BeRealはNG、なのにAI議事録はスルー……　日本企業が目を背ける情報漏えい対策の限界

　西日本シティ銀行の行員がSNS「BeReal（ビーリアル）」に投稿した画像に顧客情報が写り込み、拡散されてしまうという事案が起こった。

【その他の画像】

　これまでも、アルバイトが悪ふざけの動画を投稿して炎上する「バイトテロ」は問題視されてきた。しかし、今回の事案をそれらと同一視するのは危ない。

　日常業務において、当然のように撮影や録音をする場面は増えており、今後こうした記録をきっかけとしたトラブルは増えていく可能性が高いからだ。

　こうした記録と、企業は今後どのように向き合っていくべきなのだろうか。

●「バイトテロ」では説明がつかない

　金融・医療の現場でも、西日本シティ銀行のようなSNS投稿による情報流出が相次いでいる。

　JCBの社員とされる人物が、社員証や社内資料とみられる画像やNTTドコモの社内基幹システム構成図とされる画像をInstagramに投稿し、それがXで拡散された。

　医療現場でも、看護師が患者のカルテ画像を投稿した事案や、委託職員が患者20人分の情報を流出させた事案が発生している。西日本シティ銀行や医療機関は謝罪・対応に追われ、JCBについても事実関係を調査中と報じられている。

　こうした一連の事案は、当初「バイトテロ」と同じ文脈で語られやすかった。しかし、今回の事案は当事者の顔ぶれが大きく異なる。銀行員、カード会社社員、看護師、委託職員。これらは「アルバイトの悪ふざけによる炎上」ではない。顧客・患者情報に日常的に接する業務現場で起きている点に、これまでの炎上との大きな違いがある。

　西日本シティ銀行の村上英之頭取は、この問題を「個人の意識の低さではなく、組織の問題として重く受け止めている」と述べたことが報じられている。経営トップが、個人の落ち度として片付ける見方を否定しているのだ。

　では、組織の何が機能していなかったのか。

●ルールはあったが、それでも起きた

　西日本シティ銀行は今回の事案を受け、営業店など顧客情報を扱う場所への私用スマホの持ち込みを禁じたと報じられている。思い切った対応に見えるが、金融機関のオフィスでは、私用スマホの利用を制限している例は珍しくない。

　ただ、それは一律に適用される措置ではない。個人情報保護委員会のガイドラインは、区域ごとに安全管理の基準を分けている。例えば、サーバや重要な情報システムを置く「管理区域」では、入退室管理に加え、カメラなどの機器の持ち込みが制限されている。一方で、個人データを扱う執務室や窓口のような「取扱区域」では、間仕切りや座席配置といった閲覧対策が中心だ。金融分野向けの制限はより強めだが、それでも、区域や場面に応じた措置にとどまっている。

　つまり、顧客名がホワイトボードに残る営業店の執務エリアは、本来なら閲覧対策が中心で、スマホが全面的に禁止される場所ではなかった。そのため、同行が私用スマホを禁じたのも今回の事案が起きた後である。

　では、スマホを禁止すれば今回のような事態を防ぐことができるのか。社会保険労務士で、社内規定のクラウドサービスを手がけるKiteRa（キテラ）の渡辺涼太氏は、「規定を従業員が読むとは限らず、読んでも目の前の行為と条文が結びつかない。規定に禁止項目を付け加えるだけでは抑止力にはならず、周知・研修・運用が一体となって初めて効果を発揮する」と話す。そして、「そこまでしても、最後はその方の良心に委ねられている」と言う。

　この「良心」については、JCBの事案を見るとはっきりと分かる。問題の投稿には、「スマホを持ち込めないのに」という趣旨の文言が添えられていたと伝えられている。もしこの通りなら、持ち込み禁止という規定は「守るべきもの」ではなく、「嘲笑の対象」になっていたことになる。

　規定は、いわば塗装である。表面をきれいにすることはできても、素地である人が整っていなければ、本来の効果を発揮することはできないのである。

●「内輪感」に安心した結果……

　BeRealは、通知後2分以内の撮影・投稿を促す設計になっている。前面と背面のカメラが同時に作動し、自分の顔と目の前の風景が一枚に収まる。撮るかどうかを考え、背景を確かめる余裕はほとんどない。

