従業員の私的投稿をきっかけとした情報漏えい
――法的責任・企業対応・再発防止策
はじめに――従業員の私的投稿による情報漏えいは、個人の失敗だけでは説明できません。
近年、従業員によるSNS投稿をきっかけとして、顧客情報、社内資料、店舗・執務室内の情報などが外部に漏えいする事案が相次いでいます。
従来のSNSトラブルでは、悪ふざけ動画、いわゆる「バイトテロ」、過激投稿による炎上など、投稿者本人の故意性や問題意識の低さが目立つ事案が典型と考えられてきました。
しかし、近時の問題は少し性質が異なります。新卒社員、一般社員、医療従事者、教職員、金融機関職員などが、悪意なく、日常的な感覚で撮影・投稿した画像や動画に、職場内の情報が映り込むケースが問題になっています。
このような事案では、「本人が軽率だった」で終わらせるだけでは不十分です。企業の情報管理体制、職場環境、教育、撮影ルール、初動対応まで含めて、組織としてのリスク管理が問われます。
この記事で特にお伝えしたいこと
- 従業員の私的投稿をきっかけとする情報漏えいは、「SNS対策」の問題というより、情報管理・内部統制・危機管理の問題です。
- BeRealをはじめとするSNS投稿では、短時間投稿、前後カメラ同時撮影、限定公開感覚などにより、職場内情報の映り込みが起きやすくなることがあります。
- 企業対応では、感情的な処分ではなく、証拠保全、影響評価、社内調査、対外説明、再発防止を順序立てて進める必要があります。
- 企業では、就業規則やSNSポリシーだけでなく、実際の職場に機密情報が映り込みやすい状態がないかを点検することが重要です。
1 なぜ私的投稿による情報漏えいが起きるのか
近時は、BeRealをはじめとするSNSへの投稿を契機として、職場内情報の映り込みによる情報漏えいが問題となっています。BeRealはあくまで一例ですが、従業員の私的投稿が企業の情報管理上の問題につながる典型例として確認しておく必要があります。
- ランダムな通知
- 短時間での投稿
- 前後カメラによる同時撮影
- 無加工・リアルな共有
- 友人向け・限定公開という感覚
このようなSNSの特徴は、利用者同士の自然な共有を促す点にあります。しかし、企業実務では、その特徴が職場内情報の映り込みリスクにつながることがあります。
「今すぐ撮る」という焦りが、確認不足を生みます
短時間での投稿が促される仕組みでは、利用者に「今すぐ撮らなければ」「とりあえず投稿しよう」という心理が生じやすくなります。
従来型のSNSであれば、撮影、加工、確認、投稿という過程で、背景に何が写っているかを確認する機会がありました。しかし、短時間での投稿を促すサービスでは、その確認過程が十分に働かないことがあります。
「限定公開だから安全」という誤解があります
BeRealなどのSNSでは、「友人だけが見る」「短時間で消える」という感覚が生じやすいといえます。しかし、これは安全性を保証するものではありません。
投稿された画像や動画は、スクリーンショット、画面録画、他人による保存などによって、本人の想定を超えて外部に拡散する可能性があります。投稿者本人に悪意がなくても、保存された画像は残り続けます。
したがって、「限定公開だから大丈夫」という理解は、法的にも技術的にも危険です。
本質的な問題は、アプリではなく職場環境と端末管理です
ここで重要なのは、特定のアプリ自体を悪者にすることではありません。
問題の本質は、職場内で私用スマートフォンの制限なき持ち込み・利用や、会社貸与端末の不適切な利用(私的アプリのインストール等)が可能であり、かつ、顧客情報、ホワイトボード、PC画面、書類、IDカード、内部資料などが映り込み得る状態にあることです。
実務上のポイント
情報漏えいは、外部からのサイバー攻撃だけで起きるわけではありません。従業員の日常的な撮影・投稿によっても発生します。これは、個人の注意力だけに依存する情報管理の限界を示しています。
2 近時の事例から見える企業リスク
金融機関で公表されたSNS投稿事案
2026年春、金融機関の職員による営業店執務室内の撮影・インターネット上への投稿をきっかけとして、顧客の氏名が記載されたホワイトボードが映り込んだ動画・画像が拡散された事案が公表されました。
