BYODとは？普及の背景やメリット・デメリットについて解説

BYOD自体そこまで新しい言葉ではありませんが、昨今のテレワークの普及や新しい働き方の推進で徐々に存在感を増してきた概念です。

上手に利用すればコストカットや柔軟な業務に繋がるため非常に便利ではある反面、当然、避けては通れないリスクも存在します。

本記事では、そうしたBYODのメリット・デメリットや注意点、導入事例について解説します。

また、BYODのセキュリティ対策についてより詳しく知りたい方へ向けて、徹底解説したPDF資料を無料で配布しています。ダウンロードしてお読みください。

BYODとは

BYODは「Bring Your Own Device」の略で、直訳すると「自分のデバイスを持ち込む」という意味です。つまり、従業員が個人で所有する私物端末（スマートフォンやタブレット、ノートパソコン）を勤務先の許可を受けたうえで業務に使用することを指します。

私物、といっても純粋な私物か、会社が「管理する私物」とするかは、考え方が分かれるようです。

例えば、会社が費用を一部・全部負担し、新規に「管理する私物」としての端末を購入し運用する方式もあります。一方、より純粋な私物に近い運用を認め、それまで業務以外に利用していた私物端末も利用できる方式など、BYODの運用にも幅があるようです。

さらに、業務のためBYOD端末で通信を行い、それにかかった費用は会社に割り当てる「公私分計サービス」なんてものもあります。最近では教育業界でもBYODが利用されるケースが見られ、生徒所有のデバイスを活用して端末貸し出しを省くという運用をしています。

BYODの普及の背景

かつては業務用の端末は高スペック・私物用は低スペックであることが通常でした。しかし、現在では私物のタブレット、スマホのモバイル端末の利用が活発となり、そのスペックが向上したことで業務に十分活用できるようになりました。

メールやSNS等の端末同士でのコミュニケーション機能が発達してきたこと、端末の種類を問わずに利用できるクラウドサービスが増加したことなども背景として挙げることができます。

総務省の調査によると、2018年時点でBYODを導入している企業は、日本10.5%、アメリカ23.3%、イギリス27.8%、ドイツ27.9%とされています。この数字からは、日本におけるBYODの普及率は諸外国と比較した場合、決して高くない状況にあるようです。

日本では2012年頃にブーム到来が騒がれたBYODですが、メリット・デメリットをめぐる賛否両論の議論は今日も続いており、一概に普及が進んでいるとはいえない状況にあると考えられています。

BYODが知らないうちに進行するシャドーITとは

BYODと似て非なる概念として、シャドーITが知られています。

シャドーITとは、従業員が企業の許可を受けていないデバイス（もしくはツール）を業務利用することです。本来、セキュリティの観点で言えば、業務で利用するデバイスは企業が承認し、管理しているものに限定されるべきであり、そうでなければ、従業員のプライベートでの不注意や悪質なツールの利用によって、社内サーバに悪意ある第三者の侵入を許してしまったり、紛失・誤操作による情報漏洩を引き起こしたり、といった事態につながってしまいます。

そのため、シャドーITは絶対に防止する必要があります。

いずれも従業員の私物端末を業務利用するという点では類似していますが、企業が承認しているか否かという点で正反対です。

ただ、従業員がシャドーITをなぜしてしまうかというと、それが便利だから、そうした方が業務が効率的に進むからです。

シャドーITを禁止した場合、従業員の立場からすると、便利な私物端末の利用を制限され「邪魔された」気分になるかもしれませんし、反抗心が芽生えてシャドーITを続けるかもしれません。

そうならないために、

という対応が必要です。

また、そもそも従業員がシャドーITをしていないかを検知する仕組みを導入することも必要です。

BYODのメリット

BYODには下記のようなメリットがあります。

それぞれ、具体的にはどのようなメリットなのか、順に見ていきましょう。

導入・維持コストの軽減とリスク低減

BYODは、国内で導入している企業では労働法上の給与全額現金支給の原則との関係から、基本的に従業員の任意申出を前提としています。BYOD導入企業では、従業員が私物端末を利用することがより便利と判断すると、申請により開始することができるものです。

一方会社側としては業務端末の導入・維持コストを軽減し、さらに紛失リスクも低減できます。会社で端末を用意しなくて済み、メンテナンスも従業員自身で行うためです。

さらに、自身の私用端末をぞんざいに扱うことは考えにくく、端末を破損させたり紛失にいたるリスクを軽減できるでしょう。また業務端末と私用端末を複数持ち歩くのは、重さもさることながら、管理が煩雑になるのは否めません。

