ほとんどのフォームビルダーは外見上似ています。ドラッグ&ドロップエディター、公開ボタン、提出時のメール通知。インターフェースには、データが暗号化されているか、誰がアクセスできるか、収集後にどこに行くかは示されていません。
フォームビルダーのセキュリティの失敗は、問題になる前にはほとんど見えません。それは、違反通知、コンプライアンス監査、またはデータがどうなったかを知りたいユーザーからの要求として現れます。
しかし、警告サインは主に事前に見えます。ドキュメント、機能セット、特定の質問への回答にあります。この記事では、それらのうちの7つを取り上げます。
この記事は情報提供のみを目的としており、法的アドバイスを構成するものではありません。組織に特有の指導については、資格のあるデータ保護専門家に相談してください。
このページで
サイン1: データ処理契約が利用できない
データ処理契約(DPA)は、データを収集する組織(コントローラー)とそれを処理するプラットフォーム(プロセッサー)との間の法的拘束力のある契約です。GDPRが適用され、コントローラーが第三者プロセッサーを使用する場合、記事28はプロセッサーがコントローラーの代理で個人データを処理する前に、適切なデータ処理契約を要求します。
契約は最低限、処理の対象と期間、データの種類と関与する個人のカテゴリ、プロセッサーへのコントローラーの指示、セキュリティ義務、サブプロセッサーの開示、データ主体の権利要求の処理手順、違反通知のタイムライン、契約終了時のデータ削除または返却を定義しなければなりません。
これはチェックボックスではありません。記事28(3)はこれらの要素を明確に指定しています。プライバシーポリシーはDPAではありません。サービス利用規約もDPAではありません。DPAは、両当事者が署名する別個の二国間文書です。
サイン: フォームビルダーのウェブサイトにダウンロード可能なDPAがない。「DPA」または「データ処理契約」を検索しても何も出てこないか、一般的なプライバシーポリシーにリダイレクトされる。
実際にはどういう意味か: 署名されたDPAがない場合、EUの個人から個人データを収集するためにプラットフォームを使用することは、組織に法的なリスクをもたらします。プラットフォームではなく。GDPRの下では、コントローラー(あなた)が記事28に準拠した契約が存在することを確保するための主要な責任を負います。記事28に準拠した処理契約を持たないこと自体がコンプライアンスの問題であり、個人データの違反が発生するかどうかに関係なく。
他のプライバシーフレームワークの下でも同様の責任原則が存在します。CCPA/CPRA、ブラジルのLGPD、カナダのPIPEDAはすべて、第三者サービスプロバイダーを利用する際に適切な契約上の保護を使用することを組織に期待していますが、法的メカニズムはGDPRの記事28とは異なります。
探すべきもの: 公開されている、ダウンロード可能なDPAで、企業交渉を必要とせずに署名できるもの。GDPRの下にある組織の場合、DPAはサブプロセッサーも扱うべきです。フォームビルダー自体がインフラストラクチャ、ストレージ、または処理に依存している第三者。ベンダーのトラストセンターが通常、このドキュメントを見つけるのに適した場所です。GDPRの完全な実装チェックリストについては、オンラインフォームのためのGDPRコンプライアンス: 実用的なチェックリストを参照してください。
サイン2: 第三者のスクリプトが開示なしにフォームページで実行される
ユーザーがあなたのフォームを開くとき、彼らはあなた以外の誰かとデータを共有しているかもしれません。
ほとんどのウェブアプリケーション—フォームビルダーを含む—は、分析、広告、セッション記録、エラーモニタリング、A/Bテストのために第三者のJavaScriptをロードします。これらのスクリプトの一部は、ユーザーが入力するフォームフィールドの値にアクセスできます。これは、名前、メールアドレス、または電話番号が「送信」をクリックする前にユーザーのデバイスを離れる可能性があることを意味します。
これは文書化された挙動です。ラドバウド大学、KUルーヴェン、ローザンヌ大学の研究者による2022年の研究—「Leaky Forms: フォーム送信前のメールとパスワードの流出に関する研究」—は、100,000のサンプルのうち1,844のウェブサイトが、ユーザーのメールアドレスを第三者のトラッキングスクリプトを通じてユーザーの同意なしにフォーム送信前に収集していたことを発見しました。データは静かに流出し、送信イベントが発生する前に行われました。
メカニズムは簡単です。分析とマーケティングスクリプトは入力フィールドにイベントリスナーをアタッチし、コンテンツをリモート収集エンドポイントに送信します。フォームビルダー自体はこの挙動を意図していないかもしれませんが、同じページに第三者のスクリプトがロードされている場合、データはそれらに流れます。
