情報漏えいリスク対策

第1回 弁護士が解説!対策方法は「添付ファイルへのパスワード設定」

IT・情報セキュリティ

「情報漏えい」といっても、その原因は様々です。今年1月に約580億円分の仮想通貨「NEM(ネム)」が流出し問題となっている仮想通貨取引所「コインチェック」では、「不正アクセス」による被害とされており、大きく報道されたことは記憶に新しいでしょう。また、2012年11月には三菱東京UFJ銀行でも情報漏えい事故があり、その原因は顧客情報が記録されたコムフィッシュ(内部管理資料を微細文字で焼き付けたフィルム)の紛失でした。

企業は年々、情報管理や社員教育などセキュリティ対策を強化しつつあるものの、悩みの尽きない問題のひとつが「情報漏えい」といえるでしょう。本特集では、情報漏えい問題について、特に「メールの誤送信」を中心に、様々な角度から対策方法を模索していきたいと思います。メールの誤送信といった誤操作による情報漏えいは、漏えい原因の中でも上位に上がるもので、企業の成長とともに大きくなるリスクのひとつです。

第1回となる今回は、個人情報保護の実務に詳しい牛島総合法律事務所の影島 広泰弁護士に、法的な観点から解説いただきました。

情報漏えいの3分の2は「うっかりミス」

最近よくある情報漏えい事故について教えてください。

特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)が公表している調査結果(2016年 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~)によると、情報漏えいの原因として一番多いのは「管理ミス」となっています。「個人情報が記載された伝票を保管していた段ボールが倉庫にないことが分かり、社内で調査したけれども紛失したのか廃棄したのかが分からず、情報漏えいのインシデントになってしまった」というのが「管理ミス」の典型例です。

2番目に多いのが、電子メールの誤送信やファックスの誤送信といった「誤操作」です。3番目に多いのが「不正アクセス」で、4番目が「紛失・置き忘れ」です。「紛失・置き忘れ」は、スマートフォンを飲食店に置き忘れたり、書類やPCを電車内に置き忘れたりするのが典型例です。これは近時、筆者のところにご相談いただく情報漏えいの事案の中でも大きな割合を占めています。

「管理ミス」「誤操作」および「紛失・置き忘れ」という「うっかりミス」が、情報漏えいの原因の約3分の2(約63%)を占めている点が重要です。情報漏えいというとサイバーセキュリティなどを思い浮かべる方も多いと思いますが、統計的にみると、「うっかりミス」が約3分の2を占めています。情報漏えいを防ぐためには、発生頻度が高い「うっかりミス」をどのように根絶するかが重要であることが分かります。

情報漏えい原因の比率(件数)

参考:特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)
2016年 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~」12頁

一人あたり35,000円の賠償額となった裁判例も

メールの誤送信など「うっかりミス」による情報漏えいで裁判となったケースにはどのようなものがあるのでしょうか。

メール誤送信による情報漏えいそのものについて、情報漏えいの被害者となった本人からの損害賠償請求などが争われた裁判例は無いようです。しかしながら、「うっかりミス」による情報漏えいという範囲まで広げると、裁判例があります。

TBC事件」(東京高裁平成19年8月28日判決・判タ1264号299頁)では、氏名等のほか、エステのコース内容といったセンシティブな情報が漏えいしてしまいました。その原因は、サーバ管理会社(委託先)のミスにより、特定のURLを入力することで誰でもが自由に当該情報にアクセスし閲覧することのできる状態に置かれていたというものでした。

この事件で東京高裁は、一人あたり35,000円という比較的高額な慰謝料および弁護士費用の賠償を認めました。

 参照:「サイバー攻撃で情報漏えいが発生した際に負う法的責任とは

また、個人情報の紛失について個人情報保護法に基づく勧告が行われた事例としては、KDDIの事例(平成19年2月)があります。同社は、約22万人分の氏名、住所、生年月日、連絡先電話番号等が記録された光磁気ディスク1枚を自社内で紛失したことについて、同年3月、総務大臣から、個人データの安全管理のための措置および委託先への監督を徹底するよう勧告を受けています。

