書いてあること
- 主な読者:私有スマートデバイスを業務で利用する従業員がいる企業の経営者、情報システム部門、管理責任者
- 課題:従業員の業務効率化や組織の生産性向上は図りたいが、重要な情報の紛失・漏洩は避けなければならない
- 解決策:実態を把握した上で、リスクの軽減と、従業員の利便性や業務効率化を勘案した対応をしていく
1 私有スマートデバイスの脅威
1)BYODとは
スマートフォンやタブレット端末などの携行可能な情報通信機器(以下「スマートデバイス」)が普及し、従業員が私有スマートデバイスを業務に利用する「BYOD」(Bring Your Own Device)という考え方が広まっています。
従業員にとってBYODは、使い慣れたスマートデバイスで、自ら導入したアプリケーション(アプリ)やクラウドサービスを利用し、いつでもどこでも業務を行えるという面で大きなメリットがあります。
一方、企業にとってBYODは、従業員の業務効率化や組織の生産性向上、機器の導入や使い方の教育にかかるコストの抑制などが期待できる半面、重要な情報の紛失・漏洩の危険性もはらむ悩ましい課題です。
2)情報漏洩が発生すれば企業の責任が問われる
業務用の社有パソコンについては、多くの企業が情報システム部門や管理責任者などを設置し、端末の管理規程や利用マニュアルを整備し、情報セキュリティや個人情報保護に関する教育などの措置を講じ、取り扱いを管理・監視する体制を構築していることでしょう。
一方、従業員の私有スマートデバイスについては、あくまで「私物」であり、企業の管理の範囲外と見なしているケースもあるようです。しかし、仮に、業務にスマートデバイスを利用し、そのことが原因でセキュリティ被害や情報漏洩が発生した場合には、「そのスマートデバイスが社有か、私有か」「利用場所は社内か、社外か」「利用時間は業務時間内か、業務時間外か」などにかかわらず、企業の責任が問われることになります。
3)リスクを認識し、実態に即した対応が求められる
企業がルールを定めなければ、従業員は私有スマートデバイス内に、業務データとプライベートなデータを混在させて保存することになります。従業員のプライベートなデータを企業が管理・監視することは、プライバシーの権利の観点からも現実的ではありませんが、業務データは企業が管理・監視し、守るべき重要な経営資源の1つです。
従業員が、私有スマートデバイスを使って社有パソコンと同等の業務データを取り扱えるという状況は紛れもない事実であり、その状況を看過、黙認することは、業務データの紛失・漏洩などにつながりかねません。
企業は、BYODにおける脅威およびリスクを認識する必要があります。そして、自社のBYODの実態を把握した上で、リスクの軽減と、従業員の利便性や業務効率化を勘案した対応をしていくことが求められます。
2 BYODにおける脅威およびリスクの例
BYODにおける脅威およびリスクの例として次が挙げられます。
従業員は、私有スマートデバイスを常に持ち歩くため、紛失、水没や落下による故障といった偶発的な事象によって業務データが漏洩、消失する恐れがあります。
また、悪意を持った第三者による盗難、画面ののぞき見、不正プログラムへの感染などによって業務データが漏洩する恐れもあります。
さらに、タッチパネルの反応範囲や反応速度による操作ミス、Wi-Fiの自動接続設定をオンにしておいたことによる不正な無線LANアクセスポイントへの接続、私的に利用するアプリがGPSの位置情報や電話帳データにアクセスすることを知らずにインストールしていたなど、従業員の認識不足が業務データの漏洩につながる恐れもあります。
3 BYOD導入に当たっての検討課題
1)BYODにおけるリスクへの対応
リスクの大きさは、一般的に、脅威の発生確率、脅威が及ぼす影響度の掛け算によって評価できます。
BYODにおけるリスクへの対応を検討する際には、まず、自社にどのような脅威があるのか、実態を把握し、リスクを適切に評価する必要があります。アンケートやヒアリングを実施するなど、私有スマートデバイスの業務利用について従業員の実態を確認し、脅威を洗い出し、その上で、脅威の発生確率や影響度について評価していきます。
リスク評価の結果は、どのような業務をBYODで遂行するのか/しないのかを決める際の1つの判断材料となります。
2)従業員の利便性や業務効率化の勘案
どのような業務をBYODで遂行するのか/しないのかを決める際、重要なのは、リスク評価の結果と従業員の利便性や業務効率化の関係を勘案することです。
リスク評価の結果、仮にリスクが大きいと判断したとしても、リスクに比して、従業員の利便性や業務効率化の効果が期待できることもあり得ます。また、仮に、リスクが大きいという理由で、ある業務をBYODで遂行することを禁止したとしても、隠れて行う従業員が出てくる可能性もあります。
リスクへの対応は、リスク評価の結果と従業員の利便性や業務効率化を比較検討し、経営判断を下すことになります。
3)セキュリティ対策の考え方
BYODにおけるセキュリティの確保は、従業員の意識次第という面は否めません。そのため、BYODにおけるセキュリティ対策を検討する際には、従業員による運用面と企業(情報システム部門)による技術面の2つの側面から考える必要があります。BYODにおけるセキュリティ対策例として次が挙げられます。
例えば、盗難や紛失は、発生してしまうことを前提に、「端末内に業務データを残さないこと」が情報漏洩を防ぐための基本的な考え方となります。その上で、業務データが残っている可能性を考慮し、「第三者による侵入やデータの窃取を防ぐために端末をパスワードで保護しておくこと」、さらに「万一、端末のパスワードが破られた場合に備えてデータを暗号化しておくこと」が必要といえるでしょう。
4)従業員の私的なデータと業務データの使い分け
BYODで重要なのは、私的なデータと業務データを明確に使い分けることです。これらが端末内で混在して保存されていた場合、万一の際、業務データの情報漏洩を防ぐために、リモートワイプ機能で私的なデータも一緒に消去しなければならなくなります。
また、私的なデータと業務データがクラウドサービスなどの外部記憶域で混在して保存されていた場合、業務データが個人ごとに異なるクラウドサービスに広く拡散し、情報漏洩などが発生した際の原因究明や対策が困難になってしまいます。
業務で利用するアプリやアカウントは、プライベートで利用するアプリやアカウントと別にするなど、「公私を使い分ける」ことを従業員に理解させる必要があります。
5)利用終了時の取り扱いの明確化
従業員が退職したときやスマートデバイスを買い替えたときなどには、それまで使ってきたスマートデバイスを、業務で利用できないようにしなければなりません。その際、顧客情報や業務上知り得た機密情報などが、端末内に残存していないかチェックし、残っていれば削除する必要があります。また、ファイルサーバー、社内ネットワークなどへのアクセス権限も削除します。
ただし、従業員が個人で利用しているクラウドサービスのシステム上に残っている業務データについて、企業側で把握することは困難です。そのため、クラウドサービスについてあらかじめ利用を禁止するか、クラウドサービスのシステムから業務データを削除したことを誓約させるなどの措置が必要です。
6)費用負担
業務目的以外で従業員が自費で購入した有償アプリの取り扱い、スマートデバイス本体の購入代金の負担、通信費の負担などについても取り決めておく必要があります。
例えば、セキュリティ対策製品の導入や業務アプリのインストールなどについては、状況によって企業側の費用負担を考慮する必要があるでしょう。
なお、ビジネス用には050で始まる番号(IP電話)、プライベート用には080/090で始まる番号を簡単な操作で使い分けでき、ビジネスで利用した通話料は企業に請求するサービスもあります。そうしたサービスの利用も検討するとよいでしょう。
以上(2019年11月)
op60146
画像:photo-ac