2013年7月上旬、米グーグルが提供するメール共有サービス「Googleグループ」で、政府や企業が意図せず情報を漏洩していることが明らかになった。一般紙などが大々的に報じたものの、問題に気づいていない企業は少なくない。Googleグループを利用する一部の企業では、顧客の氏名や住所などを第三者が検索・閲覧できる状態が続いている。
2013年7月11日、内閣官房情報セキュリティセンター(NISC)が開催した省庁間会合で示された資料によれば、Googleグループで情報を漏洩していたのは、環境省、復興庁、農林水産省、国土交通省、厚生労働省である。これらの省庁では、複数の職員でメールを共有するためにGoogleグループを利用していた。
ところが、第三者にも内容を公開する初期設定の状態で利用していたため、環境省では条約交渉に関する状況報告などが、厚生労働省では患者の個人情報などが外部から閲覧できる状況にあった。環境省は7月16日、省外のメール共有サービスの利用を原則禁止する方針を明らかにした。
問題の背景にあるのが、コンシューマー(一般消費者)向けサービスのビジネスモデルと、それに伴うセキュリティリスクである。Googleグループのようなコンシューマー向けサービスでは、情報を数多く流通させることで、関連する広告収入を得たり、新たなユーザーを獲得したりする。そのため、第三者に情報を公開する初期設定になっていることが多い。FacebookやLINEなどのソーシャルメディアも、全ての情報が第三者に公開する初期設定になっているわけではないが、書き込みなどを第三者に公開するようユーザーに働きかける傾向が強い。
とはいえ、コンシューマー向けサービスの利用を一律に禁止したとしても、今回のようなうっかりと情報を漏洩する問題は防げない。企業内の既存システムでは、ユーザーのニーズを満たせていないことに真因があるからだ。
システム部門が今すぐ採れる対策の一つが、コンシューマー向けサービスのビジネス版を利用することだ。例えばグーグルは企業向けに、管理者がアクセス権などを設定できる「Google Groups for Business」を提供している。米エバーノートや米ドロップボックスなども、企業向けサービスを提供している。いずれにせよ、まずはシステム部門が実態を把握することが肝心だ。
