開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2013/07/26

グーグルグループの情報漏えい事故はなぜ起きたのか?情報共有サービスのリスクと対策

連載:ソーシャルメディアの企業活用リスクマネジメント

今月、中央官庁の内部情報などが誰でも閲覧できる状態になっていたことがニュースで報じられた。読売新聞によれば、確認できただけで4省庁の職員が業務に関するメールを公開設定のまま利用しており、このうち環境省の幹部らは国際条約の交渉過程を流出させていたとのことである。重要事項が外部に漏れることは、企業にとってもあってはならないことだろう。しかし、今回の中央官庁の情報漏えいともいえる事故は、FacebookやDropboxなどを情報共有ツールとして利用している従業員も増えている中、各企業にとっても決して対岸の火事ではない。今回は、グーグルグループでの情報漏えい事故がなぜ起きたのか?情報共有サービスやSNSで社内情報を共有する時の注意点について解説する。

akinice design 平野逸平

akinice design 平野逸平

akinice design 代表取締役
ソーシャルメディアコンサルタント/ソーシャルメディアのリスク対策からマーケティングの活用方法の提案。1981年生まれ。大阪府大阪市出身。愛知工業大学卒業後、通信会社にて約8年間、法人向けのソリューション営業を行い、2011年にソーシャルメディアコンサルタントとして独立。 facebook、Twitter、ブログなど、誰もが自分で情報発信をできる『ソーシャルメディア時代』。企業のソーシャルメディア戦略サポートで基本方針やガイドラインの策定、教育研修、炎上対策、運営などをトータル的にサポートする。
ホームページ: http://www.akinice.com

「グーグルグループ」の落とし穴

 「グーグルグループ」とは、インターネット上でメールを共有できるグーグルの無料サービスである。

 登録者の間で簡単にメールを同時配信したり、カレンダーやドキュメントなどを共有できるため、グループウェアや社内SNSを導入していない企業でも簡単に社内で情報共有できるメリットがある。

 利便性の高いサービスだが、今回のように一歩間違えれば簡単に情報を漏えいしてしまう危険性も持ち合わせている。

 一般的にグループウェアや社内SNSは、社内間での情報共有が目的であるため、管理者側でIDやパスワードの発行を制御することができ、情報自体もグループ内でしか見れないような仕組みになっている。

 しかし、「グーグルグループ」の場合、デフォルトの設定が一般に公開されるようになっている。つまり、一般的なグループウェアとは違い、初めからよりオープンな仕組みになっているのである。

 つまり、グループウェアの代用とするためには、適切な設定を行い、必要なメンバーのみアクセス可能な状態にしなければならなかった。

今回の事故は、この設定変更の必要性に気付かず、本来非公開の情報を扱いながらデフォルト設定のまま利用してしまったために起こった。おそらく一般的なグループウェアと「グーグルグループ」を混同してしまったためだと考えられる。 本件の当事者としては、まさかそんな落とし穴があったとは思いもしなかったのではないだろうか。

わかりづらい設定項目

 上記の通り、利用者の「グーグルグループ」に対する認識不足が、結果としてこのような事態につながった事は否めない。しかし、要因として考えられるのはそれだけではない。

 実は「グーグルグループ」の設定項目はお世辞にもわかり易いとは言えず、設定変更には多くの選択肢や制限がある。

 下の図はその設定画面であるが、左のサイドバーに設定や権限に関する項目が並んでいるのがわかるだろう。管理者はこれらをひとつずつ適切なメンバーに適切な権限を与えれるように設定しなければならない。

画像
グーグルグループの設定画面。権限設定が複雑な印象を受ける

 一通り見ても設定項目が多くあり、初心者には一体どの項目で何を制限できるのか簡単には判別がつかないだろう。

 このように機能が多様化され便利である反面、設定の難易度も上がっている。情報共有の制限や設定がわかりづらく、複雑化していることもこのような事態を招いた要因と言える。利用者はこれらのことに十分注意して管理する必要がある。

企業の情報が丸見え状態に

連載一覧
 それでは実際にどのような情報が「グーグルグループ」でやり取りされているのだろうか?

 このニュースが報じられたのが7月10日ではあるが、情報が丸見えになっていた各省庁はこの時点で対策を講じていたため、現時点(7月13日)では大規模な情報漏えい事故とはなっていない。

 しかし、筆者が「グーグルグループ」の情報を検索して確認したところ、企業にとって見られてはいけないと思われる情報がたくさん出てきた。

 内容は企業の売上情報や利益など収支に関する内容や営業担当者の顧客対応に関しての報告書、社員の自宅の住所など個人情報が含まれるものもあり、それらが誰からも見れる状態となっていた。

 まさに社内情報のメールでのやりとりが簡単に覗き見できる状態である。これらは設定を変えない限り、これからも永遠に他者から見れる状態にあり、いつ、それらが情報漏えい事故につながってもおかしくない。

 これは「グーグルグループ」だけに限らず、DropboxなどのクラウドツールやFacebookなどのSNSでも起こりうる。

 実際に、筆者自身も重要ではない情報については、クラウドツールやSNSのグループでやり取りすることがあるため、取り扱う情報や方法については十分に注意している。

 万が一、悪意ある者が重要な情報を盗み見すれば、脅迫や詐欺などにも悪用される可能性も考えられる。企業はこれらのリスクに自社が晒されていないか、すぐに確認しなければならない。

【次ページ】このような事態を防ぐための対策

ソーシャル・エンタープライズ2.0 ジャンルのトピックス

ソーシャル・エンタープライズ2.0 ジャンルのIT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!