「撮ってみただけ」「ちょっと見せたかっただけ」——そんな軽い気持ちによる一枚の投稿が、取引先・患者・顧客の個人情報を世界にさらしてしまう事案が2025〜2026年にかけて急増しています。
不正アクセスやサイバー攻撃とは異なり、悪意がなくても起きるというのがSNS投稿型の個人情報漏洩の特徴です。規則を整備していても、研修を実施した直後でも、発生してしまう。その構造的な問題を、国内の実際の事例から解説します。
この記事のサマリー
- 西日本シティ銀行では「BeReal」で支店執務室を撮影・投稿し、ホワイトボードに記載された顧客7名の氏名・業績目標・PC画面が流出。X上で1,042万ビューを超える炎上となりました。
- 日本テレビ「ZIP!」では研修実施の翌日に新人スタッフが出演者名入り資料・シフト表・入構証をSNSに投稿。社長が謝罪会見を行いました。
- 武蔵野徳洲会病院では職員のSNS投稿動画に患者48名の氏名が映り込み。投稿から発覚まで約15か月もの期間が経過していました。
- 桜十字病院では患者の医療書類(MMSE検査用紙とみられる)がSNSに投稿され、患者1名の個人情報が漏洩しました。
- 研修を実施しても防げなかったという事例が複数あり、「ルールの周知」だけでは不十分なことが浮き彫りになっています。
目次
事例一覧 2025〜2026年のSNS投稿型個人情報漏洩
| 事案 | 公表日 | 投稿媒体 | 漏洩情報の種類 | 対象者数 |
|---|---|---|---|---|
| 西日本シティ銀行(BeReal・下関支店) | 2026年4月30日 | BeReal→X | 顧客氏名・業績目標・PC画面 | 7名 |
| 日本テレビ「ZIP!」新人スタッフ | 2026年4月27日 | Instagram→X | 出演者名入り資料・シフト表・入構証 | 非公表 |
| 武蔵野徳洲会病院 | 2026年4月4日(第一報) | SNS(未特定) | 患者の氏名(動画への映り込み) | 48名 |
| 桜十字病院 | 2026年4月23日 | SNS(未特定) | 患者の個人情報(医療書類の映り込み) | 1名 |
事例1:西日本シティ銀行——「BeReal」の2分以内投稿が招いた炎上
何が起きたか
2026年4月29日夜、西日本シティ銀行・下関支店勤務の女性行員が「BeReal(ビーリアル)」で支店執務室内を撮影・投稿した動画がX上で拡散。4月30日には1,042万ビュー・1.4万リポストを超える炎上となりました。
映り込んでいた情報は、ホワイトボードに記載された顧客7名の氏名のほか、「下半期業務目標」として貸出金・個人ローンの数値目標・デスク上の書類・PCの画面でした。行名入りのチラシも映り込んでいたため、Xユーザーによって銀行名・支店名が特定されました。
銀行は4月30日付で公式発表し謝罪。顧客7名への個別謝罪を実施するとしています。
なぜBeRealが問題になったか
BeRealは「1日1回届く通知から2分以内に投稿することを促す」という設計のSNSです。事前に撮影した写真を選ぶことができず、通知が来た瞬間の状況をそのまま撮影・共有します。この「反射的投稿を促す構造」が、業務中に深く考えることなく投稿させてしまうリスクを内包しています。
なお、投稿されたのは2024年のものとみられており、2年近くを経て人事異動期の4月に意図的に拡散された可能性も指摘されています。SNS投稿は「投稿した時点」だけでなく「拡散された時点」に問題が表面化するという特性があります。
▶ 詳細記事:西日本シティ銀行、職員が「BeReal」で支店内を撮影・SNS投稿——顧客7名の氏名・業績目標・PC画面がX上で拡散
事例2:日本テレビ「ZIP!」——研修翌日に新人スタッフが投稿
何が起きたか
2026年4月上旬、「ZIP!」の制作に関わる制作協力会社の新人スタッフが、Instagram上で番組の内部情報を含む動画・画像を投稿しX上で拡散。**「芸能人沢山会えて話せてまじで楽しい」などのテキストとともに、出演者名入りの資料・スタッフ配置が読み取れるシフト表・日本テレビの局内入構証とみられる画像が確認されました。
2026年4月27日の定例社長会見で福田博之社長が謝罪。「研修を実施していたにもかかわらず本事案を招いたことは、我々の対応が十分ではなかったといわざるを得ません」と述べました。
研修の翌日になぜ起きたか
