刊行物
情報センサー2014年6月号 EY Advisory

BYOD -職場における個人所有端末の活用におけるコンプライアンス上の課題と対策-

ITリスクアドバイザリー部 システム監査技術者 國重靖子
大手システムインテグレーターを経て、2003年に当法人に入所。会計監査の一環として、さまざまな業種・規模の企業のIT監査を担当。最近は、ネット企業などITをビジネスのコアとする企業を対象とした、BYODやクラウドコンピューティングなどに係る各種アドバイザリー業務に従事。公益社団法人企業情報化協会(JIIT)のスマートデバイスビジネス活用研究会の企画委員を務める。

Ⅰ はじめに

個人で所有するIT端末を業務に使用することは、Bring Your Own Device(BYOD)と呼ばれ、近年、多くの企業が導入を進めています。BYOD導入には、さまざまな課題があるにもかかわらず、依然として高い注目を集めている理由は、BYOD導入によって、個人、企業の双方に大きなメリットがもたらされるためです(<表1>参照)。
BYOD導入に伴う情報セキュリティ面の課題は、これまで多くのメディアを通じ、議論されてきました。一方、企業のガバナンス、コンプライアンスの課題については、あまり知られていないのが実情です。
本稿では、わが国におけるBYOD導入に伴うコンプライアンスの課題と解決法を紹介します。

表1 BYOD導入のメリット

Ⅱ BYOD導入の現状

EYが2012年度に実施した「グローバル情報セキュリティサーベイ」では、世界64カ国1,800社以上を対象にBYODの導入状況について調査しました。その結果、グローバルに比べ、日本のBYOD導入があまり進んでいないことが分かりました(<図1>参照)。
海外では、正式導入(BYODポリシーに基づき、組織としてサポート)している企業が13%であるのに対し、日本では、わずか4%にすぎません。
なぜ個人にも企業にも多くのメリットがあるはずのBYOD導入が、日本では低調なのでしょうか。

(下の図をクリックすると拡大します)

Ⅲ わが国におけるコンプライアンス面の課題

日本でBYOD導入が進まない理由には大きく二つのことが考えられます。
一つ目は、セキュリティへの根強い不安があることです。恐らく最大のネックとなっているのが個人情報保護法の存在です。05年の個人情報保護法の全面施行をきっかけに、多くの企業が個人データの漏えいリスクの観点から、個人所有端末の業務利用を禁止してきました。それが、現状の日本におけるBYOD導入率の低さの理由ではないかと考えます。
二つ目は、仕事とプライベートの境目が曖昧になり、従業員の長時間労働につながる可能性があることです。この点については、日本の労働基準法が諸外国と比べて厳しいのでBYODはなじまない、あるいはBYODは裁量労働制に移行しなければならず大変、といった誤解が元になっているケースも多いようです。

Ⅳ 導入を進めるための対策

前記で一つ目に挙げた日本の個人情報保護法は、欧州のプライバシー保護に関する法律に比べ、特段厳しいわけではありません。従って、企業が個人データの管理方針を定め、データ漏えいを防ぐ仕組みを導入する等の適切な対策を施せば、個人情報保護法の存在がBYOD導入の壁になるわけではないと考えられます。
二つ目の労務管理上の問題も同様です。BYOD導入を妨げるような日本独自の労働法の壁があるわけではありません。BYODにより在宅勤務を行う従業員が発生する場合、在宅勤務を行った時間を管理し、適正な残業手当を支払うためのルールを決めて運用することで労務管理上の課題は解決可能です。
そして、BYOD導入を円滑に進めるために最も重要な対策が、熟考を重ねたBYOD運用規程の策定です。情報セキュリティやコンプライアンス上の課題を十分検討し、運用ルールを決めて、それを文書化することが重要です。企業側と従業員の間でのトラブルを避けるため、次のような内容も規程に盛り込んでおくとよいでしょう。

  • 費用負担(情報機器の通信費を誰が負担するか)
  • 監査(定期的なセキュリティ監査の実施)
  • 懲戒(ポリシー違反者への処遇)

もう一つ見落とされがちなのが、ライセンス管理の問題です。BYOD導入により、個人が購入したソフトウエアを使って、業務のデータを編集、加工するケースが考えられます。万一、従業員が個人所有のデバイス内に存在する違法コピーされたソフトウエアを使って業務を行った場合、コンプライアンス違反に該当する可能性があります。従って、従業員が使用するデバイスが私物か会社支給かにかかわらず、企業として業務で使用する全ての機器およびソフトウエアの管理には十分留意する必要があります。

Ⅴ おわりに

BYOD導入に伴うガバナンス、コンプライアンス上のリスクを認識し、正しい対策を取った上で導入することで、BYODのメリットを最大に享受できます。また、BYODは、運用ルールを決めて導入すれば、それで終わりではありません。運用規程に従い、PDCAサイクルを回す体制を構築することをお勧めします。それが企業の競争力強化につながります。