「誰に見せるか」は決められても「見た人が何をするか」は決められない BeReal事案に見るSNS時代のセキュリティ

SNS起点の情報漏えいは、以前から企業の課題だった。だが近年は、悪ふざけや炎上とは違う形でリスクが広がっている。本人は日常を共有しているだけのつもりでも、写真や動画に写り込んだ情報が、思わぬ形で社外に出ることがある。企業はこの問題をどう捉えるべきなのか。有識者に聞いた。

[中村篤志，キーマンズネット]

　SNSに投稿された写真や動画が、思わぬ形で企業の情報漏えいにつながることがある。

　直近でも、日常の一場面を投稿するSNS「BeReal」をきっかけに、企業の執務室内の動画や画像がインターネットで拡散される事案が話題になった。西日本シティ銀行は2026年4月30日、職員が投稿した営業店執務室内の動画や画像が拡散され、ホワイトボードに記載された顧客7人の氏名が映っていたとして謝罪した。

　かつてSNS起点のトラブルといえば、悪ふざけの投稿が拡散する、いわゆる“炎上”型の事案が目立った。では、日常の一場面を共有する現在のSNSでは、企業にとって何がリスクになるのか。アスタリスク・リサーチ代表取締役の岡田良太郎氏に話を聞いた。

SNS起点の漏えいは「悪ふざけ」だけではない

　岡田氏は、近年のSNS起点の情報漏えいについて、スマートフォンのカメラ性能とSNS共有環境の変化を背景に挙げる。

アスタリスク・リサーチの岡田良太郎氏

　「写真の解像度と共有される頻度が非常に高くなりました。投稿する側は、自分が見せたいものや気持ちを共有しているつもりです。しかし、見る側はその主役だけを見ているわけではありません」

　カメラ性能の向上によって、写真や動画に含まれる情報量は増えた。投稿者が意識していない背景の文字や画面も、拡大すれば読み取れる場合がある。投稿者が見せたいものは、自分自身や食事、イベントの雰囲気、今いる場所かもしれない。だが、その背景に社内のホワイトボードや資料、PC画面、Wi-Fiのパスワードなどが写り込めば、本人にとっては背景の一部でも、第三者にとっては意味のある情報になる。

　また、そうした高解像度でその場の雰囲気まで共有できるSNSの特性は、日常投稿を魅力的にする一方で、企業にとっては意図しない情報漏えいのリスクにもなる。

「鍵垢なら安全」という思い込み

　SNS投稿のリスクは、公開アカウントだけに限らない。「鍵垢だから大丈夫」「限られた人にしか見えない」という感覚も、情報管理の観点では危うい。岡田氏は、鍵付きアカウントや限定公開について、「誰に見せるかは決められても、見た人が何をするかまでは決められない」と話す。

　例えば、投稿を見た人がスクリーンショットを撮れば、最初の公開範囲から情報は外に出る。面白いと感じた人が別の人に見せたり、似た投稿を作ったりすることもある。人間関係の変化もある。投稿時点では信頼していた相手でも、その関係が将来も続くとは限らない。SNSアカウントそのものが乗っ取られる可能性もある。限定公開であっても、企業情報を含む可能性がある投稿については、公開範囲だけでは安全だと言い切れない。

若手だけの問題ではない　管理職にもある“写り込み”リスク

　こうした問題は、若手社員やSNSネイティブ世代の話として語られやすい。確かに、写真や動画で日常を共有することへの心理的なハードルは、世代によって差があるかもしれない。だが、岡田氏は、SNS起点の情報漏えいを若手だけの問題として捉えるべきではないと指摘する。

　「ビジネスキャリアや役職と、共有や拡散のリスクはあまり関係ありません。新しいサービスが面白ければ、どの世代でも使ってみようと思うものです」

　既存社員や管理職も、社内イベントや会食、訪問先、オフィス風景などを投稿する可能性がある。むしろ、経験がある人ほど「自分は分かっている」という意識から確認を省きやすい面もある。SNS起点の情報漏えいは、若手社員のリテラシー不足や個人のモラルだけで片付けるのではなく、企業全体の情報管理の問題として扱う必要がある。

細かいルールより、判断しやすいサインを作る

　では、企業はSNS利用をどこまでルール化すべきなのか。

　岡田氏は企業ごとに異なるとしつつ、一例として「放送局や銀行、病院のように、扱う情報の機微性が高い業界では、現場への私物スマートフォンの持ち込みを禁止するような厳格な対応も選択肢になる」と説明する。ただ、スマートフォンは多要素認証などにも使われるため、全ての企業が一律に禁止できるわけではない。

