【BeReal×西日本シティ銀行下関支店】銀行員が顧客情報を垂れ流し──「2分間の衝動」が金融機関の信用を破壊した日
2026年4月29日、SNS上で1枚の画像が炎上した。西日本シティ銀行・下関支店の内部──業務用PCの画面、ホワイトボードに書かれた顧客7名の氏名、業績目標、行内資料。それらが鮮明に映し出された写真が、SNSアプリ「BeReal(ビーリアル)」を通じてインターネット上に流出したのだ。
信用こそが商品である金融機関で、なぜこのような杜撰な情報管理が起きたのか。そして、この事件の根本にはBeRealというアプリの構造的な問題と、それを放置するフランス企業の無責任さがある。
何が起きたのか──事件の詳細
流出した情報
西日本シティ銀行下関支店の女性行員が、勤務時間中に私物のスマートフォンでBeRealの通知に応じて撮影・投稿。流出した情報は以下の通りだ。
- 顧客7名の氏名(ホワイトボードに記載)
- 2024年度の業績目標(預金・融資の数値目標)
- 業務用PCの画面(住宅ローン関連データとの指摘あり)
- 行内資料・書類(住所が含まれるとの指摘)
- 支店内の従業員の姿
西日本シティ銀行は公式Xアカウントで謝罪し、「顧客7名に個別に連絡・謝罪する」「全社的なコンプライアンス・情報管理態勢の強化を図る」と発表した。
なぜ「下関支店」と特定されたか
投稿された画像には支店の外観や周辺の風景は映っていなかったが、ホワイトボードに記された業績目標の形式、行員のネームプレート、過去の支店イベント写真との照合などから、ネット上で瞬時に「下関支店」と特定された。デジタルタトゥーの怖さを改めて見せつけた事例だ。
BeRealとは何か──「盛れない」SNSの危険な仕組み
BeRealを知らない読者のために、このアプリの仕組みを解説する。
基本コンセプト
BeReal(ビーリアル)は2020年にフランスで生まれたSNSアプリだ。コンセプトは「盛らない、リアルな日常を共有する」。InstagramやTikTokのような加工・演出を排除し、「今この瞬間の素の自分」を投稿することを推奨している。
核心的な仕組み──「2分間ルール」
BeRealの最大の特徴は以下のメカニズムだ。
- 1日1回、ランダムな時刻に通知が届く(「Time to BeReal!」)
- 通知から2分以内に撮影・投稿するのがルール
- 前面カメラと背面カメラで同時撮影される(自分の顔+目の前の光景)
- 2分を過ぎても投稿は可能だが、「遅刻」と表示される
この「2分間の衝動」が問題の核心だ。通知が来た瞬間、ユーザーは周囲の状況確認を怠り、反射的にカメラを起動する。それが会議中でも、病院でも、銀行のカウンター内でも。
過去にも繰り返されている事故
西日本シティ銀行の事件は氷山の一角に過ぎない。
- 2025年10月:岩見沢市立総合病院で委託業者がBeRealで患者20名分の個人情報(氏名・主治医・性別)が映ったモニターを撮影・投稿
- 大手通信会社:社内システムの画面がBeRealで流出
- 複数の企業:社内会議、研修資料、顧客リストなどの「BeRealテロ」が相次ぐ
金融機関における杜撰さ──信用ビジネスの自殺行為
銀行は「信用」で成り立つ
預金者は「自分のお金と情報を安全に管理してくれる」と信じて銀行に資産を預ける。この信用が崩れれば、銀行は存在意義を失う。個人情報保護法に加え、銀行法、金融庁のガイドライン、各行の内部規定──金融機関の情報管理は他業種とは比較にならないほど厳格であるべきだ。
なぜ起きたのか──構造的な問題
「個人の資質の問題」で片付けるのは簡単だが、以下の構造的な問題が指摘されている。
- 私物スマホの持ち込み管理の甘さ:多くの銀行は窓口エリアへの私物デバイス持ち込みを禁止しているが、実態は形骸化している
- Z世代の「SNS常識」とのギャップ:デジタルネイティブ世代にとって、SNS投稿は呼吸のように自然な行為であり、「銀行内は撮影禁止」という暗黙のルールが意識に浸透していない
- 研修の不十分さ:SNSリテラシー教育が時代の変化に追いついていない
西日本シティ銀行の過去の行政処分歴
西日本シティ銀行(旧西日本銀行・旧福岡シティ銀行)は過去にも行政処分を受けた経歴がある。今回の事件は「一行員の不祥事」ではなく、組織としてのコンプライアンス文化に根本的な課題があることを示唆している。
BeRealの設計思想の問題──「仕事中通知OFF」すらない無責任設計
ここからはアプリ側の問題を指摘する。
ユーザーの「自己責任」で済む話か?
