メール誤送信による情報流出、対策に管理職の承認が必要なシステムを導入（ボルボ・カー・ジャパン）

ボルボ・カー・ジャパン株式会社は10月23日、8月8日に公表した顧客の個人情報を記録したファイルを添付し送信した情報流出について、調査結果と再発防止策、顧客への対応を発表した。

これは同社の直営販売部門の本部社員が、直営店ボルボ・カー虎ノ門所属の販売担当者に対し、同店への来店やキャンペーンへの応募、カタログ請求等の際に個人情報を提供した顧客2,940名の個人情報を記載したファイルをメール添付し、担当する顧客に対し、当該メールでダイレクトメールを送信するよう指示したところ、当該メールを受信した販売担当者のうち1名が、新規でメール作成するのではなく、本部社員から指示を受けた当該メールを編集し担当する顧客に送信しようとCC欄に担当する顧客のアドレスを追加しダイレクトメールの送信を行ったというもので、その際に個人情報が含まれる添付ファイルを削除しなかったため2,940名の個人情報を記載したファイルが添付された状態で29名の顧客に送信した。

漏えいした顧客2,940名の個人情報を記載したファイルには、氏名、住所、電話番号、携帯電話番号、メールアドレスの全部または一部が含まれていた。

同社によると、顧客にダイレクトメールを一斉送信する際は、各店舗の管理職がメール送信の指示をしていたが、本件では管理職ではない販売担当者が直接メール送信を行っており、また、一斉送信ではない個別送信の場合も各店舗の管理職以外がメール送信をする際は内容について管理職の承認を得て送信するよう指示していたが、これらのルール及び指示が徹底されていなかった。

さらに同社では本件発生当時、添付ファイルへの自動パスワード設定機能や誤送信を防止するシステムを導入しておらず、また添付ファイルへのパスワード設定の徹底もされておらず人的ミスをカバーするシステムの整備も不十分でった。

同社では、送信先となった29名の顧客に対し添付ファイルを含む当該メールの削除を依頼し、29名中28名から承諾を得た。なお、残り1名の顧客は、メールがサーバに自動保存される設定となっており、サーバ上のデータは業務上必要とする監査との関係で削除ができないとの理由で承諾が得られなかったとのこと。

同社では8月2日に監督機関である個人情報保護委員会に報告を行い、8月8日には個人情報を漏えいした2,940名の顧客に対し説明と謝罪の書面を送付、10月15日に改めて「個人情報流出に関するご報告とお詫び」 の書面を送付した。同社では、顧客から個人情報削除の申し出があった場合には本人確認の上で削除対応する。

同社では再発防止策として8月8日に、個人情報が記載されているメール及びファイルが添付されているメールに対し、宛先が同社のアドレスでない場合は、各店舗の管理職の承認を条件に送信される株式会社富士通ビー・エス・シー提供のセキュリティシステム「FENCE」を同社直営全店舗に導入し、さらに添付ファイルに自動的にパスワードが設定されるシステムも導入した。