最大の問題は「4月1日にSNS情報漏洩の禁止・入構証の管理を盛り込んだ研修を実施していたにもかかわらず、その翌日に投稿が行われていた」という点です。
「SNS投稿禁止」という抽象的なルールが伝わっても、「自分が投稿しようとしているこの動画が、なぜ問題なのか」という具体的な理解が伴っていなかった可能性があります。また制作協力会社の新人スタッフへの情報管理教育という「外部委託先管理の問題」も浮き彫りになっています。
▶ 詳細記事:日テレ社長、「ZIP!」新人スタッフのSNS情報漏洩を謝罪——4月1日の研修直後に入構証・出演者資料・シフト表が流出
事例3:武蔵野徳洲会病院——投稿から発覚まで約15か月
何が起きたか
2025年1月頃、武蔵野徳洲会病院の職員がSNSに投稿した動画に患者48名の氏名が映り込んでいたことが、2026年4月4日の院内職員からの報告で発覚しました。投稿から発覚まで約15か月が経過していました。
発覚後、当該投稿を速やかに削除。個人情報保護委員会への報告・対象48名への個別謝罪・当該職員への厳正対処を実施。全職員(非常勤・派遣含む)計636名全員へのSNS利用と個人情報保護に関する研修受講を完了(2026年4月28日 第三報)。
「15か月間気づかなかった」という問題
院内の自主的なSNS監視体制が機能していなかったことを示しています。動画の主題は「業務の記録」とみられ、投稿者は患者情報を意図的に撮影した訳ではなく、背景に映り込んでいることに気づかなかった可能性があります。
▶ 詳細記事:【第三報】武蔵野徳洲会病院、職員がSNSに投稿した動画に患者48名の氏名が含まれていたことが判明
事例4:桜十字病院——医療書類がSNSに
2026年4月21日、桜十字病院(熊本市)の職員がSNSに投稿した内容が「患者の医療書類をSNSに投稿した」とみられることがX上で指摘され拡散。4月23日に病院が公式発表。患者1名の氏名・生年月日・年齢が漏洩した可能性があるとしています。
MMSE(認知機能検査)に用いる書類が映り込んでいたとする情報がSNS上で広まっており、患者の認知機能という極めて機微な情報が含まれていた可能性があります。
▶ 詳細記事:桜十字病院(熊本)、職員による患者の個人情報の不適切な情報発信を公表
事例の比較——4つのパターン
| パターン | 代表事例 | 特徴 |
|---|---|---|
| 反射的投稿型 | 西日本シティ銀行(BeReal) | アプリの設計が「考える間もなく投稿させる」構造 |
| 高揚感型 | 日テレZIP!新人スタッフ(Instagram) | 「芸能人に会えた」という感情がSNS投稿衝動を生む |
| 映り込み型 | 武蔵野徳洲会病院・桜十字病院 | 主目的は別で、背景・周囲の情報が意図せず映り込む |
| 遅延発覚型 | 武蔵野徳洲会病院(15か月後発覚) | 投稿時点では気づかれず、後から指摘・拡散で発覚 |
なぜ研修があっても防げないのか——構造的な問題
問題1:「抽象的なルール」と「具体的なリスク実感」の乖離
「SNS投稿禁止」というルールは伝わっていても、「自分が今から投稿しようとしているこの動画のどこが問題なのか」という実感が伴っていないケースが多くあります。
特に効果的なのは「実際の事故事例を使った研修」です。「こういう投稿でこういう問題が起きた」というケーススタディは、座学のルール説明より圧倒的に記憶に残ります。本記事で紹介した事例はそのまま研修素材として活用できます。
問題2:「映り込み」への無意識
投稿者が意図的に個人情報を写したわけではないのに、背景に映り込んだホワイトボード・書類・PC画面から情報が漏洩するパターンが頻発しています。「自分を撮っているだけ」「料理を撮っているだけ」という意識では、周囲の情報への注意が向きません。
「撮影する前に、フレーム内に機密情報がないか確認する習慣」を組織内に根付かせることが重要です。
問題3:特定アプリへの対応の遅れ
「SNS一般を禁止する」という規程は存在しても、BeRealのように通知から2分以内の投稿を促す特定のアプリのリスクが規程に明示されていないケースが多くあります。新しいSNSアプリが登場するたびに、規程の見直しと教育の更新が必要です。
問題4:外部スタッフ・委託先への教育の空白
日テレの事案が示すように、情報管理に関するルールが正規職員には浸透していても、制作協力会社・派遣・アルバイト等の外部スタッフには届いていないというケースは少なくありません。患者情報や業務情報にアクセスできる全関係者を対象とした教育体制の整備が求められます。
