【クルーのひとりごと】東京都の委託業者がGoogleフォームの設定を間違えたために個人情報が垂れ流しとなった事故の考察

こんにちは!アジェンダチームのSuganoです。
いつもわたしたちの活動にご理解ご協力いただきありがとうございます。

アジェンダチームでは、行政や民間の不祥事を専門にあつかうDiscordコミュニティがあるのですが、そのなかで「東京都スポーツ推進本部の政策連携団体が委託した業者が運用するGoogleフォームにおいて、設定誤りにより特定の操作をすると個人情報が閲覧できてしまう事故が発生した」という発表があり、話題にしました。

参考リンク(アジェンダチームWebサイトを離れます)https://www.metro.tokyo.lg.jp/information/press/2025/05/2025050909

じつはわたしたちアジェンダチームもGoogle Workspaceを採用しており、メールや文書の作成、クラウドストレージなどを中心に運用しています。
このWebサイト内「お問い合わせ」や「リアルオファーフォーム」もGoogleフォームで運用しているんですよ。

このことからわたくしSuganoは「わたしたちの組織での事故防止の観点からもこれ実際漏らしたであろう設定再現してみたらいいいんじゃないか?」と考えました。

ということでこの発表をDiscordにシェアした直後に、以下のGoogleフォームを生やしました。
その名も...


めっちゃど直球な名前ですが、単純にどういう設定で漏れたのかを確認したい目的なのでよしとします(適当)

フォームの内容は「なまえ・でんわ・しつもん」と簡単な内容とし、すべてを任意入力とすることで入力に抵抗があるかたにも配慮しました。


⇧実際のフォーム。検証用であるとわかるように項目名はひらがなとしました。

作成後、Sugano自身はもちろん、協力団体であるN-Point Groupの構成員やSuganoの知人などにお願いして、適当な文言を投稿していただきました。

投稿後表示される画面の「直前の回答を表示」押すことで、投稿した情報が見えてしまうことも確認できましたし、発表にもある「回答内容が紐付いていない」ということも再現しました。
(おふざけ投稿が多くてわたくしも腹を抱えて笑いました。あえてブログには載せないので、末尾リンクから実際に触ってみてください)

このことから、原因を以下のように推察します。

フォーム設定画面の「表示設定」のなかにある「結果の概要表示」を誤ってONにしてしまったものと推察(以下赤枠内項目。デフォルトではオフになっています)


この項目内には「重要情報」と書いたリンクがあるだけで、重要情報ページを開かないと危険性が伝わりにくいなと感じたところです。


「重要情報」リンク(アジェンダチームWebサイトを離れます)の中身。このセクションが自動で開くわけではなく、自分で探さないといけない。

アジェンダチームが運用するフォームについてはすべて運用開始前に動作検証をおこなっているところですが、今回の件を受けて一斉点検を実施し、設定に問題ないことを確認しています。

みなさんもGoogleフォームだけにとどまらず、Webサービスを使用するにあたっては設定を十分に確認し、あらゆる面から動作検証をおこなってから本番とするようにお気をつけいただきたいと思います。

今回の漏えい事故再現フォームは以下からお試しできます。みなさんから寄せられたおふざけ投稿も見れますので、よろしければつかってみてください。
(気が向いたらわたしも拝見したいと思います)


最後までお読みいただき、ありがとうございました。
クルーのひとりごとシリーズ、また気が向いたら投稿したいと思います。

このブログの人気の投稿

【リアルオファー】予定が取りやすいタイミングをご案内!!

イメージ
  こんにちは!アジェンダチームです。 いつもアジェンダチームの活動にご理解ご協力いただきありがとうございます。 アジェンダチームでは、 リアルオファーについて に記載の要領にてリアルのお誘いを常に募集しているところですが、私用や事務手続きのほか、先約により希望日に時間が取れずお断りするケースが散見している状況です。 これについてはアジェンダチームとしてもたいへん心苦しい気持ちでおります。 そこで、スケジュールが取りやすいタイミングや、お断りすることが多くなるタイミングについてお知らせしていきたいと思います。 少しでもオファーの参考になればうれしいです。 ※本件についてはアジェンダチームのほか、しゃべるん個人としてのオファーも含みます。しゃべるん個人としてのオファーの場合は、「アジェンダチーム」を「しゃべるん」と読み替えてください。 2024年10月24日 作成しました。 2024年11月3日  予定が取りにくくなるタイミングを更新しました。 【取りやすいタイミング!!】 毎月25日前後から翌月月初にかけては、次月の予定に空きがある傾向が多いです! アジェンダチームでは、毎月25日前後に翌月のすべての日程(稼働日・非稼働日・事務手続日)の運転計画を作成しています。 このタイミングでは私用や事務処理の予定はちらほらはいるものの、お客さまとのリアル予定は入っておらず、ご希望日に予定を入れやすい状況となっています。 【お断りすることが多くなるタイミング】 毎月15日以降は当月の予定が取りにくくなる傾向にあります! また日曜日は混みやすく、月初までに予定が埋まる傾向があります。 アジェンダチームでは、先着順で空き日程にオファーを受ける体制をとっています。 とりやすいタイミングに多数のオファーがはいると、空き枠がなくなってお断りする可能性が高くなります。 特に日曜日については、月初早々に空き枠がなくなる傾向があるため、前月下旬にオファーいただくか、比較的空いている月曜日でご検討いただけると確実です。 【その他お断りすることがあるケース】 空き枠があったとしても、オファー内容から多額の予算が必要と考えられる場合や、当月の運用状況などの理由により、内容の変更をお願いしたり、やむを得ず日を改めるようお願いしたりする場合があります。 【空き日程を確認する方法はあるの?】 アジ...
続きを読む

