富山県で相次ぐ情報漏洩、再発防止に向け外部調査を実施

2022年7月26日、富山県の新田八朗知事は定例記者会見にて、富山県で相次ぐ情報漏洩問題への再発防止策として外部の専門家による調査を実施することを発表しました^※1。富山県では今年1月から6月までの六ヵ月間で7件の漏洩事故を起こしており、その都度、謝罪と再発防止への対応を行ってきましたが、改善が見られない状況でした。今回の外部調査の具体的な内容としては、書面調査、現地調査、関係部門へのヒアリングなどによる事案の分析を経て、それを基に再発防止に向けた改善策を行うものとなります。

富山県で今年発生した漏洩事故を簡単にまとめました。

1月24日［厚生部くすり政策課］^{※2 ※3 ※4 ※5 ※6}

県くすり政策課に届いた内部告発メールの『送信者』や『通報内容』を印刷したファイルを、県内の医薬品業界関係者240人にメールで誤送信。

別の文書（外部の業界関係者への事務連絡のための文書）20枚をPDFファイルに変換する際、上記の告発メールを印刷した文書が1枚紛れ込み、そのまま電子化された。同課の職員が24日午前、混入に気付かないままメール添付して一斉送信。約40分後に受信者から電話があり、判明。なお、送信先には通報者や通報内容と直接関係している相手は含まれていない。メールには『通報内容』『通報者の氏名』『メールアドレス』が含まれる。事件発覚後、240人全員に連絡して削除を依頼、通報者へ電話謝罪を行う。

対応策として、2月4日に体制見直しを発表。職員に対する研修実施の他、技術的な策を取ることも検討。また、3月10日に県庁で開かれた富山県薬事審議会にて、公益通報の取扱いに関する新ルールを公表した。
・通報専用のメールアドレスや電話を設置し、通報関連の情報はアクセス権を制限した専用メールフォルダで管理
・告発メールの印刷や送付は行わないルールを策定
・課内での告発メール内容検討のための二次資料を作成する際は通報者の情報を記載しないルールとする

2月1日［生活環境文化部国際課］^※7

冊子「とやまの国際交流 2022」作成のため、国際交流団体など250団体に対し、作成依頼のメールを送信。その際、職員のミスにより誤って各団体の「住所」「メールアドレス」「担当者名」が記載された表を添付し、依頼先である各団体へ送信した。同日、メールの送信先である団体からの指摘により、誤送信が発覚。メール受信者に謝罪すると共に、誤送信先の団体等に対して電子メールで報告、削除依頼を行う。

3月3日［人事委員会］^※8

「保護者向け富山県職員採用説明会」申込者へメールする際、メールアドレスをBCCではなく宛先に入力した状態で送信してしまった。これにより申込者23名のメールアドレスが閲覧可能となる。送信者とは別の職員がミスを指摘、上記23名に対し、電話とメールによる説明と謝罪、誤送信したメールの削除を依頼。

4月19日［厚生部医務課］^※9

看護学生修学資金返還に係る案内を発送する際に、文書の宛先と封筒の宛先の一致についての確認不足により、送付先223名の内4人に対して違う対象者の書類を誤って送付した。書類には就学資金の貸与額、返還額、住所等の情報が含まれていた。今後の対応策として、文書の宛先と封筒の送付先の一致についてダブルチェックを行うこと、窓付き封筒を使用することなどを挙げている。

5月13日［厚生部くすり政策課］^※10

麻薬施用者免許に係る書類を対象の医師とは別の医療機関へ誤送付し、個人の住所や勤務先の情報が流出。先月同様、知事からは文書の内容と封筒の宛先の一致についての確認が不十分であったことが原因と説明された。対応策としては、やはり文書の内容と封筒の送付先の一致についてダブルチェックを徹底する。また、改めて全職員に対しての通知を行う。更に、職員のPCに対して当面の間、日替わりで注意喚起のポップアップメッセージが表示される仕組みを導入する。

5月23日［厚生部障害福祉課］^{※11 ※12 ※13 ※14 ※15}

県内の障害福祉サービス事業所の運営法人191社に新型コロナウイルス抗原検査キットの追加配布の照会文書をメールを一斉送信した際、関係ない事業者1社の非公開情報が含まれた文書を誤って添付し送信した。

事件発生の経緯として、上記メールを作成した職員が添付ファイルを圧縮した際、上司に中身が正しいかを確認したところ、上司はファイルに誤りがあることに気付きこれを修正、職員へ再度ファイルの圧縮を指示した。ところが、修正作業と交付金業務を同時進行で行っていた上司は誤ってファイル内に無関係の書類を保存してしまっていた。職員はこれに気付かず、そのままファイルを圧縮、メール添付し送信した。

27日の定例記者会見にて、知事から情報漏洩に関する謝罪と再発防止策について説明された。

・個人情報を含む文書の誤送信防止について
　①メール誤送信防止策として当面の間、上司による宛先、内容、添付ファイルのチェックを徹底する
　②個人情報を含む文書を送付する際は原則窓付封筒を使用し、使用できない場合はダブルチェックを行った上で封緘前に上司が確認する

・個人情報を含む文書等の取扱いについて
　①複合機で個人情報を含む文書を印刷する場合はセキュリティープリント機能を利用する
　②ファイルを添付してメール送信する際は、ファイル交換サービスを使用する
　③外部へメールを送信する際は、宛先をBccに設定する

・第三者による点検、改善策の提案について
　①抜本的改善のため、外部機関に改善策を提案を依頼
　②監査委員会から指導や注意喚起を受ける

・職員研修の実施
　①職員のクラスごとに階層別研修を実施
　②全職員に対しヒューマンエラーの防止に関する研修を実施
　③リスクマネジメント研修を実施

6月18日［教育委員会］^※16

富山南高の事務職員が就学支援金の申請書類を全校生徒に送付した際、16人の保護者に対して他の保護者のログインIDとパスワードを誤送付。このログインIDとパスワードでアクセスすると、保護者の生年月日、住所、電話番号が閲覧可能。両面印刷設定の状態であったため、書類裏面に他の保護者の情報が印刷されてしまった。職員二人でダブルチェックを行い上司も確認していたが、気付かず送付してしまった。

22日、学校は生徒、保護者に対してメールで漏洩した経緯の説明と謝罪を行う。また県教委は23日に校長会を開き、具体的な対応策を協議。

こうして事件の経緯を見てみると、7件すべてが誤送信または誤送付による漏洩となっており、ヒューマンエラーによる漏洩事故を防ぐことがいかに難しいことかがわかります。ダブルチェックなどのようなルール作りを行ったにも関わらず再発防止に至らなかったことから、ルールの周知徹底やルールを守るための環境づくりなどに不備があったのではないかと想像されます。外部調査によって、より抜本的な改善・対策を行うことで再発防止に至ることが期待されます。

このように抜本的な組織のセキュリティ体制強化を検討するのであれば、メールの誤送信対策だけでなく、サイバー攻撃や内部不正などへの対策も視野に入れた対策を検討するべきかと思います。どれだけ意識してもヒューマンエラーを100％なくすことは不可能であり、情報が漏洩しないようにするには、情報自体に対策を施すしかありません。そのためには、組織が保持する情報にラベルを付け、外部に出して良いか悪いかをきちんと分類し管理すること、さらに情報を暗号化することで、もし機微な情報が外部に出てしまっても中身の情報は洩れないような対策をすることが必要になります。弊社としては、今後このような対策が導入されることを願ってやみません。