2023年の第4四半期だけで、世界中で800万件以上のデータ漏えいが発生しました。あなたの組織がデータとその評判を守りたいのであれば、これは間違いなく懸念すべき事実でしょう。
多くの組織がそうであるように、Googleフォームを使ってデータを収集する際には、そのデータが安全に守られているかどうかを確認することは重要です。これは特に、個人を特定できる情報 (PII)や個人の健康情報 (PHI) をGoogle フォームで収集する企業に関係します。
では、Google フォームを使用して作成されたフォームは安全なのでしょうか?
この記事では、Googleフォームの長所と短所、そして米国のHIPAA(医療保険の携行性と責任に関する法律)に準拠しているかどうかを検証します。また、Google フォームと他のフォーム作成ソフトのセキュリティ機能を比較し、どのソフトが最もデータセキュリティ面で優れているかにも触れつつ、Googleフォームでデータのセキュリティを向上させるために役立つヒントをいくつかご紹介します。
Googleのセキュリティ・プロトコルとは?
プライバシーとセキュリティの保護は Googleの基本理念です。そのため、同社はプライバシーやセキュリティに関する脅威の特定と防止に積極的に取り組んでいます。以下は、Googleフォームを含むすべてのGoogle Workspaceアプリに適用されるセキュリティ・プロトコルの一部です:
- 高度な暗号化:Googleでは、ユーザーの端末、Googleサービス、データセンター間でのデータのやり取りをHTTPS およびTLS(Transport Layer Security)で保護しています。
- プロアクティブなアラート:不審なログインなど、Googleが通常と異なることを検知した場合、すぐに通知します。
- 脅威をブロック:Googleは、セキュリティ上の脅威と思われるウェブサイトへのアクセスをブロックします。この技術は、AppleのSafariやMozillaのFirefoxなど、他のブラウザでも利用可能です。
- アップデートとパッチ:Googleではセキュリティへの取り組みが継続的に行われており、セキュリティ上の脅威を継続的に検索・特定し、それらに対処するためにソフトウェアを更新しています。
Googleは、ユーザーが責任あるデータの保存と共有を実践することも重要であることを認識しており、データを保護する方法についてより多くの情報を得られるように、多くのトレーニングリソースを提供しています。
Googleフォームのセキュリティは信頼できるのか?
Google全体のセキュリティ対策は、非常に信頼性のあるものですが、Google フォームを通じて収集したデータについてはどうなのでしょうか?
ソフトウェア・インテリジェンス・ソリューションであるSprout24の創設者、 Ankit Prakash氏は「Googleの製品群の一部であるGoogleフォームは、強固なセキュリティ・インフラを備えています」と述べています。 「HTTPS暗号化を採用しており、転送中のデータの機密性が確保されているのです」
さらに彼は以下のように言います。「Googleは、機密データを要求するフォームの自動検出やブロックなどの事前対策を講じています。しかし、Googleフォームのセキュリティは作成者の設定にも依存します。例えば作成者は、フォームを公開することも、特定のユーザーに制限することもできます。」
Google Workspaceの一部であるGoogleフォームには、データ盗難やデータ漏洩を防ぐための多くのセキュリティ機能が備わっています:
- 転送中および保存時の暗号化:GoogleフォームのデータがGoogleのサーバーに保存されている場合でも、誰かに送信される場合でも、Googleはデータを暗号化します。
- 安全なデータ保存:Googleフォームで収集したデータはGoogleのサーバーに保存され、Googleの総合的なセキュリティ・プロトコルによって保護されます。
- アクセスコントロール:Googleでは、フォームを開く際にすべてのユーザーにGoogleアカウントへのサインインを要求することで、フォームの作成者がフォームへのアクセス者を決められるようにしています。組織アカウントの一部としてGoogle フォームを使用している場合は、アクセスを組織メンバーに限定することができます。
- 二要素認証:Googleアカウントにログインするには、パスワードを入力し、コードを入力するなどの2段階の認証ステップを完了しなければなりません。これにより、他人があなたのGoogleアカウントにログインする可能性が低くなります。
- 監査ログ:Googleフォームのアカウントに関連する不正なログインが疑われる場合は、Google Workspaceの監査ログで確認できます。
- コンプライアンス要件:Googleは、GDPR を含むいくつかのグローバルなコンプライアンス規制を遵守するのに役立つ機能を提供しています。
Googleフォームにあらかじめ備わっている機能に加え、追加のステップを踏むことで、フォームの安全性をさらに高められます。
例えば、本人認証の手段として、フォームに記入する人にGoogleアカウントへのログインを要求するのが一つの方法です。また、回答の長さや使用する文字の種類など、受け入れる回答に関するルールを設定することで、回答を検証することもできます。また、収集するデータの量を制限するために、回答を一人一回に制限するユーザーもいます。
Googleが提供するセキュリティ機能と、自分でできるオプションの対策を組み合わせれば、Googleフォームには何重ものセキュリティ層があると言っても過言ではありません。
Googleフォームにはどのようなセキュリティ上の問題があるのか?
