西日本シティ銀行、職員のBeReal 投稿による個人情報漏洩で再発防止策を公表|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月24日更新日時: 2026年06月24日

西日本シティ銀行は2026年6月23日、同行職員による職場内での不適切な撮影およびSNS投稿に関する事案について、事実関係、発生原因、再発防止策を公表しました。

本件は、同行職員が職場内で撮影した画像や動画をSNSへ投稿し、個人のお客さま8名に関する情報および法人のお客さま19社の名称が、外部から閲覧可能な状態となっていたものです。同行は、対象となる個人および法人のお客さまに対して、個別にお詫びと説明を行ったとしています。

同行は発生原因として、私用スマートフォンの職場での取扱いやSNS利用ルールの周知・徹底が不十分だったこと、管理職による指導・確認や職員間で相互に注意・報告しやすい職場環境に改善すべき点があったこと、SNSの特性を踏まえた情報漏えいリスクへの認識が十分でなかったことを挙げています。

1 この記事のサマリー
2 何が起きたか
3 事案の概要
4 発生原因
5 再発防止策
6 なぜSNS投稿による情報漏えいは防ぎにくいのか
7 金融機関・情報システム部門が確認すべきポイント
- 7.1 私用端末の持込みルールを実効性ある運用にする
- 7.2 SNS研修は実例ベースにする
8 参考情報・出典

この記事のサマリー

西日本シティ銀行が、職員の職場内撮影・SNS投稿に関する再発防止策を公表しました。
個人のお客さま8名に関する情報、法人のお客さま19社の名称が外部から閲覧可能な状態でした。
2026年4月30日の初報では、営業店執務室内を撮影した動画や画像の拡散が公表されていました。
2026年5月12日の続報では、対象範囲が個人8名に関する情報と法人19社の名称に拡大していました。
発生原因は、私用スマートフォンの取扱い、SNS利用ルール、管理職による指導、職場内の相互注意・報告、SNSリスク認識の不足です。
再発防止策として、私用スマートフォンの執務室持込みを厳禁とするルールを導入します。
業務用スマートフォンには、業務用と識別できるシール貼付を義務付けます。
管理職向け研修、職員向けSNS・情報漏えい防止研修を実施します。
関係者には行内規定に基づき厳正な処分を行い、経営責任を明確にするため役員報酬の一部を自主返納します。

何が起きたか

西日本シティ銀行では、職員が職場内で不適切な撮影を行い、その画像や動画をSNSに投稿したことで、顧客情報が外部から閲覧可能な状態となりました。

2026年4月30日の初報では、営業店執務室内を撮影した動画や画像がインターネット上に投稿・拡散されたことが公表されました。この時点では、執務室内の動画や画像に、7名のお客さまの個人情報、具体的には氏名のみが記載されたホワイトボードが映っていたと説明されていました。

その後、同行は追加調査を実施し、2026年5月12日に、既に公表したものを含め、個人のお客さま8名に関する情報および法人のお客さま19社の名称が外部から閲覧可能な状態となっていたことを公表しました。

今回の6月23日の公表では、事実関係と発生原因を整理したうえで、再発防止策が示されています。

事案の概要

項目	内容
公表企業	西日本シティ銀行
初報	2026年4月30日
続報	2026年5月12日
再発防止策公表	2026年6月23日
事象	職員による職場内での不適切な撮影およびSNS投稿
外部閲覧可能となった情報	個人のお客さま8名に関する情報、法人のお客さま19社の名称
対象者対応	個別にお詫びと説明を実施
主な再発防止策	私用スマートフォンの執務室持込み厳禁、ルール周知、管理職研修、SNS・情報漏えい防止研修
処分等	関係者を行内規定に基づき厳正に処分、役員報酬の一部を自主返納

発生原因

西日本シティ銀行は、本件の発生原因として3点を挙げています。

原因	内容
私用スマートフォン・SNSルールの不徹底	職場における私用スマートフォンの取扱い、SNS利用に関するルールの周知・徹底、遵守状況の確認が十分ではなかった
管理職の指導・職場環境の課題	管理職による指導・確認や、職員同士が相互に注意・報告しやすい職場環境の整備に改善すべき点があった
SNSリスク認識の不足	SNSの特性を踏まえた情報漏えいリスクについて、役職員の認識が十分ではなかった

