プロジェクトオーガナイザの吉田聖書です。
7月21日に、日本経済新聞社が公式サイトにお知らせを掲載しまして、同社が送信したメールの宛先に最大1000人分のメールアドレスが設定されており、受信者にもそれが表示されている状態だったと発表しました。
メールアドレス漏洩の報告とお詫び(2023/7/21 日本経済新聞社)
これは、日経新聞社が「日経メッセ大阪」というイベントを主催して、約6500人が参加の事前登録を行ったそうです。そしてその事前登録者に対して、イベントの最終案内のメールを発信したところ、一人一人に対してではなく、メールヘッダのToに対して複数のメールアドレスをまとめて設定してしまったということです。
ただ、受信者に表示されたメールアドレスは、本人のものを含めて最大1000件と書かれていますから、おそらくメール送信システム側で、1000件ずつ区切って処理するようなロジックになっていたものと思われます。対象が6500人ですから、7回ループしたことになります。
お知らせの記述で気になったのは、メール送信システムのバグなのか、それとも今回のメールを設定した担当者のヒューマンエラーなのかが曖昧に書かれている点です。再発防止策も「当該システムを速やかに改修する」ことが書かれており、この記述を純粋に解釈するなら、今回のように複数の宛先に対するメール配信を設定する場合、Toのアドレスにまとめて送信することもできれば、1件ずつバラバラに送信することもできるような設定画面になっていたのではないかということが推測されます。
しかし、文面だけではメール送信システムがどのようなものかは全く分かりません。SaaSのメール送信システムを使っている可能性もありますし、情シスの担当者が手作りしたプログラムかもしれません。そして、そもそもToのアドレスに宛先をまとめてセットして配信するというユースケースが無いので、そういう設定ができないようにシステムを改修するのではないかということが想定されます。
そう考えると、メール送信システムはおそらく今回初めて使うものではないでしょうから、システムのバグというよりは、そのシステムを利用する側のヒューマンエラーということが言えると思います。そして、そういったヒューマンエラーをシステム改修によって防止するという対策のように思えました。
※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。
この手の事故は通常、メールクライアントで一斉メールを送信する際に、複数のメールアドレスをBccに設定すべきところをToに設定してしまったというヒューマンエラーが多いものです。でも日経新聞社ほどの会社になると、さすがに手作業で一斉メール送信はしないでしょう。
事故のメカニズムはもう少し詳しく書いて欲しかったですが、再発防止策としては精神論ではなく、仕組みを変える方針を取ったというところは見習うべき点かと思います。ヒューマンエラーは精神論ではなく仕組みでないと防ぐことはできないということです。ただ、お知らせの最後で「個人情報の管理を一層強化いたします」と精神論で結んでいたのにはズッコケました。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。