障害報告書は、システム障害の原因や影響範囲、復旧手順などを記録した重要な文書です。多くの企業ではGoogle Driveを利用して障害報告書を作成・管理していますが、取引先や顧客との共有が必要になる場面もあります。ただし、障害報告書には自社の内部情報や顧客データ、システムの脆弱性などが含まれる可能性が高く、不用意に共有すると情報漏洩につながります。この記事では、障害報告書をGoogle Driveで社外共有してよいか判断するための基準と具体的な手順を解説します。
【要点】この記事で確認すること
- 最初に見る場所: 障害報告書に含まれる情報の機密性。顧客名やシステム内部構成、脆弱性情報が含まれていないかを確認します。
- 切り分けの軸: 共有相手の属性(顧客・ベンダー・一般公開)と共有目的(確認依頼・報告・公開)によって可否が変わります。
- 注意点: 会社の情報管理ポリシーやGoogle Workspaceの外部共有設定を事前に確認し、管理者の許可なく社外共有を行わないでください。
ADVERTISEMENT
目次
障害報告書を社外共有する際に考慮すべきポイント
障害報告書の社外共有を検討する前に、次の3つのポイントを整理する必要があります。これらが曖昧なまま共有を進めると、情報漏洩やコンプライアンス違反の原因になります。
共有目的を明確にする
まず、なぜ社外と共有する必要があるのかを明確にしましょう。目的は大きく「顧客への報告」「ベンダーへの調査依頼」「社外向けの事例公開」の3つに分類されます。顧客への報告であれば、当該顧客に関係する情報のみを抽出し、他の顧客の情報や内部の詳細な分析データは除外する必要があります。ベンダーへの調査依頼であれば、システムの内部構成やバージョン情報など、セキュリティに関わる詳細を含む場合もあるため、秘密保持契約(NDA)の有無を確認してください。事例公開の場合は、具体的な顧客名やシステム情報をすべて匿名化し、一般の参考として問題ない内容にする必要があります。
含まれる情報の機密性を評価する
障害報告書には、以下のような機密情報が含まれることがあります。これらが含まれている場合は、社外共有前にマスクまたは削除する措置が必要です。
- 顧客名、連絡先、契約情報
- システムのIPアドレス、ホスト名、ネットワーク構成図
- ソフトウェアのバージョンやパッチ情報(未適用の脆弱性を示す可能性)
- 社内の連絡フローやエスカレーション先
- 障害の根本原因に関する詳細な技術分析(特に未知の脆弱性)
機密情報の有無を確認する方法
障害報告書を社外共有する前に、ファイルに含まれる機密情報をチェックする方法を紹介します。手作業での確認は漏れが発生しやすいため、可能な範囲でツールやテンプレートを活用しましょう。
障害報告書のテンプレートを活用する
社内で統一された障害報告書テンプレートを用意し、機密情報を記載するセクションと公開可能なセクションを分けておくと便利です。たとえば、社外向けサマリーページと社内向け詳細ページを分ける、あるいは「社外秘」シールを該当部分に貼るなど、視覚的に区別できるようにします。Google Driveでは、ドキュメント内に表や枠線を使って区切ることも可能です。
Google Driveの「機密情報の確認」機能を使う
Google Workspace Business Plus以上の場合、Driveの「機密情報の確認」機能(データ損失防止、DLP)が利用できます。管理者が設定しているポリシーによって、クレジットカード番号や個人情報が含まれるファイルを自動検出し、共有を制限できます。ただし、この機能はあくまで補助的なものであり、障害報告書特有の機密情報をすべて検出できるわけではありません。最終的には人の目による確認が必須です。
Google Driveの共有設定と会社ポリシーの確認手順
実際に社外共有を行う前に、Google Driveの共有設定と会社のポリシーを確認する手順を説明します。以下の手順は、管理者権限を持つユーザーまたは事前に許可を得たユーザーが実行することを想定しています。
- 組織の管理コンソールで外部共有ポリシーを確認する
Google Workspace管理者は、管理コンソールで「共有」の外部共有設定を「許可」または「制限」に設定できます。自分が社外共有を行う権限を持っているか、事前に管理者に問い合わせて確認してください。特に、共有先のドメインが組織の許可リストに登録されているかも重要です。 - 対象ファイルの共有設定を開く
Driveで該当の障害報告書ファイルを右クリックし、「共有」を選択します。一般公開ではなく「特定のユーザーと共有」を選ぶことで、リンクを知っている全員ではなく、指定したユーザーだけがアクセスできる状態にします。 - 共有範囲を「制限付き」に設定する
画面上部の「一般アクセス」を「制限付き」に変更します。これにより、明示的に追加したユーザーのみがアクセスできます。万が一リンクが漏洩しても、権限のないユーザーはアクセスできません。 - 共有リンクの有効期限とアクセス権を設定する
共有相手を追加したら、そのユーザーの権限を「閲覧者」または「コメント可」に設定します。編集権限は極力与えないでください。また、必要に応じて「リンクの有効期限」を設定できます(Google Workspaceの一部エディションのみ)。期限を設定すれば、一定期間後に自動的にアクセスが無効になります。 - ダウンロード・印刷を禁止する
Google Driveの共有設定には、閲覧者がファイルをダウンロード・印刷・コピーすることを禁止するオプションがあります。社外共有の場合は、このオプションを有効にして情報の拡散を防ぎましょう。 - 共有前にファイル内の機密情報をマスクする
障害報告書内に上記の機密情報が含まれている場合は、修正または削除します。たとえば、顧客名を「顧客A」に置換したり、IPアドレスを「xxx.xxx.xxx.xxx」にマスクしたりします。完了したら別名で保存し、元のファイルとは別に管理します。
