BYODは「私物端末の業務利用」のことで、ブリング・ユア・オウン・デバイス(Bring Your Own Device)の略称。
政府の推進する働き方改革や、昨今のコロナ禍の影響から、在宅勤務、テレワークをはじめとしたリモートワークが急速に普及しました。リモートワークでは、会社の貸与するパソコンやモバイル端末ではなく、個人所有のノートPC、スマホを業務に利用するBYODのケースも多く見られます。また、通常のオフィスワークでも、BYODの導入は会社のコストを軽減できるメリットがあります。
しかし、BYODでは、セキュリティ意識の低い社員による情報漏洩のリスクがあります。社員任せにして導入すれば、デメリットもあると理解しなければなりません。
今回は、BYOD導入時の企業側の注意点について、企業法務に強い弁護士が解説します。
- BYOD(私物端末の業務利用)は、企業のコストカットなどメリットがある
- BYODを導入するとき、セキュリティ面の危険があるため、ガイドラインの作成が不可欠
- BYODの導入時に誓約書を取得し、端末を登録させるなど会社で管理を徹底する
\お気軽に問い合わせください/
BYOD(私物端末の業務利用)とは?
BYODとは「Bring Your Own Device(ブリング・ユア・オウン・デバイス)」の略称であり、社員が個人で所有する「私物端末」を、会社の業務に利用することです。BYODは海外ではごく一般的でしたが、日本でも、働き方改革による柔軟な働き方の推奨をきっかけとして広がりつつあります。
働き方改革によって、業務の効率化、長時間労働の是正、柔軟な働き方が推奨されました。これらを実現するために注目されているのがリモートワークです。BYODについて定める法律は存在しないものの、リモートワークを円滑に進めるには不可欠の制度です。
リモートワークでは、会社のオフィス以外(例えば、自宅やカフェ、シェアオフィス)で労働することになります。会社が全社員にパソコンやスマホ、タブレットを貸与するのも可能ですが、BYODによって個人所有のデバイスを利用するという考え方が、日本でも普及し始めています。
スタートアップやベンチャーなどの小規模な会社では、パソコンを会社で一括購入するコスト面のメリットが少なく、社員の自主性、自由度を尊重する文化も相まってBYODが主流となっています。
BYODのメリット
BYODは、働き方の1つのスタイルに過ぎません。
そのため、適切に運用をすれば、会社にとっても社員にとっても大きなメリットがあります。会社に大きな利益を生むためにも、BYODのメリットを理解して運用してください。
コスト削減
企業が、社員に貸与するパソコン、スマホを全て用意するとなると、そのコストは相当なものになります。一方で、個人所有のモバイル端末を持っていない社員は、もはや少ないでしょう。
働き方改革の流れから、在宅勤務、リモートワークの導入は必須となりつつあり、これによって育児・介護を必要とする優秀な人材、地方在住の人材など、多様な労働力を活用し、人手不足を解消できます。その際、社員の個人所有のパソコンやスマホを利用し、モバイルワーク環境を整備するのが企業側にとってのコスト削減に繋がるメリットがあります。
業務効率化・生産性向上
BYODによるモバイルワークを導入することで、いつでもどこでも仕事できるようになります。通勤時間をはじめとする移動時間を節約し、業務を効率化すれば、生産性を向上できます。
外回りの多い営業マン、リモートワークの労働者など、社外での業務の多い社員にとって、「社外から業務の書類を提出できる」「社外でもオフィスと同様の環境を整備できる」という点のメリットは非常に大きなものです。業務を効率化し、生産性が向上すれば、社員に早く業務を終えてもらえ、長時間労働の抑制、残業代の削減に繋がるメリットもあります。
慣れた端末を利用できる
BYODを導入するメリットは、企業側だけでなく、社員側にもあります。
BYODによって、「会社のスマホと自分のスマホを2台持ちしなければならない」といった社員の面倒を避けられます。更に、社員にとってはBYODで自分の端末を利用できるなら、会社から貸与されたパソコンやスマホ、業務に必要となるソフトなどのマニュアルを理解し、新たに操作方法を覚えなければならない手間も短縮できます。
シャドーITの対策
