Googleフォームは無料で使える便利なツールですが、ビジネス利用においてセキュリティ面に不安を感じる方もいるでしょう。特に、回答データの漏洩や共有設定の誤りといったリスクは、実際に業務で活用するうえで大きな懸念点です。
実際には、Googleフォームには通信の暗号化や不正アクセス対策などの仕組みが備わっています。ただし、設定を誤ると情報が第三者に公開されてしまうケースがあります。
この記事では、Googleフォームを安全に使うための具体的なセキュリティ対策や注意点をわかりやすく解説します。リスクを回避するポイントを理解すれば、安心してフォームを活用でき、効率的に業務を進められるでしょう。
▼ セキュリティ重視のフォーム運用には「formrun」がおすすめ!
弊社のフォーム作成ツール「formrun(フォームラン)」なら、ビジネスでも使えるセキュリティ対策を万全に備えています。
SSL暗号化が常時適用され、プライバシーマークやISO 27001 (ISMS)の取得など、さまざまな観点からセキュリティ対策を施しています。
さらに、チームメンバーごとのアクセス権限の設定も対応しており、社内からの情報漏洩対策も充実しています。
ビジネス用途では、formrun利用者の7割がGoogleフォームから乗り換えています。
Googleアカウントがあれば、ワンクリックで今すぐ始められます。
フォームランのセキュリティ対策を詳しく知りたい方は、こちらのページをご覧ください。
>>formrunはシステム面・組織面からセキュリティ対策を整えています
Googleフォームとの違いを比較したい方は、こちらのページをご覧ください。
>>フォームランとGoogleフォームの違いは「便利で豊富な機能」があること
Googleフォームのセキュリティ対策は3種類ある
Googleフォームを安全に利用するためには、システム側の仕組みだけでなく、利用者の環境や運用方法に応じた対策も欠かせません。 Googleフォームのセキュリティ対策は、具体的に3つの観点が挙げられます。
- Google側の仕組み
- 端末や業務環境の整備
- 人為的ミスの防止
それぞれを理解して実践することで、情報漏洩やトラブルを未然に防ぐことができます。
Google側の対策
Googleフォームには、通信の暗号化や不正アクセスを防ぐ仕組みなど、基盤としてのセキュリティ機能が備わっています。
フォームの利用に際して一定の安全性を確保できますが、Googleがどのようなセキュリティ対策を行なっているか把握すれば、自ら行うべきセキュリティ対策が何か理解しやすくなります。
端末・業務環境側の対策
Google側でさまざまなセキュリティ対策が行われているとしても、それで万全とは言い切れません。フォームを扱う端末や社内の業務環境も、Googleフォームのセキュリティを守るうえで重要な要素です。
適切な環境整備や共有範囲の管理といった取り組みが、より強固なセキュリティを維持する基盤となります。
ヒューマンエラーの対策
Google側や端末・業務環境のセキュリティ対策を行なったとしても、日々の業務で発生するヒューマンエラーで情報漏洩してしまうリスクがどうしても残ってしまいます。
設定の誤りや操作ミスといったヒューマンエラーの発生リスクを抑えられる、属人化されにくい業務体制を構築することも重要です。
Googleフォームで行われている5つのセキュリティ対策
ではフォームを作るときによく利用される、Googleフォームのセキュリティはどうでしょうか?Googleフォームのセキュリティ対策を理解しておかないと、思わぬトラブルが発生するかもしれません。
ここでは、Googleフォームのセキュリティ対策を主に4つ解説します。
- SSL/TLS化
- 365日・24時間体制で監視
- アカウント管理をサポート
- マルウェア防止
- セキュリティポリシーの整備
Googleフォームのセキュリティ対策①SSL/TLS化
Googleフォームは、そう簡単にデータを盗めないよう厳重なセキュリティ対策を行っており、通信にはSSL/TLSという暗号通信を用いています。
SSL/TLSとは、Webサイト上で送受信するデータを暗号化する仕組みのことです。これによって、あらゆる情報を暗号化することができ、フォームからやり取りする情報も暗号化することができます。
SSL/TLS化されていないWebサイトは、送受信するデータを悪意ある第三者が盗み見ることができ、名前や住所はもちろん、クレジットカード番号やパスワードといった情報を悪用できてしまいます。
Googleフォームのセキュリティ対策②365日・24時間体制で監視
Googleフォームを含め、Googleが提供するすべてのサービスは、24時間体制で監視されています。
