Googleフォームのセキュリティ対策は信用できる？リスクと対策を解説

Googleフォームは発信者の自由なカスタマイズによって、意見の収集やイベントの出欠確認など、さまざまなアンケートフォームを作成できます。手軽に利用できる一方、セキュリティに不安を抱く方も多いのではないでしょうか。とくに行政機関や自治体が利用する際は、個人情報流出などのトラブルは確実に防がなければいけません。そのためにも、Googleフォームの正しい利用方法の把握が不可欠です。

当ブログは、フォーム作成ツール20年の運用実績をもつ「ふぉーむまん」が運営し、読者のためになる情報を提供しています。今回はGoogleフォームのセキュリティに関して、基礎知識や安全性、自身でできる対策まで解説します。読めば安心してGoogleフォームを活用できるようになるため、Webサービスの知識が乏しい方やGoogleフォームを初めて利用する方は、ぜひ最後までご覧ください。

Googleフォームのセキュリティ対策は信用できるか？

大前提、Googleフォームには質の高いセキュリティが施されているため、サービスの利用を通じて情報漏洩が生じる確率は非常に低いといえます。なぜなら、Googleフォームを提供するGoogleでは、7項目にわたる「プライバシーとセキュリティ原則」が打ち出されており、その対策は強固なものと考えられるからです。

Googleが公表する7つの原則は、以下でチェックしておきましょう。

上記のように、Googleは利用者が安心してサービスを利用できる環境を整えているため、Googleフォームのセキュリティも安全に保たれていると考えてよいでしょう。より万全な対策を施したい場合は利用者自身で導入する方法もあり、詳細は記事の後半で紹介します。

Googleフォームの基礎知識

ここからはGoogleフォームの詳細を把握するために、サービスの概要や利用シーンの一例といった基礎知識や、Googleフォームからの情報流出が生じるケースを解説します。サービスを最大限活用するためにも、詳細をチェックしておきましょう。

Googleフォームとは？

そもそも「Googleフォーム」とは、Googleが提供するWebサービスのひとつです。不特定多数の人から簡単にアンケートを回収できるなど、無料で扱いやすい点からさまざまな用途で利用されています。

たとえば以下のようなシーンでは、Googleフォームの活用で発信者がイメージする情報を収集できます。

• サービスに対する問い合わせフォーム
• 顧客や市民の満足度調査
• イベントや求人の応募
• 自治体政策への投票
• 簡単なアンケート
• 学校のテスト
• 出欠確認　など

これらのフォームは、作成者がカスタマイズすることで記述式やマーク式・プルダウン形式へ変更可能なため、得たい情報を確実に入手できます。収集した膨大なデータは分析・集計機能で簡単にまとめられるなど、初めてフォームを利用する方でも扱いやすいツールといえるでしょう。

googleフォームの作り方や使い方を知りたい方はこちらの記事をご覧ください。

Googleフォームから情報流出が生じるケース

前述したとおり、Googleフォームのセキュリティレベルは非常に高いと予想されますが、以下のようなケースでは、情報漏洩が生じる恐れもあるようです。

• Googleアカウント情報の流出
• フォーム作成者の設定ミス

そもそもGoogleフォームの利用には「Googleアカウント」の作成が必要で、取得したIDとパスワードは個人管理が求められます。このとき、フォーム作成者のアカウント情報が流出すると、第三者による不正ログインで情報漏洩につながる可能性があります。さらにGoogleフォーム作成者が設定を誤ると、収集データを誰でも閲覧できる状態となり、情報流出につながる恐れもあるようです。

どんなにGoogleのセキュリティ対策が施されていても、ユーザー側の危機管理能力が不十分だと第三者の不正アクセスを許してしまう可能性も否めません。回答者の氏名や住所・メールアドレス・電話番号などの個人情報を守るためにも、Googleフォームでできる対策を理解し、適切な利用を心がけるのが重要といえるでしょう。

Googleフォームに備わる4つのセキュリティ対策

Googleフォームには、もともと以下に挙げる4つのセキュリティ機能が備わっています。

1. 常時SSL化
2. 24時間・365日体制での監視
3. ユーザーサポートやセキュリティの脆弱性管理
4. マルウェアの防止

作成したフォームのセキュリティ度合いを把握するためにも、詳細を押さえておきましょう。

常時SSL化

Googleフォームに備わっている1つ目のセキュリティ対策は「常時SSL化」です。Googleフォームの通信には、SSL（Secure Sockets Layer）とTLS（Transport Layer Security）が用いられており、常に暗号通信がおこなわれています。送信された個人情報は自動的に暗号化されるため、第三者による情報窃取の防止に期待が可能です。

