中堅・中小企業はもはや無関心でいられない!BYODに潜むリスクとその解決策

中堅・中小企業はもはや無関心でいられない!BYODに潜むリスクとその解決策

目次

「私物端末の業務利用」と訳される「BYOD(Bring Your Own Device)」とは、社員が個人所有のスマートフォン、タブレット端末などを、職場の業務にも使用すること、あるいはその状況のことです。

BYODが増えてきたのは、「いつでもどこででもネットワークに接続できる高性能のスマートフォンやタブレット端末が普及した」のが背景です。加えて、社員は私物端末と会社支給端末の2台を携帯する必要がなく、企業は社員に端末を支給しなくてよいことから、端末購入などのIT活用に関する初期投資の削減や運用コストの圧縮ができるなど、社員・企業双方にメリットがあるからだといわれています。どうすれば中堅・中小企業はBYODを安全に利用できるのか解説します。

企業規模が小さいほど高まる「BYODリスク」

BYODには様々な利用状況があり、これを日本スマートフォンセキュリティ協会は次の5パターンに類型化しています。

  • 舵取り型
    BYODルールを整備し、利用申請から承認の仕組みまでしっかりと構築されているパターン。企業はBYODに対するリスクを十分認識し、BYODの舵取りが出来ている状態です。

  • 踏み出し型
    BYODルールは整備していないが、企業にBYOD導入の意思があり、社員が実際に業務利用しているパターン。企業はBYODに対するリスクを認識していますが、その認識が不十分な場合があります。

  • なし崩し型
    企業がBYODの導入に対する意思を決定していないのに、社員が先走り状態で私物端末を業務利用しているパターン。企業はBYODに対するリスクの認識がある程度はありますが、対応を取れていない状態です。

  • 知らん振り型
    社員が私物端末を業務利用しているのに企業側は私物端末の業務利用に関与していないように見えるパターン。企業はBYODに対する管理者としてのリスクを認識しておらず責任も放棄しています。

  • 忍び型
    企業はBYOD禁止の姿勢を取っているが、社員が隠れて業務利用している、または企業がBYODを導入しているが社員が許可を取らずに業務利用しているパターン。極めて危険な状況といえます。

舵取り型以外のBYODにおいては、情報セキュリティ体制が不十分な中小企業のリスクを増大させているようです。例えば、情報処理推進機構は「2015年度 中小企業における情報セキュリティ対策に関する実態調査」において、以下のような発表をしています。

  • BYODの認可は小規模企業50.3%、100人以下規模の企業38.9%、101人以上規模の企業26.9%

  • BYODのパスワード設定実施率は小規模企業56.7%、100人以下規模の企業67.9%、101人以上規模の企業72.5%

  • 「社内に情報セキュリティ対策担当者がいる」のは小規模企業19.6%、100人以下規模の企業52.2%、101人以上規模の企業63.4%

このように、企業規模が小さいほどBYODを行うと情報セキュリティリスクが高いことがうかがえます。

BYODが内包する企業・社員双方のリスク

BYODは具体的にどのようなリスクを内包しているのでしょうか。そこには、情報セキュリティ以外にも様々なリスクが潜んでいます。その主なものは次の通りです。

1.企業側のリスク

  • 企業秘密保護が困難になる

社員の私物端末のマルウェア感染、社員の私物端末に対するサイバー攻撃、盗難・紛失した社員の端末からの社内ネットワークへの侵入など、情報漏えい経路が多様化し、企業秘密保護が困難になります。

  • 社員退職に伴う情報漏えいの危険

BYODの許可を受けていた社員が退職しているのに、社内ネットワークへのアクセス権を削除しなかったため、退職社員の端末から企業情報が流出するケースが発生しています。

  • 社員の勤務実態を把握・管理できない

BYODを許可すれば社員はいつでもどこでも仕事が可能になり、就業規則によらない時間外労働の可能性が高まります。また、BYOD環境下では端末利用が私用なのか業務用なのかの判別が困難です。その結果、社員の勤務実態の把握・管理が困難になります。

