お知らせ

電子メールによる個人データの取扱いに関する注意喚起が行われています(2023/1/6)

12月28日、個人情報保護委員会は、注意喚起文書「『ドッペルゲンガー・ドメインへの漏えい事案』を踏まえた電子メールによる個人データの取扱いについての注意喚起」を発出しました。

これは、電子メールを転送した際に転送先の電子メールアドレスに誤りがあり個人データの漏えい事案が発生したことを受けて、あらためて個人データの外部持出しに関する規程その他の安全管理措置や、従業者の監督をよびかけるものです。

事案の概要
事業者が従業者に付与している電子メールアドレスで受信したメールにつき、従業者が個人的に取得・管理している電子メールアドレスへ自動転送されるよう設定を行っていたところ、当該設定時に転送先の電子メールアドレスに誤りがあったため、個人データを含む電子メールが当該誤った電子メールアドレスに送信され、個人データの漏えいが発生した。

個人データを含む電子メールを外部に転送する場合の注意すべきポイント
・従業者個人のメールアドレス宛てに電子メールの転送を許容する場合、個人情報取扱事業者において従業者個人の電子メールアドレスやパソコン等のセキュリティ対策の実施状況を把握することが困難であるため、安全管理上注意が必要。

・電子メールの転送を自動設定で行う場合は、個人データの持出しにおける制限等のルールを設けていても、受け取った電子メールの内容を確認することなく転送することとなるため、特に危険性が高い。やむを得ず実施する場合は、宛先等に注意が必要であり、対策として、必要に応じ転送先のメールアドレスの申請を義務づける等の方法が考えられる。
また、通常、存在しないアドレス宛に電子メールを送信した場合には、エラーメッセージが返送され、誤送信に気づくことができるが、自動転送設定時に、例えば、○○mail.comを○○mai.comと一文字入力が漏れるなど誤った場合(特にフリーメールアドレスは要注意)には、一般的に「ドッペルゲンガー・ドメイン」(注)とよばれるアドレス宛に送信され、悪意の第三者に受信されるケースもあるため、注意が必要。
 (注)「ドッペルゲンガー・ドメイン」とは、フリーメールアドレスなどの正規のドメインにおけるタイプミス(例:○○mail.com を○○mai.com と一文字入力が漏れる)や誤認識しやすいドメインを取得し、ユーザーが誤ってアクセスしたり、電子メールを誤送信したりすることで情報収集することを目的としたものです。