Googleドライブの共有設定は、ひとつの誤設定で機密情報がインターネット上に流出する重大リスクを抱えています。2026年時点では、クラウド設定不備による情報漏洩インシデントが国内でも年々増加しており、IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2025」でも「クラウドサービスからの情報漏えい」が組織向け脅威の上位に位置付けられています。
この記事のポイント
- Googleドライブの情報漏洩は「設定ミス」「退職者の権限残存」「社内過剰共有」「外部攻撃」「アカウント乗っ取り」の5パターンに集約される
- 無料版ドライブでは監査ログが取得できず、事後追跡が不可能になる
- AI機能Geminiを導入する企業ほど、共有設定の見直しが生命線になる
- 記事末尾に個人・管理者向けの10項目チェックリストとFAQを掲載
Google Workspaceは場所を選ばず共同作業ができる便利なツールですが、その手軽さゆえに設定を誤解したまま使ってしまい、意図せず情報漏洩のリスクを高めているケースが少なくありません。本記事では、2026年時点の情報に基づき、多くの企業で見落とされがちな5つの危険パターンと、それぞれの具体的な対策を管理者視点で詳しく解説します。
Googleドライブの共有設定の種類と基礎知識
対策の前に、まずは共有設定の選択肢を正確に理解しておきましょう。Googleドライブの共有範囲は、大きく分けて4つに分類されます。
| 共有範囲 | アクセス可能な対象 | 主なリスク |
|---|---|---|
| 制限付き(特定ユーザーのみ) | 招待したメールアドレスのみ | 最も安全だが、招待先の権限設定に注意 |
| リンクを知っている全員 | URLを知る誰でも(Googleアカウント不要の場合もあり) | URL流出で外部拡散、SNS転送による二次漏洩 |
| 組織内共有(ドメイン内全員) | 同一ドメインのアカウント保有者全員 | アルバイト・業務委託にも情報が露出 |
| ウェブで一般公開 | 誰でもアクセス可、Google検索にインデックスされる可能性 | 検索エンジン経由での大規模漏洩 |
特に盲点となるのが、最後の「ウェブで一般公開」です。この設定になったファイルは、外部クローラーにインデックスされて検索結果に表示される可能性があります。また、Googleドライブの仕様として無料版では「誰がいつファイルを閲覧したか」の履歴を取得できないため、漏洩が起きても追跡ができない点も押さえておきましょう。
【パターン1】「リンクを知っている全員」が編集者に!最も危険な共有設定
Googleドライブで最も警戒すべき設定が、「リンクを知っている全員」に「編集者」権限を与えてしまうことです。利便性が高いため安易に使われがちですが、これは社内の機密情報をインターネットの海に放り出すようなもので、極めて危険な状態と言えます。
なぜこの設定が危険なのか
この設定の最大のリスクは、Googleアカウントを持っていない人も含め、文字通り「リンクURLを知っている誰もが」ファイルにアクセスし、内容を書き換えたり削除したりできてしまう点にあります。見積書や顧客リストのURLが、メールの誤送信やチャット転送、SNS共有によって外部に流出すれば、悪意のある第三者が価格を改ざんしたり、顧客情報を抜き取ったり、ファイルを完全削除することも可能になります。一度流出したURLを完全にコントロールすることは不可能で、気づいた時には手遅れというケースも珍しくありません。
意図せず「公開」状態になる典型的なケース
「そんな危険な設定はしない」と思っていても、実際には次のような経緯で公開状態に陥ります。
- 急いでいる時に「とりあえず共有」しようと、一番手軽な「リンクを知っている全員」を選んでしまう
- 一時的に外部の協力会社とファイルを共有し、設定の解除を忘れて放置する「野良リンク」問題
- 社外向け提案資料のテンプレートをコピーした際、元ファイルの共有設定を引き継いでしまう
- スプレッドシートに埋め込んだ画像や参照ファイルが、本体とは別の共有範囲で公開されている
今すぐできる確認と修正手順
危険な設定を検出するには、Googleドライブの検索ボックスにis:unorganized owner:meと入力してエンターキーを押すと、自分がオーナーで特定フォルダに整理されていないファイルを一覧化できます。さらに、検索オプションで「共有相手」を「リンクを知っているユーザー」に絞ると、危険な設定のファイルを洗い出せます。
