詐欺対策非営利団体Cifasは、詐欺対策分野で働く数十人のメールアドレスを露出させるカレンダー招待を送信し、赤っ恥をかくこととなった。
この招待は、同団体のJustMeアプリに関する10月16日開催予定のセッションに向けて8月に送信された。JustMeアプリは、自分の名義で行われた申請が本物かどうかを個人が確認できるものだ。
The Registerが確認したメッセージのコピーによると、To欄で十数件、CC欄でさらに45件のアドレスが露出していた。
これらには、セキュリティベンダーや経営コンサルティング会社、出版社で働く個人が含まれていたようだ。国の政府を含む公共部門からの招待者のメールアドレスも表示されていた。
Cifasが掲げるスローガンは「私たちはあなたの組織を詐欺や金融犯罪から守ります」だ。
情報コミッショナー事務局(ICO)はメールアドレスを個人データと見なしており、ベストプラクティスとして、一斉送信時にCC欄にメールアドレスを入れないことを推奨している。しかし、BCCを使っても受信者や送信者が露出する可能性は残る。
ICOの広報担当者はThe Registerに対し、Cifasの件について違反報告は受けていないと述べた。「組織は個人データの漏洩に気付いた場合、72時間以内に必ずICOに通知しなければなりません。ただし、人々の権利や自由にリスクがない場合は除きます。」
「組織が報告不要と判断した場合は、その理由を記録し、必要に応じて説明できるようにしておくべきです。」
2023年、ICOの規制サイバー部門ディレクターであるMihaela Jembei氏は「メールでBCCを正しく使用しないことは、毎年報告されるデータ漏洩の上位に入っています。特に機微な個人情報が含まれる場合、これらの漏洩は実際に深刻な被害をもたらす可能性があります」と述べている。
そのため、規制当局は一斉メールには一斉送信用サービスやメールマージ、または安全なデータ転送サービスの利用を推奨している。
ICOは「たとえメール本文に機微な内容が含まれていなくても、誰がメールを受け取ったかを示すことで、その人について機微または機密情報が明らかになる可能性があります」としている。
また、組織は一斉送信時のセキュリティ対策についてスタッフへの教育を徹底すべきだと付け加えている。
The RegisterはCifasとICOにコメントを求めたが、公開時点では回答は得られていない。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/21/cifas_email_blunder/