日常的に使う端末ならば、電池の持ちなど安定的に使う方法も心得ているはずです。

シャドーIT対策

先述の「シャドーIT」を減らす効果があります。シャドーITとは、会社が許可・関与していない端末やストレージ、ソフト等を隠れて利用することを指します。

BYODでは、私用端末の仕様を許可することなので、敢えて許可されていない端末やツールを利用する必要がなくなります。

私用端末の利用によるITセキュリティ事案の発生リスクを抑えることができます。シャドーITが必要になる場面をなくせるよう、BYODのルールを制定し、きちんと許可を出していけば安全に管理していくことも可能です。

労働力の確保、業務効率の向上

私用端末でも業務を行えるようにすれば、多様な働き方に対応できるため、より広範な労働力を確保できます。また、テレワークで1人で集中して作業する時間が増え、「自腹」でも高スペックで効率のよいデバイスへの切り替えをしたい従業員も増えているようです。

特に中小企業などでは、「業務用のモバイル端末を用意する余裕がないが、BOYDの制度化によって業務効率を上げられる」と考える向きもあるかもしれません。出張時はもちろん、出先からの移動等で会社にいなくても、手持ちのスマホで事務作業を済ますこともできるからです。

BYODのデメリット・注意点

これに対して、BYODのデメリットとして以下があげられます。

デメリットも順を追って具体的に見ていきましょう。

セキュリティリスクの増大

業務に使える端末が増えることで、セキュリティリスクに晒される可能性が増大します。しかも会社管理の業務端末と違い、BOYD端末は本来私物で利用の自由度が高いうえ、個別の利用実態に応じたセキュリティ管理は困難です。

不正なアプリをインストールしたり、不審なサイトに訪問してしまい、マルウェア感染や社内システムに不正アクセスされる、機密情報の漏洩・改ざんの被害を受ける、といったリスクが増大します。

ただし、これらの問題は、シンクライアント方式やVDI（仮想デスクトップ）の採用により会社の業務はこれらの環境でしか行えないようにすること・生体認証を行うことを義務付け、従業員本人でしか利用できないようにするなどの方法をとることも考えられます。

シャドーITを減らす効果は低減するものの、セキュリティリスクを押さえつつ、私物の業務利用を認めるために利用できる対策ではあります。

従業員のプライバシー

BYOD端末の管理のため、MDM（モバイル端末の管理システム）を従業員の私用端末にインストールすることになります。

MDMはセキュリティ対策機能を搭載し、利用状況の把握や端末の位置把握にGPSを使用する場合があります。すなわち、MDMからプライベートな情報が会社側に間接的に伝わります。こういったプライバシー情報の保護・管理負担が生じます。

新たな労務管理の必要性

BYOD端末だと、時と場所を選ばず仕事ができてしまいます。従業員の私物端末に対して、時刻や場所による利用制限をかけることは現実的ではありません。

そのため、時間外の業務連絡や持ち帰り残業など、隠れ残業の温床となる恐れがあります。

実労働時間の把握と管理、働きすぎ防止の仕組み化（ガイドライン制定と組織的な実行）をしないと、従業員の労働環境が悪化します。

BYODの導入にあたっての対策

BYOD導入に際しては、セキュリティリスク回避のため、システムと社内運用の両面から対策を行いましょう。

システム的な対策

BYOD端末のセキュリティ対策は従業員個人に任せきりにせず、管理システムを導入してリスクを極力抑えるようにしましょう。BYOD関連の管理システムには２種類あり、MDM（端末管理システム）とDLP（社内データの監視）システムがあります。

MDM（端末管理システム）

MDM（Mobile Device Management）では業務用のモバイル端末全般を管理できます。
BYOD専用ではないため、厳格な運用ルール設定も可能ですので、会社の一部補助などで購入する私物端末の場合、厳格な管理も可能です。しかし、完全な私物を業務用に認めるBYODの場合、私用に差し支えない範囲にとどめざるをえないでしょう。

MDMではBYODの各端末をリモート制御し、万一紛失した際に端末のロックやデータの削除を行えます。会社で定めるセキュリティポリシー（端末運用ルール）の適用や、リスクの高いアプリを利用制限することもできます。

