Comments
Description
Transcript
BYOD -職場における個人所有端末の活用におけるコンプライアンス上
EY Advisory BYOD −職場における個人所有端末の活用におけるコンプライアンス上の課題と対策− ITリスクアドバイザリー部 システム監査技術者 國重靖子 • Yasuko Kunishige 大手システムインテグレーターを経て、2003年に当法人に入所。会計監査の一環として、さまざまな業種・規模の企業のIT監査を担当。 最近は、ネット企業などITをビジネスのコアとする企業を対象とした、BYODやクラウドコンピューティングなどに係る各種アドバイザ リー業務に従事。公益社団法人企業情報化協会(JIIT)のスマートデバイスビジネス活用研究会の企画委員を務める。 Ⅰ はじめに リティサーベイ」では、世界64カ国1,800社以上を 対象にBYODの導入状況について調査しました。その 個人で所有するIT端末を業務に使用することは、 結果、グローバルに比べ、日本のBYOD導入があまり Bring Your Own Device(BYOD)と呼ばれ、近年、 多くの企業が導入を進めています。BYOD導入には、 進んでいないことが分かりました(<図1>参照)。 さまざまな課題があるにもかかわらず、依然として高 織としてサポート)している企業が13 %であるのに い注目を集めている理由は、BYOD導入によって、個 対し、日本では、わずか4%にすぎません。 人、企業の双方に大きなメリットがもたらされるため です(<表1>参照)。 海外では、正式導入(BYODポリシーに基づき、組 なぜ個人にも企業にも多くのメリットがあるはずの BYOD導入が、日本では低調なのでしょうか。 BYOD導入に伴う情報セキュリティ面の課題は、こ れまで多くのメディアを通じ、議論されてきました。 一方、企業のガバナンス、コンプライアンスの課題に Ⅲ わが国におけるコンプライアンス面の課題 ついては、あまり知られていないのが実情です。 本稿では、わが国におけるBYOD導入に伴うコンプ ライアンスの課題と解決法を紹介します。 日本でBYOD導入が進まない理由には大きく二つの ことが考えられます。 一つ目は、セキュリティへの根強い不安があること ▶表1 BYOD導入のメリット です。恐らく最大のネックとなっているのが個人情報 社員(個人) 企業 保護法の存在です。05年の個人情報保護法の全面施 • 端末を複数台持たなくてよい • 使い慣れた端末で仕事ができる • 性能が良い端末で能率が上がる • 場所を問わずに仕事ができる • ワーク・ライフ・バランスの • 端末購入コストの削減 • 在宅勤務によるオフィスコスト スクの観点から、個人所有端末の業務利用を禁止して 改善 の削減 • 生産性アップによる利益拡大 • 優秀な人材を確保できる • 災害時の在宅による業務継続 行をきっかけに、多くの企業が個人データの漏えいリ きました。それが、現状の日本におけるBYOD導入率 の低さの理由ではないかと考えます。 二つ目は、仕事とプライベートの境目が曖昧になり、 従業員の長時間労働につながる可能性があることです。 この点については、日本の労働基準法が諸外国と比べ Ⅱ BYOD導入の現状 て厳しいのでBYODはなじまない、あるいはBYODは 裁量労働制に移行しなければならず大変、といった誤 EYが2012年度に実施した「グローバル情報セキュ 12 情報センサー Vol.94 June 2014 解が元になっているケースも多いようです。 ▶図1 Q27. 現在、貴社では業務目的でのタブレットコンピュータ(タブレットPC)の使用を許可していますか? 該当するものを一つ選択してください。 100% ■ 会社所有のタブレットPCが利用されています 19% 33% 50% 0% 35% ■ 現在使用されていませんし、今後12か月以内に使用する予定もあり ません 11% ■ 現在使用されていませんが、今後12か月以内には使用を計画してい ます 32% 9% 17% 13% 10% 4% 日本 ■ 検討中です、もしくはその使用は制限されています 12% グローバル ■ 個人所有のタブレットPCが利用されており、また、個人所有機器 の持込み(BYOD)ポリシーに基づき、組織としてサポートしてい ます ■ 個人所有のタブレットPCが利用されていますが、組織としてサポー トしていません 出典:『情報セキュリティを確保するために−EY 2012 グローバル情報セキュリティサーベイ』 Ⅳ 導入を進めるための対策 スが考えられます。万一、従業員が個人所有のデバイ ス内に存在する違法コピーされたソフトウエアを使っ 前記で一つ目に挙げた日本の個人情報保護法は、欧 て業務を行った場合、コンプライアンス違反に該当す 州のプライバシー保護に関する法律に比べ、特段厳し る可能性があります。従って、従業員が使用するデバ いわけではありません。従って、企業が個人データの イスが私物か会社支給かにかかわらず、企業として業 管理方針を定め、データ漏えいを防ぐ仕組みを導入す 務で使用する全ての機器およびソフトウエアの管理に る等の適切な対策を施せば、個人情報保護法の存在が は十分留意する必要があります。 BYOD導入の壁になるわけではないと考えられます。 二つ目の労務管理上の問題も同様です。BYOD導入 を妨げるような日本独自の労働法の壁があるわけでは Ⅴ おわりに ありません。BYODにより在宅勤務を行う従業員が発 生する場合、在宅勤務を行った時間を管理し、適正な BYOD導入に伴うガバナンス、コンプライアンス上 残業手当を支払うためのルールを決めて運用すること のリスクを認識し、正しい対策を取った上で導入する で労務管理上の課題は解決可能です。 ことで、BYODのメリットを最大に享受できます。ま そして、BYOD導入を円滑に進めるために最も重要 た、BYODは、運用ルールを決めて導入すれば、それ な対策が、熟考を重ねたBYOD運用規程の策定です。 で終わりではありません。運用規程に従い、PDCAサ 情報セキュリティやコンプライアンス上の課題を十分 イクルを回す体制を構築することをお勧めします。そ 検討し、運用ルールを決めて、それを文書化すること れが企業の競争力強化につながります。 が重要です。企業側と従業員の間でのトラブルを避け るため、次のような内容も規程に盛り込んでおくとよ いでしょう。 • 費用負担(情報機器の通信費を誰が負担するか) • 監査(定期的なセキュリティ監査の実施) • 懲戒(ポリシー違反者への処遇) お問い合わせ先 アドバイザリー事業部 ITリスクアドバイザリー部 Tel:03 3503 1704 E-mail:[email protected] もう一つ見落とされがちなのが、ライセンス管理の 問題です。BYOD導入により、個人が購入したソフト ウエアを使って、業務のデータを編集、加工するケー 情報センサー Vol.94 June 2014 13