サイン: フォームビルダーは公開されたフォームページで実行される第三者のスクリプトを文書化していません。彼らのプライバシーポリシーは、彼ら自身のデータ収集を説明しており、あなたのフォームで実行されるスクリプトの収集挙動を説明していません。
実際にはどういう意味か: あなたのフォームが第三者の分析ピクセルまたはセッション記録ツールをロードする場合、ユーザーが入力するデータは同意なしにその第三者に送信される可能性があります。これは、あなたのプライバシーポリシーの正確性、GDPRのコンプライアンス(処理の合法的な根拠)、および医療コンテキストにおいては、HIPAAの義務に影響を与える可能性があります。
探すべきもの: 公開されたフォームページでロードされるスクリプトの明確な文書化。機密データを扱うプラットフォームは、フォーム送信からどのサービスがデータを受け取り、どの形式で受け取るかを正確に述べることができるべきです。広告や分析スクリプトのない、分離されたファーストパーティドメインで提供されるフォームが最も強力な解決策です。
サイン3: 暗号化の主張が曖昧または欠如している
「あなたのデータは安全です」というのはマーケティングの声明です。それは技術的な制御を説明していません。フォームデータに関して重要な2つの特定の主張があります。
転送中の暗号化は、データがユーザーのブラウザとサーバー間を移動する際に暗号化されていることを意味します。現在の標準はTLS 1.2以上です。これはウェブ全体で広く標準化されていますが、プロトコルバージョンとともに明示的に述べられるべきです。
保存時の暗号化は、データが保存されていること—データベースに保存されているフォーム送信—が暗号化されていることを意味します。機密データの現在の標準はAES-256です。ここでプラットフォームは異なります。送信データを保存時に暗号化するものもあれば、しないものもあります。プラットフォームは転送中の暗号化が優れていても、データをプレーンテキストで保存することがあります。
この区別は重要です。脅威モデルが異なるからです。転送中の暗号化は、送信中の傍受に対する保護を提供します。保存時の暗号化は、保存されたデータへの不正アクセスに対する保護を提供します。これは、ほとんどの違反シナリオで関連する脅威です。IBMの2025年データ侵害コストレポートによると、平均的な侵害は特定に158日、封じ込めに83日を要し、合計ライフサイクルは241日であり、これは過去9年間で最も低いとされています。その期間中、保存されたデータが主な露出です。
OWASPのトップ10 (2025)は、「暗号化の失敗」をA04としてリストしています。これは、最も重要なウェブアプリケーションセキュリティリスクの1つであり、特に「クリアテキストで保存されたデータ」を主要な失敗モードとして含んでいます。
サイン: プラットフォームのセキュリティ文書は、「業界標準のセキュリティを使用しています」といったフレーズを使用しており、暗号化アルゴリズム、プロトコルバージョン、またはカバレッジの範囲を指定していません。AES-256またはTLS 1.2+の言及がありません。
実際にはどういう意味か: 曖昧な暗号化の主張は、検証可能な保証を提供しません。規制されたデータ—医療、金融、法的—に対して、保存時の暗号化はしばしばコンプライアンス要件であり、選択ではありません。HIPAAのセキュリティルール(45 CFR § 164.312)は、暗号化を「アドレス可能」な保護手段として具体的に取り扱っており、対象団体はそれを実施するか、同等の代替手段が同じ保護を提供する理由を文書化する必要があります。
探すべきもの: 明確な技術的声明:「送信データはAES-256で保存時に暗号化され、TLS 1.2+で転送中に暗号化されます。」これが公開文書—通常はベンダーのトラストセンターまたはセキュリティページ—で見つからない場合、直接問い合わせてください。機密データを扱うプラットフォームは、曖昧さなく答えるべきです。セキュリティスタックがどのように見えるべきかの完全な内訳については、オンラインフォームのためのデータセキュリティ: すべてのビジネスが知っておくべきことを参照してください。
サイン4: データ保持が設定可能でない
プラットフォームはどのくらいの期間、送信データを保存しますか?答えが「手動で削除しない限り無期限」である場合、それは問題です。
GDPRの保存制限の原則(記事5(1)(e))は、個人データが「処理される目的のために必要以上に長くデータ主体の識別を可能にする形で保持されない」ことを要求しています。フォーム送信を永遠に—たとえ何年も前のものであっても—保存することは、この要件にほとんど準拠していません。
また、実際的なリスクもあります。プラットフォームが保持するデータセットが大きくなるほど、それは侵害ターゲットとしての価値が高まります。3年前のフォーム送信がまだサーバーにある場合、それは依然としてリスクにさらされています。自動削除はその露出を減少させます。
異なるワークフローには異なる正当な保持ニーズがあります。
| フォームタイプ | 一般的な保持考慮事項 |
