Canva情報漏洩の実態|流出事例から学ぶ企業のセキュリティ対応

「Canvaって情報漏洩のリスクがあるの？」「会社でCanvaを使っても大丈夫？」ビジネスでCanvaを活用している、または導入を検討している企業担当者の多くが、このような不安を抱えています。実際、Canvaでは過去にユーザーデータが流出する大規模な情報漏洩事件が発生しており、企業がビジネス利用する際には適切なセキュリティ対策が不可欠です。

本記事では、Canvaの危険性と安全性を正しく理解し、企業が安心してビジネス利用するための具体的なセキュリティ対策を徹底解説します。

過去の情報漏洩事例の詳細分析から、共有設定ミスによるデータ流出の防止方法、二段階認証やパスワードポリシーといった優先度の高い技術的対策、さらにBing検索を活用する企業に最適なMicrosoft 365との連携方法まで、実践的な情報を網羅しています。

Canvaで発生した情報漏洩事例とその影響

Canvaでは2019年と2021-2023年の間に2度の大規模な情報漏洩事件が発生し、合計で約1億4,016万人のユーザーデータが流出しました。

これらの事例は、クラウド型デザインツールを企業で活用する際のリスクを浮き彫りにしています。セキュリティ企業カスペルスキーの調査によると、Canvaのアカウント情報はダークウェブ上で取引対象となり、サイバー犯罪者にとって価値ある資産として認識されています。

2019年の大規模ハッキング｜1億3,900万人の個人情報流出

2019年5月24日、ハッカー集団「GnosticPlayers」によるデータベースへの不正アクセスにより、約1億3,900万人分のユーザー情報が流出しました。

流出した情報には、ユーザー名、メールアドレス、暗号化されたパスワードが含まれており、攻撃者はGoogle認証トークンへのアクセスも主張しました。約400万アカウントのパスワードが7ヶ月かけて解読されネット上で公開されました。現在CanvaはISO 27001認証を取得し、国際基準に準拠したセキュリティ体制を構築しています。

マルウェアによる認証情報の窃取事件

2021年から2023年の3年間で、情報窃取型マルウェア（Infostealer）によって約116万人分のCanvaユーザーの認証情報が窃取されました。カスペルスキーが2024年2月に発表した調査報告によると、これらのアカウント情報はダークウェブ市場で取引され、サイバー犯罪者によって収益化されていました。

この事件の特徴は、Canva自体のシステムではなくユーザーの個人端末がマルウェアに感染したことで情報が流出した点にあり、フィッシングメールや不審なサイトからの感染により、ブラウザに保存された認証情報が外部サーバーへ送信されました。

情報漏洩事例から学ぶべき3つの教訓

CanvaはISO 27001認証を取得し、情報セキュリティマネジメントシステムを国際基準に準拠させています。

一方で2021-2023年の事件はユーザー側の端末管理不足が原因であり、企業がBYOD（私物端末の業務利用）を許可する際のリスク管理の必要性を示しています。クラウドサービス導入時には、サービス提供者側と利用者側の両面からセキュリティ対策を講じる必要があります。

ビジネス利用で注意すべきCanvaのセキュリティリスク

企業がCanvaをビジネス利用する際には、個人利用とは異なる特有のセキュリティリスクが存在します。

共有機能の設定ミス、外部サービスとの連携、クラウドサービス特有の脅威など、組織全体で管理すべきポイントが複数あります。これらのリスクを理解し、適切な対策を講じることで、安全なCanva活用が可能になります。

共有設定ミスによるデータ流出の危険性

Canvaの共有機能は利便性が高い反面、設定を誤ると社外への情報流出リスクが高まります。特に「リンクを知っている全員」設定と退職者のアカウント管理は、企業にとって深刻なセキュリティホールとなり得ます。

適切な共有権限の設定と定期的な権限の見直しが、情報漏洩を防ぐ鍵となります。

「リンクを知っている全員」設定の落とし穴

Canvaのデザインを「リンクを知っている全員が閲覧可能」という設定で共有すると、そのURLを知る全ての人がアクセスできる状態になります。このリンクがメールやチャットツールで転送されたり、誤って社外のパートナーに送信されたりすると、意図しない第三者が機密情報を閲覧できてしまいます。

