URLさえ分かれば誰でも見放題——柏市で個人情報150件が認証なしアクセス可能に
千葉県柏市で、本来事業者向けに限定公開すべきページが認証なしでインターネット上からアクセス可能となり、個人情報約150件を含むファイルが誰でも閲覧できる状態になっていたことが2026年2月20日に報じられました。市は検索除外リクエストを実施していたものの、URLが特定できれば外部からアクセスできる状態が続いていました。
公開されていた個人情報の詳細
問題となったページには複数のzipファイルやPDFファイルが掲載されており、一部zipファイルには約150件の個人情報が含まれていました。具体的には、住宅地図2011年版に記載された氏名や住所96件のほか、既存施設の竣工図面に記載の設計者、施工者および国、市の職員に関する氏名と印影などが含まれていたとのことです。
「URLを知らないとアクセスできない」という誤った認識
柏市は問題のページについて「URLを知らないとアクセスできない処理を行っていた」と説明し、公開日である2025年11月25日に「Google Search Console」「Bing Webmaster Tools」で検索除外のリクエストを実施していたと釈明しました。しかし実際には認証などは必要なく、URLが特定できれば外部からアクセスできる状態だったとのことです。この「URL直リンクによる限定公開」は、一般的にはセキュリティ対策として不十分とされています。
発覚の経緯と実際のアクセス状況
問題が発覚したのは、問題のページで公開されていた別のPDFファイルが検索対象になっているとの外部からの指摘を受けてからでした。市が公開を中止してアクセス状況を確認したところ、検索エンジンによる同ページへのアクセスが11月25日に27件あり、個人情報を含むファイルも参照された可能性があることが判明しました。
市の対応と今後の対策
柏市は多くの情報が一般に公開されている情報であり、二次被害のおそれはないとの見方を示しています。今回の問題を受け、同市では限定公開ページを所管する部署に対し、機密情報や個人情報を掲載しないよう周知徹底したとのことです。一般的に、真の限定公開には適切な認証システムの実装が必要とされており、URL直リンクのみに依存したアクセス制御は脆弱性を抱えるとされています。
短期的影響:URL直リンクのみによる「限定公開」の脆弱性が改めて浮き彫りになりました。検索エンジンの除外リクエストを行っていても、URLが特定されれば誰でもアクセス可能な状態は根本的な解決策ではありません。
中長期的影響:自治体のウェブサイトにおける情報公開の在り方について、技術的な理解の向上が求められます。真の限定公開には適切な認証システムの実装が不可欠であり、「URLを知らなければ安全」という認識の見直しが必要です。
読者への示唆:組織のウェブサイト運営者は、限定公開ページには必ず認証機能を実装し、URL直リンクのみに依存したアクセス制御を見直すことが重要です。また、個人情報を含むファイルの公開前には、適切なアクセス制御が機能しているかを必ず確認しましょう。
