「見せるつもりはなかった」が漏えいに変わるまで:3つの漏えい事例に共通する「曖昧な前提」
「社外には出していないから大丈夫」。そう考えていた情報が、実は見えていたというインシデントが報告されている。BIツール、PDFマスキング、クラウドサービス――。一見バラバラな3つの事例にある共通点とは。
ここ数年のインシデントを見ると、「高度なゼロデイ攻撃」のような専門的な脅威だけではなく、「見せるつもりのない情報が、想定より広い範囲に見えていた」という、より身近な例も挙がっている。社内の誰からでもアクセスできるようになっていたBI(Business Intelligence)ダッシュボード、黒塗りのつもりで加工したPDF、アンケート回答を預けた先のクラウドサービスなどだ。
技術やサービスは違っていても、根本的な問題は「境界の引き方」にある。どこまで見せるつもりなのか、その想定通りに技術と運用が設計されているのか。この問いへの詰めが甘いときに、“見せるつもりのない情報の漏えい”が発生したように見える。以下では3つの事例を踏まえ、「何がまずかったのか」「どこから手を打つべきか」を情報システム部視点で考えてみたい。
パターン1:画面の“軽さ”と中身の“重さ”のずれ
併せて読みたいお薦め記事
「現場の認識」と「運用の穴」
最初のパターンは、BIツールの権限設定ミスだ。デンソーは2025年10月8日、「Microsoft Power BI」(以下、Power BI)を使った同社のデータ分析において、本来は業務上必要な者のみに制限すべき閲覧権限が、誤ってグループ内全従業員に設定されていたとプレスリリースで説明した。公開されたPDFによると、従業員からの指摘をきっかけに判明し、その後の調査で複数のデータについて同様の誤設定が見つかったとしている。
プレスリリースでは、グループ外から閲覧できない状態であったことを確認済みと説明されており、データがグループ外に流出した可能性は低いと考えられる。だが、「業務上知る必要のない人にまで個人情報が見えていた」という意味では、まさに“見せるつもりのない漏えい”と言える。
デンソーのプレスリリースを見ると、同社は再発防止策として、閲覧権限設定の点検、是正や、グループ全従業員への教育徹底などを挙げている。このことから、現場と管理部門(情シス)との間で、BIツールの位置付けに対する認識のずれがあった可能性がある。
Power BIはレポートやダッシュボードを共有するだけで数字を共有できる、手軽で便利なツールだ。現場の担当者から見ると「Excelの延長」のように見えやすい。一方で、そこには従業員情報や取引情報など、もともとは業務システムの中で管理していたデータがそのまま表示されていることもある。見た目は「表計算ソフトの画面」でも、中身は「個人情報を含む業務データ」というわけだ。
情シスの立場でできる対策としては、まず「Power BIで扱うデータも業務システムと同じように申請、権限を管理する」ことだ。利用申請や権限付与の流れを他のシステムと同じフローに乗せ、個人情報や取引情報を含むレポートは、原則として担当部署の中だけで見える状態にしておく。部署をまたいで閲覧できる人は、役割がはっきりした一部の担当者だけに絞る、といった線の引き方が重要になる。
加えて重要なのが、今回のように「従業員の指摘」で発覚するケースを前提にした文化づくりだ。「たまたま開いたら、明らかに見えてはいけない情報が見えた」と思った従業員が、安心して情シスに報告できるかどうか。ここも境界設計の一部として考えるべきだろう。
パターン2:紙文化とデジタル文化のずれ
熊本県天草市は2025年10月17日付の告知「個人情報の不適切な取り扱いについて」で、Webで公開していた地域計画のPDFデータにおいて、農業者名を白文字にしたものをPDFに変換して公表していたため、コピー&ペーストで個人名の文字データが取得できる状態だったと公表した。対象は26計画、延べ3442件の農業者名だという。
ここで浮かび上がるのは、紙媒体とデジタル文書とのギャップだ。紙であれば、黒く塗ってしまえば下の文字は物理的に読めない。しかしPDF形式などデジタル文書の場合、色を変えたり図形を文字の上に重ねたりしても、元のテキストデータは残っている。見た目には消えたように見えても、コピー&ペーストするだけで見えない文字も簡単に読み取れる。
