06-6539-8587
私物のスマートフォンやタブレットなど、従業員の私有の端末(デバイス)を会社の業務に利用することを認める動きが広がっています。
これは、「BYOD(ブリング・ユア・オウン・デバイス)」とも呼ばれます。
しかし、この「BYOD」は、以下のような情報漏洩のリスクが格段に高まってしまうという問題点があります。
事例1:
私物のスマートフォンがウィルスに感染して、電話帳に登録していた顧客の氏名、電話番号などの個人情報が漏洩した。
事例2:
業務メールの閲覧にも使用していた私物のスマートフォンを紛失して、顧客とのメールの内容が漏洩した。
事例3:
業務上の情報も保存していた私物のタブレットを従業員の家族が使用した際に、不正アプリをインストールしてしまい、業務上の情報が漏洩した。
このような情報漏洩事故を起こさないためにも、私物端末の業務利用を認めるにあたっては、ルールを明確にし、従業員に徹底しておく必要があります。
今回は、「BYODのメリット・デメリットと導入時のポイント」について、ご説明したいと思います。
▶【参考情報】労務分野に関する「咲くやこの花法律事務所の解決実績」は、こちらをご覧ください。
▼【関連情報】私物端末の業務利用「BYOD」に関する情報は、以下も合わせて確認してください。
・従業員の秘密保持誓約書について解説。安易な雛形利用は危険!
・顧客情報・顧客名簿の情報持ち出しから会社を守る正しい管理方法
・退職者による機密情報、顧客情報の持ち出しで会社が取るべき対応とは?
・退職者による顧客の引き抜き行為を防止する誓約書の作り方と就業規則のポイント
・不正競争防止法の営業秘密とは?3つの要件と漏洩時の罰則を解説
▼私物端末の業務利用「BYOD」の対応について今スグ相談したい方は、以下よりお気軽にお問い合わせ下さい。
【お問い合わせについて】
※個人の方からの問い合わせは受付しておりませんので、ご了承下さい。
今回の記事で書かれている要点(目次)
1,BYOD(私物端末の業務利用)のメリットとデメリットとは?
では、まず最初に、「BYOD(私物端末の業務利用)のメリットとデメリット」から確認していきましょう。
BYODのメリットとしては以下のようなものがあげられます。
(1)BYODを会社で認めるメリット
メリット1:
私物の端末と業務用の端末の2つの端末を持ち運ぶ煩雑さがなくなる。
メリット2:
慣れた私物の端末で業務ができる。
メリット3:
外出先での時間を活用できたり、自宅での作業が容易になる。
このように、「業務が効率化できる」、「便利」というのが「BYODのメリット」になります。
一方で、BYODには、セキュリティ対策が不十分となって情報漏洩事故を起こしやすくなるというデメリットがあります。
具体的には、以下のようなデメリットです。
(2)BYODを会社で認める際のデメリット
デメリット1:
業務に使用していた私物の端末がウィルス感染すれば、顧客の個人情報その他の業務上の重要な情報が漏洩する危険がある。
デメリット2:
従業員が私物の端末を第三者にも使用させることにより、情報が漏洩する危険がある。
デメリット3:
端末の盗難、紛失により、端末に保存された業務上の重要な情報が漏洩する危険がある。
デメリット4:
端末のセキュリティ対策を個人の知識やモラルにゆだねると、十分なセキュリティ対策がされないおそれがある。
BYODを認めずに自社で端末を支給して従業員に使用させる場合にも、ウィルス感染や盗難、紛失のリスクはありますが、その場合は会社で統一的なセキュリティ対策、管理が可能です。
これに対し、私物の端末の業務利用については、情報漏洩を防ぐセキュリティ対策が個人の知識やモラルに左右されてしまいがちです。
この点が、BYODの最も重要な問題点となります。
2,私物端末の業務利用を認める場合の3つのポイント
BYODのメリットとデメリットを踏まえたうえで、「私物端末の業務利用を認める場合のポイント」を見ていきましょう。
以下の3点がポイントとなります。
私物端末の業務利用を認める場合の3つのポイント
ポイント1:
漏洩してはならない情報が何かを明確にする
ポイント2:
セキュリティ対策のルールを明確にする
ポイント3:
端末の定期的なチェックを行い、従業員の意識を高める
いずれも、「端末のセキュリティ対策が個人の知識やモラルに左右されてしまう」というBYODのもっとも大きな問題点を回避するために必要な点です。