危険なファイルが見つかったら、次の手順で共有権限を修正しましょう。
- 対象ファイルを開き、画面右上の「共有」ボタンをクリック
- 共有ダイアログ下部の「リンクのアクセス」欄を確認
- 「リンクを知っている全員」と表示されていれば、プルダウンから「制限付き」に変更
- 必要な人にのみ、メールアドレスまたはGoogleグループを指定して再共有
- 権限は原則「閲覧者」とし、編集が必須の場合のみ「編集者」を付与
さらに根本的な対策として、Business Standard以上のプランで利用できる「共有ドライブ」の活用を強く推奨します。共有ドライブ内のファイルは個人ではなく組織に帰属するため、従業員が退職してもファイルが失われません。フォルダ単位でアクセス権を厳密に管理でき、部署やプロジェクト単位での安全な情報共有基盤を構築できます。
【パターン2】退職者のアカウントが野放し?アクセス権が残存するリスク
従業員の退職はどの企業でも起こりうることですが、退職者のアカウント処理を誤ると深刻な情報漏洩リスクを残してしまいます。単にアカウントを停止するだけでは、セキュリティ対策として不十分なケースが多いのです。
退職後もファイルにアクセスできるケース
退職者のGoogle Workspaceアカウントを停止すれば、そのアカウントでのアクセスは当然できなくなります。しかし、問題は「その人が在籍中に、誰とどんなファイルを共有していたか」です。退職者がオーナーだったファイルを自身の個人Gmailアカウントや社外の第三者と共有していた場合、アカウントを停止しても共有設定は残ります。悪意のある元従業員が退職後に個人アカウントから機密情報へアクセスし続けるリスクが現実に存在します。
見落としがちな「個人アカウントへの共有」とシャドーIT
特に注意が必要なのが、従業員が業務効率化のために会社のファイルを自分の個人Gmailアドレスに共有してしまうケースです。「自宅で続きをやりたい」「私用スマホでも確認したい」という動機で行われるこの行為は、管理者の目が届かないシャドーITの典型です。
組織としては、Google Workspace管理コンソールの「アプリ>Google Workspace>ドライブとドキュメント>共有設定」から、外部共有自体をブロックする、または信頼できるドメインのリストを作成して許可ドメイン以外への共有を禁止する設定を行うのが有効です。
管理者向け・退職者対応のベストプラクティス
- アカウントの一時停止とパスワード再設定:まずは本人がアクセスできないようにします
- 共有ファイルの棚卸し:管理コンソールの監査ログで、退職予定者が過去30日間に共有したファイルを洗い出します
- データのバックアップと所有権の移管:管理コンソールの「データ移行」ツールで、退職者がオーナーのファイルやデータを後任者や管理者のアカウントに移管
- 外部共有リンクの解除:新オーナー側で不要な外部共有を停止
- アカウントの削除:データ移行完了後にアカウントを削除
さらに高度な対策として、Business Plus以上のプランで利用できる「Google Vault」の導入が有効です。Vaultを使えば、退職者のアカウント削除後もそのユーザーが送受信したメールやファイルを、設定した期間(例: 7年間)安全に保持し、必要に応じて検索・書き出すことができます。コンプライアンス要件への対応や、万が一の際の証拠保全に欠かせない機能です。
【パターン3】便利だけど穴だらけ?「ドメイン内の全員」への共有
「社内限定だから安全だろう」という思い込みから、「ドメイン内の全員」設定でファイルを共有していないでしょうか。全社通達には便利ですが、使い方を間違えると内部からの情報漏洩リスクを高める原因になります。
「社内なら安全」という思い込みの罠
企業内には、役員しか閲覧すべきでない経営情報、人事部の担当者だけが知るべき評価データ、経理部が扱う財務情報など、アクセスを厳密に制限すべき情報が多数存在します。これらを「ドメイン内の全員」に共有すると、正社員だけでなくアルバイト・インターン・業務委託スタッフの目にも触れます。内部不正の動機になったり、操作ミスによる意図しない情報拡散や改ざんに繋がるリスクをはらんでいます。
部署やプロジェクト単位での共有が原則
