データ規制当局は企業に対し、電子メールを書く際に意図せず個人情報を漏らさないように注意する必要があると注意喚起した。
当然のことながら、英国の情報コミッショナー事務局 (ICO) のガイダンスの多くは、受信者のアドレス フィールドを正しく使用し、一括送信ボタンを押す前に電子メールの内容を考慮することに重点が置かれています。
ICOは企業に対し、従業員がカーボンコピー(CC)とブラインドカーボンコピー(BCC)フィールドを適切に使用する方法についてのトレーニングを受ける必要があると警告した。
監視団体は、「送信者が『BCC』欄を悪用した個人データ漏洩の報告を数百件確認した」と述べた。
英国国防省、アフガニスタン人通訳のBCCメール失態で35万ポンドの罰金
続きを読む
悪用は、単に BCC フィールドの使用を忘れるというケースから、暗号化されていない電子メールに機密情報を入れて、宛先に届くまでの間にサーバーを通過する際に閲覧できるケースまで多岐にわたります。
Regの読者の皆様へお知らせです。「BCC」フィールドを使用すると、受信者は互いのメールアドレスを見ることができません。これは、大規模なメーリングリストへの一括メール送信に便利です。「CC」フィールドを使用すると、メールアドレスを見ることができるため、受信者は他に誰が同じメールを受け取っているかを把握しやすくなります。
ICOは、「宛先」または「CC」欄が「BCC」ではなく誤って使用されていた2つの事例を挙げました。1つ目の事例では、NHSトラストが美術コンテストに関する一斉メールを送信するために、患者のメールアドレスを手動でコピーし、「宛先」欄に貼り付けました。メール自体には機密情報は含まれていませんでしたが、「CC」欄にすべてのメールアドレスが含まれていたため、受信者はトラストの活動中の患者を特定できました。この誤りにより、NHSトラストは罰金を科されました。
2つ目のケーススタディでは、ある慈善団体がセキュアなメールプラットフォームへの移行を不完全に行いました。移行作業の完了を待つ間も、メールを送信する必要がありました。そのうちの1通では、スタッフが誤って「CC」欄に手動でアドレスを追加してしまいました。そのため、メールアドレスがすべての受信者に公開されてしまいました。このメールはイベントの議題に関するもので、HIV諮問委員会の105名のメンバーに送信されました。
ICOは、「105件のメールアドレスのうち65件で受信者が明確に特定されており、そのうち2件の受信者が慈善団体に連絡して事件を報告した」と指摘した。
電子メールは数十年の歴史を持つにもかかわらず、いまだにこのようなミスを犯している人がいるのは不安なことです。そのため、ICOは組織に対し、ベストプラクティスを認識し、電子メールに対してリスクベースのアプローチを取る必要があることを改めて強調しています。
- NHSデジタルは、「サイバーについて話そう」イベントの招待リスト全体にBCCのミスコピーがコピーされた後、数百のメールアドレスを公開した。
- 英国国防省、アフガニスタン通訳者の個人情報がメールの失態で漏洩したことについて謝罪
- プライバシーポリシーを発表するメールが「BCC」ではなく「宛先」欄に500件のアドレスを入力したため、「全員返信」騒動が勃発
- 英国住宅協会、メールの失態で3,500人の性的指向と民族性を漏らす
- BT Securityのcc/bccの混乱により、150人の情報セキュリティ担当者が、誰が敵なのかを知るようになった。
- 英国の監視機関、児童性的虐待調査に20万ポンドの罰金、大量メール失態で
ICOは、「CC」と「BCC」の違いを全員が理解できるようにするだけでなく、メールシステムにおいて「CC」が使用されている場合に警告を表示し、送信前にスタッフがエラーを修正する時間を確保するために、送信に一定の遅延を設けることを推奨しています。また、ICOは、予期しないメールアドレスが使用される可能性のある、一見便利なオートコンプリート機能を無効にすることも推奨しています。
ICOはまた、「BCC」を使用する場合でも、電子メールは必ずしも最適な転送方法ではない可能性があると注意喚起しました。組織に代わってサードパーティプロバイダーに電子メールを送信する場合でも、組織独自の要件に従う必要があると指摘しました。
ICO は、「電子メールは、情報を効率的に共有するためのデフォルトの選択肢としてますます普及していますが、必ずしも最良の選択肢とは限りません。」と述べています。®
