セキュリティ
BCC機能の使用失敗で、ブルーバッジ保有者のアドレスが互いに露呈
英国ヨーク市議会のメール送信ミスにより、古代バイキングの都市に住む数百人のブルーバッジ保有者のメールアドレスが流出し、障がいのある住民であることが意図せず明かされる事態となり、データ侵害調査が開始されました。
市議会はThe Registerに対し、先週住民に送信されたメールがBCC(ブラインドカーボンコピー)機能を使用せずに配信されたため、受信者が他の全受信者のメールアドレスを閲覧できる状態になったとして、「個人データ侵害」として調査中であることを認めました。
地元メディアの報道によると、市議会はブルーバッジに関する更新情報を含む3通のメールを送信した後、4通目のメールでミスを認め、受信者に対して削除済みアイテムフォルダも含む過去のメールの削除を求めました。また、受信者に対してはこの件を受け、不審なメッセージへの警戒を続けるよう呼びかけも行われました。
流出した情報はメールアドレスに限られているとみられますが、このデータ侵害は特に深刻な意味を持ちます。配信リストに含まれる全員が、ブルーバッジ保有者向けの連絡を受け取っていたためです。つまり受信者は、障がいや移動困難と一般的に結びつけられるグループに属する数百人を特定できてしまう状況にあったということになります。
影響を受けた住民の一人は地元メディアに対し、自分がブルーバッジを持っていることを周囲の多くが知らなかったため、今回の流出は非常に不快だったと語りました。「正直、ただ不快としか言いようがありません。数百人もの障がい者の情報が私たちに渡されたわけで、安全とはとても思えません」と述べています。
ヨーク市議会の広報担当者はThe Registerに寄せた声明の中で、ミスが判明した直後にデータ侵害対応手順を発動し、英国情報コミッショナーオフィス(ICO)のガイダンスに沿ってリスク評価を実施中であると説明しました。
「何が起きたかを正確に把握するとともに、個人への潜在的な影響を理解するため、徹底したリスク評価を進めています」と担当者は述べ、「調査は現在も継続中です。提供する情報の正確性を確保しながら、できる限り透明性をもって対応してまいります」と続けました。
担当者は、影響を受けた人数や、原因が人的ミスか技術的な問題かについては明らかにしませんでした。
市議会はまた、本件が法定72時間以内のICOへの届け出基準を満たすかどうかについても評価中であると付け加えました。
その判断は、メールアドレス自体の問題よりも、メーリングリストが結果として何を明かしてしまったかによるところが大きいかもしれません。
ICOの広報担当者はThe Registerに対し、「本件に関するデータ侵害報告を受領したことを確認します。提供された情報を評価した結果、助言を行ったうえで案件を終結しました」と述べました。
AI活用のサイバー脅威が盛んに取り上げられる昨今ですが、古典的なミスに忠実であり続ける組織も少なからず存在するようです。®
