< メールマガジン配信の仕組みについて >
弊社が管理する【人材バンクネット】自社配信版メールマガジンのしくみは次の通りです。
【人材バンクネット】では、メールマガジン配信時に、会員の皆様の登録情報からメールマガジンご購読希望の方のメールアドレスのみを抽出し、配信リストを作成します。
配信リストの作成後、弊社メールマガジン発行担当者が、投稿専用メールアドレス宛に、パスワード及びメールマガジン原稿が記載されたメールを送信します。
記載されたパスワードが認証OKの場合にのみ、メールマガジン原稿部分を、配信リストに含まれるご購読者様に対してお送りしています。
< 事故発生の原因 >
12月17日の弊社調査により、このたびの事故発生の原因を次の通り特定いたしました。
メールマガジン配信ソフトの内部には、認証を担当する「投稿専用メールアドレス」とその後の配信を担当する「配信中継メールアドレス」が存在し、「投稿専用メールアドレス」で認証OKとなった場合にはその後の処理を「配信中継メールアドレス」が受ける形で配信が行われています。
本来「配信中継メールアドレス」が外部に公開されることは無いのですが、メールシステムのバージョンアップを行った後の、メールマガジンのヘッダ情報(経路情報)に、この「配信中継メールアドレス」が含まれていることが調査の結果判明しました。また、この「配信中継メールアドレス」は外部からの受信を許可しており、かつ投稿時の認証が必要ない状態であったため、結果としてメールマガジンのご購読者様に対して、第三者がメール配信可能な状態となっておりました。
< 事故発生の経緯 >
このたび弊社が招きました個人情報の漏えい事故は、次の経緯で生じました。
弊社のメールマガジン配信システムの不具合によって配信された“メールA”に対して、6名の方がそのお問い合わせを、「配信中継メールアドレス」宛に行ったため、同様の仕組みを通じてお問い合わせのメールが差出人情報(メールアドレス及び氏名)と共にメールマガジン購読者様に配信される結果となりました。
< 再発防止策について >
自社配信版メールマガジンデータベース運用手順の変更。
■及び青文字箇所が再発防止策 |
|
メールマガジン配信ソフトの設定変更
弊社では今回の事態を厳粛に受け止め、今後は下記の対策を実施し、再発防止への取り組みを真摯に行ってまいります。
■ 実施済みの改善策(平成20年12月22日17:00現在)
- 配信中継メールアドレスの変更、及びメールマガジンのヘッダ情報(経路情報)における、配信中継メールアドレスの削除。
- メールマガジン配信用データベース上のデータ(メールアドレス)は、メールマガジン配信用メールデータを作成後に、毎回全て削除。
- メールマガジン配信に関連するソフトウェアのバージョンアップ等を行う際は、構成変更によってセキュリティレベルが低下することが無いかを確認。
■ 今後の再発防止策の取り組み
- 配信中継メールアドレスについて、外部からのメール受信を拒否。
- 第三者による【人材バンクネット】システム全体を対象としたセキュリティ監査(外部監査)の実施。
- 事故原因の根本究明と当該個人情報取扱い業務の見直し。
- 当該個人情報取扱い部門への教育の徹底。
- 個人情報取扱い体制の見直し(全体)。
- 当社全従業員に対する教育の徹底(全体)。
|