【Daily VOLVO News】ボルボの顧客情報流出 ひっそりと謝罪文

ボルボ・カー・ジャパンの公式ホームページに、7月に起きた顧客情報流出についての公式文書が発表されています。

発生内容

1 発生内容

弊社直営販売部門の本部社員が直営店ボルボ・カー虎ノ門(以下、「虎ノ門店」といいます。)所属の販売担当者に対し、虎ノ門店への来店、もしくはキャンペーンへのご応募、カタログ請求等の際に、個人情報をご提供いただいたお客様2,940名の個人情報を記載したファイルを電子メールに添付し、担当するお客様に対して、電子メールにてダイレクトメールを送信するよう指示致しました。

この電子メールの送信を受けた販売担当者のうち1名が、新たに電子メールを作成するのではなく、本部社員からの指示を受けた電子メールを直接編集し、自らが担当するお客様に送信しようと考え、電子メールの宛先CC欄に担当するお客様のメールアドレスを追加しダイレクトメールの送信を行いました。その際、個人情報が含まれる添付ファイルを削除しなかったため、2,940名の個人情報を記載したファイルが添付されたままの状態で、当時担当させていただいておりました29名のお客様に送信してしまいました。翌19日午前に、電子メールを受信されたお客様からご申告を頂戴したことにより、上記事象が発覚致しました。

出典:ボルボ・カー・ジャパン

本部社員は個人情報を記載したファイルを添付し、ダイレクトメールを送信するように電子メールで指示。担当者は本部社員からの指示メールを直接編集し、電子メールの宛先CC欄にお客様のメールアドレスを追加し送信。となっています。つまり、原因は以下の通りですね。

  • ダイレクトメールの雛形を電子メールでベタ打ち
  • ダイレクトメールの送信指示メールへ個人情報を添付
  • 個人情報を持ち出せる状態(ファイル化)にした
  • 担当者は雛形がついているので直接修正し転送メールを作成
  • 転送メールから個人情報の削除忘れ

発生要因

3 発生要因

個人情報漏洩が発生した原因は、上記のとおり、直接的には販売担当者の電子データの取扱いにおける不注意によるものです。しかしながら、このような不注意による個人情報漏洩が発生した主たる原因は、以下に記載のとおり、電子メール送信に関するルール及び指示が徹底されていなかったこと、並びに、電子メール送信における誤送信防止について、弊社の体制の整備が不十分であったことにある旨、判明致しました。

(1)ルール及び指示が徹底されていなかったこと

弊社では、お客様に電子メールにてダイレクトメールを一斉送信する際には、各店舗の管理職が電子メールを送信するよう指示しておりました。しかしながら、本件では、管理職ではない、販売担当者が直接電子メールの送信を行っており、既定のルールが徹底されておりませんでした。また、弊社では、一斉送信ではない個別送信の場合でも、各店舗の管理職以外の者が電子メール送信を行う際には、内容について管理職の承認を得てから送信するよう指示しておりましたが、ルール及び指示が徹底されておりませんでした。

(2)誤送信を防止するシステムの整備が不十分であったこと

弊社では、本件発生当時、添付ファイルへの自動パスワード設定機能や、誤送信を防止するシステムを導入しておりませんでした。また添付ファイルへのパスワード設定の徹底も図れていない等、人的ミスをカバーするシステムの整備も不十分でした。

出典:ボルボ・カー・ジャパン

直接的には販売担当者の電子データ取扱における不注意によるもの、となっていますが、直接的にはエラーを誘うような本部社員からのダイレクトメール送信指示メールの作成が間違いです。

本部社員が個人情報を扱うメールを送信する際、個人情報保護という厳重な意識を持っていなかったからこそ、容易に転送できるダイレクトメールの雛形をつくり、そこへ顧客情報を添付してしまったのでしょう。

また、個人情報をファイル化して持ち出し可能な状態にしたことも要因のひとつです。担当者が容易にはできないようにするべきで、何らかの社内システムより管理職が取り出せるようにすれば防止できることです。

販売担当者も個人情報保護の意識があれば、このメールの転送はまずいと判断し、新規にメールを作成して本部指示メールから必要な部分をコピー&ペーストするなど、方法はあったのです。

つまり、今回の事例はボルボ・カー・ジャパンの個人情報保護についての体制の不備、意識の低さと言えるでしょう。何かミスが起きる際、連鎖的なエラーで起きるものです。管理職が止められなかったことも要因の1つにあげられます。

個人情報の取扱

ボルボ・カー・ジャパンは今回の文書で、依頼がある場合は削除を申し入れるとしています。今後ボルボに乗ることをやめる方は、車を手放したときには必ず個人情報の削除依頼をするようにしましょう。

本件は別の記事で、改めて詳しくお伝えします。

>aboutVOLVOについて

aboutVOLVOについて

aboutVOLVOは、スウェーデン発の高級車ボルボと輸入車の情報をお伝えする、自動車ブログメディアです。
300以上の記事を用意しています。お好みにあった記事をみつけてください。ご感想もお待ちしております。