確かに、勤務中にSNSを使うユーザーにも問題がある。しかし、BeRealのアプリ設計そのものが「事故を誘発する構造」になっていることは看過できない。
- 通知時間の選択不可:ユーザーは通知が届く時間帯を指定できない。勤務中でも通勤中でも、ランダムに「今すぐ撮れ」と催促される
- 「仕事中モード」の不在:一定時間帯の通知を自動抑制する機能がない。9時〜18時は通知しないという設定すら存在しない
- 2分間の心理的プレッシャー:「2分以内」というルールがユーザーに焦りを生み、周囲の確認を怠らせる
- 前後カメラ同時撮影:自撮りのつもりでも背面カメラが周囲を撮影するため、意図しない情報漏洩が起きやすい
これらは技術的に極めて簡単に対処できる問題だ。「仕事中は通知を送らない」設定を1つ追加するだけで、情報漏洩リスクは劇的に低減する。にもかかわらず、BeRealはあえてこの「衝動性」をエンゲージメントの源泉として設計に組み込んでいる。
フランス企業Voodooの無責任──「規制大国」のダブルスタンダード
BeRealの運営元は誰か
BeRealは2024年6月、フランスのモバイルゲーム企業Voodooに5億ユーロ(約840億円)で買収された。Voodooはパリに本社を置くゲーム企業で、カジュアルゲームの大量生産で知られる。
つまりBeRealはフランス企業が運営するフランス発のアプリだ。
フランス・EUの「他社には厳しい」規制姿勢
フランスおよびEUは、テクノロジー企業に対する規制の急先鋒として知られる。
- DMA(デジタル市場法):Apple、Google、Meta、TikTokに対し独占的行為を禁止。Appleに5億ユーロ、Metaに2億ユーロの制裁金
- DSA(デジタルサービス法):2026年から完全施行。TikTokの未成年保護義務を厳格化
- GDPR:個人データの処理に対して世界で最も厳格な規制。違反企業には売上高4%の制裁金
- フランス国内法:15歳未満のSNS利用禁止(2024年施行)、スクリーンタイム規制の議論
TikTokに対しては「子供を中毒にする」「プライバシーを侵害する」と激しく批判し、Appleに対しては「独占的だ」と巨額の制裁金を科す。
しかし自国アプリBeRealには沈黙
ところが、BeRealの構造的問題に対してフランス当局は何の措置も取っていない。
- 「2分以内の強制」が職場での情報漏洩を誘発する設計 → 規制なし
- 前後カメラ同時撮影で第三者のプライバシーを侵害するリスク → 規制なし
- 位置情報がデフォルトで付与される設定 → 規制なし
- Voodooグループ内でのデータ共有 → 問題視されず
これは明らかなダブルスタンダードだ。米国のTikTok、Apple、Googleには「プライバシーの番人」として厳格に振る舞いながら、自国のフランス企業が引き起こすプライバシーリスクには目をつぶる。
GDPRが定める「設計段階からのプライバシー保護(Privacy by Design)」の原則に照らせば、BeRealの「2分間強制通知+前後カメラ同時撮影+時間帯制御不可」という設計は、明らかに「設計段階でプライバシーリスクを内包している」にもかかわらず、だ。
利用者が取るべき対策
現時点でアプリ側の改善が見込めない以上、利用者自身が対策を取るしかない。
BeRealを使う人への推奨事項
- 職場では絶対に撮影しない:2分の「遅刻」を恐れる必要はない。遅れて投稿しても何も失わない
- 通知をOFFにして自分のタイミングで投稿する:設定から通知を無効化し、安全な場所でのみアプリを開く
- 位置情報を無効化する:設定→位置情報サービス→BeRealを「許可しない」に
- 背面カメラの映り込みを常に確認:撮影前に背後に機密情報がないか確認する癖をつける
企業・組織が取るべき対策
- 業務エリアへの私物スマホ持ち込み禁止の徹底:特に金融機関、医療機関、官公庁
- SNSリテラシー研修の義務化:入社時だけでなく、定期的な研修を実施
- インシデント発生時の対応マニュアル整備:発覚後の迅速な対応が被害を最小化する
まとめ──「2分間の軽はずみ」が奪うもの
西日本シティ銀行下関支店の事件は、以下の3つの問題の交差点で起きた。
- 金融機関の情報管理の形骸化:ルールはあっても実効性がない
- BeRealの無責任な設計:「衝動性」をエンゲージメントに利用し、セーフガードを設けない
- フランス規制当局のダブルスタンダード:他社には厳しく、自国アプリには甘い
「2分以内に撮らなきゃ」──その焦りが、顧客7名の個人情報を世界中に晒し、一人の銀行員のキャリアを終わらせ、金融機関の信用に取り返しのつかない傷を付けた。
BeRealが「リアル」を標榜するなら、この「リアルな被害」にも目を向けるべきだ。
※本記事は2026年4月30日時点の情報に基づいています。
コメント