このページの目次
はじめに
企業の内部情報や顧客情報は、サイバー攻撃だけでなく、従業員による何気ないSNS投稿からも漏洩することがあります。
近時、西日本シティ銀行の職員が営業店執務室内を撮影した動画や画像をインターネット上に投稿し、その画像等が拡散された事案が報道されました。同行の発表によれば、動画や画像には、7名の顧客の氏名が記載されたホワイトボードが映り込んでいたとされています。同行は対象者に個別のお詫びと説明を行うと公表しています。
本件は金融機関で発生した事案ですが、同様のリスクは、医療機関、士業事務所、メーカー、IT企業、小売業、学校、自治体、一般企業の管理部門など、あらゆる組織で起こり得ます。
特に、職場内での写真・動画撮影、SNS投稿、チャットアプリでの画像共有は、顧客情報、取引先情報、営業資料、人事情報、売上目標、未公表案件、社内PC画面などを意図せず外部に流出させる危険があります。
1. 今回のニュースの概要
報道によると、問題となった投稿では、銀行内の様子、業務目標、ホワイトボード、顧客名、NISAや投資信託に関する記載などが映り込んでいたとされています。FNNの報道では、職場でスマートフォンのカメラを使って撮影された動画や画像がSNS上で拡散され、銀行側が調査した結果、支店に勤務する行員が撮影したものと判明したとされています。(FNNプライムオンライン)
また、今回使用されたとみられる「BeReal」は、1日1回ランダムな時間に通知が届き、通知から短時間で撮影・投稿する仕組みが特徴とされています。前面・背面カメラで自分と周囲を同時に撮影するため、撮影を意図していない被写体として周囲の人物、書類、PC画面、ホワイトボード、顧客名などが写り込みやすくなっていました。(FNNプライムオンライン)
この種の事案では、投稿した従業員個人の問題として処理するだけでは不十分です。企業としては、情報管理体制、職場でのスマートフォン利用ルール、SNS教育、顧客対応、監督官庁対応、社内処分、再発防止策まで含めて、組織的に対応する必要があります。
2. 内部情報・機密情報の漏洩が企業に与える影響
内部情報や機密情報がSNSで漏洩した場合、企業には次のような重大な影響が生じます。
1. 顧客からの信頼低下
氏名だけであっても、金融機関、医療機関、法律事務所、学校、介護施設など、利用しているという情報自体に秘匿性が高い業態では、漏洩したのが氏名だけであっても顧客の不安や不信感を生みます。
2. 取引先・株主・関係機関への説明責任
取引先情報、営業目標、未公表案件、契約交渉中の情報などが映り込んだ場合、取引先との信頼関係が悪化するおそれがあります。
3. 行政・監督官庁への報告リスク
個人情報保護法上の報告義務や、業法上の監督官庁対応が問題となる場合があります。特に金融、医療、教育、福祉、通信、士業など、顧客情報の管理が強く求められる業種では法令やガイドラインに従って適切に対応すべきです。
4. 損害賠償・苦情対応
情報が拡散された本人や取引先に損害が発生した場合には民事上の損害賠償義務が発生します。そうでなくとも、企業の社会全体に対する責任(CSR)の観点から事情の説明、謝罪、第三者委員会による検証・調査・再発防止策を求められる場合があります。
5. 採用・人事・労務への影響
従業員の処分、懲戒手続、退職者への対応、管理職の責任、社内教育の不備などが問題となります。
6. 炎上・報道対応
SNSで拡散された場合、企業の公式発表の遅れ、不十分な説明、投稿者への過度な擁護や過度な切り捨てが、さらに炎上を招くことがあります。
3. 法律上問題となる主なポイント
3-1. 個人情報保護法上の問題
顧客の氏名、住所、電話番号、メールアドレス、口座情報、診療情報、相談内容、購買履歴、契約情報などは、個人情報に該当し得ます。
