2024年6月以降、Google フォームの設定に起因する情報流出が生じたとして複数の組織より公表されました。ここでは関連する情報をまとめます。
回答情報を第三者に参照される恐れのあった共同編集設定
- Google フォームの設定次第で外部から回答者の情報を閲覧することが可能な状態が発生し、実際に影響を受けたとして複数の組織が6月以降公表を行っている。
- 事案公表した組織が行っていた設定とは、Google フォームの「共同編集者の追加」において「リンクを知っている全員」が選択されている場合。
- Googleのアカウントにログインした状態で当該設定が行われたGoogle フォームに回答を行った後、自身のGoogleアプリからGoogle フォームの画面を表示した際に、「最近使用したフォーム」の欄にそのGoogle フォームが表示されるようになっていた。そこよりGoogle フォームを通じて入力された情報が閲覧できる画面(回答タブの画面)を表示することができ、ここから他者が入力した情報を第三者がダウンロードしたり、閲覧することが可能となっていた。
- この問題がいつ頃から生じたものかは不明だが。一方で2024年7月8日時点では当該設定がされている状況において同様の状況が生じないことを確認している。またこの問題の修正に関してGoogleからは関連する説明を確認していない。LACも当該設定に関しての注意喚起をBlogを通じて行っており、7月1日には当該事象が生じていないことを言及している。
Google フォーム利用組織は点検推奨
- 現状当該設定をしても表示されていない状況について、Google側が問題に気づき修正を行ったのか、たまたま何らかの理由があって表示されない状況になっているのかは関連する公表情報が確認できず不明である(既に各個人のGoogle フォーム画面上に表示されていた場合、現在それらが非表示にされたのかも不明である)ため、共同編集者の追加において「リンクを知っている全員」が設定している場合は速やかに「制限付き」に変更することが推奨される。
- またいつ頃からこの問題が生じたのか定かではなく、この設定にてGoogle フォームを公開し、外部への公開を意図しない回答情報の収集を行っていた場合は、先の問題を通じて第三者に情報が取得されていないかを確認することが望ましい。公表されている事例ではこの問題から参照できたとみられる第三者からの通報をうけ把握するケースのみであり、影響を受けていたにもかかわらず外部から連絡を受けていなかった場合は当事者が気づいていない可能性がある。
- 当該問題とは別件であるが、「結果の概要を表示する」を有効にしてしまった場合も同様に第三者が入力した情報を参照することが可能となることから、不要であれば(当該設定は既定で無効のため自身が変更しない限りは有効とならないが)無効としておく。
当該設定に起因する公表を行った組織
- 当該設定を行っていたことで情報流出やその可能性が生じたとして公表を行っていた組織は以下の通り。
公表日 | 公表組織 | 発覚の経緯 | 流出等可能性のあるフォームへの入力情報 |
---|---|---|---|
2024年6月10日 | 株式会社ラストワンマイル | 顧客からの連絡 | 氏名、住所、電話番号、メールアドレス、会員ID |
2024年6月19日 | 国立大学法人お茶の水女子大学 | 記載なし | 氏名、メールアドレス、所属先、所属先都道府県、属性情報、教員・保護者別、当日の撮影録画録音不可の承諾、講演会を知った先、講師への質問、運営への質問、次回以降の連絡可否 |
2024年6月25日 | 株式会社Brave group 株式会社バーチャルエンターテイメント |
事象発生に気づいた人から問い合わせ | 氏名、都道府県名、電話番号、生年月日、使用SNS、志望動機等 |
2024年6月24日 | 特定非営利活動法人日本ネットワークセキュリティ協会 | 外部からの指摘 | 氏名(ローマ字)、メールアドレス、国籍、国内在住か海外在住か、年齢(2024/11/15時点)、イベント参加可否、準備協力の可否 |
2024年7月3日 | 公益社団法⼈⾃動⾞技術会 | 記載なし | 氏名、メールアドレス、所属会社・学校名、また入力があった場合は所属研究室名、研究室連絡先メールアドレス |
2024年7月5日 | 株式会社 大遊 | 発見者より連絡 | 氏名、メールアドレス、店舗名、ニックネーム |
影響を受けた組織の公表情報
- 株式会社ラストワンマイル
- [PDF] お客様情報の流出に関するお知らせとお詫び (2024/06/10)
- 国立大学法人お茶の水女子大学
- 本学講演会の申込フォームにおける個人情報の漏洩について (2024/06/19)
- 株式会社Brave group
- 個人情報流出に関するお詫びとご報告 (2024/06/25)
- 個人情報流出に関する対応進捗と注意喚起について (2024/06/27)
- 個人情報流出に関する経緯報告および対応状況について (2024/06/28)
- 個人情報流出に関する新たな漏えい対象者について (2024/07/02)
- 個人情報流出に関する調査結果と再発防止につきまして (2024/07/31)
- 株式会社バーチャルエンターテイメント
- ぶいすぽっ!JP オーディションに関しての情報について (2024/06/25)
- 個人情報流出に関するお詫びとご報告 (2024/06/25)
- 個人情報流出に関する対応と今後について (2024/06/26)
- お問い合わせに対する確認漏れについてのお詫び (2024/06/28)
- 特定非営利活動法人日本ネットワークセキュリティ協会
- 公益社団法⼈⾃動⾞技術会
- [PDF] 個⼈情報漏えいに関するお詫びとご報告 (2024/07/03)
- 株式会社 大遊
- 個人情報流出に関するお詫びとご報告 (2024/07/05)
更新履歴
- 2024年7月8日 AM 新規作成
- 2024年7月8日 AM 表現を修正