情報漏洩は、「撮った瞬間」から始まる – 私物スマホの利用リスクを分かりやすく解説
このブログでお伝えしたいこと(30秒でわかる要点)
-
仕事で見聞きした情報の多くは、社員個人のものではありません。 会社と、その先のお客様からの「預かりもの」である場合がほとんどです。
-
そのため、私物のスマホで「撮る・録音する・メモアプリに入れる」のは、原則アウト。クラウド同期がオンなら、撮った瞬間に、もう会社の外へ漏れています。
-
写真も録音もメモも同様です。特に取引先やお客様の前で行うと、一発で信頼を失いかねません。
-
迷ったら、行動する前に上司へひと言相談しましょう。それだけで、ほとんどの事故は防げます。
2026年4月、ある地方銀行の行員が、執務室の様子をSNSアプリ「BeReal」に投稿しました。背景のホワイトボードに、お客様7名の名前が写り込んでいました。投稿は拡散し、銀行は4月30日に謝罪。投稿した職員は厳正に処分する方針だと説明されています(同行の公式お詫び、2026年4月30日)。注目したいのは、この銀行は情報管理の研修を定期的に行っていた点です。つまり、ルールを周知するだけでは、行動は変わりません。
この記事では、ルールではなくその背景にある「どのような行為が、なぜ情報漏洩の危険があるのか」を順番に説明します。会社に「ルールだから」とスマホ利用を制限されているが納得出来ていない方や、そうした指導を行っているが実際の行動に結びついていない教育担当者の方に、特に読んでいただきたい記事となります。
目次
いま、何が起きているのか
冒頭の例をもう少し詳しく見てみます。行員は私物のスマホで執務室を撮り、ホワイトボードのお客様7名の氏名ごと拡散させました。撮った本人に悪気はありませんでした。「通知が来たから、つい撮った」だけなのです。
同じような事故は、相次いで報じられています。さらに2026年5月、MetaはInstagramに新機能「Instants」を追加しました(Meta公式、2026年5月)。撮ったその場ですぐ送れる仕組みで、「誤爆がこわい」と話題になりました。撮って即共有という流れは、加速しています。
古い例も挙げておきます。2017年、取引先である部品メーカーの社員が、ある自動車工場で発表前の新型車を撮影し、SNSに投稿しました。この人は偽計業務妨害の罪で罰金50万円の略式命令を受けています(神奈川新聞、2018年。撮影は2017年8月)。取引先のスマホ1台が、会社をまたいで大ごとになった例です。
学生時代までは、撮影も共有も問題なかった
学校や大学では、黒板やスライドを撮って共有するのは、ごく普通のことでした。コロナ禍以降はオンライン授業が当たり前になり、その習慣はさらに強まっています。だから「撮るのをやめなさい」と言われても、すぐには腹に落ちない。それは自然なことで、新卒新入社員や若手社員が軽率なわけでも、だらしないわけでもありません。
しかし、会社は学校とは別の世界であることは把握しなければなりません。違いは2つあります。
1つめは、情報の重さです。学校で撮るのは自分のための情報でした。会社で撮るのはお客様や取引先の情報で、漏れれば見ず知らずの他人に被害が及びます。
2つめは、責任の重さです。学生のうっかりは「気をつけてね」で済みましたが、社会人のうっかりは、会社の信用や多額のお金、ときには自分の処分に直結します。 同じ1枚の写真でも、置かれた場所で意味が変わるのです。
情報には「守るレベル」がある。なぜ大学の講義は撮ってよかったのか
「大学の講義は撮ってよかったのに、何が違うのか」と疑問を抱くのももっともです。
カギは、情報には「守るべきレベル」があることです。情報セキュリティでは、情報を「ひみつ(機密性)」「正しさ(完全性)」「使えること(可用性)」の3つの面で守ると考えます(※)。守るべきレベルは、情報ごとにちがいます。
※JIS Q 27000:2019、およびIPA「中小企業の情報セキュリティ対策ガイドライン」
大学の講義は、もともと公開・共有が前提ですから、機密性が低い情報です。実際、多くの大学が講義をインターネットで公開しています。学生時代に自分のためにとったメモも同じで、中身の持ち主は自分自身のため、自由に扱って問題ありませんでした。
