「スマホ禁止」では解決しない　西日本シティ銀行の「BeReal」情報漏えい騒動から学ぶ、たった1つの教訓

　九州地方の有力な地方銀行、西日本シティ銀行で発生した不祥事が、ビジネス界を騒然とさせている。

【画像】対処すべきアプリは「BeReal」だけではない

　行員が「ありのままの日常」を共有するSNS「BeReal（ビーリアル）」に投稿した写真に、あろうことか個人顧客8人の氏名（個人情報）に加え、法人19社の社名、さらには営業目標が鮮明に映り込んでいたのだ。

　同行は4月30日に公式謝罪文を公表し、村上英之頭取は会見で「組織の問題として重く受け止めている」と陳謝し、5月11日から営業店への私用スマホ持ち込みを「完全禁止」すると発表した。思わぬ形での機密流出に、九州の大手企業の間でも驚きと困惑が広がっている。

●なぜ起きた？　構造的な3つの要因

　今回の騒動の背景をひもといていくと、主に3つの要因が浮かび上がる。

1. アプリの設計による「認知の強制」

　BeRealは、1日1回、不定期に届く通知から2分以内に投稿しなければならない。この「時間制限」と、イン・アウト両方のカメラが同時に作動するというアプリの設計そのものに罠があった。

　BeRealから通知が来たら急いでカメラを起動させなくてはならない。この動作の中で、人は背後のPC画面に何が写っているかを確認する余裕を失う。

2. 「内輪の空間」というデジタル・バイアス

　ユーザーにとってBeRealは極めてクローズドな「内輪の空間」だ。そこでは職場もまた、単なる「日常の1コマ」となる。この「身内だけが見ている」という根拠のない安心感によって、オフィスという「公」の空間を、「私」のコンテンツへと変質させた。

3. セキュリティー制度の機能不全

　日本企業の情報管理制度の多くは「情報を盗もうとする悪意」を防ぐことに特化しがちだ。しかし、現代の真の脅威は、悪意のない日常から生まれる。

　物理的な職場という箱だけでは内部情報を守りきれない現代において、社員の「無意識の習慣」が引き起こすリスクを想定していない今の制度では、その役割を果たしきれない。

●今この瞬間に自社で起きてもおかしくないトラブル例

　西日本シティ銀行の事例は氷山の一角だ。BeRealという特定のアプリがやり玉に挙げられているが、リスクはあらゆる場面に潜んでいる。あなたの会社でも、今日この瞬間に起きても決しておかしくない。

　例えば、普及が進むウェアラブルデバイスによる「無意識の常時記録」だ。スマートグラスを装着した社員が、そのまま取引先と商談をしたり、機密性の高い開発現場を歩き回ったりする。見た目はただのメガネであり本人も悪意はないが、デバイスは視界に入るすべての書類やホワイトボードの書き込みをクラウドへ送り続けているかもしれない。

　撮影ボタンを押すといった操作が不要の仕組みは、利便性を上げる代わりに、情報漏えいのリスクも高めることになる。

　AI議事録ツールも同様だ。オンライン会議において、参加者の1人がよかれと思って導入した外部のAIツールが、会議の内容をテキスト化し、外部サーバーへ保存する。会議の機密事項や人事評価の生々しいやり取りが、ツールの脆弱性や設定ミス一つで、意図せず外部へ流出するリスクが生まれる。

　「Work With Me（作業風景）」系のライブ配信はさらに深刻だ。テレワークが浸透した今、自宅から作業風景をライブ配信する人がいる。本人の顔しか映していないつもりでも、背後の音声や、モニターの端に映り込んだ書類が、リアルタイムで不特定多数の目に触れている。

　共通するのは、加害者に「機密を漏らしている」という自覚や悪意が一切ない点だ。彼らはただ、便利なSNSなどをいつものように使いながら日常を送っている。この悪意なき行為こそが、現代の組織が直面している真の脅威だ。

●企業が騒動から学ぶべきたった1つの教訓

　今回の事件から学ぶべきたった1つの教訓は、「現代において、社員のモラルや意識だけに依存する管理には限界がある」という事実だ。

　この事実の前に企業が取るべき道は2つしかない。「『物理的な制御システム』を導入すること」と、「デジタル空間における『公私の境界線』を徹底して周知させること」である。

　海外の先進企業や機密情報を扱う組織を見ると、MDM（モバイルデバイス管理）の導入は有効な選択肢として注目されている。

　MDMはスマホなどのモバイルデバイスを一元的に管理するシステムやツールを指す。これは単に、従業員が紛失した時に端末をロックするものではない。高度な設定により、特定のGPSエリア（執務室など）に入った瞬間に私物・業務用を問わずカメラ機能を強制的に停止させたり、「BeReal」のようなリアルタイム投稿型アプリを「リスクアプリ」として検知し、起動を制限したりする仕組みだ。

　日本企業でもBYOD（Bring Your Own Device、私物端末の業務利用）ポリシーと併用した導入といった「撮らせない」環境をシステム側で担保することは、検討する価値があるだろう。

　しかし、システムによる縛りだけでは限界がある。もう一つの重要な道として、現代における「デジタル・プロフェッショナリズム」を、いかに自分事として徹底的に認識させる必要がある。

　西日本シティ銀行が踏み切った「私用スマホの持ち込み禁止」や、多くの企業が検討する「SNS利用の制限」だけでは、本質的な対策にならない。テクノロジーはこれからも進化し続けるからだ。技術の進化がもたらす、意図しない情報漏えいのメカニズムを正しく知り、正しく恐れること。そして、その正しい事実に基づき対策を講じることが重要である。

　私たちは、西日本シティ銀行の痛恨の事例を、自社の情報セキュリティーを根本的にアップデートするための「重要なアラート」として受け止めなければならない。そして働く社員一人一人にとっても他人事ではなく、自戒すべき出来事だ。

著者プロフィール：村上 ゆかり

コラムニスト。1児の母。リクルートにて人材業界で法人営業、面接、面談フォロー実績数百件を経験。人事役員などと伴走しさまざまな人事課題に向き合う。広告業界にて5000人集客イベント企画＆事務局経験、福祉業界では人事管理職として新卒及び中途採用を1人で設計から実務まで担当し年間約120人採用を達成。国会議員秘書約4年半を経験後、フリーで活動を始め、執筆のほか企業の人事採用コンサルタントなどを手掛ける。アンガーマネジメント講師。