なお、3,000万件を超える顧客情報を流出した「ベネッセ事件」の最高裁判決(平成29年10月23日)では、氏名、住所、電話番号といった基本的な属性情報であっても「プライバシーに係る情報として法的保護の対象となる」としています。このような基本的な情報が漏えいしただけでも損害賠償責任を負う可能性がありますから注意が必要です。

 参照:「ベネッセ個人情報流出事件、最高裁弁論の意義とポイント

添付ファイルにはパスワード設定を

企業として気をつけるべき点について教えてください。まずは、情報漏えいを防ぐために有効な手段として、何が考えられますか。

個人情報保護委員会が定める「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下「ガイドライン」といいます)では、技術的安全管理措置の一環として「情報システムの使用に伴う漏えい等の防止」を義務づけています。

その手法の例示として、「移送する個人データについて、パスワード等による保護を行う」という手法があげられています。また、中小規模事業者における手法の例示においても、「メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する」という手法があげられています。

情報システムの使用に伴う
漏えい等の防止
【手法の例示】
  • 情報システムの設計時に安全性を確保し、継続的に見直す(情報システムのぜい弱性を突いた攻撃への対策を講ずることも含む)。
  • 個人データを含む通信の経路または内容を暗号化する。
  • 移送する個人データについて、パスワード等による保護を行う
【中小規模事業者における手法の例示】
  • メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する

ガイドラインにおける「手法の例示」はあくまで例示であり、そこに記載された手法を採用しなければただちに義務違反になるわけではありません。しかしながら、個人情報保護委員会が、従業員100人以下等の条件を満たす中小規模事業者における例示として1つだけあげているのが、「メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する」であるということは、重要な意味を持っているように思われます。

すなわち、情報管理にコストがかけられない小さな会社であっても、せめて、メールで個人データを含むファイルを送信する際にはパスワードを設定することが考えられる、としている以上、個人情報保護委員会はこの手法が重要なものであると考えていると解釈できるからです。

したがって、個人データを含む添付ファイルを送信する際には、パスワードを設定するよう、社内規程等でルール化するとよいと考えられます。また、添付ファイルに自動的にパスワードを設定するようなソリューションを導入することも有効でしょう。

そうすると、誤送信した宛先へパスワードを送ってしまわないようにすることが重要ですね。

メールの添付ファイルにパスワードを設定しても、そのメールの直後にパスワードが記載されたメールを送信したのでは、通信経路における覗き見等に対する対応としてはあまり意味がないという評価もあり得ます。しかし、上記の対応は、パスワードを送信するメールを送る際に宛先を確認する機会がもう一度与えられることになりますので、誤送信の防止という点では大いに意味があると考えられます。万が一、添付ファイルを付けたメールを誤送信してしまったとしても、パスワードのメールを送信する際に誤送信に気づけば、パスワードを送らないことにより、受信者が当該添付ファイルを開く可能性をかなり低減することができるからです。また、誤送信という情報漏えいインシデントに気づくことにより、送信先への削除要請など事後対応をいち早くとることができます1

社内規程等でルール化する際のポイントについて教えてください。

情報セキュリティに関する社内規程は、以下のような階層で構成されている企業が多いと思われます。

情報セキュリティに関する社内規定の構成

メールで添付ファイルを送信する際にパスワードを設定するといった細かいルールは、上図の一番下にある「細則」や「マニュアル」で規定している会社が多いようです。

たとえば、以下のようなルールを盛り込むことが考えられます。

「極秘」または「社外秘」の情報を電子メールに添付して外部に送信する際には、必ずパスワードを設定するものとする。その際、パスワードは、当該添付ファイルを送信する電子メールの本文に記載してはならない。

「不正アクセス」による事件を耳にすることも多いですが、外部からの攻撃に対して、企業が注意すべき点があれば教えてください。

近時、標的型メール攻撃をはじめとする不正アクセスによる情報漏えいが増えています。

この点については、個人情報保護委員会が、個人情報保護法のガイドラインのQ&Aで以下のとおり対策を明示しています。

Q7-7 標的型メール攻撃や、その他不正アクセス等による個人データの漏えい等の被害を防止するために、安全管理措置に関して、どのような点に注意すればよいですか。

A7-7ガイドライン(通則編)に記載されている技術的安全管理措置の各項目を遵守することや、それらについて従業者に対して必要な研修・注意喚起を行うことに加え、次のような措置を講ずることが考えられます。

