簡単に他のユーザーと共有や共同編集ができる Google のファイルは、とても便利な反面一歩使い方を誤ると情報の漏洩を引き起こす可能性があります。
安全に Google のファイルを活用するためには、共有時に正しい権限設定を行うようにしましょう。
この記事では大切な情報の漏洩を防ぐための権限設定のやり方について説明します。
まずはじめに、他のユーザーと共有や共同編集ができる Google のファイル一覧を確認しておきましょう。
| サービス | 機能詳細 |
|---|---|
| Google ドキュメント | コラボレーションに最適な文書作成・表計算・プレゼンテーションツール |
| Google スプレッドシート | |
| Google スライド | |
| Google フォーム | 公開可能なアンケートフォーム |
| Google Keep | オフラインで使えるメモ帳 |
| Google サイト | サイトを簡単に作成できる |
| Google グループ | 特定のグループでフォーラムやメーリングリストを作成できる |
| Jamboard | 共同作業に適したデジタルホワイトボード |
Google のファイルを利用するにあたって、まずどのような権限の種類があるのか知っておきましょう。
この記事では、Google スプレッドシート・ドキュメント・スライド(この記事ではまとめてビジネスドキュメントとします)と、若干設定が特殊な Google グループそれぞれの権限について説明します。
※この記事では有料の Google ワークスペースユーザーが利用できる権限について説明しています。
まず理解しておきたいのが、Google のファイルの権限には 「閲覧者」 ・ 「閲覧者」 (コメント可) ・ 「編集者」 の3種類があるということ。違いは下記の通りです。
それを踏まえた上で権限の設定を行うようにしましょう。
Google ドライブ、ドキュメント、スプレッドシート、スライドのビジネスドキュメントの基本的な権限設定のやりかたを説明します。
まずは特定のユーザーとのみ共有する方法を説明します。
ドキュメントを共有したことを共有相手に通知する場合は、[通知を送信する] の横にあるチェックボックスをオンにします。
メールで通知する場合は、入力したすべてのメールアドレス宛に通知メールが送信されます。
共有相手に通知しない場合は、チェックボックスをオフにします。
組織外のメンバーと共有を行う場合、「組織外のメンバーと共有しますか?」というポップアップが表示されます。組織外のメンバーと共有しても問題のないファイルであれば「このまま共有」をクリックしましょう。
ファイルへのリンクを他のユーザーに送信すると、リンクを知っている全員がファイルを使用できるようになります。
組織名が表示されている部分の下矢印をクリックすると「制限付き」「株式会社〜(自分が所属している組織名)」「リンクを知っている全員」と表示されます。
・ 「制限付き」を選択した場合→追加されたユーザーのみが、このリンクから開くことができます
・ 「株式会社〜(自分が所属している組織名)」を選択した場合→このリンクを知っているこのグループのメンバー全員が閲覧できます
・ 「リンクを知っている全員」を選択した場合→このリンクを知っているインターネット上の全員が閲覧できます
以前は Google ユーザー以外と Google のファイルを共有する場合は「リンクを知っている全員」に設定しなくてはなりませんでしたが、2020年のアップデートで Google 以外のメールアドレスにも権限を与えて共同編集できるようになりました。
Google ユーザーではないユーザーと Google のファイルを共有する「ビジター共有」の手順を説明します。
【送信側が行う手順】
【受信側が行う手順】
Google グループとは、簡単に説明するとメーリングリストを作成したり、オンラインのフォーラムを立ち上げることができるサービスです。
Google Workspace ユーザーが新規でグループで作成をした場合、組織内のメンバーまたは招待された特定のユーザー以外の外部に公開されることはありません。(下図参照)
ただし、個人アカウントで作成した Google グループは情報が漏洩するリスクが考えられます。(後述)
さきほど説明した通り Google Workspace ユーザーが作成した Google グループがウェブ上の誰でも閲覧可能になるということはありません。
ただし、無料の Gmail ユーザーが作成した Google グループはプライバシー設定を間違えると投稿が誰でも閲覧可能になってしまいます。
グループ作成時にプライバシー設定を行う際、
を選択するなどで情報漏洩対策を行いましょう。
最後に、実際に Google のファイルの設定を誤って情報が漏洩したケースをご紹介します。
漏洩を防ぐためにどのような対策を取るべきかも説明するので、機密を扱う仕事をしている方はぜひ参考にしてみてくださいね。
福岡県が管理していた新型コロナウイルス感染症の陽性者9500人分の氏名、住所などの個人情報が外部から閲覧できる状態だったと発表しました。
閲覧できる状態だったのは、県内でこれまで確認された陽性者ほぼ全員の氏名や住所の他、年齢、性別、症状などの情報を記載した内部文書。2020年4月から県が作成、管理していた複数のファイルを Google ドライブに保存し、医療従事者と入院患者の受け入れ調整をやりとりする際に使っていたそうです。
該当のファイルは、リンクのURLを知っていれば誰でも個別のファイルにアクセスできる状態が続いていたと発表されています。
【対策】
ファイルを共有する際、ファイルの共有相手を限定する
聖マリアンナ医科大学病院は、看護師7人が業務連絡のために Google グループを個人的に利用し、閲覧権限の設定ミスで患者情報などが外部より閲覧できる状態となっていたと発表しました。
看護師が個人的に Google グループを開設し、申し送りといった看護業務の効率化のため、これまで看護師7人がメール機能を業務連絡に利用していたというもの。
閲覧権限がウェブ上のすべてのユーザーに公開される設定になっており、2020年12月20日に外部から同大へメールで指摘が寄せられ、問題が判明しました。
同グループ上でやり取りされたメール278件が閲覧できる状態となっており、同院で調査したところ、患者5人に関して姓や断片的な情報が流出した可能性があるそうです。
【対策】
個人アカウントで Google グループを作成した場合、適切なプライバシー設定を
この記事でも説明した通り、Google Workspace ユーザーが作成した Google グループは誰でも閲覧可能な状態になることはありません。
ただし、個人の Google アカウントで Google グループを作成した場合、プライバシー設定を行う際、グループを検索できるユーザーを「ウェブ上全てのユーザー」としてしまうとインターネット上にやりとりが公開されてしまいます。
公開したくない情報を扱う場合は
に設定しておくことが重要です。
共有が容易で、他のユーザーとのコラボレーションに最適な Google のサービス。
ファイルの共有を行う際ついつい設定を「このリンクを知っているインターネット上の全員が編集(閲覧)できます」にしてしまいがちですが、外部に漏洩したくない情報を行う際はかならず特定のユーザーのみ共有できる状態にしておきましょう。