再び起きた宛先入力ミスによる個人情報流出

gmeil.comと入力ミス

メールの宛先の入力ミスによる個人情報流出が再び起きてしまいました。今回は滋賀県立湖南農業高(草津市)が同校の生徒計140人、保護者、インターンシップ関係者の個人情報を流出させたとの事です。担当教諭が誤ってgmail.comgmeil.comと入力してしまったために起こりました。過去にもgmai.comというドッペルゲンガードメインによる問題は起きていて、共通しているのは宛先の手入力です。今回は担当教諭が自宅で作業を引き継ぐために自身のメールアドレスへ送ったそうです。「自分のメールアドレスだから分かるし、コピー&ペーストは面倒だ」という心理があったでしょうか。結果として、自分のメールアドレスを手入力したつもりが、第三者へ送る事になってしまいました。

メールの宛先入力ミス

また、個人情報の送信時に義務付けられているパスワードの設定をしていなかったそうですが、もしパスワード設定が出来ていても安全とは言えません(次項解説)。この学校のやり方としては、個人情報が入ったZIPファイルへのパスワード設定を義務付けていると見えます。もしそうだとしたら、なぜ安全ではないのか。ニューステーマから少し逸れますが、次項でその点も見てみましょう。

問題点と再発防止策

宛先の手入力は厳禁

メールでの個人情報流出防止方法は全く難しくありません。宛先に正しいメールアドレスを入力するだけで良いのです。しかし、これが油断や怠慢などによって手入力で済ませようとしてしまいます。「このメールアドレスの手入力は慣れているから大丈夫だ」「連絡先から反映したり、正しいメールアドレスが載っているファイルを開いてのコピー&ペーストは面倒だから手入力をしてしまおう」という考えは禁物です。では宛先に正しいメールアドレスの入力方法は何が確実でしょうか。面倒に感じても下記の方法がオススメです。

  • 正しいメールアドレスが載っている連絡帳から反映
  • 正しいメールアドレスが載っているファイルからコピー&ペースト

安全・確実な方法を選ぶのが賢明です。例えメールアドレスを完璧に記憶していても人間は打ち間違えるものですし、打ち間違いに気付かず送信してしまう可能性は充分に現実的です。手入力を過信しての個人情報流出は何件も起きているので、過信せず堅実な姿勢で取り組みましょう。

メール誤送信 再発防止策

ZIPファイルへのパスワード設定が疑問である理由

ニュースの本題からは少し逸れますが、メールで送信するZIPファイルにパスワードを設定して情報を守るPPAPという施策について触れます。PPAPはそれぞれの頭文字から取りつつ、ピコ太郎さんのPPAPになぞらえた造語だそうです。

  • P ・・・ パスワード付きZIPファイルを送る
  • P ・・・ パスワードを送る
  • A ・・・ 暗号化
  • P ・・・ プロトコル

具体的なやり方は、まず暗号化されたZIPファイルをメールで送り、その後に解凍のパスワードをメールで送ります。このPPAPは現在では廃止の動きが加速しており、その理由はセキュリティーが脆弱であるためです。ZIPの暗号化はセキュリティー強度が高いとは言えません。それに加えて、1通目で暗号化されたZIPファイルを送ったとしても、2通目で解凍パスワードを送っているので、パスワードが全く保護されていません。今回の個人情報流出を起こした湖南農業高校の決まりでは、個人情報の送信時にパスワード設定が義務付けられているそうです。詳細は明記されていませんでしたが、仮にPPAPであるとしましょう。もしPPAPが出来ていたとしても、1通目に暗号化されたZIPファイルを送り、2通目で解凍パスワードを送れば結局は情報を閲覧されてしまいます。暗号化されたZIPファイルを1通目に誤送信して、2通目の解凍パスワードを送る前に誤送信に気付いて踏みとどまるか、2通目は本来のメールアドレスを間違えず入力が出来て被害を防げた可能性はあります。しかしPPAP自体がセキュリティーにおいて脆弱なので、適用は避けるべきという事が重要なのです。例えばMicrosoftのOneDriveなど、ファイル共有サービスの活用がオススメです。

PPAPを廃止するべき理由
最上部に戻る