「BeReal」が突きつける経営課題 技術で防げない情報漏えいにどう向き合うか：久松剛のIT業界裏側レポート

リアルタイムSNS「BeReal」によるトラブルが相次ぐ中、これを若者のリテラシー不足と片付けるのは危険です。プロダクトの特異性とビジネス構造、そして既存の内部統制の限界を多角的に分析し、経営が下すべき判断を提示します。

[久松 剛，エンジニアリングマネージメント]

この連載について

DX推進、生成AI技術の進化が加速する今、企業のIT部門は戦略的な役割への変化が求められ、キャリアの転換点に立たされています。この現状を変え、真に企業価値を高める部門となるには新たな戦略が必要です。

本連載では、博士としてインターネット技術を研究し、情シス部長、SRE、エンジニアマネジャーとしてIT組織の最前線を知る久松剛氏が、ニュースの裏事情や真の意図を分析します。一見関係ないニュースもIT部門目線の切り口で深掘りし、IT部門の地位向上とキャリア形成に直結する具体策を提示します。

「久松剛のIT業界裏側レポート」のバックナンバーはこちら

　写真共有SNS「BeReal」を巡るトラブルが相次いでいます。折しもゴールデンウイークと重なり、企業・個人双方にとって無視できない問題として顕在化しました。

　しかし、この問題を単なる「若年層のSNSリテラシー不足」として片付けるのは適切ではありません。

　BeRealは従来のSNSとは異なる設計思想を持っており、その結果として企業の内部統制や情報セキュリティの前提そのものを揺るがしています。本稿では、この現象を構造的に分解し、IT部門および経営の視点から何が起きているのかを整理します。

現状整理　BeRealというプロダクトの特異性

　BeRealの特徴は、「リアルであること」を強制する設計にあります。通知が届いてから2分以内に投稿しなければ「遅れた」と表示がされる仕様は、単なるユーザー体験の工夫ではなく、行動そのものを制約するという強いメッセージです。

　さらに、投稿しなければ他人の投稿が見られないという仕組みが、ユーザー同士の関係性に圧力を生み出します。投稿するかどうかは本来は自由な選択ですが、この設計によって「投稿しないと疎外される」「遅れると本当の自分ではないと見なされる」といった心理的な負荷が発生します。

　結果として、ユーザーはその場で写真を撮ることを半ば強制されるようになり、慎重に内容を確認する余地が極めて小さくなります。従来のSNSが「選んで発信する」メディアであったのに対し、BeRealは「その瞬間をそのまま外部に出す」メディアであると言えるでしょう。

構造分析1　政策・マクロ──制度は「行動」を前提にしていない

　個人情報保護や情報漏えい対策は、これまで長い時間をかけて法的な枠組みとして整備されてきました。しかしその多くは、「データをどう扱うか」という観点で設計されています。つまり、意図的な持ち出しやシステムからの流出を前提にしているのです。

　一方でBeRealは、「人の行動」を通じて情報を外部に流出させます。業務中に無意識に撮影された画像の中に機密情報が含まれていたとしても、それはデータとして管理されていたわけではありません。そのため、従来の制度ではこのようなリスクを十分に捕捉できません。

　制度と実態の間にあるこのズレは、今後さらに拡大する可能性があります。生成AIやウェアラブルデバイスなど、「行動を起点にデータが生成される」技術が普及する中で、同様の問題は繰り返し発生するでしょう。

構造分析2　資本市場・投資家──なぜこの設計が選ばれるのか

　では、なぜこのようなリスクを内包した設計が採用されるのでしょうか。その背景には、SNSビジネスの構造があります。

　BeRealのような仕組みは、ユーザーの投稿頻度を自然に引き上げ、アクティブ率を維持しやすくします。さらに、ユーザー同士の関係性が強化されることで、離脱率も低下します。これらは全て、プラットフォームにとって極めて重要なKPIです。

　つまり、この設計は安全性よりも継続利用を最大化させるように最適化されているのです。企業のコンプライアンスが重視する「リスクの最小化」と、プラットフォームが追求する「エンゲージメントの最大化」は、構造的に相反する関係にあります。

