最近増えている「BYOD」で企業が講じておくべき措置とは!?
従業員に私物スマートフォン等を業務上利用させる場合の留意点と書式等の整備の仕方
特定社会保険労務士
岩﨑 仁弥
「BYOD」導入における留意点
(1)BYOD導入の5パターン
それでは、実情として企業はBYODの導入をどのように進めているのでしょうか?
JSSECによると、次の5つのパターンに分類できると言います(JSSECの資料を筆 者が要約。図表4)。
(1)舵取り型
規定を整備し、利用申請と承認の仕組みがある状態。
(2)踏み出し型
規定はないが、個人所有のスマートフォンを業務利用する意思があり、実際に利用している状態。
(3)なし崩し型
ある程度のリスク認識はあるが、導入に関する意思決定をしないまま利用者側が先走って利用している状態。
(4)知らん振り型
管理者は関与していないように見える状態。
(5)忍び型
個人所有のスマートフォンを隠れて業務で利用している状態。個人所有のスマートフォンの業務利用を禁止している中での利用、および「舵取り型」でも許可を受けていないスマートフォンの利用が該当する。
この5パターンのうち、企業が目指すべきは、言うまでもなく「舵取り型」の導入パターンです。「知らん振り型」「忍び型」は、会社でリスクをコントロールすることが不可能なパターンであり、絶対に避けなければなりません。
そこで重要なのは、BYODに対する会社の姿勢を明確にすることです。つまり、会社としてBYODを導入するかしないかの方針を決定することです。 特にすでに現状が「なし崩し型」になってしまっている場合は、早急に決定する必要があります。そして、BYODを導入しないと決定した場合には、業務での 個人端末の利用を明確に禁止しなくてはなりません(「シャドーIT」「忍び型」の排除)。
BYODの導入を検討する場合は、どのような目的で導入するのかを関連規定で明らかにして、個人端末をどのような用途で利用するのかを洗い出し、想定される利用シーンごとにルールを決めていくことになります。
■書式例1:個人端末に対する姿勢を明らかにするための規定例(就業規則等に規定)
(個人端末の利用)
第〇条 従業員は、会社の許可なく個人所有のモバイルPC、スマートフォン等(以下、「個人端末」という)を業務に利用してはならない。会社の許可を受けて個人端末を利用する場合は、インストールされているソフトを確認するなど定められた利用条件に従わなければならない。
2 個人端末利用許可については、会社として明確な方針を定めるとともに、許可する場合にはその手続きを定めるものとする。また、会社の機器選定基準を満たす推奨機種についての情報を周知する。
(2)社内規程の整備
しっかりとした「舵取り型」でBYODを導入するために、社内規程の整備は必須です。また、端末の利用に際して誓約書を取っておくことも必要です。
[1]管理すべき情報に関する規程
これは、BYODを導入しない場合にも必要な規程です。大前提として保護すべき秘密情報にはどのようなものがあるかを定義して、従業員はその秘密情 報を保護する義務(秘密保持義務)があることを就業規則等で定めておきます。そのうえで、個別規程において秘密保持に必要な手続き・ルールの細目を定めて いきます。企業が守るべき情報としては、大きく分けて個人情報(顧客情報だけではなく、自社の従業員に係る雇用管理情報も含まれる)と企業秘密情報(不正 競争防止法に定める営業秘密の他、会社の秘密情報を広く含む)がありますが、それぞれに規程(「個人情報保護規程」「営業秘密等管理規程」)があるとよい でしょう。これらの規程に具体的に定めるべき項目は、次の通りです。
- 管理を要する情報の区分と定義
- 情報管理体制と管理責任者(とその責務)
- 情報のアクセス権限と利用の許認可手続
- 情報の管理方法(施錠キャビネットまたはパスワード設定など)
- インシデント発生時の対応と報告義務
- 不正利用時の懲戒処分と損害賠償
[2]端末利用に関するマニュアル
いわゆるスマート端末に係る取扱いマニュアルを設けます。2012年に、「内閣官房情報セキュリティセンター」が、公務員がスマート端末を使用する 場合のマニュアルとして『スマートフォン・タブレット端末の使用手順 雛形(官支給品編)』を公表していますので、これを参考にするとよいかもしれませ ん。
なお、BYODを導入するにあたり、特に留意しなくてはならないのは、次の3項目です。
- 情報管理に関する誓約書をとる
- 端末設定の基本方針を定める
- 業務で利用するデータとプライベートデータの混在を防ぐ
