C
月内に
プロバスケットボールチームの佐賀バルーナーズにおいて、Googleフォームの設定ミスにより、申込者の個人情報が他の申込者から閲覧可能な状態になっていたこと
📌 一言でいうと
プロバスケットボールチームの佐賀バルーナーズにおいて、Googleフォームの設定ミスにより、申込者の個人情報が他の申込者から閲覧可能な状態になっていたことが判明しました。流出した可能性のある情報は、氏名、住所(県・市)、電話番号、性別、年代、メールアドレスです。同チームは既に設定の修正を行い、関係機関への報告および対象者への謝罪を行っています。
🔍該当判定
- Googleフォームで、アンケートや申し込み受付を行っている
- Googleフォームの設定で「回答の概要を表示する」にチェックを入れている
- Googleフォームの回答URLを、不特定多数が閲覧できるウェブサイトやSNSに公開している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
クラウドフォーム(Googleフォーム等)を利用して個人情報を収集する場合、公開設定や回答の閲覧権限が適切に制限されているか、公開前にテストアカウントで必ず確認することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】クラウドフォームの設定ミスによる個人情報流出事例について
お疲れさまです。設定不備による情報流出事例に関する情報共有です。
■ 概要
Googleフォームの権限設定ミスにより、回答者が他の回答内容を閲覧できる状態となり、個人情報が流出した事例が発生しました。本件は脆弱性ではなく、管理者の設定ミス(Misconfiguration)に起因するものです。
■ 影響範囲
- Googleフォーム等のクラウドベースのアンケート・申込フォームを利用している全部署
■ 対応手順
1. 現在運用中の公開フォームにおいて、「回答の概要を表示する」等の設定が意図せず有効になっていないか再確認してください。
2. フォーム公開前に、権限のないアカウントで実際に回答し、他者の情報が見えないことを検証するフローを徹底してください。
3. 不要になったフォームは速やかに閉鎖し、アクセス権限を最小限に制限してください。
■ 参考情報
- Security NEXT 記事
対応優先度: 中
対応期限: 次回フォーム作成時および既存フォーム点検時
お疲れさまです。設定不備による情報流出事例に関する情報共有です。
■ 概要
Googleフォームの権限設定ミスにより、回答者が他の回答内容を閲覧できる状態となり、個人情報が流出した事例が発生しました。本件は脆弱性ではなく、管理者の設定ミス(Misconfiguration)に起因するものです。
■ 影響範囲
- Googleフォーム等のクラウドベースのアンケート・申込フォームを利用している全部署
■ 対応手順
1. 現在運用中の公開フォームにおいて、「回答の概要を表示する」等の設定が意図せず有効になっていないか再確認してください。
2. フォーム公開前に、権限のないアカウントで実際に回答し、他者の情報が見えないことを検証するフローを徹底してください。
3. 不要になったフォームは速やかに閉鎖し、アクセス権限を最小限に制限してください。
■ 参考情報
- Security NEXT 記事
対応優先度: 中
対応期限: 次回フォーム作成時および既存フォーム点検時
Subject: [Info] Personal Data Leak due to Cloud Form Misconfiguration
Dear IT/Security Team,
We are sharing a recent incident where a misconfiguration in a Google Form led to the exposure of applicants' personal information to other users.
■ Overview
Due to an incorrect setting in a Google Form, the "view summary of responses" or similar permission was likely enabled, allowing unauthorized users to see other respondents' data. This is a classic case of security misconfiguration.
■ Scope
- All departments utilizing cloud-based survey or application forms (e.g., Google Forms, Microsoft Forms).
■ Action Items
1. Audit all currently active public forms to ensure that response summaries are not visible to the general public.
2. Implement a mandatory verification step using a test account to confirm that data isolation is functioning correctly before publishing any form.
3. Promptly close obsolete forms and restrict access permissions to the minimum required.
■ Reference
- Security NEXT Article
Priority: Medium
Deadline: Upon next form creation or during existing form audits
Dear IT/Security Team,
We are sharing a recent incident where a misconfiguration in a Google Form led to the exposure of applicants' personal information to other users.
■ Overview
Due to an incorrect setting in a Google Form, the "view summary of responses" or similar permission was likely enabled, allowing unauthorized users to see other respondents' data. This is a classic case of security misconfiguration.
■ Scope
- All departments utilizing cloud-based survey or application forms (e.g., Google Forms, Microsoft Forms).
■ Action Items
1. Audit all currently active public forms to ensure that response summaries are not visible to the general public.
2. Implement a mandatory verification step using a test account to confirm that data isolation is functioning correctly before publishing any form.
3. Promptly close obsolete forms and restrict access permissions to the minimum required.
■ Reference
- Security NEXT Article
Priority: Medium
Deadline: Upon next form creation or during existing form audits