公表情報から確認できる範囲では、投稿者に漏えいの故意があったのか、背景確認不足による過失だったのか、具体的な経緯を外部から断定することはできません。したがって、個別事案について安易に評価することは避けるべきです。
もっとも、金融機関という高度な情報管理が期待される業種において、顧客情報が外部から閲覧可能な状態になったこと自体は、社会的影響の大きい事案です。
医療・教育分野でも同じ問題が起きます
病院や学校でも、患者情報、教育関連情報、内部資料などの映り込み事案が報道されています。
医療・教育分野では、損害賠償額の問題以上に、信頼喪失が深刻です。患者、保護者、生徒、取引先は、「自分たちの情報が軽く扱われた」と受け止める可能性があります。
これは、単なる情報管理ミスではなく、組織への信用問題です。
若年層批判だけでは解決しません
SNS上では、新卒社員や若手社員による漏えい事案について、揶揄的・攻撃的な反応が見られることがあります。
しかし、「若者のリテラシー不足」という説明だけで片付けるのは適切ではありません。問題は、学生時代から続くSNS文化、私的な共有感覚、そして企業側の教育不足・環境整備不足とのギャップにあります。
企業としては、「若い従業員が悪い」という見方にとどまらず、どの部署で、どの場所で、どのような情報が、どのように映り込み得るかを点検する必要があります。
3 従業員本人の責任
従業員の私的投稿による情報漏えいでは、企業責任だけでなく、従業員本人の責任も問題になります。ただし、「漏えいしたから直ちに犯罪」「投稿したから直ちに高額賠償」と単純に考えるのは正確ではありません。
| 責任の種類 | 問題となる場面 | 実務上の見方 |
|---|---|---|
| 民事責任 | 顧客、患者、取引先、会社などに損害が生じた場合 | 不法行為責任や会社に対する損害賠償責任が問題になり得ます。 |
| 雇用契約上・労務上の責任 | 職務上知り得た情報を漏えいした場合 | 秘密保持義務、誠実義務、服務規律違反として懲戒の対象になり得ます。 |
| 刑事責任 | 営業秘密侵害、個人情報データベース等の不正提供、専門職の守秘義務違反など | 成立範囲は限定的です。構成要件に該当するかを慎重に確認する必要があります。 |
民事責任
SNS投稿によって、プライバシー、名誉、営業利益、社会的信用などが侵害された場合、投稿者本人が民法709条の不法行為責任を負う可能性があります。
例えば、顧客氏名、患者情報、社内の秘密情報、取引先情報などを投稿した場合には、被害者に対する責任や会社に対する責任が問題になり得ます。
もっとも、漏えいがあれば当然に高額賠償になるわけではありません。実際の責任の有無や範囲は、情報の内容、拡散規模、二次利用可能性、精神的損害、社会的不利益などによって変わります。
雇用契約上・労務上の責任
企業実務で最も問題になりやすいのは、雇用契約上・労務上の責任です。
従業員は通常、秘密保持義務、誠実義務、信義則上の義務を負っています。そのため、SNS投稿による情報漏えいは、雇用契約上の義務違反として扱われる可能性があります。
この場合、問題の中心は「SNSに投稿したこと」そのものではなく、「職務上知り得た情報や会社が管理すべき情報を外部に流出させたこと」です。
なお、これらの責任が問われるのは正社員に限りません。派遣社員、アルバイト、業務委託スタッフによる漏えいも想定されます。これらの非正規雇用者等についても、就業規則の適用範囲、派遣先としての指揮命令、業務委託契約等における秘密保持条項の確認が不可欠です。
刑事責任は限定的に考える必要があります
SNS漏えいがあった場合でも、直ちに刑事責任が成立するわけではありません。刑事責任は、それぞれの犯罪の構成要件に該当する場合に限られます。
例えば、不正競争防止法上の営業秘密侵害罪では、対象情報が営業秘密に該当する必要があります。営業秘密に該当するためには、一般に、秘密管理性、有用性、非公知性が問題になります。会社の情報であればすべて営業秘密になるわけではありません。
