西日本シティ銀行、職員が「BeReal」で支店内を撮影—顧客7名の氏名・業績目標・PC画面がX上で拡散し個人情報漏洩|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年05月01日更新日時: 2026年06月03日

2026年4月30日、株式会社西日本シティ銀行（本店：福岡市博多区、頭取：村上英之）は、同行職員がSNSアプリ「BeReal（ビーリアル）」を通じて山口県の下関支店内を撮影・投稿した動画および画像がインターネット上で拡散したとして、公式サイトで謝罪を発表しました。

動画・画像にはホワイトボードに記載された顧客7名の氏名のほか、業績目標・貸出金・個人ローンの数値目標・デスク上の書類・PCの画面などが映り込んでいました。投稿は2026年4月29日夜からX（旧Twitter）上で急速に拡散し、翌4月30日には1,042万ビュー・1.4万リポストを超える炎上状態となりました。

続報：西日本シティ銀行・BeReal投稿による顧客情報漏洩で頭取が謝罪

この記事のサマリー

2026年4月29日夜、西日本シティ銀行・下関支店に勤務する女性行員が「BeReal」で執務室内を撮影・投稿した動画・画像がXで拡散しました。
動画・画像には「下半期業務目標」として貸出金・個人ローンの数値目標が記載されたホワイトボード・デスク上の書類・PC画面・同僚行員の姿が映り込んでいました。ホワイトボードには顧客7名の氏名（個人情報）**も確認されました。
銀行を特定できる行名入りのチラシ・資料も映り込んでいたため、Xで「西日本シティ銀行の特定の支店ではないか」という指摘が相次ぎ、銀行は4月30日に事実を認めて謝罪しました。
投稿媒体のBeRealは「1日1回届く通知から2分以内に投稿することを促す」という特徴を持つアプリです。あらかじめ撮影した写真を選んで投稿することはできず、通知が来た瞬間の状況をそのまま撮影・共有する設計です。この「反射的投稿を促す構造」が、業務中での深く考えない投稿を招いたとみられます。
顧客7名への個別謝罪を実施するとしています。
西日本シティ銀行は2025年5月にも東京海上日動からの出向者による顧客情報165件の漏洩が報じられており、情報管理体制への問題が繰り返されています。

1 事案の経緯
2 映り込んだ情報の詳細—「銀行の内部がそのまま世界に」
3 「BeReal」という投稿媒体の構造的リスク
4 なぜ今拡散したのか
5 なぜ「研修があっても防げなかった」のか
6 情シス・コンプライアンス担当者へのポイント
- 6.1 よくある質問（FAQ）
- 6.2 参考情報

事案の経緯

日時	内容
2026年4月29日夜	2024年下関支店勤務の女性行員が「BeReal」で執務室内を撮影・投稿。2026年4月GW前にXで拡散開始
2026年4月30日午前	X上での拡散に気づいた銀行側が調査開始。報道機関の取材に「事実確認中」と回答
2026年4月30日午後	銀行が公式サイトで「お詫びとお知らせ」を発表。事実を認め謝罪
2026年4月30日時点	X上での閲覧数が1,042万ビュー・1.4万リポストを超える炎上状態に

映り込んだ情報の詳細—「銀行の内部がそのまま世界に」

テレビ西日本の報道と銀行の公式発表から確認されている映り込みは以下の通りです。

個人情報

個人情報として、ホワイトボードに記載された顧客7名の氏名（銀行公式確認済み）が映り込んでいました。

業務機密情報

「下半期業務目標」として貸出金・個人ローン等の数値目標が書かれたホワイトボード、デスク上の書類、PCの画面が確認されています。支店ごとの営業戦略そのものであり、競合他社に知られれば不利になる機密性の高い情報です。

銀行特定情報

として、行名入りのチラシや資料が映り込んでおり、Xユーザーによって銀行名・支店名が特定されました。

銀行の公式発表では現時点で確認されている漏洩情報を「7名の顧客の氏名のみ」としていますが、業績目標等の内部情報の流出については「業務上の内部情報」として別途の問題が残ります。