セキュリティ機能はさておき、Googleフォームやその他のソフトウェアの安全性は、最新のセキュリティ脅威に対応できるかどうかによって決まります。悪意のある人は常に新しい方法で各サービスを攻撃し、データを盗み、問題を引き起こします。そのため、特に機密データを収集する場合は、Googleフォームに存在するさまざまな種類のセキュリティ脅威を常に把握しておくことが重要です。
「Googleフォームは安全性の高いサービスを提供していますが、懸念もあります」と、Prakash氏は述べています。「フィッシング詐欺師は、”google.com”ドメインの信頼性を悪用し、情報を収集するための悪意のあるフォームを作成することができるのです」
「サイバー犯罪者が正規の組織になりすましたフォームを簡単に作成することができるため、Googleフォームの作成の容易さが弱点になることもあります。さらに、フォーム作成者が共有設定に注意を払わなければ、機密データが意図せず公開されてしまうかもしれません。また、Googleはフォームからパスワードを送信しないように警告していますが、すべてのユーザーがこのアドバイスに従っているわけではなく、データ漏洩の危険性があります」
以下に、Google フォームに関するセキュリティ上の潜在的な問題をいくつか挙げてみました:
- フィッシング: サイバー犯罪者が実際のGoogleフォームのページに似せた偽のGoogle ログインページを作成し、被害者はそのページにGoogleフォームのログイン情報を入力します。ログイン情報を手にしたサイバー犯罪者は、Googleフォームのデータを盗んだり、スパムキャンペーンを行ったりすることが可能です。
- データの盗難:サイバー攻撃者は、偽のGoogleフォームを使ってユーザーに機密情報を要求し、悪意のある行為のために個人情報を盗むことができます。また、攻撃者は本物のGoogleフォームページを使用して、クレジットカード情報などの機密情報を入力する電子商取引ページなど、他の種類のサイトを複製することもあります。
- データの削除:サイバー犯罪者は、Googleフォームから収集したデータを、本来のGoogle シートではなく、自分の Google シートに転送するソフトウェアプログラムを使用します。
これらは現在存在するセキュリティ問題のほんの一部ですが、サイバー犯罪者の手口は進化し続けています。そのため、積極的にセキュリティの脅威と戦い、セキュリティ・プロトコルの更新に常に専念しているフォーム作成ツール選ぶことが重要です。
GoogleフォームはHIPAA準拠を可能にするのか?
医療業界で働いている方なら、自社のテクノロジー・スイートが、医療保険の携行性と責任に関する法律(HIPAA)に確実に準拠させなければならないことをご存知でしょう。
この法律は、患者の機密データが保護され、患者の同意なしに公開されないことを保証するために制定されました。保護された医療情報(PHI)を取り扱う組織は、データの収集、保存、共有方法に関して特定のセキュリティ対策を講じなければならないと規定されています。この法律は、医療の提供、支払いの徴収、および医療業務に携わる医療関連団体に適用されます。
では、Google フォームで HIPAAに準拠できるのでしょうか?Google フォームには、HIPAAに準拠するためのセキュリティとプライバシーの設定があります。特定の対策を講じることで、HIPAAに準拠することができます。
HIPAA準拠を支援するソフトウェアは、以下のようなセキュリティ分野で指定された基準を満たしている必要があります。
- データの暗号化
- データのバックアップと保存
- IDとアクセス管理
また、ソフトウェア会社は業務提携契約(BAA)に署名している必要があります。
Google フォーム自体がHIPAA準拠の基準を満たしているわけではありませんが、もしあなたが適用対象団体ならば、GoogleフォームのHIPAA準拠を可能にするために、以下のような対策を取りましょう。
- データの可視性とアクセスを管理するための共有権限の設定
- HIPAA基準を満たさないサードパーティ製アプリケーションの無効化
- プライバシー設定の調整
- 機密情報の暗号化
- ユーザー認証の確保
- 情報アクセスを追跡する監査統制の採用
- Google フォームと Google Workspaceをカバーする署名済みBAAの取得
これらのHIPAA対策が整えば、GoogleフォームはHIPAAの遵守に役立ちます。
Googleフォームは他のツールと同じくらい安全なのか?
