こんにちは！『Pivot-Form』担当の岡崎( @okazaki__shiho )です。

最近、Google フォームを使われる企業・団体が増えてきたように感じます。これまでは紙媒体でデータを収集していた方が、コロナ禍以降デジタル化が進められた結果でしょうか。Google フォームは、無料で使うことができて、気軽にオンラインでもお申し込みができるようになる非常に便利なツールの一つです。

その一方で、安易に設定をしていると、ミスによってお客さまの大切な個人情報が一般に公開されているという情報漏えいも多々発生しています。

今回は、Google フォームの設定ミスによって引き起こされた最近の情報漏えい事例をまとめながら、原因と対策についてご紹介していきます。

Google フォームの設定ミスによる情報漏えい事例

以下は、今年2024年6月下旬から7月中旬にかけて発生した、Google フォームの設定ミスによる情報漏えいのニュースです。1カ月にも満たない期間でこれだけの漏えいが発生していのるは驚きですよね。メディアに掲載されていない漏えいもあると思いますので、実際はもっと多いかもしれないです。

これらを見ると、短期的なイベント目的で作成されたものが多い印象です。イベントなどで急にフォームが必要になったときにはGoogle フォームが便利だということもあり、普段はGoogle フォームを使用していない方が、適切なセキュリティ設定の方法を知らないまま利用したことも原因の一つだと考えられます。

• 岐阜薬科大で高校生らの個人情報320人分が流出　オープンキャンパスの募集フォームに設定ミス(メ～テレ（名古屋テレビ）) – goo ニュース
• VTuberオーディション企画でさらに漏えい発覚　2139人の氏名など – ITmedia NEWS
• 神戸市の大型商業施設で34名の試写会応募者情報がweb上に誤公開 設定ミス【ミント神戸】 – 株式会社アクト
• 個人情報流出に関するお詫びとご報告 | ゲートルーラー
• Google フォーム設定ミス、岐阜薬科大で情報漏えいの可能性　謝罪メールでBCC忘れ、メアド漏えいも – ITmedia NEWS
• Google フォームの設定を「誤って認識」イベント参加申込者の個人情報が閲覧可能に | ScanNetSecurity
• 岩手県立大学サマーセミナー 2024 へ参加申込みをされた方の個人情報が閲覧可能な状態になっていたことについての御報告 – 新着情報 – 公立大学法人 岩手県立大学
• 【セキュリティ ニュース】「ダイナースクラブ」加盟店でフォーム設定ミス – 個人情報が閲覧可能に：Security NEXT
• 【セキュリティ ニュース】市制施行70周年記念式典の申込フォームで設定ミス – 駒ヶ根市（1ページ目 / 全1ページ）：Security NEXT
• 【セキュリティ ニュース】高校生向け施設見学ツアーの申込フォームで設定ミス – 電通大（1ページ目 / 全1ページ）：Security NEXT

Google フォームの設定ミスが増加している理由

優先順位の低さ

イベント準備では、集客や当日の運営、参加者の管理など多くのタスクがあり、時間に追われがちです。常に状況が変わり続けるので、これらの準備に気を取られて、お申し込みフォームまで気が回らないという企業・団体も多いのではないでしょうか？

そうしたお申し込みフォームに対する優先順位の低さや、「一時的な使用だから」という認識が、セキュリティへの注意を緩めてしまう要因になっている場合があります。

経験不足

フォームを作成する担当者が、普段からGoogle フォームを使用していない場合、適切な設定方法を知らないことも多いです。Google フォームの使い方はインターネットで調べることができますが、不慣れな方がセキュリティまで考えて設定することは難しいかと思います。

また、質問項目を設定するだけでフォームとして使うことができるので、そこで安心してしまうのかもしれませんね。

Google フォームの設定画面に書いてある日本語が分かりずらいということもありますが…、注意点を知らないまま設定してしまうと気付かぬうちにお客さんの個人情報が公開されていることもあります。

セキュリティの確認手順がない

短期イベントでは、フォーム作成の責任者が明確でないため、結果としてセキュリティチェックが疎かになる可能性があります。システム面に詳しい人が担当や責任者であることが少ないのも原因の1つと考えられます。

フォームの動作はもちろん、完了画面に表示される文言を変えられているか、なども確認をしていただきたいですし、関係者にテスト投稿をしてもらうなど、使う側の立場からのチェックもしていただきたい点です。

情報漏えいの原因となる設定と対策

考えられる原因は、主に以下の3つです。

Google フォームを使われている方は、このような設定になっているか比較しながらご参考ください。

1．Google フォームでの設定ミス

Google フォームで発生する設定ミスは以下の2種類があります。

1-1．回答の収集を「すべてのユーザー」に設定

よく見かける設定ミスです。

「結果の概要を表示する」をONにしていると、これまでの回答結果がフォームに回答した全員に見えてしまいます。

デフォルトではOFFになっているため、回答結果を回答者に見せたくない場合は、OFFのままにしてください。

1-2．フォームの編集権限を「リンクを知っている全員」に設定、URLを共有

「ちょっとここ直したいから権限くれる？」と言われた時に、一般的なアクセスを「リンクを知っている全員」に設定して、権限を付与してしまうことが多いです。相手のGoogleアカウントを教えてもらうのも面倒になる気持ちは分かります。

