はじめに
昨今、各企業でもプロモーションやマーケティングのためにSNSの利活用が進んでいます。SNSには効率的な情報拡散などのメリットがありますが、一方で様々なリスクもはらんでいます。
本稿では企業として適切にSNSを運用するにあたり、どのようなリスクがあるのかを把握し、どのように対応すべきかを主に情報セキュリティや個人情報保護の観点から考えていこうと思います。
アカウントへの不正アクセス
著名人や公的機関のSNSアカウントが不正アクセスにより乗っ取られ、不審な投稿をされる事例が後を絶ちません。SNSへの不正アクセスは業務システムなどへの不正アクセスと比較して、誤情報の拡散や詐欺サイトへの誘導などにより、顧客やフォロワーに直接・即時に悪影響を与える可能性が高まるほか、広告運用のためのアカウントを乗っ取られた場合は不正な出稿により金銭的な被害を受けることも考えられます。
アカウントの乗っ取りを予防する一つの方法は、先日のコラムでも取り上げた『強い』認証を使うことです。推測されにくい強度の高いパスワードを設定するほか、二要素認証を設定することで、不正ログインの可能性を下げることができます。X(Twitter)、Facebook、Instagramなどの各SNSにおいて二要素認証の機能が提供されているため、忘れずに有効化しておくことが重要です。
SNS分析ツールなどの外部アプリ連携についても、信頼性の低いものを使用したり、使わないアプリを連携したままにすると不正アクセスの原因になりますので、注意が必要です。
ほかにも、アカウントの管理者を最小限にしたうえで過剰な権限の付与を避けたり、ログイン履歴を監視するなどの対策を行うことができます。
また、運用担当者の退職や作成目的の達成などによりアカウントが放置されてしまった場合、上記のような対策が行われず、不正アクセスの被害にあっても気付かぬ間に被害が拡大してしまう危険があります。
社内で運用しているアカウントについては定期的な棚卸しを実施したうえで、例えばイベントの告知など期限や目的を設定して運用するアカウントについては、役割を終えた段階ですぐにアカウントを削除することが望ましいでしょう。
SNSでの情報収集、取得時におけるリスク
マーケティング等の一環で、ユーザーデータの収集を目的としてSNSを活用する企業も多いかと思います。SNSにより情報を収集する際のリスクとしては、下記のようなものが考えられます。
①必要以上の情報の収集
SNSを通じて収集できる情報は多岐にわたります。ユーザーの趣味・嗜好や位置情報、家族構成など、単体では個人を特定することができない情報(「個人関連情報」にあたるもの)も得られる一方で、氏名やメールアドレスといった個人情報の一部を公開しているユーザーもいます。
意図せず必要以上に広範囲な情報を取得してしまうことを避けるため、収集する情報をどこまでとするかを定め、必要最低限の範囲内で収集しましょう。また、収集した情報をDB化する場合は、万が一漏えいしてしまった際の影響を考慮し、適宜仮名化や匿名化の処理を行うことが望ましいでしょう。
②SNSキャンペーンでの利用目的通知や同意取得の不明瞭化
SNS施策の一環としてキャンペーンを実施して応募者の情報を取得することもあるかと思います。応募方法にはさまざまな形式が考えられますが、SNS特有のパターンとして「アカウントをフォローし、投稿をリポスト(共有)する」というものがあります。
このような方法はエントリーのハードルを下げ、ユーザーを多く集めるのに効果的ですが、手軽であるがゆえにユーザーがどのような情報を企業に提供するのか無自覚になるとともに、企業側も情報取得時の通知や同意取得のステップがあいまいになってしまう可能性があります。
同意取得があいまいなままでは、保護法やPマークにおける取得時の措置を満たさないおそれがあるとともに、後に利用者とのトラブルや信頼喪失につながる可能性もあります。
上図はSNS上で応募が完結するキャンペーンにおける通知事項の掲示方法の一例です。告知する投稿に続けて(ぶら下げて)個人情報の取扱いやプライバシーポリシーを含む応募要項を投稿していますが、視認性が低く、画像のためリンクへアクセスできません。同一場所に掲示しているという点で最低限の対応はなされていますが、ユーザーによりわかりやすい形で提示することが望ましいでしょう。