Googleフォームのセキュリティレベルが、データ収集に使用する類似のアプリやソフトウェアと比較してどうなのかを理解することも重要です。
そこで、他の主要なフォーム作成ツールとGoogle フォームを比較できるように、安全性についての情報を以下の表にまとめました。
| Googleフォーム | Jotform | Microsoft Forms | SurveyMonkey | Typeform | |
|---|---|---|---|---|---|
| SSL暗号化 | ✓ | ✓ | ✓ | ✓ | ✓ |
| 安全なデータ保存 | ✓ | ✓ | ✓ | ✓ | ✓ |
| 二要素認証 | ✓ | ✓ | ✓ | ✓ | ✓ |
| アクセス制御 | ✓ | ✓ | ✓ | ✓ | ✓ |
| スパム対策 | ✓ | ✓ | X | ✓ | X |
| PCI DSS認証 | ✓ | ✓ | ✓ | ✓ | X |
| GDPR対応 | ✓ | ✓ | ✓ | ✓ | ✓ |
| HIPAA遵守に役立つ機能 | ✓ | ✓ | ✓ | ✓ | ✓ |
Googleはすべての項目を満たしていますが、JotformやSurveyMonkey のような他のアンケート作成ツールも同様に、すべての項目をカバーしています。Microsoft FormsやTypeformも、セキュリティ、プライバシー、コンプライアンスにおいて遅れをとっていません。
「Googleフォームは、基本的なセキュリティ機能という点では多くの競合他社と同等です」と、Prakash氏は言います。「しかし、専門的な調査ツールやエンタープライズグレードのフォームツールは、データ保存オプション、きめ細かなアクセス制御、業界固有のコンプライアンス認証など、高度なセキュリティ機能を提供している場合があります。ですから、実行するタスクに適したセキュリティとコンプライアンスのニーズに基づいて、各ツールを評価することが重要です。」
Googleフォームでデータを安全に保つ方法とは?
データのセキュリティ対策はソフトウェア業者だけが負うものではありません。Googleフォームで機密情報を収集したり、収集した情報が適切な人の手に渡るようにしたい場合には、自分でもデータを保護するために実行できる戦略があります。
1.協力で個性的なパスワードの使用
これはデータセキュリティ対策の基礎のように思えるかもしれませんが、その重要性は何度強調してもしすぎることはないでしょう。Googleフォームへのアクセスに使用するGoogleアカウントのパスワードは、コンテンツを保護するための第一の防御線です。パスワードがハッキングされやすいものだと、誰かがアプリ内のすべてのコンテンツにアクセスできてしまいます。
パスワードは、以下のすべてを含むものを作成しましょう:
- 大文字と小文字の両方
- 少なくとも1つの数字
- 少なくとも1つの特殊文字
生年月日や名前など、推測されやすい内容を含むパスワードは使わないようにしましょう。また、数ヶ月に一度は必ず新しいパスワードを作成し、サービスやアプリ間で同じパスワードを使い回さないようにしてください。この習慣は、Googleフォームのデータセキュリティ強化に役立ちます。
2.二段階認証を導入
二段階認証は、Googleフォームのセキュリティ対策をさらに強化する、もうひとつの素晴らしい方法です。自分のGoogleフォームを見るためには、パスワードと特別なGoogle認証コードのような2種類のIDを提供する必要があります。この2種類の本人確認ができない人は、あなたのGoogleフォームを見ることができません。
Google フォームで二段階認証を有効にするには、ナビゲーションパネルで「セキュリティ」オプションを選択します。「Googleにログインする方法」で、「2段階認証プロセス」を選択し「開始」をクリックします。この機能を有効にするには、ここから始まる一連の手順を完了する必要があります。この機能を有効にすると、Googleから2段階認証プロセスを完了するよう求められます。
3.パスワードマネージャーの使用
パスワードマネージャーとは、すべてのアプリケーションのパスワードを作成、保存、管理できるソフトウェアツールのことです。さまざまな方法でパスワードを保護することで、データのセキュリティを高めることができます。例えば、多くのパスワードマネージャーは、推測が困難な、長くランダムで複雑なパスワードを作成します。
パスワードマネージャーはパスワードも保存してくれるので、一つ一つのパスワードを覚えておく必要はありません。ウェブブラウザでパスワードマネージャーを有効にしておけば、さまざまなログイン画面で正しいパスワードを自動的に入力してくれます。
パスワードマネージャーには、LastPass、Bitwarden、1Password、Dashlaneなど多くの選択肢があります。無料プランがあるものもあれば、段階的に有料プランが用意されているものもあります。使用するパスワードマネージャーを選ぶ前に、各パスワードマネージャーが提供するセキュリティ機能(暗号化、二要素認証、生体認証、顔認識など)を必ず調べておきましょう。
