東京都、デフリンピックボランティアの個人情報漏洩を発表-Googleフォームの誤設定が原因|セキュリティニュース

セキュリティニュース

投稿日時: 2025年05月14日更新日時: 2025年05月13日

東京都、デフリンピックボランティアの個人情報漏洩を発表-Googleフォームの誤設定が原因

2025年5月9日、東京都政策連携団体である公益財団法人東京都スポーツ文化事業団は、Googleフォームの誤設定で東京2025デフリンピックボランティアの個人情報が漏洩について発表しました。

1 事故の概要
2 発覚から対応までの経緯
3 今後の対応
4 同様のインシデント事例

事故の概要

今回の個人情報漏えいは、東京2025デフリンピックボランティアの管理業務を受託している株式会社コングレが行ったアンケート調査において発生しました。

アンケートはGoogleフォームを用いて実施されましたが、一定の操作を行うことで他の回答者の氏名やメールアドレスが閲覧できる状態となっていたことが判明しました。

発生期間
　2025年5月2日（金）19時30分頃～ 5月7日（水）12時00分頃
漏えいした情報
　アンケート回答者945名分の氏名およびメールアドレス
　※氏名とメールアドレスは直接紐付かない形式でした。

発覚から対応までの経緯

5月2日：事業者がGoogleフォームでアンケートを配信
5月7日：回答者から「他人の情報が閲覧可能」との指摘があり、直ちに設定を変更して閲覧不可とする
5月8日：アンケート対象者に対して、経緯説明と謝罪のメールを送信
現時点：二次被害や情報悪用などの報告は確認されていません

今後の対応

東京都スポーツ文化事業団とスポーツ推進本部は、今回の事態を重く受け止め、以下の再発防止策を講じるとしています。

事業者に対して厳重注意を行い、
　- 個人情報取扱いに関する再点検
　- 業務遂行時のダブルチェック徹底
　- 関係社員への教育強化
　を指導
自組織内でも改めて注意喚起を行い、個人情報管理体制の一層の徹底を図る

同様のインシデント事例

今回の東京都スポーツ文化事業団の事案と同様、Googleフォームの設定ミスによる個人情報漏えいは、過去にも複数発生しています。

例えば、2024年8月28日、静岡東海証券では、設立80周年記念講演会の申込フォームに利用していたGoogleフォームの誤設定により、申込完了後の画面から最大95件の申込者情報（氏名、電話番号、住所など）が第三者に閲覧可能な状態となっていたことが判明しました。

原因は「結果の概要を表示する」設定が有効になっていたためで、期間は2024年6月26日から8月23日まで続いていました。

また、2024年6月17日には松竹株式会社が、「大阪松竹座『船乗り込み』開催に伴う乗船者募集」の応募フォームにおいて、111名分の個人情報（氏名、住所、メールアドレスなど）が外部から閲覧可能な状態となっていたことを公表しました。閲覧可能だった期間はわずか約1日間でしたが、対象者には個別に文書で謝罪を行っています。

さらに、2024年11月15日には近畿大学においても、アルバイト登録フォームの設定ミスにより、登録された学生14名分の個人情報（氏名、学部・学科、住所、口座情報など）が一時的に閲覧できる状態になっていたことが発表されています。こちらは迅速に対応され、現時点では被害報告は出ていないとのことです。

これらの事例からも明らかなように、Googleフォームを含むクラウド型フォームサービスの設定ミスは、情報漏えい事故の主要な要因の一つとなっています。情報管理体制の強化と、フォーム公開前の設定内容のダブルチェックが、今後ますます重要になっていくでしょう。