急いで資料を共有する際にこの設定を選択し、後から権限変更を忘れるケースが多発しているため、共有時のデフォルト設定を「特定のユーザーのみ」に変更し、不要になった共有リンクは速やかに削除するルールを策定すべきです。

退職者のアカウント管理が漏れるリスク

従業員が退職した際、Canvaのアカウントアクセス権限を削除し忘れると、元従業員が会社の機密デザインや顧客情報を含むファイルに引き続きアクセスできる状態が続きます。無料プランやCanva Proプランでは管理者による一元的なアカウント管理機能が限定的なため、手動での権限削除作業が発生します。

Canvaエンタープライズプランでは、SCIM機能により、Microsoft Entra IDやOktaと連携して退職者のアカウントを自動的に無効化できます。

外部サービス連携による不正アクセスの可能性

Canvaは利便性向上のため、Google、Facebook、Microsoftアカウントとの連携ログインや、クラウドストレージとの統合機能を提供しています。

しかし、これらの連携機能は「芋づる式」の不正アクセスリスクを生み出す可能性があります。連携元のアカウントが侵害されると、Canvaへのアクセスも自動的に許可されてしまうため、慎重な管理が求められます。

Google・Facebook・Microsoftアカウント連携のリスク

Canvaアカウントを外部サービスと連携している場合、連携元のアカウントが侵害されると、Canvaへのアクセスも自動的に許可されてしまいます。

例えば、従業員の個人Gmailアカウントがフィッシング攻撃で乗っ取られた場合、攻撃者は会社のデザインファイルや顧客情報にアクセスできます。ソーシャルアカウント連携を利用した不正アクセスは増加傾向にあり、企業にとって深刻なセキュリティリスクとなっています。

企業が取るべき対策は、社用メールアドレスのみでのアカウント作成を義務化し、Microsoft Entra IDによるシングルサインオン（SSO）を導入することです。

私物端末（BYOD）利用時のセキュリティギャップ

BYOD環境では、従業員が個人のスマートフォンやノートPCからCanvaにアクセスするため、企業の管理が行き届かないセキュリティギャップが発生します。

私物端末がマルウェアに感染していると、2021-2023年の事例のように認証情報が自動的に窃取される危険性があります。

私物端末のOSアップデートの遅れ、セキュリティソフトの未導入、公共Wi-Fiでの無防備なアクセスなどが情報漏洩のリスクを高めるため、MDMツールの導入によりCanvaアクセスを許可する端末を制限し、セキュリティポリシーに準拠した端末のみからのアクセスを許可する仕組みを構築すべきです。

クラウドサービス特有の脅威

クラウド型サービスであるCanvaは、インターネット経由でのアクセスを前提としているため、フィッシング攻撃やランサムウェア、サプライチェーン攻撃といった脅威にさらされています。

これらの脅威は年々巧妙化しており、企業は継続的な対策の見直しと強化が必要です。

フィッシング攻撃とランサムウェアの標的に

近年、Canvaを装った偽ログインページへ誘導するフィッシングメールが急増しており、Canvaのブランドを悪用したサイバー攻撃が深刻化しています。

攻撃者は「アカウントのセキュリティ警告」や「新機能のお知らせ」といった件名で偽メールを送信し、偽サイトでログイン情報を入力させる手口を使います。また、ランサムウェア攻撃では、感染した端末からCanvaの認証情報を窃取し、企業のデザインファイルを人質に身代金を要求するケースも確認されています。

企業が実施すべき対策は、全社員へのフィッシング対策研修を年2回以上実施し、Canvaの公式URL以外からのログインを禁止する社内ルールを徹底することです。

サプライチェーン攻撃への備え

サプライチェーン攻撃とは、信頼されている外部サービスやツールを経由して、標的企業のシステムに侵入する攻撃手法です。

Canvaは多数のサードパーティアプリ連携（Slack、Dropbox、Google Driveなど）を提供していますが、これらの連携先サービスが侵害されるとCanvaへのアクセス経路として悪用される可能性があります。連携サービスの脆弱性を突いた攻撃により、企業のデザインファイルや機密情報が流出するリスクが存在します。