個人情報保護委員会は、個人データの漏洩等が発生し、個人の権利利益を害するおそれがある場合には、個人情報保護委員会への報告及び本人への通知が必要になると説明しています。
対象となる類型として、要配慮個人情報が含まれる場合、財産的被害が生じるおそれがある場合、不正目的による漏洩等が発生した場合、1,000人を超える漏洩等が発生した場合が挙げられています。(総務省ポータルサイト)
したがって、企業は情報漏洩が発覚した段階で、次の点を速やかに確認する必要があります。
1. 漏洩した情報が個人情報又は個人データに該当するか
2. 氏名以外に住所、連絡先、口座情報、金融商品、診療情報、相談内容、契約内容などが含まれていないか
3. 漏洩対象者の人数
4. SNS上でどの程度拡散しているか
5. 二次被害のおそれがあるか
6. 個人情報保護委員会への報告義務があるか
7. 本人通知が必要か
本人通知については、概要、漏洩した個人データの項目、原因などを、本人に分かりやすい方法で速やかに行うことが求められています。(総務省ポータルサイト)
3-2. 金融機関・専門業種における顧客情報管理
金融機関については、個人情報保護法だけでなく、業法上も顧客情報の適正な管理が求められます。個人情報保護委員会の金融機関向けQ&Aでは、金融機関について、個人顧客情報の安全管理や従業者の監督など、漏洩、滅失、毀損の防止のために必要かつ適切な措置を講じることが求められるとされています。(総務省ポータルサイト)
これは金融機関に限られません。医療機関であれば診療情報、法律事務所であれば相談内容、学校であれば生徒情報、介護施設であれば利用者情報、企業の人事部門であれば従業員情報が、特に慎重な管理を要する情報となります。
3-3. 営業秘密・機密情報の漏洩
SNS投稿で問題となるのは、個人情報だけではありません。
企業の営業目標、取引先リスト、価格情報、契約条件、企画書、開発資料、技術情報、未公表の新商品情報、M&A情報、人事異動情報など、いわゆる企業内部の情報が映り込んだ場合、不正競争防止法上の営業秘密や、契約上の秘密情報に該当する可能性があります。
経済産業省は、不正競争防止法上の営業秘密について、「有用性」「秘密管理性」「非公知性」の3要件を満たす情報であり、営業秘密として管理されていることが必要であると説明しています。営業秘密が不正に持ち出されるなどした場合には、民事上・刑事上の措置をとることが可能とされています。(経済産業省)
もっとも、会社が「これは秘密だ」と考えているだけでは足りません。営業秘密として法的保護を受けるには、秘密情報であることを従業員が認識できる管理体制が必要です。
例えば、次のような管理が重要です。
1. 秘密情報の範囲を明確にする
2. 社外秘、極秘、関係者限りなどの表示を行う
3. アクセス権限を制限する
4. 持ち出し、撮影、複製、私物端末への保存を制限する
5. 秘密保持誓約書を取得する
6. 退職時にデータ返還・削除確認を行う
7. 研修で具体例を示して周知する
3-4. 従業員への懲戒処分・損害賠償請求
従業員が業務中に社内を撮影し、顧客情報や機密情報をSNSに投稿した場合、就業規則違反、秘密保持義務違反、服務規律違反に該当する可能性があります。
企業は、投稿の経緯、故意・過失の程度、漏洩情報の内容、拡散状況、顧客への影響、本人の反省状況、過去の指導状況などを踏まえて、懲戒処分の可否と相当性を検討します。
“炎上しているから重い処分にする”、“世間の批判が強いから懲戒解雇にする”、という判断は危険です。もちろん、行為の結果として外部に対する会社の信用を著しく毀損したという程度は処分の重さを決める一要素ではあります。しかし、懲戒処分は、就業規則上の根拠、事実認定、弁明機会、処分の相当性を丁寧に検討しなければ、後に処分無効を争われるリスクがあります。
3-5. 企業側の民事責任
漏洩により顧客や取引先に損害が生じた場合、企業は損害賠償責任を問われる可能性があります。