なお「TLS」はSSLの後継となる通信規格となり、情報の暗号化だけでなく、電子証明書を活用して第三者の「なりすまし」を防ぐ役割も担っています。たとえ通信を傍受されても暗号読解に至らなければ情報を閲覧されずに済むため、大切な個人情報を守れる仕組みになっているのです。

24時間・365日体制の監視

Googleフォームに付帯するセキュリティの2つ目は「24時間・365日体制の監視」システムです。そもそもGoogleは高度なプログラムとAI技術で管理されており、なんらかの異常が検出された際はいち早く発見・対処できる環境が整っています。

Googleフォームはそのようなセキュリティ管理の行き届いた環境で提供されているため、利用者は24時間・365日いつでも安全に活用できるといっても過言ではありません。フォームを作成する際は自社のサーバーを準備する必要もなく、Googleのセキュリティ管理をそのまま利用できるため安心です。

監視システムは世界中の人々が利用するGoogleだからこそ構築できるものであり、作成者は最先端技術を駆使したセキュリティ対策で情報漏洩を防げると考えてよいでしょう。

ユーザーサポートやセキュリティの脆弱性管理

Googleフォームに搭載されたセキュリティ対策の3つ目は「ユーザーサポートおよびセキュリティの脆弱性管理」です。Googleはユーザーへの手厚いサポートに定評があり、各アカウントに対して以下のようなサービスを実施しています。

• 不正利用されにくいパスワード設定のアナウンス
• 同一パスワードの使いまわしに対する注意喚起
• ログイン時の二段階認証プロセスの導入
• 作成したフォームのセキュリティ診断　など

また、Googleサービスにおけるセキュリティの欠陥を見つけた人には、報奨金が支払われる制度もあるようです。このようにGoogle内外からの視点でセキュリティ管理がおこなわれているため、作成したGoogleフォームの安全性も保たれているといえるでしょう。

マルウェアの防止

Googleフォームにおけるセキュリティ対策の4つ目は「マルウェアの防止」です。「マルウェア（Malware）」とは悪質なソフトウェアやコードの総称で、不正かつ有害な動作をおこなうよう意図的に作成されたものを指します。不正プログラムとも呼ばれ、具体的にはコンピュータウイルスやワームなどが挙げられます。

マルウェアがユーザーを攻撃すると、アカウントの侵害やネットワークへの不正アクセス・データの盗難が生じる恐れがあり非常に危険です。その点Googleでは、悪質なソフトウェアをインストールする際は警告によってマルウェアの侵入を防いでくれるなど、Googleフォームをはじめとした全サービスを安心して利用できる環境が整っています。

このようにGoogleフォームでは、ユーザーが何もしなくてもセキュリティ対策が施される仕組みになっています。しかし、仕事でGoogleフォームを活用したアンケートを実施するなど、決して流出させてはならない個人情報を扱う際は、自身でできる対策を追加するとより安全かもしれません。

自身で施すべき4つのセキュリティ対策

Googleフォームには元からセキュリティ対策が施されていますが、それだけでは不安な方もいるでしょう。以下は、Googleフォームの安全性をより強固にできるセキュリティ対策の一例です。

1. ファイアウォールでのPC保護
2. WAFの導入
3. IPSの導入
4. Webサイトの常時SSL化

Googleフォームをより安心して利用できる環境を整えるためにも、上記4つの詳細をチェックしておきましょう。

ファイアウォールでのPC保護

「ファイアウォール」とは、ウイルスや不正プログラムの侵入ルートをシャットダウンするセキュリティ対策です。コンピュータのIPアドレスや「ポート」と呼ばれるネットワーク上の通過ルートを用い、不審なプログラムを検知した場合に通信を遮断することでパソコンを保護します。

このようなファイアウォールを導入すると、インターネットからの不正な侵入を防いだり、自身のパソコンを外部から見えなくしたりできます。ソフトウェアのメーカーによっては、ウイルス対策ソフトと組み合わせて販売しているケースもあるため、詳細を確認してみるとよいでしょう。