構造分析3　企業実務──内部統制の前提が崩れている

　企業の情報セキュリティは、これまで「管理できるもの」を前提に設計されてきました。業務端末は企業が管理し、ネットワークも制御可能であり、ログも追跡できるという前提です。

　しかしBeRealは、この前提を全て回避します。個人のスマートフォンから投稿され、モバイル回線を通じて送信されるため、企業のネットワークを経由しません。アプリ内部の挙動もブラックボックスであり、企業側からは観測できません。

　かつての「Winny」や「WinMX」のようなファイル共有ソフトであれば、ネットワーク制御や資産管理によって一定の抑止が可能でした。しかし現代のSNSは、そのような制御の外側で動作するよう設計されています。

　この時点で、従来のIT部門のアプローチは根本的な限界に直面していると言えます。

情報漏えいは「時間差」で発火する

　今回の問題で見逃せないのは、情報漏えいがリアルタイムで発生していない点です。

　例えば、西日本シティ銀行の事例では、過去に投稿された画像が後になって公開されたと見られています。投稿当時には問題と認識されなかった情報が、時間の経過とともに意味を持ち、リスクへと転化しています。

　この構造は極めて厄介です。投稿された情報はスクリーンショットとして保存され、誰かの手元に残り続けます。そして、外部環境や人間関係の変化を契機に、任意のタイミングで公開される可能性があります。

　言い換えれば、企業は「いつ爆発するか分からない情報」を従業員個人の端末を通じて外部に預けている状態です。これは従来の情報漏えいとは異なり、発火のタイミングをコントロールできないという意味で、より深刻なリスクと言えるでしょう。

実務影響──IT部門の限界と現実的対応

　こうした状況において、IT部門単独でできる対策は限定的です。端末も通信も管理できない以上、技術的な手段による統制には限界があります。

　現実的な対応は、オフィス内での撮影ルールを明確にし、機密情報が視認できる環境を見直すといった、物理的・運用的な対策に依存せざるを得ません。また、入社時研修などでSNSリスクに関する教育を徹底することも重要です。

　これらはいずれも「人の行動」に依存する対策です。さらに深刻なのは、過去に投稿されたコンテンツに対して企業が関与できない点です。“ゼロデイBeReal”とでも言いますか、研修前に既に第三者によって保存されているスクリーンショットやデータは、企業の管理の外にあります。

　つまり、リスクは既に発生しており、それが顕在化していないだけという状況も十分にあり得ます。

残るもの、消えるもの

　この問題を整理すると、技術による統制の限界が明確になります。スクリーンショットのような不可逆な記録や、人間の行動に依存するリスクは今後も残り続けるでしょう。一方で、ネットワーク制御や端末管理によって全てを防げるという前提は崩れつつあります。

　「社内だから安全」という前提は、もはや成立しません。オフィスの中であっても、その瞬間は外部に接続されている可能性があるからです。

経営判断として何を選ぶのか

　BeRealを巡る問題は、SNSの使い方の問題ではなく、企業の統制の在り方そのものを問い直すものです。

　個人端末の持ち込みをどこまで許容するのか、従業員の行動にどこまで介入するのか。これらは全て経営判断に属するテーマです。

　極端な選択肢としては、スマートフォンの持ち込み制限のような対応も考えられます。しかし、それは生産性や採用競争力とのトレードオフになります。

　重要なのは、「技術で防げる」という前提を捨てることです。

　BeRealは止められません。では、止められない前提で、どこまでリスクを許容するのか。各社の回答が求められます。

著者プロフィール：久松 剛氏（エンジニアリングマネージメント　社長）

　エンジニアリングマネージメントの社長兼「流しのEM」。博士（政策・メディア）。慶應義塾大学で大学教員を目指した後、ワーキングプアを経て、ネットマーケティングで情シス部長を担当し上場を経験。その後レバレジーズで開発部長やレバテックの技術顧問を担当後、LIGでフィリピン・ベトナム開発拠点EMやPjM、エンジニア採用・組織改善コンサルなどを行う。

　2022年にエンジニアリングマネージメントを設立し、スタートアップやベンチャー、老舗製造業でITエンジニア採用や研修、評価給与制度作成、ブランディングといった組織改善コンサルの他、セミナーなども開催する。

Twitter : @makaibito