何が起きた?(要約)
山口大学の職員がセミナー案内メールをBCCではなくTOで一斉送信し、受信者間でメールアドレスが表示される事案が発生。漏えい件数は500件で、うち学外1名は氏名も付記。被害は現時点で確認されていない【2025/09/19公表】。山口大学
影響
対象:セミナー案内メールの送信対象者(受信者のメールアドレス/一部氏名)
期間:一次情報に記載なし
影響データ一覧
| データ項目 | 性質 | 取扱主体 | 状態 | 根拠(一次情報) |
|---|---|---|---|---|
| メールアドレス | 連絡先 | 自社 | 対象 | 「メールアドレス500件」等の記載あり。山口大学「メールの誤送信による個人情報の漏えいについて」 |
| 氏名(学外1名) | 識別子 | 自社 | 対象 | 「うち、氏名の情報が付記されている学外の方1名」との記載あり。山口大学公表 |
| 被害有無 | 業務機微 | 自社 | 対象外 | 「現時点では本事案にかかる被害は確認されていません」との記載あり。同上 |
発生形態(原因の概要)
メール誤送信(misdirected email)=一斉送信時に本来BCCで送るべき宛先をTOに設定したため、受信者間でアドレスが閲覧可能になった。山口大学
時系列(要点)
2025/09/11:セミナー案内メールをTOで一斉送信、約30分後に教員が気づく。山口大学
一次情報に記載なし
2025/09/19:対外公表。山口大学
アクション判定ガイド(即実施)
| 読者タイプ | 条件 | 確認方法 | 即時アクション | 優先度 |
|---|---|---|---|---|
| 企業管理者(メルマガ/案内メール運用) | 個人アドレス宛の一斉送信を行う | 直近の一斉送信テンプレと送信設定を開く | ①BCC強制テンプレへ差替える ②ML/配信基盤(リスト非開示)へ切替検討を開始する | 高 |
| 個人(受信者) | 当該大学から当日付近に案内メールを受信 | 受信メールの宛先欄(To/Cc/Bcc)を確認 | ①不要転送を控える ②不審連絡に注意(なりすまし等) | 中 |
再発防止(設計の基本)
最小公開原則:一斉配信はメーリングリストや配信基盤で個別宛先を非開示化する。
手順の固定化:BCC固定の送信テンプレートと二者チェックを運用手順に組み込む。
監査可能性:送信ログ(宛先種別含む)を保存し、定期レビューを契約・規程に明記する。
関連用語メモ
データ転送/一時保管領域=外部連携やバッチ処理の前後で一時保持する場所。領域自体は必要。リスクは運用不備(a 残存、b 保存期限/削除手順未整備、c 権限/監査の緩さ、d 公開/共有設定ミス)で顕在化。
誤送信=宛先や添付、公開範囲の設定誤りにより、意図しない相手へ情報が送られること。
コメント