ファイル共有の基本は「知る必要のある人にだけ、必要最小限の権限で」共有することです。これを実現する最も効果的な方法がGoogleグループの活用です。「営業部」「開発チーム」「◯◯プロジェクト」といった単位でGoogleグループを作成し、ファイルの共有先にそのグループを指定すれば、メンバーの追加や削除はグループ管理画面で一元化できます。人の異動が多い組織ほど、グループ単位での権限管理が効果を発揮します。
監査ログで不審なアクセスをチェックする手順
「誰が、いつ、どのファイルにアクセスしたか」を定期的に確認することも、内部統制の観点から重要です。Google Workspaceの管理コンソールには監査ログ機能があり、次の手順でドライブのアクセス履歴を確認できます。
- 管理コンソール(admin.google.com)にログイン
- 左メニューから「レポート」→「監査と調査」→「ドライブのログイベント」を選択
- フィルタで「イベント」「ユーザー」「ファイル名」などを指定して検索
- 「ルール」メニューから「レポートルール」を作成し、特定条件(例: 外部共有が発生した場合)でメール通知をトリガー設定
なお、無料版のGoogleドライブでは監査ログは取得できません。事後追跡ができないという意味で、企業利用ではGoogle Workspaceのいずれかのプランが事実上必須と考えてください。
より高度なセキュリティとコンプライアンスが求められる場合は、Enterpriseプランで利用できるDLP(データ損失防止)機能が役立ちます。DLPを設定すれば、ファイルの内容をスキャンし、マイナンバーやクレジットカード番号といった機密情報が含まれる場合に自動的に共有をブロックしたり、管理者にアラート通知したりできます。
【パターン4】フィッシング攻撃・マルウェア感染による外部脅威
ここまでは組織内の設定に起因するリスクでしたが、外部からの攻撃も無視できません。特にGoogleドライブの共有機能そのものを悪用した攻撃が増えています。
共有リンクを装ったフィッシング攻撃
攻撃者は「〇〇様、資料を共有しました」という正規のGoogleドライブ共有通知にそっくりのメールを送りつけ、偽のGoogleログインページへ誘導します。ログイン情報を入力させてアカウントを乗っ取り、そこから社内の共有ファイルに横展開するという手口です。
対策:リンクをクリックする前にマウスオーバーで実際のURLを確認し、drive.google.comまたはdocs.google.com以外のドメインであれば開かない習慣を徹底しましょう。Google Workspace管理者はセーフブラウジングを組織全体で有効化し、既知の悪質URLへのアクセスをブロックできます。
共有ファイル経由のマルウェア拡散
Googleドキュメントやスプレッドシート自体にウイルスは仕込めませんが、ドライブにアップロードされたOffice形式ファイル(xlsx、docx等)にマクロが埋め込まれていた場合、ダウンロードして開いた端末で実行されるリスクがあります。
対策:社内ポリシーとしてOfficeファイルのマクロ実行を原則禁止とし、どうしても必要な場合は信頼できる送信元のみに制限します。Googleドライブの仕様として、アップロード時にウイルススキャンが自動実行されますが、100MB超のファイルはスキャン対象外となるため、大容量ファイルの共有時は特に注意が必要です。
【パターン5】アカウント乗っ取りとアクセス権の悪用
パスワードが弱い、使い回しをしている、2段階認証を設定していない。こうしたアカウントが1つでも乗っ取られると、そのユーザーがアクセスできるすべての共有ファイルが攻撃者の手に渡ります。
2段階認証の設定手順
- myaccount.google.comにログイン
- 左メニューから「セキュリティ」を選択
- 「Googleへのログイン」セクションで「2段階認証プロセス」を選択
- 電話番号またはGoogle認証システムアプリを登録
- バックアップコードを印刷・保管
管理者は、管理コンソール>「セキュリティ」>「認証」>「2段階認証プロセス」から、組織全体または特定の組織部門で2段階認証の適用を必須化できます。重要データを扱う部門には物理セキュリティキーの併用も推奨されます。
公共Wi-Fi利用時の注意
外出先やカフェの無料Wi-Fiでログインすると、通信を傍受されてセッションを盗まれるリスクがあります。業務での利用時は、会社支給のモバイルルーター、またはVPN接続を経由するルールを徹底しましょう。
無料版Googleドライブ vs Google Workspaceのセキュリティ比較
