今生活の中で数多く使われるようになったSNS、気軽に個人が発信できることもあり、ユーザー数が増え続けていますが、その気軽さ故に情報漏洩につながることも起きています。今回は「SNSに潜む情報漏洩の恐怖」についてお話させて頂きます。

■日本国内のSNSユーザー数

総務省の行った「令和元年度通信利用動向調査」によると、日本のSNS利用状況はすべての年代で増加傾向にあります。

■増加するSNSからの情報漏洩

「情報漏洩」というと、今まではメールの誤送信、コンピュータウィルスによるもの、USBデバイスやPC紛失による漏洩など、IT化に伴い生じたリスクが取り上げられてきました。こうした過失以外にも、不正アクセスなど悪意ある情報漏洩事件も発生してきており、企業はいかに自社の情報を守るかということが大きな課題となってきております。そうした中、近年ではSNS経由で会社の情報が漏洩する事象が起きています。本人に情報漏洩の自覚がないまま発信しているケースが多く、様々なSNSアカウント情報から最終的に就業先が特定されたり、発表前の情報がSNS上で公開されたりという事が起きております。

＜SNSの投稿から起きた情報漏洩事例>
SNSを介して情報漏洩した事例を3件紹介します。

① 有名人の来店情報の流出と誹謗中傷
某スポーツ店で、従業員が自社の契約選手の来店情報をTwitterに書き込みました。流出元のTwitterアカウントは個人のもので、内容も中傷的であったことから更に非難が殺到しました。また、過去のツイートから投稿者の個人情報が判明し、ネット上の掲示板などで晒される事態となりました。

（参考）
アディダス女性社員のツイッター炎上　含む規律と懲戒処分【人事・労務の知恵袋】

② 顧客情報を含んだ資料を外部提供
東北電気保安協会の職員が、顧客の業務情報を含む資料を外部に持ち出し、第三者へ提供していたことがわかりました。2021年1月16日にインターネット上で動画講義を視聴した第三者から、翌日17日に「電気保安に関する書類を作成するため」などとして職員個人のTwitterアカウントに資料の提供依頼があり、メールで資料を提供したとの事です。

（参考）
職員個人SNSに依頼、顧客情報含む資料を外部提供 – 東北電気保安協会　

③ 違反取締計画が流出、複数SNSに投稿
西日本高速道路は、車両制限令など違反車両に関する取り締まり計画が、外部に流出したことを明らかにしました。計画を変更するとともに、原因については調査中との事です。同社によれば、阪奈高速道路事務所において、4月に実施予定の車両制限令など違反車両に関する取り締まり計画が、4月7日にLINEのチャットやFacebookグループに投稿され、外部に公開されていました。個人情報は含まれていないとのことです。

（参考）
違反取締計画が流出、複数SNSに投稿 – NEXCO西日本

これらの事例のようにSNS使用の際は、「便利に使用することの裏側にはセキュリティインシデントの危険性があること」を認識した上で正しい使い方をする必要があります。

■SNSでの情報漏洩を防ぐには

企業はSNSを利用する際の明確なルールを設け、社員の方々のセキュリティ対策の意識を向上させる必要があります。まず、企業のソーシャルメディア活用にあたっての行動指針やルールを定めるものとしてSNSガイドライン・ポリシーというものがあります。

それぞれの内容については、

1.ソーシャルメディアガイドライン
　対象：社内の役員や従業員　
　内容：ソーシャルメディア利用にあたっての指針、ルール、
　　　　炎上やクレームの対処フロー等
　目的：リスク回避や未然防止

2.ソーシャルメディアポリシー
　対象：社外
　内容：ソーシャルメディア自体に対する、スタンスや考え方、行動規範等
　目的：リスク回避、未然防止、体制構築

3.コミュニティガイドライン
　対象：社外
　内容：ソーシャルメディア等の利用ユーザーを対象に、
　　　　免責事項、削除方針、禁止事項、調停等の規定を具体的に記載
　目的：ユーザーからの行動に対するリスクヘッジ

となっており、運用する上でのルールの統一や炎上を未然に防ぐ目的で定める必要があります。

■SNSガイドライン・ポリシーを作成するに盛り込むべき10項目

ガイドライン作成の際は、下記のポイントを意識して作成してください。

①個人情報保護法とプライバシーの権利
②機密事項や知的財産権の保護
③著作権違反の回避
④商標権違反の回避
⑤誹謗中傷の禁止
⑥透明性の保障
⑦非難を受ける可能性のある技術利用の制限
⑧自己責任の明確化
⑨傾聴の態度
⑩インターネット上の特性の理解

（参考）
SNS(ソーシャルメディア)ガイドライン・ポリシーの策定ポイントと事例紹介


弊社としましては、社員の方の意識確認・向上については、日本ネットワークセキュリティ協会が実施している「情報セキュリティの理解度チェックテスト」の定期的な受講を推奨しております。セキュリティ対策についての自組織の弱い箇所の把握や、受講者全体との比較、同業種内での比較なども行えます。会社独自のオリジナル問題を作成することも出来、回答内容の集計結果をデータとして確認することも可能です。それ以外にも、各会社ごとのセキュリティガイドラインの作成のご支援としてCYBER GYM 社の経営者様向けのトレーニングなども多数ご案内しております。

企業でアカウントを運用する際でのルールをしっかり決め、社員全員に理解してもらう為のテストや研修を実施し、SNSによる情報漏洩の危機を未然に防ぐためにお役立ていただけたら幸いでございます。

（参考）
情報セキュリティ理解度チェック　JNSA
セキュリティトレーニングについて　CYBNERGYM