Googleのサービスは、クラウドと呼ばれるインフラ上で運営されています。クラウドでは、自社のサーバーを用意する必要がなく、Googleによってサーバーのセキュリティを管理してもらえます。Googleは高度なプログラムとAIなどを用いて、異常があった場合により早く発見ができるように監視をしているのです。
多くの人が利用するGoogleのサービスだからこそ、徹底した監視体制によって情報漏洩のリスクを抑えています。
Googleフォームのセキュリティ対策③アカウント管理をサポート
Googleは、ユーザーがGoogleアカウントを安全に管理するためのサポートをしています。
GoogleアカウントとはユーザーがGoogleのサービスを利用する時に必要になるものです。このアカウントをより安全に設定できるよう、設定時に気をつけるべき点を記したガイドラインのほか、セキュリティ対策ができているかをチェックできる「セキュリティ診断」ページを用意しています。
さらに、万が一パスワードが盗まれた場合に備えて二段階認証プロセスを用意し、第三者によるログインを防いでいます。これまでに利用したことのない端末からGoogleのアカウントにアクセスをしようとした際に認証が必要になるなど、ユーザー側でのセキュリティなども徹底されています。
Googleフォームのセキュリティ対策④マルウェア防止
Googleフォームでは、Googleドライブに備わるマルウェアスキャン機能を活用し、フォームを通じてアップロードされるファイルを常時監視しています。
このスキャン機能により、ウイルスや不正プログラムの混入を防ぎ、ファイル共有の安全性確保につながっています。また、フィッシング詐欺や悪意のあるコードの拡散を未然に防ぐ仕組みにつながっている点も魅力です。
Googleフォームのセキュリティ対策⑤セキュリティポリシー(個人情報保護方針)の整備
Googleの全サービスでは、ユーザーの個人情報を外部から守るため、独自のセキュリティ原則が7つ設けられています。
以下がセキュリティの7原則です。
- ユーザーとユーザーのプライバシーを尊重する
- 収集するデータの内容と目的を明確に提示する
- ユーザー情報の販売はしない
- ユーザー自身でプライバシーの管理をしやすい仕組み作りを目指す
- ユーザー自身で自分のデータを閲覧・移動・削除できる仕組みにする
- 業界最高水準の高度なセキュリティ技術を用いる
- 全ユーザーのオンラインセキュリティを高める模範となる
Googleは無料で利用でき、世界規模のユーザーが活用しているからこそ、プライバシー保護を重視すべきだと考えています。
そのため、Googleフォームのセキュリティ対策でも、上記の7原則を反映した情報保護を実施しています。
端末・業務環境で行える5つのセキュリティ対策
Googleフォームを利用する際は、自分でもセキュリティ対策をしておくと情報漏洩のリスクを減らせます。
端末・業務環境で行いたいセキュリティ対策は、下記のとおりです。
- ファイアウォール
- WAF
- IPS
- SSL化
- reCAPTCHA
端末・業務環境で行いたいセキュリティ対策①ファイアウォール
ファイアウォールは、外部からの不正なアクセスやプログラムの侵入を遮断する基本的なセキュリティ対策です。
IPアドレスやポートを制御して通信を監視し、危険と判断した場合は自動でブロックします。社内ネットワークを外部の攻撃から守り、被害を最小限に抑える役割を果たします。
端末・業務環境で行いたいセキュリティ対策②WAF
WAF(Web Application Firewall)は、通常のファイアウォールでは検知できないWebアプリケーションへの攻撃を防ぐ仕組みです。
サーバーとユーザー間の通信を解析し、SQLインジェクションやクロスサイトスクリプティングといった攻撃を遮断します。フォームやログイン画面を保護するために欠かせない対策です。
端末・業務環境で行いたいセキュリティ対策③IPS
IPS(不正侵入防止システム)は、ネットワーク上の異常な通信や不正アクセスをリアルタイムで検知し、遮断する仕組みです。
攻撃を発見すると自動でブロックするとともに、管理者へ通知します。ゼロデイ攻撃やマルウェアの拡散を抑える効果も期待できます。
端末・業務環境で行いたいセキュリティ対策④SSL化
SSLはインターネット通信を暗号化し、第三者による盗聴や改ざんを防ぐ技術です。
WebサイトをSSL化するとURLが「http」から「https」に変わり、ブラウザのアドレスバーに鍵マークが表示されます。インターネットで情報をやり取りする上で必須の対策です。
端末・業務環境で行いたいセキュリティ対策⑤reCAPTCHA
reCAPTCHAはGoogleが提供するサービスで、自動化されたbotによる不正送信を防ぎます。
「私はロボットではありません」のチェックや画像認証で、人間の操作であることを確認します。問い合わせフォームやログインページに導入すれば、スパム投稿や大量アクセスによる不正を未然に防げます。
▼フォームランならビジネスで必要なセキュリティ対策が充実!
