BeRealはNG、なのにAI議事録はスルー…… 日本企業が目を背ける情報漏えい対策の限界（2/5 ページ）

[斎藤健二，ITmedia]

ルールはあったが、それでも起きた

　西日本シティ銀行は今回の事案を受け、営業店など顧客情報を扱う場所への私用スマホの持ち込みを禁じたと報じられている。思い切った対応に見えるが、金融機関のオフィスでは、私用スマホの利用を制限している例は珍しくない。

　ただ、それは一律に適用される措置ではない。個人情報保護委員会のガイドラインは、区域ごとに安全管理の基準を分けている。例えば、サーバや重要な情報システムを置く「管理区域」では、入退室管理に加え、カメラなどの機器の持ち込みが制限されている。一方で、個人データを扱う執務室や窓口のような「取扱区域」では、間仕切りや座席配置といった閲覧対策が中心だ。金融分野向けの制限はより強めだが、それでも、区域や場面に応じた措置にとどまっている。

　つまり、顧客名がホワイトボードに残る営業店の執務エリアは、本来なら閲覧対策が中心で、スマホが全面的に禁止される場所ではなかった。そのため、同行が私用スマホを禁じたのも今回の事案が起きた後である。

　では、スマホを禁止すれば今回のような事態を防ぐことができるのか。社会保険労務士で、社内規定のクラウドサービスを手がけるKiteRa（キテラ）の渡辺涼太氏は、「規定を従業員が読むとは限らず、読んでも目の前の行為と条文が結びつかない。規定に禁止項目を付け加えるだけでは抑止力にはならず、周知・研修・運用が一体となって初めて効果を発揮する」と話す。そして、「そこまでしても、最後はその方の良心に委ねられている」と言う。

渡辺涼太氏（筆者撮影、以下同）

　この「良心」については、JCBの事案を見るとはっきりと分かる。問題の投稿には、「スマホを持ち込めないのに」という趣旨の文言が添えられていたと伝えられている。もしこの通りなら、持ち込み禁止という規定は「守るべきもの」ではなく、「嘲笑の対象」になっていたことになる。

　規定は、いわば塗装である。表面をきれいにすることはできても、素地である人が整っていなければ、本来の効果を発揮することはできないのである。