最近、セキュリティ関係の報道でよく見かける言葉に“意図しない情報漏えい”というものがある。“意図しない”とはどういうことなのか、そして情報漏えいを防ぐために必要なことは何かについて、今回は考えてみる。

グーグルグループでの“意図しない情報漏えい”

 米グーグルの「Googleグループ」は、複数のメンバーで情報交換や議論ができる無料のサービスとして世界中の人々から活用されてきた。2013年7月に、複数の政府機関や民間企業が、このサービスを不適切に利用したことで、情報を漏えいさせたという報道が相次いだ(関連記事1関連記事2)。多くの場合で、機密でやり取りすべき情報が、利用者が“意図しない”まま「公開」の設定になっていたため、誰でも閲覧できる状態となっていたのだ。少なくともその事実を発見した人や取材した新聞記者には、機密で交わされていたはずの内容が見える状態となっていた。

 Googleグループではグループに登録したメンバーやそこでやり取りされた内容(トピック)の機密性(「公開」「非公開」)を自由に設定できる。ところが報道があった時点では、グループ作成時の初期設定は「公開」であり「非公開」にするには作成者が設定しなくてはならなかった。

 ここからは推測を含んでいるが、情報が漏洩した多くの場合で利用者たちは初期状態が「公開」であることを知らずに利用していたようだ。そもそもGoogleグループは、何らかの研究テーマを技術者や研究者がオープンに議論する場として利用されていた。グーグルからしてみると本業ともいえる検索機能を進化させるため、Googleグループ内の膨大な議論から知見を収集していくのは当然のこと。このため機密性の初期設定を「公開」にしていたと推測できる。