個人所有の通信端末を業務に使う！BYODの情報セキュリティ対策サービスとは

（2021.11.17更新）
　端末や回線などの通信環境の発達を背景に、BYOD(Bring Your Own Device)と呼ばれる、スマートフォンなどの個人所有の携帯通信端末を業務利用するケースが広まりつつあります。
　しかしBYODには使い慣れた端末という利便性などのメリットを享受できる反面、情報漏えいというリスクなどのデメリットに配慮することが必要です。そのデメリットを低減させることがBYODを導入する際のポイントでしょう。

　本記事では、BYODにおける情報セキュリティ対策と、それを可能にするクラウドサービスについて説明します。

個人所有の通信端末を業務に使う機会は

　個人所有の通信端末を、業務に使ったことはありますか？と質問された場合、会社から業務用通信端末を支給されていない職場なので、日常的に使っているという人もいるかもしれません。もしくは、個人所有の通信端末の機能が便利なので、つい業務でも使ってしまったという人もいるでしょう。あるいは個人事業主なので、複数の端末を所有しておらず、私用と業務で通信端末を使い分けにくいという人もいるでしょう。

個人所有の通信端末を業務に使う際に起きること

　個人所有の通信端末を業務に使うBYODには、利便性という面でさまざまなメリットが考えられます。例えば、「使い慣れた通信端末を使える」「複数の通信端末を携帯しなくてすむ」「オンタイムとオフタイムを分けずに一元的に情報を管理できる」といったものでしょう。

　しかし、その一方で「通信コストの負担が不明確になりやすい」「オンタイムとオフタイムの区別がつきにくい」等のデメリットが考えられます。それら以外で企業が特に注意しなければならないのは、情報漏えいなどにつながる「端末紛失」や「情報管理が困難」という問題です。

●BYODに関連する情報セキュリティリスク

・業務情報漏えいリスク
　個人所有の通信端末で業務情報へアクセスすることは、個人の通信環境によって業務情報が漏えいする可能性があります。具体的には「業務上の連絡先」「業務情報」「社内システムにアクセスする権限(ID/パスワード・端末認証)」などを個人所有の通信端末に登録した場合、個人の通信環境や端末に情報セキュリティ対策が不十分ならば、業務情報が漏えいするリスクにさらされることになります。これはアクセスする先が社内のシステムだけでなく、パブリックなクラウドサービスでも、同様のリスクを負うこととなります。

・個人情報管理が困難になる
　業務情報漏えいとは逆の流れで、個人情報が業務上の相手先に漏えいする可能性があります。例えば、メールはBYODの端末内で業務用、私用などと複数のアドレスを管理することが可能ですが、電話番号の複数利用は、特定のサービスに契約した場合に限られます。そのため、1つの電話番号しか契約していない端末をBYODで利用すると、個人の電話番号を社内外に公開することになります。公開された電話番号は、その会社を退社した後も社外に残る可能性があります。在職中に社内外に公開された電話番号を、退社に伴いすべて消去を徹底するのは困難といえるでしょう。

・通信端末紛失リスク
　個人所有の通信端末の電話帳にお客さまの連絡先が登録されていたり、メールやメッセージの履歴にお客さま情報が記載されていたりする場合は、紛失すると情報漏えいにつながってしまう恐れがあるのです。

情報セキュリティ対策で注意したいこと

　BYODを導入するにあたっては、十分な情報セキュリティ対策や業務規程を設けることが前提になります。例えば、情報セキュリティ対策としては「パスワード・画面ロックの設定」や「セキュリティソフトの導入」「遠隔ロック・データ削除ができるサービス・機能導入」など、業務規程では「不必要な業務データへのアクセスはしない」「私用のSNSサービスなどには業務情報を流さない」「登録した端末以外での業務利用はしない」などでしょう。

　このようなルールが存在しない、もしくは守られていない環境で、従業員の独断で個人所有の通信端末を業務に利用する状態を「シャドーIT」と呼んでいます。企業の情報セキュリティ管理が行き届かない・遅れているために生じている影の存在であり、それらはリスクが増大する要因とも考えられているのです。

BYODによる競争力アップを実現するサービスとは

　しかし、現場（従業員）が個人所有の通信端末の業務利用を求める、つまりBYODのニーズがあるのならば、前述のシャドーITの状態になる前に、会社としては積極的に応えるべきです。そのためには利用者が守るべきルールを企業側で明らかにし、ルールの徹底に務めるべきでしょう。まずは個人所有の通信端末に、前述のような情報セキュリティ対策や業務規程を策定する、同時に安全なアクセス方法が確立されている法人向けのデータクラウドサービスなどを導入すべきでしょう。これらがあって、BYODのリスクを低減しながら、管理・運用コストの低減にもつながっていくのです。

　他にも、電話帳などの連絡先データを管理して通信端末上にお客さま情報が残らないクラウドサービスや、業務専用のSNSやチャットなどのコミュニケーションツールなどといった機能を備えたものもあります。これらのサービスや機能をBYODの情報セキュリティ対策として導入することも考えられます。