連携を許可するサードパーティアプリを限定するホワイトリスト方式を採用し、連携アプリの定期的なセキュリティ監査と不要な連携の削除を実施すべきです。

企業が実施すべき具体的なセキュリティ対策

Canvaを安全にビジネス利用するためには、技術的対策と組織的対策の両面からアプローチが必要です。ここでは、優先度に基づいた実装可能な対策を紹介します。

導入コストが低く効果が高い対策から着手することで、効率的にセキュリティレベルを向上できます。

優先度の高い技術的対策

技術的対策の中でも、二段階認証、パスワードポリシー、共有リンクの適切な管理は、導入コストが低く効果が高いため最優先で実施すべきです。

これらの対策は即座に導入可能で、情報漏洩リスクを大幅に低減できます。

二段階認証（2FA）の全社員必須化

二段階認証（2FA）は、パスワードに加えてスマートフォンのアプリやSMSで生成される一時的なコードを入力する認証方式で、不正ログインを防ぐ最も効果的な手段です。Canvaでは、アカウント設定から簡単に2FAを有効化でき、Google AuthenticatorやAuthyなどの認証アプリと連携できます。

企業としては、全社員に対して2FA有効化を義務付ける社内規程を策定し、3ヶ月ごとに有効化状況を監査する運用ルールを整備すべきです。

強固なパスワードポリシーの策定

2019年のCanva情報漏洩事件では、暗号化されていたパスワードの一部が解読されましたが、これは弱いパスワードを使用していたユーザーに集中していました。

パスワードマネージャー（1Password、LastPass、Bitwarden）の導入により、社員は複雑なパスワードを安全に管理でき使い回しも防止できるため、パスワードの複雑性要求だけでなくパスワードマネージャーの導入支援と社員教育をセットで実施することが実効性の高いセキュリティ対策となります。

共有リンクの定期的な見直しと削除

Canvaの共有リンクは削除するまで有効であり続けるため、定期的な見直しと不要なリンクの削除が重要です。古いリンクが放置されると、意図しない第三者がアクセスできる状態が継続します。

Canva Proおよびエンタープライズプランでは、共有リンクに対して閲覧のみ・編集可能といった権限設定が可能です。プロジェクト終了後は速やかに共有リンクを削除し、月次で全ての共有リンクを棚卸しして不要なものを削除するプロセスを確立すべきです。

組織で徹底すべき運用ルール

技術的対策だけでなく、組織全体でセキュリティ意識を高める運用ルールの整備が不可欠です。人的要因による情報漏洩を防ぐため、明確なガイドラインと定期的な教育が求められます。

利用ガイドラインと権限マトリクスの整備

Canvaの利用ガイドラインには、どのような情報をCanvaに保存してよいか、共有時の権限設定ルール、外部委託先との共有時の承認フロー、データのローカルバックアップ頻度を明記します。権限マトリクス表では、役職や部署ごとに「閲覧のみ」「編集可能」「管理者」といった権限レベルを定義します。

マーケティング部門は編集権限、経営層は閲覧権限、情報システム部門は管理者権限といった具合に役割を明確化することで、デザインファイルの誤共有を防止できます。

定期的なセキュリティ研修の実施

従業員へのセキュリティ教育は、技術的対策と同等に重要です。研修後には理解度テストを実施し、一定のスコアに達しない社員には追加研修を課すことで、全社的なセキュリティレベルの底上げを実現できます。

Microsoft 365との連携で強化するセキュリティ

Bing検索を利用するビジネス層の多くは、Microsoft 365エコシステムを活用しているため、CanvaとMicrosoft 365の連携によりセキュリティを強化できます。

既存のMicrosoft環境を活用することで、追加コストを抑えながら効果的なセキュリティ対策が実現します。

Microsoft Entra IDによるシングルサインオン（SSO）

Microsoft Entra ID（旧Azure AD）とCanvaをSAML認証で連携させることで、シングルサインオン（SSO）が実現し、従業員はMicrosoftアカウントでCanvaにログインできます。

SSOのメリットは、パスワード管理の簡素化、Entra IDの条件付きアクセスポリシー適用（特定のIPアドレスからのみアクセス許可など）、退職者のアカウント一元管理（Entra IDでアカウント削除すると自動的にCanvaアクセスも無効化）です。