整備された制度の元で私物端末を利用するBYODとは異なり、なし崩し的に私物端末が業務に利用されてしまう状態が「シャドーIT」です。シャドーITでは、会社の知らないうちに私物のパソコン、スマホが利用され、ルールが徹底されず、不適切な取り扱いが横行するおそれがあります。セキュリティも甘い場合が多く、情報漏えいが起こりがちです。
「緊急で、つい社員の携帯に電話をしてしまった」「便利なので、家では自分のパソコンで仕事をさせている」という会社も多いでしょう。このようなとき、BYODを導入し、ルールをきちんと整備することで、危険なシャドーITを撲滅できます。
BYODのデメリット
メリットがある一方で、BYODを誤って運用した場合には、デメリットやリスクは避けられません。
デメリットを最小限に抑えるため、BYODのデメリットについて解説します。
紛失・盗難による情報漏えい
私物端末を利用するBYODでは、社員がパソコンやスマホを紛失したり、盗難されたりすると、企業秘密が漏えいする危険があります。会社のパソコンにリモートアクセスできる設定としていると、更に重大な秘密が漏れるおそれがあります。個人のスマホは常時持ち歩くので、紛失、盗難のリスクをゼロにはできません。
家族や友人にスマホを触られ、業務に支障が出るおそれもあります。私物端末からパスワードが流出した場合、社員になりすまして会社のデータを盗んだり、顧客に誹謗中傷メールを送信されたりといったリスクもあります。
紛失、盗難を完全に防げはしないものの、BYODを導入するなら、私物端末を会社に登録させ、紛失、盗難の際にはすぐ報告するよう義務付けておく必要があります。
セキュリティの低さによる情報漏えい
BYODでは、セキュリティの低さによる情報漏えいの起こる危険もあります。会社貸与のパソコン、スマホに比べ、個人の端末ではセキュリティ意識の低くなる傾向にあるからです。
「私物パソコンにはセキュリティソフトを入れていない」「個人のスマホでアダルトサイトを閲覧する」という人も少なくないでしょう。知らないうちにサイバー攻撃を受けたり、不正アクセスされたり、怪しいサイトやメールからマルウェアに感染したり、アップデートしていない脆弱なアプリからウイルスに感染したりといった危険が、ネット上には多くあります。
費用の負担
会社にとって、社員の私物端末を利用するBYODなら、端末を購入する費用は節約できます。また、社員がプライベートでも使用し、利用料金を払っているでしょうから、ランニングコストもカットできます。
しかし、社員の私物端末、ネットワーク環境などを業務に利用するのに、会社が全く費用負担しないのは妥当とは言えません。社員から不満が出る可能性が高く、モチベーションが低下すれば、折角の業務効率化も無意味。業務に取り組む熱意が、逆に削がれてしまう危険があります。
たとえBYODを導入するのであっても、就業規則などで一定のルールを作り、私物端末の購入費を補助したり、業務に利用して増加した分の通信料金を肩代わりしたりする必要があります。
統一的なルールが作りづらい
BYODを導入する場合には、社員ごとに、利用しているパソコン、スマホの機種が異なります。
そのため、BYODの場合、社内の統一的なルールを作ったり、定型的なマニュアルを整備したりするのが難しいケースがあります。この場合、各自個別に対応できる場合はよいですが、ITリテラシーの低い世代の社員がいる場合など、マニュアルを個別に作成し、教育するのがむしろ手間となるデメリットがあります。
BYODを導入するとき会社側の注意点
BYODの注意点を理解することで、メリットを最大化し、デメリットを回避することができます。
BYOD(私物端末の業務利用)という言葉を知らないのに、「実際には、社員が業務で自分のパソコンを使用している」という会社もあります。「社員の私物スマホを連絡手段に活用している」という会社も多いでしょう。
しかし、なし崩し的なBYODはお勧めできません。BYODにはデメリットもあり、情報漏えいなどのリスクを軽減するには、ルール作りと周知徹底、指導、教育が必須だからです。
BYODガイドライン、規程を作る
BYODのリスクを会社が適切に抑止し、管理するには、BYODのルール作りをすべきです。BYODについて法律上のルールは存在せず、会社が独自に、規程を作成する必要があります。
