今話題のTrello(トレロ)とは?機能や利用方法、個人情報流出事件についても

今話題のTrello(トレロ)とは?機能や利用方法、個人情報流出事件についても

今、タスク管理ツール「Trello」がちょっとした話題となっています。
その内容は、2021年4月5日の深夜から翌朝にかけてユーザーの個人情報が流出してしまう事件が発生したというもの。

今回のこのニュースで初めてTrelloという名前を聞いたという方もいるかもしれませんので、まずこのTrelloがどういうツールなのか? そしてなぜ個人情報の流出が起きてしまったのか?
安全に利用する方法はあるのか? 等について解説していきたいと思います。

Advertisement

タスク管理ツール「Trello」について

Trelloは「トレロ」と読み、一言でいえばプロジェクトを円滑化・効率化するためのタスク管理ツールです。

大人数のチーム単位で取り組む大規模なプロジェクトになると、それに携わるスタッフの業務内容、つまりタスクの内容や進捗を逐一管理することが重要となります。
今誰が何をやっているのか、どこまで進んでいるのか、残りの作業は何か、手が空いている人はいないか……など、管理者だけでなく作業者一人ひとりも把握しておかなければなりません。

それの手助けとなるのが、今話題となっているTrelloと呼ばれるツールで、数あるタスク管理ツールの中でも特に広く普及しているサービスとなっています。

Trelloの基本的な機能

Trelloの機能は非常にシンプルで視覚的に分かりやすいのが特徴です。
タスクボードと呼ばれるボードに作業者や作業内容、期日等が書かれたカードを貼り付けるという形式になっており、プロジェクトに関わるメンバーをタスクチームに加えることでボードの内容をリアルタイムで共有することができます。

★Trelloのボード画面の見本
Trelloのボード画面(見本)

上記画像のように、「ToDoリスト(やることリスト)」、「作業中タスク」「完了済みタスク」の3つにカテゴリ分けしてカードを設置したり更新したりすることができます。
また、それぞれのカテゴリの名称を変更したり新しいカテゴリを追加したり等、自由自在に自分なりの分かりやすい表記にすることも可能です。

Trelloのタスク詳細画面
ボードに貼り付けられたカードをクリック(タップ)すると、上記画像のようにタスクの詳細画面が表示されます。
ここに作業内容の詳細を記載したり、カラーラベルを貼ったり、コメントを書き込むこともできます。

どのような方法・ルーティーンでタスク管理するかは会社やプロジェクトチームによって異なるかと思いますが、自由度の高いTrelloでは最大の作業効率化が実現します。

Trelloの利用方法

Trelloは非常にシンプルかつ利便性の高い管理ツールですが、利用方法も至ってカンタン。

https://trello.com/ja
上記のURLにアクセスして、ページ中部にあるメールアドレスの入力欄に、ビジネスで使用するアドレスを入力して「アカウント作成」ボタンをクリックします。
すると下記のように氏名とパスワードを入力する欄が表示されますので、それぞれ入力して「サインアップ」をクリックすればOKです。

その後、入力したアドレス宛にTrelloから確認メールが届きますので、そのメール内にある「メールアドレスを認証」をクリックすることで、正式にアカウントの作成が完了となります。

Trelloで個人情報の流出事件が起こった原因とは?

さて、現在世間を賑わせているTrelloの個人情報流出事件についてですが、一体何が原因で起こったのでしょうか?

この件についてTrelloを運営するAtlassian(アトラシアン)社は、『ユーザーによって公開設定が「公開」に設定されていたことが原因』という声明を発表しました。

このTrelloにはボードに掲載された情報、つまりタスクカードの公開範囲を任意で設定する機能があります。
そして初期設定では「非公開」もしくは「チームにのみ公開」になっており、この設定を故意に操作しない限り少なくともプロジェクトメンバー以外の赤の他人に情報が漏れることはありません。

実際に筆者もテスト用アドレスでTrelloに登録し、サンプルのボードを作成してみたところ以下の画像のように、「チームのみ公開」となっておりました。
Trelloのボード画面(上部)

なお、該当の箇所をクリックすると、以下のように公開範囲を設定することができます。
ここで一番下の「公開」を選択してしまうと、世界中どこの誰でもボードの中身を閲覧することが可能になってしまいます。
Trelloの公開設定

このTrelloのタスク管理ツールはWEB上で稼働しているツールのため、公開設定にされたボードは検索エンジンにも引っかかる可能性があります。
(※このことはツール側でも、「公開」に設定する際に注意喚起の確認メッセージが表示されます)

つまり、今回のTrelloの個人情報流出事件は、運営側によるセキュリティシステムの不備ではなくユーザー側の人的ミスに起因するものだということです。
要するに運営会社AtlassianおよびTrelloに落ち度はありません……!

何故わざわざ「公開設定」をしてしまうのか?

投稿内容の公開設定はTrelloに限らず、例えばFacebookやTwitter等のSNSでも当たり前に搭載されている機能です。
もちろんSNSであれば世界中の人と交流することが目的になるので、公開に設定するのは当然といえば当然でしょう。

一方で、Trelloはプロジェクトのタスク管理に用いられるツールであるため、基本的には初期設定の「非公開」あるいは「チームにのみ公開」のままで問題はなく、むしろ社外秘の重要情報を扱う場合はその設定を変えてはならないのが常識です。

※Trello自体はプロジェクト管理以外の様々な用途もあるため、「任意でボードを全体公開できる仕様」そのものに問題はありません。

しかし今回Trelloの個人情報流出事件が報道されたことで、「公開設定」のまま利用を続けていたTrelloユーザーが多数存在していたことが明らかになりました。

何故そういった事態になるのかについてですが……、「チームにのみ公開」設定だとボードのチームに参加するためのメールアドレスの共有や送信など一手間がかかりますが、「公開」にしておけばボードのURLを共有するだけで済むため、後で非公開に戻すつもりだったのを忘れていた……というケースが考えられます。

もちろん単なる誤操作の可能性もありますし、ユーザーによって様々な事情・都合もあるかと思うので、必ずしもユーザー側の不手際だと責められるものではありませんが……、やはりリスクの大きい操作であることは熟知しておいていただきたいです。

WEBツールの使用には厳しいセキュリティ意識が必須!

情報セキュリティ
今回のこのTrelloのようにWEB上で利用できる情報共有ツールは非常に手軽で便利なものです。
特別ネットやパソコンに詳しくなくても簡単に利用できてしまうため、ついセキュリティ面への意識がおざなりになってしまうでしょう。

しかし、基本的にWEB上の情報は世界中の誰もが閲覧できる共有データであり、それを防ぐためにはツールの設定を厳格に確認・管理しておくことが必須なのです。

会社のプロジェクトの内容が漏れただけならまだしも、大事な顧客や社員の個人情報までもが流出したとなると訴訟や賠償の問題にまで発展しかねません。
Trelloはユーザビリティの高い便利なツールですが、便利だからこそユーザーの意識・リテラシーが高く求められるものだということを、肝に銘じておきましょう!

TOPに戻る