SNSに社外秘資料、限定公開でも漏れる理由と法的責任

はじめに

新入社員によるSNS投稿をめぐり、2026年4月に警視庁が「フォロワー限定だから大丈夫」は危険だと注意喚起しました。写真1枚にPC画面や社内資料、入館証、個人情報が写り込めば、本人は身内向けのつもりでも、第三者のスクリーンショットや転送で一気に外部へ広がります。いま問題になっているのは、単なるネット炎上ではなく、情報漏えいと法務リスクが直結する点です。

このテーマが重要なのは、SNS上の情報漏えいが特別な不祥事ではなく、日常動作の延長で起きるからです。エルテスの2026年3月調査では、仕事や職場の情報をSNSに投稿した経験があるビジネスパーソンは43.3％に達しました。しかも、投稿経験者が載せた情報の内訳で最も多かったのは「資料やPC画面が写り込んだ写真」で45.4％でした。

本稿では、なぜ限定公開でも拡散するのか、どのような情報が危険なのか、実際にどんな法的責任が生じ得るのかを整理します。新入社員だけでなく、受け入れる企業側が何を設計すべきかも確認します。

限定公開でも拡散する仕組み

スクリーンショットと転送の不可逆性

警視庁サイバーセキュリティ対策本部が4月7日に発信した注意喚起で、最も重要なのは「フォロワー限定でも拡散される」という一点です。オリコンが紹介した投稿では、警視庁はスクリーンショットや転送によって内容が外へ出るリスクを明示し、社内資料やPC画面の写真1枚が会社の信用失墜や法的責任に直結することもあると警告しました。これは、公開範囲の設定が流通範囲を保証しないという意味です。

SNSでは、閲覧者の善意に依存した公開制限は非常に脆いです。ストーリー機能や鍵付きアカウントでも、見る側は保存、撮影、転送ができます。投稿を消しても、最初に保存された時点で制御権は投稿者の手を離れます。警視庁が「一度立ち止まって考えましょう」と強調したのは、この不可逆性を踏まえているからです。

ここで誤解しやすいのは、「フォロワーは友人だから安全」という発想です。実際には、最初の閲覧者が悪意を持っていなくても、面白半分の共有や注意喚起目的の再投稿が起きることがあります。結果として、限定公開だった情報が公開投稿より速く拡散することさえあります。

背景の写り込みと個人特定の連鎖

情報漏えいは、社外秘の文書を正面から撮った場合だけに起こるわけではありません。警視庁は、勤務先がわかる言葉、時間や場所が特定される情報、写真の背景への写り込みを確認項目として示しました。デスクの上の書類、PCモニターの一部、名札、社章、QRコード、ホワイトボード、入館証は、それぞれ単体では断片でも、組み合わされると十分な漏えいになります。

個人情報保護委員会も「SNSへの投稿」に関する啓発ページで、写真投稿には他人の情報や意図しない個人情報の公開リスクがあると注意を促しています。警視庁の個人情報流出防止ページも、顔や地名が写っていなくても風景から自宅などが特定される事例があると説明しています。つまり、危ないのは文書そのものだけではなく、背景や周辺情報の束です。

この構造では、投稿者本人が「社外秘を出したつもりはない」と感じやすいことが問題を深くします。本人にとってはオフィス風景や仕事の感想でも、外部の人から見れば、顧客名簿、勤務体制、社員番号、設備配置、来訪記録といった業務情報に見えることがあります。

何が漏えいとして問題になるのか

個人情報と業務情報の重なり

社内資料のSNS投稿が危険なのは、1枚の画像に複数の保護対象が重なりやすいからです。たとえば、シフト表なら勤務体制や内部運用だけでなく、従業員名や関係者の予定が含まれる場合があります。入館証や社員証なら、氏名、所属、顔写真、バーコードや認証情報が写ることがあります。PC画面には顧客情報、社内チャット、未発表案件、メールアドレスが同時に載っていることも珍しくありません。

