IT関連

デジタル庁職員のメール誤送信から学ぶ、再発防止策の本質について

なぜ無くならない?メール誤送信はどうすれば防げるのか

メール誤送信はなぜ起きるのか

2022年4月1日にデジタル庁の担当者が、新型コロナウイルスの接種証明書アプリに対する問い合わせメールへの返信時に操作を誤まり、受信者間でメールアドレスが閲覧できる状態になってしまったとのことです。

https://www.itmedia.co.jp/news/articles/2204/01/news166.html

ちなみに、2021年11月にもデジタル庁は同様の宛先設定ミスによるメール誤送信を行っていました。

なぜこのようなことが起きるかと言ったらそれは当然、

「人間が操作しているから」

以外の回答はないと思います。

一日数件しかメールが来ない環境ならともかく、一日に数百から数千通のメール送受信が発生するような仕事の場合、当然それらの作業についてはミスが発生しない仕組みを作らなければなりません。今回のメールの送受信の場合、例えばどのようなことができるでしょうか。

メールの手動送信作業に潜むリスク

今回、デジタル庁の職員がどのようなオペレーションをしていたのかは定かではありませんが、ここでは一旦、「職員がGmailなどのメーラーを操作して手動でメールのTo、Cc、Bccを設定していた」と仮定します。

その場合、メール送信をする際に、

  • メール本文の作成、チェック
  • メール宛先の設定、チェック
  • メールの送信

上記の作業を行っていると考えられます。

一つ目の「メール本文の作成、チェック」については人間によるチェックが介在してしまうのは現状のテクノロジーでは仕方がないと思いますが、二つ目の「メール宛先の設定、チェック」については今回が2度目ということももちろんですが、そもそもメール誤配信は多くの企業で発生していることなので、ミスを起こさないための何らかの対応が必要かと思います。

しかし、今回のケースだと「担当者が回答先アドレスを入力する際にTO欄に貼り付けていることに気づかず・・・」と事案の概要に記載されていたので、メールの宛先の設定は完全に担当者が手動で実施していたものと思われます。つまり、メール送信のオペレーションに対して、送信ミスを防ぐための仕組みが何もなかったということだと思われます

ちなみに一見、単調のように見えるメール送信先の設定ですが、もしメール対応の件数が一日に数十件、いや数百件となった場合、本来はそこまで複雑ではないはずのメール送信先のチェック作業もかなり大変な作業となります。このような単調作業のチェックというのは、しっかりとした仕組みが組み込まれていない限り、ある程度の頻度で必ず発生すると考えたほうがむしろ自然なのです。

メール誤送信を防ぐために考えられる方法について

では、メール誤送信を無くすために、どのような方法が考えられるでしょうか。今回のケースについて、送信先のメールアドレスを誤ってToに貼り付けてしまったことによって引き起こされたものだった場合、再発防止策として記載されている「メール送信時の宛先設定の確認を徹底するなど・・・」はそもそも機能しないことが分かるかと思います。

もし「メールの誤送信を減らす」ための手段だったら、100回中10回ミスしていたのが、100回中5、6回程度のミスに減る可能性はあるかもしれません。しかし、今回は個人情報の取り扱いに関わる、非常にシビアな問題のため、そもそもミスを許容できないはずです。

例として、必要になる対処の一つとして

「誤った操作をアプリケーション(メーラー)として受け付けない」

というものが考えられます。

具体的には

「Toに何らかの宛先情報が入力されている場合にはメールの送信ボタンが押せない」

といった設定です。(Gmailの場合はGoogle Apps Script(GAS)を使えば可能)

もちろん上記の対応策はあくまで一つの例で、

「個人情報を取り扱うオペレーションについては全て自動で行う」

みたいな方法も理論的にはありなのかもしれません。(しかし現状だと運用コスト的に難しい)

再発防止策とはそもそも何なのか

ここで考えるべきは「再発防止策」とはそもそも何なのか、ということです。繰り返しになりますが「(人による)メール送信時の宛先の確認のチェック」はそもそも再発防止策ではありません。必要なのは「ミスが発生しないための仕組みづくり」なのです。

デジタル庁のメール誤送信事故から、自分が所属している組織の中で同様の事故が発生する可能性がないか、しっかりと確認した上で対応をする必要があります。

恐らくは多くの企業で同様の事象は既に発生しているか、もしくは時間の問題でいつ発生してもおかしくない状態かと個人的には思っています。しかし個人情報に関する情報漏洩などは組織に対して非常にリスクが大きい(ブランドイメージの毀損など)ため、組織としてしっかり対処すべきかと思います。

 

 

ABOUT ME
Gaku
JTCでデータエンジニアっぽいことをしています。仕事ではGoogle Cloud、GTM、Google AnalyticsやKARTE、Datahubあたりを触っています。 本ブログではGoogle Cloudやデータエンジニアリング、たまに趣味などの記事をアップします。

COMMENT

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA