総務の仕事。「BYODとその対策」

総務から会社を変えるシリーズ

この記事の著者

豊田健一

株式会社月刊総務　代表取締役社長戦略総務研究所所長

BYODとは

在宅勤務が始まり、どこでも働けるハイブリッドワークが定着する勢いです。どこでも仕事ができるとなると、どこでも使えるパソコンやスマホがないと、現代では仕事ができません。会社で用意し貸与するか、自ら持っているパソコンやスマホで仕事をするか。その場合、自分の持ち物をそのまま社内でも仕事に使う、ということになるかと思います。

自分のパソコンやスマホ、タブレットで仕事をすることを称してBYODといい、「ビー・ワイ・オー・ディー」と区切って読みます。これは「Bring Your Own Device」の頭文字であり、会社が従業員に対して個人所有のスマホやタブレット等の社内への持ち込み、社内ネットワークへの参加、ならびに業務使用を認めることをいいます。急いで在宅勤務を実施したところは、BYODで進めなければならない場合もあったでしょう。

BYODのメリットとしては、従業員は普段から使い慣れている自分のスマホをそのまま業務にも使え、2台持ちをしなくていいことです。会社としては専用の端末を用意・支給しなくてよいため、コスト負担と管理手間が省けます。

一方、デメリットやリスクもあります。個人所有のスマホなので、情報セキュリティ面のリスクが存在します。紛失に伴う情報漏洩のリスクもさることながら、そのスマホがウイルスなどに感染した場合、情報が漏洩、破壊される可能性があります。紛失時の遠隔消去やパスワードの管理なども会社が全てコントロールするわけにいかず、OSやアプリのアップデートも個人の管理に任せることになります。このように、煩わしさがなく手軽に使える反面、セキュリティ面のリスクが残るのです。前回ご紹介したコンプライアンス教育ではないですが、ここでも情報セキュリティ対策としての教育が必要となってきます。

BYODの社内ルール

個人所有のスマホであっても、業務で利用する以上は､会社のセキュリティポリシーを満たすことが必要となります。代表的なセキュリティポリシーは以下の通りです。

操作が3分以上ない場合は自動ロック、自動ロック解除時は8桁以上の英数字が含まれたパスワードの入力を必須とする
紛失、盗難時にスマートフォンの場所を見つけ出す手がかりとするため､位置情報をオンにする
紛失、盗難時に遠隔操作によりデータの全消去を行うソフトウェアを導入し､機能をオンにする
会社の重要システムにアクセスする場合は､ＶＰＮでの利用を必須とする
スマホにデータを残さない､サーバ集中管理のシステムを導入する､もしくはデータが残る場合に当該データを暗号化するソフトを導入する
セキュリティソフトを導入し､電子メールを暗号化通信モードで利用する

以上のようなルールを設定し、社内に浸透させる必要があります。ここでも、情報漏洩や端末を紛失した場合に想定されるリスクを具体的に明示する必要があります。それにより、従業員に自分事として捉え、しっかりと遵守しようと思ってもらうことが重要です。

BYODと会社のサポート

個人所有のスマホであっても、会社でBYODを認める以上は､セキュリティソフトの費用負担やサポートは企業側で行う必要があります｡従業員任せにしていると､会社のセキュリティポリシーを保つこと自体が困難となります｡具体的には､企業側で以下の費用負担とサポートを行う必要があります。

モバイルデバイス管理ソフト
VPNソフト
セキュリティソフト
データ暗号化ソフト
上記ソフトの導入や設定､サポート､運用監視を行う担当者の設置

BYODとプライバシー

BYODに関する課題として､従業員のプライバシー情報を企業側が知ってしまうということがあります。モバイルデバイス管理(MDM)ソフトによって､従業員の私物であるスマホにどのようなアプリケーションが導入されているか､その端末の位置情報などを企業側が把握することが出来るのです。このように、従業員のプライバシーに関わる情報を企業が持つことで､それがセキュリティ対策以外のことに使われたり、流失してしまったり、といったリスクも考慮しなければなりません。

本来､企業が守らなければならないのは､個人所有の端末に記録されている「業務に関わる情報」と「業務ソフトウェア」のみです｡これだけを別途管理し､セキュリティを確保することができれば､万が一、端末が紛失・盗難などにあったとしても､個人所有端末の位置情報や個人利用しているソフト､情報を企業側が知る必要はありませんし､守る必要もないのです。

BYODを会社で認めた場合､会社のセキュリティポリシーを満たすためのソフトウェアやサポートは企業側で負担する場合が多いでしょう。その他の費用分担については､企業がスマホを支給して通信料金も全額負担している場合と、企業のスマホ支給はなくBYODにより個人所有スマホを利用している場合とで考え方が変わります。

企業側でスマホを支給し､かつBYODで個人所有スマホの利用を認めている場合は、私物スマホの利用はあくまでも従業員の利便性向上のためになります。したがって､私物スマホの端末購入費用、通話・通信料金などは企業側で負担する必要はありません。

企業側でスマホを支給せず､BYODにより個人所有スマホを利用し、企業から従業員に業務利用するように依頼している場合は､業務用の通話料金は､特定の番号を発信番号の頭につけることにより企業側に通話料金が請求されるサービスを利用する、通信会社で提供されるスマホ向けIP電話ソフトによる通話で業務利用と私的利用に請求を分け､業務利用分は企業側で負担する、といった策をとることが適切です。

いずれにせよ、どこでも仕事ができるのは利便性が高いものの、管理という側面ではいろいろと煩雑さが増えてきます。そして、個人に徹底してもらうルールもその分増えてきます。端末やスマホ等のハードの手当より、むしろルールや仕組み等のソフトの充実と徹底が重要となってきます。そこには従業員の理解とともに、腹落ち感も重要となります。今まで以上に総務には、説明力、表現力、そして共感力（相手に共感してもらう力）が必要な時代となったようです。