もっと身近にセキュリティ

メールマガジンはBccで送るのが常識?

▼一見よくあるメール誤送信事故
先日、ある商業施設で起きたメール誤送信のニュースがありました。一見よくある誤送信事故と思わ
れますが、その原因が興味深かったのでご紹介します。

17名の方のメールアドレスが流出したとのことで、報告書には次のようにメールアドレス流出の原因が記載されています。

本来、複数のお客様に電子メールを一斉送信する場合、すべてのお客様のアドレスを「Bcc」欄へ入力し、送信しなければならないところ、担当者が「宛先」欄へ入力したアドレスが「Bcc」欄へ入力した方からは見えないと誤認識し、「宛先」欄にアドレスを表示したまま送信したことによります。

 

▼湧き上がる疑問
一般的に、メール送信の事故の原因として、配信対象のメールアドレスをBccではなく宛先(To)に入力してしまったという事例が数多くあります。しかし本件では少し様子が違っています。本件では宛先に1件のメールアドレス、そしてBcc欄に複数のメールアドレスが入力されていました。Bccのアドレスはのべ642名分になります。ここで次の疑問が生じます。

  • 担当者は何を意図して宛先とBccにアドレスを入力したのか?
  • 宛先に入力された17件のアドレスは何の(誰の)アドレスなのか?
  • 送信したかった相手はBccに入力した642名なのか?

メールを送りたかった対象が642のアドレスであるならば、17件分を送信した段階で、もしミスに気づいて止まらなければ、その後も宛先欄が表示されたメールが送られることで被害が拡大していってしまっていたことになります。

▼推測できること
複数名のアドレスの入力にBccを使っていることから、この担当者には、「Bcc=見えない」という認識があったと考えられます。その認識はあながち間違いではありませんが、理解が正確でなかったようです。

正:メールを受信した人は、同じメールをBccで受信したアドレスが分からない。
誤:Bccでメールが届いた人“から”は、Toを含めて他にメールを受信した人が分からない。

真実は分かりませんが、さらにもう一つの誤認識があった可能性があります。それは、「宛先(To)にアドレスを入れないとメールを送信できない」ではないでしょうか。この誤認識があったために、宛先にアドレスを1件だけ入力したメールを作成したのではないでしょうか。

受付予約時間に関するお知らせだったということですから、送るべき時間帯が人によって異なり、時間帯によってある程度まとまった対象者ごとにメールを送っていたと推測できます。その時間帯の送信対象の中から1件を選び宛先欄に入力した。流出した17名はたまたま選ばれてしまった人たちということになります。

 

▼どうすればよかったか
この担当者は、事前にメールの仕組みを理解しておくべきでした。一度自分のアドレスをBccにだけ入力したテストメールを作成して送信してみればよかったということです。筆者自身、この記事を書くにあたって、自分のアドレスをBccにだけ入力し、宛先を空で送信してみました。憶測に過ぎませんが、この商業施設で同じ業務を経験したことのある人や教育担当者は、先述のような誤認識をすると思っていなかったのではないでしょうか。

人は学習すると、学習したことが当たり前になってしまい、学習する以前にどのようなことを感じ、考えていたかを想像することが難しくなります。学習した人から見れば今回のような誤解は信じられないと思ってしまうかもしれません。組織の中で教育を担当する人はこのギャップが存在することを心に留めておくべきでしょう。

メール誤送信は残念なことに非常に身近です。しかしながら、事件のニュースを見てもなんとも思わなくなっています。

  •  自分は同じような誤解をしていないか?
  •  根拠を確かめずに思い込んでいることはないか?

そのような内省をしてみるのも有益ではないでしょうか。