この問題の本質は、「白塗り」や「黒塗り」というテクニックそのものよりも、「誰がどこまで責任を持ってマスキングするのか」が決まっていないことにある。現場の担当者が、紙文化の感覚で「見えなくしておけば大丈夫だろう」と判断してしまうと、同じミスが横展開されてしまう可能性がある。
もし、自分が自治体の情シスだったらどうすればいいか。紙媒体と塗りつぶしとデジタル文書のマスキングは違うものだということを説明することから始めるべきだ。自治体が扱う情報には個人名やマイナンバー、健康情報など機密情報が多く含まれる。そのため、「マスキング作業は現場任せにしない」という線引きがまずは必要だ。
どうしても現場側でマスキングせざるを得ない場合にも、公開前に「隠した部分をコピーしてメモ帳に貼る」「PDF内検索で隠したはずの語を探す」といった簡易チェックを必須にするだけで、リスクは大きく減らせる。
パターン3:「分断された責任」とクラウド再委託の難しさ
2025年10月17日、野村證券は「委託先企業が利用するクラウドサービスへの不正アクセスによる情報流出について」と題したニュースリリースを公表した。同社が実施している顧客満足度調査の回答調査業務を野村総合研究所(NRI)とNRIグループ会社に委託し、その再委託先企業が、回答内容の読み取りにクラウドサービスを利用していた。
このクラウドサービスが不正アクセスを受けた可能性がある旨の連絡を受け、調査の結果、回答者IDや回答内容が外部に流出したことが判明した。野村證券のリリースでは、回答内容のうちフリーコメント欄に、特定の個人を識別し得る情報が含まれていたケースがあったことも明らかにしている。
このインシデントの特徴は、企業側は個人情報を含み得る重要なデータとして扱っているが、その扱い方が多段階の委託構造の中で“分断”されてしまっていることだ。野村證券の説明をたどると、構図はこうだ。野村證券が顧客満足度調査の業務をNRIとNRIグループ会社に委託し、NRIグループ会社がその業務の一部を別会社に再委託していた。この再委託先企業が、回答内容の読み取りに利用していたクラウドサービスで不正アクセスが発生し、回答者IDと回答内容が外部に流出した――という流れだ。
こうした構造の難しさは「責任」と「技術」と「認識」が階層ごとに分かれてしまうところにある。野村證券は顧客との関係性と説明責任を負っているが、技術的な運用は一次委託のNRIとそのグループ会社が担い、具体的なクラウド設定や運用はさらにその先の委託先企業とクラウドベンダー側に委ねられている。一方で、クラウドベンダーにとっては、「どの最終顧客のどの文脈で使われているデータか」は必ずしも見えていない。結果として、「誰がどの境界をどこまで守るのか」が、境界線ごとにバラバラになりやすい。
このパターンで情シスが学ぶべきポイントは「責任の境界が分断されるほど、技術的な境界も守りにくくなる」ということだ。現実的には、一次委託先より先のクラウドサービスの設定まで、情シスが直接コントロールすることはできない。だからこそ、「どこまでトレースできればよしとするか」を先に決めておく必要がある。少なくとも以下の4点は明確にしておきたい。
- 再委託の有無とその範囲
- 主に利用されるクラウドサービスの役割
- データ保管場所(リージョン)や暗号化の有無
- インシデント発生時に、どの企業からどの情報が自社に上がってくるのか
これらを明確にすることで、問題が起きた際に「どこで」「何が」「どこまで」影響を受けたのかを迅速に調べることができるだろう。
共通するのは「境界の設計ミス」
3つの事例に共通するのは「どこまで見せるか」という前提が曖昧な部分が残っており、それがツール設定や業務フロー、委託契約に影響していたことだ。Power BIの権限設定、PDFのマスキング方法、クラウド再委託の範囲はいずれも、“きっと大丈夫だろう”で運用され、その結果として想定より一歩外側に情報が見えてしまっていた。
情シスに求められるのは、個々のインシデントを「設定ミス」で片付けることではなく、「誰に」「どの粒度まで」見せるのかを文章で定義し、それを権限設計や公開手順、委託契約に落とし込むことだ。完璧な境界を一度で描くことはできない。しかし、今回のような“身近な漏えい”を他山の石にして、自社の境界線を少しずつ引き直していくことが、最も現実的なリスク低減策になる。
Copyright © ITmedia, Inc. All Rights Reserved.