Trelloの情報漏洩から学ぶ、ソフトウェアを簡単に採用して使ってはいけない

Created:
Updated:

Trelloとは?

Trello

Trello - Wikipedia

トヨタが1980年代に供給チェーン管理に活用したカンバン方式を模範とし、各プロジェクトは見た目が付箋で示されるタスクを掲示板に表示する形式である。タスクはドラッグ&ドロップにより利用者に割当てられ、コメント・添付・投票・期日・チェックリスト機能を追加できる。

出典:Trello - Wikipediahttps://ja.wikipedia.org/wiki/Trello

ホワイトボードに付箋を貼ってTODO・プロジェクトのタスクを管理するようなインターフェースで利用できる、便利なWebサービスです。

ホワイトボード

チケット管理サービスより手軽に管理できるため、採用している企業やユーザが多いです。

Trelloの個人情報漏洩の経緯

ITmediaの記事

プロジェクト管理ツール「Trello」で運転免許証など個人情報流出 閲覧範囲の設定ミスが原因か - ITmedia NEWS

2021年4月6日、Trelloの「公開」設定で「採用情報」「機密情報」「営業秘密」など多数の個人情報などが漏れていることが判明しました。

「公開」設定の場合、Googleインデックスに保存される

なぜなら、Trelloでは「公開」設定の場合、Google検索できてしまうからです。

これは、公式にも記載がある通り、仕様通りとなります。

Trelloの公開設定

新しいサービスを使う前にすべきこと

サービスやソフトウェアは簡単に採用してはいけない

世の中には、簡単で便利なサービスやソフトウェアが誕生しています。

そういったサービスを体験してみて、

「これを会社で推薦しよう」

「チームで使おう」

「営業で使おう」

など、簡単に決めてはいけません

仕様や動作の仕組みを把握して採用必要がある

本格的に利用する前に、

  • 仕様や動作の理解
  • 不明点は解決
  • セキュリティやリスクの調査

をする必要があります。

特に最近、世間的に話題になっている

  • 個人情報
  • 機密情報
  • 営業秘密
  • 顧客情報

などを、新しく利用するサービスで扱う(保存)場合は、特に注意が必要です。

今回の原因としては、「公開」の意味の理解不足による漏洩と考えています。

「公開」という日本語のあいまいさ

ただ一言「公開」と言っても、どの範囲かを理解する必要があります。

  • 「公開」の範囲はどこまでか?
  • 「Googleを含む」はどういう意味か?
  • 社内のメンバーと共有する方法は?
  • 社外のメンバーと共有する方法は?

などと言ったセキュリティに関することを理解してから利用する必要があります。この辺りを理解するまでは、大切な情報を扱ってはいけません。

漏洩が発覚したときの責任が大きい

個人情報が漏洩されたことによる、裁判も多数事例があります。

  • 個人情報の賠償責任
  • 営業先や取引先との契約破棄

など、多数リスクが考えられます。中には数百万円の賠償金では済まないような事例も多数あります。さらに、インターネットの情報はしばらく残るため、信頼を回復するまでは非常に時間がかかります。

  • 短期的
  • 長期的

どちらとも事業に影響が発生します。

  • 求人系であれば、新人が応募してこなくなる
  • 営業系であれば、取引先が解約してくる

など、その場の補償だけでは済まない可能性があります。

従業員全員のITリテラシー教育が必要

たった1名の社員のミスでこのようなことにもなるので、扱うITサービスやソフトウェアについては

  • 許可制
  • 利用サービスの理解
  • ITリテラシー教育

など、しっかりと済ませてから導入する必要があります。便利だからと理由だけでは、許可をしていけません。

どのように運用されているかを把握する必要があります。

Must Buy

TOP