全1747文字
PR

 佐賀県は2020年2月7日、メールの誤送信によって個人情報を流出させたと発表した。送信先に誤ったメールアドレスを含めていたという。

メールの誤送信に関するリリース
メールの誤送信に関するリリース
(出所:佐賀県)
[画像のクリックで拡大表示]

 しかもこのミスが最初に発生したのは、2019年8月。約半年もの間、誤送信に気づかなかった。

 2月13日には、新潟県もメールの誤送信によって個人情報を流出させたと発表した。アドレスのタイプミスが原因だったという。

情報流出に関するお知らせ
情報流出に関するお知らせ
(出所:新潟県)
[画像のクリックで拡大表示]

 どちらの誤送信もメールアドレスが間違っていたことが原因なのに、送信エラーにならず、エラーメールも返ってこなかったという。一体どうしてだろうか。

メールアドレスのユーザー名が間違っていた

 佐賀県の誤送信は、業務委託業者の担当者が県の職員に送ったメールで発生した。同報(CC)の宛先に含まれていた送信者の同僚のメールアドレスを間違えていたのだ。

 同僚の正しいメールアドレスは「名字をアルファベット表記したもの+数字+@gmail.com」だという。gmail.comは米グーグル(Google)が提供するメールサービスGmailのドメインである。ところがCCに含まれていたメールアドレスは、「名字をアルファベット表記したもの+@gmail.com」と、数字部分が抜け落ちていた。

 県と業務委託業者は間違えたメールアドレスを含めたまま、互いにメーラーの「全員に返信」を選んで約40回もやりとりしていた。この間に、県が開催するイベントの参加者名簿といった個人情報を送り続けていた。

 取材に対して県の担当者は、「送信エラーにならず、受信者からも連絡がなかったので、間違いに長い間気づかなかった」という。誤送信が発覚した後、間違えたメールアドレスの相手に連絡を試みたが、返事はなかったとしている。

 返事がなかったことについて担当者は、「このアドレスはもう使われていないか、県からのメールが迷惑メールフォルダーに仕分けされたためでないか」と推測する。つまり、存在するものの使われていないメールアドレス、いわゆる「放置アカウント」に送り続けていた可能性がある。