「BeReal禁止」で再発防止になるのか マネフォの情報流出にも共通する“責任の所在”（2/3 ページ）

[城戸譲，ITmedia]

マネーフォワードでも個人情報の流出

　不祥事に発展する情報流出は、個人によるものだけではない。先日から話題になっている「マネーフォワード」の事案では、フィンテック企業としての信頼が揺らいでいる。

　マネーフォワードは5月1日、ソフトウエア開発などに利用しているサービス「GitHub」で第三者による不正なアクセスが発生した結果、自社グループが提供するサービスのソースコード（プログラムの動作を指示する文書）が閲覧・コピーされたと発表。グループ会社が提供するクレジットカードの保持者名や、カード番号の下4ケタが流出した可能性があると謝罪した。

　併せて、家計簿アプリの肝とも言える「銀行口座連携機能」を停止。GW中の事案とあって、対応が注目されていたが、なかなか続報が発表されず、SNS上では疑問や不安から、その広報姿勢に批判が上がる事態となった。なお5月11日になって、ようやく連携の一部再開が発表されている。

マネーフォワードは5月11日、新情報を更新した（画像：マネーフォワード プレスリリースより）

プラットフォーマーに責任を押し付けている？

　各企業でのBeReal事案と、マネーフォワードの事案。主体が「一個人によるプライベートな流出か」「業務として利用していたサービスでの流出か」といった点は異なるものの、いずれも企業としての、セキュリティ意識や教育体制、開発体制の監視の甘さが問われている。

　一方で、情報漏洩を招いた企業側の説明を見ると、どこかプラットフォーマーに責任を押しつけているようにも映る。例えば、マネーフォワードは第1報のタイトルを「『GitHub』への不正アクセス発生に関するお知らせとお詫び」としており、原因がGitHub側にあるかのような印象を与えかねなかった。

　ユーザーが知りたかったのは「内部システムではなく、外部サービスのGitHubを利用していた理由」、そして「GitHub上に顧客データが保存されていた経緯」だ。後者については第2報以降で説明されたものの、自社の管理体制や運用上の問題への言及は相対的に少なく、「GitHub」という固有名詞ばかりが頭に残る。

　SNSでも「GitHubの名前を出して責任逃れしているように見える」「問題は自社のセキュリティー管理の不備にあるのではないか」「なぜ、GitHubを使っていたのか」といった批判や疑問が上がった。本来問われるべきなのは、流出元企業の社員教育やセキュリティー意識の醸成、運用体制の整備が十分だったのかという点だろう。

　しかし、プラットフォームが介在することにより、「ツールにも責任がある」という逃げ道が生まれる。つまり“被害者ポジション”のような振る舞いを取ろうと思えば取れてしまうのだ。

　ネットユーザーは、炎上事案が発生すると、すぐにツッコミどころを探しがちだ。そこでもし、「プラットフォームのせいにしている」と感じさせるような姿勢が見えれば、責任転嫁ではないかと言われても仕方がない。

　情報流出そのものは、もちろん問題だ。ただ、その後の対応次第では、企業イメージへのダメージを最小限に抑えられる場合もある。経緯説明で「どのサービスを利用していたか」を明記すること自体は誠実な姿勢と言えるが、その結果として、流出を招いた企業側の責任が薄まって見えるのであれば、得策とは言い難い。