組織が今すぐ取るべき対策——3層で考える
技術的対策
撮影禁止エリアの明確化と物理的な設備(撮影禁止の掲示・PC画面を外から見えにくくするプライバシーフィルター)の導入が基本です。業務エリアへの私物スマートフォンの持ち込み制限についても、抜け穴のない形で整備することが求められます。
運用的対策
SNS投稿に関する規程を「SNS全般禁止」という抽象的な記述ではなく、「業務中・業務エリアでの個人アカウントでの撮影・投稿は機器の種類を問わず禁止」という具体的な文言で整備します。また外部スタッフへの適用を明示し、入場時・業務開始時に誓約書を取得するプロセスを設けることも有効です。
SNS上での自社・所属組織への言及を定期的にモニタリングする体制を整えることで、武蔵野徳洲会病院のような「15か月後発覚」を防ぐことができます。
人的対策
研修では実際の事故事例を使ったケーススタディを取り入れ、「なぜこれが問題なのか」を実感として理解させることが重要です。特に以下の誤解を修正することが効果的です。「自分は写さないから大丈夫」(→映り込みのリスク)、「モザイクをかければ大丈夫」(→周辺情報からの特定リスク)、「鍵アカだから大丈夫」(→スクリーンショットによる拡散リスク)。
また「高揚感のある瞬間こそ投稿前に一呼吸置く」という習慣の醸成も重要です。「芸能人に会えた」「特別なものを見た」という感情が投稿衝動を高める仕組みを理解し、そういう瞬間こそ立ち止まる訓練が必要です。
▶ 関連記事:1人の従業員のミスが引き起こすインシデント——事例と対策【保存版】
よくある質問(FAQ)
Q. SNS投稿による個人情報漏洩は個人情報保護法違反になりますか? 漏洩した情報が個人情報保護法上の個人情報に該当し、本人の同意なく第三者への提供(SNSへの公開)が行われた場合、個人情報保護法第27条(第三者提供の制限)に違反する可能性があります。医療従事者の場合は各資格法の守秘義務違反にも該当し得ます。
Q. 投稿者個人と組織のどちらが責任を負うのですか? 多くの場合、投稿者個人の懲戒処分と、組織の管理責任の両方が問われます。「組織が適切な教育・管理体制を整備していたか」が組織の責任の範囲を左右します。今回の事例では各組織が「情報管理体制の不備」を認めて謝罪しており、組織の責任も問われています。
Q. 「鍵アカウント」での投稿なら漏洩になりませんか? 鍵アカウント(非公開設定)でもフォロワーへの公開は行われます。またスクリーンショット・画面録画による拡散は防げず、実際に本記事の事例のいくつかも「鍵アカウントからの転載」として拡散しています。
Q. BeRealなどの新しいSNSへの対応はどうすればいいですか? 特定のアプリを名指しした規程の整備よりも、「業務エリアでの私物デバイスによる撮影・投稿は媒体を問わず禁止」という包括的な規程の方が実効性があります。新しいSNSが登場するたびに規程を改定するのは現実的ではありません。
参考情報
- お詫びとお知らせ(西日本シティ銀行、2026年4月30日)
- SNS情報漏洩について(日本テレビ定例社長会見報道各紙、2026年4月27日)
- 当院職員によるSNSへの不適切な投稿について(第三報)(武蔵野徳洲会病院、2026年4月28日)
- 患者さまの個人情報漏えいに関するお詫びとご報告(桜十字病院、2026年4月23日)
- 【関連記事】1人の従業員のミスが引き起こすインシデント——事例と対策【保存版】
- 【関連記事】不正アクセスとは——定義・件数・手口・目的・防止策を専門家が解説【2026年最新】
関連記事
2026年4月 個人情報漏洩の事例 まとめ
【2026年】サイバー攻撃・情報漏洩の最新 事例
西日本シティ銀行、職員が「BeReal」で支店内を撮影—顧客7名の氏名・業績目標・PC画面がX上で拡散し個人情報漏洩
BeReall(ビーリアル)の危険性を解説
2026年3月 個人情報漏洩の事例 まとめ
2026年 ランサムウェアの事例-国内・海外の被害を解説
2026年4月 最新 サイバー攻撃の被害 事例 まとめ
日テレ社長、「ZIP!」新人スタッフのSNS情報漏洩を謝罪-4月1日の研修直後に入構証・出演者資料・シフト表が流出
武蔵野徳洲会病院、職員がSNSに投稿した動画に患者48名の氏名が含まれていたことが判明