Googleフォームを利用する際は、ここまで紹介したような複数のセキュリティ対策を組み合わせることが重要です。
フォーム作成ツール「formrun」なら、通信の暗号化やアクセス権限管理などのセキュリティ機能が標準搭載されており、ビジネスでも安心して利用できます。
ヒューマンエラーによる情報漏洩を避ける3つの工夫
Googleフォームを安心して使うには、Google側や端末・業務環境側の対策だけでなく、ちょっとした操作ミスにも注意が必要です。
どれだけセキュリティ機能が整っていても、人の設定ミスが原因で情報が漏れてしまうことは少なくありません。
以下のヒューマンエラーによるリスクを知っておくだけでも、日常の運用で防げる可能性が高まります。
- 結果の概要を表示する
- URLの公開制限をはずす
- メンバーのアクセス制限を更新しない
結果の概要を表示する
「結果の概要を表示する」をオンにすると、他の回答者が集計データを見られる状態になります。
社内アンケートなら問題がなくても、個人情報を含む外部向けフォームでは大きなトラブルにつながる場合もあります。公開前に必ず設定を確認して、余計な情報が共有されないようにしましょう。
URLの公開制限をはずす
スプレッドシートの共有設定を「リンクを知っている全員」にしてしまうと、URLを知った誰でも回答内容を閲覧できます。
意図せずメールやチャットでURLが広がれば、情報が外部に漏れる危険もあります。アクセス権限は必要な人だけに絞り、管理を徹底することが大切です。
メンバーのアクセス制限を更新しない
担当者の異動や退職後に権限をそのまま残しておくと、不要なユーザーまでデータに触れられる状態が続いてしまいます。
古いアカウントにアクセス権限を残すのは、情報漏洩や不正利用のリスクを高める原因です。定期的に権限を見直し、必要な人だけが使える環境を保つようにしましょう。
formrunならあらゆる側面でのセキュリティ対策が万全!
Googleフォームは手軽に使える一方で、外部からのアクセス制限や情報漏洩への備えが不十分で、ビジネス利用におけるセキュリティに不安を感じる方も少なくありません。
弊社のフォーム作成ツール「formrun(フォームラン)」は、そうした懸念に応える法人レベルのセキュリティ体制を整えています。
- アクセス元を限定できるIPアドレス制限・ドメイン制限
- ログイン時の2段階認証・SSO対応
- ISMS(ISO/IEC 27001)認証取得による運用体制の信頼性
- アクセス履歴・操作ログの取得で内部監査にも対応
もちろん、通信はすべて暗号化(HTTPS)され、フォームに保存される情報も安全に保護されます。
さらに、管理者権限でチームごとの編集・閲覧設定が可能なため、社内の情報ガバナンスを徹底できます。
社内外へのフォーム共有を安全に行いたい方や、個人情報の管理責任を担う立場の方には、ぜひformrunをお試しいただきたいです。
Googleアカウントがあれば、ワンクリックですぐに導入可能です。
フォームランのセキュリティ対策を詳しく知りたい方は、こちらのページをご覧ください。
>>formrunはシステム面・組織面からセキュリティ対策を整えています
フォームランでは、ビジネスでも安心してお使いいただけるか確認できるよう、セキュリティチェックシートも用意しています。
>>セキュリティチェックシートのダウンロードはこちら
Googleフォームで起こりうる情報漏洩リスク事例5選
上記のようなセキュリティ対策がされているGoogleフォームですが、利用者の設定を誤ると簡単に情報漏洩が起こってしまいます。
フォームを作成した企業・個人の設定ミスにより、Googleフォーム内にある個人情報が流出してしまったケースは少なくありません。
そのため、対策が施されているからといって、利用者自身で情報漏洩のリスクに注意しなければなりません。特に、フォームの公開設定を誤ることで、意図せず個人情報が第三者に閲覧されるケースがあります。
実際に、設定ミスにより収集した情報が悪用された事例も報告されています。