Canvaエンタープライズプランでは、SAML 2.0プロトコルに対応しており、Entra ID管理センターから数ステップで連携設定が完了します。

OneDriveへのバックアップ運用

Canvaで作成したデザインファイルを定期的にOneDriveにバックアップすることで、アカウントが侵害された場合でもデータ復旧が可能になります。

CanvaからPDFやPNG形式でエクスポートしたファイルをOneDriveに保存する運用ルールを確立することで、重要なデザインファイルの保護が実現できます。定期的なバックアップにより、ランサムウェア攻撃でCanvaのファイルが暗号化されても、OneDrive上のバックアップからデータを復元できます。

Teamsを活用した共有承認フロー

Microsoft Teamsを活用して、デザインの共有や公開時に承認フローを組み込むことで、機密情報の誤共有を防止できます。

デザインを社外と共有する際には、Teamsチャネルで上長の承認を得てから共有リンクを発行するといった運用ルールを策定します。この承認フローにより、機密情報を含むデザインの誤共有を防止し、ガバナンスを強化できます。

Canvaの商用利用における著作権リスク

企業がCanvaをマーケティング資料やロゴデザインに活用する際には、著作権および商用利用に関する規約を正しく理解する必要があります。

規約違反は法的トラブルやブランド価値の毀損につながるため、事前の確認が重要です。

テンプレート素材の商標登録ができない理由

Canvaのテンプレートや素材を使用して作成したロゴやデザインは、商用利用は可能ですが、商標登録は原則として禁止されています。

この理由は、Canvaのテンプレートや素材の著作権がCanvaまたは素材提供者に帰属しており、ユーザーは「使用ライセンス」を得ているに過ぎないためです。商標登録には独自性と識別性が求められますが、多数のユーザーが同じテンプレートにアクセスできる状況では、独自性の要件を満たせません。

ブランドロゴや商標として長期的に使用する予定のデザインについては、プロのデザイナーに依頼し完全オリジナルのデザインを作成することを推奨します。

二次販売が禁止される具体的なケース

Canvaの利用規約では、テンプレートや素材を単体（そのまま）で二次販売することが明確に禁止されています。許可される商用利用は、Canvaの素材を組み合わせてオリジナルのデザインを作成し、それを印刷物、ウェブサイト、SNS投稿などに使用する場合です。

重要なのは素材を単体で使用するのではなく、複数の素材を組み合わせテキストを追加しレイアウトを変更するなど、デザインの一部として統合することです。

有料プラン解約後の利用制限に注意

Canva ProまたはCanvaエンタープライズプランを解約すると、有料素材を含むデザインのダウンロードには都度課金が必要となり、新たに有料素材を追加することができなくなります。既にダウンロード済みのファイルは引き続き使用できますが、有料素材を含むデザインファイルを再度ダウンロードする際には料金が発生します。

企業としては、有料プラン解約前に全ての重要デザインファイルを最終版としてダウンロードし、有料素材を使用したデザインのリストを作成して将来の編集ニーズを確認し、無料素材のみで再作成可能なデザインは事前に無料素材版を作成すべきです。

特にブランドガイドラインやテンプレート集など、長期的に使用・更新する予定のファイルについては、有料プランの継続またはデザインの完全ダウンロードとローカル保存を推奨します。

改正個人情報保護法への対応チェックリスト

2022年4月に施行された改正個人情報保護法では、個人データの漏洩時における報告義務が強化され、企業はより厳格な対応が求められています。

Canvaで個人情報を扱う企業は、法令遵守のための体制整備が不可欠です。

情報漏洩発生時の報告義務と罰則

改正個人情報保護法では、個人データの漏洩、滅失、毀損が発生し個人の権利利益を害するおそれがある場合、企業は個人情報保護委員会への報告および本人への通知が義務付けられました。

報告は2段階で行われ、速報として事態を知った時点から概ね3～5日以内、確報として原則30日以内（不正目的の場合は60日以内）の提出が求められます。個人情報保護委員会の命令に違反した場合、法人には最大1億円の罰金が科されます。

Canvaで顧客情報や従業員情報を管理している企業は、漏洩発生時の報告フローを事前に整備し、速やかに個人情報保護委員会へ報告できる体制を構築すべきです。

Canvaに保存する個人データの洗い出し方法

改正個人情報保護法への対応の第一歩は、Canvaに保存されている個人データの種類と量を正確に把握することです。

Canvaに個人情報を保存すること自体がリスクであるため、可能な限り個人情報を含まないデザインファイルの作成を推奨し、やむを得ず含める場合は匿名化やマスキング処理を施すべきです。