　そこで重要になるのは、細かいルールを大量に作ることではなく、現場が判断しやすい状態を作ることだ。

　岡田氏は、アイディアの一つとして「撮影禁止」のステッカーやラベルを使うことを提案する。オフィス内や現場に撮影禁止の表示を出し、カフェスペースや来客スペースなど、撮影してよい場所を明示する。見れば分かるサインを置けば、従業員がその場で考えなければならない量を減らせるはずだ。

　もう一つ重要なのが、例外時の相談先だ。社内の写真を撮ってよいか、イベントの様子を投稿してよいか、判断に迷ったときに誰へ相談すればよいのかを明確にしておく。禁止や厳罰化だけを強めると、社員が「まずいかもしれない」と思っても相談しづらくなる。情報漏えいを早期に止めるには、相談しやすい導線が欠かせない。

年1回の研修では足りない　セキュリティを習慣化するには

　SNS起点の情報漏えいを防ぐには、教育も欠かせない。ただし、ガイドラインを一度配布し、「そこに書いてあります」で終わらせても、従業員は細かな内容を覚えきれない。岡田氏は、セキュリティ教育では「高い意識でそれぞれ頑張る状態」を前提にしない方がよいと話す。重要なのは、普段からそうするものだと自然に判断できる“習慣”にすることだ。

　「1回のメッセージにたくさん込めないことが大事です。年に1回、4月にまとめて研修をして、あとは放っておく企業が多いと思います。ですが、ポスターでもパネルでもよいので、毎月のように変えていけば、変わった部分が目に入ります」

　例えば、今月は「オフィス内での撮影に注意する」、次は「外部サービスに業務情報を入力しない」といった形で、テーマを絞って繰り返す。全体を説明するガイドブックを用意しつつ、日常の中では一つずつ思い出せるようにする。

　岡田氏は、これを「公衆衛生」の考え方に例える。感染症対策では、手洗いやうがいといった基本的な習慣がリスク低減につながる。セキュリティも同様に、基本的な対策を習慣化できれば、多くのリスクを下げられる。

　同氏が監修として携わっている、エムオーテックスのセキュリティハンドブック「セキュリティ 7つの習慣・20の事例」でも、SNS投稿や公開範囲、PC画面ののぞき見、スマートフォン紛失、事故後の相談といった日常業務に近い場面が扱われている。岡田氏は、こうした事例を単発の注意喚起で終わらせず、日常的に判断できる習慣として定着させることが重要だと話す。

「セキュリティ 7つの習慣・20の事例」（提供：エムオーテックス）

SNS対策は、私物デバイスと外部サービス管理にもつながる

　岡田氏は、SNSの問題について「私物デバイスや外部サービス、生成AI利用に伴う情報管理リスクとも共通し、これまでの認識以上に重要性を増している」と話す。

　例えば、SNSに投稿する写真や動画に業務情報が写り込むリスクは、私物スマートフォンや外部サービスを通じて業務情報が社外に持ち出される問題と共通している。生成AIや個人用クラウド、メッセージアプリなどに業務情報を入力・共有してしまうリスクも同様だ。

　そのため、企業がまず考えるべきことは「私物デバイスを仕事の中でどう位置付けるか」だという。私物スマートフォンを業務で使ってよいのか。BYODを認めるのか。会社支給端末にするのか。私物端末にMDM（モバイルデバイス管理）を導入するのか。こうした方針を決めなければ、SNS利用や外部サービス利用のルールも曖昧（あいまい）になる。

　技術的な対策としては、クラウドサービスの利用状況を可視化するCASB（Cloud Access Security Broker）や、複数のセキュリティ機能を統合したUTM（Unified Threat Management）、「Microsoft 365」などによって、どのサービスが使われているかを把握できる場合もある。ただし、全てを定量的に見える化できるわけではない。岡田氏は、重要なのは「実態を把握しようと努力すること」だと話す。

従業員のモラル任せから、守れる仕組みへ

　SNS時代の情報漏えいは、若手社員の不注意や個人のモラルだけでは片付けられない。投稿者が見せたいもの、見る側が読み取る情報、再共有のしやすさ、デバイスやサービスの設定、私物端末の扱いが複雑に絡み合っている。

　企業に必要なのは、単に「投稿するな」と伝えることではなく、現場が守れる仕組みに落とし込むことだ。撮影禁止の表示、月次キャンペーン、身近な事例を使った教育、相談しやすい窓口を組み合わせる。SNS起点の情報漏えい対策は、私物デバイス、外部サービス、生成AIの利用が広がる中で、企業が情報をどう守るかという基本方針そのものにつながっている。