2025年4月、ある企業で Googleグループの設定ミス により、9,307件もの個人情報が約5年間にわたり外部に公開されていたことが発覚しました(出典:ツギノジダイ | ダイソー、取引先などとのメールを5年にわたりGoogleグループで公開より2025-06-19)。「自分の会社には関係ない」と思うかもしれませんが、実はクラウドサービスの設定ミスや確認不足は、どの組織でも起こり得ます。
https://www.daiso-sangyo.co.jp/wp-content/uploads/2025/06/42c327021022154ac3ee5aa42ac101b5.pdf
この記事では以下を解説します:
- なぜこうした情報漏洩が発生するのか
- 社員や管理者が今日からできる実践的な対策
- 再発防止につながる組織的な仕組み
事例の詳細
実際に起きた流出を、時系列で整理します。
| 項目 | 内容 |
|---|---|
| 発覚日 | 2025年4月26日 |
| 原因 | Googleグループの初期設定ミス |
| 被害規模 | 9,307件の個人情報 |
| 公開期間 | 約5年間 |
| 発覚経緯 | 外部からの指摘 |
| 初動対応 | グループ設定の非公開化、対象者への通知 |
外部からの指摘がなければ、さらに長期間情報が公開されたままだった可能性があります。これは「社内だけの情報」と思っていたものが、設定1つで外部公開されてしまう典型的な例です。
なぜこの問題が起きたのか?
こうしたトラブルの根本原因は次の3つに整理できます。
- 技術的要因
例:Googleグループの初期設定が「公開」になっているのに気づかず利用した。 - 人的要因
例:新規作成時の確認不足、担当者の教育不足。 - 組織的要因
例:チェック体制がなく、複数人でのレビューや定期監査を実施していなかった。
注意点
「うちはITに詳しい社員がいるから大丈夫」という思い込みが一番危険です。属人化せず、仕組みでカバーすることが重要です。
すぐできる対策
今日から社員や管理者が実践できる対策を整理しました。
| 対策 | 対象者 | 具体的な手順 | 所要時間 |
|---|---|---|---|
| クラウドサービスの設定確認 | 全社員 | GoogleドライブやSlackの共有設定を確認 | 5分 |
| 権限の見直し | 管理者 | 「誰が何にアクセスできるか」を一覧化 | 30分 |
| チェックリスト作成 | 管理者 | 新規作成時に必ず確認する項目をリスト化 | 1時間 |
| 社内研修 | 全社員 | 「公開」「非公開」の違いを共有 | 30分 |
| 定期監査 | 管理者 | 四半期ごとに全設定を確認 | 2時間 |
Googleドライブの設定確認方法(例)
- Googleドライブを開く
- 共有フォルダを右クリック
- 「共有」→「共有相手を管理」で確認
- 「リンクを知っている全員」になっていれば「特定のユーザー」に変更
再発防止の仕組み
個人の努力に頼るのではなく、組織的な仕組みが必要です。
チェックリスト例:
□ 新規グループ作成時に承認フローを設定する
□ 四半期ごとに共有設定を監査する
□ 全社員向けセキュリティ研修を年2回実施する
□ 退職者のアカウントを必ず削除する
□ DLP(データ損失防止ツール)を導入して自動検知する
まとめ
今回の事例から学べることは次の3点です。
- 設定ミスは誰にでも起こるため「仕組み」で防ぐ必要がある
- 社員全員が5分でできる確認から始めることが重要
- 経営者はルール化と研修で「人任せにしない体制」を整えること
設定確認にかかる時間はわずか数分です。今日からまず1つ、共有設定を見直すことから始めましょう。
参考文献・出典リンク
- ツギノジダイ「グーグルグループで9307件の個人情報が公開 中小企業でも注意すべき『設定の落とし穴』」(https://smbiz.asahi.com/article/15851933)
- 個人情報保護委員会「個人情報の保護に関する法律について」(https://www.ppc.go.jp/)
- IPA(情報処理推進機構)「中小企業の情報セキュリティ対策ガイドライン」(https://www.ipa.go.jp/security/)
- Google公式ヘルプ「Googleグループのアクセス設定」(https://support.google.com/groups/answer/2465464)
- Microsoft セキュリティセンター「セキュリティのベストプラクティス」(https://learn.microsoft.com/ja-jp/security/)