4.安全なネットワークの使用
接続するネットワークインフラの種類(ワイヤレスか有線か)にかかわらず、そのネットワークがデータへの不正アクセスを防ぐために、何重ものセキュリティを備えていることを確認しましょう。安全なネットワークには、ファイアウォール、パスワード保護、データ暗号化、アンチウイルス・ソフトウェア、その他多くのセキュリティ対策が施されています。
これは自宅やオフィス以外の場所でGoogleフォームを使っている場合にも当てはまります。例えば、共有のワークスペースや図書館のネットワークに接続している場合、データを公開する前にそのネットワークの安全性を確認してください。
共有ネットワークにパスワードによるアクセス制限などの基本的なセキュリティ保護がない場合は、データを安全に保護するためにも、そのネットワーク経由でのGoogleフォームの利用は避けた方がよいでしょう。
5.Googleフォーム記入時は注意を払う
ハッカーはGoogleフォームを使った巧妙なフィッシング詐欺を行い、ログイン情報、パスワード、個人識別情報などの重要な情報を無防備なユーザーから入手しています。
Googleフォームで機密情報の入力を求められたら、詐欺の可能性がないかを確認しましょう。例えば、メールがGoogleの正規アカウントから送信されているかどうかを確かめてください。情報提供の依頼は、本当にあなたの知り合いからのものでしょうか?こうした情報提供の依頼が来ることを事前に知っていたでしょうか?
これらの質問に対する回答が「いいえ」の場合は、そのフォームへの記入には慎重になりましょう。情報提供の依頼が正当なものであるかどうかを確認する簡単な方法は、電話やテキストなど別の方法で送信元に連絡を取り、送信元が本当にその依頼を送ってきたかどうかを確認することです。
Googleフォームを用いた情報提供の依頼がフィッシングの可能性がある場合、Googleに報告することができます。すべてのフォーム受信メールに、「不正行為を報告」というオプションがあります。それをクリックして指示に従ってください。また、お使いのメールプロバイダーでそのメールをスパムとしてマークし、削除することもできます。
6.Googleフォームへのアクセス制限
Google フォームを受信者と共有する場合、フォームを閲覧または操作できるユーザーを制限することで、データをより安全に保護することができます。この方法の1 つは、フォームに入力する際にGoogleアカウントにログインするようユーザーに求めることです。こうすれば、回答者を常に確認できるようになります。また、フォームにアクセスする前に各ユーザーにパスワードを要求することもできます。
Googleフォームにはフォームを表示するためにパスワードを要求するオプションは組み込まれていませんが、簡単な回避策があります。フォームを2つのセクションに分割し、応答を検証する機能を使用することで、パスワードを要求できるのです。この方法では、フォームの最初の質問でパスワードを尋ね、その答えがフォームに設定したパスワードと一致しなければなりません。
ユーザーがそのパスワードを入力すると、Googleは応答を検証する機能を使ってそのパスワードを検証し、フォームの2番目、および残りの質問へのアクセスを許可します。
これらのデータセキュリティ対策はGoogle フォームはもちろん、他のデータ収集ツールでもその多くの方法が使えます。データセキュリティは継続的な課題です。情報が危険にさらされないよう、セキュリティ対策を継続的に更新しなければなりません。
さらに、常に複数のセキュリティ層を用いることも重要です。そうすることで、1つのセキュリティ方法が危険にさらされたとしても、他の層がデータを安全に保ってくれます。
JotformがGoogleフォームの優れた代替ツールである理由
個人を特定できる情報、個人健康情報、クレジットカード情報、その他どのような種類の情報をフォームから収集するにしても、セキュリティについて懸念するのは当然のことです。誰しも、自分の組織が次のデータ侵害に関するニュースで統計に含まれてしまうことは避けたいでしょう。
しかし、フォームデータの収集において重要な基準は、セキュリティだけではありません。最も便利なフォーム作成ツールには、データ収集を簡素化し、データの保存、管理、分析を支援する様々な機能を備わっています。
JotformはGoogleフォームと同レベルのセキュリティを提供し、さらに多くの機能を備えているため、Googleフォームの代替手段として最適です。Jotformをご使用いただけば、安全にデータを収集できるだけではなく、以下のようなことも可能です。
- Jotformテーブルを使ったデータ管理と分析
- Jotformレポートビルダーでデータからレポートを作成
- Jotform Approvalsで自動化されたワークフローを確立
- Jotform Signで電子サインを収集
- Jotformアプリでデータ収集モバイルアプリを作成
無料でお試しください!
JotformによるGoogle フォームに関する詳細ガイドもぜひご覧ください。
コメントの送信: