政府、Googleグループで機密漏洩を受けて独自システム開発へ 経緯と対策まとめ

Googleグループを使って、機密情報を意図せず一般公開してしまう不祥事が環境省で起きました。一般企業でも、個人情報や社外秘情報を公開しているケースも目立ちます。問題の経緯と背景、対策の方法をまとめました。
Data security - padlocks on binary code
Data security - padlocks on binary code
Getty

Googleの掲示板・メーリングリストのサービス「Googleグループ」で、環境省が機密情報を誰でも見られる状態で共有していた問題で、政府は専用のメールシステムを構築することになった。

政府が実態調査を行った結果、14の機関で外部のメール共有サービスが使われていて、このうち8機関では、誰でも閲覧できる状態にはなっていなかったものの、外部に公表していない情報が含まれていました。

(中略)

このため、政府は30日に開いた対策会議で、外部のサービスを利用しなくても済むよう、政府内で情報が共有できる専用のメールシステムを早急に構築する方針を固めました。

(NHKニュース「政府専用メールシステム構築へ」より 2013/07/31 04:44)

■民間企業も機密情報を公開状態に。中には個人情報も……

この問題は政府だけでない。民間企業にも拡大している。

ITに関する企業のアドバイザリーを務めるカネアカが行った調査によると、日経平均225社のうち、11日午前の時点で少なくとも20社が情報を漏えいしていることが分かった。

例えば、某企業の営業担当者と顧客企業とのやりとり、商品企画書、番組編成の打ち合わせ内容、情報解禁前のサービスに関する価格情報、社内日報まで、ありとあらゆる企業間のやりとりが見られるようになっていた。

(東洋経済オンライン「プロが指南、Googleグループ問題の対処法」より 2013/07/11)

中には、ネットショッピングサイトが意識せずに顧客情報を公開しているケースもあるという。

しかし検索ワードをちょっと工夫すると(どのように工夫するかは伏せます)、一般人の個人情報が沢山出てくることに気付きました。

以下のような実態があります

「**** という商品を買いたいのだがこれに **** は付属しているか」という問い合わせが本名つきで晒されている

オタクグッズを購入した人が住所を間違えていた為問い合わせに住所を送っていてそれが公開されている

不在の為商品を受け取れなかったので送料を追加で振り込んだ人の本名が公開されている

上記の例から分かる通り、通販サイトの運営業者が例外的なパターンについて社内向け Google Groups で討議した結果それが公開設定が間違っていて大公開されていた、という事例が多いです。

(ssig33.com「EC サイトの使用を即刻辞めろ!!!」より 2013/07/11 07:36)

■根本的な問題は、「ビジネスにコンシューマ向けサービスを使うこと」

知らず知らずのうちに機密情報や個人情報を公開状態にしてしまう、もっとも直接的な理由は、Googleグループを初期設定のまま使うと、公開状態になってしまうことにある。だが、根本にある原因は一般消費者向けのサービスをビジネス利用することにある、とIT専門誌は指摘している

問題の背景にあるのが、コンシューマー(一般消費者)向けサービスのビジネスモデルと、それに伴うセキュリティリスクである。

(中略)

とはいえ、コンシューマー向けサービスの利用を一律に禁止したとしても、今回のようなうっかりと情報を漏洩する問題は防げない。企業内の既存システムでは、ユーザーのニーズを満たせていないことに真因があるからだ。

システム部門が今すぐ採れる対策の一つが、コンシューマー向けサービスのビジネス版を利用することだ。

(ITpro「まだ続く「Googleグループ」での情報漏洩」より 2013/07/30)

■問題が起こってもGoogleに法的責任はなし

Googleグループの初期設定が公開状態である、という仕様が結果的に今回の問題を引き起こした、という点も指摘されるが、被害があった場合、Googleに法的な責任は問えるのだろうか。

利用規約では、《Google は、本サービス内のコンテンツ、本サービスの特定の機能、その信頼性、利用可能性、またはユーザーのニーズに応える能力について、何らの約束もしません。本サービスは『現状有姿で』提供されます》としています。

この『現状有姿』というのは、現在あるがままの姿でという意味です。つまり利用者は、サービスがそういった状態にあることを理解した上で使い、Googleグループにおける公開、非公開の設定も、自らの判断で行う必要があります。

つまり、もともとの設定がわかりにくかったからといって、Googleの法的責任を追及することは難しいでしょう。もちろん、Googleが、よりわかりやすく使いやすいサービスを利用者に提供すべきということは言えると思いますが、それは法的責任とは別の話になります。

(弁護士ドットコム「Googleグループ「ダダ漏れ問題」 ユーザーがいますぐチェックすべきこと」より 2013/07/10 21:20)

■自分のグループを外部から見えないようにする手順

まず最初にやれることは、自分がGoogleグループで意図せず情報を公開していないかを確認することだろう。最後に、自分が作ったグループを非公開にする設定方法をスクリーンショットで紹介する。

1. Googleグループにアクセスし、「マイ グループ」をクリックする

2. グループ名の横にある「管理」をクリック

3. 左サイドメニューの「基本的な権限」をクリック

4. 上から順番にプルダウンメニューを開き、「すべてのユーザー」のチェックを外していく

5. 一番下のメニュー、「参加できるユーザーを選択」して「招待されたユーザーのみ」に設定する。

6. 左メニューの「アクセス権限」をクリック、一番下の「トピックを表示」のプルダウンメニューを開き、「すべてのユーザー」のチェックを外す

関連記事

注目記事