内閣サイバーセキュリティセンター(NISC)は、タスク管理ツール「Trello」(トレロ)で個人情報が外部から閲覧できる状態であることが確認されたとして注意を呼びかけている。誰でも閲覧可能な「公開」の設定だったことが原因とみられるが、トレロを提供するアトラシアンは7日、SankeiBizの取材に「(トレロの)一般公開当初より『非公開』の設定だった」と回答。ユーザーの企業側が、あえて「公開」の設定に変更していた可能性が高いことが判明した。個人情報を取り扱う企業のネットリテラシー(情報活用能力)も改めて問われそうだ。
「フルオープン公開状態」
閲覧可能だった個人情報は、運転免許証の画像や就活生の内定情報、最終学歴など多岐にわたる。中には、センシティブな内容も含まれていたという。アトラシアンによると、情報を一元管理し、タスクを整理できる「ボード」のプライバシー設定は、「非公開」「チームにのみ公開」「公開」の3種類。ユーザーが任意に公開範囲を選択することができるが、サービス開始当初から、ボード作成時の初期値は「チームにのみ公開」と外部へは非公開となっていた。
誰でも閲覧できる「公開」に変更する際の画面には、「公開ボードは、インターネットに接続しているユーザーすべてが閲覧可能で、Googleなどの検索エンジンに表示されます」と注意を喚起する文言が表示される。さらに「公開」に設定後は、ボード画面の上に「このボードは公開に設定されています。ボードの管理者は公開範囲をいつでも変更できます。詳しくはこちら」という文言も常時表示がされるという。
にもかかわらず、なぜ複数の企業で個人情報の流出を招いてしまったのか。
インターネットに詳しいITジャーナリストの三上洋(よう)氏は「わざわざログインしなくても閲覧できるように、企業の担当者が『公開』の設定にした可能性がある」と指摘。「システム管理部門などのチェックを経ずに、例えば人事担当の部署が独自にトレロを使用していたのではないか」と推察する。
個人情報の流出はSNSや匿名掲示板サイトで話題になり、ツイッターには「面接者をバカにするような表現が多用されている」「際どい情報まで全世界に向けてフルオープン公開状態」といった投稿が相次いだ。
過去には、グーグルが提供するメーリングリストサービスでも、「公開」設定となっていたことから、官公庁の機密情報が誰でも閲覧できる状態だったことがあるといい、三上氏は「便利なツールは、何らかの形で情報流出も考えられるという前提でチェックすることが必要だ」と指摘する。
多くの企業が導入する便利なツールではあるが、設定を誤れば、秘匿しなければならない情報も一気に広まってしまう。
セキュリティの見直し急務
NISCは「Trello(トレロ)に限らず、webサービスで情報を扱う際は、公開範囲の設定を確認すること等が大切」と注意喚起。三上氏は「トレロに限らず、ビジネスチャットツール、テレビ会議ツールにもさまざまな盲点がある。ネット上のツールを使う場合は、改めてセキュリティを見直してほしい」と話している。