ところが、会社で扱う情報は正反対です。お客様の個人情報や発表前の製品情報は、機密性がとても高いものです。しかも持ち主はそれを見ている社員個人ではなく、会社やお客様です。だから、メモしている場所がたとえ個人で所有している手帳だとしても、中身が会社の情報なら、それは書いた本人のものではありません。入れ物が私物でも、中身は預かりものです。
つまり、撮ってよいかは、「その情報がどれだけ秘密にすべきか」「誰のものか」で決まるのです。
「撮っただけ」が、漏洩になる理由
次に、ここが核心です。多くの人は「SNSに投稿しなければ大丈夫」「自分のスマホに入れるだけなら平気」と考えますが、これは大きな誤解です。
現在のスマホの多くは、撮った写真を自動でクラウドに保存する機能があります。iPhoneの「iCloud写真」、Androidの「Googleフォト」です。どちらも、設定をオンにしていると撮影の数秒後に写真が自動でサーバーへ送られます(Apple・Google公式)。この設定は、気づかずにオンのままにしている人が少なくありません。そして、写真が送られているそのサーバーはあなたの個人契約であって、会社の管理外です。
撮った写真は、まず個人のスマホに保存された時点で、会社の管理を離れたコピーが1つできます。同期がオンになっているなら、外部サーバーへも送られます。SNSに載せるかどうかは関係ありません。同期がオンなら、撮った時点ですでに漏洩しています。 SNS投稿は、いわば2回目の漏洩にすぎません。しかも、その情報は撮った個人のものではなく、預かりものですから、手をつける資格のないものに、手をつけているのです。
落とし穴がもう1つあります。それは、「映り込み」です。同僚や自分のデスクを撮ったつもりでも、背景にホワイトボードや書類、開いたままの画面、名札が写り込みます。冒頭の銀行も、こうして映り込んだ情報が問題となりました。撮ろうと思って狙わなくても、情報のほうが勝手に写るのです。
また、「鍵アカだから安心」も、通用しません。鍵アカウントでも、見た人の誰か1人でも、その写真を保存して外に出せば終わりです。SNS上からはすぐ消える設定であっても、スクショされたデータは消えません。モザイクも、背景やほかの投稿と照らし合わせれば特定されます。どれも、自分では制御できない部分に頼っているのです。
撮影だけではない。録音もメモも、まったく同じ
危ないのは写真だけではありません。OJTや引き継ぎで、先輩や同僚の説明を個人スマホで録音したり、メモアプリに打ち込んだりする人がいます。便利ですので、やりたくなる気持ちはわかります。しかし、これは写真の撮影とまったく同じ構図です。 録音もメモも個人スマホに入り、同期がオンなら外部へ送られます。会社の情報を、自分の管理する場所へ勝手に移している。写真も録音もメモも、その意味では何ひとつ変わりません。
とくにお客様の前での録音や、こっそりメモは、信頼を根本から損ないます。発覚すれば、その場で取引が打ち切られてもおかしくありません。文字どおり「一発退場」です。 記録が必要なら、会社が認めた方法で残してください
だれに、いくらの不利益が及ぶのか
不用意な撮影は、3つの方向に被害を広げます。
まず、お金の話です。下の表は、種類のちがう数字を並べています。「相場の試算」「実際の事例」「法律の上限」の3つです。
|
項目 |
金額 |
種別・根拠 |
|
顧客1人あたりの賠償額 |
平均でおよそ3万円 |
想定損害賠償額(JNSAの試算モデル) |
|
漏えい1件あたりの賠償額 |
平均でおよそ6億円 |
想定損害賠償額(JNSAの試算モデル) |
|
2014年に発覚した大規模流出事件 |
民事で1人あたり1,000円から3,300円の賠償が確定。会社は別に1人500円のお詫び金券を配付。流出は数千万人分 |
実際の事例(日本経済新聞) |
|
営業秘密を不正に漏らした個人への刑事罰 |
最長10年の拘禁刑、または最大2,000万円の罰金 |
法定刑の上限(特許庁・経済産業省) |
|
発表前の新型車を投稿した取引先社員 |
罰金50万円(偽計業務妨害) |
実際の有罪例(神奈川新聞) |
なお、表の「1人あたり」「1件あたり」の金額は、JNSAによる想定損害賠償額の試算であって、実際に支払われた賠償額ではありません。出典は記事末尾の一覧にまとめています。