状況別の共有可否判断表
障害報告書を共有する相手と目的に応じて、以下の表を参考に判断してください。各状況で推奨される設定も併記します。
| 共有対象 | 共有目的 | 共有可否 | 推奨設定 |
|---|---|---|---|
| 同一プロジェクトの社内メンバー | 障害の共有・対策検討 | 可(通常は社内共有のみ) | 社内リンク共有(組織内のみ) |
| 顧客(サービス利用企業) | 障害報告・状況説明 | 条件付き可 | 相手のドメイン指定、閲覧のみ、ダウンロード禁止 |
| ベンダー(保守会社など) | 障害調査・解析依頼 | 条件付き可(NDA必須) | 特定ユーザー指定、有効期限設定、編集権限なし |
| 一般公開(ブログや事例集) | ナレッジ共有・広報 | 条件付き可(要匿名化) | リンクを知っている全員、閲覧のみ、ただし機密情報は完全除去 |
失敗パターンとその対策
障害報告書の共有でよくある失敗事例と、その対策を紹介します。自分やチームが同じ過ちを犯さないように注意してください。
失敗パターン1: 共有範囲を「組織全体」にしてしまった
社内の特定メンバーだけに共有するつもりが、誤って「組織内の全員がリンクを知っていればアクセス可」に設定してしまうケースです。原因は、共有ダイアログの「一般アクセス」を「制限付き」に設定し忘れたことです。対策として、ファイルを共有する前に必ず「一般アクセス:制限付き」を確認する習慣をつけましょう。また、組織全体で外部共有ポリシーを厳格に定め、ユーザーが自由に変更できないように管理者が制限することも有効です。
失敗パターン2: 機密情報をそのまま残したまま顧客へ送付
障害報告書に別の顧客の情報や内部の脆弱性データが含まれていることに気付かず、そのまま共有リンクを送ってしまった事例です。これを防ぐには、共有前に必ずドキュメント全体をレビューし、機密情報のチェックリストと照らし合わせることが重要です。さらに、社外向けテンプレートを別途用意しておき、社内向けとファイルを分ける運用をおすすめします。
失敗パターン3: 共有リンクの有効期限を設定せず、無期限でアクセス可能に
障害報告書を一時的に共有したつもりが、有効期限を設定しなかったため、共有相手がいつまでもアクセスできてしまうケースです。対策として、共有時に「リンクの有効期限」を設定するか、共有終了後は手動でアクセス権を削除するようにします。可能であれば、Google Workspaceの監査ログを定期的に確認し、不要な共有がないかチェックすることも有効です。
よくある質問
障害報告書の社外共有に関して、よく寄せられる質問と回答をまとめました。
Q1. 顧客から障害報告書を求められた場合、必ず共有しなければなりませんか?
契約内容によります。SLA(サービスレベルアグリーメント)で障害報告書の提出義務が定められている場合は提出が必要です。ただし、その場合も情報を必要最小限に絞り、機密情報をマスクした上で共有するようにしてください。
Q2. 共有した障害報告書を相手が社内で拡散するリスクはどう防げますか?
Google Driveの共有設定で「ダウンロード・印刷・コピーを禁止」を有効にすると、相手がファイルをローカルに保存することを防げます。ただし、スクリーンショットを撮られるリスクは残るため、重要な情報はあらかじめマスクしておくことが賢明です。また、共有前に秘密保持契約を結んでおくことも有効です。
Q3. 社外共有を管理者が禁止している場合、障害報告書はどうやって顧客に渡せばよいですか?
管理者が外部共有を禁止している場合、Drive経由の共有はできません。代替手段として、ファイルをパスワード付きで圧縮し、メールの添付ファイルで送る方法が考えられます。ただし、送信時には暗号化やパスワードの別送など、セキュリティに配慮してください。また、契約上どうしてもDrive共有が必要な場合は、管理者に例外申請を行う必要があります。
まとめ
障害報告書の社外共有は、情報の機密性と共有目的を明確にした上で、適切な設定と確認を行うことが不可欠です。最初にファイル内容をレビューし、不要な機密情報を除去した上で、Google Driveの共有設定でアクセス範囲を制限し、有効期限やダウンロード禁止などの措置を講じてください。また、会社の情報管理ポリシーや管理者の設定を無視して共有を行うと、コンプライアンス違反になる恐れがあります。万が一判断に迷う場合は、必ず上司や情報管理部門に確認することをおすすめします。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Google Driveの人気記事ランキング
- 【SharePoint】SharePointで「同期」ボタンが表示されない時の確認手順
- 【PDF】スマホからPCへPDFをケーブル無しで送る!クラウド(Googleドライブ/iCloud)同期の基本
- 【SharePoint】ドキュメントライブラリを開けない時のアクセス許可と保存場所チェック
- 【Googleスプレッドシート】テンプレートギャラリーを使い倒すコツ!業務別の活用例
- 【Googleスプレッドシート】Apps Scriptが動かない・実行されない時のチェックポイント
- 【Googleスプレッドシート】Googleフォームの回答エクスポート!CSVダウンロードの操作
- 【Googleドキュメント】WordファイルをDocs形式に変換!互換性と書式維持
- 【Googleアカウント】会社アカウントと個人アカウントを分けたい時の運用方法
- 【Googleドキュメント】AndroidからWordファイル開く!アプリ選択の指定
- 【OneDrive】OneDriveで同期済みなのにスマホから開けない時に見直す保存場所と同期設定