【あなたならどうする?】情報セキュリティ事故が起こったときの避難訓練をしてみた(メール誤送信編)
ITリテラシーの高い、低いを問わず、誰しも1度は経験があると思われる「メールの誤送信」。身近な人であれば大事になることは無いかもしれませんが、一歩間違えると、情報漏えいや賠償問題など、取り返しのつかない事に発展するリスクがあります。
今回は、情報セキュリティ事故のケースとして「メール誤送信」をテーマにして、いざ発生した場合の対処方法について解説します。あなたも一緒に頭の中でいざというときの対応をイメージしてみましょう。
メール誤送信はなぜ無くならないのか?
そもそもとして、なぜメールの誤送信は無くならないのでしょうか。
メール誤送信は99%ヒューマンエラーが招いています。もちろん、システムのエラーや、悪意のあるプログラムなどの驚異もあるとは思いますが、ほぼ間違いなく人的要因が含まれていることは間違いありません。
NPO 日本ネットワークセキュリティ協会による「2017年 情報セキィリティインシデントに関する調査報告」によれば、2016年から2017年にかけての情報セキュリティ事故にて「誤操作」を原因とするものの件数が、73件から93件に増加しています。
また、メールによる情報漏えい件数も65件から77件に増加しています。紙媒体による情報漏えいは220件から150件と、メールよりも依然として件数は多いものの、減少傾向にあることを鑑みると、やはりメールの誤送信は甘く見ることはできません。
また、昨今ではメール誤送信対策のツールを提供しているのですが、それを導入してもなお上記のような状況です。ツールが提供している機能についてはどれも申し分ないのだとも思いますが、やはり最後は人の操作によって台無しにしてしまっているようです。
そして、近年ではひとつのメールアドレスを複数の環境(パソコンやスマートフォンなど)で送受信することも当たり前となり、全ての環境にツールを導入することも困難な状況になっています。最悪の場合、メールを送受信できる環境を制限するなどして対策を行う場合もあるようです。
メール誤送信の原因
次にメール誤送信の原因として考えられるものを挙げてみましょう。誤送信と言うだけあって、宛先間違えであることは間違いないのですが、間違え方にもパターンがあります。
①宛先の設定ミス
メール誤送信の原因はやはり、宛先の設定ミスが多いでしょう。特にアカウント名(@よりも前の部分)が似ているメールアドレスはこの世に多く存在しています。更に、アカウント名には名字を使うことが多いでしょう。メールの送信前には必ず設定しているメールアドレスを極端な話、一文字ずつ確認するくらいの意識で確認のうえで送信ボタンを押しましょう。
前述の誤送信対策ツールではこの宛先確認機能が備わっているものが多いですが、結局のところ、効果があるのは導入当初のみで、時間が経つにつれて確認する意識が薄れて使用されなくなってしまいます。
②そのまま返信してしまう
宛先の設定ミスの次に多いであろう「そのまま返信」。受信したメールに対して返信をする際に、送信してはいけない(したくない)相手のアドレスが設定されたままになってしまうケースです。
「送信してはいけない」というケースはどのような状況かと言うと、例えば、取引先からの連絡に対して、内部の関係者宛てに指示を出す際に、返信を使うケースもあると思います。このときに、取引先に見られてしまうとあまりよろしくない情報が含まれている場合や、あってはいけないですが、相手のネガティブな部分をつく発言が含まれていると想定し得ないトラブルにもつながってしまうでしょう。
③転送と返信を間違える
メールソフトによって機能が異なる部分はあるのかもしれませんが、通常の挙動として、転送と返信では宛先の設定が異なります。
まずはじめに受信したメールに対して「転送」は新たに宛先のメールアドレスを設定するのに対して、「返信」は元々のメールアドレスが残っています。転送をするつもりが、誤って返信でメールを作成してしまったことによって誤送信につながってしまうケースです。
やってみましょう!情報セキュリティ版避難訓練(メールを誤送信してしまった場合)
それでは、実際にメールを誤送信してしまった場合にはどうすれば良いのか訓練(シミュレーション)してみたいと思います。ここに挙げるのはあくまで一例ですが、筆者が過去に遭遇したことがあるケースです。つまりは起こった実績のある実体験に基づいています。
今回は、前述のメール誤送信の原因のどのパターンにも対応している流れです。
①ICT管理者に状況を報告する
これは、どんな情報セキュリティ事故にも当てはまるものでしょう。まずはICT管理者に第一報を入れます。ですが、今回は相手もいることから、いち早く終息しておくことが求められます。初動としては「誰あてに誤送信をしてしまった」、「次のアクションとして実施する内容」を報告するくらで良いと思います。
②誤送信先に連絡する
次に、誤送信をしてしまった相手にお詫びの連絡をします。メールの内容にもよりますが、重大な場合は電話をした方が良いかもしれません。このとき重要なのは、誤送信してしまった相手に対して謝罪の意思を伝えるとともに、送ってしまったメールを破棄していただくように依頼します。実際のところ、本当に破棄しているかは相手次第ではありますが、少なくとも、こちら側から依頼をしておく必要はあります。また、電話で依頼するにせよ、最終的にはメールによる文面で改めてお詫びとメール破棄の依頼を残しておきましょう。
③ICT管理者に結果を報告する
最終的に事の顛末は、ICT管理者に報告しましょう。このとき相手がまだ怒っているなど、継続して対処が必要なものがあれば方法を相談して対応にあたります。
メールの誤送信は幅広く影響してしまう
メールは不特定多数の人達に対して一瞬で情報を伝達してしまいます。
メールを送信する前は、必ず宛先を確認してから送る癖をつけておくと良いでしょう。