カミカゼニュース : Googleグループ「ダダ漏れ問題」ユーザーがいますぐチェックすべきこと

Googleグループ「ダダ漏れ問題」ユーザーがいますぐチェックすべきこと

インターネットのメーリングリストサービス「Googleグループ」で、中央官庁や企業の内部情報などが誰でも閲覧可能になっていたことが、このほど分かった。

読売新聞などによると、少なくとも4つの省庁の職員が業務メールを公開しており、環境省では国際条約の交渉過程なども誤って公開していた。また、全国の医療機関などでカルテなど、本来公開すべきでない内部情報が閲覧できるようになっていた。さらに、大手新聞社や通信社などのメディアについても、紙面に掲載する前の記事企画などの情報が外部に漏れていた。

Googleグループはたしかに便利なツールだが、このような情報漏洩を起こさないために、いますぐチェックすべき点とはなんだろうか。

Googleグループの投稿内容が「ダダ漏れ」になっている理由

なぜ、多数の組織で、このように機密性の高い情報が「ダダ漏れ」になっていたのか。その原因として考えられるのが、Googleグループの初期状態では、投稿された情報が「誰でも閲覧できる」設定となっていることだ。

実は、社内運用など、Googleグループをクローズドな環境で使いたい場合は、「非公開」の設定に変えなければいけないのだが、そのことを知らずに、「公開」状態のまま運用しているケースが多いようだ。こういった情報の多くは、外部からの指摘を受けて現在非公開になっているが、センシティブな情報がダダ漏れになっている現状に、まだ気づいていない人も多いようだ。

自分が利用している「グループ」の情報が公開されているかどうかは、Googleグループに参加している個々の利用者がチェックできる。その方法は、次の通りだ。

自分が参加しているGoogleグループが「公開」されていないかチェックする方法

まず、Googleグループにアクセスし、「マイグループ」から、参加しているグループを選択してクリック。具体的なグループが表示された後、グループ名の右側に表示されている「このフォーラムについて」という部分をクリックする。

すると、「グループ名」「説明」「メンバー」など、グループについての説明書きが表示されるが、今回注目すべきなのは「アクセス」という部分だ。

ここにもし「誰でもコンテンツを閲覧できます」という表示があれば、それは文字通り、誰でもアクセスできる状態。つまり、投稿内容が「一般公開」されているということだ。逆に「メンバーだけがコンテンツを閲覧できます」と表示されていれば、そのグループの投稿内容は、外部に公開されていない。

意に反して「公開」状態になっている場合、設定を「非公開」に変更する方法

この状態を変更できるのは、グループの「オーナー」だ。もし自分が参加しているグループが、意に反して公開されている場合は、「オーナー」に連絡して、設定を変えてもらう必要がある。直接の連絡先を知らない場合は、同じ画面で「アクセス」の上に表示されている「グループメール」という欄にある「オーナーに連絡する」という箇所をクリックすれば、オーナーにメールを送信できる。

もし、自分がオーナーだった場合はまず、先ほどの「このフォーラムについて」の左側にある「管理」を選択する。すると左側に出てくる管理メニューから「権限」＞「基本的な権限」を選択する。その画面で、「トピックを表示」欄の「ユーザーグループの選択」で、「すべてのユーザー」のチェックボックスを外せば、グループは非公開になる。

Google日本法人は「公開しない設定も用意しており、どう使うかは利用者が決めることだ」とコメントしているようだ。しかし今回のように、数多くの省庁や医療機関などの重要な情報が閲覧可能状態になっていたという実態を踏まえると、単に彼らが不注意だったと言い切ってしまっていいのだろうか。

Googleグループが初期状態で「一般公開」される設定になっている点や、そのことに気づきにくいといえる点は、はたして問題ないのだろうか。インターネットのセキュリティ問題にくわしい落合洋司弁護士は、次のようにコメントしている。

落合洋司弁護士のコメント

「Googleの利用規約は《ユーザーは、本サービスを利用することにより、本規約に同意することになります》としています。つまり、Googleグループを利用する際には、この利用規約が適用されることになります。

その利用規約では、《Google は、本サービス内のコンテンツ、本サービスの特定の機能、その信頼性、利用可能性、またはユーザーのニーズに応える能力について、何らの約束もしません。本サービスは『現状有姿で』提供されます》としています。

この『現状有姿』というのは、現在あるがままの姿でという意味です。つまり利用者は、サービスがそういった状態にあることを理解した上で使い、Googleグループにおける公開、非公開の設定も、自らの判断で行う必要があります。

つまり、もともとの設定がわかりにくかったからといって、Googleの法的責任を追及することは難しいでしょう。もちろん、Googleが、よりわかりやすく使いやすいサービスを利用者に提供すべきということは言えると思いますが、それは法的責任とは別の話になります。

便利なサービスであっても、サービスの内容、特性への理解が十分ではないまま利用することで思わぬ事態を招くことがあります。特に、公開すべきでない情報をネット上で取り扱うような場合は細心の注意が必要でしょう」