ニュース 2021.04.19 Trello、複数企業がうっかり「社外公開」設定で就活情報の閲覧可能に

内閣サイバーセキュリティセンター（NISC）は、この問題を確認したとして、4月6日、「公開範囲の設定を確認し、意図せず公開となっている場合は、非公開とする等、適切な設定にしてください」とTwitterの公式アカウントで注意喚起を行っている。

Trelloは、タスクを書いたカードを進捗状況に応じて動かし、タスク管理をしていく便利なツールとして知られている。

個人で使う場合は日常生活のタスク整理に、企業で使う場合はプロジェクトチームのタスク整理のために使うことが可能だ。

今回閲覧可能だった個人情報は、企業が就活面談のために集めたものだったが、生年月日のような個人情報漏えいによくみるパターンに留まらなかった。

学生が企業に提出した、パスポートや免許証の「プロフィール写真」や「学歴情報」などのほか、企業側でメモとして残している「就活生の面接時の態度」や「内定情報」なども含まれるなど、業務の過程で使用しているメモのような資料もそのまま公開されてしまったのだ。

アプリ運営会社の豪アトラシアンによると、タスクを整理する「ボード」のプライバシー設定は、「非公開」「チームにのみ公開」「公開」の3種類。

ユーザーが任意に公開範囲を選択できるが、初期設定は「チームにのみ公開」となっている。すなわち、このような意図しない公開問題が起きることは稀なように見える。

ところが、今回この問題は複数の企業で起きており、いずれも企業側があえて「公開」の設定に変更してしまっていた可能性が高いことが判明しているという。考えられるのは、企業内で複数人で使用していることから「メンバー内での公開」を「公開」だと捉えていた可能性だ。

自分だけが見られる「非公開」に対し、他人も見ることができる「公開」。

通常の社内ツールは社内のメンバーしか見られないのが一般的なため、この慣習の延長線上で使っていれば、「公開」設定にして見られるようになるのも、自分以外の社員ということになり、今回のような解釈ミスが起きても不思議ではない。

企業が、採用活動のような、従業員以外の人との情報共有・情報交換をに便利ツールを利用する際には、うっかりを防ぐ「公開設定ミス」には充分な注意が必要だ。

【関連リンク】

・Trelloの設定ミス、「公開」の誤解が原因？　分かりやすい表現とローカライズを考える（ITmedia）
https://www.itmedia.co.jp/news/articles/2104/07/news129.html

TEXT：セキュリティ通信 編集部
PHOTO：iStock