企業で利用する場合、無料版(個人Gmailアカウントで使えるGoogleドライブ)とGoogle Workspaceのどちらを選ぶかで、守れるセキュリティレベルは大きく異なります。
| 機能 | 無料版ドライブ | Business Starter | Business Standard | Business Plus | Enterprise |
|---|---|---|---|---|---|
| 外部共有の制限設定 | × | ○ | ○ | ○ | ○ |
| 監査ログ | × | ○(一部) | ○ | ○ | ○(詳細) |
| 2段階認証の強制 | × | ○ | ○ | ○ | ○ |
| 共有ドライブ | × | × | ○ | ○ | ○ |
| Google Vault(情報保全) | × | × | × | ○ | ○ |
| DLP(データ損失防止) | × | × | × | × | ○ |
| Geminiアクセス制御 | × | ○ | ○ | ○ | ○ |
無料版では監査ログが取得できず、情報漏洩が発生しても事後追跡が不可能です。法人利用では最低でもBusiness Starter、可能であれば監査ログとVaultが使えるBusiness Plus以上を選ぶのが現実的な選択肢となります。
導入コストを抑えたい企業は、Google Workspace プロモーションコードによる15%割引の入手方法も合わせて確認しておくと初年度費用を大きく削減できます。
【独自視点】AI時代だからこそ見直したい、Geminiとファイル管理
2026年時点のGoogle Workspaceには、強力なAIアシスタント「Gemini」が統合されており、生産性を飛躍的に向上させる可能性を秘めています。しかし、AI活用はファイル管理の重要性をこれまで以上に高めます。
Geminiはあなたのデータをどう扱うのか
前提として、Googleは公式ドキュメントで「お客様のGoogle Workspaceのデータが、Geminiのモデルトレーニングに許可なく使用されることはない」と明言しています。自社の機密情報が他企業向けのAI機能に流用されることはありません。
しかし、重要なのはAIが参照できるデータの範囲です。Geminiは、あなたがアクセス権を持つファイルやメールの内容をもとに応答を生成します。もしアクセス権設定が甘く、本来見るべきでない機密情報にアクセスできる状態になっていれば、Geminiもその情報を参照し、要約や分析の結果としてユーザーに提示してしまう可能性があるのです。
管理コンソールからGeminiのアクセスを制御する
Gemini for Workspaceのアクセス範囲は、管理コンソールからある程度制御できます。
- 管理コンソール>「生成AI」>「Gemini for Google Workspace」を開く
- 組織部門単位でGeminiの有効化/無効化を設定
- 「データソース」設定で、参照できるアプリ(ドライブ、Gmail、カレンダー等)を個別に制御
- 機密性の高い共有ドライブには、Geminiのインデックス対象外とするラベルを付与
AI活用とセキュリティの両立
「第3四半期の営業報告書を要約して」とGeminiに依頼すれば、瞬時に要点が得られます。便利な反面、大元の営業報告書のアクセス権が適切に管理されていなければ、営業担当者以外も同じように要約を作成できてしまいます。AIの利便性を享受すればするほど、その土台となるデータのアクセス権管理が企業セキュリティの生命線となります。AIに何を読み込ませ、何を扱わせるのか。その大前提となる「情報の壁」を正しく構築することこそ、AI時代の情報管理担当者に求められる役割です。
情報漏洩が発生した場合の法的・金銭的リスクと初動対応
万が一、Googleドライブからの情報漏洩が発生した場合、企業は法的・金銭的に重大な責任を負います。2022年4月に施行された改正個人情報保護法により、個人の権利利益を害するおそれのある漏洩が発生した場合、個人情報保護委員会への報告は原則「速報は3〜5日以内、確報は30日以内(不正アクセス等は60日以内)」の義務があり、本人への通知も必要です。違反時には最大1億円の罰金が科される可能性があります。
情報漏洩発生時の初動対応チェックリスト
- 該当ファイルの共有を即時停止(0〜30分):共有設定を「制限付き」に戻し、既存の共有者を全員解除
- アクセスログの取得(30分〜2時間):管理コンソールの監査ログから、誰がいつアクセス・ダウンロードしたかを特定