インシデント対応フローの整備手順

Canvaでの情報漏洩インシデントに迅速に対応するため、事前に対応フローを整備しておくことが重要です。

インシデント対応フローには、発見・報告フェーズ、初動調査フェーズ（漏洩の範囲、原因、影響を受ける個人の数を調査）、封じ込めフェーズ（共有リンクの無効化、アカウントの一時停止、パスワード変更）、報告・通知フェーズ、復旧フェーズ、事後評価フェーズの6つのフェーズが含まれます。

各フェーズの責任者（情報システム部門長、法務部門、広報部門など）と連絡先を明記し、年1回以上のインシデント対応訓練を実施することで、実際の漏洩発生時に冷静かつ迅速に対応できる体制を構築します。

Canvaのセキュリティ認証と企業向け機能

Canvaは、国際的なセキュリティ基準を満たすための認証を取得しており、エンタープライズ向けには高度な管理機能を提供しています。

これらの認証と機能を理解することで、自社のセキュリティ要件に合致するかを判断できます。

ISO 27001・SOC 2 Type II認証の意味

Canvaは、情報セキュリティマネジメントシステムの国際規格であるISO 27001認証と、米国公認会計士協会が定めるセキュリティ管理基準SOC 2 Type II認証を取得しています。

ISO 27001認証は、情報セキュリティのリスクを継続的に特定、評価、対処、監視する体制が整っていることを示し、情報資産の管理、アクセス制御、物理的セキュリティ、事業継続管理、コンプライアンスの5つの領域で国際基準を満たしています。

SOC 2 Type II認証は、セキュリティを含む複数のTrust Services基準に関して、一定期間（通常6ヶ月以上）にわたり継続的に管理が実施されていることを第三者監査で証明するものです。

この認証により、Canvaは転送中のデータをTLS/SSL暗号化、保存中のデータをAES256暗号化で保護していることが保証されています。

Canvaエンタープライズで利用できる高度な管理機能

Canvaエンタープライズプランでは、中小企業向けのProプランにはない高度なセキュリティおよび管理機能が提供されます。

主な機能として、シングルサインオン、SCIMプロビジョニング、役割ベースのアクセス制御、監査ログ、優先サポートがあり、企業の情報セキュリティポリシーに準拠した運用が可能になります。

SCIMプロビジョニングとアクセスログ監査

SCIM（System for Cross-domain Identity Management）は、ユーザーアカウントの自動プロビジョニングと管理を可能にする標準プロトコルです。Canvaエンタープライズでは、Microsoft Entra IDやOktaとSCIM連携することで、新入社員のアカウント作成時に自動的にCanvaアカウントも作成され、退職者のアカウント削除時に自動的にCanvaアクセスも無効化されます。

アクセスログ監査機能では、誰がいつどのデザインファイルにアクセスしたか、共有設定を変更したか、ファイルをダウンロードしたかといった操作履歴を記録し、CSV形式でエクスポートできます。これにより、不正アクセスや内部不正の早期発見が可能になります。

役割ベースのアクセス制御（RBAC）

RBAC（Role-Based Access Control）は、ユーザーの役割に基づいてアクセス権限を管理する仕組みです。Canvaエンタープライズでは、管理者（全ての設定変更とユーザー管理が可能）、メンバー（デザインの作成と編集が可能）、テンプレートデザイナー（テンプレートの作成と共有が可能）、ゲスト（特定のデザインのみ閲覧可能）といった役割を定義し、各ユーザーに割り当てることができます。

部署やプロジェクトごとに「チーム」を作成し、チームごとに異なる権限設定を適用することも可能です。マーケティングチームは全てのブランドテンプレートへのアクセスを許可し、外部委託先チームは特定のプロジェクトフォルダのみアクセス可能に制限できます。

