私用端末の業務利用を認めている企業があります。
管理職や営業職など職務上の必要性から、また中小企業による保守コスト軽減を目的に、もしくはBCP対策の一環としてBYODを実施しているようです。
私用端末の業務利用を検討するにあたり、BYODのメリットとデメリット、またセキュリティ上注意すべき点について確認しておきましょう。
BYODとは
BYODは「Bring Your Own Device」の略で、直訳すると「自分のデバイスを持ち込む」という意味です。つまり、従業員が個人で所有する私物端末(スマートフォンやタブレット、ノートパソコン)を勤務先の許可を受けたうえで持ち込み、業務に活用することを指します。
業務のためBYOD端末で通信を行い、それにかかった費用は会社に割り当てる「公私分計サービス」もあります。最近では教育業界で、生徒所有のデバイスを活用して端末貸し出しを省くというBYODも見られます。
BYODのメリット
BYODには下記のようなメリットがあります。
- 導入・維持コストの軽減とリスク低減
- シャドーIT対策
- 業務効率の向上
導入・維持コストの軽減とリスク低減
そもそもBYODは従業員の任意申し出を前提としますが、業務端末の導入・維持コストを軽減し、さらに紛失リスクも低減できます。会社で端末を用意しなくて済み、メンテナンスも従業員自身で行うためです。
さらに、自身の私用端末をぞんざいに扱うことは考えにくく、端末を破損させたり紛失にいたるリスクを軽減できるでしょう。また業務端末と私用端末を複数持ち歩くのは、重さもさることながら、管理が煩雑になるのは否めません。
日常的に使う端末ならば、電池の持ちなど安定的に使う方法も心得ているはずです。
シャドーIT対策
BYODを許可することで、会社のセキュリティを脅かす「シャドーIT」を低減する効果があります。
シャドーITとは、会社が許可・関与していない端末やストレージ、ソフト等を隠れて利用することを指します。BYODを認めることで、少なくとも私用端末の利用によるITセキュリティ事案の発生リスクを抑えられます。
会社としてBYODのルールを制定し、きちんと許可を出していけば、安全に管理していくことも可能です。
労働力の確保、業務効率の向上
働き方の多様化や、パンデミック等のBCP対策の必要性から、私用端末でも業務を行えるようにすれば、より広範な労働力を確保できます。
業務用のモバイル端末を用意する余裕がないけれど、BOYDの制度化によって業務効率を上げられるかもしれません。出張時はもちろん、出先からの移動等で会社にいなくても、手持ちのスマホで事務作業を済ますこともできるからです。
BYODのデメリット
BYODのデメリットとして、以下があげられます。
- セキュリティリスクの増大
- 従業員のプライバシー
- 新たな労務管理の必要性
セキュリティリスクの増大
業務に使える端末が増えることで、セキュリティリスクに晒される可能性が増大します。しかも会社管理の業務端末と違い、BOYD端末は本来私物で利用の自由度が高いうえ、個別の利用実態に応じたセキュリティ管理は困難です。
不正なアプリをインストールしたり、不審なサイトに訪問してしまい、マルウェア感染や社内システムに不正アクセスされたり、機密情報の漏洩・改ざんの被害を受けるリスクが増大します。
またBOYD端末を家庭内で子どもと共用するケースも考えられます。紛失の場合と同様に、従業員以外の第三者にアクセスされるリスクがあります。
従業員のプライバシー
BYOD端末の管理のため、MDM(モバイル端末の管理システム)を従業員の私用端末にインストールすることになります。
MDMはセキュリティ対策機能を搭載し、利用状況の把握や端末の位置把握にGPSを使用します。すなわち、MDMからプライベートな情報が会社側に間接的に伝わります。こういったプライバシー情報の保護・管理負担が生じます。
新たな労務管理の必要性
BYOD端末だと、時と場所を選ばず仕事ができてしまいます。MDMでは特定の時間帯や場所を指定して利用を制限する設定ができます。しかし、私物端末にそういった制限をかけることは難しいです。
そのため、時間外の業務指示や持ち帰り残業など、隠れ残業の温床となる恐れがあります。
実労働時間の把握と管理、働きすぎ防止の仕組み化(ガイドライン制定と組織的な実行)をしないと、従業員の労働環境が悪化します。
BYODにおける注意点
BYOD導入に際しては、セキュリティリスク回避のため、システムと社内運用の両面から対策を行いましょう。
システム的な対策
BYOD端末のセキュリティ対策は従業員個人に任せきりにせず、管理システムを導入してリスクを極力抑えるようにしましょう。BYOD関連の管理システムには2種類あり、MDM(端末管理システム)とDLP(社内データの監視)システムがあります。
MDM(端末管理システム)
MDM(Mobile Device Management)では業務用のモバイル端末全般を管理できます。
BYOD専用ではないため、厳格な運用ルール設定も可能ですが、BYODの場合、私用に差し支えない範囲にとどめざるをえないでしょう。
MDMではBYODの各端末をリモート制御し、万一紛失した際に端末のロックやデータの削除を行えます。会社で定めるセキュリティポリシー(端末運用ルール)の適用や、リスクの高いアプリを利用制限することもできます。
DLPシステムの導入も有効
DLP(Data Loss[Leak] Prevention)システムとは、機密情報の漏洩を防止するセキュリティツールです。DLPは一般的なセキュリティシステムと違い、ユーザーの監視でなく、重要データの保護に特化しています。すなわち、対象データを外部脅威から保護し、また正規ユーザーであっても対象データの利用制限をあわせて行い、情報漏洩を阻止します。
BYODでは所有者の近親者であれ、何らかの脅威にさらされたのであれ、私物端末から正規ユーザーとして社内システムにアクセスされるリスクがあります。
正当なアクセスかをチェックするのではなく、システムの情報に利用制限をかけるDLPであれば、機密情報をうっかり、もしくは故意に流出させられる危険性を極力なくせるでしょう。
運用面での対策
BYODの安全な運用のため、MDMやDLPによるシステム対策に加え、利用者と会社側でさらに対策を施したり制度を整備していきたいものです。
BYOD利用者による対策
BYOD利用者はMDM等のシステムを有効に機能させるよう心がけなくてはなりません。
また、端末紛失に備えたり、他人に悪用されないように端末ロックをかけるのが望ましいです。具体的には以下のような対応です。
- 紛失時のすみやかな届け出
- パスワードか生体認証を端末に設定
MDMでは端末データの遠隔消去(リモートワイプ)が可能です。BYOD端末の紛失に気づいたら、すぐに会社に届け出るよう義務づけましょう。端末をなくしたら別の端末に新調して利用申請をするのでは、危険性が放置されてしまいます。
紛失に限らず、ちょっと目を離したすきに勝手に操作されることがないとも限りません。BYOD端末にはパスワードや指紋認証などの画面ロックの設定をしておきましょう。
BYOD運用の社内ルール制定
私用端末が業務に何でも使えるとしては収拾がつかなくなります。利用ポリシーやガイドライン等、利用範囲や用途、どの情報を保護対象とするか、一定の社内ルールを制定しましょう。
また、違法な労働慣行を発生させぬよう、労務管理にも留意すべきです。
まとめ:
BYODの活用と円滑な事業運営を両立させるには一定のルールと、セキュリティ管理が必要になります。BYODの実施にあたっては、私用端末の管理と、システムやアクセス管理の社内環境の両面において安全対策を施しましょう。