「BeReal禁止」で再発防止になるのか　マネフォの情報流出にも共通する“責任の所在”

　このところ、写真・動画SNS「BeReal（ビーリアル）」による情報流出が注目されている。また、家計簿アプリ「マネーフォワード」がGitHub（ギットハブ）での不正アクセスで、顧客情報が流出したケースも話題だ。

【解説】「BeReal禁止」で再発防止になるのか　マネフォの情報流出にも共通する“責任の所在”

　“自社以外のサービス”の利用で不祥事が起きた時、どのような炎上対応が求められるのだろうか。

●西日本シティ銀行、BeReal問題でスマホ持ち込み禁止にまで

　BeRealをめぐる事案で、一番大きく報じられているのが、西日本シティ銀行だ。行内の様子を撮影した動画がBeRealに投稿された結果、映り込んでいたホワイトボード上から顧客7人の氏名が拡散された。

　同行は4月30日、この投稿が職員によるものだと認め、個人情報が流出した7人に対して、個別に謝罪と説明を行うと発表。

　この問題を受け、GW期間中に予定していた、地元の「博多どんたく港まつり」への参加も自粛した。5月12日に行われた決算会見では頭取が謝罪し、「再発防止策として、顧客情報を取り扱う場所への私用スマートフォンの持ち込みを禁止した」と発表した。

　BeRealとはフランス発の写真や動画が共有できるSNSで、アプリ利用者に1日1回、不特定の時間に通知が届き、2分以内に写真の投稿を促される。過去に撮影した写真は投稿できず、リアルタイムで撮影した写真を投稿する必要がある。

　こうした性質から、より「同じ時間を生活している」といったリアルタイム性に魅力を見いだす若者を中心に人気を集めている。特にBeRealはZ世代で唯一、毎年利用率が伸びているSNSだ。

　上記の事象に加え、5月2日には、ピザーラ蒲田店（東京都大田区）で勤務するアルバイト従業員が、客の個人情報が書かれた伝票を撮影・投稿していたことなどを謝罪。飲食チェーン「肉汁餃子のダンダダン」の運営企業も同日、フランチャイズ店舗での従業員によるSNS投稿に、アルバイト応募者の履歴書に含まれる個人情報が含まれていたと謝罪した。

　いずれもサービス名は明かされていないが、ネット上ではBeRealによるものではないかと指摘されている。

　不適切な場所でのBeRealの撮影が問題視されているが、なぜこのような流出事案が起きてしまうのか。筆者は、その背景に“焦り”があるのではないかと考える。2分という制限時間を逃すと、「流行に乗り遅れるのではないか」という不安から、状況を問わず投稿を優先してしまう。そんな心理が働いているように感じられる。

●マネーフォワードでも個人情報の流出

　不祥事に発展する情報流出は、個人によるものだけではない。先日から話題になっている「マネーフォワード」の事案では、フィンテック企業としての信頼が揺らいでいる。

　マネーフォワードは5月1日、ソフトウエア開発などに利用しているサービス「GitHub」で第三者による不正なアクセスが発生した結果、自社グループが提供するサービスのソースコード（プログラムの動作を指示する文書）が閲覧・コピーされたと発表。グループ会社が提供するクレジットカードの保持者名や、カード番号の下4ケタが流出した可能性があると謝罪した。

　併せて、家計簿アプリの肝とも言える「銀行口座連携機能」を停止。GW中の事案とあって、対応が注目されていたが、なかなか続報が発表されず、SNS上では疑問や不安から、その広報姿勢に批判が上がる事態となった。なお5月11日になって、ようやく連携の一部再開が発表されている。

●プラットフォーマーに責任を押し付けている？

　各企業でのBeReal事案と、マネーフォワードの事案。主体が「一個人によるプライベートな流出か」「業務として利用していたサービスでの流出か」といった点は異なるものの、いずれも企業としての、セキュリティ意識や教育体制、開発体制の監視の甘さが問われている。

　一方で、情報漏洩を招いた企業側の説明を見ると、どこかプラットフォーマーに責任を押しつけているようにも映る。例えば、マネーフォワードは第1報のタイトルを「『GitHub』への不正アクセス発生に関するお知らせとお詫び」としており、原因がGitHub側にあるかのような印象を与えかねなかった。

