BYODとは
BYODは「Bring Your Own Device」の略で、直訳すると「自分のデバイスを持ち込む」という意味です。つまり、従業員が個人で所有する私物端末(スマートフォンやタブレット、ノートパソコン)を勤務先の許可を受けたうえで持ち込み、業務に活用することを指します。
私物、といっても純粋な私物か、会社が「管理する私物」とするかは、考え方が分かれるようです。
例えば、会社が費用を一部・全部負担し、新規に「管理された私物」としての端末を購入し運用する方式もあります。一方、より純粋な私物に近い運用を認め、それまで業務以外に利用していた私物端末も利用できる方式など、BYODの運用にも幅があるようです。
さらに、業務のためBYOD端末で通信を行い、それにかかった費用は会社に割り当てる「公私分計サービス」もあります。最近では教育業界でもBYODが利用されるケースが見られ、生徒所有のデバイスを活用して端末貸し出しを省くという運用をしています。
BYODのセキュリティ対策については、こちらの資料でも解説しております。BYODを導入している/検討中の方は併せてご覧ください。
BYODの普及の背景
かつては業務用の端末は高スペック・私物用は低スペックであることが通常でした。しかし、現在では私物のタブレット、スマホのモバイル端末の利用が活発となり、そのスペックが向上したことで業務に十分活用できるようになったことが背景の1つです。
メールやSNS等の端末同士でのコミュニケーション機能が発達してきたこと、端末の種類を問わずに利用できるクラウドサービスが増加したことなども背景として挙げることができます。
総務省の調査によると、2018年時点でBYODを導入している企業は、日本10.5%、アメリカ23.3%、イギリス27.8%、ドイツ27.9%とされています。この数字からは、日本におけるBYODの普及率は諸外国と比較した場合、決して高くない状況にあるようです。
日本では2012年頃にブーム到来が騒がれたBYODですが、メリット・デメリットをめぐる賛否両論の議論は今日も続いており、一概に普及が進んでいるとはいえない状況にあると考えられています。
BYODのメリット
BYODには下記のようなメリットがあります。
- 導入・維持コストの軽減とリスク低減
- シャドーIT対策
- 労働力の確保、業務効率の向上
それぞれ、具体的にはどのようなメリットなのか、順に見ていきましょう。
導入・維持コストの軽減とリスク低減
BYODは、国内で導入している企業では労働法上の給与全額現金支給の原則との関係から、基本的に従業員の任意申出を前提としています。BYOD導入企業では、従業員が私物端末を利用することがより便利と判断すると、申請により開始することができるものです。
一方会社側としては業務端末の導入・維持コストを軽減し、さらに紛失リスクも低減できます。会社で端末を用意しなくて済み、メンテナンスも従業員自身で行うためです。
さらに、自身の私用端末をぞんざいに扱うことは考えにくく、端末を破損させたり紛失にいたるリスクを軽減できるでしょう。また業務端末と私用端末を複数持ち歩くのは、重さもさることながら、管理が煩雑になるのは否めません。
日常的に使う端末ならば、電池の持ちなど安定的に使う方法も心得ているはずです。
シャドーIT対策
BYODを許可することで、会社のセキュリティを脅かす「シャドーIT」を低減する効果があります。シャドーITとは、会社が許可・関与していない端末やストレージ、ソフト等を隠れて利用することを指します。
会社が許可した私物である端末に、会社がコントロールしているストレージ・ソフトをインストールするので、結果として他の私物端末をわざわざ使うのではない限り、シャドーITを行うことはほぼなくなります。
このようにしてBYODを認めることで、私用端末の利用によるITセキュリティ事案の発生リスクを抑えることができます。シャドーITが必要になる場面をなくせるよう、BYODのルールを制定し、きちんと許可を出していけば、安全に管理していくことも可能です。
シャドーIT対策については、基礎知識から事例、有効な対応策まで把握していただける資料を無料で配布中です。ぜひダウンロードしてご一読ください。
労働力の確保、業務効率の向上
働き方の多様化や、パンデミック等のBCP対策の必要性から、私用端末でも業務を行えるようにすれば、より広範な労働力を確保できます。また、テレワークで1人で集中して作業する時間が増え、「自腹」でも高スペックで効率のよいデバイスへの切り替えをしたい従業員も増えているようです。
特に中小企業などでは、「業務用のモバイル端末を用意する余裕がないが、BOYDの制度化によって業務効率を上げられる」と考える向きもあるかもしれません。出張時はもちろん、出先からの移動等で会社にいなくても、手持ちのスマホで事務作業を済ますこともできるからです。
BYODのデメリット
これに対して、BYODのデメリットとして以下があげられます。
- セキュリティリスクの増大
- 従業員のプライバシー
- 新たな労務管理の必要性
デメリットも順を追って具体的に見ていきましょう。
セキュリティリスクの増大
業務に使える端末が増えることで、セキュリティリスクに晒される可能性が増大します。しかも会社管理の業務端末と違い、BOYD端末は本来私物で利用の自由度が高いうえ、個別の利用実態に応じたセキュリティ管理は困難です。
不正なアプリをインストールしたり、不審なサイトに訪問してしまい、マルウェア感染や社内システムに不正アクセスされたり、機密情報の漏洩・改ざんの被害を受けるリスクが増大します。