従業員個人の不適切投稿であっても、業務中、職場内、業務情報に関する投稿であれば、企業の管理体制や従業員監督の問題として扱われることがあります。
そのため、企業としては「従業員が勝手にやったこと」で終わらせるのではなく、会社としてどのような管理をしていたのか、どのような教育をしていたのか、再発防止策をどう講じるのかを説明できる状態にしておく必要があります。
4. 情報漏洩が発覚した場合の初動対応
内部情報・機密情報のSNS流出では、初動対応の速さと正確さが極めて重要です。
4-1. まず拡散状況と証拠を保全する
最初に行うべきことは、投稿を削除することだけではありません。削除前に、投稿日時、投稿内容、アカウント、画像・動画、閲覧数、拡散先、コメント、転載先を証拠化する必要があります。
証拠保全をしないまま削除すると、後に事実関係を確認できなくなり、顧客への説明、従業員の処分、損害賠償への対応、投稿者への対応、再発防止策の検討に支障が生じます。
具体的には、次の対応が考えられます。
1. 投稿画面のスクリーンショット保存
2. URL、投稿日時、アカウント名の記録
3. 動画・画像ファイルの保存
4. 拡散先SNSの確認
5. 社内関係者へのヒアリング記録作成
6. 関連するPC、スマートフォン、業務端末の保全
4-2. 漏洩した情報の範囲を特定する
次に、何が漏洩したのかを特定します。
氏名だけなのか、住所、電話番号、口座情報、病名、相談内容、契約内容、売上情報、業績目標、取引先名、社内資料、PC画面まで含まれているのかによって、法的リスクと対応方針は大きく変わります。
この段階では、投稿者の説明だけに依存せず、画像・動画を実際に確認し、映り込み情報を一つずつ洗い出す必要があります。
4-3. 影響を受ける本人・取引先を特定する
漏洩情報に個人や取引先が含まれている場合、対象者を特定し、通知・説明の要否を検討します。
本人への連絡では、単に「ご迷惑をおかけしました」と謝罪するだけでなく、次の内容を整理して伝えることが重要です。
1. 何が起きたのか
2. どの情報が漏洩したのか
3. いつ、どのように発覚したのか
4. 現在どこまで拡散しているのか
5. 二次被害のおそれがあるのか
6. 企業としてどのような対応をしているのか
7. 問い合わせ窓口はどこか
4-4. 個人情報保護委員会・監督官庁への報告要否を判断する
個人情報保護法上の報告対象事態に該当するかどうかを確認し、必要に応じて個人情報保護委員会への報告を行います。個人情報保護委員会は、報告対象となる場合には速やかに(概ね3日から5日以内)に報告をすることを推奨しています。(総務省ポータルサイト)
また、業種によっては、金融庁、厚生労働省、文部科学省、自治体、業界団体、委託元企業などへの報告・説明が必要となる場合があります。
報告義務の有無を誤ると、後に「隠蔽ではないか」「対応が遅い」と評価される危険があります。
4-5. 投稿者・関係者へのヒアリング
投稿者に対しては、次の事項を確認します。
1. 撮影日時
2. 撮影場所
3. 投稿したSNS
4. 公開範囲
5. 投稿後に誰が閲覧できたか
6. 他の画像・動画の有無
7. 過去にも同様の投稿をしていないか
8. 私物端末に業務情報が保存されていないか
9. 他の従業員が関与していないか
10. 退職者や外部者に共有していないか
ヒアリングでは、感情的な追及ではなく、事実確認を優先することが重要です。
4-6. 公表文・謝罪文・Q&Aの作成
外部公表が必要な場合には、曖昧な表現を避け、事実、影響範囲、対応状況、再発防止策を整理して公表します。
公表文では、次の点に注意します。
1. 確認済みの事実と調査中の事項を分ける
2. 対象者に不安を与える表現を避ける
3. 責任逃れと受け取られる表現を避ける
4. 投稿者個人を過度に晒す表現を避ける
5. 二次拡散を招く画像や詳細情報を出しすぎない