他のデザインツールとのセキュリティ比較

企業がデザインツールを選定する際、Canva以外の選択肢としてAdobe Express、Figmaがありますが、それぞれセキュリティ機能に違いがあります。

Figmaは、SOC 2 Type II認証とISO 27001認証を取得しており、Canvaと同等のセキュリティレベルを提供していますが、エンタープライズプランでのみSSO、RBAC、監査ログが利用可能です。

Adobe Expressは、Adobeのクリエイティブクラウドエコシステムの一部であり、Adobe製品群はSOC 2認証を取得しているため、企業利用に適したセキュリティ基準を満たしています。

Bing環境での安全なCanva活用法

Bing検索を利用する企業の多くは、Microsoft 365エコシステムを中心に業務を行っているため、Canvaとの最適な使い分けとセキュリティ連携が重要です。

既存のMicrosoft環境と連携することで、効率的かつ安全なデザイン業務が実現します。

Microsoftエコシステムとの最適な使い分け

Microsoft 365環境では、PowerPoint、SharePointといった純正ツールに加えて、Canvaを併用することで、デザインの柔軟性と生産性を両立できます。使い分けの基本原則は、情報の機密度、デザインの複雑性、コラボレーションの範囲、コンプライアンス要件に基づいて判断します。

機密度の高い経営情報や顧客の個人情報を含む資料は、Microsoft Purviewによるデータ損失防止ポリシーが適用されるPowerPointで作成します。

SNS投稿用のビジュアルやイベント告知ポスターなど公開前提のデザインは、Canvaの豊富なテンプレートを活用することでプロフェッショナルな仕上がりを実現できます。

ビジネス用途別の推奨ツールを選定

業務の性質や用途に応じて、最適なデザインツールを選定することで、セキュリティとデザイン品質の両立が可能になります。

情報の機密性とデザインの目的を考慮した適切なツール選択が、リスク管理の鍵となります。

社外向けマーケティング資料にはCanva

SNS投稿、ブログのアイキャッチ画像、イベントのフライヤー、メールマーケティングのバナーなど、社外に公開する広報・マーケティング資料の作成にはCanvaが最適です。

Canvaの強みは、42万点以上のテンプレート、動画編集機能、SNSプラットフォームごとの最適サイズ自動設定、ブランドキット機能（会社のロゴ、カラーパレット、フォントを登録して統一感のあるデザインを作成）です。

Canva使用時の注意点は、公開前にブランドガイドラインとの整合性を確認し、誤字脱字チェックを複数人で実施することです。

社内プレゼンにはPowerPoint

社内の月次報告会、部門会議、経営会議などで使用するプレゼンテーション資料には、PowerPointが推奨されます。

PowerPointは、Microsoft 365 Copilotと統合されており、Designer機能によるスライドレイアウトの自動提案、Microsoft Teamsでのリアルタイム共同編集、SharePointでのバージョン管理が可能です。

Bing検索を活用している企業では、検索結果から得た情報をそのままスライドに統合できるため、情報収集からプレゼン作成までのワークフローが効率化されます。Entra IDによるアクセス制御が標準で適用されるため、退職者や外部の第三者が社内プレゼン資料にアクセスするリスクが低減されます。

機密性の高い文書にはAdobe製品の活用も検討

契約書の添付資料、財務報告書、特許出願書類、個人情報を含む顧客レポートなど、高度な機密性が求められる文書のデザインには、Adobe製品エコシステムの活用も選択肢となります。

Adobe Expressは、Adobe Document Cloudと統合されており、PDF編集・保護機能、透かし挿入、印刷物の色管理といった機能を提供しています。Adobe製品エコシステムには、高度なセキュリティ認証を取得しているサービスが含まれており、厳格なコンプライアンスが求められる業界での利用も可能です。

機密文書を扱う部門（法務、財務、人事）には高度なセキュリティ機能を持つツールを割り当て、一般社員にはCanvaやPowerPointを割り当てるという権限の階層化が有効です。

Canva導入前・運用中のセキュリティチェックリスト

Canvaを企業で安全に導入・運用するために、導入前と運用中に確認すべき項目をチェックリスト形式で整理します。

段階的なチェックにより、見落としのないセキュリティ体制を構築できます。

導入検討時に確認すべき5つのポイント

Canva導入の稟議段階では、これら5つのポイントを実施します。セキュリティポリシーとの整合性確認では、Canvaのデータが米国のデータセンターに保存されることを踏まえ、データ保存地域の要件を満たすかを確認します。