◯不正アクセス等の被害に遭った場合であっても、被害を最小化する仕組み(ネットワークの遮断等)を導入し、適切に運用すること。

◯巧妙化する攻撃の傾向を把握し、適宜必要な対策を従業者に周知すること。

◯個人データを端末に保存する必要がある場合、パスワードの設定又は暗号化により秘匿すること(なお、データの暗号化又はパスワードによる保護に当たっては、不正に入手した者が容易に解読できないように、暗号鍵及びパスワードの運用管理、パスワードに用いる文字の種類や桁数等の要素を考慮することも有効な取組と解されます)。

 また、独立行政法人情報処理推進機構(IPA)等がホームページで公表しているセキュリティ対策等を参考にすることも考えられます。

これを前提にすれば、実務的には、以下の対策をすることが有効であるといえます。

  1. 従業員に対し、「少しでもおかしいな、と思ったら、すぐにPCのケーブルを抜き、電源を切る」と周知する(被害を最小化する仕組み)。
  2. 従業員に対する教育を行う。セキュリティベンダに依頼して抜き打ちテストをすることも考えられる。
  3. 重要な個人情報については、パスワードの設定または暗号化を行う。

もっとも、このような対策を講じたとしても、漏えいを100%防ぐことはできません。したがって、漏えいしたことにいち早く気づくことも重要です。

通則ガイドラインの「技術的安全管理措置」で義務づけられている「外部からの不正アクセス等の防止」においても、「ログ等の定期的な分析により、不正アクセス等を検知する」という手法が例示されています。情報システム部が定期的に確認する、あるいは情報漏えいを検知するソリューションを導入するなど、情報漏えいが発生していることを検知する「出口対策」も併せて講じるとよいでしょう。

また、近時、PCやスマートフォンをロックして、「解除して欲しければ身代金を支払え」と要求する「ランサムウェア」というウィルスが広まっています。これに似たものとして、メールサーバに対する攻撃で身代金の要求が行われた事案もあり、注意が必要です。

2016年9月に、ある金融機関のメール管理サーバが外部から不正アクセスを受け、役職員5名の電子メールが外部に転送される設定にされてしまいました。その後、会社側が不正な設定に気づき、当該設定を削除して管理者権限のパスワードを変更したところ、メールのデータを開示しないことと引き替えに金銭を要求する内容のメールが送られてきたというものです。

9月10日

何者かが電子メールの管理サーバを管理する権限のIDおよびパスワードを取得し、役職員5名のメールアカウントが受信したメールを外部の他のメールアドレスに転送する設定を行った。

9月30日

会社側が電子メールの管理サーバに対する不正なアクセスおよび上記の転送設定を発見。転送設定を削除した上で、電子メール管理サーバの管理者権限のパスワードを変更。

10月3日

電子メールのデータを開示しないことと引き換えに金銭を要求する内容のメールを受信。

10月6日

9月10日~30日までに電子メールで受信した顧客約37,000人分の個人情報が漏えいした可能性があることを公表。

個人データが保管されたサーバのセキュリティだけではなく、メールの送信・受信サーバへの不正な侵入を防ぐことも重要であることを示す事例といえるでしょう。

メールを誤送信してしまった際のリスクを下げることも重要

万が一、メールを誤送信してしまった場合、企業はどのように対処すればよいのでしょうか。報告に基準はあるのでしょうか。

個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)によれば、「漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、個人情報保護委員会等に対し、(中略)速やかに報告するよう努める。」とされています。

しかしながら、次の(i)または(ii)のいずれかに該当する場合は、報告を要しません(報告についての軽微基準)。

(i)実質的に個人データまたは加工方法等情報が外部に漏えいしていないと判断される場合
(ii)FAXもしくはメールの誤送信、または荷物の誤配等のうち軽微なものの場合