【重要】リアルオファー見直しについて 〜毎月第2・第4週は都心や京浜地域入りのオファーを差し控えます〜

こんにちは。アジェンダチームのSuganoです。 いつもアジェンダチームの活動にご理解ご協力をいただきありがとうございます。 アジェンダチームでは、みなさまとの時間を大切にするべくさまざまなオファーを受けてきたところですが、昨今オーバーワーク気味になっています。 これにより、2025年1月以降毎月のように体調を崩し、運転計画に影響が出ているような状況です。 運用ができなくなってしまっては意味がありませんし、せっかく時間をとっていただいたお客さまにもたいへん申し訳ない気持ちにさせてしまうことになります。 このため、2025年4月以降以下のようにリアルオファー方法を見直すことにしますので、お知らせします。 一部ご不便おかけする可能性もある内容なので、しっかりご確認いただければと思います。 ・2025年4月以降のリアルから「都内・京浜地区」とアジェンダチーム事業所近隣エリアの2箇所にわけて、週別にそれぞれのエリアにてオファーを受ける体制とします。 ・「都内・京浜地区へ出向く」リアルオファーは「1・3・5週の日曜日または月曜日のどちらか」のみとします。 ・2・4週は「都内・京浜地区へ出向く」オファーは飲まず、アジェンダチーム事業所近隣エリアでのみオファーを受けつけます。 要点としては以上です。 「都内・京浜地区」と「アジェンダチーム事業所近隣エリア」がわかりにくいという声が聞こえてきそうですが、以下で説明します。 「都内・京浜地区」 □東京都特別区全域 □ 東京都八王子市・日野市・立川市 など、JR中央線近隣の多摩エリア(八王子駅除く) □横浜市の中心市街地(新横浜駅より南側)、川崎市全域 □その他アジェンダチーム事業所近隣エリアに記載のない地域 「アジェンダチーム事業所近隣エリア」 □相模原市内全域(相模湖・藤野エリア除く) □町田市内全域、東京都八王子市・多摩市のうち、京王相模原線近隣のエリア(八王子駅含む) □横浜市北部エリア(青葉区、緑区、瀬谷区、都筑区、港北区のうち新横浜駅より北側) ※ここに記載のないエリアについては原則として都内・特別区エリアとみなします。 それ以外の内容については従来から変更はありませんが、短期に多頻度でオファーをなさる場合など、一部お断りをする場合があるかもしれません。 できるだけご希望に添えるようにつとめますので、みなさまのご理解とご協力...
続きを読む

【更新】2024年12月および年末年始のオファーについて

  こんにちは!アジェンダチームのSuganoです。 いつもアジェンダチームの活動にご理解ご協力いただきありがとうございます! 2024年年末から2025年年始にかけてのオファーについて、詳細がまとまりましたのでお知らせします。 12月の日曜日は2週にわたりイベントダイヤを設定します。あらゆるお誘い大歓迎です!! ・12月1日に千葉エリアへ参戦!! 12月1日に中山競馬場散策をおこないます! 特に目的はないので、リアルのお誘いもよろこんでお受けします! (次予定のため、17時までとなります) ・12月8日に静岡エリアへ参戦!! 12月8日は9時ごろから19時ごろまでの予定で静岡市内を散策します!! 散策はもちろん、ランチ・ディナーのお誘いもよろこんでお受けします! (今回の静岡入りは日帰りとなります。宿泊を伴う企画は2025年春ごろを予定しています) 詳細は こちら からご確認ください(11月末公開予定)。 イベントダイヤの影響もあり、通常よりも日曜日に予定が取りにくい状況となる見込みです。 12月度の日曜日オファーについては、内容や直近のリアル状況をみて判断させていただきます。ご不便おかけしますが、ご容赦ください。 また土曜日18時以降と月曜日であれば比較的予定が取りやすいので、ご都合が合うかたはそちらもご検討いただけると幸いです。 年末年始期間について 年内は12月28日まで通常体制でオファーをお受けします。 12月29日と30日はコミックマーケット運営補助をおこなう可能性があり、現時点でオファーをお受けしない見込みです。 (当初リリースで条件付き対応すると記載しましたが、ご迷惑を最小限に抑える観点からお受けしないこととしました) なおコミックマーケット会場でのリアルはお受けしますので、必要があればメール等でご相談ください。 ※11/26 21.30追記 コミックマーケット会期に誤りがあったため修正しました。 年始については元日より通常体制で運用します。 したがって、正月期間中は業務出向のためオファーをお受けできません。 年末にかけてもできるだけさまざまなエリアで活動したいと思っています。 最新の空き日程などはお気軽に お問い合わせ ください! また予定などお決まりの場合は、 こちら よりお申し込みください!
続きを読む