以下で順番に見ていきましょう。
2−1,ポイント1:
漏洩してはならない情報が何かを明確にする
私物端末の業務利用を認める場合のポイントの1つ目は、「漏洩してはならない情報が何かを明確にする」という点です。
BYODを導入するにあたっては、まず、「漏洩してはならない機密情報が何か」を明確にすることが重要です。
たとえば、私物端末に保存した顧客個人の電話番号や氏名を登録してしまうと、紛失や盗難、ウィルス感染などのトラブルにより情報漏洩が起こる可能性をゼロにすることは困難です。
そのため、これらの情報は私物端末には保存してはならないことにする必要があります。
一方で、業務上の情報を私物端末に保存することをすべて禁止してしまうと、BYODのメリットがあまり感じられないことになるでしょう。
そのため、漏洩してはならない機密情報が何かを明確にし、機密情報については私物端末への保存を禁止する一方で、機密情報以外の業務上の情報は私物端末への保存を必要な範囲で認めることが必要です。
そこで、まず、自社にとって、漏洩してはならない本当に機密にする必要がある情報がなにかを検討してみましょう。
「社内のノウハウや内部情報はすべて漏洩しては困る」と考えがちですが、それでは「本当に秘密にする必要がある情報」の範囲を特定したことにはなりません。
「本当に秘密にする必要がある情報」というのは、具体的には次のような情報です。
(1)秘密にする必要がある情報の参考例
参考例1:
漏洩すれば顧客や社会からの信頼を失う情報
参考例2:
漏洩すれば自社に法的な責任が発生する情報
参考例3:
漏洩して競合他社などに知られれば自社の事業に具体的な悪影響が予想される情報
このような観点から、「本当に秘密にする必要がある情報」の範囲を具体的に絞り込む必要があります。
そのうえで、私物端末に保存してはならない機密情報の範囲を、従業員から提出してもらう誓約書などの文書で明確にしておくことをおすすめします。
この記事の最後にアップロードしている、「誓約書のひな形」では次のように記載していますので、参考にしてみてください。
●機密情報の範囲についての規定例
私は、次に示される情報(以下「秘密情報」という)が、貴社の重要な機密情報であることを認識し、漏洩しないように万全の注意を払います。
また、秘密情報を私物端末に保存しないことを誓約します。
(1)顧客または貴社従業員の個人情報
(2)顧客、取引先と貴社との取引内容、取引履歴に関する情報
(3)顧客、取引先の住所、社名、担当者名、連絡先に関する情報
(4)顧客、取引先から業務の過程で入手した顧客、取引先に関する一切の情報
(5)以上のほか、貴社が特に秘密保持対象として指定する情報
このように、漏洩してはならない機密情報の範囲を明確にすることが、BYOD導入の最初のステップになりますので、確認しておきましょう。
2−2,ポイント2:
セキュリティ対策のルールを明確にする
私物端末の業務利用を認める場合のポイントの2つ目は、「セキュリティ対策のルールを明確にする」という点です。
BYODでは、情報漏洩についての対策が個人の知識やモラルに左右されないように、社内で、私物端末を業務利用する際のセキュリティ対策のルールを決めておくことが必要です。
たとえば、次のようなルールが考えられます。
(1)私物端末を業務利用する際のセキュリティ対策のルールの参考例
参考例1:
端末、OS、アプリの改造を行わない。
参考例2:
ウィルス対策ソフトを適切に導入し、ソフトウェアのバージョンを最新に保つ。
参考例3:
信頼できないアプリのダウンロードや信頼できないWebサイトへのアクセスを行わない。
参考例4:
業務システム、業務用メール、クラウド上に保存された業務に関する情報にアクセスする際は、ID、パスワードに関する情報をデバイスに残さない。
参考例5:
秘密情報については端末内に保存せず、使用後は必ず消去する。
参考例6:
紛失、盗難に備え、リモートロック機能を使用する。
参考例7:
外部からの覗き見による情報漏洩に配慮し、覗き見防止機能やフィルタの着用を行う。
参考例8:
公衆無線LANその他信頼性の低い通信サービスは利用しない。
参考例9:
業務に利用する私物端末を家族や友人、第三者に使用させない。
参考例10:
第三者が私物端末を使用できないようにパスワードロックを設定する。
