セキュリティ
ホームスクーリング家庭への一斉送信で受信者のアドレスが露出——ICOへの報告と謝罪に発展
プリマス市議会が、一斉メール送信の際にBCCフィールドを使用し忘れるという初歩的なミスを犯し、約500件のホームスクーリング家庭のメールアドレスを誤って公開してしまいました。同市議会は、このミスをやらかした公共機関の仲間入りを果たした形です。
このミスは、ヨーク市議会が同様のミスを公表してからわずか1週間後に発覚したものです。ヨーク市議会のケースでは、数百人の障害を持つ住民のメールアドレスが流出しており、公共部門の一部では依然としてメールの基本機能との格闘が続いていることを示しています。
問題のメールは、プリマス市の「家庭教育選択支援チーム(Elective Home Education team)」が送信したもので、今後の法改正に関する情報を共有することを目的としていました。しかし同時に、数百件のホームスクーリング家庭のメールアドレスが互いに見える状態で送信されてしまいました。
この件について本紙(The Register)に連絡を寄せた読者は、その後の対応を「かなり混乱した状態」と表現し、フォローアップの連絡がさらなる混乱を招いたと述べています。
プリマス市議会は本紙の取材には応じませんでしたが、地元メディアへの声明において、今回の件は人的ミスによるものであり、約500世帯に影響が及んだことを認めました。
「残念ながら、人的ミスにより、最近送信したメールでBCC機能が使用されず、受信者のメールアドレスが互いに見える状態になってしまいました」と市議会は述べています。
同市議会は、問題を把握した時点ですぐに受信者へ連絡して謝罪し、該当メールの削除と、誤って取得した情報の不使用を呼びかけました。また、当該メールには子どもに関する情報は一切含まれておらず、内容は一般的な更新情報のみであったと強調しています。
市議会は今回のメール誤送信について内部調査を実施し、経緯が判明した後に改めて影響を受けた家庭へ連絡を取りました。また、今後のメーリングリストが外部に公開されないよう、追加のチェック体制を整備することも約束しています。
さらに市議会は、本件を情報コミッショナー事務局(ICO)に報告しました。
ICOの広報担当者はThe Registerに対し、次のように述べました。「プリマス市議会より本件に関する報告を受けたことを確認しています。報告内容を慎重に精査した結果、データ保護に関するアドバイスを提供し、それ以上の措置を取ることなく案件をクローズしました。」
今回の流出はメールアドレスにとどまり、より機微な個人情報は含まれていないとみられますが、本件は改めて重要なことを示しています——最もよくあるデータ漏洩は、高度なサイバー犯罪者やランサムウェア集団によるものとは限らないということです。
数百人にメールを送る際に、誤ったボックスをクリックするだけで済んでしまうこともあるのです。®