個人情報保護委員会の「漏えい等の対応とお役立ち資料」では、従業者が顧客の個人データを不正に持ち出して第三者に提供した場合や、設定ミスで個人データがインターネット上から閲覧できる状態になった場合などを、報告が必要となる典型例として示しています。投稿者個人の軽い気持ちであっても、企業の側では法令対応が必要な事故になり得ます。

この点で重要なのは、「うちの会社の資料だから外に出しても個人情報ではない」という理解が通用しないことです。社内資料には顧客、取引先、従業員、応募者、出演者、委託先など多様な個人データが混在しやすく、投稿者本人がその境界を見分けるのは困難です。SNS投稿は、紙の持ち出しより判断ミスが起きやすい漏えい経路だと考えたほうが安全です。

営業秘密と会社の競争力

もう1つの論点は営業秘密です。経済産業省は、秘密として管理され、有用で、非公知の情報は不正競争防止法上の「営業秘密」になり得ると説明しています。警視庁も、顧客情報、売上や原価の情報、高度な技術情報などは営業秘密として保護を受ける可能性が高いとしています。

営業秘密に当たる情報がSNSに出れば、被害は個人情報漏えいより広がる場合があります。価格表、原価、試作品、開発資料、未公表企画、取引条件、システム構成、警備体制などは、競争相手や攻撃者にとって価値が高いからです。内部の人には「こんなものまで秘密なのか」と見えにくい情報でも、外部から見れば極めて有用なケースがあります。

だからこそ警視庁は、「これは営業秘密ではないから大丈夫」と安易に判断しないよう求めています。SNS投稿の厄介さは、情報を一部だけ切り出しても、外部の人が補完できてしまうことです。断片的な写真でも、既存の公開情報と組み合わされれば、会社の実態や計画がかなり読めてしまいます。

法的責任と企業実務

個人データ漏えい時の報告義務と対応

社内資料の投稿に個人データが含まれていた場合、企業には個人情報保護法上の対応が必要になることがあります。個人情報保護委員会は、一定の要件に該当する漏えい等について、速報を発覚日から3〜5日以内、確報を30日以内、不正目的のおそれがある場合は60日以内に報告する流れを示しています。本人への通知や事実関係の調査、再発防止も必要です。

ここで見落とされがちなのは、投稿者個人のアカウントで起きた事故でも、対応主体は企業になる場合が多いことです。SNSに載せたのが「私物スマホ」「勤務時間外」でも、内容が業務情報なら会社は事故対応を免れません。結果として、広報、法務、情報システム、人事まで巻き込むコストが発生します。

従業員側にも責任が及びます。就業規則や秘密保持義務への違反として、社内処分や損害賠償の検討対象になり得ます。弁護士ドットコムの取材記事では、弁護士が「外部から見えない社内情報はすべて投稿NGと考えるべきだ」と警鐘を鳴らしており、投稿後に削除しても責任が消えるわけではないと示唆しています。

営業秘密漏えい時の民事・刑事リスク

営業秘密の漏えいは、さらに重い問題です。経済産業省と警視庁はともに、不正競争防止法により、営業秘密の持ち出しや漏えいには民事上・刑事上の措置があり得ると説明しています。警視庁の案内では、個人は10年以下の拘禁刑もしくは2000万円以下の罰金、法人は5億円以下の罰金が科され得るとされています。

もちろん、すべての社内文書が直ちに営業秘密に当たるわけではありません。秘密管理性、有用性、非公知性という要件を満たす必要があります。ただ、SNSに投稿された時点で「どの範囲が保護対象か」を慌てて確認するのでは遅いです。企業としては、何が営業秘密で、何を絶対に撮影・投稿してはいけないかを、入社時点で具体例ベースで示しておく必要があります。

実務上は、法的な勝ち負け以上に「情報が外へ出た」という事実そのものが痛手になります。競争優位の喪失、取引先からの信用低下、委託元からの業務停止、採用ブランドの毀損まで起こり得ます。警察や監督官庁への説明に加え、取引先対応まで発生すれば、SNS投稿1件の損失は本人の想像を簡単に超えます。