また、個人情報保護法上の個人情報データベース等不正提供罪についても、対象が個人情報データベース等に該当するか、不正な利益を図る目的や不当な目的があるかなど、構成要件を個別に確認する必要があります。背景への映り込み型の投稿が直ちに同罪に該当するとは限りません。
一方で、医師、公務員、弁護士など、法律上の守秘義務を負う職種では、別途、守秘義務違反が問題になる可能性があります。
企業側の実務感覚
刑事責任の有無だけに議論を寄せると、問題の本質を見誤ります。企業にとって重要なのは、情報管理体制が機能していたか、発覚後に適切な初動対応を取ったか、再発防止策を講じたかという点です。
4 リポスト・拡散者の責任
SNS漏えいでは、初回投稿だけでなく、リポスト、引用、スクリーンショット共有などの二次拡散によって被害が拡大します。
「自分は投稿しただけではなく、拡散しただけ」という理解は、法律上の免責を意味しません。転載や再投稿は、それ自体が独立した侵害行為となり得ます。
もっとも、リポストや転載が常に違法になるわけではありません。公益性、真実性、公表目的、必要性、被害拡大性などを踏まえた個別判断が必要です。
社内共有でも注意が必要です
この論点は、企業内部でも重要です。問題投稿が発覚した場合、全社員メール、社内チャット、スクリーンショットの回覧などが行われることがあります。
しかし、これ自体が不要な二次拡散になる可能性があります。問題投稿の共有は、調査・対応に必要な範囲に限定すべきです。
5 漏えい発生時の初動対応
従業員の私的投稿による情報漏えいでは、初動対応が結果を大きく左右します。特に重要なのは、削除を急ぐ前に、必要な証拠を保全することです。
| 段階 | 対応内容 |
|---|---|
| 第1段階 証拠保全 | URL、投稿日、スクリーンショット、画面録画、コメント、拡散状況、アカウント情報などを保存します。 |
| 第2段階 被害拡大防止 | 投稿削除要請、プラットフォームへの通報、社内報告、法務・広報・経営層への共有を進めます。 |
| 第3段階 影響評価 | 何が漏れたのか、個人情報・要配慮個人情報・機密情報・顧客情報が含まれるかを確認します。 |
| 第4段階 社内調査 | 投稿者、撮影場所、撮影時刻、映り込み情報、社内ルールの有無、教育状況を確認します。 |
| 第5段階 対外対応 | 本人通知、取引先説明、個人情報保護委員会への報告、公表の要否を検討します。個人情報保護委員会への報告や本人通知については、漏えい等の内容、対象情報、本人の権利利益を害するおそれの有無などを踏まえ、法令上の要件に該当するかを確認します。 |
| 第6段階 再発防止 | 規程、研修、撮影ルール、執務環境、情報の置き方を見直します。 |
初動対応で避けたい対応
「とりあえず削除させる」「関係者にスクリーンショットを広く送る」「本人を厳しく叱責して終わらせる」「多分問題ないと判断して記録を残さない」といった対応は、後の原因究明、個人情報保護委員会対応、社内処分、求償、訴訟対応を難しくする可能性があります。
6 懲戒・求償を検討する際の注意点
従業員の私的投稿による情報漏えいが発覚すると、企業は強い社会的圧力にさらされます。SNS上での批判、報道、顧客クレーム、社内不満が重なると、「厳しく処分しなければならない」という空気が生まれやすくなります。
しかし、感情的な懲戒は危険です。SNS問題では、炎上対応と労務対応が交錯します。法的根拠と証拠に基づく冷静な判断が必要です。
懲戒処分は自由にできるわけではありません
企業には懲戒権がありますが、無制限ではありません。労働契約法15条・16条は、懲戒や解雇について、客観的合理性と社会通念上の相当性を要求しています。
したがって、「炎上したから懲戒解雇」という発想は危険です。投稿内容、故意・過失の程度、被害規模、企業信用への影響、再発可能性、過去の類似事案との均衡、就業規則上の根拠などを総合的に確認する必要があります。
事案の類型を分けて考える必要があります
| 類型 | 確認すべきポイント |
|---|---|
| 故意型 | 注目目的、悪ふざけ、会社批判目的、故意の晒し行為などがあるかを確認します。懲戒の必要性が高くなることがあります。 |
| 過失型 | 背景確認不足、限定公開との誤認、軽率な投稿などが中心です。処分の相当性は慎重に判断する必要があります。 |