この数字を頭に置いて、だれに何が起きるかを見ていきます。
被害は3方向に及びます。
あなた自身は、懲戒(けん責・減給、重ければさらに重い処分)や、会社が払った費用の一部を請求される「求償」、取引先での撮影なら刑事罰の対象にもなりえます。そして「あの一件の人」として信用を失います。 ネットに残る「デジタルタトゥー」は、数年後の転職時に検索されることさえあります。
会社は、個人情報保護法にもとづく報告や行政指導を迫られることがあり、信用を失えばその損失はお金に換算しきれません。
そして取引先やお客様は、何も悪くないのに、自分の情報を世界にさらされてしまいます。
取引先での撮影は、とくに危ない
取引先での撮影や録音は、一発で責任問題になります。機密が漏れれば「あの会社には任せられない」と判断され、取引が打ち切られることもあります。長年かけて築いた関係が、写真1枚で終わりかねません。
法律の面でも重いリスクがあります。発表前の製品情報や顧客名簿は「営業秘密」にあたることがあり、不正な目的で漏らせば、個人でも最長10年の拘禁刑、または最大2,000万円の罰金の対象になりえます(特許庁・経済産業省「不正競争防止法の概要」による)。実際、2017年に取引先社員が発表前の新型車を投稿し、偽計業務妨害で罰金50万円を受けました(神奈川新聞、2018年。なお営業秘密侵害の容疑は不起訴)。
外部の立場だからこそ、責任が重く問われる場面があるのです。
なぜ「スマホ持ち込み禁止」の場所があるのか
金融機関やデータセンターなど、セキュリティの厳しい現場では、そもそもスマホの持ち込みを禁じているところがあります。USBメモリや私物のPCも同様です。
この厳しさには意味があります。ルールは「人を疑っているから」ではなく、「人は悪気がなくてもうっかりミスをする」という前提に立っています。だから、ミスの原因となる道具を最初から現場に入れさせないのです。2014年の大規模流出事件でも、報道によれば、委託先の従業員が私物のスマートフォンを業務用パソコンにつないで、数千万人分の顧客情報を持ち出したことが原因です(流出規模は日本経済新聞、2023年2月27日)。スマホそのものが「持ち出しの道具」になりうるのです。
持ち込み禁止は嫌がらせではなく、うっかりで人生を踏み外さないための安全装置なのです。
「時代錯誤」でも「老害支配」でもない。
禁止には正当な理由がある
こうした禁止を「時代錯誤」「老害支配」「非効率」などと感じる人もいるでしょう。気持ちはわかります。
しかし、そのルールにはれっきとしたビジネス上の理由があります。撮影やメモの禁止は、新しい技術が嫌いだからでも、若い人を縛りたいからでもありません。情報の持ち主が会社やお客様などであること、機密性が高く漏れれば実害が出ること、賠償や取引停止という現実のコストが発生すること。これらは「古い・新しい」の問題ではなく、「だれの、どれだけ大事な情報を、どう守るか」という、時代を超えた問題です。
むしろデジタル時代の現代は、ひとつの操作が一瞬で世界へ広がる分、リスクは昔より大きくなっています。セキュリティのルールは便利さの否定ではなく、便利な道具を、扱ってよい情報にだけ使うための線引きを求めているだけです。
情報漏洩のリスクを減らす行動とは
では、どうすればいいのでしょうか?難しいことは、1つもありません。
第一に、仕事の場では、私物のスマホで撮らない、録音しない。ただし、使ってはいけないのは「私物の」スマホです。会社から貸与された端末なら認められる場合もあり、私物端末を業務に使う「BYOD(Bring Your Own Device)」なら会社のルールに従います。要は、「何で」「何を」記録してよいかを、自分だけで決めないことです。
第二に、記録が必要なら、会社が認めた方法で残す。
第三に、迷ったら行動する前に上司へひと言相談する。聞くのは恥ではなく、信頼される行動です。
そして、第四に、自分のスマホの同期設定を一度確かめておく。それだけで、普段の意識が変わります。
こまかいルールは会社ごとに異なります。最終的には、自社の規程やガイドラインを確認し、それに従ってください。
まとめ:シャッターを押す前の3秒
覚えてほしいのは、1つだけです。カメラを向ける前に3秒、「これは会社の外に出してよいものか」と自問してください。それだけで、ほとんどの事故は防げます。
