典型的な電子メールの失態では、NHSハイランドがHIV感染患者37人にメッセージを送信したが、誤ってブラインドカーボンコピーではなくカーボンコピー(CC)を使用したため、受信者は互いの電子メールアドレスを見ることができた。
これは、英国のデータ監視機関である情報コミッショナー事務局が発表したもので、同局は保健委員会を「叱責」した。保健委員会は、約32万人の地域住民にサービスを提供し、年間運営予算は7億8000万ポンド(9億6400万ドル)である。
このミスは2019年6月に発生しました。スタッフの一人が以前のグループメールを開き、リストに登録されている全員にコピーし、37人の「データ主体」(つまり患者)のグループにBCCを使用せずにニュースレターを送信したのです。メールの取り消しを試みましたが、失敗に終わりました。
ICOは3万5000ポンド(4万3000ドル)の罰金を科す代わりに、2022年6月に導入された「公共部門アプローチ」を採用している。これは、上級管理職と協力して「コンプライアンスを奨励し、被害が発生する前に防止し、問題が発生した場合には教訓を学ぶ」というものだ。
SMSのトラブルで患者が誤って癌と診断される
続きを読む
ICOは、このメールの誤りを「重大な信頼違反」と表現した。声明の中で、ICOの規制監督担当副長官であるスティーブン・ボナー氏は、このミスについて次のように述べた。
「リスクが大きすぎるのです。調査によると、HIV感染者はそのステータスゆえにスティグマや差別を経験しており、この種の情報を扱う組織は個人データの取り扱いに最大限の注意を払う必要があります。」
「この国のすべてのHIVサービス提供者は、この事例を振り返り、重要な学習経験として捉えるべきです。私たちは、組織に対し、データ保護基準を引き上げ、人々の安全を守るための適切な対策を講じるよう求めます」と彼は述べた。
- HIVスコットランド、ウイルス感染者の患者支援者の名前をBCCメールで特定した失態で1万ポンドの罰金
- NHSデジタルは、「サイバーについて話そう」イベントの招待リスト全体にBCCのミスコピーがコピーされた後、数百のメールアドレスを公開した。
- 英国国防省、アフガニスタンでの新たな重大なメール失態について再度謝罪
- プライバシーポリシーを発表するメールが「BCC」ではなく「宛先」欄に500件のアドレスを入力したため、「全員返信」騒動が勃発
ICOは、BCCの不正確な使用は「サイバー犯罪以外の侵害」の上位10件に含まれており、2019年以降に報告された件数は約1,000件に上ると述べた。これには、HIVスコットランドが2021年に犯した失態も含まれている。同団体は、ウイルス感染者を代表する患者擁護団体で構成されるコミュニティ・アドバイザリー・ネットワーク(CADA)の105人にメールを送信した。この事件では、1万ポンドの罰金が科せられた。
2021年後半には、NHSデジタルが主催する「Full Digital Breakfast: Let's talk cyber」イベントへの招待状を4回送信した際に、BCCに届かず困惑する事態に陥りました。同じ年に国防省でも同様の状況が発生しました。®