  • BYODルールの周知にコストがかかる

私物端末利用規定などBYODルールを整備しても、それを全社に周知するため、全社員対象の研修をしなければならず、多大な研修コストが発生します。

2.社員側のリスク

  • 端末盗難・紛失時のリスク

BYODをすると、必然的に私用情報と企業情報が端末に保存されます。その結果、端末盗難・紛失時に自分の情報だけではなく企業情報までが一緒に流出し、リスクが高まります。

  • 業務用通信費の負担リスク

BYODルールを整備していない企業の場合、BYODの私的利用と業務利用の公私分計規定もないので、業務で利用した分の通信費も社員が負担しなければならない可能性が高まります。

  • サービス残業時間の増加

いつでもどこでも仕事ができるため、業務時間とプライベート時間の切り分けが困難になり、必然的に所定外労働時間増加の可能性が高まります。BYOD環境下では企業は所定外労働時間の把握ができないので残業時間とみなされず、社員はサービス残業の増加を余儀なくされる可能性が高まります。

中堅・中小企業のBYODリスク解決策

このようなリスクを防止するため、様々なBYODルール整備が提唱されています。それらのガイドラインは次に集約されます。

  • 私物端末の業務利用範囲の明確化

私物端末の業務利用の範囲を明確化します。そのためには、チェックシートなどを用いて社内のBYOD実態を調査し、端末の私用と業務利用の両立が可能な範囲を見極める必要があります。

  • 保護すべき企業情報の明確化

自社情報を「社外公開不可の情報」、「社外公開可の情報」、「社内秘匿が不要な情報」などに分類し、企業秘密情報の範囲を明確化します。

  • BYOD運用ルールの明確化

私物端末の業務利用を情報セキュリティレベルとの対比で検討し、業務中の私的用途の禁止、端末盗難・紛失時の情報セキュリティ対策などBYODの運用ルールを明確化します。

  • 情報セキュリティツールの導入

MDM(モバイル端末管理)、アクセスコントロ-ラ、検疫システムなどの導入によりBYODの情報セキュリティ対策を施します。

中堅・中小企業にとって、このようなBYODルール整備のためのコスト負担は容易なものではないでしょう。そこで、低コストでBYODのメリットとリスク低減を両立する方法として注目されているのが、法人契約による格安スマホの社員支給です。これなら、格安スマホ支給の初期コストと運用コストを抑えることが可能なため、中堅・中小企業のコスト負担は軽減できるかもしれません。また法人契約の場合、VPN(仮想社内ネットワーク)サービス、端末の盗難・紛失時に端末保存のデータを消去する遠隔初期化サービスなどを提供しているので、社内情報保護のレベルが格段に上がります。

BYODによるリスクを最小限にするために

企業が禁止しても「なし崩し」「知らん振り」などの形で社内に浸透してくるBYODを防ぐのは困難でしょう。BYODによる重大なトラブルが起こる前に、先手を打って格安スマホを支給するのが、中堅・中小企業の現実的な対応と思われます。そのためにも、信頼できる格安スマホベンダとの契約を検討しましょう。通話し放題(携帯電話、固定電話への国内通話)のプランが月額1,934円から使用でき、業務内容に応じて最適プランを設定できるY!mobileはチェックするとよいでしょう。

関連サービス

ワイモバイル法人さま向けサイト

ワイモバイルの法人さま向けサイトではスマートフォンやケータイ、音声定額プラン、Pocket WiFiで、コスト削減や業務効率化など最適なソリューションのご提案をいたします。詳細はこちら

あわせて読みたい関連記事

シャドーITのリスクと根本的な解決策とは?おすすめのITツールもご紹介 - ビジネスWebマガジン「Future Stride」|ソフトバンク

スマートフォン普及率が上昇、求められる企業の変化 - ビジネスWebマガジン「Future Stride」|ソフトバンク

社用携帯の利用で会社と取引先の信用を守ることができる理由 - ビジネスWebマガジン「Future Stride」|ソフトバンク

ITリテラシーとは_炎上や情報漏洩を未然に防ぐためには対策が必要 - ビジネスWebマガジン「Future Stride」|ソフトバンク