2026年6月25日、徳島県の小松島市は、市農林水産課において個人情報を含むデータを誤って送信し、1,906件分の農業者等に関する個人情報が漏えいしたと発表した。市は、サイバー攻撃ではなく、経営所得安定対策に係る農地管理データの誤送信による漏えいとして公表している。
事案の要点
- 攻撃者・脅威アクター:不明(サイバー攻撃や不正アクセスによる事案とは報じられていない。市の発表でも誤送信によるものと説明)
- 標的・被害組織:小松島市(小松島市農林水産課が扱う経営所得安定対策関係の農地管理データ)
- 攻撃手法・マルウェア種別:該当なし(電子メールによる誤送信が原因であり、攻撃やマルウェアは確認されていない)
- 被害規模・影響範囲:1,906件(15,372筆)分の農業者・団体の個人情報(農業者氏名、農地の所在地、面積、作物名、交付申請の有無、農地の貸し借りに関する情報〔契約始期・契約終期〕)が、市内農業法人1社に閲覧可能な状態で送信された。
- 現在の対応状況:市が漏えいを公表し、対象となった農業者等への連絡・謝罪、誤送信先の農業法人に対するデータ削除・第三者提供禁止の要請などの対応を進めていると発表している(詳細な個別対応状況や進捗は現時点で公表情報以上のことは不明)。
事案の詳細
小松島市の公表および報道によると、2026年6月16日、市農林水産課が経営所得安定対策に係る農地管理データを、市内の農業法人1社へ電子メールで送信した際、本来は当該法人分のみの情報を送付すべきところ、誤って市が管理する全農業者1,906件分(15,372筆)のデータが閲覧可能な状態のファイルを送信してしまった。
その後、6月19日に担当職員が送付済みデータを確認した際、送信したファイルに設定されていたフィルターを解除すると、全農業者のデータが閲覧可能となる状態であることが判明し、誤送信による個人情報漏えいが認識された。
漏えいした情報には、農業者氏名、農地の所在地、面積、作物名、交付申請の有無、及び農地の貸し借りに関する契約始期・契約終期などが含まれていた。対象は農業者1906人・団体分であり、件数ベースでは1,906件、筆数ベースでは15,372筆とされている。
誤送信先は市内の農業法人1社とされており、市は当該法人に対してデータ削除と第三者への提供禁止を要請したと発表している。具体的にどの時点で削除が完了したか、技術的な削除方法の詳細、バックアップやメールサーバー上のデータの扱いなど、技術的・運用的な細部については、現時点で公表された情報の範囲では「詳細は現時点で不明」である。
また、漏えいした情報が二次利用・再配布された事実の有無や、被害者(農業者・団体)への通知方法・通知開始日、補償や支援措置の有無、及び再発防止策の具体的な運用手順(チェックフローの詳細や使用システムの設定変更内容など)についても、報道および市の公開情報からは「詳細は現時点で不明」である。
市は原因として、送信データの事前確認が不十分であったことや、個人情報保護に対する職員の認識不足などを挙げ、今後は個人情報を含むデータの適正な管理を徹底し、複数職員による確認を実施するなどして、情報セキュリティ意識の向上と再発防止に努めるとしている。
推奨される対策
- 送信前確認の徹底:宛先、添付ファイル、共有権限、本文記載内容を複数人・複数工程で確認する。特にフィルター機能や抽出条件を用いたファイルの作成時には、フィルター解除後の全体データを再確認し、不要な情報が含まれていないかをチェックする。
- 誤送信を前提にした仕組み:外部送信時の自動警告、宛先制限、承認フロー、一定時間の送信保留(取り消し可能)などを運用する。また、特定の業務(個人情報・機微情報を含むデータ送付など)には、専用の送信システムや安全なファイル転送サービスを利用することで、誤送信時の影響を最小化する。
- 最小限の情報共有:業務に必要な範囲に限定してデータを分割・マスキングし、不要な個人情報を送らない。例えば、相手先が自らの情報のみを確認すれば足りる場合には、全体一覧ではなく当該先の情報のみに絞り込んだファイルを作成し、他者情報を含まない形で提供する。
- 暗号化とパスワード管理:送付データの暗号化、パスワードの別経路共有、保管期限の管理を徹底する。暗号化ファイルを用いる場合でも、誤送信先がデータを復号できてしまう設定(同一パスワードの使い回し等)は避け、宛先ごとに適切な管理を行う。
- 教育と訓練:今回のような誤送信事例を含む具体的なインシデント事例を用いた定期研修を実施し、ヒヤリハット事例の共有やチェックリストの見直しを行う。特に、個人情報保護法や自治体の情報セキュリティポリシーに基づいた実務的な運用ルールを職員全体に浸透させることが重要である。
よくある質問
Q. 今回の事案はサイバー攻撃や不正アクセスによるものですか?
A. いいえ。小松島市の発表および報道では、経営所得安定対策に係る農地管理データをメール送信する際に、宛先自体は正しかったものの、ファイルの内容が誤って全農業者分のデータを含む状態になっていた「データの誤送信」による漏えいと説明されており、サイバー攻撃やマルウェア、不正アクセスが原因だとする情報は示されていません。
Q. どの程度の規模の個人情報が漏えいしましたか?
A. 小松島市によると、経営所得安定対策に係る農地管理データに含まれる1,906件(15,372筆)分の農業者・団体の個人情報が、市内の農業法人1社に閲覧可能な状態で送信されました。具体的には、農業者氏名、農地所在地、面積、作物名、交付申請の有無、農地の貸し借りに関する情報(契約始期・契約終期)などが含まれています。
Q. 漏えいした情報は回収され、悪用されていないと確認されていますか?
A. 市は誤送信先の農業法人1社に対して、当該データの削除や第三者への提供禁止を要請したとしていますが、実際の削除手順やその検証方法、バックアップやメールサーバー上のデータを含む完全な回収状況、ならびに情報の二次利用・悪用の有無について、報道や公表資料の範囲では詳細が明らかにされておらず、「詳細は現時点で不明」です。
Q. 今回のようなメール誤送信による情報漏えいを減らすには、自治体や企業はどのような対策を取るべきですか?
A. 宛先・添付ファイル・ファイル内容の二重確認や複数人チェックに加え、外部送信時の承認フローや送信保留(一定時間後に自動送信するまで取り消し可能とする仕組み)などを導入することが有効です。また、個人情報を含むデータは業務に必要な最小限に限定し、一覧データを相手先ごとに分割する、不要な項目をマスキングするなどの工夫も重要です。さらに、Excel等でフィルター機能を利用する場合は、フィルター解除時の表示内容を必ず確認するなど、ツールの特性を踏まえた運用ルールと職員教育を組み合わせることで、誤送信リスクを低減できます。
参照: 小松島市が1906件分の個人情報漏えい データを誤送信【徳島】(2026年6月25日掲載)|JRT NEWS NNN – 日テレNEWS NNN