今年の春、西日本シティ銀行をはじめ、新世代SNS「BeReal(ビーリアル)」をきっかけとした情報漏えいが相次いだ。
これまでのSNS炎上では、迷惑行為や不適切な発言を意図的に撮影・投稿するケースが多かった。
しかし、BeRealは「通知が来たら2分以内に、現在の自分と周囲の景色を1枚の写真(内カメラと外カメラで同時撮影)として投稿する」というシステムであり、すぐの投稿を促すメッセージが表示される、遅れた投稿には「○時間遅れ」と表記されてしまうなど、投稿を催促する仕様になっていることから、周囲の状況を確認せずに慌てて撮影した結果として資料やパソコン画面の情報が映り込むという、「意図せぬ炎上」を招いている。
また、SNSによる情報漏えいは企業だけでなく市役所でも起こっている。4月、神奈川県川崎市役所の新規採用職員向け研修資料とみられる文書が、LINEのオープンチャットに投稿され、その後SNSで拡散された。
事態を受けて、福田紀彦・川崎市長は「こんなことまで注意喚起を促さなくちゃいけないのかと、正直驚きを隠せない」と発言している。
さらに同月には、宮城県仙台市太白区の市立小学校でも、20代の女性教諭が学校名や同僚教員の名前が写るパソコン画面をBeRealで撮影・投稿し、その画像がXに拡散され300万回以上閲覧されるという事件が起きた。
民間であれば情報を漏えいした社員に対して企業は懲戒処分を行えるが、公務員の場合はどのような処分がされるのだろうか。また、新卒や若手の従業員による漏えい事件を防ぐために職場が取れる対応とは何だろうか。川崎市の事例を中心に、同市内を拠点に活動する庄司悠人弁護士に聞いた。
内部情報の流出は「地方公務員法」違反
そもそも、公務員が内部資料に掲載された情報をSNSを通じて外部に拡散する行為は、どのような法律に抵触するのだろうか。
庄司弁護士によると、地方公務員法は「職員は、職務上知り得た秘密を漏らしてはならない」としており(34条1項)、違反した場合には1年以下の拘禁刑又は50万円以下の罰金が刑事罰として定められている(60条2号)。同様の規定は国家公務員法にもあり(100条1項)、違反した場合の罰則も同じだ(109条12号)。
そして、内部資料に掲載された情報が地方公務員法34条における「秘密」に該当している場合、SNSを通じて情報を外部に拡散した公務員は、上記の刑事責任を問われる可能性がある。さらに、情報を拡散したことにより自治体や関係機関、住民や職員などに損害が生じた場合には、民事上の損害賠償責任などを問われるおそれがある。
事実上の「採用取消し」「解雇」になる可能性も
情報を漏らした職員は、刑事罰や損害賠償のほかに、その職員が所属する市役所・省庁などの組織からもペナルティを課される可能性がある。
川崎市を例にとると、同市の情報セキュリティ対策基準では職員に対して「業務上知り得た情報等を第三者に流出したり改ざんされないよう、情報の保全に努める」と規定している(2章5(3)ア)。
また同基準では、情報資産について、個人情報等の保護の観点から、「自治体機密性」を5段階(1、2、3A、3B、3C)に分けて規定している(3章2(1))。
そして、2以上の情報を外部に提供するものは、必要に応じパスワード等による暗号化を行わなければならず、また情報セキュリティ管理者の許可を得なければならないとしている(4章1(6))。
もし職員が同基準に違反した場合には、その重大性や発生した事案の状況等に応じて、懲戒処分等の対象とすることが定められている(12章3)。
地方公務員の懲戒処分は重いものから順に免職・停職・減給・戒告の4種類が定められており(地方公務員法29条)、事案の重大性や悪質性、被害の大きさなどを総合的に考慮して判断される。
「今回の事件は、新規採用職員のための研修用資料を不特定多数が閲覧できるLINEのオープンチャットに投稿したというものです。
特定個人の個人情報を私的に利用するために故意で利用したような事案と比べれば悪質性は大きくないかもしれませんが、地方公務員法上の守秘義務や川崎市情報セキュリティ対策基準に抵触する事案であり、何よりも川崎市の住民からの信用を大きく失墜させる重大な事案と考えられます。
以上をふまえると、川崎市の対応としては、問題行動を行った新規採用職員に対して、注意喚起や叱責等で済ますのではなく、減給や戒告の懲戒処分を行う可能性が高い事案であると考えられます。
また、地方公務員法22条は、『職員の採用は、全て条件付きのものとし、当該職員がその職において6月の期間を勤務し、その間その職務を良好な成績で遂行したときに、正式なものとする』と定めていますので、新規採用職員の本採用を拒否することが考えられます」(庄司弁護士)
新規採用職員は通常、採用後6か月間は「条件付採用」の立場にあり、その間の勤務成績や適格性が評価される。本採用を拒否された場合には公務員としての身分を失うため、本人にとっては事実上の「採用取消し」「解雇」に近い、極めて重い不利益を受けることになる。
なお、現時点で、該当の職員に対する具体的な処分は公表されていない。
セキュリティ研修は資料を配布する前に行うべき
今年度から新卒採用などで会社員や公務員に就職した若手は、幼い頃からSNSを生活の一部として利用してきた世代である。庄司弁護士は「学生のころからLINEのグループトーク等で資料を共有するということを行ってきた経験から、資料をSNS上に投稿することに対する心理的なハードルが低下していることが考えられます」と指摘する。
しかし、学生の頃はルーズな情報共有で問題がなかったとしても、社会人となってからは、少しでも個人情報の扱いを間違うだけで、本人だけでなく勤務先などまでにも取り返しのつかないような大きな損害を与える可能性がある。
会社や市役所の側としては、これまでも新人研修の講義に「情報セキュリティ」の科目を組み込んでいると考えられる。だが、川崎市の事例で資料がSNS上に投稿されてしまったのは、研修を行う前のことだった。
そのため、研修資料を配布する前から、真っ先に情報セキュリティに関する研修を実施し、情報リテラシー教育を行ったうえで、その他の研修に使用する資料は後から配布する、という対策を講じるべきだという。
「新人研修に限らず、定期的に情報セキュリティに関する研修を行い、職員の情報リテラシー教育に努める必要があるとも考えられます。
また、研修用資料だけでなく、日々の業務においても内部資料の流出リスクが考えられることから、資料には『部外秘』などの警告を表示し、日常的に注意喚起を行うことが必要となるでしょう」(庄司弁護士)
