書いてあること

  • 主な読者:従業員に私有スマートデバイスの業務利用(BYOD)を認めるに当たって、「取扱規程」のひな型が欲しい経営者
  • 課題:具体的に何を定めればよいかが分からない
  • 解決策:私有スマートデバイスで会社の情報システムに接続する際のルールや、適切な情報管理の方法などについて定める

1 BYODを活用するための環境整備

従業員が私有スマートデバイス(ノートPC、スマートフォン、タブレット端末など)を業務に使うことを、

BYOD(Bring Your Own Device)

といいます。

業務に使うスマートデバイスを全て会社が用意すれば包括的に管理でき、セキュリティのリスクも低減されます。しかし、スマートデバイスの導入費用は小さなものではないですし、従業員も使い慣れたスマートデバイスのほうが業務を効率的に進められます。そうした中で、

従業員にBYODを認めることが現実的

という判断が出てきているのです。

BYODの最大の課題はセキュリティです。スマートデバイスの紛失による情報漏洩、業務外の経路からウイルスに感染するなどのリスクがある以上、従業員の私物でも管理しなければなりません。

BYODのセキュリティ対策の手始めは、取扱規程を策定して従業員に周知徹底することです。この記事では、私有スマートデバイスで会社の情報システムに接続する際の取り扱いと情報管理について定めた規程を、ソフトウェア協会「私有スマートデバイス取扱規程サンプル」を基に紹介します。

2 「私有スマートデバイス取扱規程」のひな型

以降で紹介するひな型は一般的な事項をまとめたものであり、個々の会社によって定めるべき内容が異なってきます。実際にこうした規程を作成する際は、必要に応じて専門家のアドバイスを受けることをお勧めします。

【私有スマートデバイス取扱規程のひな型】

第1条(目的)
本規程は、私有スマートデバイスで会社の情報システムに接続する際の取り扱いと情報管理について定めるとともに、私有スマートデバイスの紛失による情報漏洩、盗難、外部侵入などの危機に際しての行動指針を定め、会社の情報セキュリティの維持・向上並びに業務効率の向上を通じて、顧客の信頼を確保することを目的とする。

第2条(適用範囲)
1)本規程は、役員および従業員(以下「従業員等」)に適用されるものとする。
2)会社の業務委託を受けて、会社の情報システムに接続する委託事業者および派遣社員等が、私有スマートデバイスから会社の情報システムへ接続することは原則禁止とする。

第3条(用語の定義)
スマートデバイスとは、スマートフォン、タブレット端末等の携行可能な情報通信機器もしくは会社が判断した機器をいう。

第4条(利用許可)
1)利用許可を得た従業員等に限り、会社の許可条件に従い、私有スマートデバイスで、会社の電子メール、業務で使用する情報資産、顧客情報、業務アプリケーションの使用等、もしくはVPN、有線LAN、無線LAN等へ接続、使用することができる。なお、利用許可の範囲は、会社が認めた所定の範囲とする。
2)従業員等は、業務遂行において私有スマートデバイスを利用しようとする場合、所定の「私有スマートデバイス利用許可申請【新規】」(略)を提出し、承認を得なければならない。
3)会社は、利用状況等に鑑み、いつでも前項に規定する利用許可を解除することができる。
4)会社は、第2項に規定する利用許可に当たり、許可申請のあった私有スマートデバイスに会社の機密情報であって、持ち出し・複製・第三者への開示が禁止された情報が含まれている場合には、従業員等に当該情報を消去させることができる。
5)従業員等は、会社が定めた私有スマートデバイス利用許可申請に記載されている内容および本規程の全てを遵守しなければならない。
6)従業員等は、会社が実施する私有スマートデバイスに関する教育プログラムを受講し、受講報告書を提出しなければならない。
7)従業員等は、業務遂行において私有スマートデバイスを追加する場合、所定の「私有スマートデバイス利用許可申請【機器追加】」(略)を提出し、承認を得なければならない。
8)従業員等は、退職や業務遂行において私有スマートデバイスを利用する必要がなくなった場合、所定の「私有スマートデバイス利用解除申請」(略)を提出し、承認を得なければならない。なお、従業員等は利用解除に当たり、事前に利用していた私有スマートデバイスにある会社業務に関する全ての情報を消去するものとする。
9)従業員等は、機種変更などの事由により業務遂行において私有スマートデバイスを変更する場合、初めに「私有スマートデバイス利用解除申請」(略)を提出した後、改めて「私有スマートデバイス利用許可申請【新規】」(略)を提出し、承認を得なければならない。
10)利用許可を得ていない従業員等は、私有スマートデバイスによる会社の電子メール、業務で使用する情報資産、顧客情報、業務アプリケーションの使用等、もしくはVPN、有線LAN、無線LAN等への接続、使用を一切禁止する。