以下では実際に起こったGoogleフォームで情報漏洩した事例を5つご紹介します。年間で20〜30件ほどの情報漏洩がおこっています。
事例1:Acompany社(164名の個人情報が漏洩)
2024年4月、Acompany社はGoogleフォームの設定ミスにより、最大164名の個人情報が第三者から閲覧可能な状態にあったことを発表しました。問題発覚後、同社は迅速に設定を修正し、影響を受けた可能性のあるユーザーに対して通知を行い、再発防止策を講じることを約束しました。
参考: https://cybersecurity-jp.com/news/97173
事例2:長野県駒ヶ根市(名前、住所、電話番号などの個人情報が漏洩)
長野県駒ヶ根市では、2024年6月から7月にかけて、同市が実施した市制施行70周年記念式典の申込フォームにおいて、設定ミスにより申込者の氏名、住所、電話番号などが他の申込者から閲覧可能な状態になっていたことが判明しました。市は速やかにフォームの設定を修正し、今後は職員に対する教育や研修を強化することで再発防止に努めると発表しました。
参考: https://cybersecurity-jp.com/news/98462
事例3:一般社団法人シェアリングエコノミー協会(イベント申込者の個人情報が漏洩)
一般社団法人シェアリングエコノミー協会でイベント申込者の個人情報が漏洩しました。
原因はGoogleフォームでイベントの参加者を募集した際、設定ミスにより「前回の回答の表示」が有効になっていたことです。イベントの申込者より、他の人の申込情報が閲覧できると連絡があり発覚しました。
参考: https://scan.netsecurity.ne.jp/article/2022/07/22/47939.html
事例4:鳥取県教育委員会(退職予定者の氏名が流出)
鳥取県教育委員会で、小中学校の退職予定者の氏名が流出した事例です。
Googleフォームを使って退職予定者にアンケートを実施した際、回答結果を表示する設定が誤って有効になっていました。これにより、回答者99名の氏名がほかの回答者より閲覧できる状態でした。
参考: https://www.security-next.com/134912
事例5:目黒区(講座申込者の個人情報が漏洩)
目黒区では、講座の申込者の個人情報が漏えいしました。
講座の参加者を募集するGoogleフォームで、誤って回答者の情報を全員と共有する設定をしたことが原因です。
申込者2名の個人情報が、ほかの回答者から閲覧できてしまいました。
参考: https://www.city.meguro.tokyo.jp/kouhou/kusei/kouhou/r0420220608.html
Googleフォームの利用はセキュリティと操作性を重視しよう
無料で簡単に使えるGoogleフォームですが、Googleならではのシステムによりセキュリティ対策が厳重です。ただし、ユーザー自身がGoogleアカウントの管理やフォームの設定をしっかり行わなければ、情報漏洩のリスクがあります。
また、セキュリティ以外だとデザインの大幅な変更ができなかったり、情報の共有が手間だったりと、不便な面もあります。
もし、高セキュリティ仕様のフォームツールをお探しの方には、 「formrun(フォームラン)」がおすすめです。
formrunは、 SSL/TLSによる通信の暗号化、 24時間365日のサーバー監視体制、 ISO 27001(ISMS)認証や プライバシーマークの取得など、ビジネス利用にも対応できる高水準のセキュリティ対策を実装しています。
重要な個人情報を扱うフォームでも、 安全に・安心して運用できる環境を整えたい方は、ぜひformrunをご活用ください。
formrunのセキュリティ対策の詳細が知りたい方は、こちらのページをご覧ください。
>>formrunはシステム面・組織面からセキュリティ対策を整えています
formrunやフォーム作成や顧客管理に関する情報を発信しております。
EFO(エントリーフォーム最適化)や問い合わせ対応など、
フォームに関するお悩みを解決します。