BYODのルールは、全社的に適用されるものなので、就業規則などの規程類に記載する方法がよいでしょう。ただ、細部については柔軟な運用が求められ、こまめに変更する必要のあるケースもあるので、就業規則とは別に「BYODガイドライン」を作成するのがお勧めです。
BYODガイドラインには、次の事項を定めます。
保護すべき情報の範囲
BYODのルールにおいて重要なのは、個人の知識やモラルに一任しないこと。特に「どのような情報が漏えいしたら、企業に損失が生じるか」は会社ごとに異なり、企業側で明示すべきです。
BYODガイドラインでは「保護すべき情報の範囲」を定義するようにしてください。顧客や取引先などの営業情報、研究開発情報などの技術情報は当然ですが、業種特有の守りたい情報があるとき、具体的に記載すべきです。
私物端末の利用範囲
次に、BYODにおける私物端末の利用範囲、用途についてもガイドラインに定めます。
一部社員のみBYODを認めるケース、BYODで行ってよい行動の範囲、業務の範囲、社内システムへのリモートアクセスの権限の有無などを詳細に決めておいてください。
BYODにおける行動規範
BYODにおける行動規範を定め、基本的な方針と、具体的に推奨される行為を決めます。特に、BYODのリスク軽減のため、セキュリティ対策としてすべき最低限の行為を必ず定めてください。
また、私物端末の登録方法、紛失、盗難時の届出、買い替え時の手続きなども決めておきます。
BYODにおける禁止行為
BYODにおける、セキュリティ遵守のための禁止行為を定めます。ITリテラシーの低い社員がいる場合に備え、禁止行為は厳しく決めるべきです。
ルール違反の制裁
BYODにおける行為規範、禁止行為などルールに違反したら、どのような制裁があるかも触れましょう。
就業規則に懲戒処分の定めがある場合には、けん責・戒告などの軽い懲戒処分から、諭旨解雇・懲戒解雇などの重度の懲戒処分までのうち、どの程度の行為に対して制裁があるか、社員に周知徹底し、予測可能性を高めます。
在宅勤務、テレワークで変更すべき就業規則のポイントは、次に解説します。
私物端末を登録制とする
BYODを進めるにあたり重要なポイントが、BYODに利用する私物端末を「登録制」とすること。会社で担当窓口を決め、BYODの開始時、端末の変更時などの適宜のタイミングで、必ず届出をするよう社員を指導します。
私物端末を定期的にチェックし、危険がないか監視するためにも、BYODに利用する私物端末を特定しておかなければなりません。登録したパソコン、スマホを機種変更したり、故障などで修理・買い替えしたりするときは、データを完全に消去し、利用不能な状態にしてから廃棄します。
セキュリティ対策をおこなう
セキュリティの低下による情報漏えいのリスクを回避すべく、BYODの導入時はセキュリティ対策を必ずしましょう。
社員の判断に委ねると、ITリテラシーの低い社員がセキュリティを徹底しなかったり、費用負担を惜しんでセキュリティソフトを購入しなかったりといった危険があります。セキュリティソフトの利用料など、必要な費用は会社が負担するのは当然です。また、MDM(Mobile Device Management)という「モバイル端末管理」の専用アプリを利用して、会社規程に違反する不適切な利用方法を制限し、監視する方法も検討すべきです。
BYODを実施するとき、私物端末を利用するけれども「オフラインの利用は禁止し、会社のPC環境へのリモートアクセスのみを許可する」という運用もセキュリティ対策になります。
社員のITリテラシーを教育する
BYODの導入を安全に進めるためには、社員のセキュリティ意識をふくめたITリテラシーの向上が必須です。社員の意識を高めることが、BYODにおけるリスクやデメリットの軽減に直結するからです。
社員各自の意識とモラルに委ねると、ITリテラシーの低い社員が不適切な行為を知らずに行うリスクがなくせません。会社がルールを明示せず、教育もしていないと、「違反したら処罰する」というのは不当であり、教育は欠かせません。
誓約書を取得する
BYODを開始するタイミングで、対象となる社員から秘密保持誓約書を取得し、秘密保持義務を負わせます。
会社の秘密を守る旨の誓約書は、入社時に書いていたり就業規則に記載されていたりするでしょうが、BYODガイドラインの内容を遵守することについて、制度導入時に改めて誓約書を取得する運用がお勧めです。BYODに関する行為規範、禁止事項を記載した誓約書を新たに取得することで、社員の意識を高められると共に、万が一に違反があったときにも懲戒処分などの厳しい制裁を適法に下すことができます。
