誤送付409件、福岡市の事例に学ぶ漏えい防止策

インシデント対応

福岡市が給付認定通知書409件を別人の住所へ誤送付しました。原因は送付先リストの作成ミスという、ごくありふれたヒューマンエラーです。「うちは標的型攻撃やランサムウェアに備えている」という情シスほど、この種の足元のミスを見落としがちではないでしょうか。本記事では公表事実を整理したうえで、誤送付がなぜ国内漏えい原因の最多であり続けるのか、現場でどう減らすかを実務目線でまとめます。

  • 何が起きたか: 福岡市が通知書409件を誤った宛先へ送付(送付先リストの作成ミス)
  • 誰に関係するか: 名簿・宛名リストを使って郵送・メール配信を行う、ほぼすべての組織
  • 今すべきこと: リスト作成と発送の「作る人」「確認する人」を分け、突合・テスト送信を手順に組み込む

何が起きたのか

福岡市の発表によると、多子世帯向けの利用給付認定に関する通知書を発送する際、送付先リストの作成段階で誤りがあり、409件が本来とは異なる宛先へ送られました。通知書には保護者と児童の氏名が記載されていたとされます。2026年5月27日に通知書を受け取った関係者からの連絡で発覚し、同市は6月18日に公表。誤送付先および本来の送付先へ電話で謝罪し、誤送付した通知書の回収を進めているとしています。

攻撃を受けたわけではなく、外部システムの脆弱性が悪用されたわけでもありません。リストを作る過程の取り違えという、どの組織でも起こりうる事故です。

誤送付はなぜ「最多の漏えい原因」なのか

誤送付・誤交付とは、書類やデータを本来とは異なる相手へ届けてしまう事故のことです。派手さはありませんが、件数では国内の個人情報漏えい原因の筆頭です。

個人情報保護委員会の令和6年度年次報告によれば、報告された漏えい等9,494件のうち、誤交付・誤送付・誤廃棄が7,923件(83.5%)を占めました。とりわけ地方公共団体ではヒューマンエラー(誤交付・誤送付・誤廃棄・紛失等)が合計72.1%、国の行政機関等でも61.1%に上ります。一方で委託先からの漏えいは不正アクセスが最多(62.8%)と傾向が分かれており、「自組織が直接抱えるリスク」と「委託先経由のリスク」は性質が違う点も読み取れます。

つまり福岡市の事例は例外的な大失態ではなく、全国で日常的に起きている事故の一つだということです。

なぜリストベースの発送でミスが起きるのか

宛名リストや差し込み印刷を使った発送業務には、構造的な落とし穴があります。

  • 並び順のズレ: 宛先データと中身データを別々に並べ替え、行がずれたまま結合してしまう(典型的な差し込み印刷事故)。
  • 抽出条件の誤り: 対象者を絞り込むフィルタ条件を間違え、別グループの住所を引き当てる。
  • 世帯・同姓同名の取り違え: 同住所の別世帯、似た氏名のレコードを混同する。
  • 一人作業・自己チェック: 作成者本人が確認まで担うと、思い込みでミスを見逃す。

いずれも「気をつける」という精神論では再発を防げません。手順そのものに歯止めを組み込む必要があります。

現場目線の課題

情シスとして悩ましいのは、こうした発送業務の多くが各部署・各担当の手元で行われ、情報システム部門の目が届きにくい点です。基幹システムから出力したCSVを担当者がExcelで加工し、そのまま印刷会社へ渡す——という運用は珍しくなく、どこでデータが分岐し、誰が突合したのかが後から追えないことも多いものです。限られた人員でセキュリティ全般を見る情シスが、全部署の宛名作成プロセスまで逐一監督するのは現実的ではありません。だからこそ、属人的な注意力に頼らず、誰がやっても一定の品質になる「型」を渡すことが現実的な落としどころになります。

情シスはどうすべきか

個別の長大なチェックリストを各部署に配るより、まずは公的機関が整理した指針を共通の土台として展開するのが効率的です。中小規模の組織であれば、IPAの中小企業の情報セキュリティ対策ガイドラインが、組織的・人的対策を含めて体系的にまとまっています。エンドユーザー部門向けの啓発には対策のしおりが手軽です。そのうえで、発送業務に特化した最小限の歯止めとして、次の3点を運用に埋め込むことを推奨します。

  • 役割分離: リストを「作る人」と「確認する人」を必ず分け、ダブルチェックを記録に残す。
  • 件数・キー突合: 抽出件数が想定と一致するか、宛先と中身を一意キー(宛名番号等)で機械的に突合してから印刷・送信する。
  • テスト送信・抜き取り検査: メール一斉配信はBCCの確認とテスト送信を必須化し、郵送は数件を抜き取って宛先と中身の一致を目視確認する。

あわせて、ミスを責めず報告しやすい文化づくりも重要です。発覚が遅れるほど被害は広がります。「早く言えば叱られない」空気が、結果的に被害最小化につながります。地道なユーザー教育と、報告のしやすさ。この二つは技術的対策と同じくらい効果があります。

まとめ

  • 福岡市は送付先リストの作成ミスで通知書409件を誤送付。攻撃ではなくヒューマンエラーによる漏えいです。
  • 誤交付・誤送付・誤廃棄は国内の漏えい原因の83.5%(地方公共団体では人的ミスが72.1%)を占める最多要因であり、誰の組織でも起こりうる。
  • 注意喚起では再発を防げない。役割分離・キー突合・テスト送信といった「手順への歯止め」と、報告しやすい文化で被害を最小化する。

出典

タイトルとURLをコピーしました