別途通知事項と同意取得のチェックボックスを備えたWebフォームを作成し、SNSからそちらに誘導する方法がより確実ではありますが、応募方法が手軽であっても、利用目的を明示し、プライバシーポリシーのリンクを提示するなどして、応募者から明確な同意を得る手続きを確実に実施することが必要です。
その他のリスク
その他、一般的に想定されるリスクには下記のようなものが挙げられます。
情報漏えいのリスク
SNSは個人が気軽に発信ができますが、その分、意図しているか否かを問わず情報漏えいを引き起こす可能性を高めます。従業員が来店した著名人についての情報を私用アカウントで投稿したり、投稿した写真に発表前の新製品が偶然映り込んでいたり・・・といったように、非常に多くの情報漏えいのパターンが考えられます。
これについては、社内教育にSNSの利用法や情報発信についての内容を取り入れ、リテラシーを向上させることが地道ながら有効な方法でしょう。
偽アカウント(なりすまし)のリスク
アカウントの乗っ取りとは別に、偽アカウント(なりすまし)の発生もリスクとして考えられます。著名人を騙るアカウントがユーザーをフィッシングサイトや高額商材の購入ページへ誘導しようとする事例も発生していますが、なりすましにあった本人や当該企業の信用が毀損されるため、早急な対応が求められます。
偽アカウントについては、発見次第プラットフォーム側に報告を行い、SNS上で周知を図ることが重要です。また、組織認証バッジを取得できるSNSもあるので、申請を行うことも有効でしょう
企業SNS炎上のリスク
SNSで広く発信を行う場合に避けて通れないのはいわゆる「炎上」のリスクでしょう。過剰にネガティブイメージが拡散されることにより、企業としてのレピュテーションリスクに影響を与えるほか、過激化したユーザーが関係者(社員やその家族など)へ攻撃するなど、無視できない結果を引き起こすことも考えられます。
近年、炎上を予防することは難しくなる傾向にありますが、投稿前には複数の担当者で内容を確認するなど、事前のチェック体制を構築しておくことは変わらず重要です。また、誤操作による投稿(いわゆる「誤爆」)から炎上するケースも多く、その要因として企業アカウントと私有アカウントを間違えて投稿してしまうケースもあるため、私物デバイスから企業アカウントへのアクセスを禁止する(可能であれば技術的に制御する)ことも有効な対応の1つです。
SNS運用の委託によるリスク
企業によってはSNS運営を外部へ委託する場合もあるかと思います。委託すると運用の手間は削減できますが、その分リスクコントロールが効かない可能性があります。個人情報取扱いの有無を問わず、委託先の、セキュリティを含む運用管理体制については十分にチェックしておくことを推奨します。
リスクをコントロールするために
SNSポリシーの策定
ここまで見てきたようなリスクをコントロールするために有効な方策の一つは、SNSポリシーの策定でしょう。プライバシーポリシーと同様に、企業としてSNSの活用方針を社内外に示したうえで、具体的な運用マニュアルを策定することで、安定したSNS運用が可能になるでしょう。近年ではプライバシーポリシーとSNSポリシーをHPに併記している企業も増えてきています。
BCPの策定
緊急事態が発生した際に事業継続に重大な影響を与えるリスクを事前に想定し、事業の継続や早期復旧を目指すための計画をBCP(事業継続計画)と呼びます。ISMS認証取得の一環で作成している企業も多いかと思いますが、SNSにまつわるリスクについてもBCPに組み込み、緊急事態発生時の対策や手順を定めておくことで、本業に与えるダメージをコントロールできます。想定されるタスクとその担当部門や、エスカレーションの基準などを決めておき、定期的に訓練を実施するとより迅速な対応に繋がるでしょう。
まとめ
SNSは企業にとって有益なツールですが、運用に伴うリスクをきちんと把握しないと想像以上のダメージを受ける可能性があります。担当部門だけでなく、全社の課題としてリスクを認識し、運用体制を構築することが重要です。
当社ではSNS運用を含め、企業活動全体における個人情報・情報セキュリティのリスク特定・対応、また情報セキュリティ教育による社内の周知徹底等を支援しています。自社のセキュリティレベルの底上げを図りたい場合、是非以下のフォームより、当社にご相談ください。
