Googleフォーム「結果の概要を表示する」設定をONで公開、申込者の個人情報が閲覧可能に
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
今回の解説ニュース
Googleフォームの設定ミスで、個人情報が漏洩した可能性があるということです。フォームを作成する際に気を付けるべきポイントや、危険な設定ができる理由について説明します。
今回のインシデントは、その時点で申込が完了している申込者の個人情報が閲覧できる状態であったというものです。原因として、使用したGoogleフォームの設定で「結果の概要を表示する」をONに切り替えた状態で公開したことが挙げられています。公式WEBサイトの問い合わせフォームから指摘があり発覚しました。
対策として、Googleフォームの設定切り替えを行っており、Googleフォームで運用しているWEBフォーム受付を全社的に確認し、同様の誤設定がないことを確認しています。また、対象者にメールと個別の電話で事態の説明と謝罪を行っています。再発防止策として、今後、継続的に個人情報保護と情報セキュリティ教育を徹底し、情報管理への感度の引き上げを図るとともに、全社的な情報管理体制の強化に取り組むということです。
フォームを作成する際に気を付けるべきポイント
フォームを設定する際に気を付けるべきポイントとして、集計画面や管理画面を第三者が閲覧できる状態にしないことが必要です。
フォームはお問い合わせやアンケートなど、様々な目的で使われますが、その内容に個人データが含まれることが多いのではないでしょうか。その結果を集計したものは個人情報に該当することが考えられるため、適切に保護する必要があります。
具体的な方法として、集計画面や管理画面のURLに第三者がアクセスできないことを確認する必要があります。また、フォームのURLを共有する際は、誤って集計画面や管理画面のURLを共有しないように注意しましょう。
今回のインシデントでは、質問項目についてはダブルチェックを行っていましたが、デフォルト設定で「結果の概要を表示する」設定はOFFであるため、全設定が正常であるかの確認は十分に行われていなかったということです。