ダイソーの情報漏えい事件から学ぶ。中小企業も他人事ではないクラウドサービスのセキュリティ設定

6月18日、100円ショップでおなじみの「ダイソー」を運営する大創産業が、約1万件の個人情報漏えいの可能性について謝罪を発表しました。

原因は「Googleグループの設定不備」。本来は登録メンバーのみが閲覧できるはずのグループが、なんと5年以上にわたって一般公開されていたというものです。

「大手企業の話でしょ？うちには関係ない」と思った方、ちょっと待ってください。この事件は、クラウドサービスを利用する全ての企業にとって重要な教訓を含んでいます。

今回は、この事件から学べる教訓と、中小企業でも今すぐできるセキュリティ対策について考えてみましょう。

事件の概要：「設定ミス」がもたらした深刻な結果

何が起こったのか

• 期間: 2019年12月9日〜2025年4月26日（約5年5ヶ月）
• 原因: Googleグループの閲覧権限設定の不備
• 影響: 57グループが一般公開状態
• 漏えい可能性件数: 約1万件

漏えいした可能性がある情報

お客様情報（4,498件）

• 氏名、住所、電話番号、メールアドレス
• 口座情報（49件）

取引先情報（4,578件）

• 会社名、担当者情報、部署名、役職

採用応募者情報（698件）

• 履歴書、職務経歴書

従業員情報（533件）

• 個人情報、健康保険証情報

「設定ミス」はなぜ起こったのか？

1. クラウドサービスの設定の複雑さ

Googleグループのような便利なクラウドサービスには、細かな権限設定があります。しかし、その設定項目の多さや複雑さから、意図しない設定になってしまうケースが頻発しています。

2. 初期設定への過信

「デフォルト設定なら安全だろう」という思い込みが危険を招きます。多くのクラウドサービスでは、利便性を優先して初期設定が「公開」になっている場合があります。

3. 設定後の確認不足

一度設定したら「終わり」ではなく、定期的な見直しが必要です。しかし、日常業務に追われる中で、このような確認作業は後回しになりがちです。

4. 担当者の知識不足

IT担当者がいない中小企業では、詳しくない人がクラウドサービスの設定を行うケースも多く、リスクの認識不足が問題を引き起こします。

中小企業も他人事ではない理由

現実1：中小企業もクラウドサービスを多用している

• Google Workspace（Gmail、Googleドライブ）
• Microsoft 365（Teams、OneDrive）
• Slack、Chatwork
• 各種SaaS（給与計算、会計ソフトなど）

現実2：専門知識を持つIT担当者がいない

大企業と違い、中小企業では「何となく使える人」がIT担当になるケースが多く、セキュリティリスクの認識が不十分な場合があります。

現実3：「うちは狙われない」という思い込み

「中小企業の情報なんて誰も興味ないだろう」という考えは危険です。個人情報は企業規模に関係なく価値があり、むしろセキュリティが甘い中小企業の方が狙われやすいのが現実です。

「大企業だから安心」は間違い。企業規模に関係なくチェックが重要

今回のダイソーの事件を見て、「さすがに大企業でもこんなことが起こるんだ」と驚いた方も多いのではないでしょうか。

実は、これまでも多くの大企業で情報漏えい事件が発生しています。逆に言えば、企業の規模や知名度は、セキュリティの安全性とは全く関係ないということです。

大企業には確かにIT専門部署があり、高額なセキュリティソフトを導入していることも多いでしょう。しかし、今回のような「設定ミス」は、どんなに立派なシステムがあっても、人間がうっかりすれば起こってしまいます。

むしろ大企業の方が、「誰かがチェックしているだろう」「システムがあるから大丈夫だろう」という油断が生まれやすく、基本的な確認を怠ってしまうケースもあります。

一方で中小企業も同様に規模の大小に関係なく、しっかりとセキュリティチェックを行うことが大切なのです。

今こそ見直したい！身近なセキュリティ対策

この事件を受けて、「うちも大丈夫かな？」と不安になった方も多いのではないでしょうか。確かに、クラウドサービスは便利な反面、設定一つ間違えると大変なことになってしまいます。

でも、難しく考える必要はありません。まずは基本的なことから始めてみましょう。

使っているクラウドサービスの設定をチェック

Googleドライブで「なんとなく共有設定にしたファイル」はありませんか？Microsoft TeamsやSlackで「とりあえず公開にしたチャンネル」はありませんか？

普段何気なく使っているこれらのサービスも、設定次第では今回のダイソーと同じような状況になる可能性があります。月に1回でもいいので、「誰がアクセスできる設定になっているか」を確認する習慣をつけておきましょう。

「うっかりミス」を防ぐ社内ルール作り

今回の件も、きっと悪意があったわけではなく「うっかり」だったのでしょう。だからこそ、そのうっかりを防ぐ仕組みを作ることが大切です。

例えば「大切な情報を共有する時は、送信前に隣の人にも確認してもらう」「クラウドサービスの設定を変更する時は、必ず複数人でチェックする」といった簡単なルールでも、大きなミスを防ぐことができます。

みんなでセキュリティ意識を高める

「IT担当者だけの問題」ではなく、社員全員で気をつけることが重要です。といっても、難しい研修をする必要はありません。

朝礼で「今月のセキュリティ注意点」を共有したり、実際に起きた事件を例に「気をつけましょうね」と話し合ったりするだけでも、意識は大きく変わります。今回のダイソーの件も、良い教材になりそうですね。

もしもの時のために知っておきたいこと

それでも、万が一情報漏えいが起きてしまったらどうすればいいのでしょうか。

まず大切なのは「隠さずに、早めに対応する」ことです。今回のダイソーも、外部からの指摘を受けてすぐに公表し、対策を取りました。この迅速で誠実な対応が、信頼回復につながるのです。

「バレなければいいや」「様子を見てから」という考えは一番危険です。むしろ、早めに正直に説明した方が、お客様や取引先からの信頼を保つことができます。

とはいえ、そもそも事故が起きないように予防することが一番大切ですね。

まとめ：完璧を目指さず、「ちょっと気をつける」から始めよう

今回のダイソーの事件を見て、「怖いな」「難しそうだな」と思った方も多いかもしれません。でも、完璧なセキュリティ対策を最初から目指す必要はありません。

まずは「ちょっと気をつける」ことから始めてみませんか？

ファイルを共有する前に「これ、本当にこの設定で大丈夫かな？」と一瞬立ち止まる。メールを送信する前に「宛先、間違ってないかな？」と確認する。たったこれだけでも、大きな事故を防ぐことができます。

デジタル技術はどんどん便利になっていますが、それを安全に使うのは結局「人」です。機械に任せきりにするのではなく、みんなで協力しながら、安心してITを活用できる環境を作っていきましょう(^^)