第5条(費用負担)
1)会社は、従業員等が利用する私有スマートデバイスの通信費用、保守費用、データバックアップ費用、紛失等での再取得費用等を原則として一切負担しない。
2)私有スマートデバイスで会社の情報システムに接続する従業員等は、業務で使用した分の通話費用を明確にした請求書を作成し、部門長、総務部門を経由して経理部門に届け出るものとする。その場合、加入電話会社が提供する通話記録の明細書を添付しなければならない。
3)第2項の請求分は毎賃金計算期間の末日に締め切り、別途「賃金規程」(略)に定める賃金支払日に支給する。

第6条(善管注意義務)
1)私有スマートデバイスで会社の情報システムに接続する従業員等は、個人情報保護、不正競争防止、情報管理における一般的な知識の下、法令を遵守し、善良なる管理者の注意をもって私有スマートデバイスを管理、運用しなければならない。
2)従業員等は、本規程、その他情報セキュリティに関連する全ての規定等(以下「情報セキュリティ等の規定等」)の改定、変更に注意を払い、常に最新の情報セキュリティ等の規定等を十分に理解するよう努めなければならない。
3)従業員等は、私有スマートデバイスの管理、運用に当たり、業務で利用する情報と私用で利用する情報を、明確に分けておかなければならない。
4)従業員等は、私有スマートデバイスを紛失し、もしくは盗難に遭った場合、またはコンピューターウイルスに感染し、もしくはその恐れがあると判断した場合には直ちに上長等に報告しなければならない。

第7条(監査)
1)私有スマートデバイスで会社の情報システムに接続する従業員等は、会社の求めに応じて、情報セキュリティ等の規定等に関する適用状況について、監査を受けなければならない。
2)私有スマートデバイスで会社の情報システムに接続する従業員等は、監査において、デバイスの安全性や設定状態、業務情報の保存状態の開示、これらを確認するための操作に協力しなければならない。

第8条(緊急措置)
1)会社は、会社のデータやプログラム、もしくは情報システム、または顧客のデータ(以下「データ等」)の保護のため必要と判断される場合、従業員等の私有スマートデバイスによる会社の情報システムへの接続を解除することができる。
2)従業員等は、本規程に違反し、もしくはその恐れがあると判断された場合、速やかに私有スマートデバイスの利用を中止し、上長等に報告するとともに、本規程で定められた手順、もしくは上長等の指示にのっとり、私有スマートデバイスにあるデータ等の消去など、適切な処置を講じなければならない。
3)第2項の私有スマートデバイスにあるデータ等の消去には、状況に応じて私有スマートデバイスに保存された私用で利用する情報が含まれる場合がある。
4)上長等は第1項および第2項に規定する措置を実施するに際し、合理的かつ有効な措置を従業員等とともに講じなければならない。
5)従業員等が第2項にあるデータ等の消去などを速やかに行わない、もしくはそれらの措置を講じることが困難な場合、会社は強制的にデータ等の消去などを行える権利を有するものとする。

第9条(免責)
従業員等は、業務遂行において私有スマートデバイスを利用するに当たって生じるリスクについて、全ての責任を負うものとし、会社は一切責任を負わないものとする。これには、会社が第8条第3項にある私有スマートデバイスに保存された私用で利用する情報などを消去した場合を含む。

第10条(賠償)
従業員等が本規程に違反し会社に損害を与えた場合、会社は当該従業員等に対して相当分の賠償を求めることがある。

第11条(罰則)
従業員等が故意または重大な過失により、本規程に違反した場合、就業規則に照らして処分を決定する。

第12条(改廃)
本規程の改廃は、取締役会において行うものとする。

附則
本規程は、○年○月○日より実施する。

3 参考

会社が認めた業務に限ってBYODを活用するためには、あらかじめ利用目的と業務範囲を明確にし、申請と承認の仕組みを作ることが大切です。

次のウェブサイトやガイドラインなどを参考に、自社の状況に合わせたルール・社内規程の整備を検討してみてはいかがでしょうか。

■ソフトウェア協会「『BYOD』導入検討企業向け情報提供ページ」■
https://www.saj.or.jp/activity/support/sample/byod.html
■総務省「テレワークセキュリティガイドライン第5版・中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)第3版」■
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
■経済産業省「テレワーク時における秘密情報管理のポイント」■
https://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/teleworkqa_20200507.pdf
■情報処理推進機構(IPA)「中小企業の情報セキュリティ対策ガイドライン」■
https://www.ipa.go.jp/security/keihatsu/sme/guideline/
■情報処理推進機構(IPA)「サイバーセキュリティ経営可視化ツール」■
https://www.ipa.go.jp/security/economics/checktool/

以上(2022年11月)

pj60236
画像:ESB Professional-shutterstock

Leave a comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です