SNS投稿による個人情報流出事故の原因と対策

（1671×941 ピクセル, 177 Kbyte）

事例

20266年4月に、国内で連続して発生したSNS投稿による個人情報漏洩の事例の特徴は、不正アクセスやサイバー攻撃ではなく、職員や関係者の軽率な投稿または投稿画像・動画への映り込みによって情報が外部に拡散した点にあります

西日本シティ銀行では、職員が BeReal で支店執務室内を撮影・投稿し、その内容がX上で拡散しました。映像にはホワイトボードに記載された顧客7名の氏名、業績目標、PC画面などが映り込んでいました。BeReal は通知後短時間で投稿を促す設計であり、十分に確認しないまま投稿してしまう危険性が指摘されています。

日本テレビ「ZIP!」では、制作協力会社の新人スタッフが Instagram に投稿した画像や動画から、出演者名入りの資料、シフト表、入構証とみられる情報が拡散しました。SNS情報漏洩防止の研修を実施した直後の投稿だったため、研修の実効性が問題になりました。

武蔵野徳洲会病院では、職員が投稿した動画に患者48名の氏名が映り込んでいたことが、投稿から約15か月後に判明しました。発覚後、病院は投稿削除、個人情報保護委員会への報告、対象者への謝罪、全職員への研修を行いました。

桜十字病院では、SNS投稿に患者の医療書類が映り込んだとみられ、患者1名の氏名、生年月日、年齢が漏洩した可能性が公表されました。医療情報は特に機微性が高く、少人数の漏洩でも重大な問題になります。

問題点

これらの事例から見える問題は、単なる個人の不注意にとどまりません。第一に、「SNS投稿禁止」といった抽象的なルールだけでは、投稿者が具体的に何を危険と判断すべきか理解しにくい点があります。ルールを知っていても、目の前の動画や写真のどこに個人情報が含まれるのかを判断できなければ、漏洩は防げません。

第二に、映り込みへの無自覚があります。投稿者は自分や業務風景を撮影しているつもりでも、背景のホワイトボード、書類、PC画面、名札、入構証などから情報が漏れることがあります。第三に、BeReal のような即時投稿を促す新しいSNSアプリへの対応が遅れがちです。第四に、正規職員だけでなく、委託先、派遣、アルバイトなど、業務に関わる全員への教育が十分に届いていないことも問題です。

対策

対策は、技術的対策、運用的対策、人的対策の3層で考える必要があります。

技術的対策: 撮影禁止エリアの明確化、撮影禁止表示の設置、PC画面のプライバシーフィルター導入、業務エリアへの私物スマートフォン持ち込み制限などが挙げられます。

運用的対策: 「SNS投稿禁止」という曖昧な表現ではなく、「業務中・業務エリアでの私的撮影や投稿を禁止する」など、具体的な規程にすることが重要です。また、その規程を外部スタッフにも適用し、入場時や業務開始時に誓約確認を行うことが有効です。さらに、自社名や施設名がSNS上で言及されていないかを定期的に確認する監視体制も必要です。

人的対策: 実際の事故例を使ったケーススタディ研修が効果的です。「鍵アカウントなら安全」「モザイクをかければ大丈夫」「自分は個人情報を撮っていないから問題ない」といった誤解を修正する必要があります。投稿前にフレーム内を確認する習慣や、気分が高揚している場面ほど一呼吸置く行動を身につけることが大切です。