事故から学ぶ
予約フォームで個人情報が閲覧可能 – 滋賀レイクス
事故概要
| 業種 | プロバスケットボールチーム |
| 発生時期 | 2024/1/23 |
| 漏えい人数 | 22 |
| 事故概要 | プロバスケットボールチームの滋賀レイクスが、フードメニューの予約フォームにおいて受け付けに使用した「Googleフォーム」の設定にミスがあり個人情報が漏えいした。 フォームの設定では「結果の概要を表示する」を有効化すると、申込画面とつかい記入事項を送信した後に「前の回答を表示」というボタンを押すと、その時点で申し込みが完了していた22人全員の氏名、電話番号、メールアドレスが閲覧できる状態となり個人情報が漏えいした。 外部から指摘があり、スタッフが同日22時半ごろに設定を修正した。 |
| 引用元 | 滋賀レイクス |
■ 事故原因
事故の原因はチェックリストの下記項目が該当すると推察します。
外部のサービスシステムを利用する際は、機能を十分に理解してダブルチェックを行い個人情報漏えいを防止すること。
今回問題となった機能はデフォルト設定で有効となっておらず、十分に確認していなかったという。
チェックリストにある要求ルール:
外部のサービスシステムを利用する際は、機能を十分に理解すること
機能を十分に理解したうえでダブルチェックをすること
複数のアカウントを使用してテスト登録をすること。
■ 推奨対策
対策:
今回問題となった機能はデフォルト設定で有効となっておらず、十分に確認していなかったという。
外部のサービスシステムを利用する際は、機能を十分に理解すること
機能を十分に理解したうえでダブルチェックをすること
複数のアカウントを使用してテスト登録をすること。
具体例:
外部サービス利用時に、使用しない機能のデフォルト設定で、どのような動きをするのかまで含めて全機能をテストすること。
デフォルト設定は自分たちの想定外の動きをすることがある。
タグ
ご入会のお手続きはこちら
会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。