| 管理体制不備併存型 | 撮影禁止ルールがない、教育がない、機密情報が見える状態で放置されているなど、会社側の管理体制も確認します。 |
特に、会社側に研修、ルール、注意喚起、環境整備がほとんどなかった場合に、従業員だけを重く処分する対応は、後に労務紛争で問題化しやすくなります。
求償は理論上可能ですが、当然に全額回収できるわけではありません
企業が従業員に対して損害賠償請求や求償を行うことは、理論上はあり得ます。
もっとも、最高裁昭和51年7月8日判決(茨城石炭商事事件)は、使用者から被用者への求償について、信義則上相当な限度に制限すべきと判断しています。
そのため、このような情報漏えいでも、会社に生じた損害を当然に全額従業員へ請求できるわけではありません。故意・過失の程度、従業員の地位、賃金、教育状況、管理体制、予見可能性などを踏まえた判断が必要です。
7 再発防止の考え方
現在の実務では、単に「SNS禁止」とするだけでは不十分です。SNS利用は日常生活の一部であり、勤務時間外や私生活領域への過度な介入は、慎重に判断する必要があります。
重要なのは、SNSを完全に排除することではなく、利用されることを前提に、会社情報が外部に出ない仕組みを作ることです。
ソーシャルメディアポリシーに入れるべき事項
| 項目 | 内容 |
|---|---|
| 適用対象 | 正社員だけでなく、契約社員、アルバイト、派遣社員、業務委託など、職場に関わる全スタッフが対象であることを明記します。 |
| 投稿禁止情報 | 個人情報、顧客情報、患者情報、取引先情報、非公表情報、会議内容、社内画像などを明確にします。 |
| 撮影禁止エリア | 執務室、会議室、カウンター、ナースステーション、受付、機密保管場所などを具体的に定めます。 |
| 撮影時の注意点 | PC画面、ホワイトボード、書類、IDカード、名札、来客名、予定表などの映り込みを禁止・注意喚起します。 |
| 相談ルート | 投稿してよいか迷った場合に、誰に相談すればよいかを明確にします。 |
| 違反時の対応 | 調査協力義務、懲戒対象となる可能性、損害賠償責任が問題になり得ることを明示します。 |
教育は一度きりでは不十分です
SNSの利用実態は短期間で変化します。BeRealのように、従来の研修資料では十分に想定されていないサービスが問題になることもあります。
そのため、新入社員研修だけでなく、管理職研修、定期的な注意喚起、新しいSNSや投稿文化への対応が必要です。
特に管理職には、部下を処分する知識だけでなく、職場内に情報が映り込みやすい状態がないかを点検する視点が求められます。
8 社内で確認しておきたいチェックポイント
企業としては、少なくとも次の点を確認しておくことが望まれます。
- SNSポリシーや就業規則に、業務情報・顧客情報・社内画像の投稿禁止が明記されているか
- 正社員だけでなく、派遣社員、アルバイト、業務委託スタッフに対しても、情報管理のルールが周知・適用されているか
- 会社貸与端末への私的アプリ(SNS等)のインストール制限など、端末管理(MDM等)の状況を適切に把握しているか
- 撮影禁止エリアや撮影禁止対象が、抽象的ではなく具体的に示されているか
- PC画面、ホワイトボード、書類、IDカード、来客名簿、予定表などが映り込みやすい状態になっていないか
- 新入社員や若手社員に対し、「限定公開でも外部流出する」ことを具体例で説明しているか
- 管理職が、部下のSNS投稿だけでなく、職場環境上のリスクを把握しているか
- 問題投稿を発見した場合の報告ルートが決まっているか
- 削除前に証拠保全を行う運用になっているか
- 個人情報保護委員会への報告、本人通知、取引先説明、公表の要否を検討する体制があるか
- 懲戒処分を検討する際、就業規則上の根拠、故意・過失、被害規模、教育状況、過去事例との均衡を確認しているか
- 再発防止策が「本人への注意」だけで終わっていないか
9 よくあるご質問
Q1 従業員が私的なSNSに投稿しただけでも、会社の問題になるのでしょうか。