ただし、個人情報を漏えいしてしまっては本末転倒。
以下の画面で「制限付き」の状態で、ユーザーを追加して特定の人だけが編集できるようにしておいてください。

設定はお申し込みフォームの設定画面右上 [送信] ボタンをクリック、[編集者を追加] をクリックすることで確認できます。

2．Google ドライブでの設定ミス

前述のリンク共有はGoogleドライブからも公開設定ができてしまうため、注意してください。

3．スプレッドシートの設定ミス

回答をスプレッドシートでまとめて見られるのは、Google フォームの良いところですし、これがあるからGoogle フォームを使っている人も多いと思います。

ただし、このスプレッドシートも公開設定ができてしまうため、注意してください。

1）Google フォームの「回答」から「スプレッドシートにリンク」をクリック

2）スプレッドシートの右上にある「共有」をクリック

3）一般的なアクセスの「制限付き」を「リンクを知っている全員」に変更してしまう

以下の画面で「制限付き」の状態で、ユーザーを追加して特定の人だけが編集できるようにしておいてください。

Google フォームを安全に使用するために日ごろからやっておきたいこと

では、Google フォームを安全に運用するためには、日頃からどのような対策を取ったら良いのでしょうか？

共有設定の確認と管理

回答を収集する際は、「リンクを知っている全員」ではなく、「特定のユーザー」に限定することが大切です。

特定の信頼できる担当者のメールアドレスだけ、フォームにアクセスできるよう指定して招待しておくと、誰がデータを閲覧できる状態なのかが分かります。

適切な権限設定方法

権限には、フォーム作成担当者である「オーナー」以外に、「編集者」と「閲覧者」の2種類があります。

どちらもデータを確認できますが、「編集者」である場合は、フォームやデータそのものを書き換えることができてしまいます。

万が一、Googleアカウントを乗っ取られた場合、フォーム項目やデータを改ざんされる可能性も。

「編集者」の権限を付与する際は、できる限り最小限のユーザーにしておくことをお勧めします。

機密情報の取り扱い注意点

日頃から、情報セキュリティの重要性を全社員へ定期的に教育する仕組みが必要です。

また、Google フォーム作成時に必ず確認すべきセキュリティ設定のチェックリストを作成して、組織内で共有・使用すると安心ですね。

組織としても、情報セキュリティポリシーを策定して社内で周知しておくと、情報漏えいを防ぎやすいです。

情報セキュリティポリシーの重要性や気を付けるポイントなどは、以下の記事でまとめています。ぜひご覧ください！

情報セキュリティポリシーとは？なぜ必要？初心者が調べてみた

こんにちは！『Pivot-Form』担当の岡崎( @okazaki__shiho )です。 Webサイトの情報漏えいやサイバー攻撃によるサービス停止などのニュースをよく目にしますよ…

pivot-form.com

代替手段の検討

ここまで、Google フォームを使い続ける際の対策をご紹介してきました。

ただし、日々社員への教育が必要になってきます。
特に、頻繁に人の移動が発生する企業・団体の場合、毎回新たな学習コストも発生します。

また、Google フォーム側の仕様が急に変わる可能性もあります。
そうした変更についていくためには、定期的にGoogleの動向を確認しなくてはいけません。

もちろん社内教育の徹底も大切ですが、セキュリティ対策がされたツールを導入するという手段もあります。

セキュリティに優れたPivot-Formのご紹介

Pivot-Formは、Google フォームと変わらず直感的に操作できながらも、セキュリティ面では、第三者機関による脆弱性診断を受けており、高い安全性を確保しています。

また、作成したフォームは何度でも作り直せるため、時期や目的に応じて柔軟にフォームを作成・更新可能です。複数のイベントがあっても安心ですし、複数の担当者が同時にフォームを作成することも可能です。

イベントやアンケートを行うことが多い場合に最適です。

Pivot-Formでは、以下2種類のプランをご用意しています。

• 最大5フォームまで作成・運用できる11万円（税込）の買い切り型「ライトプラン」
• ユーザー数・フォーム数無制限の「標準プラン」

Google フォームのような手軽な作成と高いセキュリティを両立したいとお考えの方は、ぜひこの機会にPivot-Formをお試しください。

無料お試しのご案内

また、実際の管理画面や、操作性を体験いただける「無料お試し」もご案内できます。

「まずは、どれぐらいGoogle フォームと変わらない操作性なのか、見てみたい」
「弊社の業務フローにも合うツールだったら検討したい」

このような方はぜひ、お気軽にお申し込みください。

まとめ

Google フォームは便利なツールですが、使用の際は本当に注意が必要です。

個人情報の取り扱いには十分気をつけ、セキュリティ設定の確認を徹底してください。

また、フォームの目的を明確にして、何よりも回答者のプライバシーを尊重することが大切です。

今回ご紹介したこれらの点に気をつけることで、Google フォームを安全かつ効果的に活用できます。

Google フォームを使う際は、くれぐれもご注意を！