　渡辺氏は、今回の事案を悪意ある漏えいとは区別しており、「気付いたら炎上していたという感覚だろう」と話す。机の上の書類や、ホワイトボードに残った顧客名が、知らず知らずのうちに写り込む。意図的な違反というより、「通知が来たら投稿する」という無意識の反射行動が招いた結果と言える。

　こうした行動は、とりわけ新入社員に起きやすい。特定社会保険労務士であるKiteRaの小林眞理氏は、「学生時代にSNSを制限なく使っている。そのため社会人になっても学生時代の使い方が抜けきらないことが多い」と話す。

　もちろん、危ないのはBeRealだけではない。投稿先がLINEであろうとBeRealであろうと、職場の情報を外に出してはならないことに変わりはない。

　BeRealが投稿への警戒感を鈍らせるのは、その「内輪感」にも原因がある。「友人しか見ていない」という安心感から気軽に投稿してしまう人も多い。しかし、見ているのは「友人だけ」という保証はない。友人の友人に広がることがあり、後から公開範囲を変更できる。また、限定公開のつもりでも、誰かがスクリーンショットを撮って外に出してしまうこともある。実際、医療機関の事案では、限定公開の投稿が第三者のアカウントを通じて発覚している。

　BeRealだけが特異なわけではない。考える前に撮ってしまうこと、限定公開が簡単に破られることは、どんな撮影にも当てはまる。BeRealが、その職場に元々あった撮影統制の甘さを、あぶり出してしまったにすぎないのである。

●禁止と促進が共存するという矛盾

　西日本シティ銀行が選んだ私用スマホ禁止は、いわば「物理的に断つ」対策だ。端末がなければ撮影も投稿も起こりようがないため、即効性は高い。

　ただ、これは時代の流れに逆行しているのかもしれない。小林氏によれば、「AIによる議事録作成や要約を目的とした録音について、同意をしてくださる顧客が増えてきた」という。録音や撮影に対する社会的な抵抗感は年々下がっている。そのため、私用スマホの持ち込みを規制する行為は、時代の流れに逆らう一時しのぎのものでしかない。

　社員のスマホはロッカーにしまわせる一方で、会議の音声は録音してAIで文字起こしや要約をしている。記録を減らそうとしながら、別の記録はむしろ増やしているという点に、ねじれがあるのだ。

　社員が機密情報を記録・拡散してしまうことを禁じても、業務において録音やAI活用を促している限り、根本的な解決にならないのである。

●撮るのが会社なら？

　もちろん、打つ手がないわけではない。渡辺氏はロールプレイを勧めており、「オフィスを歩きながら、ここでこれを写したら何が起きるかを考えさせることが有効だ」としている。小林氏は、ルールの浸透状況を把握する方法として、規定を周知した上で、社員の閲覧状況を可視化し、未読者への再周知を行う運用が必要だと述べている。いずれも、社員の意識を向上させ、規定を現場に浸透させる、地道な手段である。

　ただ見落とされやすいが、同じ「記録」でも誰の手にあるかで、全く違う名前で呼ばれる。

　金融分野の実務指針では、前述の持ち込みの「制限」に加え、その対極とも言える措置が追加されている。会社が職場をカメラで撮影し、記録・監視することに対する「許可」だ。つまり、同じ指針の中で、社員の記録は制限し、会社の記録は安全管理の手段として認めているのである。

　先に触れたAI議事録も、会社による記録だ。個人のスマホによる撮影や投稿と違うのは、「誰が、何の目的で、どの範囲を、どの権限とルールの下で記録しているか」が明確で、会社が主導している点だ。

　AIの活用が急速に進み、撮影や録音といった記録が当たり前になっていく流れは止めることはできない。こうした状況下で重要なのは、記録自体を「制限」することではなく、目的や対象を考え、記録を適切に「管理」しようとする姿勢なのかもしれない。