6. 問い合わせ窓口を明記する
5. 事前に講じるべき予防策
5-1. 職場内での撮影禁止・SNS投稿禁止ルール
まず、就業規則、情報管理規程、SNS利用規程に、職場内撮影やSNS投稿に関する明確なルールを設ける必要があります。
特に次の行為に対して明確なルールを設ける必要があります。
1. 執務室(取引先等の第三者が出入りすることが想定されていない社内)内での写真・動画撮影
2. 勤務時間中の私物スマートフォン使用
3. PC画面、ホワイトボード、書類、名札、名刺、受付簿の撮影
4. 勤務中のSNS投稿
5. プライベートでの会社名、支店名、顧客名、取引先名が推測される投稿
6. 社内イベントや懇親会の様子の投稿
勤務時間外での行為に対する服務規律がどこまで可能であるかは、事業内容や規模、働き方に応じて変わる部分もあります。ルールの策定は入念な検討が必要です。
5-2. スマートフォン管理と物理的対策
ルールを作るだけでは不十分です。実際に撮影できない環境づくりが必要です。
例えば、次の対策が有効です。
1. 顧客情報を扱う区域への私物スマートフォン持込み制限
2. 鍵付きロッカーの設置
3. 撮影禁止エリアの明示
4. ホワイトボードの配置変更
5. 来客・従業員の動線分離
6. PC画面の覗き見防止フィルム
7. 書類の放置禁止
8. 業務終了時のクリアデスク徹底
5-3. SNS研修の実施
若年層だけを対象にした研修では不十分です。管理職を含め、全従業員に対してSNSリスク研修を行う必要があります。
研修では、抽象的に「SNSに注意しましょう」と説明するのではなく、次のような具体例を示すことが重要です。
従業員全体に対して「当事者意識」を持たせる、会社全体として漏洩事案を防ぐ組織づくりをすることが肝要です。
1. ホワイトボードに顧客名が映る
2. PC画面に顧客情報が映る
3. 机上の書類に取引先名が映る
4. 社員証や名札で勤務先が特定される
5. 背景の掲示物から支店や部署が分かる
6. 投稿時刻から勤務実態が推測される
7. 過去投稿が後から掘り起こされて炎上する
5-4. 情報分類と秘密表示
秘密情報を守るには、従業員が「何が秘密なのか」を理解できる状態にしておく必要があります。
社内で取り扱う情報については、大枠以下のような区別が可能です。
・公開情報
・関係者限り
・社外秘
・部外秘
・機密情報
そもそも社外の人間に知られることを想定しているのか/していないのか、社内限りの情報としても誰には伝わってよいのかを明確に分類したうえで、情報へのアクセス権限を管理しましょう。
5-5. 退職者・内定者・アルバイトへの対応
情報漏洩リスクがあるのは、正社員だけではありません。
アルバイト、派遣社員、業務委託、インターン、内定者、退職者も、社内情報に触れる可能性があります。
そのため、雇用形態を問わず、次の対応を整備しておくべきです。
1. 秘密保持誓約書の取得
2. SNS投稿禁止事項の説明
3. 退職時のデータ返還・削除確認
4. 私物端末への保存禁止
5. 退職後の投稿・暴露行為への対応方針
6. 退職者による過去投稿の確認
6. 効果的な対応方法
情報漏洩対応では、法務、広報、人事、情報システム、現場責任者がバラバラに動くと、説明内容が食い違い、対応が混乱します。
効果的に対応するには、次のような体制が必要です。
6-1. 初動対応チームの設置
発覚直後に、経営層、法務、コンプライアンス、人事、広報、情報システム、現場責任者、外部弁護士で対応チームを組成します。
チーム内で、事実調査、顧客対応、行政対応、社内処分、広報対応、再発防止策の担当を明確にします。
6-2. 事実確認と法的評価を分ける
まず事実を確認し、その後に法的評価を行う必要があります。
初期段階で「たいした情報ではない」「氏名だけだから問題ない」「従業員個人の問題」と決めつけると、後に対応が後手に回ります。