なお、拡散は2026年ですが投稿動画は2024年の支店立ち上げ期と思われます。

「BeReal」という投稿媒体の構造的リスク

今回の投稿媒体として指摘されているBeReal（ビーリアル）は、フランス発のSNSアプリで「ありのままの自分を見せる」をコンセプトとしています。

BeRealの最大の特徴は、アプリが1日1回ランダムに通知を送り、受け取ったユーザーは2分以内に投稿することを促すという設計にあります。あらかじめ撮影した写真を選んで投稿することができず、通知が来たその瞬間の状況をインカメラ・アウトカメラの同時撮影で投稿します。

この「通知が来たら反射的に撮影する」という行動様式が、「今は業務中」「周囲に機密情報がある」と深く考える間もなく投稿させてしまうリスクを内包しています。金融機関では私物スマートフォンの業務エリアへの持ち込みは原則禁止とされている場合が多いですが、BeRealの通知に対して反射的に撮影してしまうという構造的な問題は、単純なルール違反とは異なる次元の課題を提示しています。

関連：BeReall（ビーリアル）の危険性を解説

なぜ今拡散したのか

拡散した動画・画像の撮影は2026年ではなく2024年に行われたものと見れます。仮にこれが事実であれば、投稿から相当期間が経過した後に突如拡散したことになります。

4月は日本企業の人事異動・新年度の切り替わりの時期であり、組織内での異動・退職・人間関係の変化が集中します。SNS上では「意図的に拡散を仕掛けた第三者が存在するのではないか」という見方も出ており、投稿者本人以外の何者かがこのタイミングで拡散させた可能性も指摘されています。

※ただし現時点では、撮影が2024年であることも、第三者による意図的な拡散であることも公式に確認されておらず、いずれも推測の域を出ません。

なぜ「研修があっても防げなかった」のか

銀行は他業種と比較してもコンプライアンスと情報セキュリティの研修が厳格に行われる職種です。「SNS投稿禁止」「私物スマートフォンの業務エリア持ち込み禁止」というルールは存在していました。それでも今回の事案が起きたことには、複数の構造的な要因があります。

Z世代のSNS感覚と金融機関のルール感覚のギャップとして、「BeRealの通知が来たら投稿するのは日常の延長」という感覚と、「業務エリアでの撮影は絶対に禁止」という金融機関のコンプライアンス意識の間に深い溝があります。

「映り込み」への意識の低さとして、友達のみに情報を共有しているだけで、「機密情報を撮影しているわけではない」という意識の中で、機密情報の映り込みリスクを実感できていなかった可能性があります。

情シス・コンプライアンス担当者へのポイント

本件が示す教訓は「特定のアプリの行動設計を理解した上でのリスク教育が必要」という点です。

「SNS全般を禁止する」という抽象的なルールではなく、「BeRealのように通知が来ると2分以内の投稿を促すアプリは、業務中に反射的に投稿させるリスクがある」という具体的なリスクシナリオを、若手職員に実感を伴う形で伝えることが必要です。

また、「撮影するのは自分や同僚だけで、機密情報は撮っていない」という思い込みを打破するために、「背景に映り込む情報のリスク」を具体的な事例（本件を含む）として研修で共有することが推奨されます。

よくある質問（FAQ）

Q. 自分が対象の顧客7名に含まれるか確認するにはどうすればいいですか？ 西日本シティ銀行は対象の方に個別にお詫びと説明を行うとしています。不安な方は西日本シティ銀行営業支援部お客さまサービス室（0120-162-105、平日9:00〜17:00）にお問い合わせください。

Q. BeRealとはどのようなアプリですか？ フランス発のSNSアプリで、1日1回ランダムな通知が届き、受け取ったユーザーは2分以内にインカメラ・アウトカメラを同時撮影して投稿することを促す設計になっています。事前に撮影した写真を選んで投稿することはできないため、その瞬間の状況がそのまま投稿されます。

Q. 業績目標の流出は個人情報漏洩とは別の問題ですか？ 個人情報保護法上の「個人情報漏洩」として問題になるのは顧客7名の氏名の部分です。業績目標・貸出金数値・PC画面等の流出は「企業の内部機密情報の外部流出」という別の問題として扱われます。金融機関の競争戦略に関わる情報が外部に公開された点は、個人情報漏洩とは独立して深刻な問題です。