従業員が私的に投稿したものであっても、投稿画像や動画に顧客情報、取引先情報、社内資料、PC画面、ホワイトボード、名札、予定表などが映り込んでいれば、会社の情報管理上の問題となり得ます。
問題の中心は、「SNSを使ったこと」ではなく、会社が管理すべき情報や職務上知り得た情報が外部に出たことにあります。そのため、従業員個人の軽率な行動だけでなく、職場環境、撮影ルール、情報の置き方、教育状況もあわせて確認する必要があります。
Q2 投稿者に悪意がなければ、情報漏えいとして扱わなくてもよいのでしょうか。
悪意がない場合でも、情報漏えいとしての対応が不要になるわけではありません。
本人に漏えいの意図がなかったとしても、結果として個人情報、顧客情報、取引先情報、社内の機密情報などが外部から閲覧できる状態になれば、被害拡大防止、影響範囲の確認、関係者への説明、再発防止策の検討が必要になります。
懲戒処分や損害賠償請求の判断では、故意か過失かは重要な事情になりますが、初動対応の要否とは別に考える必要があります。
Q3 問題投稿を見つけた場合、まず削除させればよいのでしょうか。
削除を急ぐ前に、必要な証拠を保全することが重要です。
具体的には、投稿内容、URL、投稿日、アカウント情報、画像・動画の内容、コメント、拡散状況などを保存します。証拠を残さずに削除してしまうと、後に、何が漏えいしたのか、誰が投稿したのか、どの程度拡散したのかを確認できなくなるおそれがあります。
証拠保全を行ったうえで、投稿削除、プラットフォームへの通報、社内調査、関係者への説明などを順序立てて進める必要があります。
Q4 社内で注意喚起するために、問題投稿のスクリーンショットを共有してもよいでしょうか。
注意喚起の目的があっても、問題投稿のスクリーンショットを広く共有することには注意が必要です。
投稿内容に個人情報や機密情報が含まれている場合、社内での共有自体が不要な二次拡散になる可能性があります。共有は、調査・対応に必要な範囲に限定し、全社員への一斉共有や社内チャットでの安易な回覧は避けるべきです。
注意喚起を行う場合には、実際の画像をそのまま共有するのではなく、情報を伏せたうえで、問題となる行為類型や再発防止のポイントを説明する方法が望ましいといえます。
Q5 従業員を懲戒処分にすることはできますか。
従業員の投稿によって会社情報や顧客情報が漏えいした場合、就業規則上の根拠があれば、服務規律違反、秘密保持義務違反、誠実義務違反などとして懲戒処分を検討することはあり得ます。
ただし、懲戒処分は自由にできるものではありません。投稿内容、漏えいした情報の性質、故意・過失の程度、被害規模、会社の信用への影響、本人の地位、過去の注意・教育状況、会社側の管理体制、過去の類似事案との均衡などを踏まえて、処分の相当性を慎重に判断する必要があります。
「炎上したから懲戒解雇」といった感情的な対応は、後に労務紛争となるリスクがあります。
Q6 会社に損害が出た場合、従業員に全額請求できますか。
会社が従業員に対して損害賠償請求や求償を行うことは、理論上はあり得ます。
もっとも、従業員に対して当然に全額を請求できるわけではありません。故意・過失の程度、従業員の地位、業務内容、賃金、会社の教育状況、管理体制、損害発生の予見可能性などを踏まえ、信義則上相当な範囲に制限される可能性があります。
求償を検討する場合には、金額の大きさだけでなく、労務紛争化するリスク、社内への影響、再発防止との関係も含めて慎重に判断する必要があります。
Q7 就業規則やSNSポリシーには、どのような内容を定めておくべきでしょうか。
就業規則やSNSポリシーでは、単に「不適切な投稿を禁止する」と書くだけでは不十分です。
個人情報、顧客情報、取引先情報、患者情報、社内資料、会議内容、PC画面、ホワイトボード、予定表、IDカード、名札など、投稿・撮影してはならない情報や対象を具体的に示すことが重要です。
また、撮影禁止エリア、投稿前に迷った場合の相談先、違反時の調査協力義務、懲戒や損害賠償責任が問題となり得ることも、実務に即して整理しておく必要があります。
Q8 SNSの利用を全面的に禁止すればよいのでしょうか。
業務中の私的利用や職場内での撮影を制限することは考えられますが、従業員の私生活上のSNS利用を一律に全面禁止することは、実務上も法的にも慎重に考える必要があります。
