インシデント・事故

ダイソー運営元・大創産業で最大1万件超の個人情報が流出か――Googleグループ設定ミスの代償とは?

2025.06.28
この記事は約5分で読めます。
スポンサーリンク

2025年6月18日、全国に100円ショップ「ダイソー」を展開する大創産業株式会社(以下、同社)が、Google グループの誤設定により、最大10,307件におよぶ個人情報がインターネット上で閲覧可能になっていたことを公表し、社会に衝撃を与えました。

特に問題視されているのは、この“設定不備”が約5年半もの長期間にわたり見過ごされていた点です。今回は、この重大インシデントの全容を、公開されている情報や複数の報道を元に詳しく解説します。

事件の発覚と公表

インシデントが発覚したのは2025年4月26日。外部からの指摘を受け、同社が社内調査を行った結果、Google グループにおける閲覧権限の設定に不備があることが確認されました。そして、およそ2か月後の6月18日に、同社は公式に情報を公開しました。

この不備により、同社が運用していた57のGoogle グループが、社外からも閲覧可能な設定となっており、過去にメール送信された内容の一部が外部から参照できる状態になっていたのです。

誤設定されたGoogle グループとは?

Google グループは、Google Workspaceの一機能で、複数人でのメーリングリストや掲示板のように利用されるものです。

通常であれば「非公開(メンバーのみ閲覧可)」とするのが標準ですが、同社では意図せず「公開(インターネット上の誰でも閲覧可)」となっていたグループが57件存在していました。

この誤設定が有効だった期間は、2019年12月9日から2025年4月26日まで。実に5年以上にわたり、情報が外部に漏洩していた可能性があるというのです。

流出した個人情報の内訳

同社の発表によれば、閲覧可能な状態になっていた個人情報は以下の通りです。

1. ECサイト利用者情報(合計4,498件)

  • 氏名・住所・電話番号・メールアドレス:4,008件
  • うち銀行口座情報を含む:49件
  • その他、住所のみ:355件
  • メールアドレスのみ:135件

2. 取引先情報(合計4,578件)

  • 企業名・担当者名・部署・役職・電話番号・メールアドレスなど

3. 中途採用応募者情報(合計698件)

  • 履歴書・職務経歴書を含む:615件
  • 連絡先のみ:83件

4. 従業員関連情報(合計533件)

  • 氏名・性別・生年月日など:380件
  • 健康保険証等の情報:149件
  • 要配慮個人情報(障害や健康状態など):4件

合計で1万件を超える個人情報が、意図せずインターネットに公開された状態になっていたと考えられています。

企業側の対応

発覚当日の4月26日、同社は即座に該当するGoogle グループ57件をすべて非公開設定に変更。

その後、以下の再発防止策を講じたとしています:

  1. Google グループ作成時の申請・承認フローの導入
  2. グループ作成時に公開設定が選択できないシステム制御の実装
  3. 過去のグループ設定の一斉見直しと監査
  4. 社員教育の強化
  5. 個人情報保護委員会への報告(5月1日)

同社は「現在のところ、二次被害は確認されていない」としていますが、閲覧可能な状態が長期間続いていたことを考えると、今後の監視や調査も必要となるでしょう。

社会的・業界的な反響

この事件は、セキュリティ専門メディアや一般報道でも大きく取り上げられました。

  • ScanNetSecurity:「企業の設定ミスが原因で、インターネット上に個人情報が流出していた可能性がある重大インシデント」と評価。
  • ITmedia:「約5年半の公開状態が続いていた事実は極めて深刻で、企業のセキュリティ体制に疑問を投げかける」
  • Impress Watch:「Google グループの設定ミスという“人的エラー”による事例が増加している」

情報漏洩が直接的なサイバー攻撃によるものではなく、設定ミス=人的ミスによるものだったことが、多くのIT担当者に衝撃を与えています。

同様の事故は他社でも……

実は、こうしたGoogle グループやGoogle Driveの誤設定による情報漏洩事故は、過去にも複数の企業・団体で起きています。

  • 2023年 東京デフリンピック大会ボランティア募集に関する誤設定:応募者の氏名がインターネット上から閲覧可能になっていた。
  • 某保険会社:社内規定集をGoogle Drive上に公開設定してしまい、外部から全資料にアクセス可能な状態が数か月続いた。

つまり、「Googleの仕組みそのものが危険」なのではなく、「初期設定や管理運用の人的エラー」が最大のリスクとなっているのです。

企業が取るべき実務的対策

今回の事件を受けて、同じような事故を未然に防ぐために企業が取るべき対策は以下の通りです:

  1. Google グループ/Driveの設定監査:定期的に社内の共有設定を確認する仕組みを整備。
  2. 新規作成時の承認フロー導入:情報システム部などを経由しないとグループ作成できない体制へ。
  3. 公開状態を禁止する制御の導入:社内ポリシーで強制。
  4. ログ監査と通知機能の導入:共有状態の変化があった際に即時アラートが届く仕組み。
  5. 従業員教育:設定ミスが“重大な事故につながる”という意識を定着させる。

今回の教訓と今後の展望

今回のインシデントは、ダイソーという巨大ブランドを支える企業であっても、情報管理の一手を誤るだけで、取り返しのつかない結果を招く可能性があるという事実を突き付けました。

設定ミスという一見小さなヒューマンエラーが、社会的信用の毀損、顧客との信頼関係の崩壊、そして法的責任の追及へと発展するリスクを孕んでいます。

情報を扱うすべての企業にとって、今回の事例は「明日は我が身」の警鐘であるといえるでしょう。

今後、大創産業がどのように信頼を回復し、再発防止に努めるのか、その対応は他企業にも大きな影響を与えるものとなりそうです。

「Google グループ」を通じた個人情報の漏えいの可能性に関するお詫び|株式会社大創産業

スポンサーリンク
インシデント・事故
Googleグループ
シェアする
フォローしてね
スポンサーリンク
たけほ

コメント

タイトルとURLをコピーしました