こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
バスケットボール興行の企画と運営を行う株式会社滋賀レイクスターズは1月25日、Googleフォーム誤操作による個人情報の漏えいについて発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】Googleフォームの設定ミスで、個人情報が漏洩した可能性があるということです。フォームを作成する際に気を付けるべきポイントや、危険な設定ができる理由について説明します。
今回のインシデントは、その時点で申込が完了している申込者の個人情報が閲覧できる状態であったというものです。原因として、使用したGoogleフォームの設定で「結果の概要を表示する」をONに切り替えた状態で公開したことが挙げられています。公式WEBサイトの問い合わせフォームから指摘があり発覚しました。
対策として、Googleフォームの設定切り替えを行っており、Googleフォームで運用しているWEBフォーム受付を全社的に確認し、同様の誤設定がないことを確認しています。また、対象者にメールと個別の電話で事態の説明と謝罪を行っています。再発防止策として、今後、継続的に個人情報保護と情報セキュリティ教育を徹底し、情報管理への感度の引き上げを図るとともに、全社的な情報管理体制の強化に取り組むということです。
フォームを設定する際に気を付けるべきポイントとして、集計画面や管理画面を第三者が閲覧できる状態にしないことが必要です。
フォームはお問い合わせやアンケートなど、様々な目的で使われますが、その内容に個人データが含まれることが多いのではないでしょうか。その結果を集計したものは個人情報に該当することが考えられるため、適切に保護する必要があります。
具体的な方法として、集計画面や管理画面のURLに第三者がアクセスできないことを確認する必要があります。また、フォームのURLを共有する際は、誤って集計画面や管理画面のURLを共有しないように注意しましょう。
今回のインシデントでは、質問項目についてはダブルチェックを行っていましたが、デフォルト設定で「結果の概要を表示する」設定はOFFであるため、全設定が正常であるかの確認は十分に行われていなかったということです。
「結果の概要を表示する」の選択ができる理由として、フォームの目的や回答者によって、必要とされる機能になるからです。
Googleフォームの「結果の概要を表示する」チェックボックスは、回答者に回答結果の概要を表示するかどうかを設定するものです。例えば、統計情報を収集することを目的としたフォームであれば、回答者に対して、各質問に対する自身の回答と、回答者全体の回答割合を比較する機能を提供するものとなります。しかし、個人データを含む情報を収集する場合、その結果を第三者が閲覧できてしまうと、個人情報の漏えいになってしまいます。
このように、サービス提供側が想定する本来の用途から外れて機能が使われることにより、インシデントにつながる場合があります。そのような、誤って使用されると危険な機能については、デフォルトで設定がオフになっていることが考えられます。今回は意図的に機能がオンにされていたということは、テストなどの目的から、本来の用途から外れてその機能が使われた可能性があるかもしれません。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