取扱いマニュアルに記載する端末設定の基本方針等の例を、書式例2に示します。
■書式例2:取扱いマニュアル
個人端末の業務利用に係る取扱いマニュアル
- 端末が搭載している機能およびアプリケーションを特定すること。
- 利用する端末は、以下の機能を実装または設定することが可能であること。
- 端末内および外部規則媒体のファイルデータ暗号化
- リモートワイプ(遠隔からのデータ消去機能)
- アプリケーションの導入制限
- 不要な機能の停止
- 端末のセキュリティロックを設定すること。
- 原則、可搬媒体としての利用を認めないこと。
- カメラ機能が不要な場合は、レンズ面にセキュリティシール等を貼付すること。
- 次のデータについては、フォルダを区分して、業務で利用するデータとプライベートなデータを同一のフォルダに保存しないこと。
- アドレス帳
- メール
- 画像・映像撮影
- 音声録音
[3]誓約書の取得
先ほどご紹介した内閣官房情報セキュリティセンターのマニュアルでは、BYODを想定した誓約書の記載項目を例示しています。これに基づいて作成した誓約書の作成例を、書式例3に示します。
■書式例3:個人端末の業務利用に係る誓約書
個人端末の業務利用に係る誓約書
私は、私名義で所有するスマート端末(以下「個人端末」という)を会社の業務に利用するに当たり、次の事項を遵守することを誓約いたします。
(名義、契約者)
第1条 私が利用する個人端末は、私名義で契約し保有するものであって、別に提出する個人端末業務利用許可書に記載があるものに限定します。
(利用目的と範囲の明確化)
第2条 個人端末の利用目的、利用範囲は、別に提出する個人端末業務利用許可書に明記したものに限定し、その利用に当たっては、会社の定めたルールを遵守いたします。
(会社による情報収集に対する同意)
第3条 不正な利用防止やマルウェア被害防止などから、会社が個人端末の利用状況の収集を行うことに同意します。
(会社による制御に対する同意)
第4条 業務の必要性から、個人端末に対して、会社が設定変更、機能制限、データ削除を行うことに同意します。
(バックアップデータの保護)
第5条 業務データがスマートフォン内に保存されている場合には、適宜会社パソコンへのバックアップを行います。
(特定の事象が発生した場合の届出)
第6条 紛失や盗難などが発生した場合、機密情報や個人情報の保管有無や、事故の影響を確認するため、直ちに会社へ届け出ます。
(端末、OS、アプリケーションの改造)
第7条 セキュリティ上の脅威を抑止するため、スマート端末、OS、アプリケーションの 改造は行いません。
(組織が禁止指定しているアプリケーションの導入等)
第8条 マルウェア等の侵入を防ぐため、会社が禁止指定しているアプリケーションは、導入しません。
(ソーシャルネットワークサービスへのアクセス)
第9条 業務上の必要があるとき、または災害時等の場合以外は、就業時間帯は、ソーシャルネットワークサービスへのアクセスは行いません。
(第三者への貸与)
第10条 個人端末は、第三者に貸与し、または利用させることはありません。
(故意または過失による情報漏洩)
第11条 個人端末の利用に際し情報漏洩等のリスクが存在することを認識し、その取扱いについては、常に注意を払います。万が一情報が漏えいしたときには、情報端末取扱規程に従い対処し、会社の指示に従います。
(時間外利用)
第12条 就業時間帯以外の時間帯および休日・休暇期間中は、会社の許可がない限り、個人端末を利用した業務は行いません。
(罰則)
第13条 この誓約に違反した場合には、就業規則に定める懲戒処分の対象となることを確認し、当該規定の定めるところにより、処分を受けることに同意します。
平成○年○月○日
氏名 ○○○○印
いわさき・きみや ● 調和ある働き方と共鳴する職場づくりを目指す日本で最初の職場マイスター。(株)リーガル・ステーション代表取締役、特定社会保険労務士、行政書士。SR(Social Responsibility)の時代に先駆け「難しい法律も原理を押さえれば理解は簡単」をモットーに、労働時間管理や就業規則に関する諸法令をビジュアル的にわかりやすく伝える。セミナー講師として制度の趣旨や時代背景から説き起こす「納得させる」語り口が好評である。
URL:http://www.legal-station.jp
Facebook:http://www.facebook.com/kimiya.iwasaki
人事の専門メディアやシンクタンクが発表した調査・研究の中から、いま人事として知っておきたい情報をピックアップしました。
