プライバシーザムライ

プライバシーザムライ 中 康二です（オプティマ・ソリューションズ株式会社 代表取締役）。ソニー出身。プライバシーマークとISMSの専門家。個人情報保護／情報セキュリティに関して、最新の情報を皆様にわかりやすく発信しています。

※トップ画像はダイソーのリリース文より

皆さんこんにちは。
プライバシーザムライ中康二です。

今回取り上げるのは、100円ショップ「DAISO」で知られる株式会社大創産業における、Googleグループの設定ミスによって発生した個人情報漏えいの事案です。漏えい件数は1万件超に上り、取引先、従業員、採用応募者、ECサイト利用者と、企業の幅広い関係者の情報が影響を受けました。

企業のクラウド活用が進む中で、「設定のうっかりミス」から始まる重大な情報漏えいは珍しくありません。本記事では、本件の経緯・原因・対応策を整理しつつ、私たちが何を学ぶべきかを明らかにします。

事件の概要：Googleグループの公開設定ミス

大創産業が発表したプレスリリース（2025年6月18日）によれば、同社が業務で活用していたGoogleグループ（Google Workspace機能の一部）において、閲覧権限の設定が不適切に公開の状態のまま運用されていたことが発覚しました。

そもそも、Googleグループとは、大勢が参加できるインターネット上のメーリングリスト（一つのメールアドレスに送信すると、参加者全員にメールが送信されるシステム）サービスであり、かつメール送信履歴を掲示板のような画面でも確認できるというシステムです。メーリングリストとしてはその時点での参加者にのみ情報が共有されますが、掲示板の画面の方は過去に遡って閲覧できるというものです。

▼ 発生の詳細

公開状態だった期間	2019年12月9日〜2025年4月26日
発覚日	2025年4月26日
対象となるグループ数	57グループ
原因	Googleグループの公開範囲設定が「外部にも公開可能」な状態で設定されていた

これにより、社内外の第三者から本来閲覧されるべきでない業務メールの本文や添付ファイルが閲覧可能となっていたということです。

流出した可能性がある情報の内訳

今回の設定ミスにより、影響を受けた可能性のある個人情報は合計10,307件にのぼります。これらがGoogleグループの宛先にメールの本文または添付ファイルに含まれていたということになります。情報の種類や対象者は以下の通りです：

区分	件数	含まれる情報
ECサイト	4,498件	氏名、住所、電話番号、メールアドレス、口座情報など
取引先関係者	4,578件	会社名、氏名、部署名、役職、連絡先など
採用応募者（中途採用）	698件	氏名、住所、連絡先、履歴書・職務経歴書など
従業員	533件	氏名、住所、生年月日、家族構成、保険情報など（要配慮個人情報を含む）

要配慮個人情報が含まれていることもあり、影響の大きさが懸念されます。

企業としての対応内容

同社は、以下の対応を発表しています。
1. 該当するGoogleグループの全設定を非公開化（4月26日以降に実施）
2. Googleグループの新規作成には承認フローを設ける運用へ変更
3. 漏えいの可能性がある関係者には個別に通知
4. 2025年5月1日付で個人情報保護委員会に報告
5. 現時点では二次被害の報告は確認されていない

さらに、今後は社内教育の徹底、情報管理体制の見直し、再発防止策の強化を図るとしています。

考察：「設定ミス」はもう許されない時代へ

GoogleグループやGoogleドライブなど、クラウドサービスにおける権限設定ミスによる情報漏えいは、ここ数年で急増しています。今回の事案も、悪意ある攻撃ではなく、「うっかり設定」から始まった事故でした。

なぜクラウドは怖いのか？

クラウドサービスの設定は直感的で簡単な反面、「何が誰に見えるか」が一目ではわかりにくいという落とし穴があります特にGoogleグループは、メールの一斉送信と同時に掲示板形式でも保存されるため「意図せず公開状態になる」ことが多くの組織で問題になっていました。

再発防止のカギは「構成の仕組み化」

• 権限設定を技術部門だけに任せず、定期的に棚卸・見直しを行う仕組み
• 「社外公開」の設定を原則禁止し、必要時は承認制に
• 社内向けに「公開・共有のルール」を簡単な資料にまとめておくこと

まとめ

今回の大創産業の事例は、クラウドサービスの利用が常態化した今だからこそ起こり得た事故です。そしてそれは、どの会社でも明日起こり得るリスクです。

クラウドの利便性を活かしつつ、ヒューマンエラーを防ぐためには、「人」の教育と「仕組み」の両方が不可欠です。

私たちすべての事業者にとって、この事例を“明日は我が身”として、情報管理体制を再点検する良い機会として捉えるべきではないでしょうか。

「Google グループ」を通じた個人情報の漏えいの可能性に関するお詫び（株式会社大創産業）
https://www.daiso-sangyo.co.jp/wp-content/uploads/2025/06/42c327021022154ac3ee5aa42ac101b5.pdf

無料ウェブサービスに落とし穴 設定ミスで個人情報閲覧も（NHKニュース）
https://www3.nhk.or.jp/news/html/20250417/k10014781801000.html

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

プライバシーザムライ
中 康二

週に一回程度、更新情報をお届けします。

こちらからメールアドレスをご登録ください。