「Trello」個人情報丸見え 就活生評価にパスポート写真、初期設定は「非公開」だが
タスク管理ツール「Trello」に保存されている一部の個人情報が、外部から閲覧できるとして2021年4月5日夜ごろからインターネット上で波紋を呼んでいる。
「Trello」の利用者は「ボード」というツールを使い、仕事を進める際にチーム内で業務の進捗や情報を共有できる。ただ、設定によっては検索エンジンからTrelloの情報が丸見えになってしまうのだ。
検索エンジンで誰でも見られる状態に
「ボード」の管理者は、公開範囲を数段階に分けて設定できる。初期設定では「非公開」であり、招待されたメンバーしかボードを見られない。
一方で「公開」設定にしている場合、ボードはグーグルなどの検索エンジンの検索結果にも表示され、メンバー以外の第三者もボードを閲覧できる。公開範囲は、管理者の権限を持つユーザー以外には変更不可だ。
4月6日夕現在、検索エンジンに表示される「公開」状態のものは、企業と思われる利用者による採用計画に関するボードや、社内プロジェクトの管理のために用いられているボードもある。
5日夜、ネット掲示板に、「就活生の個人情報が全部見られる」として「Trello」が紹介された。その後、積極的にボードを検索するユーザーが続出。就活生に対する採用担当者側の評価コメントや、氏名、パスポートの写真といった個人情報も閲覧できると、騒動となった。
情報セキュリティーに詳しい立命館大学情報理工学部の上原哲太郎教授に取材した。「Trello」に限らず、ネット上のツールや使い方に詳しくないユーザーがこうした共有サービスを利用することで公開設定を誤り、漏えいトラブルにつながるケースがあるという。
よくわからないまま「公開」すると...
例えば、ツール内の情報を共有したいと考えている相手から「閲覧ができない」と言われた場合、詳しくないユーザーは相手が閲覧できるようになるまで試行錯誤する。
「(使い方が)わかっている人だったら相手にしか見えないように設定ができる。一方、よくわからないまま『公開』を押してしまうと、相手には見えるけど、全世界からも見えるという状態になってしまう」(上原教授)
今回のトラブルも、利用者にこのような運用ミスがあったのではないかと推測する。情報の漏えいに注意しながら運用する上で、「この手のものを使うには、最低限の知識が必要」とした。
個人情報が漏れてしまった人は対処法として、まず検索結果の削除要求を検索エンジンに申し立てられる。ただ、エンジン側に事情や経緯を説明する必要があり、すぐに削除されるわけではない。また、検索結果から消えた後も、いたずらによって個人情報が掲示板などに拡散され続けるケースがあり、「イタチごっこになりかねない」と上原教授は指摘した。
ほかに、個人情報に関する相談を請け負う弁護士への依頼や、情報の漏えいを人権侵害として問題視する人権団体への依頼といった手段を挙げた。ただ、「漏れた情報を消すのはなかなか難しい」。