プロジェクトオーガナイザの吉田聖書です。
7月14日に大阪教育大学がプレスリリースを出しまして、職員のメールアドレスの転送設定ミスによって個人情報が漏洩したと発表しました。
電子メール転送先ミスによる情報漏えいについて(2023/7/14 大阪教育大学)
このプレスリリースによると、職員が行った転送設定というのが、個人のGmailのアドレスを設定しようとして「gmail.com」のところを「gmeil.com」と間違えて設定してしまったということです。これによって漏洩が確認された個人情報は約1,800件でした。この手の事故は無くならないですね。このブログでも去年の11月(埼玉大学)と今年の3月(鹿児島大学)に同じようなメール転送設定のミスによる情報漏洩事故を取り上げました。
で、この事故の凄いところは、間違った転送設定をしたのが2018年の4月で、気付いたのが今年の2月と書かれていまして、鹿児島大学の事例では気付くまでに約2年半でしたが、今回は気付くまでに約5年かかったということです。しかも、気付いたきっかけが転送先アドレスが存在しないというエラーがあったということです。これも不思議なんですよね。
大阪教育大学が調査を進めたところ、誤った転送先はいわゆるドッペルゲンガードメインであり、だからこそずっとエラーにもならずに気付かなかったわけです。ところが今年の2月になってエラーを吐いたということは、該当のドッペルゲンガードメインが手仕舞いしたか、そうでないとしても宛先のメールサーバの不調によって結果としてエラーが返されてしまったということなのかもしれません。
※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。
そもそもこれは、大学として個人のメールアドレス宛の転送設定を何故許容しているのかが疑問です。セキュリティ意識が問われます。ごく普通の一般企業でメールの転送設定ができるという話を聞いたことがありません。(セキュリティが甘いことが露呈されるので秘密なのかもしれませんが。)なので、組織としてはメールの転送設定をできないようにするのが簡便で確実な対策です。
「いや、メール転送できないと業務に支障があるんです」という弁明も想定されますが、5年も間違いに気付かず、それで業務に支障がなかったわけですから、その訴えは簡単に退けられます。仮にどうしても必要ということであれば、設定は誰でもできないようにして、申請を稟議して承認された場合のみ、システム管理者の責任で転送設定を行うということで良いのではないかと思います。
それも煩わしいとしたら、転送先アドレスをシステム的にチェックする仕組みを導入することが考えられます。ブラックリスト方式で転送先アドレスのチェックをすべきと以前お伝えしましたが、ドッペルゲンガードメインはかなりバリエーションがありそうなので、ホワイトリスト方式でチェックした方がより安全だろうと思います。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。