再発防止策

西日本シティ銀行は、発生原因を踏まえて、3つの柱で再発防止策を策定しました。

セキュリティ対策Lab：SNS投稿による個人情報漏洩のまとめ 2025〜2026年の国内事例と組織が今すぐ取るべき対策

私用スマートフォンの取扱いおよびSNS利用に関するルールの周知・徹底

同行は、私用スマートフォンの執務室への持込みを厳禁とするルールを導入します。

また、ルールの定期的な読み合わせを行い、周知・徹底と遵守状況のモニタリングを実施します。加えて、業務用スマートフォンを一目で識別できるよう、業務用シールの貼付を義務付けます。

対策	内容
私用スマートフォン持込み厳禁	執務室への私用スマートフォン持込みを禁止
ルール読み合わせ	定期的にルールを読み合わせ、周知・徹底
遵守状況の確認	ルールが守られているかモニタリング
業務用端末の識別	業務用スマートフォンに業務用シールを貼付

管理職による指導・確認と相談しやすい職場風土の醸成

同行は、経営陣が先頭に立ち、銀行にとって顧客情報管理が信頼の基盤であること、情報管理の重要性を継続的に周知・徹底するとしています。

また、管理職に対し、ルールを正確に理解し、職場で周知・指導できるよう研修を実施します。さらに、職員が違和感を覚えた際に、周囲に注意し、上司や本部へ報告・相談しやすい職場環境を各種研修を通じて整備するとしています。

対策	内容
経営陣による周知	顧客情報管理の重要性を継続的に発信
管理職研修	ルール理解と職場での周知・指導を徹底
報告・相談しやすい環境	職員が違和感を覚えた際に注意・報告・相談しやすい職場風土を整備

SNS・情報漏えいに対するリスク認識の醸成

同行は、経営陣および本部管理部門に対し、スマートフォンの利用状況や最新SNSなどのデジタル事情に関する研修を、外部の知見を活用して実施します。

また、職員に対しても、それぞれの職責や役割に応じたSNS・情報漏えい防止研修を実施するとしています。

対象	研修内容
経営陣・本部管理部門	スマートフォン利用状況、最新SNS、デジタル事情に関する研修
職員	職責・役割に応じたSNS・情報漏えい防止研修

なぜSNS投稿による情報漏えいは防ぎにくいのか

SNS投稿による情報漏えいは、不正アクセスやマルウェア感染とは異なり、職員本人の何気ない行動で発生します。

システム側でファイル送信を制御していても、紙、ホワイトボード、画面、周囲の会話、制服、名札、座席表、顧客名のメモなどがスマートフォンのカメラに映り込むと、情報漏えいにつながります。

リスク	内容
背景の映り込み	ホワイトボード、書類、PC画面、顧客名が映る
短時間投稿の心理	SNSの通知や投稿文化により、確認せず投稿される
友人限定への過信	限定公開でもスクリーンショットや転載で拡散する
削除不能性	投稿後に保存・転載されると完全削除が困難
組織外での再拡散	別SNS、掲示板、まとめサイト等へ広がる可能性
悪意がなくても発生	職員本人に漏えい意図がなくても事故になる

特に金融機関では、個人名や法人名だけでも取引関係を推測される可能性があります。顧客名、支店名、担当者、業務目標、取引先名が組み合わさると、信用情報や取引関係に関する憶測を招く恐れがあります。

金融機関・情報システム部門が確認すべきポイント

今回の事案は、SNS利用教育だけではなく、物理的な執務室管理、端末管理、職場風土、管理職の監督責任まで含めた対策が必要であることを示しています。

私用端末の持込みルールを実効性ある運用にする

私用スマートフォンの持込み禁止ルールを定めても、現場で守られなければ意味がありません。

確認項目	内容
持込み禁止区域	執務室、窓口後方、バックオフィス、会議室などを明確化
保管場所	私用端末をロッカー等で保管できる運用にする
例外管理	緊急連絡や家庭事情などの例外手続きを明確化
業務用端末識別	業務用端末と私用端末を外観で識別できるようにする
定期点検	ルール遵守状況を定期的に確認する
委託先・派遣社員	自社職員以外にも同じルールを適用する

SNS研修は実例ベースにする

SNS教育では、一般論だけでは効果が薄くなります。

職員が日常的に使っているSNS、短時間投稿、ストーリーズ、限定公開、DM、スクリーンショット、位置情報、画像メタデータなど、実際の利用シーンに即した研修が必要です。

研修テーマ	内容
背景映り込み	画像の一部から顧客情報が判読されるケース
限定公開の誤解	友人限定でも外部流出する仕組み
投稿削除の限界	削除しても転載・保存されるリスク
業務中SNS	勤務時間中の投稿が信用問題になる理由
金融機関特有のリスク	顧客名や法人名だけでも取引関係を推測される可能性
違和感の報告	同僚の不適切行為を見た場合の相談ルート