6-3. 公表のタイミングを慎重に判断する
公表が早すぎると不正確な情報を発信するリスクがあります。一方で、公表が遅すぎると隠蔽と受け取られるリスクがあります。
そのため、確認済みの事実、調査中の事項、今後の対応を切り分けたうえで、必要な範囲で速やかに発信することが重要です。
6-4. 被害者・顧客への個別対応を重視する
外部公表よりも先に、対象者への個別説明が必要となる場合があります。
顧客対応では、形式的な謝罪だけではなく、不安に対する具体的な説明、再発防止策、問い合わせ窓口の整備が重要です。
7. 弁護士によるサポート
内部情報・機密情報の漏洩事案では、弁護士が早期に関与することで、法的リスクを整理し、企業としての対応方針を明確にできます。
7-1. 初動対応の助言
弁護士は、漏洩情報の内容、個人情報保護法上の報告義務、本人通知の要否、監督官庁対応、公表の必要性を検討します。
また、証拠保全、投稿削除要請、SNS事業者への対応、社内調査の進め方について助言します。
7-2. 顧客・取引先への説明文作成
情報漏洩時の説明文は、謝罪、事実説明、法的責任、再発防止策のバランスが重要です。
弁護士は、過度に責任を認めすぎる表現や、逆に責任逃れと受け取られる表現を避けながら、適切な通知文、謝罪文、Q&Aを作成します。
7-3. 行政・監督官庁対応
報告義務の有無、報告書の内容、追加調査への対応、再発防止策の説明について、弁護士がサポートします。
業種によっては、個人情報保護委員会だけでなく、監督官庁、自治体、業界団体、委託元企業への説明が必要となるため、対応窓口を整理することが重要です。
7-4. 従業員への懲戒処分対応
投稿した従業員への処分は、感情的に決めるべきではありません。
弁護士は、就業規則の根拠、懲戒事由の該当性、処分の相当性、弁明機会の付与、処分通知書の作成を支援します。
また、退職者が関与している場合や、投稿者に対する損害賠償請求を検討する場合にも、法的見通しを整理します。
7-5. 再発防止策の整備
弁護士は、次のような社内体制整備を支援します。
1. SNS利用規程の作成
2. 情報管理規程の見直し
3. 秘密保持誓約書の整備
4. 就業規則の懲戒事由の見直し
5. 職場内撮影ルールの策定
6. スマートフォン持込みルールの整備
7. 研修資料の作成
8. インシデント対応マニュアルの作成
9. 役員・管理職向け研修
10. 従業員向けSNS研修
8. 次のような点を見直しましょう
情報漏洩を防ぐため、今すぐできるチェックリストを掲載しました。
1. 職場内での撮影ルールがあるか
2. 勤務中のSNS投稿ルールがあるか
3. 私物スマートフォンの持込みルールがあるか
4. 顧客情報が見える場所にホワイトボードや書類を置いていないか
5. PC画面が撮影されやすい配置になっていないか
6. 従業員にSNS研修を実施しているか
7. アルバイト・派遣社員・業務委託にもルールを周知しているか
8. 秘密保持誓約書を取得しているか
9. 情報漏洩時の連絡フローがあるか
10. 公表文・本人通知文のひな形があるか
11. 個人情報保護委員会への報告要否を判断できる体制があるか
12. 弁護士にすぐ相談できる体制があるか
まとめ
SNS投稿による情報漏洩は、スマホのタップ1つで発生します。
従業員が「日常の一場面」として撮影した写真や動画に、顧客情報、社内資料、ホワイトボード、PC画面、取引先名が映り込めば、企業にとって重大な信用問題に発展します。
重要なのは、問題が起きてから慌てるのではなく、平時からルール、研修、物理的対策、情報管理規程、緊急時対応フローを整備しておくことです。
万が一、内部情報・機密情報・顧客情報の漏洩が発生した場合には、証拠保全、事実確認、本人対応、行政対応、公表対応、従業員対応、再発防止策を一体的に進める必要があります。