月次で実施すべき運用管理項目

Canva導入後は、これらの項目を月次で実施します。利用ログの異常検知では、短時間での複数回のログイン失敗といった異常パターンを監視し、検知した場合は即座に該当ユーザーのアカウントを一時停止して調査します。

共有リンクの定期的な棚卸し方法

共有リンクの放置は、意図しない情報漏洩の原因となるため、月次または四半期ごとに棚卸しを実施します。定期的な棚卸しを実施することで、潜在的な情報漏洩リスクを大幅に低減できます。

よくある質問｜Canvaの情報漏洩とセキュリティ対策

Canvaは現在も情報漏洩のリスクがありますか？

Canvaは2019年の大規模ハッキング事件後、ISO 27001認証とSOC 2 Type II認証を取得し、セキュリティ体制を大幅に強化しました。現在では、データの暗号化（転送中はTLS/SSL、保存中はAES256）、多要素認証、アクセスログ監視、定期的なセキュリティ監査が実施されています。

ただし、2021-2023年のマルウェアによる認証情報窃取事件が示すように、ユーザー側の端末セキュリティやパスワード管理が不十分な場合、情報漏洩のリスクは残ります。

企業としては、Canva側のセキュリティ対策に加えて、二段階認証の必須化、強固なパスワードポリシー、定期的なセキュリティ研修といった自社での対策を併せて実施することが重要です。

無料版と有料版でセキュリティに違いはありますか？

Canvaの無料版と有料版では、基本的なセキュリティ機能（データ暗号化、二段階認証）は同等ですが、管理機能に大きな違いがあります。無料版では、管理者による一元的なアカウント管理、アクセスログの確認、共有リンクの一括管理ができません。

Canva Proでは、ブランドキット、チーム管理などの機能が追加されます。Canvaエンタープライズでは、SSO、SCIMプロビジョニング、RBAC、監査ログ、優先サポートが利用可能になり、企業の情報セキュリティポリシーに準拠した運用が実現します。

既に作成したデザインの共有設定を一括変更できますか？

Canvaエンタープライズプランの管理画面からは、個別のデザインファイルの共有設定を確認できますが、複数ファイルの共有設定を一括で変更する機能は2026年1月時点では提供されていません。共有設定の変更は、各デザインファイルを開いて個別に「共有」ボタンから設定を変更する必要があります。

一括変更機能が提供されていないため、新規作成時のデフォルト共有設定を「特定のユーザーのみ」に変更し、プロジェクト終了時に共有リンクを削除するという運用ルールで対応することが現実的です。

情報漏洩が発生した場合、企業はどう対応すべきですか？

Canvaからの情報漏洩が発生した場合、改正個人情報保護法に基づき、速やかに初動調査、封じ込め、報告・通知、公表、再発防止策の実施を行います。個人情報保護委員会への報告は、速報として概ね3～5日以内、確報として原則30日以内（不正目的の場合は60日以内）に行い、影響を受ける本人への通知も実施する必要があります。

初動調査では、漏洩したデータの種類（氏名、メールアドレス、個人情報の有無）、影響を受ける人数、漏洩経路（不正アクセス、共有ミス、マルウェア感染）を特定します。

個人情報保護委員会への報告書には、事案の概要、漏洩した個人データの項目と人数、原因と再発防止策を記載します。本人への通知は、メールまたは書面で行い、何が漏洩したか、企業が講じる対策、本人が取るべき対応（パスワード変更など）を明記します。

Canvaのアカウントを完全に削除する方法は？

Canvaアカウントを完全に削除するには、Canvaにログイン後、画面右上のアカウントアイコンから「アカウント設定」を選択し、「アカウントを削除」セクションで削除を実行します。

アカウント削除を実行すると、14日間の猶予期間後に、作成した全てのデザイン、アップロードした画像、チーム情報が完全に削除され復元できなくなります。企業でCanvaエンタープライズを利用している場合は、管理者がユーザーアカウントを一括削除できます。

退職者のアカウント削除時には、必要なデザインファイルを事前にダウンロードまたは他のユーザーに移管し、共有リンクを無効化してからアカウント削除を実行することで、データ損失を防ぎつつ情報漏洩リスクを低減できます。