重要なのは、SNSそのものを禁止することではなく、会社情報や顧客情報が外部に出ない仕組みを作ることです。
そのためには、撮影禁止エリアの設定、機密情報が映り込まない職場環境の整備、投稿前の注意喚起、従業員教育、問題発生時の報告ルートの整備などを組み合わせて対応する必要があります。
Q9 新入社員や若手社員だけを対象に研修すれば足りますか。
新入社員や若手社員への教育は重要ですが、それだけでは十分とはいえません。
管理職には、部下の投稿を注意するだけでなく、職場内に情報が映り込みやすい状態がないかを点検する役割があります。また、中堅社員や管理職自身が、会議室、執務室、出張先、懇親会などで撮影・投稿する場面もあります。
さらに、正社員だけでなく、派遣社員やアルバイトなどに対しても、業務に関する情報管理の重要性を等しく伝える必要があります。
そのため、研修や注意喚起は、若手社員だけでなく、管理職や非正規雇用者を含む社内全体に向けて継続的に行うことが望ましいといえます。
Q10 会社として、まず何から点検すればよいでしょうか。
まずは、自社の職場で「撮影された場合に情報が映り込みやすい場所」を確認することが重要です。
具体的には、執務室、受付、会議室、カウンター、ナースステーション、教室、バックヤード、休憩室などで、PC画面、ホワイトボード、書類、名札、予定表、来客名簿、顧客情報、患者情報、取引先情報などが見える状態になっていないかを点検します。
そのうえで、就業規則、SNSポリシー、情報管理規程、撮影ルール、初動対応フローが、実際の職場環境に合っているかを確認することが必要です。
10 おわりに
従業員の私的投稿をきっかけとする情報漏えいは、単なるSNS問題ではありません。
企業に問われているのは、情報管理を従業員個人の注意力だけに依存していないかという点です。
漏えいは、悪意だけで起きるわけではありません。焦り、思い込み、限定公開への安心感、職場文化、情報の置き方、教育不足、管理体制の不備からも発生します。
そのため、必要なのは、感情的制裁、SNS悪者論、若年層批判ではありません。必要なのは、管理体制、教育、初動対応、ガイドライン、職場環境の見直しです。
従業員の私的投稿をきっかけとする情報漏えいは、「従業員が悪かった」で終わる問題ではありません。企業統治の成熟度が問われる問題です。
従業員の投稿をきっかけとする情報漏えいは、SNSの利用ルールだけでなく、就業規則、情報管理規程、撮影ルール、初動対応フロー、職場環境の見直しとあわせて検討する必要があります。
自社の業種・職場環境に応じて、実際にどのような情報が映り込み得るのかを点検しておくことが重要です。
関連する法令・公的資料
本記事では、実務情報としての独立性を重視し、民間メディア、企業の解説記事、他法律事務所の記事へのリンク掲載は原則として行っていません。個別事案については、公表情報等を踏まえつつ、法的評価を断定しない形で記載しています。
- 個人情報保護委員会「漏えい等の対応とお役立ち資料」
https://www.ppc.go.jp/personalinfo/legal/leakAction/ - 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ - 個人情報保護委員会「漏えい等報告・本人への通知の義務化について」
https://www.ppc.go.jp/news/kaiseihou_feature/roueitouhoukoku_gimuka/ - e-Gov法令検索「個人情報の保護に関する法律」
https://laws.e-gov.go.jp/document?lawid=415AC0000000057 - e-Gov法令検索「不正競争防止法」
https://laws.e-gov.go.jp/law/405AC0000000047 - e-Gov法令検索「労働契約法」
https://laws.e-gov.go.jp/law/419AC0000000128 - 最高裁昭和51年7月8日判決・茨城石炭商事事件(使用者から被用者に対する求償の制限に関する判例)