top of page

「2分で投稿」が人生を変える—BeReal.職場炎上の法的代償

  • 執筆者の写真: 家頭 恵
    家頭 恵
  • 5 日前
  • 読了時間: 6分


 今年4月、西日本シティ銀行の職員が勤務中に撮影した写真をSNSアプリ「BeReal.」に投稿したところ、顧客7名の氏名や業務書類の内容が写り込み、その画像がX(旧Twitter)上で拡散されました。閲覧数は100万回を超え、大きな社会問題となりました。

 同時期には、大手通信会社や医療機関でも、従業員のSNS投稿が原因とみられる情報漏洩が相次いで報じられています。

 被害を受けた企業・組織のいずれもが「意図的な漏洩ではなかった」と説明しています。しかし、「意図があったかどうか」と「法的責任が発生するかどうか」は、まったく別の話です。

 今回は、BeReal.というアプリの仕様が持つ特有のリスクを入り口に、職場でSNS投稿をした従業員が負う法的責任と、会社側に問われる管理責任の両面を解説します。

 BeReal.は、スマートフォンの前面・背面カメラを同時に起動し、「いまこの瞬間」をそのまま撮って2分以内に投稿することを求めるSNSアプリです。通知は1日のうちランダムなタイミングで届き、ユーザーはほぼ反射的に撮影・投稿することを促されます。

 加工なし演出なしの「ありのままの日常を記録する」というコンセプトが若い世代に受け、急速に普及しました。

 ただし、職場での使用には深刻なリスクがあります。

 通常のSNS投稿であれば、撮影→内容確認→公開範囲の設定→投稿というプロセスに「立ち止まる時間」があります。ところがBeReal.は、その「立ち止まる時間」を仕様として排除しています。「2分以内」という制約が焦りを生み、画面に映り込んでいる情報を確認する余裕を奪うのです。

 また、公開範囲を「友人のみ」に設定していても、スクリーンショットを撮られれば情報はその瞬間に外部へ複製されます。「限定公開だったから責任はない」という言い訳は、法的にも社会的にも通用しません。いったんインターネット上に流出した情報を完全に回収することは、ほぼ不可能です。


 職場で不用意な投稿をして情報漏洩を引き起こしてしまった場合、主に以下の3つの法的責任を負う可能性があります。

(1)懲戒処分  多くの企業では、就業規則や雇用契約に「業務上知り得た情報を外部に漏らしてはならない」という守秘義務が定められています。銀行・医療機関・通信会社など個人情報を大量に扱う業種では、その義務はとりわけ厳しくなります。

 写真に顧客情報が映り込んでいた場合、意図的に写したわけでなくても、守秘義務違反と判断されます。「うっかり写り込んでしまった」という説明は通りません。なぜなら、守秘義務違反かどうかは「意図があったか」ではなく「情報が外部に出たかどうか」という結果で判断されるからです。

 懲戒処分の内容は、減給・停職・解雇、悪質な場合には懲戒解雇に及ぶこともあります。 (2)損害賠償責任  顧客の氏名などの個人情報が流出した場合、被害を受けた顧客や会社から、民法上の不法行為(民法709条)に基づく損害賠償を請求される可能性があります。

 不法行為が成立するには「故意または過失」が必要ですが、個人情報を扱う職場でSNSに投稿するという行為には、注意が不十分だったとして「過失あり」と認定されやすい状況があります。これは、さほど高いハードルではないでしょう。

 なお、個人情報保護法は従業員個人を直接罰する規定が限られているため、同法違反が直ちに従業員の刑事責任につながるわけではありません。ただし、会社が被害者に損害賠償を支払った場合、その費用の一部を従業員に請求する余地はあります。

(3)刑事罰  漏洩した情報が営業秘密にあたる場合は、「不正競争防止法」が適用されることがあります。営業秘密とは、①秘密として管理されており、②事業活動に有用な情報で、③公に知られていないもの、という3つの要件を満たすものです。業務目標・顧客リスト・戦略情報などが該当するケースがあります。

 この法律に違反した場合、10年以下の懲役または2,000万円以下の罰金という刑事罰が科される可能性があります。


 従業員が起こした問題であっても、会社も法的責任を免れるわけではありません。

(1)使用者責任(民法715条)  民法715条では、従業員が仕事の中で第三者に損害を与えた場合、会社も賠償責任を負うと定めています(使用者責任)。就業時間中・職場内で行われた投稿であれば、この責任が認定される可能性が高いです。

 会社は被害者に対してまず賠償を行い、その後で従業員に費用を請求することは可能ですが、被害者への一次的な賠償責任そのものは免れません。

(2)個人情報保護法上の責任  個人情報を扱う事業者は、その情報を安全に管理する義務を負っています(個人情報保護法23条)。従業員のSNS投稿によって個人情報が流出した場合、会社は「安全管理措置が不十分だった」として、個人情報保護委員会から是正勧告・命令を受けることがあります。悪質な場合には、法人への罰則も設けられています。

 注意すべきは「SNS禁止のルールを定めていたのに守られなかった」という状況でも、ルールを設けるだけでなく教育・監督を徹底しなければ、会社の管理責任が問われ得るという点です。ルールの「制定」と「運用」は別物です。

(3)金融機関・医療機関への特別規制

 銀行や病院については、個人情報保護法に加えて業種ごとの特別な規制があります。銀行であれば銀行法や金融庁のガイドライン、病院であれば「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」がこれにあたります。監督官庁から業務改善命令、最悪の場合は業務停止命令が下される可能性もあります。


 冒頭の事案では、投稿した従業員に「顧客情報を外部に漏らそう」という意図があったとは考えにくいところです。しかし、法律は「悪意があったかどうか」だけで責任の有無を決めるわけではありません。

 民事上の不法行為責任は「故意または過失」で成立します。そして、個人情報が映り込む可能性のある職場でSNSに投稿するという行為は、十分な注意を欠いていた(過失)と判断される余地が十分にあります。

 とりわけBeReal.のように考える間を与えない設計のアプリについては、「つい投稿してしまった」という状況が起きやすいだけに、「なぜそのようなアプリを職場で使っていたのか」という問いが厳しく突きつけられます。

 たった1つの投稿が、顧客のプライバシー侵害・会社への多額の損害・自身の職とキャリアの喪失、という三重の結果をもたらしかねないのです。


 今回の事案が示す教訓はシンプルです。

 職場でBeReal.などのSNS通知が届いても、業務中・職場内では絶対に投稿しない。それが唯一の自衛手段です。「友達限定にした」「すぐ消した」「うっかりだった」という説明は、法的責任の軽減にはほとんど役立ちません。

 人事・コンプライアンス担当者の方々には、SNSポリシーの策定・更新にとどまらず、個別アプリの仕様まで踏み込んだ従業員教育の実施をお勧めします。「SNS禁止」という一般的な周知だけでは、BeReal.のような反射的な投稿を誘発するアプリへの対策としては不十分です。

 SNSに関するトラブルが起きた際、またはポリシーの整備について相談したい場合には、早めに弁護士へご相談ください。問題が大きくなってから動くよりも、予防的に対応するほうが、企業にとっても従業員にとっても、最終的なコストを大幅に抑えられる可能性があります。




コメント


(c)弁護士法人やがしら 船橋リバティ法律事務所

All Rights Reserved.

bottom of page