DLPシステムの導入も有効

DLP（Data Loss［Leak］Prevention）システムとは、機密情報の漏えいを防止するセキュリティツールです。DLPは一般的なセキュリティシステムと違い、ユーザーの監視でなく、重要データの保護に特化しています。

すなわち、対象データを外部脅威から保護し、また正規ユーザーであっても対象データの利用制限をあわせて行い、情報漏えいを阻止します。

BYODに限った話ではないかもしれませんが、私物端末から社内システムに不正アクセスされるリスクがあります。

正当なアクセスかをチェックするのではなく、システムの情報に利用制限をかけるDLPであれば、機密情報をうっかり、もしくは故意に流出させられる危険性を極力なくせるでしょう。

運用面での対策

BYODの安全な運用のため、MDMやDLPによるシステム対策に加え、利用者と会社側でさらに対策・制度の整備をしていきたいものです。

BYOD利用者による対策

BYOD利用者はMDM等のシステムを有効に機能させるよう心がけなくてはなりません。
また、端末紛失に備えたり、他人に悪用されないように端末ロックをかけるのが望ましいです。具体的には以下のような対応です。

MDMでは端末データの遠隔消去（リモートワイプ）が可能です。BYOD端末の紛失に気づいたら、すぐに会社に届け出るよう義務づけましょう。端末をなくしたら別の端末に新調して利用申請をするのでは、危険性が放置されてしまいます。

紛失に限らず、ちょっと目を離したすきに勝手に操作されることがないとも限りません。BYOD端末にはパスワードや指紋認証などの画面ロックの設定をしておきましょう。

BYOD運用の社内ルール制定

私用端末が業務に何でも使えるとしては収拾がつかなくなります。利用ポリシーやガイドライン等、利用範囲や用途、どの情報を保護対象とするか、一定の社内ルールを制定しましょう。

また、違法な労働慣行を発生させぬよう、労務管理にも留意すべきです。技術的にはMDMで管理することや、シンクライアントや、VDIによる業務の場合には、一定の時間のPC利用制限ができるなどの対策を施すことができますが、どこまで利用するかはBYODを認める効果との利益衡量により検討することとなるでしょう。

BYODの導入事例

県庁の事例

大分県では、ICT利活用による労働生産性向上の取り組みの中で、子育て世帯も視野に入れた多様な働き方を支える業務環境について検討し、BYODでのリモートワーク導入に踏み出しました。

BYODでのリモートアクセス環境を整備するにあたって、使用時に業務データが端末に残らない、リモートワイプが可能である、等の点を要件にソリューションの選定を行いました。

2017年時点では、BYODでのアクセス範囲をグループウェア、メール、文書の閲覧のみにとどめ、利用端末もスマートフォンのみにとどめています。

インテルの事例

インテルは、2010年からBYODを進め、2012年時点で社内で使用しているモバイル端末の58%が個人所有のものになっています。モバイル機器のほかにも、MacOS搭載機などのPCも接続を許可しているそうです。

インテルでは、従業員の使いやすいデバイスを利用して生産性を上げてもらうという狙いがあり、AndroidやiOS向けには自社で業務アプリケーションを用意しています。

この施策の結果、従業員は会議と会議の間や移動時間にササっとメッセージのリアクションなどが可能になり、一人一日あたり57分の効率化に繋がったそうです。

建設会社の事例

戸田建設は130年以上の歴史を持ちながら最新のツールへの感度が高く、2011年にGoogle appsを全社導入していました。

一部の社員には業務用のスマートフォンを貸与し、メールやスケジュールを社外から確認できるようしていましたが、業務改革の一環として全社員にフィーチャーフォン（ガラケー）を配布する運用に変更した際、スマートフォン貸与を終了することとなったため、代わりの手段としてBYOD、すなわち社員個々人のスマートフォンの業務利用に踏み出しました。

その際、デジタル証明書による強固な認証や、端末にデータを残さずに社外からシステム・クラウドサービスにアクセスできるSSBの利用を通じて、デバイスの紛失・盗難があってもセキュリティ事故につながりにくいようにしました。

まとめ

BYODを認めることにより、会社のPCの管理コストを下げる効果や、より生産性を上げられる効果が期待できる一方、セキュリティリスクの増大や、労務管理の困難性といったデメリットが生じます。そのため、日本ではそれほど普及が進んでいません。

運用次第で、セキュリティリスクや労務管理上のデメリットがメリットを上回る可能性もありますので、一般的には導入において慎重に検討することが必要と考えられます。