また、従業員がどの私物端末でも業務に利用してよいということになると、業務に利用する私物端末について正しくセキュリティ対策がなされているかについての管理が難しくなります。
そこで、業務に利用する私物端末を事前に会社に届け出させ、それ以外の端末を業務には利用させないことが必要になります。
このように、各職場の実情にあわせて、BYODのセキュリティ対策のルールを明確にすることが、情報漏洩事故を起こさないための重要なポイントになります。
2−3,ポイント3:
端末の定期的なチェックを行い、従業員の意識を高める
私物端末の業務利用を認める場合のポイントの3つ目は、「端末の定期的なチェックを行い、従業員の意識を高める」という点です。
私物端末については、ルールを定めても、時間が経過するにつれてルーズになり、結局はセキュリティ対策が個人の意識とモラルにゆだねられることになりがちです。
ルールを徹底するために、定期的に従業員の私物端末の利用状況を確認し、ルールが守られているかを確認して、従業員のセキュリティについての意識を高める機会を作ることが不可欠です。
例えば年に1回、あるいは半年に1回などの頻度で機会を設けて、私物端末の利用状況の点検とルールの確認を行いましょう。
さらに、万が一情報漏洩の危険が発生した場合は、会社としていち早く把握して対応する必要があります。
そのために、業務に利用中の私物端末の紛失、盗難、ウィルス感染などにより、情報漏洩の危険が発生した場合は、直ちに会社に報告することを義務付けておく必要があります。
このように、定期的なチェックと事故時の届出の義務付けも、私物端末の業務利用を認める際の重要なポイントになりますので、おさえておきましょう。
3,誓約書の雛形ダウンロード
最後に、BYOD導入の際に、従業員に記載してもらう誓約書の雛形をアップロードしておきます。
ぜひ参考にしていただき、御社のルール作りに役立ててください。
BYOD(私物端末の業務利用)導入時に従業員に記載してもらう誓約書の雛形
4,「咲くやこの花法律事務所」の弁護士へ問い合わせる方法
従業員の私物端末の業務利用「BYOD」の対応に関する相談は、下記から気軽にお問い合わせください。咲くやこの花法律事務所の労働問題に強い弁護士によるサポート内容については「労働問題に強い弁護士のサポート内容 」のページをご覧下さい。
また、今すぐお問い合わせは以下の「電話番号(受付時間 9:00〜23:00)」にお電話いただくか、メールフォームによるお問い合わせも受付していますので、お気軽にお問い合わせ下さい。
【お問い合わせについて】
※個人の方からの問い合わせは受付しておりませんので、ご了承下さい。
5,私物端末の業務利用「BYOD」に関連するお役立ち情報も配信中(メルマガ&YouTube)
私物端末の業務利用「BYOD」に関するお役立ち情報について、「咲くや企業法務.NET通信」のメルマガ配信や「咲くや企業法務.TV」のYouTubeチャンネルの方でも配信しております。
(1)無料メルマガ登録について
上記のバナーをクリックすると、メルマガ登録ページをご覧いただけます。
(2)YouTubeチャンネル登録について
上記のバナーをクリックすると、YouTubeチャンネルをご覧いただけます。
6,まとめ
今回は、BYODのメリット・デメリットについてご説明したうえで、私物端末の業務利用の導入時ポイントとして以下の3点をご説明しました。
ポイント1:
漏洩してはならない情報が何かを明確にする。
ポイント2:
セキュリティ対策のルールを明確にする。
ポイント3:
端末の定期的なチェックを行い、従業員の意識を高める。
ここで、改めて自社の従業員が私物の端末を業務用に利用していないかを振り返ってみてください。
会社で私物端末の利用のルールを決めていないまま、「従業員が自分のスマートフォンで業務メールを閲覧している」、「従業員が自分のスマートフォンに顧客の電話番号を登録している」などというケースは決して少なくありません。
このようなルールを定めないまま、私物端末の業務利用を黙認しているケースはもっとも危険です。従業員によっては、情報の重要性、漏洩の危険性を全く意識しないまま、私物端末を利用してしまっているケースがあるためです。
自社において既に私物端末の業務利用が行われているようなケースでは、情報漏洩事故が発生する前に、早急にルールを整備しておくことが必要です。
記事作成弁護士:西川 暢春
記事更新日:2020年04月01日