撮らなければ、漏れません。 録音もメモも、同じです。
そして、もしうっかり撮ってしまったら、隠さないでください。 上司へ伝えるのが早ければ早いほど、被害は小さくなります。報告した人は、責められるべきではなく、被害を食い止めた立場となります。
自社のセキュリティ教育でお困りの方へ
この記事は、社内のセキュリティ教育で配布する資料として、ご自由にお使いください。「ルールを伝えても、なかなか腹落ちしてくれない」。そうした悩みは、このテーマにかぎりません。弊社にお任せいただければ、ほかの数々のテーマでも、受講者が「なぜ(Why)」を納得できる研修コースをご提供します。
指導される方への補足:どこまでが「預かりもの」か
本文では新入社員が迷わず動けるよう、「仕事の情報は預かりもの」とシンプルに伝えています。ただし厳密には、経験から身につけた汎用的なスキルやノウハウは本人に帰属する、という解釈も成り立ちます。この点を問われたときは、口頭やQ&Aで次の三層に分けて補足すると、より正確に伝わります。
-
会社や顧客に固有の情報(顧客情報、個人情報、営業秘密など)。これは「預かりもの」であり、持ち出しは厳禁です。
-
世の中で公開・共有されている一般的な知識。これは、誰のものでもありません。
-
経験から身についた汎用的なスキルや理解。これは本人のものです。ただし、特定の顧客情報や手順書そのものと一体になったものは含みません。
実務上の目安は、「人に渡せるデータ・ファイル・具体的な事実は会社のもの。頭の中に残る抽象化された理解は本人のもの」です。なお、競業避止義務や秘密保持の線引きは事案ごとに判断が分かれるため、教材に具体的な法的判断を書き込む際は、自社の法務部門や顧問弁護士にご確認ください。
参考情報
出典(公的機関・信頼性の高い組織の情報)
-
金融機関による「お詫びとお知らせ」(当該行の公式サイト、2026年4月30日公表。お客様7名の氏名が映り込んだ旨を明記)
-
Instagramの新機能「Instants(インスタント)」(Meta公式、2026年5月、日本語ページ)
-
発表前の新型車を撮影・投稿した取引先社員への略式命令(罰金50万円・偽計業務妨害。撮影は2017年8月、罰金命令は2018年。営業秘密侵害の容疑は不起訴):神奈川新聞(カナロコ)
-
写真の自動クラウド保存の仕組み:Apple 公式サポート「iCloud写真を設定・使用する」 / Google フォト 公式ヘルプ「写真や動画をバックアップする」
-
情報セキュリティの3要素(機密性・完全性・可用性=CIA):JIS Q 27000:2019(日本規格協会) / IPA「中小企業の情報セキュリティ対策ガイドライン」
-
個人情報漏えいの想定損害賠償額(実際の賠償額ではなく試算):日本ネットワークセキュリティ協会(JNSA)「2018年 情報セキュリティインシデントに関する調査報告書【速報版】(個人情報漏えい編)」。1人あたり平均想定損害賠償額 2万9,768円、1件あたり平均想定損害賠償額 6億3,767万円。
-
2014年に発覚した大規模流出事件(数千万人分が流出。民事で1人あたり1,000円から3,300円の賠償が2020年12月に最高裁で確定。会社は被害者へ1人500円のお詫び金券を配付):日本経済新聞 2023年2月27日 / 2018年12月27日
-
営業秘密侵害罪の法定刑(個人:拘禁刑10年以下/罰金2,000万円以下、法人:罰金5億円以下):特許庁・経済産業省 知的財産政策室「不正競争防止法の概要」
ご利用にあたっての注意(免責事項)
-
本記事は、情報セキュリティの啓発を目的とした一般的な情報提供であり、特定の事案への助言ではありません。
-
掲載した情報は2026年6月時点で公表されているものにもとづきます。制度・事例・金額は今後変わることがあります。最新の公式情報もあわせてご確認ください。
-
法律や制度に関する記載は、情報提供を目的とし、わかりやすさを優先しているため、誤りや不正確な点を含む可能性があります。実際の法的な判断や解釈は、必ず自組織の法務部門や顧問弁護士などの専門家にご確認ください。
-
各社新聞の記事は、購読者向けの場合があります。
