府中市：市民団体宛の一斉メールで個人情報が漏洩

2025年3月25日、府中市の市民活動センター指定管理者「府中市市民活動センター運営グループ」にて、登録団体への一斉メール送信時に担当者情報を含むファイルを誤って添付し、約350件分の個人情報が漏洩する事案が発生しました。

本件は、自治体・公共団体におけるメール誤送信による典型的なインシデントであり、個人情報を扱う業務に対しての運用・体制・技術的対策の見直しが求められる事例と言えるでしょう。

漏洩の概要

漏洩した情報は、ポータルサイト「プラnet」に登録された市民活動団体の連絡担当者に関する以下の情報です：

• 団体名
• 担当者氏名
• 担当者メールアドレス
  ※「プラnet」上で非公開となっていた情報が対象

漏洩件数は350件（団体）に上り、関係者には当日中に謝罪と該当データの削除依頼が行われました。

インシデントの原因

本件の直接的な原因は、以下の人為的ミスです

• メール送信の際、本来は送信先アドレスを読み込む目的で使用する「一覧ファイル」を、誤ってそのままメールに添付してしまった。

このようなミスは、アドレス帳ファイルと添付ファイルの取り扱いを手動で行っている運用フローで、かつ業務に集中できない環境下（窓口対応中）で作業していたことも要因と考えられます。

再発防止策

指定管理者である運営グループは、以下のような再発防止策を発表しています。

システム運用改善

• アドレス帳をメールシステム上に事前登録し、添付操作を不要に。
• メール送信時にはテスト送信とダブルチェックを必須とするフローに変更。

業務環境の見直し

• メール送信業務を窓口対応と切り離した専用スペースで実施。
• 個人情報取り扱いに関する職員研修を改めて実施。

情報システム部門が学ぶべきポイント

この事案から、情報システム担当者として以下の点を改めて確認・強化すべきです：

1. 添付ファイル操作のリスク対策

• アドレス帳や個人情報を含むファイルの手動操作を可能な限り排除
• メール誤送信防止のためのメール誤送信 対策ツールの導入

2. 運用体制の再設計

• 窓口業務など注意が散漫になる状況下でのメール送信禁止
• 二重チェック体制の常設化

3. 教育・啓発の継続

• 定期的な情報セキュリティ研修の実施
• 漏洩事例の共有によるリスク感度の維持

メール誤送信対策ツールの導入も検討を

今回のようなヒューマンエラーによる情報漏洩を根本的に防ぐためには、メール誤送信対策ツールの導入が極めて有効です。特に以下のような機能を持つ製品は、自治体や公共機関での導入が進んでいます。

• 添付ファイルの自動暗号化・パスワード分離送信
• 一定時間の送信保留（差し戻し猶予）
• Bcc強制・To/Cc制御機能
• メール内容や添付ファイルの自動チェック（個人情報検出など）
• 上長・第三者による送信承認ワークフロー

特に、「業務に詳しくない職員でも安心して操作できるUI/UX」を持つ製品が重要です。技術対策だけでなく、運用にフィットする設計が不可欠です。

まとめ

一斉メール送信時の人的ミスは、最も発生しやすく、最も信頼を損ねるインシデントの一つです。今回の事案は、市民活動団体という地域に根ざした組織への影響が大きく、丁寧な対応と信頼回復が求められます。

一方、情報システム部門としては、「誰でも使えるからこそ危険なメールシステム」に対し、技術的・運用的な視点で再発防止を仕組み化する責任があります。今一度、自組織のメール運用ポリシーとインシデント対応手順を点検してみてはいかがでしょうか。