- 影響範囲の特定(2〜24時間):漏洩したデータの種類・件数・対象者を洗い出す
- 個人情報保護委員会への速報(3〜5日以内):個人データの漏洩に該当する場合は報告フォームから速報を提出
- 当事者への通知と公表:漏洩対象者への連絡、必要に応じてプレスリリース
- 再発防止策の実施:共有ポリシーの見直し、従業員教育、監査ログアラートの設定
今すぐ確認すべきセキュリティチェックリスト
個人ユーザー向け(5項目)
- 自分が共有しているファイルの権限を月1回は棚卸ししている
- 「リンクを知っている全員」設定のファイルはゼロになっている
- 2段階認証を有効化している
- プロジェクト終了時や退職時に共有解除する習慣がある
- 公共Wi-Fi利用時はVPNまたはモバイルルーターを経由している
管理者向け(5項目)
- 年2回以上のアクセス権棚卸しをスケジュール化している
- 退職者アカウントの即時停止・データ移行フローを整備している
- 外部共有ポリシー(許可ドメインリスト等)を設定している
- 監査ログの定期確認とアラート設定を運用している
- Business Plus以上のプランでVaultを有効化している
なお、FC本部や多拠点展開企業で情報共有の統制にお悩みの方は、Google Workspaceで加盟店間の情報漏洩を防ぐ3つの管理設計も併せてご覧ください。より実務的な設計パターンを解説しています。
よくある質問(FAQ)
Q1. Googleドライブは情報漏洩しますか?
Googleドライブ自体のインフラは堅牢ですが、ユーザー側の共有設定ミスによる情報漏洩は実際に多数発生しています。特に「リンクを知っている全員」「ウェブで一般公開」の設定は、URLの流出やGoogle検索のインデックス対象になるリスクがあります。
Q2. Googleドライブの共有を安全にする方法は?
原則として、共有範囲は「制限付き」を基本とし、特定のメールアドレスまたはGoogleグループを指定して共有します。編集権限は最小限にとどめ、「閲覧者」を基本権限としましょう。共有ドライブを活用すれば、組織に帰属するファイル管理が実現できます。
Q3. 無料版と有料版(Google Workspace)でセキュリティはどう違いますか?
無料版では監査ログ・共有ドライブ・2段階認証の強制・Vault・DLPなど、企業向けセキュリティ機能がほぼ使えません。法人利用では最低でもBusiness Starter、機密情報を扱うならBusiness Plus以上が推奨されます。
Q4. Googleドライブで閲覧履歴は残りますか?
無料版では閲覧履歴は取得できません。Google Workspaceのいずれかのプランを契約している場合のみ、管理コンソールの監査ログで「誰が、いつ、どのファイルを閲覧・編集・共有したか」を確認できます。Business Standardではアクティビティダッシュボードで個別ファイルの閲覧者も確認可能です。
Q5. 退職した社員がGoogleドライブにアクセスできなくするには?
退職前にアカウントを一時停止し、監査ログから退職者の共有ファイルを棚卸ししたうえで、「データ移行」ツールでオーナー権限を後任者に移管します。その後、個人のGmailアドレスや社外への共有リンクを解除してからアカウントを削除することで、アクセス経路を完全に遮断できます。
まとめ:安全なファイル共有でGoogle Workspaceを最大限に活用しよう
本記事では、Googleドライブの共有に潜む情報漏洩リスクを5つのパターンに分けて解説しました。
- パターン1:「リンクを知っている全員」への共有
- パターン2:退職者のアクセス権残存
- パターン3:「ドメイン内の全員」への安易な共有
- パターン4:フィッシング攻撃・マルウェア感染
- パターン5:アカウント乗っ取りとアクセス権悪用
便利なファイル共有機能も、一歩間違えれば重大な情報漏洩事故に繋がります。「知らなかった」では済まされないのが企業のセキュリティです。まずは本記事のチェックリストを参考に、自社の共有設定を棚卸しするところから始めてみてください。
Google Workspaceのセキュリティをさらに強化しコスト効率も高めたい方は、Vaultや監査ログが使えるBusiness Plus以上のプランへのアップグレードが有効です。当サイトでは、Google Workspace 15%割引が受けられるプロモーションコードの入手方法を詳しく解説しています。セキュリティと生産性の両立を目指す方はぜひ合わせてご覧ください。