佐賀バルーナーズ、チケット申込フォームで個人情報漏えいか他の申込者が閲覧可能な状態に

プロバスケットボールクラブの佐賀バルーナーズは4月17日、来場促進企画「初観戦者限定！ワンコインチケット」のGoogleフォーム申込ページで、申込者の個人情報が他の申込者から閲覧できる状態になっていたと発表した。締め切り時刻の自動化設定を変更した際、回答の共有設定を誤ったためという。2025年8月26日から2026年4月14日までの期間に同企画へ申し込んだ顧客が対象で、氏名やメールアドレス、電話番号などが含まれる。同クラブは現時点で不正利用は確認されていないとしている。

「初観戦者限定！ワンコインチケット」での個人情報漏洩に関するお詫びとお知らせ | 佐賀バルーナーズより引用

3行要約

見出し

1 3行要約
2 わかっていること／わかっていないこと
- 2.1 わかっていること
- 2.2 わかっていないこと
3 締め切り自動化の設定変更中に誤操作
4 氏名・電話番号に住所の一部も含む
5 原因は操作ミスと確認不足
6 佐賀県プロバスケ協議会協力の500円観戦企画
7 タイムライン

何が起きたか：Googleフォームの設定変更時に回答共有を誤って有効化し、他の申込者の個人情報が閲覧可能な状態となった。

影響：氏名、フリガナ、メールアドレス、電話番号、性別、年代、住所（都道府県・市区町村）が対象。2025年8月26日以降の申込者に及ぶ。

対応：指摘を受けてから約40分でフォームを閉鎖。複数人による設定確認を徹底するとした。

わかっていること／わかっていないこと

わかっていること

Googleフォームの回答が、他の回答者から閲覧できる状態で公開されていたこと。

対象期間は2025年8月26日から2026年4月14日までの約7カ月半であること。

漏えいの可能性がある情報は、氏名（フリガナを含む）、メールアドレス、電話番号、性別、年代区分、住所（都道府県・市区町村）の項目であること。

発覚は申込者からの指摘が起点であり、指摘受領から約40分後にフォームを閉鎖したこと。

わかっていないこと

影響を受ける可能性がある申込者数は非公表。

第三者が閲覧した情報を保存・転用したかどうかは明らかになっていない。

個人情報保護委員会への届出の有無や時期は発表で言及されていない。

二次被害や不正利用について、現時点で確認されていないとしている。

締め切り自動化の設定変更中に誤操作

同クラブの発表によると、担当者は4月14日午後8時ごろ、申込締め切り時刻の同日午後11時59分にあわせ、Googleフォームが自動で閉じるよう設定を変更した。この作業の過程で、回答者が他の回答者の入力内容を閲覧できる状態に誤って設定したという。

翌15日午前11時35分、申込者から同クラブの問い合わせフォーム宛てに「他人の回答が見える状態になっている」との連絡が入り、発覚した。同日午後0時18分、フォームへのアクセスを閉じて閲覧を遮断した。問題が生じていた時間は、少なくとも14日午後8時ごろから15日午後0時18分までの約16時間に及んだ計算となる。