タスク管理「Trello」、公開範囲の設定ミスで名前や住所が筒抜けに--運営元が注意喚起

　タスク管理ツール「Trello」を利用しているユーザーの公開範囲の設定ミスにより、個人情報や業務内容といった情報が閲覧できる状態になっているとして、運営元である豪アトラシアンの日本法人が注意喚起している。

Trelloの公式ブログに掲載されたアナウンス

　これは、Trelloを導入している企業によってアップロードされた公開を想定していない個人情報や業務活動といった情報が、検索エンジンを通して外部から閲覧できる状態になっていたというもの。巨大掲示板やSNSを中心に閲覧できることが広まった結果、6日のTwitterには、Trelloに関連するワードが複数回ランクインした。

　第三者から閲覧できる情報は、例えば、採用管理のボード（タスクの進捗状況を管理するスペース）の場合、応募者の名前、住所といったプロフィールに加え、採用可否などの情報にアクセスできた企業があったほか、営業の進捗状況、案件管理といった業務活動についても検索すると複数ヒットしてしまう。Twitter上には、顧客データとして免許証やパスポートの画像が閲覧できたという声もある。

　さらに、“筒抜け”になっているのは企業だけでなく、個人が作成したと思われるプライベートなボードも、公開設定になっているものは検索エンジンからアクセスできてしまう。こうしたことから、アトラシアンだけでなく、内閣官房内閣サイバーセキュリティセンター（NISC）も注意喚起を呼びかける事態になっている。

Trelloの初期設定は「非公開」

　こうしたトラブルはボードの公開範囲を「公開」に設定してしまったことに起因する。アトラシアンによると、Trelloの初期設定ではボードは非公開になっており、ユーザーの任意でボードを非公開・チーム・公開に設定可能。公開する際は、ユーザーの意図を確認するスキームも実装されているという。このため、多くのTrelloユーザーのボードが公開状態になっているわけではなさそうだ。

　アトラシアンでは、公開範囲の設定方法について案内するとともに、問題が発生しているボードのプライバシー設定を確認するなど、ユーザーサポートに注力するとしている。