春の風物詩にしない――新入社員の情報漏えいを食い止める3つの対策：「個人の問題」から「組織の設計」へ

社員証や予定表など、若手社員と思われる人物がSNSに企業の機密情報を漏えいする事案が発生した。この問題を、意識の低さではなく、ルールで食い止めるために情シスが実施すべき施策を整理する。

[星 陽介，雨輝ITラボ（リーフレイン）]

　2026年4月初旬、複数の企業で新入社員と思しき人物によるSNS（ソーシャルネットワーキングサービス）への社内資料投稿が相次いで発覚した。入館証や業務関係のドキュメント、機密保持誓約書や社員番号、いずれも「社外秘」に当たる書類がSNSに投稿され、スクリーンショットがインターネットの海に拡散された。

　SNSでは「最近の若者は」「承認欲求が強すぎる」という個人への批判が相次いだ。しかし、情報システム部門（情シス）にとっての問題はそこではない。自社の新入社員が同じことをした場合、情シスが責任を問われる恐れがある。

　本稿では、新入社員によるSNSでの情報漏えいを「個人の問題」とするのではなく、「組織設計の問題」として捉え直す。その上で、情シスとしてやるべきことを整理する。

新入社員の情報漏えいはなぜ「毎年の風物詩」になっているのか

併せて読みたいお薦め記事

情報漏えいの関連記事

• 5社に1社がデータ漏えいを経験　シャドーAIを「特赦」で解決する新発想とは
• 更新ミスで「他人の取引履歴が丸見え」に　大手銀行が青ざめたテスト体制の欠陥

　なぜ毎年同じことが繰り返されるのか。このような事例から垣間見えるのは、投稿した本人の入社の喜びや仕事の頑張りを他者に伝えたいという気持ちだ。「鍵垢（鍵アカウント）だから特定のメンバーだけが見られる」「（Instagramの）ストーリーズは24時間で消えるから大丈夫」という誤認と、投稿した内容が「機密に当たる」という意識の薄さが相まった可能性がある。

　社内研修で守秘義務契約書にサインをしても、「具体的に何が社外秘で撮影したりSNSにアップロードしてはいけないのか」までを覚えられるようにする必要がある。

　ストーリーズのスクリーンショットが第三者に転載されて拡散したケースもある。投稿者は「友達だけに見せた」可能性があるが、インターネット上に「鍵のかかった場所」は存在しない。

問題の本質は「個人のモラル」ではなく「組織の設計」

　SNSへの機密情報の拡散を個人への批判で終わらせると、同じことが来年も繰り返される恐れがある。問題の根本的な原因を探る。

調査データが示す「教育の空白」

　ソーシャルリスクマネジメント企業エルテスが2026年3月に公表した調査では、「仕事や職場の情報をSNSに投稿したことがある」と答えた回答者は43.3％に上る一方、「所属する企業で、SNS利用に関する研修を受ける時間が設けられていた」と答えた回答者は22.7％だった。さらに、SNSの炎上や情報漏えいに対する危機意識を測るため、6つの具体的なリスクシチュエーションを例示したところ、研修を受けた群と受けていない群で設問の不正解率には2倍以上の差があった。調査対象は、会社員や公務員等の20〜69歳のビジネスパーソン300人だ。

　つまり、「やってはいけない」と知っているかどうかは、教育によって変わる可能性があるということだ。

「入社初日ギャップ」という盲点

　多くの企業が、入社時のオリエンテーションで機密保持誓約書にサインすることを社員に求める。しかし「機密情報とは何か」「SNSへの投稿で問題になるものは何か」を具体的に説明できていない場合がある。

　「入館証は機密か」「スケジュール表は社外秘か」「誓約書に自分の名前が書いてある書類はどうか」――。これらは「言われなければ分からない」ことだ。入社直後の、何が公開可能で何がNGなのか、現場レベルでの具体的な線引きが共有されない「入社初日ギャップ」が、漏えい事案の発生源になっている可能性がある。

情シスに飛んでくる「問い合わせ」を想定してみる

　自社で新入社員の情報漏えいが起こった場合に備えて、まずは状況を想像してみる。

「投稿を削除させることはできるか」

　SNSでの情報漏えいが発覚したとき、情シスに届く問い合わせは技術的なものだけではない。「その投稿を削除させる手段はあるか」「どこまで拡散しているか特定できるか」「アカウントの開示請求はできるのか」などだ。これらは、情シスが通常の業務で対応してきた範囲を超える可能性がある。

　本人への確認、証拠保全、法務・広報との連携フロー。これらが事前に整備されていなければ、初動は遅れる恐れがある。さらに初動の遅れは、被害の拡大につながる可能性がある。

インシデント対応の「対象範囲」を見直す

　御社の情シスやCSIRT（Computer Security Incident Response Team）は、想定するインシデントの範囲に、「SNS投稿による情報漏えい」を含んでいるだろうか。サイバー攻撃や不正アクセスは対象としていても、内部者による意図しないSNS投稿が対応フローに入っていない場合がある。

　情シスとして確認しておきたいのは、「誰が初動を担い」「誰に報告し」「どこに連絡するか」という手順が、このタイプのインシデントにも適用できるかどうかだ。

情シスが整備しておくべき3つの設計レイヤー

　問題が発生した場合に備えて、対策を仕組み化し、機能させるための設計をしておきたい。

1．具体的な禁止事項をリスト化し渡す

　「機密情報を外部に漏らしてはならない」と抽象的な規定を伝えても、「具体的に何が機密に当たる」という判断は育たない可能性がある。入館証、スケジュール表、社員番号、誓約書、PCの画面、会議室での会話、これらを「SNS投稿禁止の具体例」としてリスト化し、入社初日のオリエンテーションで示すことが対策の第一歩だ。

2．自主申告できる文化と仕組みを作る

　「やってしまったかもしれない」と気付いた本人が、すぐに報告できる環境があるかどうかが初動の速度を左右する。申告した際に責められるかもしれないと思うと、本人は黙ったまま問題を放置する恐れがある。情シスに相談窓口を設けること、報告を責めない方針を明示することが、インシデントの早期発見につながる。

3．対応手順を事前に整備する

　情報漏えいインシデントの1つとして、問題があるSNS投稿が発生した場合の対応フローを事前に整備しておく。初動の担当者、報告ルート、証拠保全の手順、社外への連絡窓口、法務・広報との連携タイミング。これらを事前に決めておく。

　特に、広報や経営へのエスカレーションのタイミングを決めておかないと、対応が分断しやすい。セキュリティポリシーやインシデントレスポンス計画の中に、SNS投稿に関する内容を明示的に加えることを検討したい。

「また4月が来た」で終わらせないために

　新入社員によるSNSの情報漏えいは、個人の失敗であると同時に、組織が「何が禁止か」を具体的に伝えられていなかった設計ミスの現れでもある。

　情シスに求められるのは、起きた事案を「あの会社の話」として消費することではない。自社の入社時ガイドラインに「SNS禁止事項の具体例」が含まれているか、漏えいが発生したときの対応手順が整備されているか、まずこの2点を確認することが大切だ。