2009/06/30

個人情報を漏洩されてみた

事件は唐突に起きました。

6/25(木)、仕事を終え帰宅し、いつもの通りメーラーを起動すると、見慣れないメールが。Fromは以前買い物をしたネットショップで、Subjectには「個人情報漏洩のお知らせ」と書いてある。いや、お知らせされたくないんだけど...

そのメールの前に来ている、ネットショップからの案内のメールを見ると、TOに1000件以上のメールアドレスが。やられた...

そのネットショップ自体の対応は早く、すぐさまトップページに「個人情報漏出についてのお知らせ」案内ページへのリンクが張られていました。

個人情報漏出事故のお知らせとお詫び

が、残念ながら現在はトップページではなく、プライバシーポリシーのページからのリンクになっています。まだ1週間も経ってないのだから、しばらくトップページからリンクしておいたほうが良いと思うのですが...

原因はまぁありがちで、通常はショッピングカートシステムからメール配信していたものの、サイトリニューアルに併せて担当者のMUAからメール送信したところ、誤ってTOにメールアドレスを入力してしまったそうです。

被害者の一人として、今回の問題点を考えてみました。

(1)ショッピングカートシステムが使えない場合のメール配信の手段について、マニュアルが用意されていたのか。
 →ショッピングカートシステムが使えない場合、「MUA使ってメール送信する」とか「MUAは使わずショッピングカートシステムの復旧を待つ」とか、非通常時の対策についてマニュアルが整備されていなかったように思えます。

(2)マニュアルの有無に関わらず、通常時と違うオペレーションとなる為、複数人でのチェックをするべきであった。
 →そもそもマニュアルが無いのであればオペレーションを行うべきではない、という前提はおいておいて。普段と違う行動を取るのであれば、必ず責任者がチェックするべきであったろうと思います。再発防止の記述を見る限り、担当者が送信する前に責任者のチェックはしなかったように読み取れます。

(3)通常時・非通常時に関わらず、メール送信については必ずダブルチェックをするべきであった。
 →これはまぁショッピングカートシステムから送信する場合も同様だと思いますが、会社としてオフィシャルに送信するメールである以上、送信先だけでは無く内容についても責任者がチェックするべきだと思います。

一般のネットショップにどこまで求められるかはわかりませんけどねー。上記のお詫びページしか情報が無いので、細かいことはわかりませんし。ユーザ側の意識としては、コストをかけてまで自ら向上しようとすることはほぼ無いので、提供側が改善や意識改革を訴えていくしか無いのでしょうね。