またBYOD端末を家庭内で子どもと共用するケースも考えられます。紛失の場合と同様に、従業員以外の第三者にアクセスされるリスクがあります。
ただし、これらの問題は、シンクライアント方式・VDI(仮想デスクトップ)の採用により会社の業務はこれらの環境でしか行えないようにすること・生体認証を行うことを義務付け、従業員本人でしか利用できないようにするなどの方法をとることも考えられます。
シャドーITを減らす効果は低減するものの、セキュリティリスクを押さえつつ、私物の業務利用を認めるために利用できる対策ではあります。
従業員のプライバシー
BYOD端末の管理のため、MDM(モバイル端末の管理システム)を従業員の私用端末にインストールすることになります。
MDMはセキュリティ対策機能を搭載し、利用状況の把握や端末の位置把握にGPSを使用します。すなわち、MDMからプライベートな情報が会社側に間接的に伝わります。こういったプライバシー情報の保護・管理負担が生じます。
新たな労務管理の必要性
BYOD端末だと、時と場所を選ばず仕事ができてしまいます。MDMでは特定の時間帯や場所を指定して利用を制限する設定ができます。しかし、私物端末にそういった制限をかけることは難しいです。
そのため、時間外の業務指示や持ち帰り残業など、隠れ残業の温床となる恐れがあります。
実労働時間の把握と管理、働きすぎ防止の仕組み化(ガイドライン制定と組織的な実行)をしないと、従業員の労働環境が悪化します。
BYODにおける注意点
BYOD導入に際しては、セキュリティリスク回避のため、システムと社内運用の両面から対策を行いましょう。
システム的な対策
BYOD端末のセキュリティ対策は従業員個人に任せきりにせず、管理システムを導入してリスクを極力抑えるようにしましょう。BYOD関連の管理システムには2種類あり、MDM(端末管理システム)とDLP(社内データの監視)システムがあります。
MDM(端末管理システム)
MDM(Mobile Device Management)では業務用のモバイル端末全般を管理できます。
BYOD専用ではないため、厳格な運用ルール設定も可能ですので、会社の一部補助などで購入する私物端末の場合、厳格な管理も可能です。しかし、完全な私物を業務用に認めるBYODの場合、私用に差し支えない範囲にとどめざるをえないでしょう。
MDMではBYODの各端末をリモート制御し、万一紛失した際に端末のロックやデータの削除を行えます。会社で定めるセキュリティポリシー(端末運用ルール)の適用や、リスクの高いアプリを利用制限することもできます。
DLPシステムの導入も有効
DLP(Data Loss[Leak]Prevention)システムとは、機密情報の漏洩を防止するセキュリティツールです。DLPは一般的なセキュリティシステムと違い、ユーザーの監視でなく、重要データの保護に特化しています。
すなわち、対象データを外部脅威から保護し、また正規ユーザーであっても対象データの利用制限をあわせて行い、情報漏洩を阻止します。
BYODでは所有者の近親者であれ、何らかの脅威にさらされたのであれ、私物端末から正規ユーザーとして社内システムにアクセスされるリスクがあります。
正当なアクセスかをチェックするのではなく、システムの情報に利用制限をかけるDLPであれば、機密情報をうっかり、もしくは故意に流出させられる危険性を極力なくせるでしょう。
運用面での対策
BYODの安全な運用のため、MDMやDLPによるシステム対策に加え、利用者と会社側でさらに対策を施したり制度を整備していきたいものです。
BYOD利用者による対策
BYOD利用者はMDM等のシステムを有効に機能させるよう心がけなくてはなりません。
また、端末紛失に備えたり、他人に悪用されないように端末ロックをかけるのが望ましいです。具体的には以下のような対応です。
- 紛失時のすみやかな届け出
- パスワードか生体認証を端末に設定
MDMでは端末データの遠隔消去(リモートワイプ)が可能です。BYOD端末の紛失に気づいたら、すぐに会社に届け出るよう義務づけましょう。端末をなくしたら別の端末に新調して利用申請をするのでは、危険性が放置されてしまいます。
紛失に限らず、ちょっと目を離したすきに勝手に操作されることがないとも限りません。BYOD端末にはパスワードや指紋認証などの画面ロックの設定をしておきましょう。
BYOD運用の社内ルール制定
私用端末が業務に何でも使えるとしては収拾がつかなくなります。利用ポリシーやガイドライン等、利用範囲や用途、どの情報を保護対象とするか、一定の社内ルールを制定しましょう。
また、違法な労働慣行を発生させぬよう、労務管理にも留意すべきです。技術的にはMDMで管理することや、シンクライアントや、VDIによる業務の場合には、一定の時間のPC利用制限ができるなどの対策を施すことができますが、どこまで利用するかはBYODを認める効果との利益衡量により検討することとなるでしょう。
まとめ
BYODを認めることにより、会社のPCの管理コストを下げる効果や、より生産性を上げられる効果が期待できる一方、セキュリティリスクの増大や、労務管理の困難性といったデメリットが生じます。そのため、日本ではそれほど普及が進んでいません。
運用次第で、セキュリティリスクや労務管理上のデメリットがメリットを上回る可能性もありますので、一般的には導入において慎重に検討することが必要と考えられます。
実際にBYODを導入している/検討中の方は、こちらの資料でも詳細に解説しておりますので、併せてご覧ください。