「宛先は正しいのに中身が違う」——メール誤送信の盲点とシステム設定の落とし穴

業務委託先を通じた情報管理のリスクが、また一つ明らかになりました。兵庫県は、同県公式オンラインショップの運営を委託している事業者が、複数の取引先に売上精算書を誤送信する事故があったと報じられています。原因は「システムの設定不備」。一見単純な人的ミスに見えますが、その背景には、デジタル化が進む現代ならではの落とし穴が潜んでいます。

「宛先は正しいのに中身が違う」誤送信の詳細

記事によると、兵庫県公式オンラインショップの運営を委託されているフェリシモが、2026年2月27日19時ごろ、2月分の精算対象となる37事業者に対して売上精算書をメール送信しました。しかし、システムの設定不備により、メールの宛先は正しい事業者であっても、添付されたファイルが別の事業者の精算書となってしまったとのことです。

誤送信された精算書には、各事業者の担当者37人の氏名と、兵庫県公式オンラインショップにおける2月の売上金額から販売手数料を差し引いた精算金額が記載されていました。これは、取引条件や売上高といった事業活動の核心に関わる機密情報が、競合他社を含む第三者に流出する可能性があったことを意味します。

問題が発覚した後、委託事業者は速やかに各送信先事業者にメールで連絡し、誤送信されたメールと添付ファイルの削除を依頼。その後、電話でも謝罪と削除依頼を行い、本来の精算書を改めて送付したと報じられています。

「自動化」の裏側に潜む設定ミスのリスク

この事故の直接的原因は「システムの設定不備」とされています。一般的に、多数の取引先に対して定期的に異なる文書を送付する業務では、メール配信システムのテンプレート機能やマージ機能（データベースの情報を文書に差し込む機能）を利用して自動化・効率化が図られます。今回のケースでは、おそらくこのマージ設定やファイル紐付けの設定に誤りがあり、宛先と文書の組み合わせが正しく機能しなかったものと考えられます。

この種のミスは、単純な「BCC忘れ」などの人的ミスとは性質が異なります。一度設定を間違えると、その設定に基づいて大量の誤送信が自動的に実行されてしまうため、影響範囲が広がりやすいという特徴があります。また、設定作業自体は限られた担当者が行うため、チェック体制が不十分だと見過ごされがちです。

一般的な対策として、このような自動送信システムを導入・運用する際には、(1)本番環境での初回実行前に、テスト用の宛先（内部アドレスなど）で動作確認を行う、(2)設定変更時には必ずダブルチェックまたはトリプルチェックのプロセスを設ける、(3)送信ログを定期的に監査し、異常がないか確認する、といった多層的なガードを設けることが推奨されています。

委託業務における情報管理責任の所在

もう一つの重要なポイントは、この事故が県の委託先事業者によって発生したことです。委託元である兵庫県は、自ら直接情報を扱っていなくても、委託先の不備により結果的に県に関連する事業者の機密情報が流出するリスクを負うことになりました。委託契約においては、情報セキュリティに関する規程（サプライヤーセキュリティ基準）を明確にし、委託先の遵守状況を定期的に監査・評価する仕組みが不可欠です。

今回のケースでは、委託先が事故後速やかに謝罪と是正措置（削除依頼、再送付）を講じていることが報じられています。これは、インシデント発生時の対応プロセスが事前に定められ、機能した結果と言えるでしょう。一般的に、誤送信などのインシデントが発生した際の最も重要な初動対応は、(1)速やかな事実把握と影響範囲の特定、(2)影響を受けた関係者への誠実な連絡と謝罪、(3)再発防止策の策定と実行、の3点です。

デジタルツールによる業務効率化は不可逆の流れですが、それを支える「設定」や「プロセス」の管理がおろそかになれば、かえって大きなリスクを生み出します。今回の事故は、自動化の便利さの裏側で、人間による緻密な設計とチェックがより一層重要になっていることを示す事例と言えるでしょう。