締切済み

スプレッドシートの共有機能と情報漏洩リスクについて

2023/03/30 13:06

会社でスプレッドシートを使っています。会社のメールアドレスでGoogleアカウント（無償）を作り、社外秘のスプレッドシートを新規作成し、社内のメンバー（同じく会社のメールアドレス）にのみ共有しています。ところが、いつの間にか社外のメンバー（会社のメールアドレス以外）がこれを閲覧していることがあります。考えられる主な理由は以下の通りです。 ①共有を受けた社内のメンバーが、社外の第三者へ共有している ②共有を受けた社内のメンバーが、自宅やスマホでもこれを見られるように、自身の個人アドレスを追加している ③共有を受けた社内のメンバーが、会社のPCに個人のGoogleアカウントでログインしている ③の場合は、個人のGoogleアカウントから当該スプレッドシートのオーナーに対し共有リクエスト（メール）が届くため、漏洩リスクを感知することができます。ところが①②の場合は、恐らく今のところ為す術がないのではないかと思っています。シンプルに「オーナー以外は共有できない」もしくは「オーナー以外が共有する際はオーナーの承認を必要とする」といった機能があれば良いのだろうと思いますが、私が調べた限りではなさそうです。他にも、見慣れないアイコン（アイコンだけでは侵入者を特定できない）がスプレッドシートに入ってきている様子を目にしますので、情報漏洩ルートは上記の①②③以外にもあるのかもしれません。 ★ご質問は以下３点です。１．オーナーが許可しない者にスプレッドシートが共有されない仕組み・機能はないのでしょうか？２．上記１が「No」の場合、運用レベルでの対策（注意喚起やリテラシー向上等、非テクニカルな対策は除く）はありますでしょうか？３．この問題に言及しているネット上の情報があまりにも少ないのですが、何か理由があるのでしょうか？ ①は完全に悪意があるので（書類の持ち出しやメールの転送と同じように）防ぎきれないとして、②は起こりがちな問題だと思っています。にもかかわらず問題として取り上げられていないことを、とても不思議に思っています。お知恵のある方からのご助言をお待ちしております。

yproject21
お礼率93% (14/15)

Googleサービス全般
回答数1
ありがとう数1

みんなの回答 （1）
専門家の回答

みんなの回答

asciiz
ベストアンサー率70% (6871/9771)

2023/03/30 13:38 回答No.1

Googleスプレッドシートの共有方法が間違っていると思われます。ファイル共有を設定する際に、「リンクを知っている人全員」を選んではいけません。このモードで公開すると、URLリンクが漏れると第三者から見られてしまいます。そして無ログインで閲覧している人は、その場その場でランダムなユーザー名で表示されます。アクセス権限として「制限付き」を選択し、閲覧許可のあるメンバーを、一つ一つ、Gmailアドレス(Googleアカウント)で指定するのが正しい方法です。こうすると、URLは変わらないのですが、開こうとするとGoogleアカウントへのログインが即され、許可済みアドレスでログインするのでなければ見られなくなります。このアクセス制限を実現するのに、他プロバイダのメールアドレスではいけません。全員、Googleアカウント(Gmailアドレス)を取得する必要があります。 ①～③について、アクセス権限を追加できるのは基本的には「オーナー」なのですが、共有ダイアログの右上にはさらに「設定(歯車アイコン)」があります。ここをクリックすると、 □「編集者は権限を変更して共有できます」 □「閲覧者と閲覧者(コメント可)に、ダウンロード、印刷、コピーの項目を表示する」というオプションがあります。この、最初のオプションにチェックが入っていると、編集者は他のユーザー(個人アカウント等)へのアクセス権も追加できることになってしまいます。チェックを外しましょう。ただし2番目の項目から推察できるように、閲覧者に対してはダウンロードやコピーが制限できるのですが、編集者に対しては無防備です。アクセス制限により、会社から公開しているファイルそのものに他人が入ってこれないようにはできますが、編集できる人が自分のGoogleドライブ領域にファイルを「コピー」し、別の権限で公開というようなことはできてしまいます。 (コピーしたファイルは自分がオーナーなので) まあ、コピーしたものを編集しても元のファイルに反映されないので、そんなことをする意味は無いのですが…。「やらないように」というお達しはしておきましょう。

ログインすると、全ての回答が全文表示されます。