WAFの導入

「WAF（Web Application Firewall）」とは、ファイアウォールで発見できなかった不正プログラムを検知できる、さらに強固なセキュリティシステムです。ユーザーとサーバーがやりとりするデータをリアルタイムで監視し、蓄積した情報をもとにプログラムやソフトの悪質性を判断してくれます。

前述の「ファイアウォール」はポートを監視するもののため、データの中身までは確認がおよびません。その点WAFは、未発見の脆弱性に対しても機能するため、外部からの攻撃を未然に防いでくれるなど、より安定したセキュリティ対策が可能といえます。

IPSの導入

「IPS（Intrusion Prevention System）」とは、ネットワーク間の不正な通信を自動検知して排除するセキュリティシステムです。通常とは異なる通信や悪質性の高いアクセスを感知すると、管理者へその旨を通知して通信を遮断します。

たとえば、短時間に膨大なアクセスを加えてサーバーダウンを発生させる「DoS攻撃」には、IPSが有効に機能してトラブルを未然に防いでくれます。前述したファイアウォールとの併用でより効果が期待できるため、企業や自治体では導入している事例も多くあるようです。

なお、不正通信を検知するシステムには「IDS（Intrusion Detection System）」もあり、まとめて「IDS/IPS」と呼ばれるケースもあります。

Webサイトの常時SSL化

自身でできるセキュリティ対策には「Webサイト全体のSSL化」も挙げられます。前述のとおり、GoogleフォームにはSSLが実装済みです。しかし、そもそもフォームを設置するWebサイトにセキュリティ対策が施されていないと、情報漏洩のリスクは回避できません。

Webサイトが常時SSL化されていれば、第三者からの不正アクセスや個人情報の閲覧を防ぐ効果がさらに期待できるようになります。フォーム全体を保護することも可能になるため、より安全面に配慮した環境を整えられるでしょう。

このようにインターネット上のセキュリティ対策には、自身で施せるものも多くあります。Googleフォームのサービスに頼りきるのではなく、自ら対策して安全性を確保することも大切です。そのうえで設定手順を正しくおこなえば、情報漏洩のリスクも回避できるでしょう。

Googleフォームにおける情報漏洩した事例

どんなにセキュリティ対策を施しても、過去にはGoogleフォームからの情報漏洩を防げなかったケースが存在するのも事実です。ここでは、実際に発生した個人情報の流出事例を3つ紹介します。

Googleフォームの設定ミスにる情報流出事例

Googleフォームを利用した自治体・企業側の設定ミスにより、以下3件の情報漏洩がニュースとなっています。

上記3件は、いずれも作成者側の設定ミスが原因となっています。誤って回答結果を閲覧できる状態にしていたため、発生したものと考えられます。

情報漏洩した事例の設定ミスの内容と解決策

前述したGoogleフォームからの情報漏洩は、全てフォーム作成者側の「結果の概要表示」を有効にし、すでに送信されている回答を表示できる状態にしてしまったことが原因でした。ここからは、作成者の過失を防ぐための解決法を紹介します。

まず、Googleフォームを作成した際にチェックすべきポイントは、以下の2点です。

これらを解決するには、フォーム作成時の設定画面から操作します。具体的な手順は、以下のとおりです。作成したフォームが適切な状態になっているかどうか、図も参考にしてください。

なお、上記2つ目の「結果の概要を表示する」が有効になっている場合の回答完了画面は、以下のように表示されます。

こうなると、すでに回答した方の内容を閲覧できる状態になっているため、情報漏洩につながる恐れがあります。

個人情報を守り、顧客や市民からの信頼損失を防ぐためにも、フォーム作成後は必ずテスト送信を実施して適切な状態に仕上がっているか確認しましょう。

まとめ

Googleフォームは、Googleアカウントがあれば誰でも簡単に無料でフォームを作成できる、使い勝手の良いサービスです。システムにはGoogleの万全なセキュリティ対策が施されていますが、作成者の設定ミスやアカウント管理不足による情報漏洩のリスクには、十分注意しなければいけません。

業務で市民や顧客に簡単なアンケートを実施する場合は、今回紹介した内容を参考にGoogleフォームのセキュリティ対策を施してみてください。手順どおりに進めれば、初めてGoogleフォームを利用する方でも安全性の高いフォームを難なく作成できるでしょう。