|---|---|
| お問い合わせフォーム | アクティブなフォローアップの期間 |
| リードジェネレーションフォーム | アクティブな販売サイクル |
| イベント登録 | イベント日と必要な記録保持期間 |
| 医療受付 | 適用される規制によって要求される期間(HIPAAはカバーされた記録に対して6年を義務付けています) |
| 雇用申請 | 管轄によって異なり、地元の雇用法によって規制されます—保持期間を設定する前にDPOまたは法律顧問に相談してください |
サイン: プラットフォームはデフォルトで送信を無期限に保存します。自動削除スケジュールを設定するオプションはありません。唯一のオプションは手動削除です。
実際にはどういう意味か: データ保持要件へのコンプライアンスは人間の行動に依存します。自動化されたポリシーはそうではありません。スタッフが古いフォーム送信を手動で削除することに依存する組織は、削除サイクルを見逃すことになります—特にスタッフの移行や高ボリューム期間中に。
探すべきもの: アカウントまたはフォームレベルで設定可能な保持期間。範囲は、短い保持(高プライバシーワークフロー用)と拡張された保持(コンプライアンスが必要な記録保持用)の両方を収容するべきです。「クラウドストレージへのエクスポート後に即座に削除する」などのオプションは、プライバシーに重要なワークフローのベストプラクティスを表します。
サイン5: 提出アクセスの監査ログがない
送信が開かれたとき、誰がそれを開いたのか?いつ?誰かがそれをエクスポートしたのか?リンクを介して共有されたのか?削除されたのか、誰によって?
監査ログがない場合、これらの質問に答えることはできません。これは重大な責任のギャップを生み出します—それは規制監査、データ主体のアクセス要求、または内部調査で可視化されます。
HIPAAのセキュリティルールはこれを具体的に取り扱っています。監査制御基準(45 CFR § 164.312(b))は、カバーされた団体が「電子保護健康情報を含むまたは使用する情報システムの活動を記録し、調査するハードウェア、ソフトウェア、および/または手続きメカニズムを実施する」ことを要求しています。送信を誰がいつ閲覧したかをログに記録することは、この要件の直接的な実施です。
医療以外でも: GDPRの記事5(2)は責任原則を確立しています—コントローラーはデータ保護原則を「遵守していることを示す」ことができなければなりません。監査ログはそのデモンストレーションの基礎的な要素です。それがなければ、「私たちはそのデータにアクセスしませんでした」という主張は検証できません。
OWASPのトップ10 (2025)には、「セキュリティログとアラートの失敗」(A09)が重要なウェブアプリケーションリスクとして含まれています—特に:「ログイン、ログイン失敗、高価値トランザクションなどの監査可能なイベントがログに記録されていない。」
サイン: プラットフォームにはアクティビティログがありません。管理者は送信を閲覧できますが、アクセス履歴、エクスポート履歴、または共有活動を見ることはできません。
実際にはどういう意味か: 特定の送信に誰がアクセスしたかについての質問に答えることができません。データ主体がGDPRの記事15の下でアクセス権を行使する場合、彼らは個人データが共有された受取人または受取人のカテゴリに関する情報を要求するかもしれません—監査ログがその質問に答えるのに役立ちます。記事15はコントローラーに監査ログを維持することを要求していませんが、そのようなログはコンプライアンスを示し、正確にアクセス要求に応答するのに大いに役立ちます。
探すべきもの: 管理者がアクセスできるチームレベルの監査ログで、最低限、送信アクセスイベント、エクスポートイベント、共有リンク作成、削除イベントを記録します。ログは、コンプライアンス要件に一致する期間保持されるべきです。
サイン6: 医療用途に利用できるBAAがない
アメリカ合衆国では、カバーされた団体の代わりに保護された健康情報(PHI)を扱う組織—患者受付フォームを処理するフォームビルダーを含む—は、HIPAA (45 CFR § 160.103)の下で法的にビジネスアソシエイトです。
PHIが第三者ツールを通じて流れる前に、署名されたビジネスアソシエイト契約(BAA)が存在しなければなりません。BAAは単なる形式ではありません: ビジネスアソシエイトのPHI保護、違反通知のタイムライン、および許可されたデータ使用に関する義務を確立します。それがない場合、カバーされた団体は、ビジネスアソシエイトのPHI取り扱いから生じるHIPAA違反に対して責任を負います—プラットフォームの実際のセキュリティ制御に関係なく。
OCRはこの要件を一貫して施行しています。第三者のツールを無許可でPHIを処理するために使用した医療機関に対して、違反がなくても和解が成立しています。違反は欠けている契約であり、侵害ではありません。