　ユーザーが知りたかったのは「内部システムではなく、外部サービスのGitHubを利用していた理由」、そして「GitHub上に顧客データが保存されていた経緯」だ。後者については第2報以降で説明されたものの、自社の管理体制や運用上の問題への言及は相対的に少なく、「GitHub」という固有名詞ばかりが頭に残る。

　SNSでも「GitHubの名前を出して責任逃れしているように見える」「問題は自社のセキュリティー管理の不備にあるのではないか」「なぜ、GitHubを使っていたのか」といった批判や疑問が上がった。本来問われるべきなのは、流出元企業の社員教育やセキュリティー意識の醸成、運用体制の整備が十分だったのかという点だろう。

　しかし、プラットフォームが介在することにより、「ツールにも責任がある」という逃げ道が生まれる。つまり“被害者ポジション”のような振る舞いを取ろうと思えば取れてしまうのだ。

　ネットユーザーは、炎上事案が発生すると、すぐにツッコミどころを探しがちだ。そこでもし、「プラットフォームのせいにしている」と感じさせるような姿勢が見えれば、責任転嫁ではないかと言われても仕方がない。

　情報流出そのものは、もちろん問題だ。ただ、その後の対応次第では、企業イメージへのダメージを最小限に抑えられる場合もある。経緯説明で「どのサービスを利用していたか」を明記すること自体は誠実な姿勢と言えるが、その結果として、流出を招いた企業側の責任が薄まって見えるのであれば、得策とは言い難い。

●ユーザーの離脱を招く要因は

　情報流出に限らず、企業に不祥事が発生した場合には、必ずと言っていいほど、原因究明のプロセスが必要となる。ただし、その内容をどこまで詳細、かつリアルタイムに顧客へ共有するかは、一概に正解を示しにくい。

　例えば、もし刑事事件や訴訟に発展するような要素があれば、「法廷闘争の決着が付くまでは、顧客に伝えられない情報」も出てくることだろう。しかしながら、法的なことでなければ、どうだろうか。

　マネーフォワードが口座連携再開まで時間を要したのは、「表に出せない調整」があったからだと考えられる。実際に5月12日の発表では、対策を講じた後に、提携金融機関との協議を進めていたと明かされている。そして、最終確認が取れた金融機関から、順次連携を再開しているとした。

　ただ、これはあくまで「企業側の論理」に過ぎない。ユーザーからすれば、突然メインの機能が停止され、その後1週間経っても音沙汰がないとなれば、信頼の失墜を招いても不思議ではない。SNS上では「流出そのものではなく、その後の対応から解約を決めた」といった声も出ている。

●SNS時代に求められる、不祥事対応

　SNS社会では、あらゆるブームも炎上も、数日で一段落する。これはつまり、続報を出しても、あまり読まれない傾向があることを示す。だからこそ、初報でしっかり対応できないと、後を引く。

　残る印象も「情報流出を起こした会社」ではなく、「不祥事対応が適切でなかった会社」になってしまえば、より深刻さを増すだろう。その点、マネーフォワードの対応は、サービスの根幹を担う機能を長期停止しておきながら、誠実さに欠ける印象を持つ。

　また、プラットフォームの利用についても、しっかり「なぜ使っていたのか」「今後どのように向き合うのか」を説明する必要がある。今後もし再発防止策が出ても、「GitHubやBeRealの禁止」といった、個別プラットフォームに絞った小手先の対応では、根本的なセキュリティ意識の改善にはつながらない。

　炎上対応の本丸は、「（サービス利用者以外も含めた）ネットユーザーに納得感を与えられるか」だ。もしチグハグな対策と感じさせたなら、火に油を注ぐ結果になりかねない。実効性のある対策を取るためには、もっと広い「外部ツール利用の心構え」を周知・徹底する必要がある。それができないようであれば、イメージ回復には時間を要するだろう。

●著者紹介：城戸譲

1988年、東京都杉並区生まれ。日本大学法学部新聞学科を卒業後、ニュース配信会社ジェイ・キャストへ入社。地域情報サイト「Jタウンネット」編集長、総合ニュースサイト「J-CASTニュース」副編集長、収益担当の部長職などを歴任し、2022年秋に独立。現在は「ネットメディア研究家」「炎上ウォッチャー」として、フリーランスでコラムなどを執筆。政治経済からエンタメ、炎上ネタまで、幅広くネットウォッチしている。