(i)「実質的に個人データまたは加工方法等情報が外部に漏えいしていないと判断される場合」には、次のような場合が該当するとされています。

  • 漏えい等事案に係る個人データまたは加工方法等情報について高度な暗号化等の秘匿化がされている場合
  • 漏えい等事案に係る個人データまたは加工方法等情報を第三者に閲覧されないうちに全てを回収した場合
  • 漏えい等事案に係る個人データまたは加工方法等情報によって特定の個人を識別することが漏えい等事案を生じた事業者以外ではできない場合(ただし、漏えい等事案に係る個人データまたは加工方法等情報のみで、本人に被害が生じるおそれのある情報が漏えい等した場合を除く)
  • 個人データまたは加工方法等情報の滅失または毀損にとどまり、第三者が漏えい等事案に係る個人データまたは加工方法等情報を閲覧することが合理的に予測できない場合

これによれば、ケースバイケースではありますが、添付ファイルに個人データが含まれているメールを誤送信してしまった場合でも、添付ファイルにパスワードが設定されており、そのパスワードを送信していない段階で、ただちに受信者において当該ファイルを廃棄したことが確認できたようなケースでは、この軽微基準に該当する場合もあり得るように思われます。その意味でも、添付ファイルにパスワードを付しておくことには意味があると考えられます。

なお、(ii)メールの誤送信のうち軽微なものとは、たとえば「宛名および送信者名以外に個人データまたは加工方法等情報が含まれていない場合」が該当するとされています。本文にも添付ファイルにも個人データが含まれておらず、単に、宛名だけが間違っているケースがこれに該当します。

メールを誤送信してしまった場合の対応フローなどは、社内でどのように規定しておくとよいでしょうか。

情報漏えい等が発生した場合に備えて、社内(場合によってはグループ企業内)の報告連絡体制を整備しておくことが重要です。通則ガイドラインの「組織的安全管理措置」の一環である「組織体制の整備」においても、「個人データの漏えい等の事案の発生又は兆候を把握した場合の責任者への報告連絡体制」が手法として例示されています。

具体的には、社内規程に以下のような条項を設けることが考えられます。

個人情報の漏えい等の事案の発生若しくは兆候、又は本規程に違反している事実若しくは兆候を把握した従業者は、[直ちに所属長に報告するものとする][個人情報漏えい対応規則に従って報告・対応するものとする]。

また、所属長などに報告が上がってきた際に、社内のどのレベルまでエスカレーションするのかについても、事前に定めておくことが重要です。以下の条項例は、個人情報保護管理責任者(CPO)までは必ずただちに報告が上がるようにしておき、CPOは社長に報告するかどうかを判断するというフローになっています。

所属長は、前項の報告を受けた際には、直ちにそれを個人情報保護管理責任者(CPO)に報告するものとする。
個人情報保護管理責任者(CPO)は、前項による報告の内容を調査し、情報漏えい等の事実又は本規程に違反する事実が判明した場合には、必要に応じて代表取締役社長に報告するとともに、関係事業部門に適切な措置をとるよう指示するものとする。

以上のような報告連絡体制によって報告を受けた後は、前記の個人情報保護委員会の告示に従って行動します。具体的には、以下の(1)~(6)の措置を講じずることが望ましいとされています。

(1)事業者内部における報告及び被害の拡大防止

責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる。

(2)事実関係の調査及び原因の究明

漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。

(3)影響範囲の特定

上記(2)で把握した事実関係による影響の範囲を特定する。

(4)再発防止策の検討及び実施

上記(2)の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を速やかに講ずる。

(5)影響を受ける可能性のある本人への連絡等

漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く。

(6)事実関係及び再発防止策等の公表

漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表する。

また、前述のとおり、必要に応じて個人情報保護委員会へ報告します。事業所管大臣がある場合には、事業所管大臣への報告も必要となります(事業所管大臣の一覧は、個人情報保護委員会「権限の委任」に記載があります)。


  1. もっとも、パスワードが設定されていると、受信者側のシステムで添付ファイルのウィルスチェックができないという問題がありますので、何がベストの漏えい防止策であるかは、技術の進歩や社会状況の変化に伴って変わっていくことになると思われます。 ↩︎

コンテンツの更新情報、法改正、重要判例をもう見逃さない!メールマガジン配信中!無料会員登録はこちらから
  • facebook
  • Twitter

関連する特集