医療機器の販売会社で働いていて、現在はテレワークをしている三村くんは、先日開かれた展示会に来てくれた人の名刺から、商談につながる角度の高い見込み客にアポのメールを送ってました。しかし、誤って展示会に来ていない人のメールアドレスにアポのメールを誤送信してしまいました。三村くんは、同僚の道原くんが、以前にメールの誤送信をした際に顛末書を出したことを思い出しました。このとき、三村くんはどう考えて、行動するのがいいでしょうか?正しいと思うのを選択してください。
| ア | 道原くんが顛末書を出したのだから、自分も出すことになると考え、誤送信の発生経緯や送信内容、再発防止策を顛末書として書き始めた。次回、会社に出社したタイミグで上長に顛末書を出すつもりである。 |
| イ | 誤送信したメールはアポのメールであることから、機密情報は含まれないと考えた。アポに誤送信した相手が反応するかも分からないので、相手からのリアクションがあるまで放置することにした。 |
| ウ | 誤送信した相手にはお詫びの連絡をした方がいいと考えた。お詫びメールに「先ほど、わたしから送ったメールはあて先を間違えたものです。破棄をしてください。」と、メッセージを添えて送った。 | エ | メールの誤送信が情報セキュリティインシデントにあたる可能性があると考え、上長に報告して指示を伺うこととした。 |
答え:エ
メールの誤送信は、個人情報の漏えい事故でもっとも大きな割合を占めてます。
事象分類別の事故報告件数 ~「2023年度 個人情報の取扱いにおける事故報告 集計結果」(JIPDEC/プライバシーマーク推進センター)より
メールの誤送信は、情報セキュリティインシデントにあたる可能性があるので、当事者が第一にするべきことは、上長への報告です。
報告のあと、誤送信の相手に「廃棄の依頼」をするとか、最終的には「顛末書」を出したりすることはあるかもしれません。しかし、それらの作業は上長への報告の後に発生する作業と認識するべきでしょう。
また、メール誤送信の内容が「情報セキュリティインシデント」に該当するかは、本人の判断ではありません。
多くの会社では「情報セキュリティ管理責任者(CISO)」が定められています。インシデントは、CISOを中心とした社内の情報セキュリティ委員会の判断に委ねられます。
テレワークになると、自分の周りに上長がなく、直ぐに相談できる同僚もいないので、問題を起こした場合の報告が遅れがちになります。
報告が後手後手に回ると、本来は組織として対処するべき、インシデント対応が、報告を怠った個人の責任と捉えらる可能性があります。
メール誤送信をしたら、何よりも先に上長に報告しましょう。