オンラインフォームツールが有効にBAAに署名するために必要な具体的な技術的保護手段については、オンラインフォームツールがHIPAAに実際に要求するものを参照してください。
サイン: プラットフォームはBAAを提供していないか、ほとんどの医療機関がアクセスできない企業価格帯でのみ提供しています。小規模クリニック、独立したセラピスト、医療スタートアップは、コンプライアントな処理関係なしにPHIを収集しています。
実際にはどういう意味か: フォームビルダーを使用して患者データ—受付フォーム、同意フォーム、予約リクエスト、健康情報にリンクされた保険の詳細—をBAAなしで収集することは、HIPAA違反です。それはグレーゾーンではありません。
探すべきもの: 中規模市場プランで利用可能なBAAで、HIPAAモードが有効になったときに自動的に(または最小限の摩擦で)署名されます。署名されたBAAは、監査で保持し、提出できる文書としてアカウント管理者に配信されるべきです。
サイン7: 個別の提出が要求に応じて削除できない
GDPRの記事17は削除権を確立しています。データ主体が個人データの削除を要求した場合、コントローラーは不当な遅延なく、いかなる場合でも1か月以内に応じなければなりません—限られた例外(法的義務、公共の利益など)を除いて。この要求は、特定の個人のデータに適用され、バルクアーカイブには適用されません。
これは技術的な要件を生み出します: 特定の個人の提出を識別し、きれいに削除できなければなりません。多くのプラットフォームはこれを困難にしています。バルク削除はしばしば利用可能ですが、回答者によるターゲット検索と削除はそうではありません。
同じ問題は積極的なコンプライアンスにも影響します。保持ポリシーが90日後の削除を指定している場合、プラットフォームはそれをレコードレベルで強制する必要があります—単に「すべて削除」ボタンを提供するだけではなく。
サイン: 提出インターフェースに回答者識別子(メール、名前)による検索がありません。削除はバルクのみです。複数のフォームにわたる特定の個人からのすべての提出を識別する方法がありません。
実際にはどういう意味か: ユーザーが削除要求を提出したとき—GDPRは彼らにその権利を与えます—それを満たすことは手動でエラーが発生しやすいプロセスになります。提出が複数のフォームや期間にまたがる場合、関連するすべてのレコードを見つけて削除することは運用上困難になります。
探すべきもの: フィールド値による提出検索、メールアドレス、名前、または任意の識別フィールドを含む。提出インターフェースからの個別レコード削除。GDPRの下にある組織にとって、回答者によるクロスフォームクエリを実行する能力は貴重です。
チェックリスト
機密データを収集するフォームを公開する前に:
- プラットフォームからダウンロード可能で署名可能なDPAが利用可能です
- プラットフォームは公開されたフォームページで実行される第三者のスクリプトを文書化しています
- 保存時の暗号化(AES-256)と転送中の暗号化(TLS 1.2+)が明示的に述べられています
- データ保持が設定可能で、自動削除オプションがあります
- 監査ログが提出アクセスとエクスポートイベントを記録します
- PHIを収集する場合、データが収集される前に署名されたBAAが存在します
- 個別の提出が回答者によって見つけられ、削除されることができます
参考文献
- 欧州議会および理事会, GDPR 第28条. 処理者の義務とDPA要件, gdpr-info.eu/art-28-gdpr/
- 欧州議会および理事会, GDPR 第15条. データ主体によるアクセス権, gdpr-info.eu/art-15-gdpr/
- 欧州議会および理事会, GDPR 第17条. 消去権, gdpr-info.eu/art-17-gdpr/
- HHS市民権局, 45 CFR § 160.103. 定義 (ビジネスアソシエイト), ecfr.gov
- HHS市民権局, 45 CFR § 164.312. 技術的保護策, ecfr.gov
- HHS市民権局, ビジネスアソシエイト契約, hhs.gov
- Acar, G. 他, リーキーフォーム: フォーム送信前のメールとパスワード漏洩の研究, ラドバウド大学 / KUルーヴェン / ローザンヌ大学, USENIX Security 2023で発表
- OWASP, OWASP Top 10 2025, owasp.org/Top10 . A04 暗号化の失敗; A09 セキュリティログとアラートの失敗
- IBMセキュリティ, データ侵害のコストレポート 2025, ibm.com/reports/data-breach . 平均侵害ライフサイクル241日(特定に158日、封じ込めに83日)
関連読み物: オンラインフォームのためのGDPRコンプライアンス: 実用的なチェックリスト · HIPAA準拠のオンラインフォーム: 2026年ガイド · オンラインフォームのデータセキュリティ: すべてのビジネスが知っておくべきこと