BYODに関する誓約書では、次のことを定めます。
- 私物端末の契約名義人が社員本人であること
- 私物端末を登録制とし、変更するときは届出義務を必ず守ること
- 私物端末の利用範囲・用途
- 会社による監視に同意すること
- 私物端末のOS・アプリを最新の状態に保ち、セキュリティ環境を整備すること
- 私物端末で不適切な行為、禁止行為をしないこと
- 私物端末を第三者に貸与せず、使用させないこと
- ルールに違反した場合の制裁(BYODの中止・懲戒処分など)
BYODを禁止・制限するときの会社側の注意点
最後に、BYODを禁止、制限する際の注意点を解説します。
BYOD(私物端末の業務利用)を一律に禁止する方法もあります。業種、業態や企業規模によっては、守秘性の非常に高い業務についてBYODを禁止すべきケースも少なくありません。
ただし、BYODを禁止するならば、徹底する必要があります。禁止といいながら、実際は社外でも業務をしている「シャドーIT」は控えるべき。最も情報漏えいの危険が高く、会社のリスクコントロールが及ばない状態だからです。
禁止・制限の範囲を決める
BYODにはメリット・デメリットのいずれもあるため、全社員、全業務について一律にBYODを禁止する場合だけでなく、守秘性の高い一部に限って、BYODを制限する運用も検討してください。
限定的なBYODの運用例は、例えば次のケースです。
- 新製品の研究開発をする部署では、BYODを実施しない
- 重要な顧客情報、個人情報については社外持ち出しを禁止する
- 人事評価情報など、社員の個人情報は社外持ち出しを禁止する
就業規則などで禁止を明示する
BYODを適切に実施するには、BYODガイドライン、BYODマニュアルなど、柔軟に変更可能な方法によるルール作りをお勧めしました。しかし、BYODを禁止する場合には就業規則に明記すべきです。禁止事項は明確にし、徹底して守らせる必要があるからです。
就業規則には、BYODの禁止と合わせて、違反して私物端末を業務に利用した場合の制裁も定めます。「懲戒処分をする権限(懲戒権)」は、就業規則や雇用契約書に記載し、労働契約の内容としておかなければ、行使することができません。
BYOD禁止に違反した場合に、どのような懲戒処分となるかについて、保護すべき情報の重要性とのバランスを考慮して決めるようにしてください。
重すぎる制裁は、不当処分として違法と評価されるおそれがあり、避けるべきです。
社員教育を徹底する
BYODを禁止する場合には、導入する場合にも増して、社員教育が重要となります。
会社に許可されていないBYODを勝手に行う「シャドーIT」が起こってしまわないよう、「なぜ禁止されているのか」「どのような情報が漏えいすると損失があるのか」という点を踏まえ、社員に説得的に説明する必要があります。
BYODを禁止しているケースでは、BYODに限らずあらゆる情報について守秘義務を厳しく徹底したい場合が多いでしょう。そのような場合、入社時や重要な役職への就任時に、社員から秘密保持誓約書を取得するのがお勧めです。
まとめ
今回は、BYODを導入し、社員の私物端末を業務に利用するときに、企業側が注意すべきことを解説しました。
BYODには業務の効率化、コストの削減といった大きなメリットがあります。しかし、ガイドラインを作成してルールづくりを徹底し、誓約書を取得して社員を教育するなどといった適切なプロセスを踏まずに安易に導入すれば、情報漏えいに繋がるデメリットもあります。
企業経営においては、製品の研究開発情報、顧客情報、社員の個人情報などの重要な情報を扱います。これらが流出すれば、企業にとって大きな損失であるとともに、社会的な信用が低下することを意味します。BYODをはじめ、リモートワークのルール作りにお悩みのとき、ぜひ一度弁護士に相談ください。
- BYOD(私物端末の業務利用)は、企業のコストカットなどメリットがある
- BYODを導入するとき、セキュリティ面の危険があるため、ガイドラインの作成が不可欠
- BYODの導入時に誓約書を取得し、端末を登録させるなど会社で管理を徹底する
\お気軽に問い合わせください/