新入社員と企業に必要な対策

個人が守るべき投稿前チェック

警視庁の注意喚起を、実務に落とすと確認点はかなり明確です。第1に、会社名、ロゴ、社員証、入館証、制服、席札が写っていないかです。第2に、PC画面、ホワイトボード、紙資料、チャット通知、メール件名が背景にないかです。第3に、撮影場所、時間帯、同行者、予定が推測できないかです。第4に、投稿先が限定公開でも第三者保存を防げないと理解しているかです。

この4点を満たせないなら、投稿しない判断が最も安全です。個人情報保護委員会の啓発資料が示す通り、顔にスタンプを付けても、ほかの要素から個人が識別されたり、周辺事情が読み取られたりすることがあります。部分的な隠し方で安全になったと考えるのは危険です。

企業が整えるべき初期教育

企業側には、抽象的な「SNSに注意」では足りないという課題があります。エルテス調査では、SNS利用に関する研修の時間が設けられていたと答えた人は22.7％にとどまりました。にもかかわらず、仕事・職場情報の投稿経験は43.3％に上ります。現場の行動頻度に対して、教育の実装が追いついていません。

したがって、入社初日から必要なのは、規則の読み上げではなく具体例の共有です。良い研修は「入館証の写真」「誓約書の署名欄」「PCの通知表示」「シフト表の一部」といったNG例を画像で見せ、なぜ危険かを説明します。さらに、委託先や制作会社、アルバイトも含めて同水準で教育しないと、サプライチェーンの弱い部分から漏えいが起きます。

IPAの「情報セキュリティ10大脅威 2026」でも、組織向け脅威の7位に「内部不正による情報漏えい等」が入り続けています。内部不正という言葉は強いですが、現実には悪意より先に、無理解や過信から始まる漏えいが多いです。だからこそ、企業は処分の話だけでなく、「何が危ないか」を見える形で教える必要があります。

注意点と今後の焦点

この問題を「最近の若者のモラル低下」とだけ片づけるのは危険です。警視庁の注意喚起、個人情報保護委員会の啓発、IPAの脅威整理、エルテスの調査を並べると、問題は個人の承認欲求より、SNSが業務情報の漏えい経路として日常化していることにあります。限定公開や削除機能への過信を前提にした運用では、事故は止まりません。

今後の焦点は3つあります。第1に、企業が新入社員研修を抽象論から具体例中心へ改めるかです。第2に、漏えい発生時の初動を人事任せにせず、法務、広報、情報システムが連携できるかです。第3に、委託先や外部スタッフまで含めた統一ルールを持てるかです。ここが弱い企業では、同じ種類の事故が繰り返されやすいです。

まとめ

SNSへの投稿で危ないのは、悪意のある情報流出だけではありません。身内向けのつもりの写真、仕事の感想、入社記念の投稿でも、PC画面や資料、名札、予定表が写り込めば、個人情報や営業秘密の漏えいに変わります。限定公開でも、スクリーンショットと転送がある以上、安全ではありません。

新入社員が覚えるべき原則は単純です。会社の中で見たもの、受け取ったもの、署名したもの、画面に表示されたものは、原則としてSNSに載せないことです。企業側もまた、その原則を曖昧な精神論ではなく、画像つきの具体例と初動手順で教える必要があります。

参考資料:

• 警視庁が「新入社員」へ注意喚起　危険なSNS投稿例・チェック項目示す…「残業確定だけど、やりがいのある仕事だから頑張ります!」パシャリなど
• 個人情報流出防止
• 営業秘密漏えい防止
• 注意喚起
• ここに気をつけよう！個人情報「SNSへの投稿」
• 漏えい等の対応とお役立ち資料
• 営業秘密～営業秘密を守り活用する～
• 情報セキュリティ10大脅威 2026
• 【実態調査】ビジネスパーソンの4割超が仕事・職場の情報のSNS投稿経験あり
• 新入社員のSNS投稿が炎上、外部から見えない社内情報「すべて投稿NGと考えて」弁護士が警鐘